Ni tanto ni tan calvo…

La semana pasada un compañero de trabajo, J., me contaba que había decidido empezar a utilizar la banca electrónica, y evitar de este modo tener que desplazarse a la oficina o al cajero para realizar consultas o transferencias económicas. Puesto que no le era posible realizar la consulta personalmente, le había pedido a su progenitor que se acercase a la sucursal y se informase de toda la documentación y trámites necesarios para activar el servicio en cuestión, servicio que sabía que su entidad bancaria ofrecía gratuitamente.

Y así lo hizo éste.

Ese mismo día, al llegar a casa, su padre le entrega todo el papeleo que le habían entregado en el banco: información identificativa como el nombre, apellidos, y DNI, más otra algo más sensible: número de cuenta del cliente y todos los códigos necesarios para la realización de trámites por Internet. Todo ello obtenido sin necesidad de presentar ningún documento que acreditase la identidad de ninguna de las dos personas, ni ninguna declaración de autorización ni fotocopia del DNI; y tampoco porque hubiese una relación de amistad entre el empleado del banco y el padre de mi compañero (que ni aun así, pero bueno…). No; todo lo que hizo falta fue decir un nombre y apellido.

Aunque es cierto que, en mi opinión, las medidas de seguridad de las entidades bancarias suelen estar a la altura de las circunstancias (más les vale), casos como este son una de las razones para no bajar nunca la guardia. Y es que teniendo en cuenta lo que se juega uno, no es como para tomárselo a broma…

(Si quieren saber el final del cuento, J. puso una queja formal, tras la que recibió una llamada del director de la sucursal pidiendo disculpas y asegurando que algo así no volvería a pasar).

Nunca es tarde si la dicha es buena

Queridos lectores, vuelvo de mi baja temporal (“cervicalgia aguda con impotencia funcional“), mis vacaciones y un “de moderado a intenso” dolor de cabeza con la sorpresa —noticia que probablemente muchos de ustedes ya conozcan— de que el pasado 21 de diciembre fue finalmente aprobado en el Consejo de Ministros el Nuevo Reglamento de la LOPD, que como saben carecía de uno y hacía uso del reglamento de la derogada LORTAD.

Puesto que al parecer no se ha publicado éste aún en el BOE, y como es pronto y sería algo insensato por mi parte ponerme a reflexionar sobre las modificaciones que introduce, les dejo el enlace de la Moncloa donde pueden al menos ir abriendo boca; estarán ansiosos por leerlo. No se preocupe, seguro que tenemos tiempo para alabar y demonizar las novedades del nuevo texto.

Nada más. Felices vacaciones a los privilegiados que las estén disfrutando, y feliz año 2008 al resto, como antes, con un poquito de retraso.

Como *no* hacer las cosas

Hace unos días, leyendo una entrada sobre la evolución del spam de un conocido tecnólogo 2.0 (con el que, a título personal, estoy habitualmente más que en desacuerdo), me sorprendió —relativamente, visto lo visto— encontrar comentarios como los siguientes:

«En la cuenta de mi trabajo recibo más de mil correos diarios de spam. […] Ahora simplemente tengo una cuenta de Gmail que “chupa” el correo de mi trabajo y aparta el spam. Por último bajo lo que queda, el correo “bueno”, vía POP […]»

«Hace ya 6 meses que “puenteé” mi email de trabajo a través de Gmail, puesto que los filtros antispam de mi proveedor dejaban mucho que desear»

Estas dos declaraciones son, si aprecian su trabajo y le dan alguna importancia a la información que manejan en él —sea del tipo que sea—, otro ejemplo de cómo no hay que hacer las cosas.

¿Dónde están las copias? matarile-rile-rile…

Hace unas semanas, al entrevistar a un usuario durante la realización de una auditoría, le preguntamos si poseía portátil corporativo y lo llevaba a casa consigo. Efectivamente, como suele suceder en cargos de cierta importancia, nos confirmó que así era, pero que además, él mismo realizaba las copias con una grabadora de DVD de su casa y que dichos soportes los guardaba en su domicilio. Como anécdota, al darse —sólo parcialmente— cuenta del problema, se apresuró a decirnos que por supuesto, su mujer y él eran una misma unidad.

Entrar en el tema del portátil no es la intención de esta entrada, ya que podríamos empezar y no parar; se puede escribir un libro con las no conformidades y problemas a los que puede dar lugar, así que lo dejaremos para otro día. En su lugar, y de manera breve ya que muchos de ustedes estarán ya pensando (como mínimo) en el puente (para algunos) que viene, quería hablar de esas copias en DVD que esta persona almacena en su casa —probablemente con la mejor voluntad del mundo— estrictamente desde el punto de vista del RMS. Y digo esto porque a fin de cuentas, almacenar copias de información corporativa en casa de uno puede ser una actividad poco recomendable en unos casos (la mayoría) y justificada en otros, pero me aventuro a afirmar que por lo general no supone una infracción de ninguna reglamentación legal. Almacenar datos de carácter personal de los que la empresa es responsable, en la propia vivienda, eso sí lo es.

Y lo cierto es que es más habitual de lo que parece que un directivo, director de departamento o persona de cierta responsabilidad de la empresa decida hacer y —sobre todo— almacenar las copias en su propia casa, mediante un disco duro portátil, CDs, DVDs, llaves USB o, peor aún si cabe, en su propio equipo personal, al que pueden tener acceso terceras personas o que puede estar conectado a una línea ADSL privada de dudosa seguridad. Esto puede ser debido a una mala política de copias de seguridad por parte de TI, a una falta de confianza justificada o injustificada en el personal técnico, a un exceso de celo sobre los —incorrectamente considerados— datos propios, o a cualquier otra razón; en cualquier caso, insisto, desde el punto de vista del RMS, ninguna de estas causas es una razón justificadora, aunque muchas veces sea comprensible. Como comprenderán, en el caso particular que les mencionaba al principio, analizar los artículos que inciden en el registro de entrada/salida de soportes, o la necesidad de que la salida de éstos fuera de los locales en los que esté ubicado el fichero deba ser autorizada por el responsable del fichero, resulta un poco kafkiano desde el momento en el que tales soportes no salen, sino que se crean directamente fuera de las ubicaciones inventariadas, pero imagino que adivinan por dónde voy.

Es decir, si no quiere usted tener que inventariar su comedor o despacho en el Documento de Seguridad como zona de acceso restringido, no quiere tener que llevar un registro de entrada a su casa (sus amigos van a mirarle muy raro), o no quiere llevar a los auditores a su casa —imagine la cara de su pareja y sus hijos— para que examinen las medidas de seguridad, no guarde copias de seguridad en su casa. Si no desea que su casa se convierta en una prolongación de su empresa, repito, no guarde copias de seguridad con datos de carácter personal en su casa. Su pareja se lo agradecerá —Manolo, ¿es necesario que la puerta del comedor sea acorazada y haya cámaras de seguridad en el recibidor?—, sus hijos se lo agradecerán —Daniel, ¿has vuelto a perder tu tarjeta identificativa? ¿Y esta chica que va contigo, ha firmado en el registro de entrada?—, y en caso de sufrir una inspección de la AEPD, su empresa se lo agradecerá.

Háganos caso, y pase un buen y largo fin de semana.

Modelos de negocio

facebook.jpgNo se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Por una vez, no voy a entrar a analizar esta forma de hacer negocio como una crítica a la empresa, en este caso Facebook. Al fin y al cabo, desde un punto de vista estrictamente económico, son los organismos públicos los que deben regular —y limitar cuando sea necesario— la manipulación de este tipo de información por parte de empresas privadas, y son los usuarios los que tienen la libertad de cambiar si consideran que sus derechos se están vulnerando. En este caso, lo que me resulta particularmente curioso es que una compañía realize el desarrollo de un sistema que le supone probablemente muchos miles de dólares y cuyo mantenimiento es sin duda muy costoso económicamente (cuarenta millones de usuarios registrados aproximadamente, aunque es cierto que parte de ellos pueden permanecer inactivos), sin tener la garantía de que el modelo económico en el que van a basarse será aprobado tanto por las instituciones públicas que han de velar por la privacidad y los derechos de los ciudadanos, como por los usuarios que deben —o deberían— proteger su propia intimidad.

Resumiendo, ¿por qué confía tanto una empresa como esta en que su modelo de negocio seguirá adelante? ¿Es una apuesta segura o un farol? ¿Tan escasa es la autoridad de los poderes públicos, sobre todo en contextos internacionales (Internet)? Y, desde el punto de vista de los afectados, ¿tan poca importancia dan los usuarios a sus datos personales?

¿Alguien tiene respuestas?

Memorias de un auditor

Reunión en cliente, departamento técnico, durante una auditoría:

—¿Existen especificaciones técnicas adjuntas a los contratos con proveedores?
—Depende del proveedor, pero sí, es habitual.
—¿Y qué se hace con los contratos que es necesario destruir?
—Los llevamos a la destructora de papel que tiene Administración.
—¿Podría proporcionarnos una copia de algún contrato?
—Sí, un segundo… Vale, aquí en la papelera tengo uno para reciclar.

(10 segundos después…)

—Ehhmmm… Creo que no debería haber dicho eso de que es para reciclar… ¿no?

(Buen fin de semana a todos)

En todas partes…

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: “Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar”…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”, por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.

Sospechosos habituales (y cada vez más y mejor)

facebook.jpgHemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

La pregunta que me hago es si todas esas quejas sirven de algo, o en otras palabras, si la AEPD y sus “colegas” europeas van a ponerse de acuerdo y actuar, o van sólo a “parlamentar”; o incluso, si por temas jurisdiccionales o similares, pueden hacer algo más que “negociar” (300 millones de europeos deberían ser suficiente respaldo para hacer algo más que hablar). Si este tipo de manipulaciones van a quedar en la impunidad milkilométrica que supone el océano Atlántico, si van a seguir haciendo lo que les venga en gana, o si tendremos que esperar a que haya un Enron o un Worldcom en el mundo de los datos personales para que los EEUU se pongan las pilas y saquen algo como la SOX en este tipo de temas, y entonces Google, Facebook, MySpace y demás sujetos se plieguen al imperio y hagan un poco de caso.

Ya ven, que como siempre, muchas preguntas y pocas respuestas. Si quieren saber mi opinión, pues viene a ser la misma que la de Félix Haro. Es decir, que harán, como hasta ahora, lo que les venga en gana.

Seis más una medidas para evitar la fuga de información

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Dos. La segunda medida es, como es natural, eliminar cualquier acceso a Internet. Los sistemas de webmail son, como todos sabemos, un potencial peligro, y aunque los cerremos en el cortafuegos, seguramente el empleado maligno encontrará alguna alternativa tal como el ftp, ssh, sites orientadas al almacenamiento de ficheros, etc. Este punto también carece de complejidad, como podrá comprobar: Deny ALL from ALL y voilà. En este caso, sí, admitimos que las quejas de usuarios pueden ser algo más enérgicas, sobre todo cuando el director financiero sea incapaz de realizar las transferencias de las nóminas por banca electrónica, o recursos humanos necesite mandar información mediante DELTA. No haga caso. Está en juego la información corporativa.

Tres. La tercera medida lógica en este proceso es cortar el correo electrónico. No hay en el entorno empresarial mayor peligro que el correo electrónico. Olvide que sirve para contactar con clientes, potenciales o futuros, o proveedores. Mucha gente utiliza este sistema para mandar información confidencial, así como datos de carácter personal a cuentas privadas, vaya usted a saber si a potencias asiáticas o la propia AEPD. Hágame caso: corte el grifo. No email, anymore.

Cuatro. La cuarta medida a aplicar es la eliminación de cualquier fax o teléfono. Esto requerirá confiscar los teléfonos móviles de todos sus empleados, sobre todo aquellos con cámara, particularmente peligrosas si dispone usted de planos o alguna cosa gráfica que copiar. No se olvide, ya que estamos, de las cámaras. Con esto conseguiremos aislar a nuestra empresa del exterior. No tenemos que preocuparnos por tanto de que la información salga por vía telemática, telefónica, electrónica, o cualquier otro medio. Estamos casi a salvo.

Cinco. La quinta medida es eliminar las impresoras, y el siguiente, imprescindible, es confiscar todo el material con el que se pueda escribir, y los potenciales soportes: lápices, bolígrafos, rotuladores, folios, libretas, etc. No sabemos si alguien puede querer copiar un diseño, una función, un procedimiento de calidad, su estructura de red, o el listado de nombres y apellidos de todos los empleados. Hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, esto implica que se ha de cortar radicalmente el correo postal, tanto de entrada como de salida.

Seis. La sexta y última medida que le proponemos es el cacheo exhaustivo de sus empleados tanto a la entrada como a la salida de la empresa por parte de personal de seguridad especializado. Recuerde que no sabemos qué maléfico plan tienen los empleados en la cabeza, y cualquier precaución es poca.

Estas son algunas de las medidas, pero por supuesto, no son todas. Como suele decirse, el demonio está en los detalles. Tenga en cuenta, por último, que cualquier empleado que deja la empresa puede llevarse información interna en su propia cabeza (sí, puede, es verdad). Por razones legales —que no éticas— no podemos aconsejarle que impida que sus trabajadores se jubilen, cambien de trabajo o se dediquen a la vida contemplativa. ¿Se acuerda lo que decía Gene Spafford? Es decir, que para evitar cualquier tipo de riesgos, la mejor y más eficaz medida para evitar la fuga de información es impedir que sus empleados tengan cualquier tipo de acceso a ésta: déjelos en casa. Ellos contentos, y usted, contento.

¡?nimo!

Eventos “LOPD”

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los “eventos LOPD” sería una tarea casi interminable no sólo por la cantidad sino por la “calidad” (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un “evento LOPD”? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

¿Pero es eso lo que la LOPD y su viejo acompañante el RMS piden? En mi opinión, no. Éstos pretenden, intentan, o exigen que la empresa haga un uso adecuado de los datos personales: haga usted las cosas bien. Y aunque existen una serie de eventos o incidencias que sí, efectivamente, requieren obligatoriamente ser registrados, no son más que partes aisladas de procedimientos generales, que son los que deben cumplirse. En otras palabras, por políticamente incorrecto que suene, tener un registro extremadamente exhaustivo de sucesos o uno con lo básico —o lo más flagrante— no asegura nada (de nuevo, desde el punto de vista de la LOPD). Porque no es el evento lo que necesitamos perseguir, sino el procedimiento en su conjunto: un evento de recuperación de una base de datos sirve de poco si se ha saltado por encima de las personas autorizadas, o si se ha recuperado sobre un soporte USB que fulanito le va a dejar a menganito para que se lo lleve a su casa. ¿Hay alguna manera de controlar todas esas posibles situaciones irregulares? No.

No hay duda de que el registro del evento no sólo es muchas veces necesario y obligatorio, pero repito, no es el objetivo final del tratamiento de datos de carácter personal; es sólo un eslabón de toda la cadena, que es la que debemos al fin y al cabo completar de manera correcta. Y el punto al que vamos a morir con esto es que, al igual que en otros muchos ámbitos, en última instancia la seguridad, y con ella la LOPD, depende en gran parte del nivel de concienciación del usuario final. O dicho de otra forma, que aunque por supuesto aportan su granito de arena, ni la existencia ni la ausencia de un evento implica que se ha seguido el procedimiento correctamente. Desesperanzador, ¿no creen?