Vía Get Fuzzy, una divertida aproximación gráfica a varios problemas actuales que tiene la seguridad en muchas organizaciones: a) olvidar que un incidente de seguridad puede proceder -y a menudo lo hace- tanto de fuera como de dentro de la organización, b) obviar el necesario análisis previo que sea capaz de identificar todos los riesgos, c) la presencia de lo que en términos anglosajones se ha dado en llamar Security Theater, es decir, la presencia habitual de medidas de seguridad que aportan poca o nula protección pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad, y d) la falta de control sobre las medidas de seguridad implantadas (fíjense en que estos supuestos “controles de seguridad” están conectados *fuera* de la habitación).
Falsa seguridad
El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:
La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.
Seguridad de la Información
Leía hoy en Paloma Llaneza [Times Online] que los japoneses y coreanos están empezando a abordar el tema de la seguridad en relación con la robótica, y no me refiero a los que pueden encontrar ustedes en cualquier cadena de montaje de una fábrica de automóviles. No, en realidad, la noticia ronda más los textos de Asimov, aunque no se lo crean; ya saben, en la línea de aquellas tres leyes de la robótica del escritor ruso.
Lo cierto es que a pesar de que la noticia suene más a curiosidad geek que otra cosa -y de eso los japoneses saben mucho-, y aunque probablemente no pueda tomarse dicha iniciativa como un ejemplo de la concienciación global en temas de seguridad más que de modo muy tangencial, sí que es cierto que la seguridad en sus diversos niveles va adquiriendo poco a poco mayor importancia, y sin duda queda aún mucho por ver; empezando por los robots.
Como ejemplo de esto, en un ámbito más local y menos futurista -lo cual no deja de ser lógico, porque aparte de alguna Termomix, no demasiada gente tiene robots pululando por casa, y perdónenme la generalización-, recientemente se ha creado en España el CCN-CERT [ElPaís.com], tercer centro nacional de respuesta rápida frente a emergencias informáticas (Computer Emergency Response Team), al amparo del Centro Criptológico Nacional, con el objeto de proteger a las administraciones públicas de los ataques informáticos. Les prometo que no será el último.
Por lo demás, ya sé que se tercia una presentación algo más formal, pero no sean impacientes, habrá tiempo para ello. Nada más por el momento; bienvenidos.