Continuidad de Negocio: las Pruebas (I)

Bien. Después de varias semanas o meses y un esfuerzo significativo, ya tenemos listo nuestro Plan de Continuidad de Negocio. Con su trabajo de campo, su Análisis de Riesgos y Análisis de Impacto sobre el Negocio, sus decisiones ejecutivas, estrategias de recuperación, Plan de Crisis y tal. Muchas horas de trabajo con sus respectivos cafés, colaboración más o menos voluntaria por parte de todos para obtener una serie de documentos y controles que reflejan la realidad de nuestra organización y la preparan para una contingencia que, afortunadamente, esperemos que no aparezca.

Y por suerte, el desastre no aparece. Pasan los meses y las cosas empiezan a cambiar: dos semanas después el responsable de mantenimiento cambia de teléfono móvil y a los seis meses se cambia el robot de copias y el software. Nueve meses más tarde, entra con impulso un nuevo técnico de comunicaciones y mejora significativamente la segmentación de la red. Un año después, se actualiza la aplicación que utiliza Recursos Humanos a la última versión y después de muchos dolores de cabeza conseguimos que todo funcione bien.

Hagamos algunas hipótesis.

Primero, seamos positivos. Además de todo lo descrito, nuestro Plan de Continuidad incluye un Plan de Mantenimiento que, adecuadamente, describe las circunstancias y condiciones en las que cada uno de los documentos, especialmente los ejecutivos, tienen que ser actualizados: cambio de infraestructura, actualizaciones, cambio de personal, etc. Y de acuerdo a éste, el Plan de Continuidad ha ido evolucionando de manera adecuada, reflejando todos y cada uno de los cambios.

Seamos un poco más negativos. Incluya nuestro Plan de Continuidad o no un Plan de Mantenimiento, lo cierto es que en escasas ocasiones alguien se ha acordado de actualizarlo. En general, sigue contemplando la realidad de la organización, aunque cada vez un poco menos. La aplicación de Recursos Humanos ya no es la versión que pone en la documentación, el software de copias tampoco y las competencias en materia de comunicaciones han cambiado, entre otras cosas.

Así que un buen día, sin avisar ni concertar cita previa, el desastre se presenta. Una tubería que pasa por encima de una sala que antes no era un CPD pero ahora sí lo es se rompe y provoca un cortocircuito que echa a perder un puñado de servidores, alguna placa base y el cuadro eléctrico del CPD. ¿Tiempo de resolución estimado? No tengo ni idea, pero menos de tres días no va a ser, contesta el de industrial. Parece que además del cuadro eléctrico, el SAI también está tocado y el proveedor dice que tiene que traer un rectificador del otro lado del mundo porque esa pieza no la tiene en España. Dado que 72 horas es mucho más de lo que cualquier proceso crítico es capaz de tolerar, es hora de poner en marcha nuestro Plan de Continuidad de Negocio.

Volvamos a nuestras hipótesis.

Primero, seamos positivos. Durante estos meses hemos realizado las respectivas pruebas de continuidad y aunque algo puede haber cambiado, lo cierto es que conocemos los problemas que surgen al utilizar un direccionamiento diferente en la aplicación de Recursos Humanos, el proveedor no nos mira con cara rara cuando le hablamos de desastre, y los usuarios tienen una idea aproximada de qué es lo que tienen que hacer. Bien por nosotros.

Segundo, un caso un poco más negativo. Aunque hemos actualizado el Plan de Continuidad de manera regular, lo cierto es que no se ha hecho ninguna prueba, ya sea por falta de tiempo, recursos o por confiar equivocadamente en que si está actualizado, no es necesario probarlo. Así que cuando llega el momento, todo está en su sitio, pero la base de datos de copias del nuevo sistema no podemos restaurarla hasta que no se ha instalado la aplicación, pero ésta no encuentra la base de datos y no se deja instalar y en eso perdemos tres horas. Y después, la recuperación no va a la velocidad que se esperaba, y perdemos otras dos. Al final, sí, todo recuperado, pero en un tiempo mayor del esperado.

Tercero, la joya de la corona. Imagínense. El Plan de Continuidad lleva guardado año y pico acumulando polvo. Ni se ha actualizado, ni se ha probado, ni siquiera se ha utilizado como papel reciclado. El caso es que al tipo de mantenimiento no lo localiza ni CSI, la aplicación de recursos humanos se reinstala desde cero… con la versión antigua, que como Murphy podría adelantar no es compatible con la actual y la base de datos no se puede restaurar (ni por tanto localizar el teléfono del de mantenimiento). El switch de backup que se suponía que debía servir para una posible contingencia (o eso pensábamos) se utilizó para poner en marcha la nueva segmentación, y en su lugar alguien decidió dejar un hub que sólo da pena. Cuando llamas al proveedor del sistema eléctrico, a la palabra “desastre” le sigue un silencio eterno por su parte y los usuarios se miran unos a otros como si el tema ni fuese con ellos y preguntan cuándo se va a arreglar. Y alguien se empieza a poner nervioso.

Tras estos escenarios, hagan un repaso mental y piensen cuál es su situación. En próximas entradas veremos las ventajas de llevar a cabo las pruebas de continuidad (aunque a la vista de lo anterior debería ser obvio) y entraremos a comentar los diferentes tipos de pruebas que se pueden realizar para que nadie se ponga más nervioso de lo necesario en una contingencia.

[Sobre el autor]

Continuidad de Negocio: Aspectos a tener en cuenta

Seguimos con continuidad de negocio. Hace unos días estuvimos viendo, con cierto nivel de detalle (quizá demasiado para aquellos más interesados en una guía rápida más orientada al how-to), algunos aspectos sobre los elementos que forman los tiempos de recuperación y la importancia que tiene el tipo de actividad que estemos analizando. Pasando a otros temas más prácticos, hoy me gustaría repasar algunos puntos a tener en cuenta durante la realización de un Plan de Continuidad de Negocio, que considero vitales para llegar a buen puerto: alcance, contar con el apoyo de Dirección, tener en cuenta la posible necesidad de inversión, y cómo determinar los tiempos de recuperación objetivo.

Alcance

El primer aspecto que debemos tener en cuenta es el alcance de nuestro Plan de Continuidad de Negocio (PCN), en dos aspectos diferentes. Por un lado, en un sentido de horizontalidad; es necesario definir claramente qué servicios, actividades o procesos van a estar incluidos en el PCN, si además tenemos la intención de certificar el sistema según la ISO 22301; aunque desde un punto de vista de utilidad de un PCN lo más lógico es intentar que el alcance cubra toda la organización, especialmente en empresas de reducido tamaño donde la infraestructura se comparte, también cabe la posibilidad de escoger un alcance reducido que cubra elementos relativamente independientes (una división geográfica o la matriz organizativa de la empresa, por ejemplo) o simplemente aquellos procesos que de antemano ya se sabe que son los más críticos para la continuidad de la organización, como podría ser la producción o logística en una empresa de carácter más industrial, o el portal web en una empresa puramente de comercio electrónico.

[Read more…]

Continuidad de Negocio: Análisis de Impacto sobre el Negocio: tiempos (II)

El pasado miércoles vimos algunas reflexiones, más teóricas que prácticas, todo sea dicho, sobre la importancia no sólo de conocer los tiempos límite de recuperación de cada actividad, sino de saber, en la medida de lo posible, cómo éstas se comportan tras el momento crítico, lo que puede determinar el margen de error tolerable al determinar los tiempos (que no olvidemos que están determinados por el impacto máximo tolerable) y la irreversibilidad del incidente una vez superado el tiempo límite de recuperación (sin que ésta se produzca).

Para complicar un poco más el asunto, hoy veremos que el tiempo límite de recuperación puede estar formado por más de un elemento, e introduciremos las variables habituales al definir un BIA. En entradas siguientes pondremos algunos ejemplos y veremos otros aspectos interesantes en la definición del BIA.

Para empezar, debemos descartar la idea de que para determinar el tiempo requerido de recuperación de una actividad, que (repetimos) viene a ser el tiempo máximo que puede estar interrumpida una actividad, la actividad tenga que estar totalmente recuperada. Aunque por simplicidad y rapidez es habitual considerar tasas de actividad del 100% para determinar los tiempos, lo cierto es que no necesariamente es así: estos tiempos estarán ligados a los niveles de funcionamiento mínimos que previamente haya definido la organización, y éstos a su vez con el impacto que el no-funcionamiento parcial (o total, si la recuperación estimada es total) de dicha actividad tiene sobre la organización.

Por ejemplo, una organización puede establecer que en las horas posteriores a una crisis no es necesario poner en marcha el 100% de la producción, sino que con llegar a una tasa de actividad del 40% en menos de 8 horas puede ser suficiente para garantizar la viabilidad de la empresa durante unos días más mientras otros procesos se recuperan; por tanto, el impacto no asumible del proceso de producción está ligado a dos variables: una tasa de actividad del 40% y un tiempo de recuperación de 8 horas.

Por tanto, el tiempo de recuperación no tiene porqué necesariamente ser el tiempo que transcurre desde la interrupción de la actividad hasta la recuperación total, sino que debe tomarse como el tiempo que transcurre desde la interrupción hasta que la actividad se recupera en los niveles establecidos por la organización, que en ocasiones será menos exigente para la organización y los recursos en los que descansa la actividad. Claro que ojalá fuese tan sencillo, porque a menudo seremos incapaces de determinar umbrales parciales de funcionamiento, y acabará siendo un todo o nada; no obstante, ya veremos eso más adelante. Para aquellos aficionados a las siglas, este nivel mínimo de funcionamiento puede encontrarse en la bibliografía bajo diversas siglas, tales como LBC, Level of Business Continuity, ROL, Revised Objective Level; en la ISO 22301 aparece como MBCO, Minimum Business Continuity Objective, aunque no tengo del todo claro si la ISO lo entiende como un parámetro específico de cada actividad o es un valor global de la organización que determina la continuidad de ésta en base al estado de sus procesos de negocio claves (aunque esto último no tiene demasiado sentido si asumimos que la continuidad de la organización está determinada por la continuidad de todos sus procesos clave y no por la continuidad de un porcentaje dado de éstos).

Resumiendo, el tiempo requerido de recuperación de una actividad será el tiempo máximo que puede transcurrir para que el impacto del funcionamiento de la actividad por debajo de los umbrales “tolerables” no ponga en riesgo la continuidad de la organización.

Tampoco hay que perder de vista que la puesta en marcha de una actividad estará en general compuesta por una “fase TIC” (puesta en marcha de entornos, entrada de elementos de respaldo, recuperación de copias de backup, sustitución de equipos, etc.) y una “fase de negocio” (consolidación de datos, verificación de integridad, introducción de información recogida manualmente durante la interrupción, etc.). Es decir, que el tiempo máximo de parada de la actividad (MTPD o maximum tolerable period of disruption, encontrado en la bibliografía habitualmente también como MTD) estará compuesto por un tiempo de recuperación objetivo (RTO o recovery time objective), parámetro habitualmente de carácter técnico, más un periodo de normalización de las actividades en el que el personal responsable de la actividad comienza a funcionar. Si al determinar los tiempos únicamente tenemos en cuenta los requisitos de recuperación técnicos, es muy probable que excedamos los tiempos máximos marcados, y en algunos casos la desviación pueden ser muy significativa.

En este sentido la ISO 22301 parece menos exigente que la BS 25999-2 en los aspectos que debe contener el BIA. Entre otros, la BS requiere identificar no sólo el tiempo hasta alcanzar los niveles mínimos de servicio, sino también el tiempo máximo que puede transcurrir hasta que los niveles normales de funcionamiento se recuperan, además de requerir que se explicite ese umbral mínimo de funcionamiento de la actividad. La ISO 22301 parece conformarse con los niveles que garantizan la continuidad, dejando fuera de consideración el tiempo hasta los niveles normales de funcionamiento. Por desgracia, esto no simplifica tanto las cosas; volviendo al ejemplo anterior, podemos salvar el primer hito y ser capaces de llegar a una tasa de producción del 40% en menos de 8 horas, pero es posible que la organización no pueda tolerar una tasa de producción inferior 50% durante más de dos semanas. Además, podrían existir otros hitos posteriores que no podamos cumplir: por ejemplo un nivel de funcionamiento de la actividad al 80% durante más de un mes puede seguir teniendo un impacto grave sobre la continuidad de la organización.

Para cada actividad, por tanto, podremos tener no una única tupla <tiempo de recuperación, nivel de funcionamiento de la actividad> cuyo incumplimiento tenga un impacto grave sobre la continuidad de la organización, sino también un conjunto de tuplas que recorrerán el nivel de funcionamiento de la actividad desde la tasa de actividad mínima imprescindible (40% en nuestro caso) hasta el 100%, estableciendo para cada uno de ellos en cuánto tiempo como máximo debemos alcanzar dicho nivel de funcionamiento de la actividad. Esto puede conducir a una gráfica como la indicada a continuación, donde existen cuatro hitos de funcionamiento que deben cumplirse, establecidos en el 40%, 50%, 60%, 80% y 100%, en unos tiempos máximos de 8 horas, 1 semana, 2 semanas, 1 mes y 1 mes y medio, respectivamente (naturalmente, la evolución entre hitos no tiene porque seguir una línea recta, sino que puede tomar otras formas). Nótese que la variable impacto no aparece en la gráfico al mantenerse constante.

Afortunadamente, este no es el caso común, ya que incorpora un nivel de complejidad no desdeñable y si resulta de por sí complicado establecer un porcentaje mínimo para el caso inicial (post-crisis), determinar porcentajes ulteriores es algo sólo para organizaciones con sistemas de gestión de la continuidad muy maduros y con criterios de actividad que permitan fácilmente establecer dichos porcentajes.

Veamos un ejemplo adicional que resume los parámetros vistos hasta ahora. En la imagen inferior, la organización ha determinado que el nivel mínimo de servicio para la actividad “A” es del 50%. Es decir, mientras la actividad se mantenga por debajo de este valor, existe riesgo para la continuidad de la organización.

La imagen muestra que a las 4h comienza la degradación de la actividad “A” (véase 1), alcanzando su parada total a las 5h. A las 10h la actividad se ha recuperado un 10%, un 30% a las 12h y un 50% a las 14h, momento en el que se alcanza el nivel mínimo tolerable de funcionamiento de la actividad (véase 3). Como en este caso, si todo ha ido bien (y de no ser así la gráfica sería diferente), el tiempo transcurrido hasta entonces (véase 2) será menor que el MTPD; de lo contrario, si el análisis realizado es correcto, la organización se enfrenta a problemas de extrema gravedad que pueden poner en riesgo su continuidad. Los puntos 4 y 5 de la gráfica muestran el tiempo transcurrido hasta la vuelta a la situación normal y el momento en el que éste se produce (22h).

Nótese que, en el ejemplo mostrado, si el tiempo transcurrido hasta alcanzar el umbral mínimo de funcionamiento de la actividad (establecido en 50%) es mayor que el MTPD pero aun así “no pasa nada“, pueden haberse establecido tiempos demasiado restrictivos, lo que puede generar varios efectos indeseados. Por un lado, estamos trasladando una presión innecesaria a la organización y a los equipos de recuperación, que en aras de cumplir con los tiempos establecidos pueden reducir la calidad del servicio de otras actividades, o incluso detener actividades que no se consideren críticas, todo ello sin necesidad.

Por otro lado, pueden tomarse decisiones desencadenadas por una situación de crisis “menos grave de lo real”, que afecten a otras áreas o impliquen una pérdida de servicio o de datos adicional (conmutar con un centro de respaldo, recuperar de cinta, etc.). Por último, puede generarse un efecto “Pedro y el lobo”: si tras varios incidentes en los que sistemáticamente se superan los tiempos máximos no hay ninguna consecuencia, puede ocurrir que los equipos de recuperación se relajen y/o el plan de continuidad de negocio pierda su “autoridad”, lo que hará que no haya un referente temporal claro para la recuperación y que tarde o temprano la recuperación no cumpla los objetivos y entonces “sí pase algo”.

Por tanto, es de vital importancia que los tiempos y umbrales de actividad que contiene el BIA reflejen en la medida de lo posible la realidad, sin entrar en umbrales irracionales pero tampoco relajando demasiado la recuperación. Hay que tener en cuenta que determinar cuándo la parada de una actividad puede poner en riesgo grave la continuidad del negocio no es para nada una tarea fácil; no sería la primera vez que un responsable establece que la actividad X no puede estar detenida más de N horas y tras algunas averiguaciones sale a la luz que el mes pasado estuvo detenida N*2 horas por una caída del suministro eléctrico sin que hubiese ningún efecto.

Hasta aquí la teoría, que dentro de lo razonable resulta no excesivamente complicada. Ahora bien, entrados en faena, la cosa se complica y surgen diversas preguntas: ¿quién y cómo debe determinar los tiempos de recuperación? ¿Cómo (narices) se determina el umbral mínimo de recuperación de una actividad? ¿Cómo establecemos tiempos de recuperación razonables y realistas al mismo tiempo? ¿Qué relación deben tener los tiempos de recuperación con el Análisis de Riesgos?

En otro orden de cosas, ¿qué nivel de detalle debe contener cada actividad? ¿Cómo medimos los impactos de interrupción a través del tiempo y cómo se relacionan estos con el Análisis de Riesgos? ¿Qué debe considerarse como una dependencia?

Todo esto y algo más, en la siguiente entrada. Siéntanse libres de comentar, preguntar y rectificar.

[Sobre el autor]

Continuidad de Negocio: Análisis de Impacto sobre el Negocio: tiempos (I)

Como seguramente sepan, desde hace poco más de un mes tenemos la suerte de contar con una nueva norma ISO relacionada con la Continuidad de Negocio, concretamente la norma ISO 22301:2012, Societal Security – Business continuity management systems – Requirements. Como ya pasó con la norma BS 7799 y la norma ISO 27001, y es que estos británicos en temas normativos nos sacan un cuerpo y dos cabezas a todos, esta nueva norma toma como referencia a la BS 25999:2, Specification, aunque introduce algunas diferencias que pueden ver en esta infografía del blog de Dejan Kosutic.

Tras esta norma, es de esperar que en algunos meses sea publicada la guía de implantación, la norma ISO/DIS 22313, Societal security – Business continuity management systems – Guidance, correspondiente a la norma BS 25999-1, Code of practice. Actualmente está en estado Under development, fase “Enquiry stage / Close of voting“. Teniendo en cuenta que a la ISO 22301 se le esperaba hace ya algunos meses, no sería raro que esta nueva norma se publique ya bien entrado el 2013; hasta entonces, siempre nos quedarán los británicos y su excelente BS 25999-1.

Tras esta no tan breve introducción, que sirve para poner en contexto, la intención de esta serie de entradas es arrojar algo de luz sobre la continuidad de negocio, para lo que vamos a comenzar en esta entrada saltándonos los preliminares (algo que suele ser una mala costumbre) y pasando directamente al Análisis de Impacto sobre el Negocio (Business Impact Analysis) o BIA, por sus siglas en inglés. Para ello me basaré en la ISO 22301 recientemente publicada y en la norma británica. Más adelante veremos otros aspectos de la continuidad de negocio, desde un resumen de todos los elementos de la norma a los aspectos destacables de cada uno de ellos, así como a la relación entre el BIA y el Análisis de Riesgos, que siempre he encontrado poco desarrollada. Vamos pues con el Análisis de Impacto sobre el Negocio.

Si leemos el punto 8.2.2 Business Impact Analysis de la ISO 22301, este indica (traducción libre y resumida) que la organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para establecer las prioridades y objetivos (en el sentido de hitos y también de targets) de continuidad y recuperación, así como evaluar los impactos de aquellas actividades que pueden interferir sobre la continuidad de los procesos (disrupting activities según la norma). Para cada actividad, el BIA deberá contener (al menos):

a) Un listado de las actividades que sostienen el suministro de productos y servicios,

b) el impacto a través del tiempo que tiene sobre la organización la interrupción de las actividades indicadas previamente,

c) los tiempos de recuperación (o puesta en marcha) de las actividades identificadas en a) en unas condiciones mínimas aceptables, teniendo en cuenta los tiempos de recuperación en los que el impacto de la interrupción se vuelve inaceptable para la organización, y

d) las dependencias de los procesos con proveedores, clientes, socios y otras terceras partes.

En definitiva, el principal resultado que debemos obtener tras la elaboración del BIA es un listado de procesos de negocio priorizados según sus tiempos requeridos de recuperación, los impactos de su interrupción y con las dependencias relevantes de otros elementos internos o externos a la organización. Vamos hoy con los tiempos, punto c) de la lista anterior.

Entenderemos el tiempo requerido de recuperación como aquel a partir del cual la interrupción de la actividad tiene un impacto grave para la continuidad del negocio. Como veremos a continuación, la relación entre el impacto y el tiempo sigue en general un modelo donde existe una fase inicial lineal con un punto en el que el impacto se incrementa de manera brusca. Aunque uno puede tender a pensar que este punto debe corresponderse con el impacto máximo tolerable, en realidad no es así y el punto crítico puede situarse en la fase de correspondencia lineal. Veamos un par de ejemplos.

En primer lugar tenemos el ejemplo de un proceso de inyección de plásticos; en caso de parada de una línea de inyección (por un problema de suministro eléctrico, incidencia mecánica, etc.) se dispone de un tiempo limitado para volver al funcionamiento normal antes de que el plástico se endurezca; si la incidencia se resuelve antes de que las toberas se obstruyan, el impacto es lineal: una pérdida de producción dependiente del tiempo. Pero si el tiempo de la parada es suficiente para que el plástico se endurezca, esto obligaría a una parada total para proceder a la limpieza de las toberas antes de retomar la actividad con normalidad, que forzaría una parada mayor incluso después de haberse restablecido las condiciones normales de operación.

En el otro caso tendríamos un almacén de expedición; si en una hora salen 10 unidades, podemos asumir que el impacto tras X horas de parada es 10*X, y esa relación puede mantenerse lineal durante mucho tiempo (no obstante, llegará un momento en el que la parada del proceso comienza a afectar a otras áreas de la organización y la relación tiempo/impacto comenzará a variar).

Veamos ahora un par de gráficas. En la primera, el impacto límite es de 50.000 €. Como podemos ver, la actividad 3, con un ratio de empeoramiento muy superior al de las otras actividades, alcanza dicho punto aproximadamente a las 15 horas del incidente, mientras que las actividades 1 y 2 lo hacen a las 55 horas y 35 horas respectivamente.

Aparentemente, a la vista de la curva la actividad 3 se consideraría más crítica que las actividades 1 y 2, dado que alcanza el punto crítico mucho antes. No obstante, si asumimos ahora un impacto grave mucho menor, en torno a 7.000 €, la situación cambia como podemos observar en la siguiente gráfica. A pesar de que la curva de la actividad 3 tiene un ratio de empeoramiento superior al de la actividad 2, ésta, siguiendo un modelo mucho más lineal, alcanza el punto crítico una hora antes y de hecho durante las 8 primeras horas el impacto de la interrupción de la actividad 2 es superior al de la actividad 3.

Por tanto, la evolución de una actividad interrumpida vendrá determinada por dos características: una fase inicial en la que la relación se mantiene cercana a un modelo lineal, seguida de un modelo más similar a una curva exponencial que representa la aceleración del impacto, seguida por una fase final de estabilización. Este modelo corresponde a la curva logística y podemos reinterpretar las gráficas anteriores, es decir, cada tipo de evolución frente a contigencias, como resultado de una mera cuestión de escala.

A partir de esto, la criticidad de una actividad vendrá determinada por lo rápido que ésta alcance el impacto crítico con independencia del modelo que siga. No obstante, el modelo tiene gran importancia ya que determina tanto la respuesta que se debe prever ante una contingencia como el margen de error tolerable al establecer los tiempos de recuperación objetivo. Por ejemplo, tomemos la segunda gráfica vista anteriormente. Aunque el impacto crítico (7.000 €) se alcanza antes cuando la actividad 2 se detiene que cuando lo hace la actividad 3 y por tanto la actividad 2 debe considerarse más crítica que la actividad 3, un error o retraso en la aplicación de las medidas de resolución de la contingencia puede tener efectos muy diferentes en uno y otro caso. En el caso de la actividad 2, teóricamente más crítica, un retraso de 5 horas en la recuperación de la actividad tendría un impacto adicional de 6.000 €, mientras que si esto sucede en la actividad 3, el impacto sería de 25.000 €.

De la misma manera, si el impacto crítico ha sido sobreestimado y es en realidad de 11.000 €, la actividad 3, teóricamente menos crítica, alcanzará ese impacto sólo 1 hora después que en el caso inicial cuando el impacto era de 7.000 €, mientras que la actividad 2, en principio más crítica, lo alcanzará 3 horas después.

Es por tanto de vital importancia conocer no sólo el punto crítico, sino en qué medida evoluciona un proceso o actividad tras una contingencia.

Espero que les haya parecido interesante; siéntanse libres de preguntar, rectificar o comentar. En la siguiente entrada continuaremos hablando de los otros aspectos temporales a tener en cuenta en la elaboración del BIA.

(Gracias a Óscar Navarro por su ayuda con los ejemplos de entornos industriales y su colaboración en otros puntos de la entrada)

[Sobre el autor]

Un móvil vacío y una red llena de contenido

Si recuerdan, hace ya unos meses estuvimos en el encuentro de blogueros que tuvo lugar en el marco del 5ENISE (el vídeo de la sesión está disponible), donde aparte de una exposición de puntos de vista sobre diversos temas relacionados con la seguridad, tuvo lugar un interesante intercambio de opiniones entre Yago Jesús, Dabo, Sergio de los Santos, José Selvi y un servidor, a colación de la importancia de la concienciación en materia de seguridad de la información.

Aunque es evidente que la concienciación por sí sola no es la cura a todos los males del mundo (y tampoco desde luego de los relacionados con la seguridad TIC), tampoco estoy de acuerdo en que, como defendía Yago, un euro invertido en concienciar a los usuarios sea un euro perdido. De hecho, si pusiésemos una línea que representase el ROI de cada euro invertido en concienciación, me sitúo bastante más cerca del 100% que del 0%. Aunque se trata de planteamientos a largo plazo, ejemplos como la utilización del cinturón de seguridad o el hecho de que tirar papeles al suelo sea una “costumbre” afortunadamente en fase de desaparición (gracias a Borja Merino, @borjamerino por este ejemplo) son muestras reales de que la inversión en concienciación es un proceso lento pero que rinde beneficios.

Tras esta no tan breve introducción, hoy traemos una entrada de un colaborador que desea permanecer en el anonimato, que firma como Mamadeo y que evidencia lo mucho que nos queda por trabajar en este campo, tanto con los menores, como con los no tan menores; seguro que si lo piensan un poco, encontrarán muchas personas que hacen lo mismo que el niño protagonista de la historia: al mismo tiempo que comparten sus aventuras y desventuras en las redes sociales con amigos, conocidos y desconocidos, luego son muy celosos de su vida privada en “el Mundo Real”. Esperamos que les guste.

[Read more…]

Cesión de información a la Agencia Tributaria

La semana pasada un conocido, propietario de una inmobiliaria, me comentaba que una persona de la Agencia Tributaria se había personado en su oficina para solicitarle mediante carta que le proporcionase los datos de personas que tenían en aquel momento una propiedad a la venta, concretamente el Nombre y apellidos y NIF, además de algunos datos sobre las propiedades a la venta. Ante esta situación, esta persona me preguntaba si debía, de acuerdo a la LOPD, entregar esos datos a la Agencia Tributaria o no.

En este sentido, aunque la cesión o comunicación de datos entre el Responsable del Tratamiento y una tercera parte requiere el consentimiento del afectado, la LOPD tiene varios supuestos que eximen de este consentimiento. En nuestro caso y como veremos después, es aplicable el artículo 11.2 a) de la LOPD o el 10.2 a) del RDLOPD, algo más detallado y que recogemos a continuación:


Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.
[…]

2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

Así pues, lo que debemos ver ahora es si efectivamente existe una ley que ampara dicha cesión. Tal y como se recoge en la carta que recoge el requerimiento de información, la solicitud de información de la Agencia Tributaria está amparado en el artículo 93 de la Ley General Tributaria, concretamente los puntos 1, 2 y 5, y el artículo 94.5. Ambos se reproducen a continuación:


Artículo 93. Obligaciones de información.

1. Las personas físicas o jurídicas, públicas o privadas, así como las entidades mencionadas en el apartado 4 del artículo 35 de esta Ley, estarán obligadas a proporcionar a la Administración tributaria toda clase de datos, informes, antecedentes y justificantes con trascendencia tributaria relacionados con el cumplimiento de sus propias obligaciones tributarias o deducidos de sus relaciones económicas, profesionales o financieras con otras personas.

2. Las obligaciones a las que se refiere el apartado anterior deberán cumplirse con carácter general en la forma y plazos que reglamentariamente se determinen, o mediante requerimiento individualizado de la Administración tributaria que podrá efectuarse en cualquier momento posterior a la realización de las operaciones relacionadas con los datos o antecedentes requeridos.

[…]

5. La obligación de los demás profesionales [aquellos que nos son funcionarios públicos, incluidos los profesionales oficiales] de facilitar información con trascendencia tributaria a la Administración tributaria no alcanzará a los datos privados no patrimoniales que conozcan por razón del ejercicio de su actividad, cuya revelación atente al honor o a la intimidad personal y familiar de las personas. Tampoco alcanzará a aquellos datos confidenciales de sus clientes de los que tengan conocimiento como consecuencia de la prestación de servicios profesionales de asesoramiento o defensa.

Artículo 94. Autoridades sometidas al deber de informar y colaborar.

[…]

5. La cesión de datos de carácter personal que se deba efectuar a la Administración tributaria conforme a lo dispuesto en el artículo anterior, en los apartados anteriores de este artículo o en otra norma de rango legal, no requerirá el consentimiento del afectado. En este ámbito no será de aplicación lo dispuesto en el apartado 1 del artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por tanto, ahora cabe entrar a determinar si el nombre y apellidos, NIF y datos de las propiedades puestas a la venta o el alquiler son datos de trascendencia tributaria. Aunque la finalidad de la cesión de datos no la conocemos, es razonable asumir que entre otras posibles, esta petición tiene como objetivo cruzar los datos de propietarios con la información que éstos han proporcionado a la Agencia Tributaria, datos del catastro, para la detección de posibles fraudes. Siendo así, tanto el nombre, apellidos y NIF como la información de los inmuebles serían datos de trascendencia tributaria ya que son vitales para el procedimiento.

Existen de hecho un par de resoluciones de la Agencia de Protección de Datos muy similares a este caso, y en ambos casos se determina que la cesión está amparada por el artículo 11.2 a) de la LOPD:

En definitiva, cabe concluir que la cesión de esos datos está amparada en el artículo citado.

¿Son las redes sociales nocivas para los niños?

Como muchos de vosotros sabréis hay un ámbito de la seguridad que nos preocupa especialmente y es el que concierne a los más pequeños. Como en muchos otros aspectos ellos son los más vulnerables al uso (y abuso) que se pueda hacer de la tecnología. Por la exposición que supone y por la vulnerabilidad a la que pueden estar sometidos lanzamos hace un tiempo Hijos Digitales, un blog donde intentamos enseñar a los más mayores y a los más pequeños a convivir tecnológicamente.

Dentro de esta línea nos gusta participar, en la medida de lo posible, en aquellos foros que nos permitan dar visibilidad a esta inquietud, sin alarmismo pero siendo totalmente realista. En este sentido hoy vamos a analizar la amenaza, real o potencial, que puedan llegar a ser las redes sociales para los menores, y lo haremos en la mesa redonda que tendrá lugar hoy de 13h a 14:15h en el Café Comercial de Madrid, situado en la Glorieta de Bilbao.

Además de José Miguel Rosell, socio director de S2 Grupo y (como no podía ser de otra manera) autor habitual de Security Art Work, en el encuentro participarán Enrique Rodríguez Martín, Inspector Jefe y Jefe de la sección operativa de la 1º Brigada de Investigación Tecnológica, Alberto Herrero, profesor de PRIMARIA del colegio Humanitas Bilingual School Torrejón, Ana Martinez Masson, Psicopedagoga y responsable del departamento de Educación de misait.com, la primera red social en castellano para niños de entre 6 y 12 años, y Rosa Jiménez Cano, periodista de El País especializada en redes sociales y de TIC.

Si les parece interesante, les esperamos, confiando que resulte un intercambio enriquecedor en el que podamos aportar nuestra visión desde el ámbito de la seguridad más profesional, a un entorno con el que todos, nosotros y nuestros hijos, nos relacionamos a diario.

(Tal y como comentan en la página de la tertulia, el evento es gratuito y público, pero con aforo limitado, por lo que se recomienda confirmar la plaza mandando un email con nombre y apellido a aperitivos@universovivo.com)

¿Qué opinas de los congresos, jornadas, seminarios… de seguridad que actualmente hay en el panorama nacional?

Para hoy tenemos una nueva encuesta, que pueden contestar en esta entrada y en la columna de su derecha. La encuesta dice así:

[poll id=”24″]

Respecto a la encuesta anterior, los resultados se dividen entre los optimistas, que consideran que podremos mantener la privacidad en el futuro siempre que queramos renunciar a ciertos servicios, y los pesimistas, que piensan que hagamos lo que hagamos, es una batalla perdida. Como tercera alternativa, la idea de que la pérdida de la privacidad es algo positivo que es inherente al progreso que incorporan las nuevas tecnologías no parece tener demasiados seguidores, ya sea porque nadie considera en realidad que tal pérdida pueda ser considerado un avance, o porque las otras opciones estaban más definidas.

[poll id=”23″]

¡Esperamos sus respuestas!

Informe sobre Seguridad en Juegos Online 2011

El Informe sobre Seguridad en Juegos Online 2011 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 1.2MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 20 de diciembre.

I Informe sobre el estado de la seguridad en los juegos online

El 79% de los cracks para videojuegos son sospechosos de contener virus.

  • Las copias ilegales y la modificación de las restricciones impuestas por los fabricantes de videojuegos y dispositivos tecnológicos son la principal puerta de entrada de hackers y malware.
  • Más del 50% de los juegos de Android tienen acceso al número de teléfono, 1 de cada 4 tiene permiso para obtener la ubicación del jugador y el 1% puede enviar SMS Premium de coste elevado.
  • S2 Grupo ha realizado su primer estudio sobre la seguridad en los juegos en red para detectar y advertir sobre las principales amenazas que pueden afectar a los usuarios en las diferentes plataformas tecnológicas y sistemas.
  • La compañía ha presentado un Decálogo con consejos básicos para acceder a juegos online de una forma segura.

Valencia 20 de diciembre de 2011.- La empresa de seguridad digital S2 Grupo ha presentado su “I Informe sobre el estado de la seguridad en los juegos online” cuyo objetivo es mostrar la situación del mercado y detectar los principales riesgos a los que se enfrentan los usuarios. En este estudio se han analizado las amenazas y fortalezas de las diferentes plataformas y sistemas operativos desde los que se puede acceder al juego en red, se advierte sobre los principales objetivos de los hackers en la actualidad y se ha incluido un “Decálogo de seguridad en juegos online”.

En Navidad es frecuente regalar videoconsolas y todo tipo de dispositivos tecnológicos desde los que se puede jugar en red con personas de cualquier parte del mundo. Esto puede convertirse en un grave problema si no se toman las medidas necesarias de protección frente a los hackers y el malware (software malicioso como por ejemplo virus, troyanos, gusanos, etc.) que ya ha conseguido llegar a todo tipo de terminales (smartphones, PC, consolas, etc.).

Entre las principales conclusiones del estudio se advierte de que las copias ilegales y la modificación de las restricciones impuestas por los fabricantes de videojuegos y dispositivos son las principales puertas de acceso para la acción de hackers y malware.

Los ordenadores continúan siendo una de las plataformas más utilizadas por los jugadores, donde uno de los principales riesgos que se cometen es la piratería. De un análisis de casi 2.000 cracks utilizados para realizar copias ilegales, un 3% contenían virus y troyanos y el 79% eran sospechosos de estar infectados, con el consiguiente riesgo que conllevan.

Lo mismo ocurre con las videoconsolas. Convertidas en el terminal favorito de los usuarios, la posibilidad de jugar on-line unidas a la modificación de los aparatos y juegos para utilizar copias no originales, las ha situado en una vía para la difusión de acciones maliciosas como malware, control de las máquinas o robo de datos.

En el caso de los juegos para smartphones, el método más usado por hackers es realizar cambios en las aplicaciones para añadirles funcionalidades que les reporten beneficios como obtener sus datos privados o la posibilidad de enviar mensajes SMS Premium que generan un coste alto a los usuarios. Esto es lo que ocurre con Android. Después del análisis de 3.387 juegos, se ha concluido que más del 50% tienen acceso al número de teléfono y al IMEI, casi 1 de cada 4 programas tiene permisos para obtener nuestra ubicación y el 1% de los videojuegos requieren de un permiso para enviar SMS, algo que no debería solicitar. Además, la facilidad para los desarrolladores de modificar las aplicaciones de Android ha propiciado la aparición de “Markets” alternativos. Según el estudio, los juegos descargados de internet son más peligrosos que los oficiales de Android, porque solicitan un porcentaje mayor de permisos considerados peligrosos.

En el caso de iOS, aunque puede presentar alguna vulnerabilidad, es más seguro porque Apple cuenta con un sistema de control del origen de las aplicaciones que prácticamente garantiza la inexistencia de programas maliciosos.

Las redes sociales se han convertido en la plataforma que más malware genera. El caso más representativo es el de Facebook, que gracias a permitir a los desarrolladores publicar juegos, ha conseguido obtener la práctica hegemonía en los juegos sociales. Este carácter social, ha sido aprovechado por el malware para distribuirse de forma viral mediante publicaciones sugerentes hacia los demás usuarios que contienen virus, troyanos y estafas en general.

El mismo desarrollo que han vivido los creadores de videojuegos para aprovechar su presencia en los nuevos dispositivos tecnológicos, lo han realizado los hackers y creadores de malware. Por este motivo, consideramos fundamental realizar anualmente un análisis que muestre las debilidades y fortalezas de cada plataforma de modo que el jugador pueda tomar las precauciones necesarias”, asegura José Rosell, socio-director de S2 Grupo.

Objetivos de los hackers

Actualmente, la acción de los hackers en este sector busca diferentes objetivos que van desde los más inocuos para la seguridad del jugador hasta los más perjudiciales:

  • Recolección y venta de dinero virtual a cambio de dinero real,
  • Robo de cuentas de juego exitosas o de datos personales a través del phishing,
  • Distribución de programas falsos para controlar las máquinas de las víctimas a través de virus o troyanos,
  • Envío de spam a las direcciones de correo obtenidas,
  • Robo del número de las tarjetas de crédito,
  • Control de la máquina del usuario para utilizarla con fines ilícitos,
  • Establecimiento de trampas online para modificar programas y aventajar a sus adversarios, algo que es especialmente grave en el caso de los casinos donde la cantidad de dinero en juego es elevada.

DECÁLOGO DE SEGURIDAD EN JUEGOS ONLINE

Para promover la seguridad tecnológica en todos los ámbitos, concienciar sobre los peligros que existen en este sector y evitar la acción de los atacantes, S2 Grupo ha presentado un Decálogo con 10 consejos básicos para promover un uso seguro del juego en red:

1. Tener un ordenador protegido, no garantiza que los datos del jugador estén seguros.
2. Modificar el sistema operativo de las consolas las convierte en más vulnerables frente al malware.
3. Desactivar las restricciones impuestas por el fabricante de un videojuego, consola u otro dispositivo, elimina sus medidas de protección.
4. Es necesario proteger cada terminal desde el que se tiene acceso a juegos online.
5. Hay que desconfiar de todas las notificaciones recibidas donde se nos inste a introducir nuestro usuario y contraseña.
6. Los juegos descargados de sitios no oficiales son un peligro para la seguridad del jugador, es aconsejable descargarlos de fuentes oficiales.
7. En las redes sociales hay que desconfiar de los mensajes sospechosos que nos envíen los usuarios porque podrían ser un virus.
8. Es muy recomendable tener instalado, tanto en los ordenadores como en los dispositivos móviles, un antivirus.
9. Sólo debe introducirse el número de tarjeta de crédito cuando sea estrictamente necesario.
10. La concienciación en materia de seguridad es muy importante, todos los usuarios son posibles víctimas de ataques.

Informe sobre la Protección de Infraestructuras Críticas en España

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga.

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

[Read more…]