¿Proporcionalidad o desproporcionalidad?

26 de julio de 2007 Por

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede “arreglarse” económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

No obstante, pienso que esta aparente desproporcionalidad en las sanciones contempladas por la LOPD viene motivada no tanto por las consecuencias que se generan de los incumplimientos detectados, sino de la necesidad de concienciar —casi por la fuerza— a las empresas de llevar a cabo una adecuada gestión de los datos de carácter personal. En otras palabras, una multa de 20.000 euros sería asumible por muchas empresas, mientras que una de 300.000 no lo es; se trata de que el riesgo, tomado como la probabilidad de que suceda un determinado evento en relación con el impacto que éste tiene sobre la organización, sea de una magnitud suficiente como para que deba ser tenido en cuenta. Y la manera más sencilla —y única de momento— de hacer esto es incrementar el impacto, puesto que la probabilidad de la que les hablaba viene de momento limitada por la carga de trabajo de la AEPD. No es un secreto, y si lo es, es un secreto a voces, que la Agencia se encuentra totalmente saturada de trabajo y sus intervenciones están motivadas principal, aunque no únicamente, por denuncias de particulares, más que por actuaciones de oficio.

Dejando al margen consideraciones presupuestarias en las que no voy a entrar y que conllevan a su vez otras relativas a la escasez de personal, pienso que es necesario tener en cuenta que a pesar de la importancia de las sanciones, es de suponer que la AEPD conoce el estado actual de la adaptación a la LOPD en las empresas de este país, y las consecuencias que inspecciones masivas podrían tener en el tejido empresarial. Miguel me apunta además que debe tomarse en cuenta como un factor adicional y de importancia que mientras con la muerte de un trabajador una empresa no obtiene ningún beneficio —o eso es de esperar—, con el trasiego de datos de carácter personal muchas empresas hacen el agosto, y no me refiero únicamente a un beneficio directo (léase venta de bases de datos) sino también indirecto (léase realización de campañas comerciales dirigidas). Esto es, sin duda, un punto a favor de la diferencia en el volumen de las multas que aplica la LOPD en relación con otras leyes.

Visto en perspectiva, y a la vista de lo que iba comentando, es cierto que el riesgo de recibir una multa desproporcionada es relativamente bajo para cualquier empresa que tenga un mínimo cuidado y atención a la Ley y a lo que hace (las cláusulas ARCO donde toca y gestionadas como toca, ficheros declarados, Documento de Seguridad, copias de seguridad, etc). Adoptando un planteamiento futurista, me pregunto qué sucedería dentro de unos años si la Agencia, provista de un cuerpo suficiente de inspectores, fuese capaz de abordar inspecciones sectoriales en masa; ¿no creen que esa combinación de impacto y probabilidad generaría, entonces sí, un riesgo totalmente desproporcionado en relación con la violación de otras leyes tanto o más importantes?

Noticias de seguridad (o no)

24 de julio de 2007 Por

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

La tercera noticia a la que hacía referencia en principio es un gran apagón en la ciudad de Barcelona, al parecer causado por la caída de un cable en una central eléctrica. Este apagón ha afectado a buena parte de la ciudad, causando el caos y paralizando parcialmente la actividad en nueve de los diez distritos de la ciudad: problemas circulatorios —no funcionaban los semáforos—, hospitales a oscuras, ferrocarriles detenidos, etc. ¿Qué tiene que ver esto con la seguridad? A primera vista, poco o nada… pero si nos paramos a pensar un poco, podemos plantearnos si sería posible conseguir esto mismo —lo que en este caso vino causado por un accidente— a través de ataques informáticos. En muchos países, en especial del ámbito anglosajón, se ha puesto de moda en los últimos años hablar de Infraestructura Crítica Nacional (los sectores básicos para que un país funcione: energía, finanzas, alimentación, logística…), así como de su protección frente a grandes ataques terroristas de cualquier tipo, tanto físicos —recordemos el 11S— como lógicos.

¿Cómo estamos de preparados en España para afrontar este tipo de amenazas? En opinión de muchos, la probabilidad de que se produzca un ataque ciberterrorista contra el país es mucho menor que la probabilidad de que se produzca un ataque “clásico”, a causa en parte de nuestra historia más reciente. Dicho de otra forma, se considera más probable que una bomba destruya una presa, que el hecho de que los sistemas de control de esa misma presa sean neutralizados a nivel lógico por un tercero. Pero… ¿y si sucede? ¿Estamos preparados? Personalmente, yo —y esto es una opinión, tan buena o mala como cualquier otra— creo que no. Lo que no sé, y me gustaría saber, es si realmente se ha evaluado la amenaza de forma adecuada, o simplemente hemos dicho aquello de “como nunca ha pasado…”. Porque tampoco antes del 11S habíamos pensado que dos aviones podían estrellarse contra los edificios emblemáticos de una ciudad como NY, causando miles de muertos y paralizando por completo a los Estados Unidos, la mayor potencia mundial, y lamentablemente pasó.

Vaya si pasó.

Actualización 11:00h: Para completar el inicio de semana, se ha descubierto una vulnerabilidad grave en Windows que afecta a Microsoft Office e Internet Explorer, para la que no existe en la actualidad parche por parte de Microsoft. Se recomienda por tanto especial cuidado en la apertura de documentos de la suite Microsoft Office (Excel, Power Point, Word, etc.) que no provengan de una fuente fiable, y el acceso a páginas web desconocidas. Como siempre, existe la alternativa de usar Mozilla Firefox y la suite OpenOffice, pero por supuesto, eso queda a elección del lector.

“Conectividad limitada o nula”

23 de julio de 2007 Por

¿Conectividad limitada o nula? Madre mía, pero si tengo el AP en la habitación de al lado…

¿Cuántas veces hemos tenido que deambular por la casa portátil en mano alejándonos de zonas de sombra de cobertura, buscando incrementar la señal? Sí, bueno, ya se lo que pensaréis, ese escenario es ligeramente diferente al primero, ya que puede que el Access Point en cuestión no se encuentre en nuestra casa. Pues bien, hablando de cobertura, el profesor Ermanno Pietrosemoli de la escuela latinoamericana de Redes ha batido el récord, este mes pasado, de cobertura WiFi. Nada más y nada menos que ha conseguido establecer una conexión direccional a 382 Kilómetros de distancia, con un ancho de banda de 3 Mb en ambos sentidos, superando el antiguo récord establecido en 310 Km.

Esta tecnología aplicada a largas distancia no es tan robusta como podría ser WiMax, pero… ¿alguien sabe cuanto cuesta una torre WiMax? (creo que en ebay hay alguna de segunda mano). Así pues WiFi puede ser una solución a coberturas de larga distancia que requieran un ancho de banda limitado, y aquí tenemos la prueba. Eso sí, los problemas que pueden suponer alinear correctamente las antenas, los obstáculos en visión directa o la propia curvatura de la Tierra dificultan “bastante” el despliegue.

Y además 382 km dan mucho espacio para poner un sniffer.

Hola, buenos días y bienvenidos

20 de julio de 2007 Por

Hace unas cuantas semanas, a raíz del documental de Michael Moore contra el sistema sanitario norteamericano, alguien en Google descubrió que tener un blog en el que representas a tu empresa implica que no siempre puedes decir lo que quieres, y menos si tu blog lleva por descripción “News and Notes from Google’s Health Advertising Team“. En este caso en concreto, Lauren Turner tuvo incluso que dar marcha atrás y matizar sus palabras, aunque a la vista del revuelo que se levantó no parece que las palabras que escogió para hacerlo fuesen las mejores. También es cierto que no deja de ser sospechoso que en un blog que es a todas luces corporativo aparezca algo que parece ser una opinión personal, así que personalmente me inclino más por un globo sonda de Google y una rectificación simulada que por un error real; es decir, una forma de publicitar sus poco populares prácticas sin que tal anuncio parezca venir oficialmente de Google. Recordemos que no estamos hablando del blog de Lauren Turner que casualmente trabaja en Google, sino más bien al contrario: el blog del equipo de Google encargado de publicidad relacionada con cuestiones de salud, en el que casualmente escribe Lauren Turner.

Bien, a estas alturas probablemente estén ustedes desconcertados. Lo anterior puede resultar muy interesante o no, y aunque Google es una mina en asuntos de privacidad con tal de rascar un poco la superficie, lo anterior no viene a tener nada que ver con la seguridad, o al menos no desde ningún punto de vista que yo reconozca. A pesar de ello, me pareció una manera interesante de empezar la entrada con la que presentar esta bitácora, porque si nos hubiesen seguido ustedes desde el principio, se habrían dado cuenta de que no hubo presentación oficial ni inaguración; únicamente una frase en aquella primera entrada que la posponía.

Así pues, he pensado que antes de que se vayan ustedes de vacaciones, no estaría de más hacer esa presentación algo más formal, o al menos informativa, que teníamos pendiente. Para empezar, les diré que sí, que este es un blog de S2 Grupo, en el sentido que todo lo que aquí se expresa se hace en representación de S2 Grupo, yo lo sé y todas las personas que emiten su opinión o sus impresiones lo saben. Pero al mismo tiempo, les aseguro que no, este no es un blog “dirigido” por S2 Grupo, en el sentido de que las entradas no siguen una línea predefinida, estudiada e impuesta desde la dirección, más allá de las temáticas relacionadas con la seguridad o los sistemas de información. En otras palabras, teniendo el debido cuidado, puede hablar uno de lo que quiera; casi de la misma manera que en un blog personal; nadie, excepto algún desaprensivo con demasiadas ansias de publicidad y audiencia, cuelga los trapos sucios de los amigos y la familia a los ojos del mundo, y nosotros no somos ese tipo de gente.

Cuando hace algunos meses se propuso la creación de un blog de seguridad, reconozco que la idea me entusiasmó. Llevo escribiendo en mi blog personal algo menos de cuatro años, y creo, aunque no a pies juntillas y de forma incondicional como mucha gente en esto del dospuntocero, que las bitácoras son una forma fantástica bastante buena no únicamente de darse a conocer, sino también de interactuar con otros profesionales interesados, en este caso, en la seguridad, sea del tipo que sea; quizá esa confianza algo menos que ciega en todo esto, y la experiencia acumulada, fuesen las razones de que se me “nombrase” responsable de esto que están leyendo y la principal de que esté aquí escribiendo esto.

Para acabar, les voy a ahorrar el chorro estadístico de datos, por escaso y tedioso. Sólo les diré que cuando empezamos hace ya casi tres meses no teníamos —lógicamente— ningún lector, más que a mí mismo, que no cuenta. En la actualidad tenemos una media de unos veinte lectores diarios más los veintitantos que entran a través del feed (aunque ambos medios no sean mutuamente excluyentes). Algunos de ustedes son clientes nuestros, otros no. No tengo dudas de que hay muchas cosas por mejorar, empezando por la frecuencia de actualización que quizá no sea la mejor (y esto es un guiño a mis compañeros), pero al menos les prometo que en lo sucesivo intentaremos incrementarla, con la esperanza no sólo de tener nuevos lectores sino de conservar los que ya tenemos.

En cualquier caso, como les dije en aquel primer post, bienvenidos.

Breves

16 de julio de 2007 Por

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

La convergencia de las “seguridades”

12 de julio de 2007 Por

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre “seguridades”: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las “seguridades” particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como “la gente de pistola en mano”, y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

El cambio climático (o esta vez, quizá no)

5 de julio de 2007 Por

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático”. No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

Desde siempre, uno de los inhibidores importantes del uso de las TIC en la sociedad ha sido la desconfianza en el medio, promovida en muchas ocasiones por el desconocimiento, las leyendas urbanas y en definitiva por la falta de formación e información, y es que en mi opinión uno de los puntos débiles de las organizaciones grandes y pequeñas, pero sobre todo de las grandes, es la formación y concienciación en materia de seguridad. Pero no hay manera de que se tome en serio este problema en las organizaciones. Es francamente difícil y cuesta mucho, a pesar de ser la única manera de que podamos avanzar “hacia una cultura de la seguridad”.

Si no abordamos el problema de frente acabaremos, como sociedad, o no haciendo un uso adecuado de los medios disponibles y perdiendo puestos en el ranking de la productividad, o sufriendo incidentes de seguridad. Cualquiera de los dos caminos es malo, muy malo, y no creo que en este caso podamos culpar de sus consecuencias al cambio climático, sino a una falta de visión o de responsabilidad social, o simplemente a una falta de interés o presupuesto.

¿No creen ustedes que es ya el momento de afrontar nuestras responsabilidades como organizaciones y como individuos en la formación y concienciación en materia de seguridad de la información? No podemos seguir mirando hacia otro sitio y culpando al cambio climático o al gobierno por el desconocimiento generalizado en asuntos tan importantes como estos, y les aseguro que no es habitual que una asignatura troncal como esta se aborde con los esfuerzos mínimos necesarios… y como en anteriores casos, a las pruebas me remito.

Pero no se preocupen que volveremos a hablar del cambio climático como culpable por excelencia de (casi) todo…

Todo lo que digan podrá ser…

2 de julio de 2007 Por

He de reconocer que en esto de los datos de carácter personal, entre los que podemos incluir fotos, videos o comentarios que pueden dar información sobre ideología, tendencias sexuales o el perfil psicológico propio, Internet da un poco de respeto. Y no me refiero a aquellos casos en los que alguien se convierte, como suele decirse, sin comerlo ni beberlo, en una estrella, con todos los problemas que eso supone. Recientemente una adolescente pertiguista estadounidense —si la memoria no me falla— tuvo el dudoso privilegio de convertirse en un ídolo de masas/sexual no precisamente por sus logros deportivos; saber que millones de personas tienen acceso a tus fotos y que entre ellas seguramente hay más de un tarado hurgando en tu intimidad es algo no demasiado reconfortante.

No obstante, este tipo de cosas vienen a estar fuera del control de la “víctima”, y como en otras muchas situaciones, eso es algo que hay que asumir e intentar evitar en la medida de lo posible. Otro problema muy diferente es cuando es uno mismo el que pone a disposición del ciberespacio fotos, opiniones, o datos personales en lugares sobre los que probablemente no tiene ningún tipo de control, tales como foros, las USENET news, buscadores poco escrupulosos, o incluso Google (recomiendo a título personal el uso de «”META NAME=”ROBOTS” CONTENT=”NOARCHIVE”» en la cabecera de los sitios personales, para evitar el almacenamiento en caché en los buscadores más conocidos), y que en un futuro podría no ser capaz de eliminar. Mucha gente —incluído un servidor— ha vertido datos y opiniones poco reflexionadas y de forma menos que apropiada en diversos lugares de Internet, llevado por las hormonas juveniles —o no tan juveniles—, provocaciones ajenas, la defensa de sus propias ideas más allá de lo lógico para la relevancia del foro en cuestión, la pura y simple diversión, o por el mero hecho de levantarse con el pie izquierdo; conseguir el borrado de todo ese contenido de todos esos sistemas, en caso de ser posible, puede llevar un tiempo y esfuerzo nada despreciables. Quizá alguien piense que a medida que la Red se hace grande, unos contenidos dejarán de existir, que simplemente se borrarán, pero en mi opinión, yo no contaría con ello.

En la actualidad, salta un escándalo cuando algún periodista con mejor o peor intención rastrea entre los archivos históricos buscando algo que alguien dijo sobre algo que tal o cual personaje público hizo, dijo, o dijo que hizo hace veinte años. Quizá en el futuro no haga falta rastrear tanto, sino dedicar diez minutos en un par de buscadores, y ver que el propio interesado lo dijo en un foro de Internet, lo repitió en diez más, escribió un blog y lo comento en un centenar más, y para colmo de males, colgó una docena de videos donde sale él mismo haciéndolo. Así que, si me aceptan un consejo, tengan cuidado con lo que dicen o muestran por ahí. Como dice el título de esta entrada, todo lo que digan podrá ser utilizado en su contra…

Por su seguridad: aprenda inglés

28 de junio de 2007 Por

Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

En otras palabras, y acabando de aplicar terminología de seguridad informática al mundo físico, si dedicamos recursos tanto humanos como económicos a instalar y revisar controles que reduzcan el riesgo e incrementen la seguridad de las personas, ¿qué sentido tiene que esas personas no sepan cómo hacer uso de ellos llegado un potencial problema de seguridad?

La Caida de las Fronteras Digitales

25 de junio de 2007 Por

Cuando hace ya algunos años empecé a trabajar era fácil, muy fácil, determinar la frontera de las redes de la organización donde estaba. Si la empresa era industrial, como es mi caso, a principios de los años 90 la red se circunscribía a la del área financiera y a la de diseño o ingeniería que, por supuesto, en aquella época, eran totalmente independientes sin posibilidad de conexión conocida por mí. Era una red de un sistema 36 y una red de un sistema de CAD/CAM bastante grande del sector Naval, FORAN, que funcionaba sobre máquinas DIGITAL y con una LAN basada en el difunto DECNET.

Unos pocos años han pasado, 17, -tampoco son tantos- y ya en su día participé en la unión de las dos redes referidas, la red del entonces AS400 con la red del DIGITAL y la red del incipiente “Windows para trabajo en grupo”. Sin saberlo, asistí, desde un lugar preferente, a mi primera caída formal de una frontera digital, la frontera que separaba el mundo contable del técnico en una organización industrial. Las caídas de fronteras digitales se han sucedido desde entonces hasta llegar al punto en el que estamos en el que realmente creo que ya casi no quedan fronteras digitales, salvo que las que nosotros mismos creamos con nuestras políticas de seguridad.

Si el mundo real se ha convertido en un mundo global es principalmente porque el mundo digital nos lo ha facilitado y, para eso y, por eso, han tenido que desaparecer las fronteras. La caída de las fronteras digitales es uno de los aspectos que justifican la importancia actual del diseño de políticas de seguridad globales, hoilísticas.

Seguro que la mayor parte de ustedes, directa o indirectamente, han asistido, en primera línea, a la caída de una frontera digital natural. En mi opinión “todas” las caídas de fronteras tienen alguna lección oculta que, los que trabajamos en seguridad, debemos aprender.

Les animo a ustedes a compartir su experiencia particular en la caída de una frontera digital que hayan presenciado. Creo sinceramente que compartir y comentar con terceros estas experiencias puede hacer que todos juntos aprendamos alguna lección oculta.