La seguridad informática en la nueva Ley de Seguridad Privada

La nueva Ley de seguridad privada, publicada hoy en el BOE, y que entrará en vigor dentro de dos meses, contiene dos definiciones de seguridad informática.

En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.

En dicho artículo se establece que, a las empresas que se dediquen a las actividades de seguridad informática se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten. El legislador justifica esta regulación por la incidencia directa de estos servicios en la seguridad de las entidades públicas y privadas.

Las empresas que realicen actividades de seguridad informática deberán anotar sus datos en el Registro Nacional de Seguridad Privada y en los registros autonómicos, de acuerdo con lo que reglamentariamente se determine.

Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:

  1. Conjunto de medidas
  2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
  3. A fin de garantizar la confidencialidad, integridad y disponibilidad
  4. De la información en ellos contenida
  5. O del servicio que dichos sistemas prestan

Es importante reseñar que el artículo 57 establece como infracción muy grave, con sanciones de hasta 600.000 euros, la falta de comunicación por parte de las empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir del 5 de junio de 2014 deberán cumplir todas las exigencias y requisitos establecidos en la Ley de seguridad privada y en su normativa de desarrollo.

Queda por lo tanto pendiente el desarrollo reglamentario, que deberá tener lugar antes de la fecha de entrada en vigor de la ley, para posibilitar el cumplimiento de los requisitos que serán obligatorios a partir de dicha fecha.

 

Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales

1. La privatización de los dispositivos móviles

Si hasta ahora los CIOs y los CISOs tenían que lidiar con el uso privado de los dispositivos corporativos por parte de los usuarios, ahora tienen que hacer frente al uso corporativo de los dispositivos privados, mucho más potentes y versátiles que los que la empresa pone a su disposición.

¿Qué genera más riesgo para una empresa? ¿Que el usuario instale la aplicación de Facebook en la BlackBerry corporativa o que sus hijos jueguen con el iPhone o el iPad privado con aplicaciones y datos corporativos?

La conclusión a la que han llegado muchas empresas es que el mayor riesgo radica en que el usuario corporativo no haga ni una cosa ni otra, es decir, que esté desconectado de la empresa y desaproveche el potencial de sus aplicaciones y comunicaciones para su trabajo. Por ello un buen número de empresas han decidido aceptar que el usuario utilice su propio dispositivo móvil para fines corporativos.

Esta es la tendencia que se esconde tras las siglas BYOD (Bring Your Own Device), que invitan al usuario a llevar su propio dispositivo móvil a la empresa. Esta estrategia se suma a otra que recibe el nombre de “consumerización” y que consiste en que la empresa integra como propios dispositivos diseñados para el consumidor final.

2. La entrada de los nativos digitales en las empresas

Las empresas son conscientes de que será muy difícil eliminar los hábitos de comunicación, multitarea, mensajería instantánea, trabajo en grupo y networking adquiridos por los nativos digitales, intentando que se adapten a aplicaciones que consideran obsoletas y aburridas.

Pero lo más difícil será pedirles que se olviden de sus preciados smartphones. La primera pregunta que harán cuando reciban su dispositivo móvil corporativo será: ¿Dónde están mi Facebook y mis amigos?

Las empresas tendrán que aceptar que sus usuarios tengan dos dispositivos móviles o apostar por la alternativa de integrar las aplicaciones corporativas en los smartphones privados de los usuarios. Y si la empresa no los seduce con sus aplicaciones, los usuarios pueden llegar a comunicarse más entre ellos con redes y entornos externos que con el correo corporativo.

Cisco ha reconocido recientemente que el secreto está en los contenidos y en la aplicaciones que entusiasman a los usuarios de las redes digitales. En julio de 2010 lanzó Cius, un tablet destinado a usos corporativos que cumplía los estándares de seguridad más habituales en las empresas y ofrecía compatibilidad con los protocolos de videoconferencia y los entornos de colaboración corporativos. Antes de cumplir los dos años de vida, Cisco anunció la retirada de este tablet del mercado, siguiendo el mismo camino que han seguido o seguirán otros fabricantes de dispositivos móviles que no responden al criterio dominante de consumo de contenidos, uso aplicaciones y acceso a redes sociales.

Ante la irrupción de los Android, los iPhone y los iPad en los entornos corporativos, la conclusión parece ser que, si la empresa no ayuda a sus usuarios a tratar datos corporativos en estos dispositivos con la debida seguridad, acabarán tratándolos igualmente de forma no segura creando situaciones de riesgo.

3. Normas técnicas y de seguridad

Una de las primeras medidas que deberán adoptar las empresas será incluir en sus políticas, los requisitos técnicos y de seguridad que deberán cumplir los dispositivos privados que alojen aplicaciones y datos corporativos. Estos cambios tendrán que reproducirse en las normas y procedimientos y en el documento de seguridad, dado que estamos hablando de terminales que tendrán acceso a ficheros con datos personales. La empresa deberá destinar un capítulo específico en estos documentos para los dispositivos privados.

También tendrá que regular el procedimiento de homologación de los distintos modelos de tablets y smartphones que existen en el mercado, la actualización periódica de la lista de dispositivos homologados por la empresa y las personas autorizadas para realizar esta función.

Deberán instalarse en los dispositivos certificados electrónicos que los identifiquen y autentifiquen dentro de la red corporativa, ayudando a gestionar la identidad y los privilegios de cada usuario y aplicación móvil. Ello permitirá, y de hecho ya permite, el uso de firma electrónica en el caso de directivos que deben autorizar constantemente operaciones y transacciones que antes les exigían una firma manuscrita.

La configuración remota deberá permitir alterar parámetros básicos como la longitud de las contraseñas, su nivel de complejidad o robustez y la exigencia de un salvapantallas con contraseña, entre otras.

Los terminales deben disponer de acceso mediante a VPN a los servidores de la empresa, con un nivel de cifrado que garantice el flujo información confidencial e incluso de datos personales de nivel alto. En el caso de cloud computing, deberá analizarse la conveniencia del uso de VPN o protocolos SSL.

También habrá que crear en los terminales áreas seguras o contenedores cifrados en los que se alojen los datos corporativos, añadiendo la posibilidad de borrarlos remotamente en el caso de que el dispositivo se pierda o el usuario cause baja en la empresa. Ello obligará a las empresas al uso de aplicaciones multiplataforma o de soluciones cloud, para evitar el mantenimiento remoto y el esfuerzo de integración de los distintos sistemas operativos, modelos y marcas de dispositivo.

4. Normas de uso

Especial atención merece la redacción de las normas que los usuarios deberán cumplir, ya que hasta ahora todas las normas aceptadas se referían a dispositivos que eran propiedad de la empresa y puede causar extrañeza al usuario tener que aceptar normas para el uso de dispositivos que son suyos. En cualquier caso, esta obligación puede verse como la contrapartida a la enorme ventaja de no tener que llevar dos dispositivos móviles encima y es coherente con el hecho de que, a pesar de tratarse de un equipo propio, puede alojar datos personales de clientes e información crítica de la empresa.

Estas normas deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, sin perjuicio de la eventual aceptación a través de correo electrónico, en el momento de la instalación o a través del tradicional popup que ya incorporan algunas empresas en los ordenadores portátiles y de sobremesa para aceptar las normas en el momento del login.

Entre las obligaciones del usuario figurará la no modificación de los parámetros de seguridad, el mantenimiento y actualización del sistema operativo y de las aplicaciones, las limitaciones de uso, la realización de copias de seguridad y el cumplimiento de la normativa de protección de datos, entre otras. Si la empresa ha apostado fuertemente por el cloud computing será posible simplificar algunas obligaciones ya que, salvo en el caso de aplicaciones con sincronización en local, como el correo electrónico, la agenda y los contactos, el dispositivo carecerá de datos corporativos críticos, como los alojados en el ERP de la empresa. Pero ello obligará a seguir dando importancia a la prevención de la ingeniería social, mediante recomendaciones y formación que reduzcan los riesgos de phishing, pharming y cualquier otro engaño orientado a la obtención de contraseñas.

Las normas de uso deberán alertar al usuario sobre los posibles ataques a su privacidad que puedan afectar también a datos corporativos. El usuario tendrá la obligación de extremar la precaución en la descarga de aplicaciones para impedir la entrada de malware que pueda vulnerar la seguridad del dispositivo en sus cuatro capas: la propia aplicación, el hardware, la red y el sistema operativo. Las normas deben prohibir por lo tanto el jailbreak del dispositivo, es decir, la retirada de las limitaciones del sistema operativo para utilizar kernels modificados que posibiliten descargar aplicaciones no homologadas y alterar las medidas de seguridad establecidas por la empresa.

También deberá tenerse en cuenta que si el usuario le deja el iPad a sus hijos para que jueguen es muy probable que naveguen por Internet con criterios de prudencia muy distintos a los del usuario principal, lo cual tendrá sus consecuencias en materia de cookies y publicidad basada en el comportamiento (por ejemplo, el usuario empezará a recibir publicidad de videojuegos), pero también en materia de aceptación de condiciones generales de contratación, spam, malware y otras imprudencias propias de la cibercandidez.

5. Inspección de dispositivos móviles y obtención de pruebas

Otra cuestión a tener en cuenta es el progresivo traslado de los actos desleales, las infracciones y los delitos a los dispositivos móviles. Si un usuario ha decidido suministrar información confidencial a un competidor ya no tiene que extraerla de la empresa mediante acciones que pueden ser rastreadas. Sólo tiene que mostrar los datos en la pantalla de su tablet al comprador de la información.

La movilidad de los usuarios y de la información puede comportar nuevas amenazas y oportunidades. Actualmente, la localización de la información ha pasado a ser irrelevante. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar sino un flujo a optimizar.

Las características actuales de la información son, a los efectos de este apartado, las siguientes:

1. Puede ser generada en cualquier lugar y momento
2. Puede encontrarse en cualquier lugar: en la nube, en la empresa o en los dispositivos móviles
3. Puede ser compartida y reutilizada con mayor facilidad

Debido a estas características, el control y los esfuerzos destinados a la prevención e investigación de delitos e infracciones ya no recaerá tanto en los dispositivos como en la propia información, esté donde esté.

Un ejemplo claro de ello es la información que está en la nube. El cloud computing puede definir el escenario ideal de control e intervención, con un protocolo sencillo y unas medidas compatibles con el juicio de proporcionalidad. Sin embargo, la característica esencial de la dispersión hace difícil planificar que las pruebas de un delito estén en un entorno único y ordenado. Las pruebas pueden encontrarse en los servidores del proveedor, en los servidores del cliente, en los servidores del proveedor del cliente, en los servidores de la empresa y en los dispositivos de los usuarios. Por ello, habrá de actualizar los protocolos de investigación y obtención de pruebas para adaptarlos a este nuevo escenario, móvil, distribuido y cambiante.

El artículo 20 del Estatuto de los Trabajadores y la doctrina unificada del Tribunal Supremo permiten a la empresa aplicar su actividad de control a los recursos TIC corporativos utilizados por sus usuarios, pero habrá que ser muy prudentes en la extensión de este control a los dispositivos que son propiedad de los usuarios. La capacidad de control de la empresa deberá quedar limitada exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa puede tener distintos niveles de proactividad, que van desde la simple conservación de logs hasta la captura secuencial de pantallas sin intervención humana. Esta actividad deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico. Los últimos cambios legislativos, entre los que destaca la reforma del Código Penal para dar cabida a la responsabilidad penal de las personas jurídicas, así como las tendencias modernas en materia de seguridad, inspiradas por un criterio de “confianza cero” hacen prever un incremento del control de las empresas sobre sus usuarios y una mayor exigencia de información sobre dicho control.

6. Otras implicaciones jurídicas

Como epílogo a estas reflexiones sobre el uso de dispositivos privados en entornos corporativos cabe enumerar otras consecuencias de la consumerización y del BYOD.

– El cloud computing ofrece mayores garantías para la continuidad del trabajo del usuario, a pesar de que el terminal utilizado no sea de la empresa. Si el usuario ha hecho sus deberes, toda la información estará en el servidor y la baja del trabajador o la pérdida del terminal no impedirán que el trabajo pueda ser continuado por otro usuario. Ello obliga a informar previamente a los usuarios sobre esta posibilidad y a actualizar los protocolos orientados a garantizar la continuidad del trabajo.

– En algunas funciones basadas en la movilidad, las empresas han explotado la capacidad de saber la localización exacta del usuario en cada momento, e incluso de conocer en tiempo real lo que está haciendo. En el caso de dispositivos propios, los usuarios mantienen el control sobre el GPS y pueden gestionar los privilegios de acceso de cada aplicación a los datos de localización. Ello puede exigir la inclusión en las normas de uso de una obligación de permanecer localizables dentro del horario laboral. Esta obligación debe ir acompañada de la necesaria información sobre las posibles finalidades de la geolocalización: optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

– Las empresas van creando progresivamente manuales o guías donde recogen buenas prácticas en el uso de las redes sociales. El comportamiento de un usuario en las redes sociales puede cambiar en función de si el dispositivo utilizado es propio o de la empresa. Estos manuales deberán recordar que las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc. no deben relajarse en ningún entorno.

– También hay que limitar la responsabilidad de la empresa respecto a los contenidos y aplicaciones que el usuario pueda alojar en la zona privada de su dispositivo personal. La empresa no tiene control sobre dicha área, pero el usuario debe ser consciente de que sus contenidos pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP. Puede ser recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

– En empresas multinacionales o en el caso de usuarios que viajen al extranjero, habrá que delimitar claramente las responsabilidades del usuario en relación al contrato que les une al operador, con el fin de evitar sorpresas por facturación adicional derivada de la itinerancia de datos.

Finalmente, y a pesar se ser algo ya mencionado en este artículo y presente en las medidas de los responsables de seguridad, es importante tener siempre a mano el “botón rojo”, es decir, la opción que va a permitir a la empresa desvincularse del dispositivo privado del usuario, borrando toda la información corporativa en el caso de pérdida, sustracción, baja del usuario en la empresa o mal uso del terminal.

Artículo publicado en e-Penteo

 


Resumen de la nueva ISO 22301 sobre gestión de la continuidad del negocio

La ISO 22301:2012 es el nuevo estándar internacional que especifica los requisitos para configurar y gestionar de forma eficaz un Sistema de Gestión de la Continuidad de Negocio (BCMS por sus siglas en inglés).

Podríamos decir que el BCMS es para la continuidad del negocio lo que el SGSI de la ISO 17799 y la ISO 27001 es la para la seguridad de la información. De hecho, el BCMS y el SGSI comparten el típico proceso continuado de mejora Plan-Do-Check-Act (PDCA) entre otros muchos puntos en común.

Con la implantación de un BCMS una empresa se planteará las siguientes metas:

1. Entender las necesidad de establecer una política y unos objetivos en relación a la gestión de la continuidad del negocio

2. Implantar controles y medidas dirigidas a gestionar la capacidad de la organización para atender incidentes que puedan tener un impacto significativo en la continuidad de su negocio

3. Monitorizar y revisar el rendimiento y la eficacia del BCMS

4. Mejorar continuamente el modelo de acuerdo con una medición objetiva de los resultados

El BCMS, como cualquier otro sistema de gestión, tiene los siguientes componentes:

1. Una política

2. Unas personas con responsabilidades definidas

3. Unos procesos de gestión relacionados con la política, la planificación, la implantación, la operativa, la valoración del rendimiento, la revisión de la gestión y la mejora contínua.

4. Unos documentos que suministren evidencias auditables

5. Cualquier proceso de gestión de la continuidad del negocio que sea relevante para la organización

La ISO 22301:2012 es aplicable a organizaciones de cualquier tipo y tamaño que deseen:

1. Establecer, implantar, mantener y mejorar un BCMS,

2. Asegurar la conformidad con políticas declaradas de continuidad de negocio

3. Demostrar la conformidad a terceros

4. Solicitar la certificación o registro de su BCMS por parte de una entidad de certificación

5. Realizar una autoevaluación o una autodeclaración de conformidad con este estándar internacional.

En mi opinión, la implantación de un BCMS conforme con esta ISO supone una prueba inequívoca de la diligencia debida y del esfuerzo realizado por una empresa para garantizar la continuidad de su negocio, contribuyendo al objetivo de minorar su responsabilidad por los daños causados a terceros a causa de la interrupción de su actividad, prestación de servicios o suministro de productos.

Al mismo tiempo, genera evidencias de la existencia de controles preventivos que pueden permitir enervar la responsabilidad penal en el caso de delitos directamente relacionados con la continuidad del negocio, como los delitos medioambientales, el delito de daños o los delitos los relacionados con la seguridad de la información.

Esta ISO es altamente recomendable para los proveedores de outsourcing, cloud computing y hosting, así como para las empresas que gestionan infraestructuras críticas.

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Checklist para revisar las cámaras corporativas de videovigilancia

La sanción de 60.000 euros impuesta por la AEPD a unos grandes almacenes, confirmada por la Audiencia Nacional, obliga a recordar las condiciones en las que las empresas pueden hacer uso de videocámaras para realizar funciones de vigilancia y seguridad.

Para comprobar si una cámara o un sistema de videovigilancia cumple los requisitos legales y los criterios jurisprudenciales establecidos para esta actividad, deben realizarse las siguientes comprobaciones:

  1. IDONEIDAD: ¿Se consigue con la cámara el objetivo propuesto en materia de seguridad?
  2. NECESIDAD: ¿Existe otra medida más moderada para conseguir el objetivo propuesto con la misma eficacia?
  3. PROPORCIONALIDAD: ¿Existe un equilibrio entre el objetivo propuesto y los derechos de los afectados?
  4. INFORMACIÓN 1: ¿Se ha colocado en la zona un distintivo informativo con el contenido exigido por la ley?
  5. INFORMACIÓN 2: ¿Dispone la empresa de impresos informativos para los interesados que lo soliciten?
  6. CONTROL: ¿Dispone la empresa de un plano en el que se indique la situación de cada una de las cámaras?
  7. SITUACIÓN: ¿Está situada la cámara en la vía pública?
  8. RANGO 1: ¿Es adecuado el rango de acción de la cámara? (Un rango de 360 grados puede ser excesivo)
  9. RANGO 2: ¿La cámara obtiene imágenes de la vía pública?
  10. RANGO 3: En caso afirmativo, ¿es ello imprescindible para la finalidad propuesta?
  11. RANGO 4: En caso afirmativo, ¿resulta imposible evitarlo?
  12. RANGO 5: En caso afirmativo, ¿qué porcentaje ocupa la vía pública en el encuadre?
  13. ZOOM: ¿Dispone la cámara de zoom? (En algunos casos puede ser excesivo para la finalidad prevista)
  14. FICHERO: ¿La empresa ha inscrito el fichero de videovigilancia en el Registro General de la AEPD?
  15. TRATAMIENTO 1: ¿La empresa ha contratado a una empresa de seguridad para tratar o visualizar los datos?
  16. TRATAMIENTO 2: En caso afirmativo, ¿ha firmado un contrato de encargado del tratamiento?
  17. SEGURIDAD: ¿Se han aplicado medidas de seguridad en relación al fichero de videovigilancia?
  18. SECRETO: ¿Están identificadas y han suscrito un pacto de confidencialidad las personas con acceso a los datos?
  19. ACCESO: ¿Dispone la empresa de un procedimiento que facilite el derecho de acceso de los interesados?
  20. CANCELACIÓN: ¿Los datos son cancelados en el plazo máximo de un mes después de su captación?
  21. PRUEBA: ¿Dispone la empresa de las correspondientes evidencias de cumplimiento en materia de videovigilancia?

Infraestructuras críticas y prevención de riesgos – Aprendiendo de Fukushima

Siempre es fácil apreciar errores de previsión cuando las cosas ya han ocurrido. Especialmente, tras un incidente de tal magnitud como el que ha afectado a la central nuclear de Fukushima. Una vez se haya superado la actual amenaza nuclear, y tras descontar la fuerza destructora del terremoto y el posterior tsunami, el objetivo inmediato será aprender de los eventuales errores de diseño y de prevención de riesgos que se hayan podido cometer para intentar evitarlos en el futuro.

Lo que más sorprende a un profano como yo es que, el país que acuñó la palabra tsunami, y que aprendió a vivir con la constante amenaza de terremotos y maremotos, diseñase una central tan desprotegida del mar.

Viendo la fotografía aérea de la central, con el atrevimiento que da la ignorancia, y con el evidente desprecio a los costes que debe presidir la prevención de un riesgo tan grave como el nuclear, me atrevo a plantear las siguientes cuestiones:

1. La propia foto aérea de la central

Me extraña que la zona no aparezca pixelada en Google Maps. Tratándose de una infraestructura crítica y a la vez, de un objetivo militar, se supone que los gobiernos deberían preocuparse de que los suministradores de estos servicios de la sociedad de la información oculten este tipo de instalaciones y las zonas adyacentes.

2. El número de reactores

Supongo que se producirán muchas economías de escala, pero me parece excesiva la concentración de reactores en tan poco espacio. Ello tiene que incrementar el riesgo de que una catástrofe natural afecte a más de un reactor, como así ha ocurrido, y dificultar las maniobras de acceso, extinción de incendios, refrigeración de emergencia, etc. Es posible que los equipos de emergencia que están actuando a la vez en los cuatro reactores afectados estén entorpeciéndose entre ellos. Aunque también es posible que sean más eficientes trabajando juntos.

3. La alineación de los reactores

Teniendo en cuenta que la principal amenaza proviene del mar, resulta raro ver una alineación de los reactores de forma paralela a la costa. Parece que estén esperando la ola con los brazos abiertos. Tal vez una alineación perpendicular a la costa ofrecería un frente más reducido que permitiría ser protegido de manera más eficiente. En otras palabras, si yo tuviese que enfrentarme a una gran ola, preferiría ir en un barco situado con la proa contra la ola antes que en uno situado en paralelo a la ola.

4.  La ausencia de defensas

La imagen de la central es de total desamparo frente a las inclemencias del mar. Los diques no parecen diferentes de los que podría tener cualquier puerto del Mediterráneo. Pero aquí la diferencia es que la central se encuentra en una de las zonas con mayor probabilidad de tsunami del mundo. Ante una ola de diez metros de altura poco se puede hacer, pero con una alineación perpendicular a la costa y un frente máximo de 200 metros, tal vez hubiese sido posible construir un dique más alto y en forma de cuña que desviase la fuerza del agua hacia los lados. Repito que es pura intuición basada en el diseño de los barcos, en la estructura del blindaje frontal de los carros de combate y en los muros en forma de estrella de las antiguas ciudadelas militares, destinados a resistir el impacto directo de la artillería.

5. La paradoja de una planta generadora de electricidad que se queda sin electricidad

A un profano como yo le resulta difícil de creer que una central destinada a generar electricidad pueda quedarse sin la energía que ella misma genera. Si los submarinos nucleares tienen una autonomía que se cuenta en meses, ¿cómo puede una central nuclear tener una autonomía que se cuente en horas si la principal amenaza es conocida, está prevista y se conoce su techo máximo?. Debido a la parada de emergencia, la central no producía electricidad, y los generadores resultaron dañados por el tsunami, pero la energía eléctrica necesaria para la bomba de refrigeración se puede acumular para seguir teniendo suministro eléctrico por un tiempo muy superior a las 8 horas.

6. Baterías insuficientes y enchufes no normalizados

Como he dicho, parece ser que las baterías que debían alimentar las bombas de refrigeración tenían una duración máxima de 8 horas y cuando se agotaron se recurrió a generadores móviles, que inicialmente no pudieron ser conectados porque los conectores eran diferentes a los de las bombas de refrigeración.

7. Ausencia de generadores eléctricos subterráneos

Antes de recurrir a las baterías, las bombas del circuito de refrigeración se habían quedado sin electricidad porque los generadores habían sido afectados por el tsunami. Eso significa que estaban en la superficie, ya que si hubiesen estado protegidos en un búnker subterráneo, tan blindado y hermético como merece el último recurso energético existente para mantener baja la temperatura del núcleo, no habrían sufrido un impacto directo de la ola.

8. Desprotección de las instalaciones críticas para la seguridad de la central

Con la debida prudencia, concluiría que lo ideal habría sido mantener todas las instalaciones implicadas en la seguridad del reactor en una sala subterránea y blindada, protegida frente a terremotos y maremotos, que formase una sola pieza con el búnker del reactor, y que dispusiese de los mismos elementos de seguridad. ¿De qué sirve que el reactor esté protegido por una cúpula capaz de resistir el impacto directo de un misil si el circuito de refrigeración, los generadores que permiten su funcionamiento y los restantes elementos de seguridad tienen un nivel de protección inferior?. Una cadena es tan fuerte como el más débil de sus eslabones, y en este caso, el eslabón más débil parece que fue la protección de los generadores de electricidad.

La enseñanza de este accidente, aplicable a la prevención de cualquier tipo de riesgo, está ya definida en la llamada ley de Murphy, y consiste en asumir que, ante una lista de posibles fatalidades, existe la opción de que todas ellas tengan lugar de forma coetánea o secuencial.

En un diseño de defensa en profundidad como el de Fukushima, las amenazas superaron una sucesión de bastiones y líneas de defensa que parecían insuperables en su conjunto:

  1. La seguridad de la central de Fukushima fue diseñada para aguantar un terremoto de una potencia 8,2 y el terremoto fue de 8,9.
  2. Ante el terremoto, se produjo la parada de emergencia de los reactores y las turbinas dejaron de producir electricidad.
  3. El circuito de refigeración dejó de recibir suministro eléctrico.
  4. Se pusieron en marcha los generadores diésel externos.
  5. Entonces vino el tsunami y averió los generadores externos.
  6. La última línea de defensa eran las baterías, que funcionaron ocho horas antes de agotarse.
  7. Entonces se recurrió a los generadores móviles, cuyos conectores no coincidían con los de las bombas de refrigeración.
  8. Cuando se consiguió recuperar el circuito de refrigeración, había pasado un tiempo precioso.

Todas las líneas defensivas fueron superadas por una cadena de fenómenos naturales previsibles, pero con una magnitud y una sucesión en el tiempo que resultaron letales. Si ante acciones de la naturaleza, y por lo tanto no provocadas intencionadamente por el hombre, el efecto es tan devastador, la pregunta inmediata es: ¿qué sucedería ante un ataque intencionado que tuviese en cuenta todas estas vulnerabilidades, algunas de ellas apreciables a través de Google Maps?

Teniendo en cuenta la progresiva implantación de los protocolos TCP/IP en los sistemas de control SCADA, ¿podría tener éxito un ataque a través de Internet orientado a producir una parada de emergencia del reactor, dejar el circuito de refrigeración sin energía, impedir la puesta en marcha de los generadores externos e interferir las comunicaciones de los equipos de emergencia?

A principios de los ochenta, tuve la suerte de visitar las obras de la central nuclear de Ascó II y pasé un buen rato bajo la cúpula que más tarde albergaría el núcleo del reactor. La emoción que sentí fue parecida a la del que está en un lugar que nunca ha pisado el hombre. Pero en aquel momento único, la emoción venía dada, en realidad, por la absoluta certeza de estar en un lugar que nunca más volvería a pisar el ser humano.

 

 

 

 

Venta de productos con datos personales en grandes superficies

Es la tercera vez que me ocurre y evidencia una mala gestión de las devoluciones por parte de las grandes superficies.

La primera vez fue un smartphone. Un cliente lo había comprado antes que yo y lo había devuelto sin borrar sus datos. La gran superficie se había limitado a ponerlo de nuevo en la vitrina, y ahí se quedó hasta que lo compré. Era el último que quedaba. En su interior había datos suficientes para saber lo que el anterior usuario había hecho durante los cinco días que lo tuvo en su poder. Las fotos y vídeos de su viaje a Palma de Mallorca, la agenda, los contactos, las llamadas realizadas y recibidas. Todavía ahora estaría avisándome del cumpleaños de una tal Marta si no fuese porque borré todos los contenidos. Al no devolverlo ni protestar por el incidente me sumé a la lista de clientes conformistas que hacen que tengamos los proveedores que nos merecemos.

La segunda vez fue un disco duro multimedia. Estaba lleno de películas familiares y fotos de un matrimonio con tres hijos.

La tercera vez (ayer) fue un disco duro de red. Había pertenecido a una empresa de electrodomésticos muy conocida. En la configuración de la red había los siguientes datos:

  • Dominio y contraseña de acceso del servidor corporativo.
  • Direcciones MAC de los ordenadores autorizados a acceder.
  • Nombres de los usuarios y derechos de acceso a las carpetas.
  • Cuota de disco de cada usuario.
  • Registro de la actividad del servidor.
  • Casi 1 TB de documentos borrados perfectamente recuperables.

No hace falta ser un experto para sacar algunas conclusiones de estas tres experiencias:

  1. Absoluta despreocupación de los dos usuarios domésticos por los datos incluidos en el producto que devolvieron.
  2. Conducta negligente de la empresa que devolvió el disco duro de red sin borrar adecuadamente los datos. Si hacen lo mismo cada vez que cambian los sistemas informáticos al acabar el renting, no podrán quejarse si alguien recupera esos datos y busca la forma de conseguir algún rendimiento económico con ellos.
  3. Gestión nefasta, por parte de las grandes superficies implicadas, de los productos devueltos, cuando éstos tienen capacidad para almacenar información.
  4. Escasa precaución del comprador al no comprobar si la caja ha sido abierta previamente. En mi caso, las tres cajas estaban precintadas pero se notaba que habían sido abiertas previamente. El problema es que, a veces, todas las cajas disponibles están igual, o bien es la última que queda y no puedes esperar. En una ocasión, la persona que me atendió se justificó diciendo que el fabricante les había pedido que actualizaran el firmware!! (sic). Si aún así acabas quedándote el producto, no es que no sepas comprar, es que no puedes reprimir la impaciencia y confías en que la tienda no te va a suministrar un producto en mal estado.

La política de aceptar devoluciones es buena porque garantiza la satisfacción del cliente que realiza la primera compra, pero, mal gestionada, genera un gran rechazo en el cliente que realiza la segunda compra, porque piensa que se trata de un producto de segunda mano que le han vendido como nuevo.

Me ahorro los comentarios relativos a la LOPD por ser más que evidentes.

 

Guía de buenas prácticas y Argumentario

El pasado 3 de diciembre tuvo lugar, en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la sesión de trabajo sobre uso legal del software en las empresas. BSA y PricewaterhouseCoopers acaban de publicar dos documentos que recogen los principales puntos de las ponencias y el debate. También se recogen las conclusiones de las jornadas de Barcelona y Sevilla, celebradas los días 1 y 2 de diciembre, respectivamente.

El primer documento es una Guía de Buenas Prácticas, y va dirigido al CIO y, en general, a los departamentos que gestionan las TIC en las empresas.

El segundo documento es un Argumentario que incluye los argumentos legales, reputacionales y de seguridad que la asesoría jurídica interna o el CIO pueden utilizar para sensibilizar a la Dirección General sobre la necesidad de adecuar el presupuesto de la empresa a las necesidades reales de software existentes.

Ambos documentos se encuentran en el blog creado con motivo de las sesiones de trabajo, en el que se recopilan los riesgos, los argumentos y las buenas prácticas que se debatieron en las sesiones de trabajo. El blog permite realizar aportaciones y comentarios que serán incorporados en las sucesivas ediciones de la guía y del argumentario.

Evaluación de la seguridad física

Los distintos niveles de robustez y fiabilidad de los productos destinados a la seguridad física no son siempre fáciles de determinar. En unos casos existen normas y procedimientos de homologación que permiten conocer el nivel de resistencia de un cristal, una cerradura, una puerta o una cámara inífuga a las distintas amenazas a las que se halla expuesta. En otros casos hay que atender a las especificaciones técnicas del material (dureza del acero, temperatura de fusión, etc.) o a los niveles de resistencia establecidos unilateralmente por el fabricante.

Por ejemplo, en el caso de cerraduras y candados, hay fabricantes que acuden a homologaciones y otros que establecen su propia escala de seguridad. En un caso concreto, analizado en una auditoría, el fabricante había establecido una escala del 1 al 15 y aseguraba que el producto ofrecía los siguientes niveles de resistencia:

– Nivel 13 de resistencia a la congelación y fractura mediante gas licuado.
– Nivel 14 de resistencia al corte mediante sierra convencional.
– Nivel 15 de resistencia al corte mediante cizalla o herramienta similar.
– Nivel 15 de resistencia a la acción de un taladro sobre el bombín.
– Nivel 15 de resistencia al uso de ganzúas o llaves falsas.

Algunos fabricantes acuden a la homologación A2p (APSAD) y a las normas VDMA, NFPA, etc.

En cualquier caso, hay que reconocer que, mientras en el análisis de la seguridad lógica el auditor puede realizar pruebas directamente sobre el sistema (análisis de la robustez de las contraseñas, comprobación de privilegios, pruebas de intrusión, etc.) en el análisis de la seguridad física el margen de maniobra es menor y hay que acudir a información facilitada por el fabricante. Ante la dificultad para realizar pruebas de resistencia sin destruir o dañar el material instalado, deberán tenerse en cuenta las homologaciones, normas técnicas, certificaciones y especificaciones facilitadas por el fabricante, así como el nivel de confianza que ofrece la marca.

Algunos datos publicados en el ISMS Forum

1. En septiembre entró en vigor en Inglaterra una nueva normativa que permite realizar transferencias rápidas de dinero. El número de correos electrónicos de phishing se multiplicó inmediatamente por 10. En España, este año se ha duplicado.

2. Paypal ofreció seguridad de doble factor a sus clientes mediante un generador de claves aleatorias y muy pocos se adhirieron al nuevo sistema de autenticación para no renunciar a la comodidad del sistema actual de pago mediante dos clics. Ello hace prever una escasa aplicación del DNI electrónico al comercio B2C en Internet.

3. Hay más de 2.000 millones de dispositivos móviles en el mundo. Todos ellos tienen datos personales que pueden ser objeto de apropiación con suma facilidad. Ello obliga tanto a empresas, gobiernos y particulares a extremar la seguridad de estos dispositivos.