miércoles, 25 de febrero de 2009

La percepción de lo importante

Durante cientos de años, hemos utilizado el papel como soporte para albergar nuestra información y aún a día de hoy sigue siendo protaganista de nuestras vidas. Para comprobarlo sólo echa un vistazo a tu alrededor.

En él se encuentran nuestros contratos, nóminas, documentos acreditativos, facturas, títulos, sellos, y un larguísimo etcétera. Sin embargo, con la llegada de la era digital, toda esta información está cambiando de formato poco a poco, prueba de ello son la factura electrónica, la firma digital, los certificados digitales, etc.

Sin ser nada nuevo, la ofimática supuso un importante cambio, la información ya no tiene que estar en papel, pasamos de manejar documentos en papel a documentos electrónicos y la información puede ser guardada en un dispositivo hardware y recuperada cuando se necesita.

Sin embargo, todos estos cambios, en unos más que en otros, provocan una alteración en la percepción de la importancia de la información. Se guardan en una caja fuerte o en un armario bajo llave los documentos confidenciales, mientras que los mismos en formato electrónico se guardan en dispositivos de almacenamiento externo sin ningún tipo de control. Ésto es particularmente cierto con información interna de la organización que puede ser declarada como crítica en un análisis de riesgos y que, cuando solicitas un dispositivo para guardar cierta información, te dan un pen-drive con información de nóminas, contratos con terceros, estudios de costes, y cualquier cosa que se nos pueda venir a la mente. El problema es que eso no es un pen-drive, es la información de la empresa y puede ser copiada en cuestión de segundos. A buen seguro, si solicitamos un papel para escribir unas notas nadie nos dará uno con las nóminas de la empresa, ni sus contratos, ni ningún tipo de información confidencial.

Como todo cambio, la adaptación requiere un periodo arbitrario de tiempo dependiente de la magnitud del cambio. Actualmente asistimos a uno muy profundo en el que nuestra mentalidad debe cambiar tan pronto como sea posible para reflejar la realidad, ya no son los papeles que puedo ver y tocar, es la información que está dentro de mi pen-drive, de mi disco duro, en el servidor de mi empresa, en mi PDA, en mi Teléfono móvil y esa información, al igual que cuando está o estaba en papel, necesita seguridad y control.

viernes, 20 de febrero de 2009

Cifrado en Unidades de Almacenamiento Externas

Desde hace varios años se ha hecho muy común el uso de dispositivos de almacenamiento externos USB tanto en el ámbito doméstico como en el empresarial. Proliferan Discos Duros con grandes capacidades de almacenamiento y Pen-drives de pequeño tamaño, cada vez más reducidos, con increíbles posibilidades de almacenamiento. Este hecho ha puesto de relevancia la importancia de proteger la confidencialidad de ciertos tipos de información que se alberga en estos dispositivos y que puede ir desde documentos propios que tengan un especial valor intelectual, pasando por archivos confidenciales de clientes que prodrían suponer multas de diferente cuantía por sanciones de la AEPD, y llegando a contener el último recurso de una empresa en caso de desastre, sus copias de seguridad. Éstos dispositivos, en innumerables ocasiones albergan su información en claro, de forma que un extravío o robo puede provocar que se filtre información que no se deseaba.

Con el objetivo de prevenir los efectos derivados del acceso a dicha información por parte de terceros no autorizados, surgen varias aplicaciones de entre las que podemos destacar TrueCrypt.

Esta herramienta nos permite, entre otras muchas cosas, dos formas de crear un espacio cifrado, mediante un fichero o mediante una unidad completa. Si se crea mediante un fichero, éste se monta internamente como una unidad a partir de la pantalla correspondiente a la captura que os dejo. Si se usa una unidad cifrada puede montarse directamente desde Auto-Mount devices en la misma pantalla.

TrueCrypt usa un algoritmo simétrico para cifrar y descifrar la información de manera que será más difícil que un tercero pueda acceder a la información cuanto más difícil sea la palabra de paso que le proporcionemos para realizar el proceso de cifrado.

Prácticamente a diario, vemos estos problemas, CDs con miles de datos de ciudadanos que se pierden y luego alcanzan un alto valor en el mercado del e-crime, incluso portátiles con información militar que se pierden y nadie sabe dónde están, y que misteriosamente aparecen después de dos semanas porque se había hecho un "préstamo" de los mismos, etc.

Como en todos los aspectos de la seguridad de la información, hay que llegar a un punto en común entre la facilidad de uso y la seguridad de forma que el cifrado debe aplicarse en función de las necesidades de la empresa o individuo sin perder de vista los requisitos legales que para cierta información y en determinadas circunstancias obliga a que ésta se encuentre cifrada.

lunes, 16 de febrero de 2009

Vulnerabilidad

Cuando se comienza en el mundo de la Seguridad de la Información, comienza un bombardeo de términos nuevos que acaban nublándote la vista y que poco a poco, con su manejo diario y tras un periodo de asentamiento comienzas a entender y a utilizar.

Algunos de estos términos son, activo, amenaza o vulnerabilidad. Estos tres conceptos están íntimamente ligados y los podemos definir de forma simplificada como sigue:

Activo: Cualquier cosa que tiene valor para la organización.
Amenaza: Evento que es capaz de causar un daño (impacto) a algún activo.
Vulnerabilidad: ¿?¿?

Aquí viene el problema, y la fuente de no pocas conversaciones con la gente que me rodea acerca de dónde viene la vulnerabilidad de un activo. Veamos el problema.

Tengo un papel que contiene una información escrita de gran valor para mi organización, por lo que para mi es un activo de vital importancia. Podemos decir que el papel es inflamable, pero esto es, ni más ni menos, que porque exite el fuego (la amenaza). Ahora bien, ¿y si meto el papel en un armario inífugo?. En este contexto, ¿deja de ser ese papel vulnerable al fuego?. Esto nos lleva a una pregunta más general, ¿depende la vulnerabilidad de un activo del contexto en el que se encuentra?.

Para aclarar este embrollo vamos a acudir al diccionario de la rae:

Vulnerable: adj. Que puede ser herido o recibir lesión, física o moralmente.

Por tanto, una vulnerabilidad existe porque un activo puede ser herido o recibir lesión, física o moralmente. Esto hace mención a su naturaleza, a que existe, y por tanto puede recibir lesión física y a que puede ser de naturaleza humana, pues puede ser dañado moralmente. De esto deducimos que la vulnerabilidad pertenece al activo y es inherente a su naturaleza.

Volviendo al ejemplo del papel con información trascendental dentro de un armario inífugo, tendríamos lo siguiente:

- La información es vulnerable.
- El papel es vulnerable.
- El armario inífugo es vulnerable.

Por su propia condición, estos tres elementos son vulnerables, sin embargo, en Seguridad de la Información, no podemos dejarlo ahí, sabemos que algo puede ocurrirles a los activos de información de una empresa, pero el quid de la cuestión está en saber qué puede ocurrirles para prevenirlo y poner los controles necesarios para minimizar la probabilidad de ocurrencia de un suceso adverso. Para ello debemos saber a qué es vulnerable cada activo, o lo que es lo mismo, qué puede dañar física o moralmente a un activo. Es por ello que asociamos la vulnerabilidad de un activo a una amenaza. Volviendo sobre el ejemplo.

- La información no es vulnerable al fuego.
- El papel es vulnerable al fuego.
- El armario inífugo no es vulnerable al fuego.

De esta forma tenemos que, al escribir la información en el papel, la estamos exponiendo al fuego y al meter este papel en el armario inífugo estamos protegiendo la información del fuego.

Y de todo esto deducimos que, la vulnerabilidad de un activo de información a una amenaza concreta y en un momento determinado del tiempo depende de su contexto, el cual modifica el grado de vulnerabilidad del activo. Y esto no es ni más ni menos que la base de la seguridad de la información, modificar el contexto de un activo de información para que éste sea más seguro :).

Por último, y siempre bajo mi punto de vista, a la definición de la rae yo le añadiría lo siguiente:

Vulnerable: adj. Que puede ser herido o recibir lesión, física, lógica o moralmente.

Hoy comenzamos la andadura...

Hoy, finalmente me he decidido a comenzar este blog con la temática que anteriormente propuse y con el objetivo de realizar como mínimo una publicación por semana, que es lo que ahora mismo me puedo permitir. Espero que todo lo que aquí expongo os resulte interesante y os sirva para vuestra actividad diaria, para comentarselo a un amigo, para ponerlo en práctica en casa o para cualquier otra faceta que os pueda resultar de interés, eso si, siempre dentro de lo legal :).