viernes, 30 de marzo de 2012

Guías CCN-STIC serie 800: ENS

Hace más de dos años que se hizo público el Real Decreto 3/2010 por el que se regula la aplicación del Esquema Nacional de Seguridad en el ámbito de la administración pública. Como toda gran norma que mezcla aspectos normativos con aspectos técnicos llevar a buen puerto un proyecto de este tipo puede ser complejo si no se domina los dos campos. Dentro de estos dos años he tenido mucho acercamiento a esta nueva normativa. Desde escribir un libro sobre el tema junto a dos grandes profesionales: Chema Alonso y Julián Blázquez, a, como no, conducir y ser parte de algunas implementaciones de proyectos de adecuación de ENS en organizaciones.

Evidentemente escribir el libro me sirvió mucho para entender los objetivos, consecuencias y retos a los que me enfrentaba cuando iniciaba los primeros proyectos de implementación de ENS. Sin embargo a veces toda esa preparación no siempre resulta suficiente. Una gran norma como esta tiene mucho alcance y a veces de inicio no eres capaz de atisbar la cantidad de elementos que pueden quedar afectados en una organización. Cuando iniciaba los primeros proyectos había muy poco relacionado con el tema y en ocasiones había que interpretar.

Sin embargo encontré una buena referencia en el trabajo hecho por el Centro Criptológico Nacional a través de las guías CCN-STIC de la serie 800. Todo lo confuso que a veces puede llegar a ser la normativa, puede quedar clarificada en algunas de las guías desarrolladas (algunas aún en modo borrador). Tratando cuestiones técnicas concretas no dejan lugar a dudas sobre muchos aspectos a considerar. También clarifican aspectos no tan técnicos que el Real Decreto considero que deja en el aire, como por ejemplo la correspondiente a la valoración de los sistemas.

No obstante no nos engañemos, son buenas pero no la solución a todos los problemas. Será parte fundamental del consultor o el analista interpretar cada situación en función de los requerimientos. A veces por intuición y otras veces por experiencia la guía le será de una buena referencia técnica. Sin embargo como es lógico la guía no te dirá que producto es el adecuado en cada situación o qué tipo de aplicaciones no pueden implementarse por no cumplir los mínimos de seguridad exigidos. Te puede indicar que algoritmos no pueden ser implementados pero deberá ser el consultor el que sepa si las implementaciones que usa una organización los implementa y debería dejar de hacerlo.

También es esencial la mejor adaptación e incluso en los momentos económicos en los que nos encontramos poder dar una respuesta adecuada con la norma y que no suponga un sobre esfuerzo en todos los sentidos al organismo. Actualmente es importantísimo dar una respuesta eficiente con los medios adecuados y esto considero que es el verdadero malabarismo que hacemos para el cumplimiento del ENS.
Aunque la orientación de las guías es la implementación del Esquema Nacional de Seguridad, las mismas suponen una buena referencia a todas aquellas organizaciones que aun no siendo Administración Pública, tienen una preocupación por la seguridad. Si vas a implementar ENS o te interesa el tema échale un vistazo a las guías de seguridad.

Sirva también mi agradecimiento en este post al equipo del Centro Criptológico Nacional que ha desarrollado las guías. Una parte de la experiencia que aplico en los proyectos de ENS provienen de vuestro buen hacer.

miércoles, 28 de marzo de 2012

Quiero cancelar mis datos de Internet

Empieza a ser ya muy frecuente que el “yo virtual” de muchos internautas, supere en tiempo de exposición al yo físico que todos tenemos. Eseyo va dejando una impronta por Internet que en ocasiones puede lastrar al yo físico.

Comentarios desafortunados que se dejan, fotografías que hoy parecen ocurrentes pero mañana son incómodas, opiniones de las cuales a veces te arrepientes… Y como no, un buen día querremos cancelar nuestro “yo virtual”.

Sin embargo lo que depositas en Internet es como un tatuaje que puede quedar de por vida y a la larga te marca. La impunidad con la que la información fluye, se trasvasa de un sitio a otro, hace imposible saber donde puede acabar algo que se supone formar parte de la posible privacidad de cada uno. Claro está, si quiero eliminar algo pero ya se ha dispersado, ¿a quién le pido responsabilidades? o peor aún ¿dónde estará toda mi información?

Alguno pensará ¿si tu lo has subido a Internet, tuya es la responsabilidad de lo que subes? Cierto es en determinadas circunstancias (y merecida), pero en otras no. Si depositas tus datos, ndependientemente del qué, en un sistema protegido y este es vulnerado (más o menos lícitamente) y tu información dispersa, evidentemente habrá una culpabilidad relativa. Sin
embargo a partir de ahí tus datos dispersos son difíciles de trazar. Sirva de ejemplo la cantidad de información que se deposita en Pastebin tras la vulneración de un sitio web.

En otras ocasiones resulta que nuestra información no se encuentra depositada en un entorno físico donde la legislación (en este caso la europea) tenga marco de operación y el desconocimiento de las reglas de juego, son un factor en contra. Y es que un espacio como Internet es muy complejo (por no decir imposible) de legislar.

Sin embargo desde la Unión Europea lo tienen claro. Superada la primera fase de los datos de carácter personal en las empresas, el siguiente reto es Internet y casi todas las nuevas reformas que vienen estarán orientadas a ello. Si tú negocio es Internet te podrás ver afectado significativamente. Habrá nuevas reformas y medidas que afectarán tanto a grandes compañías (objetivo fundamental) pero por efecto colateral también a las pequeñas.

Las normas de protección de datos se fraguaron en 1995 cuando Internet no era más que un germen de lo que es a día de hoy. Donde las empresas y los datos tenían unas fronteras delimitadas y las normas un espacio donde operar. Sin embargo Internet ha roto todo eso. Se necesita ahora más flexibilidad y capacidad de respuesta (también quizás de improvisación, aunque en legislación es casi imposible) en la aplicación normativa. Y ese supone el
objetivo a cumplir.

Si quieres anticipar lo que viene aquí hay dos direcciones interesantes donde consultar estos cambios:

  1. Sitio de la reforma de protección de datos.
  2. Proposición de la Comisión Europea

martes, 27 de marzo de 2012

Ardor guerrero

Mis más sinceras disculpas.

A todos aquellos que alguna vez se acercaron al blog...
A todos aquellos que me pidieron que siguiera escribiendo...
A todos aquellos que seguían comentando mucho tiempo después...
A todos aquellos que me animaron continuamente...

Hace más de dos años que escribí el último post, y no por falta de ganas tuve que abandonar esta interesante tarea de poder compartir experiencia y conocimientos con todo aquel que se asomaba al balcón de este humilde espacio. Otras obligaciones y porque no decirlo perder en cierta medida "el ardor guerrero" que en otro tiempo sobraba hacía complicado dedicar un tiempo que había que aquilatar en gran medida.

Ese ardor guerrero se pierde por muchos factores y en ocasiones solo un revulsivo hace que se gane nuevamente. Creo haberlo ganado de nuevo en este mes y como no, es momento de retomar cosas que quería hacer, pero quizás no tenía las fuerzas suficientes para llevarlas a cabo; como escribir en el blog.

El revulsivo se llama Sidertia Solutions. Embarcarme en una nueva aventura con grandes profesionales, compañeros y como no también amigos, supone esa chispa que incentiva un cambio que a larga creía necesario. Como no, atrás quedan grandes profesionales, compañeros y también amigos a los que les deseo lo mejor y con los que espero compartir futuras experiencias en un mundo que aunque parezca grande no lo es tanto.

En el horizonte se ven nubes negras, no es el mejor momento para hacer determinadas cosas, pero crecerse ante la adversidad también es parte del incentivo de la vida. Las ganas con las que se inicia esta nueva aventura permiten enfrentarse a muchas cosas nuevas pero hace también recuperar la ilusión en algunas cuestiones que arrastraba.

Tras unas semanas de dura lucha ya están asentadas las bases de lo que supone este gran reto personal. Fuerzas renovadas para hacer muchas cosas, como escribir en el blog que pienso que debo a todos lo que de una u otra forma siempre han estado ahí. También a mi mismo.

Vaya por vosotros ese esfuerzo.