La nueva herramienta de la AGPD para disposiciones de ficheros de Titularidad Pública DISPONE, Como veis, abajo parece que para usarlo hay que resolver una compleja suma (¡¡¡de dos dígitos!!!).

Ya he visto otras veces este tipo de acertijos como CAPTCHAs que se agradecen frente al típico borrón que tienes que intuir y que cada vez me cuesta más.

Sin embargo, parece como que sería muy sencillo de insertar automáticamente, ¿no?

Veamos cómo. La operación es siempre una suma con números. O por lo menos todas las peticiones que he hecho daban como resultado una suma.

La suma es una imagen con la siguiente URL  http://www.servicios.agpd.es/Dispone/seam/resource/captcha por lo que habrá que pasarla primero por un OCR y luego efectuar el cálculo.

Para descargar la imagen usaremos curl, para extraer la suma a texto usaremos gocr y para efectuar el cálculo usaremos bc. Para calcular la suma eliminamos el igual de la operación y hay que tener cuidado porque el OCR no identifica bien el signo negativo. identifica un ‘_’ y habrá que convertiro a ‘-‘.

Armados con esto, la línea para realizar el cálculo es la siguiente.

curl -sLk http://www.servicios.agpd.es/Dispone/seam/resource/captcha | convert jpg:-  pnm:- | gocr -i - | tr -d = | tr _ - | tee suma | bc -l

El tee nos guarda la suma en un fichero para que podamos verla después y comprobar la operación.

En fin, que quién iba a querer spammear esta aplicación, no lo sé, pero ha sido divertido automatizar el cálculo.

Cuando se valoran los sistemas para cumplir con el ENS, siempre surgen las mismas dudas: “¿qué implica que sea de nivel medio en Integridad? ¿Y en Autenticidad? ¿Qué más tengo que cumplir si paso de nivel medio a alto?…”

En definitiva, siendo la valoración un ejercicio completamente arbitrario conviene conocer las implicaciones de valorar cada dimensión. Así que he perdido un rato ordenando los controles de forma que tenga claro qué significa cada incremento en la valoración para cada dimensión.

Os recuerdo que la valoración de activos del ENS se efectúa en base a cinco dimensiones: [I] Integridad, [C] Confidencialidad, [A] Autenticidad, [T] Trazabilidad, [D] Disponibilidad. La categoría final del sistema será el máximo valor de estas dimensiones.

Posteriormente, los controles aplican en función de la categoría del sistema o de su valoración para alguna de las dimensiones. Así que, cuando valoras alguna dimensión de nivel medio, tienes que cumplir todos los controles que tienen definidas medidas para categoría media y aquellos que, específicamente, tienen definidas medidas para valoración media de dicha dimensión.

Tened en cuenta que cuando se asigna un valor distinto de bajo (o sea medio o alto) pueden ocurrir dos cosas:

  • Que una medida existente tenga que cumplirse de forma ampliada o más estricta
  • Que haya que aplicar una nueva medida
Bueno, sin más dilación, os dejo una hoja con las consecuencias para la selección de cada nivel divididas por categoría y por dimensión. Se trata de una hoja servida por Google documents, si tenéis algún problema para verla, por favor, decidmelo.

Las Cortes han establecido que el cumplimiento del ENS coarta las libertades de los diferentes grupos de seguridad presentes en los organismos públicos que ya no pueden aplicar las medidas que quisieran y tienen que cumplir con el Real Decreto que “no siempre viene bien“.

Sin embargo, debido a la importancia de esta legislación, no está entre sus objetivos el derogarla ni modificarla (después de lo que ha costado). Por lo que han propuesto una curiosa medida para solucionar la situación.

Cada organismo podrá decidir qué tres medidas de las 75 presentes en el ENS no va a cumplir y deberá reflejarlo en la declaración de aplicabilidad. “De este modo se promueve la libertad particular de cada organismo a la vez que se cumplen la mayor parte de los controles del ENS“.

De hecho, esta medida no es nueva, ya se aplica de facto en el cumplimiento de la LOPD donde la mayor parte de las entidades decide no cifrar los datos de nivel alto, no registrar su acceso o, por ejemplo, abandona para siempre la ilusión de gestionar los soportes de información.

Ahora queda la tarea de pensar bien qué tres medidas son las que no se cumplen, porque lo que se decida ya es para siempre. Ya que bien se indica que “lo que no vale es ir cambiando cada dos por tres“.

¿Cuáles quitarías tú?

Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?

Recientemente, en declaraciones a Sevilla Sec&Beer, un alumno de la Universidad Politécnica de Madrid, al que llamaremos Federico Nanas para mantener su anonimato, ha confesado el verdadero origen del Esqsuema Nacional de Seguridad.

Todo comenzó cuando el profesor Mañas pidió a sus alumnos, una vez más, “otro coñazo trabajo de clase para desarrollar sus locuras personales“. Esta vez se trataba de crear un marco de trabajo de gestión de la seguridad para la Administración Pública. “No es la primera vez que nos pide que le haggamos trabajos inocentes que acaban siendo estándares” dijo Federico refiriéndose a la famosa metodología de análisis de riesgos MAGERIT.

Un grupo de alumnos, cansados ya de esta situación de explotación universitaria, quisieron vengarse del profesor redactando lo que llamaron el Engendro Nacional de Seguridad (ENS). Con ello pretendían burlarse de todos los sistemas de gestión de seguridad, creando un cutrepaste traducido de varios estándares.

Decidimos hacerlo enrevesado, con complejas valoraciones que luego resultan inútiles. Dimos mucha importancia al análisis de riesgos (sin nombrar MAGERIT para que no se notara mucho) e incluimos definiciones de responsabilidades difusas a propósito, para que no hubiera por donde meterle mano” nos confesaba otro miembro de grupo de trabajo. “Total, sólo era un trabajo de clase“.

Según hemos investigado, los alumnos ya le tienen cogido el estilo al profesor Mañas y saben que, mientras más enrevesado presenten los trabajos, mejor. “Lo que más valora es que haya muchas tablas con valoraciones, todo debe ser muy analítico, aunque las valoraciones sean imposibles de medir o inútiles“. Y, efectivamente, Federico nos contó que su grupo sacó la mejor nota de la clase.  El resto es historia.

Si llegamos a saber que iba a acabar siendo un Real Decreto nos lo habríamos currado un poco más” fueron las últimas palabras, a modo de excusa, de este alumno.

Buscando MAGERIT en Google, la primera página que me sale es una del colegio oficial de ingenieros de telecomunicación dedicada a esta entrañable metodología típicamente española.

Me llamó la atención el final de la página, el epígrafe titulado ‘Foro MAGERIT‘. Particularmente, este apartado:

En este marco, se hace una invitación muy especial a todos aquéllos que hayan utilizado MAGERIT, lo conozcan o incluso quienes lo hayan desechado, a compartir sus experiencias y razones, para entre todos contribuir a una futura versión 2.0 que mejor responda al cambiante entorno de la tecnología de la información. http://foro.map.es” (las negritas son mías)

Supongo que habréis pensado lo mismo que yo: “Oh ¡Dios mío! Un foro de MAGERIT donde escribe gente que lo ha intentado usar. Es demasiado bueno para ser cierto”. Y claro, como todas las cosas demasiado buenas para ser ciertas…


Si pinchas en el enlace te lleva a un portal de administración electrónica del ministerio de política territorial y administración pública :(. En este portal puedes encontrar información sobre MAGERIT, el ENS y otras historias del Gobierno.

Sin embargo no he visto ningún foro de MAGERIT, sólo uno de ‘administración electrónica’. A lo más que llegas es a poder ‘opinar’ en la sección de MAGERIT, pero nadie parece haberlo hecho. Bueno, de hecho, el portal parece un poco desangelado. La encuesta es algo chufla. Casi nadie ha hecho valoraciones de las diferentes secciones. Aún así la sección de MAGERIT está la 18 de 20 en el ranking de valoración :).

Lo más gracioso de todo es que digan “o incluso quienes lo hayan desechado“, como si fuera algo inusual. Yo hubiera puesto más bien “o incluso a quiénes les haya sido útil“. Eso sí que sería raro.

“Todas las cosas por un poder inmortal
cerca o lejos
ocultamente
están unidas entre si,
de tal modo que no puedes agitar una flor
sin trastornar una estrella” — Francis Thomson

Inspirado en un comentario de @Vic donde decía que el análisis de riesgos servía para priorizar los sistemas de información me quedé pensando ¿de verdad sirve para algo priorizar los sistemas de información?

Una de los aspectos diferenciales del ENS del que se jactan sus creadores es el hecho de que las medidas de protección son proporcionales a la importancia de los activos.

Esto significa que un activo poco importante tendrá menos y peores medidas de seguridad que un activo importante. Así dicho parece muy razonable, ¿no?

Lamentablemente la realidad no son tan sencilla. Como dice Thomson, todas las cosas están unidas entre sí. Todos los sistemas de información están relacionados entre sí, pueden compartir redes, sitio físico, usuarios, operadores, administradores, responsables, almacenamiento, etc.

Por lo que atacando primero a un sistema poco importante y más indefenso podemos conseguir una avanzadilla para atacar a otro de nivel medio y luego a otro de nivel alto. Esto suele llamarse pivotar.

Como metáfora ilustrativa os propongo un ejercicio. Imaginaos una casa que tiene un pasillo central y muchas habitaciones. Cada habitación tiene una función. Algunas, como el dormitorio o salón, son de nivel alto. Otras como el cuarto de baño o la cocina son de nivel medio. Y por último, la sala de estar es de nivel bajo.

Así que pensamos que es mejor poner rejas con pinchos y alarma en las ventanas de las habitaciones de nivel alto, rejas con pinchos sin alarma en las de nivel medio y rejas sin pinchos en la sala de estar.

Así visto, total, si alguien entra en la sala de estar no pasa nada porque no hay nada de valor. Pero la sala de estar está conectada al pasillo y desde ahí podemos intentar atacar las otras habitaciones. Entonces alguien puede pensar que se protegen las puertas de cada habitación, con mejores protecciones cuánto más importante sean.

En ese caso nos podemos quedar en el pasillo, esperando a que alguien salga para atacarlo. Si decidimos proteger el pasillo de algún modo (por ejemplo, llaves para salir de cada habitación, siempre podemos hacer ruido en la sala de estar y esperar a que alguien entre a ver qué ha pasado. O bien podemos prenderle fuego. O pintarla de graffitis.

¿Lo vais pillando? Una vez se tiene éxito atacando a un activo, las posibilidades son numerosas, sólo limitadas por la falta de imaginación o de tiempo.

Aún así, esto no quiere decir que todos los sistemas tengan que tener las mismas medidas. Siempre habrá que considerar qué medidas son adecuadas en función de sus necesidades. Que no hace falta firma digital, perfecto. Que basta con una copia a la semana, pues vale. Pero no porque sean poco o muy importantes, sino atendiendo a requisitos de protección de la información.

Y otro asunto sucio del ENS es que los sistemas no sólo pueden estar en alguna de las tres categorías (básica, media y alta) sino que también están aquellos que no están en el ámbito. Pero esta es una historia que será contada en otra ocasión…

druida

Llevo un rato dándole vueltas al título del post, barajaba unos cuantos:

  • El responsable de seguridad y tú.
  • Tu primer responsable de seguridad.
  • Responsables de seguridad al borde de un ataque de nervios.
  • Ser responsable de seguridad y no morir en el intento.
  • ….

Bueno, el título es lo de menos… la cuestión es que hace unos meses la Junta de Andalucía publicó su Política de Seguridad. Podéis ver el Decreto en el BOJA. Y en el artículo 11 hablan del “Responsable de Seguridad“, os copio un cachito del texto:

Artículo 11. Responsable de seguridad TIC.

1. En cada una de las entidades incluidas en el ámbito de aplicación del presente Decreto deberá existir una persona, garantizando el principio de función diferenciada recogido en el artículo 5.j), que ejerza las funciones de responsable de seguridad TIC de la entidad, debiendo ser nombrada por el Comité de Seguridad TIC de la misma.

Pues bueno, imagino que las entidades de nuestra administración autonómica andarán preocupadas dándole vueltas al tema. Ya sabes como somos por estas tierras, que sale una norma y todos nos apresuramos a cumplirla como si nos fuera la vida en ello :P.

Y la verdad, elegir un responsable de seguridad no es tarea sencilla, al menos si se quiere hacer las cosas bien y no simplemente salir del paso.

Pero me temo que la aproximación al problema no será la ideal (al menos desde mi humilde punto de vista). Creo que lo usual será pensar en puestos y no en personas. Esto es debido a que por desgracia, en los tiempos que nos ha tocado vivir, no se valora al ser humano. Lo importante es el cacharrito, la metodología, el sistema de gestión y el procedimiento.  El profesional es lo de menos…

Así que insisto… me temo que lo habitual será que aquel que tenga la difícil tarea de elegir un responsable de seguridad pensará inconscientemente y de forma natural en puestos y no en personas cualificadas.

Pensará si es mejor que el responsable de seguridad sea el responsable de sistema, el jefe de servicio de informática, el encargado de explotación, el de calidad, el director, el secretario general, el chófer o el conserje.

Después se topará con el maldito dilema de la función diferenciada, con el hecho de que los puestos sobre el papel no se corresponden siempre con las responsabilidades sobre el terreno y con que la vida es finita, su tiempo sobre la tierra se acaba y debe tomar una decisión antes de ser pasto de los gusanos…

¿Y qué haría yo?… primero comprender la función del responsable de seguridad, ¿qué tiene que ser capaz de hacer?. Después tratar de conocer la organización ¿de que alternativas dispongo? Y por último probar, probar y probar… porque si algo he aprendido en mis 29 años de tránsito por la vida es que pocas cosas funcionan a la primera… y esta no va a ser una excepción..

Cada organización es un mundo, y el que diga que se puede estandarizar la gestión… pues un mojón pa’el, pa’la ISO, pa’itil y pa’l consultor que los parió… así que tampoco hay una solución estándar para elegir responsables de seguridad. Pero sí creo que hay ciertas cualidades que marcarán el éxito de la aventura:

  • El Responsable debe tener experiencia: no en seguridad sino en la vida. Para solucionar problemas complejos y difusos es útil haberse enfrentado a otros problemas antes, aunque sean problemas completamente distintos.
  • El Responsable debe tener don de gentes: deberá motivar la toma de decisiones, deberá también motivar al resto de la organización a cambiar de hábitos y a trabajar por la seguridad común. Esto no lo consigue alguien sin carisma.
  • El Responsable debe conocer la organización: es necesario conocer el entorno, a las personas y los procedimientos no escritos por los que se mueve la organización. Para esto es muy importante pararse a mirar, a escuchar y aprender de todos.
  • El Responsable debe ser creativo: los problemas de seguridad no tienen solución conocida a priori, en cada caso es necesario analizar el problema (las causas raíz, no los síntomas) y buscar la mejor solución. Para esto hace falta echarle imaginación al asunto.
  • El Responsable debe ser paciente: Zamora no se tomó en una hora y el trabajo en seguridad no acaba nunca. Una organización no es una foto, es una película…. y asegurar algo en movimiento continuo exige estar siempre en movimiento continuo. Debe tener tiempo, la prisa mata y lo que es peor cuesta dinero… es crucial parar y pensar y volver a parar a pensar.
  • El Responsable debe ser crítico: escéptico con lo que le cuenten los demás y con sus propias soluciones. En el mundo de la seguridad hay demasiados dogmas y no todos aplican en todas las circunstancias.
  • El Responsable debe sentir pasión por su misión: ser responsable de seguridad es difícil y frustrante en muchas ocasiones. Es un trabajo solitario y desagradecido. Si la persona encargada no disfruta con este trabajo lo hará mal o no lo hará y lo que es peor… pasará un mal rato. Pero para quién disfrute con ello será un continuo reto, un juego intelectual que no tiene versión para PS3 o XBox…

El tiempo dirá si ese párrafo del Decreto de la Junta sirvió de algo para mejorar tan singular organización…

 

¿Es posible vender un trabajo de calidad en seguridad de la información y ser competitivo a la vez?.

Yo no tengo la respuesta, lo único que se es lo que cada día veo en este rincón del planeta:

1. Presentaciones comerciales repletas de humo o miedo. ¡¡Que vienen los chinos!!.

2. “Consultores” mileuristas vendidos a precio de senior.

3. Comerciales intentando convencerte para que compres cacharros que solucionan tus problemas con solo pulsar un botón.

¿Estará la respuesta en la teoría del Dr. Murray Joshe “Catharsis by destruction”?.

Hoy se ha publicado en el BOJA la política de seguridad de la Junta de Andalucía. La verdad es que leer textos legales (aunque sean de seguridad) es un rollo, así que he pensado en echar un vistazo general usando Wordle.

Wordle de la política de seguridad de la Junta de Andalucía

Wordle de la política de seguridad de la Junta de Andalucía

Mucho mejor así, ¿eh? Lo tenéis aquí por si queréis verlo en Java, aunque no parece que se pueda editar.

Para contentar a @lmmarcos y a @esanz adjunto otro con sólo minúsculas y con colores menos corporativos (bueno… un poco sí).

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Por otro lado, podéis jugar con el data set de la política en manyeyes.

He creado este ‘árbol de palabras’ que viene muy bien para analizar el texto. Por ejemplo, escribiendo ‘ley’ en el recuadro podéis ver todas las leyes a las que hace referencia el texto.

Probad con ‘seguridad’ (start y end) para verle el gustillo al tema este. O con ‘principio’ para ver el listado de principios que enumera la política.

Por cierto, ¿qué os parecen este tipo de visualizaciones? ¿ Útiles? ¿Chulas? ¿Inútiles?