Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?

Limpiando el polvo a la estantería me encuentro con esto, la guía prenatal de la seguridad.

Guía prenatal de la seguridad

Jeje, me imagino a la madre contandole a la barriga los principios de seguridad, las buenas prácticas y el mind-set del profesional de seguridad día tras día a ver si cuando nace ya viene con eso aprendido.

En cualquier caso, esto me ha hecho pensar sobre el papel que tendría que tener la Universidad como gestador de nuevos profesionales tanto en el mundo de las TI como fuera de él respecto a la seguridad de la información.

De lo poco que conozco del tema, sé que se dan nociones de seguridad en clases de redes de ordenadores, lo cual es la mejor forma de dejar la impronta de que la seguridad es cosa de redes, lo que no es el caso, y mucho menos ahora.

Otros que he visto son tipo master y, la verdad, no sé hasta que punto son buenos. Yo impartí clases en un master de este tipo una vez y la gente estaba muy decepcionada, en general, con la calidad y la utilidad de los mismos.

Si yo tuviera de diseñar un curso de seguridad para técnicos, lo enfocaría a explicar el Anderson, uno de los hombres sabios de la seguridad según Bejtlich. En su libro, Anderson, explica cómo construir sistemas ‘seguros‘ en diversos ámbitos y explica los principios de seguridad asociados.

Además de ese texto, añadiría al curso un poco del excepticismo de Marcus Ranum y el pensamiento científico de Dan Geer para dotar a los chavales de pensamiento crítico y de intentar ver las cosas buscando extraer información de datos reales y no de la imaginación o la superchería que roda muchos de estos entornos.

Me alejaría de centrarlo en medidas técnicas específicas o de explicar análisis de riesgos (tan alejados del mundo real) o de seguir los controles de la 27002 o el modo de pensar de la 27001.

Por el contrario, si tuviera que diseñar un curso para otras carreras no técnicas, tipo económicas, empresariales, etc. me centraría en la relación entre la tecnología y el negocio y cómo afecta a la seguridad las malas decisiones que se toman en negocio.

¿Alquien conoce algún curso interesante de Universidad centrado en seguridad que se imparta en carreras técnicas? ¿Y en carreras no técnicas? ¿Alguna Universidad interesada en profesores que expliquen seguridad?