Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?

Recientemente, en declaraciones a Sevilla Sec&Beer, un alumno de la Universidad Politécnica de Madrid, al que llamaremos Federico Nanas para mantener su anonimato, ha confesado el verdadero origen del Esqsuema Nacional de Seguridad.

Todo comenzó cuando el profesor Mañas pidió a sus alumnos, una vez más, “otro coñazo trabajo de clase para desarrollar sus locuras personales“. Esta vez se trataba de crear un marco de trabajo de gestión de la seguridad para la Administración Pública. “No es la primera vez que nos pide que le haggamos trabajos inocentes que acaban siendo estándares” dijo Federico refiriéndose a la famosa metodología de análisis de riesgos MAGERIT.

Un grupo de alumnos, cansados ya de esta situación de explotación universitaria, quisieron vengarse del profesor redactando lo que llamaron el Engendro Nacional de Seguridad (ENS). Con ello pretendían burlarse de todos los sistemas de gestión de seguridad, creando un cutrepaste traducido de varios estándares.

Decidimos hacerlo enrevesado, con complejas valoraciones que luego resultan inútiles. Dimos mucha importancia al análisis de riesgos (sin nombrar MAGERIT para que no se notara mucho) e incluimos definiciones de responsabilidades difusas a propósito, para que no hubiera por donde meterle mano” nos confesaba otro miembro de grupo de trabajo. “Total, sólo era un trabajo de clase“.

Según hemos investigado, los alumnos ya le tienen cogido el estilo al profesor Mañas y saben que, mientras más enrevesado presenten los trabajos, mejor. “Lo que más valora es que haya muchas tablas con valoraciones, todo debe ser muy analítico, aunque las valoraciones sean imposibles de medir o inútiles“. Y, efectivamente, Federico nos contó que su grupo sacó la mejor nota de la clase.  El resto es historia.

Si llegamos a saber que iba a acabar siendo un Real Decreto nos lo habríamos currado un poco más” fueron las últimas palabras, a modo de excusa, de este alumno.

druida

Llevo un rato dándole vueltas al título del post, barajaba unos cuantos:

  • El responsable de seguridad y tú.
  • Tu primer responsable de seguridad.
  • Responsables de seguridad al borde de un ataque de nervios.
  • Ser responsable de seguridad y no morir en el intento.
  • ….

Bueno, el título es lo de menos… la cuestión es que hace unos meses la Junta de Andalucía publicó su Política de Seguridad. Podéis ver el Decreto en el BOJA. Y en el artículo 11 hablan del “Responsable de Seguridad“, os copio un cachito del texto:

Artículo 11. Responsable de seguridad TIC.

1. En cada una de las entidades incluidas en el ámbito de aplicación del presente Decreto deberá existir una persona, garantizando el principio de función diferenciada recogido en el artículo 5.j), que ejerza las funciones de responsable de seguridad TIC de la entidad, debiendo ser nombrada por el Comité de Seguridad TIC de la misma.

Pues bueno, imagino que las entidades de nuestra administración autonómica andarán preocupadas dándole vueltas al tema. Ya sabes como somos por estas tierras, que sale una norma y todos nos apresuramos a cumplirla como si nos fuera la vida en ello :P.

Y la verdad, elegir un responsable de seguridad no es tarea sencilla, al menos si se quiere hacer las cosas bien y no simplemente salir del paso.

Pero me temo que la aproximación al problema no será la ideal (al menos desde mi humilde punto de vista). Creo que lo usual será pensar en puestos y no en personas. Esto es debido a que por desgracia, en los tiempos que nos ha tocado vivir, no se valora al ser humano. Lo importante es el cacharrito, la metodología, el sistema de gestión y el procedimiento.  El profesional es lo de menos…

Así que insisto… me temo que lo habitual será que aquel que tenga la difícil tarea de elegir un responsable de seguridad pensará inconscientemente y de forma natural en puestos y no en personas cualificadas.

Pensará si es mejor que el responsable de seguridad sea el responsable de sistema, el jefe de servicio de informática, el encargado de explotación, el de calidad, el director, el secretario general, el chófer o el conserje.

Después se topará con el maldito dilema de la función diferenciada, con el hecho de que los puestos sobre el papel no se corresponden siempre con las responsabilidades sobre el terreno y con que la vida es finita, su tiempo sobre la tierra se acaba y debe tomar una decisión antes de ser pasto de los gusanos…

¿Y qué haría yo?… primero comprender la función del responsable de seguridad, ¿qué tiene que ser capaz de hacer?. Después tratar de conocer la organización ¿de que alternativas dispongo? Y por último probar, probar y probar… porque si algo he aprendido en mis 29 años de tránsito por la vida es que pocas cosas funcionan a la primera… y esta no va a ser una excepción..

Cada organización es un mundo, y el que diga que se puede estandarizar la gestión… pues un mojón pa’el, pa’la ISO, pa’itil y pa’l consultor que los parió… así que tampoco hay una solución estándar para elegir responsables de seguridad. Pero sí creo que hay ciertas cualidades que marcarán el éxito de la aventura:

  • El Responsable debe tener experiencia: no en seguridad sino en la vida. Para solucionar problemas complejos y difusos es útil haberse enfrentado a otros problemas antes, aunque sean problemas completamente distintos.
  • El Responsable debe tener don de gentes: deberá motivar la toma de decisiones, deberá también motivar al resto de la organización a cambiar de hábitos y a trabajar por la seguridad común. Esto no lo consigue alguien sin carisma.
  • El Responsable debe conocer la organización: es necesario conocer el entorno, a las personas y los procedimientos no escritos por los que se mueve la organización. Para esto es muy importante pararse a mirar, a escuchar y aprender de todos.
  • El Responsable debe ser creativo: los problemas de seguridad no tienen solución conocida a priori, en cada caso es necesario analizar el problema (las causas raíz, no los síntomas) y buscar la mejor solución. Para esto hace falta echarle imaginación al asunto.
  • El Responsable debe ser paciente: Zamora no se tomó en una hora y el trabajo en seguridad no acaba nunca. Una organización no es una foto, es una película…. y asegurar algo en movimiento continuo exige estar siempre en movimiento continuo. Debe tener tiempo, la prisa mata y lo que es peor cuesta dinero… es crucial parar y pensar y volver a parar a pensar.
  • El Responsable debe ser crítico: escéptico con lo que le cuenten los demás y con sus propias soluciones. En el mundo de la seguridad hay demasiados dogmas y no todos aplican en todas las circunstancias.
  • El Responsable debe sentir pasión por su misión: ser responsable de seguridad es difícil y frustrante en muchas ocasiones. Es un trabajo solitario y desagradecido. Si la persona encargada no disfruta con este trabajo lo hará mal o no lo hará y lo que es peor… pasará un mal rato. Pero para quién disfrute con ello será un continuo reto, un juego intelectual que no tiene versión para PS3 o XBox…

El tiempo dirá si ese párrafo del Decreto de la Junta sirvió de algo para mejorar tan singular organización…

 

Hoy se ha publicado en el BOJA la política de seguridad de la Junta de Andalucía. La verdad es que leer textos legales (aunque sean de seguridad) es un rollo, así que he pensado en echar un vistazo general usando Wordle.

Wordle de la política de seguridad de la Junta de Andalucía

Wordle de la política de seguridad de la Junta de Andalucía

Mucho mejor así, ¿eh? Lo tenéis aquí por si queréis verlo en Java, aunque no parece que se pueda editar.

Para contentar a @lmmarcos y a @esanz adjunto otro con sólo minúsculas y con colores menos corporativos (bueno… un poco sí).

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Por otro lado, podéis jugar con el data set de la política en manyeyes.

He creado este ‘árbol de palabras’ que viene muy bien para analizar el texto. Por ejemplo, escribiendo ‘ley’ en el recuadro podéis ver todas las leyes a las que hace referencia el texto.

Probad con ‘seguridad’ (start y end) para verle el gustillo al tema este. O con ‘principio’ para ver el listado de principios que enumera la política.

Por cierto, ¿qué os parecen este tipo de visualizaciones? ¿ Útiles? ¿Chulas? ¿Inútiles?

ENISE

Este año INTECO y la Junta de Andalucía me han dado la oportunidad de participar como ponente en ENISE, y tengo que agradecérselo pues la experiencia ha sido de lo más interesante. Por desgracia y porque el tiempo no nos sobra solo he podido quedarme un día. Os cuento mis impresiones…

Dejando a un lado el escenario incomparable, la ciudad de León, el parador de San Marcos donde nos alojaron y se desarrollaron la mayoría de los talleres, la comida, la fantástica organización, lo agradable que es la gente por allí, etc… la sensación que he tenido es como si me hubiera despertado de repente en un manicomio.

Allí cada loco va con su tema y los demás hacen como que lo que cuenta es completamente coherente… uno va y dice que es Napoleón y los demás asienten y le llaman Monsieur… y luego otro va y dice que ellos tienen una maquina para viajar en el tiempo y los demás viéndolo como algo normal asienten y le felicitan… todo son palmaditas en la espalda y el mundo es de color de rosa…

Y entre todos los locos que se pasean por el patio yo con cara de tonto, me empiezo a plantear si seré yo el que está zumbado… porque si no no lo entiendo… ¿y qué hago? ¿me hago también el loco y digo ser Julio César…? porque claro… si a Napoleón le dices que su caballo es de cartón piedra y se te ocurre decir que lo de la máquina del tiempo es ciencia ficción y de la mala… lo mismo te echan del manicomio a patadas en el culo… que en los manicomios no quieren gente cuerda…

Pero entonces… en las pausas de café o de la comida, te acercas a un grupo y escuchas algún comentario y ves destellos de lucidez en los ojos de alguno de los que se pasean por allí que te hacen notar que no eres el único que está flipando con lo que escucha… que hay más Demians y Sinclairs por ahí sueltos con sus marcas de Caín sobre la frente… pero que también se hacen los locos para poder estar en el manicomio…

Cada vez tengo más claro que las administraciones no saben lo que necesitan en cuanto a seguridad y por el otro lado que las empresas de seguridad que les ofrecen sus servicios no saben cuales son los problemas reales de las administraciones y mucho menos cuales son las soluciones realistas a sus problemas de seguridad. Seguro que es culpa de todos y de ninguno, no digo que no, pero las cosas están así… y unos por otros la casa sin barrer….

Por otro lado, estoy ya saciado de “casos de éxito”…. ya he escuchado todos los que necesitaba… lo que necesito ahora son “casos de fracaso”… dicen que se aprende más de los errores que de los aciertos…

No estaría mal organizar un evento en el que los ponentes nos contaran sus errores y así no repetirlos los demás. Podríamos llamarlo Encuentro Internacional de Fracasos en Seguridad de la Información….

Ya lo estoy viendo, sube el pollo al estrado pone su presentación llena de letras y cuadros de mando y zas… nos cuenta sus miserias… para después abandonar la sala balbuceando… “aún estáis a tiempo, no hagáis lo que yo hice…”

La idea que más me ha gustado de todas las que he escuchado en el evento, la lanzó un ponente que venía de tierras lejanas… un europeo nada más y nada menos…  y dijo algo así como que estudiemos el problema, que la mayoría de las veces buscamos la solución antes de comprender el problema… y creo que lleva mucha razón.

Y sin duda lo mejor de todo, las conversaciones con viejos y nuevos conocidos, el intercambio de experiencias, frustraciones y expectativas… una experiencia para repetir.

Cuando veo iniciativas como el Esquema Nacional de Seguridad me parece que los creadores tienen buenas intenciones pero no tienen ni idea de cómo son las cosas.

Y no porque lo que digan sea ‘demasiado bueno para la realidad‘ sino porque la organización que proponen y la forma de acometer la gestión de la seguridad es bastante inútil, por no decir contraproducente.

Y no es que yo lo sepa todo. Que yo sólo tengo dudas. Creo que es más uno de esos casos de sesgo cognitivo. Al estar más cerca del problema y verme más afectado por él, tengo muchas más dudas y veo muchos más errores en la forma de abordar el ENS de lo que ven sus creadores, que dudo que se enfrenten a él de una forma directa.

Logo del ENS

Logo del ENS

Es lo mismo que pasa con las metodologías de riesgos como MAGERIT.
Aparentemente, para alguien que no haya hecho ni vaya a hacer nunca un análisis de riesgos y que se lo mire por encima, le parece muy razonable.

Sin embargo, cualquiera con dos dedos de frente que se haya puesto a hacer en serio un análisis de riesgos con MAGERIT y PILAR sabe que no vale para nada. Pero desde el MAP y el CCN les parece que es una metodología genial y siguen pagando por el desarrollo de la herramienta PILAR.

Es fácil hacer un marco de trabajo teórico que parezca ‘razonable’ y ‘lógico’, pero no todo lo que parece ‘razonable’ o ‘lógico’ tiene por qué ser cierto o puede llevarse a la práctica.

La cosa es que el otro día estuve viendo la película ‘Lo que queda del día‘ y me quedé con el discurso de mister Lewis que incluyo a continuación (extraído del libro, no de la película).

“Durante unos instantes reinó un silencio embarazoso hasta que, por fin, mister Lewis se puso en pie, sonriendo afablemente como era su costumbre… finalmente, volvió a sonreír y dijo: … me disculparán por lo que voy a decir, pero, a mi juicio, parecen ustedes una pandilla de ingenuos soñadores y serían unos caballeros encantadores si no se empeñasen en entrometerse en asuntos que afectan a todo el planeta. Pongamos como ejemplo nuestro anfitrión, aquí presente. En el fondo, ¿qué es? Un caballero, y supongo que en eso están todos de acuerdo. Un típico caballero inglés, recto, bienintencionado, sí, pero un mero aficionado…pero hoy en día los asuntos internacionales ya no pueden estar en manos de aficionados, y cuanto antes lo comprendan ustedes aquí, en Europa, mejor. Y ahora, amables y bienintencionados caballeros, permítanme que les pregunte algo. ¿Tienen idea de cómo evoluciona el mundo que los rodea? Ya forman parte del pasado los días en que se podía ser bondadoso…Hay caballeros como nuestro buen anfitrión que se creen con derecho a entrometerse en asuntos que no entienden. Se han dicho muchas tonterías estos días. Con muy buen corazón y muy buena intención, pero tonterías. Lo que necesitan en Europa son buenos profesionales que dirijan sus asuntos, y como no reaccionen pronto, están abocados al desastre. Ahora brindemos, caballeros, brindemos por los profesionales”.

El Esquema parece haber sido creado por gente que no conoce ni como hacer gestión de la seguridad actualmente ni como funciona la Administración Pública. Y, además, tienen el ego suficiente para pensar que son capaces de definir cómo tienen que gestionar la seguridad todas las Adminsitraciones Públicas de España.

Con esto sólo consiguen confundir en un campo que ya provoca bastante confusión per se. Claro que tiempo tuve para opinar cuando era un borrador y no dije ni ‘mú’. Aunque tampoco creo que me hubieran hecho ni *$#! caso.

De todos modos, leedlo y sacad vuestras propias conclusiones. No todo es malo del Esquema, pronto espero poder publicar un análisis del mismo donde valoro lo bueno y lo malo que tiene.

Os animo a echar un vistazo a esta presentación sobre cumplimiento del Guerilla CISO.

En la slide 36 podéis ver el enunciado de la Ley de Rybolov referida a la implantación de controles en un entorno de ‘cumplimiento normativo’ que os traduzco a continuación.

“Mi solución sólo es tan buena como la habilidad del auditor para entenderla”

Quisiera añadir el corolario de chmeee a la Ley de Rybolov, también llamado el cambio mínimo necesario, que enuncio a continuación.

“Cada requisito se cumplirá con la solución mínima con la que se pueda demostrar que es conforme al texto normativo, independientemente de la seguridad que aporte y aprovechando la ambigüedad del mismo”

En mi siguiente post os contaré un ejemplo real (y triste) del corolario. Y recordad “no hay mayor placer que cumplir sin cumplir“.