Paloma Llaneza

Un grupo de profesionales de la seguridad, el Derecho y la protección de datos que, además, somos amigos nos hemos constituido en asociación para el desarrollo del estudio y la regulación, voluntaria y legal, de las evidencias y las pruebas electrónicas.

Se llama AEDEL y estáis todos invitados.

Trás agónicas discusiones para que me ampliaran la acreditación de experto legal a legal/técnico y tras recibir una amabilísima invitación de la APDCM en la persona de Emilio Aced, la semana que viene me voy a Estocolmo de speaker a hacer patria en el Proyecto EuroPriSe, en plan grupo de autoayuda, contando mi experiencia como evaluador de un cliente pendiente de certificación en este esquema.

El Workshop es gratis aunque con lo que cuesta el viaje a Estocolmo no es lo mismo que si quedara aquí al lado. Pero en medio de esta crisis pelona, he decidido que un poco de frío nórdico siempre viene bien para aclarar las ideas paseando por sus estupendos mercados navideños.

En fin, lo sobrellevaremos dignamente a base de Aquavit con los que vengais. Los que no, ya os lo contaremos a la vuelta.

Compartiendo página con el Cuéntame y el coñazo de Rajoy, e ilustrado con una foto absurda de unos kuwaities más preocupados de la bajada del petroleo que de lo que haga Google con sus datos, El País me publica un humilde articulillo. Y además en el día de las Pilares, que como sabéis, es mi otra identidad.

En fin, que pido perdón por la autoreferencia. A ver si Google me indexa rapidito y deja de ponerme anuncios de control de plagas.

Reaparezco apresurada para contaros que que las normas de ESI sobre correo electrónico certificado (REM) fueron publicadas el pasado viernes 3 de octubre.   Aquí tenéis las referencias.

Parte 1 –Arquitectura;
Parte 2- Formato de mensaje y de evidencias:
Parte 3- Política de gestión de seguridad de los prestadores.

Sed pacientes porque aún no les ha dado tiempo a colgar la versión final.

La microseguridad y la macroseguridad, dos caras de una misma moneda

Por Javier Cao Avelaneda

Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información. Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.

• La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.
• La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.

Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas.

Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar. En cualquier caso, microseguridad y macroseguridad están obligadas a entenderse. Cada una tiene un papel y trabaja a un nivel en la organización, pero los resultados no se obtienen sin una coordinación de esfuerzos. No sirve de nada una buena estrategia y plan de seguridad si los usuarios no están concienciados, o los técnicos no configuran bien las medidas técnicas.

La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando. Desaparece la filosofía de protección para evitar daños para ser sustituida por la protección de los activos para lograr unos objetivos de seguridad.

El artículo completo que referencia Taosecurity se puede leer en Information Security and Business Integration.

Me escriben un par de amigos bloggers interesándose por EuroPrise, un sello llamado de calidad (ya os diré por qué no lo considero de calidad) que ha montando una autoridad de control alemana para certificar, en principio, producto y ahora también servicios.

Como aparezco en la lista como la primera experta acreditada por España (prometo que fue por estricto orden de caída) y hay confianza, me dirigen varias preguntas sobre el esquema de certificación que les contesté apresuradamente.

Una vez que he acabado el informe del cliente que he presentado al piloto y mi nuevo “examen” para ampliar mi acreditación de experto legal a experto legal-técnico, hago un hueco para compartir con vosotros esas respuestas y algunos problemas que la aplicación práctica del esquema me han generado.

La certificación se produce contra la directiva comunitaria de protección de datos y las normas nacionales en donde el producto/ servicio se distribuya/preste. Documentalmente, se trabaja con los siguientes documentos:

- EuroPriSe Evaluation Manual for Experts, que es una especie de metodología, en la que se distinguen las fases de evaluación y los documentos aplicables.

- EuroPriSe Catalogue for Experts (v0.3): organizado en cuatro areas, es un gran checklist de cumplimiento contra la Directiva y normas nacionales

- EuroPriSe Criteria Catalogue for Experts (version 0.3): contiene el catálogo y lo explica, ampliando con información útil para el evaluador.

- Por último, hay un modelo de informe (Evaluation Report Template) que ha de ser respetado.

Las entidades de certificación son las agencias que se han unido al proyecto, y los evaluadores somos los expertos, a quien nos contrata el evaluado. Este esquema tiene el riesgo de que el experto se vea abocado a hacer consultoría. La situación óptima sería la que se contempla en esquemas de certificación normativos, en las que el auditor es no sólo acreditado y seleccionado, sino también pagado, por la entidad de certificación de la que depende contractualmente.

Otra de las mejoras que incluiría en el esquema sería la de dividirlo en dos (uno de producto y otro de proceso/servicio/SI) con sus correspondientes catálogos independientes, estructurando mejor el de proceso, con inclusión, en su caso, del sistema de gestión que actualmente no contempla. Se echa de menos también una metodología de auditoría más precisa, y se echa de más la distinción entre datos primarios y secundarios, que parece que se arrastra de la certificación de producto. Esta distinción, desde la perspectiva de proceso es innecesaria, pues si se trata de datos personales, todos, primarios o no, han de ser tenidos en consideración en la evaluación.

También he detectado un problema de indefinición. Aunque se califica este sello como de calidad, la realidad es que no es un sello de calidad sino de cumplimiento legal, ya que nuestro documento normativo (esto es, el documento contra el que certificamos) no es una norma de cumplimiento voluntario tipo ISO o UNE, sino la directiva y normativa nacional de cumplimiento obligatorio. No tenemos, por tanto, un documento normativo de calidad (que es un plus sobre el cumplimiento obligatorio) sino una combinación de normas comunitarias y nacionales en forma de checklist.

Lo anterior, que es muy interesante a la hora de vender un producto compliant, es muy peligroso al vender una organización compliant. Mientras el fabricante del producto no va a ser sancionado si lo que vende no cumple, la organización sí.

Se que muchos creen que un sello de este tipo le blinda frente a inspecciones. Puede. O puede que no.

No os esforcéis mucho en aprenderos la 27002, que vamos a cambiarla.

En la próxima reunión del SC27 internacional en Chipre comenzamos la revisión.

Ya os contaré en qué sentido cuando lo sepa.

Ando estos días metida en varios líos relativos a las pruebas/evidencias electrónicas y, los azares de la blogosfera, Javier comenta el post anterior y yo encuentro en su blog que el departamento de Justicia de Estados Unidos ha publicado una segunda edición de su “Electronic Crime Scene Investigation: A Guide for First Responders”.

En cuanto a mis lios, ya os iré contando.

Me noto hiperactiva: unas semanas tanto y otros meses tan poco. Pero es que no puedo dejar de compartir la exclusiva: el domingo pasado 15 de junio, que ya será el lunes, se ha publicado la norma ISO/IEC 27005:2008-06-15 (1st edition) Infomation technology – Security techniques-Information security risk management.

Ha costado sacarla, pero, al final, no ha quedao tan mal.

Antes de que algún despistado me pida una copia, que sepáis que es de pago, incluso para mi.

ENISA, que debe de tener un presupuesto que pá mi lo quisiera, ha caído en algo que está en todo los check-list de un auditor de sistemas que se precie: qué pasa con la salida de información de la organización en soportes removibles, cuántos se pierden por esos mundos de Dios, por qué a todo el mundo le cuesta tanto cifrar la información… a lo que la entidad a la que auditas te responde que qué más da, que los trabajadores ya se llevan la información cargándola en Gmail, momento en el que tiras tu check list a la basura y vuelves a empezar.

Para los que aún confíen en las buenas prácticas y el sentido común, aquí está el informe. A ver si a base de recordar lo obvio nos hacen un poquito de caso.