jueves, 28 de junio de 2007 0 comentarios

Llega la Ley de la Administración Electrónica

Con fecha del 23 de junio, ha aparecido en el BOE la esperada "LEY 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP).

Como otras leyes ya publicadas relacionadas con la tecnología, uno no sabe si realmente es un avance "político" o un avance "real". Las cosas en papel quedan muy bien definidas y dibujadas pero las leyes no pueden ser una mera declaración de intenciones sino que deben articular las "condiciones" que van a regir en el uso o servicios que se están tratando de regular.

Y es que esto de la "digitalización" de las Administraciones Públicas es peligroso. Esta ley aparece con un carácter horizontal y establece como los servicios públicos deben empezar a migrar hacia las tecnologías de la información para dar servicios telemáticos.

Va a depender de cómo se afronte este proceso y de la profundidad con la que se haga para que realmente esta ley sirva para rentabilizar el uso de las tecnologías de la información. Ya tenemos muchos portales de las Administraciones Públicas que han entendido que la e-Administración es disponer de los formularios en PDF para que los pueda rellenar en casa, pero que siguen haciendome ir presencialmente a entregar el dichoso papel.

Otra gente si está realmente haciendo la reingeniería de procesos necesaria para establecer cómo se van a hacer las cosas ahora utilizando las tecnologías de la información, sin olvidar en todo momento, garantizar la seguridad jurídica del proceso. En este blog ya se ha comentado varias veces el papel crítico que juega la seguridad de la información como cimiento básico de cualquier servicio tecnológico.

El peligro que veo yo es en relación al ciudadano y su posible indefensión frente a las negligencias de la Administración. Ya me veo yo en la dificultad de poder demostrar que el servidor Web de la Consejería de turno estaba caído y que no pude tramitar mi expediente pero por un "error" informático. También el "analfabetismo tecnológico" de nuestra sociedad lleva a la gente a querer hacer las cosas con los nuevos medios pero sin estar a veces capacitados para ello. Ante una problemática como el acceso Web a un servidor a ver cómo un usuario normal es capaz de identificar si es el proveedor de Internet, su equipo PC, el servidor Web. Voy a leer en profundidad lo que nuestros políticos han redactado para ver si tengo o no motivos para asustarme más o menos.
viernes, 22 de junio de 2007 2 comentarios

Introducción a ITIL

Hoy toca hablar de ITIL. Según define la wikipedia, "La Information Technology Infrastructure Library (‘Biblioteca de Infraestructura de Tecnologías de Información’), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.La Gestión de Servicio ITIL está actualmente integrado en el estándar ISO 20000"

Es, al igual que la ISO 17799:2005 la referencia en materia de gestión de la seguridad, la referencia en materia de gestión de sistemas es ahora la ISO 2000. De hecho, ambas normas se entrelazan dado que en ITIL se recoge la gestión de la seguridad como uno de los grupos de procesos y en la ISO 17799:2005, el objetivo de control 10.1.Procedimientos y responsabilidades de operación trata de especificar y documentar las labores de administración y gestión de sistemas.

La gente de Abast Systems, tras el éxtio de acogida del libro Introducción a la metodología ITIL, editado en 2002, presenta ahora una nueva edición con información actualizada. Se trata de una documentación muy útil que resume de manera estructurada los contenidos tratados por ITIL y recoge información publicada por las diferentes organizaciones que mantienen y desarrollan esta metodología (www.itil.org, www.itsmf.com, www.ogc.gov.uk/itil).

El libro es de distribución gratuita por lo que los interesados podéis recibirlo tras remitir este formulario.
Yo ya dispongo del mio que la gente de Abast eficientemente me ha hecho llegar en menos de una semana y como profano en la materia voy a empezar a estudiar tanto el enfoque global de ITIL como las relaciones con la materia que realmente me interesa, la gestión de la seguridad de la información.
miércoles, 13 de junio de 2007 0 comentarios

ISP aludido, Arsys publica una nota de prensa

El post de ayer requiere hoy una ampliación de información y una recopilación de los comentarios surgidos en torno a la noticia. La verdad es que desde todas las perspectivas que hoy recojo, parece que Arsys se ha visto jodido doblemente: por un lado, el ataque sufrido y los daños directos causados a sus sistemas y los clientes afectados y por otro, y quizás el más grave, por la filtración y publicación en prensa de la noticia que quizás sea lo que mayor impacto final va a causar, dado que el daño en imagen y la confianza para el negocio de un ISP es uno de los activos que más se tienen que cuidar.

A continuación voy a ir diseccionando lo publicado sobre esta noticia:

  • Nota de prensa publicada por la propia Arsys

  • Arsys ha publicado aclarando tanto el hecho como la gestión del incidente que se realizó. Todo esto lo informa en Aclaración sobre la noticia aparecida en diferentes medios el 11 de junio de 2007.

    Conclusiones:
    El incidente fue en abril y la noticia se filtra ayer. ¿Motivos?. Los daños no son exactamente tan graves como los comentados en la noticia publicada por El País. Los hechos han sido denunciados y los clientes afectados convenientemente informados. Si no hay clientes que desmientan estos hechos, la respuesta es discreta y correcta para permitir a los Cuerpos de Seguridad del Estado seguir con sus investigaciones.

  • Post de Carlos Sanchez Almeida

  • En un post titulado La Revelación de San Bernabé, Carlos Sanchez Almeida se plantea el por qué de la publicación de una noticia como esta y sobre todo, la coincidencia en fechas. Como comenta él, "No ha podido ser más inoportuna la revelación, teniendo en cuenta lo que se está debatiendo estos días en el Congreso de los Diputados: el Proyecto de Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.Proveedores de acceso a Internet y telefonía móvil, de un lado, y Fuerzas y Cuerpos de Seguridad del Estado, de otro, deberán ser en breve los ángeles custodios de una información crítica en materia de privacidad. Todos los datos de tráfico de las comunicaciones electrónicas deberán registrarse y custodiarse durante un plazo de un año, al objeto de que puedan utilizarse por Juzgados y Tribunales para la persecución de delitos."

    Conclusiones:
    Es cierto que los medios de comunicación utilizan la seguridad informática para llamar la atención de vez en cuando, pero solo se hacen eco de las detenciones de los presuntos delincuentes y luego no hacen el seguimiento de los casos ni de las sentencias exculpatorias que suelen dictar los tribunales. De alguna manera, interesa en parte o bien "criminalizar" a Internet o bien "denunciar" que la red es caldo de delincuentes.

  • Post de Mercé Molist

  • Lo más interesante de su post Port 666 - Sobre el asalto a Arsys son las preguntas que se plantea sobre el incidente.
    Respecto al origen de la noticia, deja en el aire las siguientes: ¿Por qué la han filtrado? ¿Por qué la Guardia Civil filtra una noticia cuando aún no han cogido al "malo", están en plena investigación y no pueden ponerse la medalla? ¿Qué sentido tiene? ¿Qué intención oculta? ¿Quizás querían filtrar algún dato en concreto que hiciese dar un paso en falso a los malos? ¿Filtrar esta noticia es una forma de mostrar que hay mucho crimen por combatir y esta ley es necesaria para pillar a los delincuentes? ¿Cómo es posible que las contraseñas de los usuarios se guarden en claro?

    Respecto a los causantes: ¿Por qué han hecho el indio? ¿por qué montar el pollo de manipular webs de clientes y que se entere todo dios? ¿Eran simples ladronzuelos?¿Será por mandar a la porra la reputación de la empresa?

    Conclusiones:
    Aqui huele a muerto y yo no he sido. Deben mezclarse varias de las razones esgrimidas tanto por Carlos Sanchez Almeida como por Mercé Molist, pero el hecho es raro, raro, raro.

    Por un lado y pensando desde la perspectiva del ladrón, un profesional busca un delito de guante blanco y no notoriedad. Por tanto, el dejar evidencias inmediatas de su paso por un sitio no demuestra profesionalidad a no ser que la motivación sea la venganza contra Arsys y busque el daño en imagen. En este caso, quien filtra la noticia también juega en su bando y se hace un complice.

    Por otro lado y pensando desde la perspectiva del que filtra la noticia, el ruido mediatico respecto a cuantos peligros hay en Internet si puede beneficiar y promover una cultura de seguridad que avale la aprobación de leyes restrictivas y de control del uso de Internet con las contrapartidas que tiene eso para la privacidad e intimidad de las personas. En este caso, Arsys se convierte en cabeza de turco porque a costa de su imagen han hecho un ruido mediatico que puede pagar caro por la desconfianza que puede generar en sus clientes, aunque su respuesta ha sido razonablemente adecuada dado que el incidente fue en abril y ha pasado totalmente desapercibido.


Conclusiones finales:
Por un motivo o por otro, Arsys está jodido porque aunque el daño tangible no ha sido mucho, el daño en imagen está todavía por calcular. Y lo más curioso y paradójico es que puede que haya sido peor la noticia que el hecho. Como suele pasar en los análisis de riesgos, el daño en imagen suele superar a las estimaciones directas sobre el daño operacional. Arsys puede que sea un ejemplo de este hecho dado que al no ser una empresa tradicional sino de servicios, los clientes no pueden evaluar la insignificancia del daño en servicios pero si la repercusión mediatica que ha tenido y las dudas que genera en los clientes el estar ahora albergados en este ISP. También seguro que está pendiente saber lo que la Agencia de Protección de Datos tiene que decir en torno a este incidente, porque habitualmente estas noticias provocan una inspección de turno.
martes, 12 de junio de 2007 2 comentarios

Los datos de 120.000 usuarios españoles, en manos de 'ciberpiratas'

La noticia de hoy empieza ya a poner los pelos de punta respecto a lo que parece avecinarse en breve en materia de ciberdelincuencia.

Al igual que estamos siendo testigos de la profesionalización de los ladrones en atracos y la sofisticación y precisión de sus robos, creo que la noticia de hoy puede representar el primer caso español de ciberdelincuencia seria.

Aunque la noticia no revela la empresa afectada, se trata de un proveedor de alojamiento, uno de cuyos principales activos es garantizar la seguridad de los contenidos alojados.

El modus operandi, según lo redactado por el artículo ELPAIS.com - Los datos de 120.000 usuarios españoles, en manos de 'ciberpiratas' tampoco tiene desperdicio.

Primeramente se han dado de alta como clientes, para poder explorar el entorno y hacer seguramente las primeras investigaciones respecto a por donde encontrar vulnerabilidades para entrar.
Posteriormente, el sábado por la noche, que es cuando suele ser el periodo de menor actividad de todo proveedor de acceso, (y por tanto, el momento de menos vigilancia) se produjo el ataque de mayor envergadura, modificando las páginas de los clientes y haciendo que estos, al acceder a la consola de gestión de sus contenidos, descargasen un troyano para que el ataque se difundiera entre los clientes afectados.

Según cuenta El Pais, "Dada la sofisticación de medios empleada por los piratas, los investigadores están teniendo problemas para averiguar desde qué lugar y quién o quiénes están detrás de este masivo ataque. Algunos indicios apuntan a que han actuado a través de servidores ubicados en Rusia y EE UU. Ello dificulta el localizarles, porque utilizan servidores anónimos."

El objetivo básico del ataque, como suele ser habitual, es el robo de información confidencial con datos personales de los clientes: claves de correo electrónico, movimientos y pagos bancarios, documentos de identidad, direcciones de los usuarios.

Imagino que la Agencia Española de Protección de Datos se habrá ya hecho eco del tema, aunque debemos suponer que el proveedor de acceso si debe contar con las medidas de seguridad adecuadas dado que el hacking es una de las mayores amenazas de un proveedor de acceso y que este riesgo debe haber sido gestionado convenientemente.

Enlazando con el tema, quiero también referenciar un documento publicado por el Área jurídica del INTECO donde describe las actuaciones jurídicas a emprender cuando una empresa es víctima de un suceso similar al comentado en este post. El documento está descargable en el enlace Guía sobre la respuesta jurídica a los ataques contra la Seguridad de la Información.
 
;