viernes, 3 de diciembre de 2010

Wikileaks es el síntoma, no la enfermedad

Mucho se está hablando esta semana de "inseguridad de la información" dado que las fugas de datos están copando las tertulias y las portadas de los periódicos. Los debates más centrados en el fenómeno que en las causas, están cuestionado si este tipo de noticias son o no periodísmo. En cualquier caso, el tratamiento que tengo que dar desde este blog obviamente está más relacionado con la esencia del problema, "el fallo en las medidas de seguridad". Para ello, pongámonos en situación con un supuesto paralelo que puede representar lo que vengo a comentar.
Imaginemos que estamos en el año 670 antes de Cristo y que alguien de repente decide que para gestionar mejor el trueque prefiere crear unas monedas hechas de una aleación de oro y plata. En aquel momento las reglas del juego en materia del comercio cambian y pasamos de tener que intercambiar objetos a realizar intercambios de objetos por estas nuevas "monedas".
Para el comerciante, de repente, surge un nuevo problema a tratar, el control de dichas monedas. Para ello, tiene que crear sistemas que sirvan para registrar cuantas monedas tiene en la caja, cuantas monedas salen de la misma, cual es el balance final de monedas que tiene tras comerciar, etc. Al principio, cuando el sistema no estaba muy extendido, las cosas eran sencillas de controlar y una gestión muy básica resolvía el problema. Sin embargo, cuando el valor de las cosas se negocia en base a esas monedas, los amigos de lo ajeno ven ahora en ese tesoro su botín. Por tanto, surge la necesidad de proteger y custodiar este nuevo elemento de valor y es necesario mejorar los métodos de control y aparecen los libros de cuentas, los balances, las cajas registradoras, las cajas fuertes, los bancos, etc. Todo con un único objetivo: saber cuantas monedas se tienen y cuantas se pierden al producirse compras de objetos o cuantas se recogen al realizar ventas de objetos. Por tanto, en ese momento, las monedas se transforman en un "activo" de la organización y requieren una protección adecuada. Siglos después a nadie se le ocurriría tener estas monedas y estos mecanismos de control desprotegidos. Nadie entra a un banco y se encuentra las monedas almacenadas en estanterías en las zonas donde hay público o sin contabilizar. Cada intercambio de monedas deja un registro y se anotan o bien las que entran o bien las que salen, teniendo siempre claro cual es el saldo que queda en la caja. De esta manera, se logra el control de esos "activos" y se garantiza su seguridad (entendida como la integridad de la información que refleja el estado de situación).
Demos un paso al presente y cambiemos la palabra "monedas" por la palabra "información". Las primeras preguntas que uno se hace son:
  • ¿Es la información un "activo"?.
  • Dada la repercusión de las informaciones que se han visto publicadas en Wikileaks, parece que sí porque su conocimiento ha tenido consecuencias relevantes para los organismos que han sufrido la fuga.
  • ¿Estaba la información protegida proporcionalmente según su valor?.
  • Opinen ustedes mismos. Bradley Manning, un joven militar estadounidense que estaba movilizado en Irak tuvo acceso a la red SIPRNET de la que proceden los cables. Aburrido, con pocos amigos y maltratado por sus compañeros por su homosexualidad, Manning le contó al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de Estado y de las embajadas. “Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos”.
Es obvio que no se pueden controlar todas las cosas y que el factor humano siempre suele ser el origen de todos los problemas, pero no parece muy razonable que en ciertos entornos donde supuestamente hay información tan confidencial existan elementos como grabadoras de CD o dispositivos USB que no permiten controlar si se fuga la información. Si quieres evitar una fuga de agua, debes tener claro cuales son todos los sitios por donde circula y vigilar que el nivel donde se deposita permanece constante. Si quieres controlar la información, las cosas son mucho más complejas pero las estrategias son similares. El quid de la cuestión es si "dicha información" merece o no ese sacrificio. Ya es cuestión de cada organización decidir que hacer en cada caso. Lo que si es verdad que una seguridad a medias no suele funcionar y por pequeño que pueda ser el punto de fuga, finalmente el depósito de agua se queda vacío.Si has llegado hasta aquí y tienes algún tipo de responsabilidad en materia de seguridad de la información, toca ahora preguntarse, ¿Tengo bajo control todos los grifos por donde sale la información (La versión tecnológica podrían ser los dispositivos USB) ?

Humor: Hay quien lo tiene claro y no tiene ningún tipo de contemplación a la hora de tomar medidas de seguridad, sean las que sean.

(Gracias Gregorio por el material y la inspiración)

Aunque siempre hay medios alternativos y no hay que llegar a extremos tan radicales.

Fuente:http://seguridad-de-la-informacion.blogspot.com/2010/12/wikileaks-es-el-sintoma-no-la.html

Si os habeis leido el tochon..felicidades y ya sabeis algo que ya sabiais antes pero ahora explicado de una manera mas facil y tranquila contrastando datos simples con los actuales y el problema que se genera en esta sociedad.....sin duda un gran autor

No hay comentarios:

Publicar un comentario