El problema de la (in)seguridad de los datos en un mundo portátil

Gracias a la posible trascendencia de la pérdida de un disco en la audiencia nacional estamos siendo un poco más conscientes del problema de la seguridad de datos hoy en día.

Impedir que los empleados usen dispositivos externos o herramientas como Dropbox o Google Drive es hoy en día casi imposible. La información (en ocasiones confidencial y de clientes) ya no está controlada, sino en manos de usuarios inexpertos, descuidados, malintencionados o todo ello unido.

Hay muchas soluciones tecnológicas en el mercado para impedir estos problemas, pero chocan continuamente con las imposiciones “sociales” de los empleados, en un mundo donde los usuarios tienen la posibilidad de mover sus datos personales con toda comodidad impedirle manejar del mismo modo la información confidencial es una tarea imposible.

A pesar de que los departamentos de seguridad lo intenten, parece que han perdido la guerra contra los usuarios. Todo tiempo pasado donde el departamento de IT tenía el control y los equipos profesionales iban por delante de la tecnología de los usuarios ha sido mejor para ello. Impedir que una persona que ve que sus fotos del iPhone se replican en su casa en todos los dispositivos de un modo natural no pueda acceder a sus archivos desde fuera de la oficina es tarea imposible.

Incluso conozco casos de directivos que exigen que les desactiven los sistemas antivirus para poder usar los portátiles cómodamente en sus casas, comprometiendo la seguridad de la red corporativa.

Tal vez la única solución es que los departamentos de IT accedan a hacerse cargo de los sistemas personales de los empleados para extender hasta allí la seguridad sea la única solución.

Mientras, disfrutemos del mundo de la seguridad aparente. No piensen en ello. Podrían tener dificultades para conciliar el sueño.

Anuncios

Seguridad

Cada vez que pienso en los protocolos de seguridad y la paranoia extrema de algunas organizaciones se me ocurre algo parecido.

 

Clic en la imagen para ver la tira de Dilbert completa.

El Cloud Computing nace herido de muerte

Ya comenté que el pasado fin de semana estuvimos conversando sobre cloud computing en la terraza de un bar (la tecnología posee nuestras vidas). La conversación nació sobre una duda de una amiga abogada sobre las implicaciones legales del Cloud, bien, no pudo ser más oportuno porque este otro artículo le va a encantar.

Microsoft admite que la legislación americana, concretamente la “Patriot Act” permite al gobierno de EEUU acceder a todos los datos almacenados en territorio americano, sabiendo además como las gasta el gobierno de EEUU cuando quiere posiblemente simplemente con que los datos estén bajo control de una empresa americana aunque residan en otro país tengan capacidad para reclamarlos, ya vimos que VISA y MASTERCARD en el caso de Wikileaks prefirieron curarse en salud.

Si el gobierno americano solicita a una empresa acceso a los datos de una empresa española en base a la “Patriot Act”, ¿creen que Google, Amazon o Microsoft resistirán bravamente si los servidores están en Irlanda por ejemplo o los entregaran para quitarse de problemas? La respuesta es obvia, se cubrirán ante las demandas de sus clientes pero entregarán los datos.

No es una situación “probable”, dudo que el gobierno de EEUU solicite acceso a mis datos o los de mi empresa en base a esa ley (aunque encontrar excusas es posible buscando entre tus clientes sabe dios que puede aparecer), tampoco creo que sea preocupante, no quiero que un funcionario de EEUU fisgue entre mis correos, pero si lo hace no me va a pasar nada del otro mundo. No tengo una vida oculta tan interesante.

Pero evidentemente esto es un problema mortal para el “Cloud”, si una empresa no puede garantizar a sus clientes, accionistas o empleados la seguridad de la información cuando utiliza servicios “Cloud” las resistencias internas a usarlo serán elevadas, habiendo opciones que no tienen ese riesgo, ¿justifican los beneficios en costes o servicio asumirlo? No, la verdad es que no.

Evidentemente la legislación siempre está ahí, pero esta situación crea inseguridad jurídica, ya no estas controlado por la legislación de tu país, también por la de EEUU si usas el Cloud de Microsoft, por la de Canadá si usas Blackberry, o por la de cualquier país intermedio por el que transiten o se almacenen aunque sea temporalmente los datos. Creo que algunos países árabes lograron acceso a los datos de Blackberry de los usuarios locales, eso ya era grave, pero al menos tenías que ir allí físicamente, ahora basta conque el sistema Cloud de tu proveedor utilice un servidor en Corea por temas de rendimiento para que el gobierno Coreano tenga acceso a tus datos, inasumible.

Puede que Internet como terreno libre de legislación sea un problema o deba ser controlada, pero al mismo tiempo puede que esto mate algunas ideas.

No se pueden defender los DDoS

Mastercard CaidaNo he querido escribir acerca del tema Wikileaks porque se escapa mucho del objetivo de este blog y está más cerca de la política y el periodismo, aunque tengo en la cabeza un artículo en relación con este tema que si tiene relación con el mundo de la tecnología.

Pero si quiero hablar sobre un error que está cometiendo el mundo de la tecnología, la defensa de ciertos casos de ataques de denegación de servicio (DDoS). Ya dije lo mismo sobre el DDoS a la Sgae.

Como dije en mi anterior artículo:

Y no es para sentirse orgulloso, la comunidad de internautas de España ha demostrado más gamberrismo que madurez.

Independientemente de cuanto se merezcan sufrir daños Mastercard, Visa, Paypal e incluso Amazon por sus decisiones en relación con Wikileaks recurrir a ataques DDoS continuos es un error, por muchas razones:

  1. No es proporcional a los actos de esas empresas, ellos dejaron de prestar servicios a Wikileaks, lo propocional (en todo caso) es dejar de usar sus servicios y si se quiere promover un abandono masivo de esas empresas (como el caso de Paypal). Recurrir al DDoS es una escalada excesiva, sobre todo porque Wikileaks sigue funcionando y seguirá recibiendo fondos en breve.
  2. Se está creando una “cultura” de justificación de ataques a los propios servicios de Internet, de la que un día nos arrepentiremos, no se precisan más que algunos cientos o miles de usuarios que se pongan de acuerdo en el momento para hacer triunfar un DDoS, en general es complicado reunir esa cantidad pero si se crea una moda de participar habrá decenas de miles de candidatos en cada caso sin demasiada justificación más que “hoy por ti mañana por mi”.
  3. Las empresas que he mencionado antes (Visa, Mastercard, Paypal y Amazon) prestan servicios a cientos, miles o millones de empresas y usuarios. Si realmente el ataque tuviera éxito (no ha pasado de momento de “penalidad momentanea”) todos esos millones de usuarios y miles de empresas sufririan las consecuencias. Dudo que exista justificación consciente a esos daños. En cualquier caso, los ataques hasta el momento no han llegado a estos extremos, pero no es por autocontrol de los colectivos que realizan el ataque, una vez activado pararlo es muy complicado.

Yo también estoy a favor de la existencia de Wikileaks, pero no creo que haya que sacar de quicio las cosas. En realidad pretender cometer lo que el gobierno americano considera un delito y apoyarte en empresas americanas para hacerlo es poco realista. Ellos mismos reconocen que esperaban la respuesta de estas compañías.

Del banco suizo no he dicho nada intencionadamente, que un contrabandista pueda tener una cuenta y Assange no pueda es algo que solo un banquero suizo puede comprender.