Las amenazas al CID

CID. En un anterior artículo introducíamos este curioso acrónimo lleno de referencias. CID (Confidencialidad, Integridad y Disponibilidad) como ya indicamos anteriormente hace referencia a las características básicas de la información que debemos preservar para garantizar la seguridad de ésta (si en castellano resulta curioso en acrónimo resultante que decir del generado por las iniciales inglesas CIA).

Debemos preservar el CID, ¿pero de qué?, ¿qué amenaza la integridad de la información?, ¿y su disponibilidad?, ¿cuáles son las amenazas que apuntan directamente a la confidencialidad?, ¿hasta qué nivel debemos garantizar esta?, ¿debemos actuar igual con toda la información?...

Como vemos son muchas las preguntas que nos surgen y, creo, debemos empezar por el principio; entender por qué son fundamentales los componentes del CID y cómo y por qué se puede amenazar dicho valor.

Confidencialidad. Los motivos para preservar la confidencialidad de la información son fundamentalmente dos; por motivos regulatorios para garantizar los derechos de los afectados por la información (LOPD) y por supuesto por motivos estratégicos para mantener la posición de ventaja alcanzada por la tenencia de dicha información. Amenazas concretas a cada uno de los elementos que componen CID.

Las amenazas son diferentes si los ataques son generados por una u otra causa. La confidencialidad de las informaciones de carácter personal se ve amenazada fundamentalmente por el mal uso empresarial (cesiones ilícitas,...) o por técnicas de ingeniaría social y phising (ambas técnicas pueden ser consideradas como timos modernos y serán objeto de una atención directa en un próximo articulo). La confidencialidad de la información estratégica está amenazada fundamentalmente por el espionaje industrial.

Integridad. Si la información es alterada de forma incontrolada no solo pierde su valor sino que puede tomar un valor absolutamente contrario (pensemos en una decisión basada en ella). Una de buena parte de principales amenazas a la integridad de la información son internas y no intencionadas y proceden de los tratamientos erróneos que se les aplica. Las amenazas intencionadas, que pueden utilizar mecanismos comunes con las no intencionadas, son originadas fundamentalmente por la actividad de la empresa o por su relación con diferentes personas o grupos.

Disponibilidad. Al igual que en la integridad la disponibilidad se ve fuertemente amenazada por los tratamientos y las consecuencias de estos. Entre las amenazas intencionadas han tomado últimamente una alta relevancia los ataques de denegación de servicio (DoS y DDoS), como los realizados contra la SGAE por el cobro del canon digital o el instrumentado contra wikileaks tras la salida a la luz del cablegate. Sin duda iremos conociendo nuevos casos de utilización de este tipo mecanismos.

Fotografía del autor

Una hora son sesenta minutos

¿Qué significa derecho al trabajo? El derecho de toda persona a acceder a un puesto de trabajo es como suele entenderse habitualmente este derecho fundamental y social. Además se deben añadir adjetivos como igual de oportunidades, sin discriminaciones, en condiciones morales mínimas y algunos otros de similar calado. Es cierto. Bueno, no exactamente. Los derechos fundamentales (aquellos que presuntamente han de garantizarse de forma obligatoria) suelen caer rápidamente en contradicciones muy propias de una sociedad a la que le cuesta enmarcar adecuadamente estos conceptos básicos y vitales.

La medida de la experiencia

En realidad, el derecho al trabajo es más bien un medio para acceder a otros derechos de mayor significación: aquellos relativos a cubrir nuestras necesidades, digámoslo así en general. Necesidad de comer, de vestir, de alojarse, de aprender y, por qué no, de entretenerse, de viajar, de rodearse de pequeños (o grandes) lujos. La necesidad es un concepto altamente relativo en la época que nos ha tocado vivir.

En la mayoría de los casos, tanto para cubrir necesidades elementales como para cubrir “necesidades” de mayor calibre, el trabajo es un medio y un camino para lograr los ingresos precisos para comprar esas exigencias. No obstante, hay colectivos que lo ven de otro modo: los llamados vocacionales. Artistas, científicos, médicos, periodistas piensan que su trabajo es una necesidad en sí misma y viven apasionadamente su dedicación diaria sin pensar (eso dicen) en los ingresos que les reporta.

Pero lo que se está dejando de lado en nuestra avanzada sociedad respecto al tema del trabajo (no sé si es un derecho, una obligación o algo que no se puede en realidad catalogar) es el derecho a la organización del trabajo. Y en este sentido no sólo me estoy refiriendo a que una empresa esté adecuadamente estructurada basándose en una racional división de las funciones, diferenciando e integrando correctamente a sus componentes individuales o colectivos, todo ello de acuerdo a unos principios estratégicos o valores de grupo definidos por una jerarquía. Me estoy refiriendo también a una organización de las trayectorias profesionales y laborales a lo largo y ancho de una carrera (a veces en su sentido de galopada en vez del de recorrido) discurriendo por diferentes empresas, proyectos y entidades varias.

Sí, estoy refiriéndome al derecho de que la vida laboral se organice en: primero aprendo, después comienzo a aplicar mis conocimientos (la estructura me arropa para ser productivo poco a poco), luego voy escogiendo oportunidades de responsabilidad (al abrigo de los mayores), se sigue con el aumento de la capacidad de producir de manera más consistente (el conocimiento se incrementa a la par), hasta llegar a la madurez profesional que tanto en puestos de alta jerarquía como en ubicaciones especializadas mantienen y hacen crecer el ciclo vital de la organización basada en las trayectorias profesionales y laborales. Finalmente, la llamada jubilación debería ser el broche de oro para cualquier carrera (veloz o lenta) consagrada en cualquier organización, sea como promotor de negocios, como productor de actividad, como aprendiz de méritos.

No demos la vuelta al transcurso esencial del ciclo de madurez haciendo que los inexpertos se conviertan antes de tiempo en expertos. La experiencia se adquiere con el tiempo, y las horas han de medir siempre sesenta minutos.

Ángel Luis Herrero

Socio Consultor en InnoSIB

Foto cortesía de Imagebase

Protegiendo la información (I)

Podemos definir la seguridad de la información como la disciplina que trata de proteger la información de tal forma que se mantenga intacta en su contenido, que siga manteniendo su valor para la empresa y que ésta (la empresa) pueda utilizarla en el momento en el que la necesite.

Esta sencilla definición introduce las tres características básicas de la información que hay que preservar para garantizar su seguridad, o lo que es lo mismo para conseguir que la información siga siendo información y no simplemente una colección de datos sin valor alguno.

Cuando decimos ...que se mantenga intacta... estamos introduciendo el concepto de integridad. La información es la que es, cualquier cambio en su contenido realizado de forma fraudulenta, o de forma no autorizada, o por un tratamiento erróneo o simplemente por un accidente o una negligencia puede cambiar sustancialmente su significado y por tanto su valor para la organización. No creo necesario poner ningún ejemplo para resaltar la importancia de la integridad, todos somos conscientes de lo que puede cambiar el significado de una frase con la simple inclusión o eliminación de una sencilla coma o incluso un acento mal colocado.

Estamos hablando claramente de la disponibilidad al decir ...pueda utilizarla en el momento en el que la necesite. Disponibilidad significa que la información esté donde debe estar. Que se pueda acceder a ella cuando sea necesario o que se obtenga con la velocidad necesaria (ni más rápido ni más despacio). Por último significa también que pueda acceder a ella quien lo necesita y está autorizado para ello.

Al mencionar ... que siga manteniendo su valor para la empresa ... estamos introduciendo de forma algo sutil la tercera característica de la información: La confidencialidad. La información tiene valor para la organización en tanto en cuanto es conocida por los miembros de la organización que la necesitan y se respetan las normas y leyes relacionadas con la confidencialidad de la información. Si la información se divulga de forma descontrolada pierde todo el valor estratégico que pudiera tener.

Estar tres características son conocidas La triada CID por sus iniciales (CIA en ingles de las iniciales de Confidentiality, Integrity y Availability.

Si estas tres características básicas no se ven afectadas es porque se ha mantenido la seguridad de la información, pero ¿Cómo podemos saberlo? Para dar respuesta a esta pregunta surgen nuevas características derivadas de la información. Hablaremos de ellas en un artículo próximo. También hablaremos en otro artículo de los peligros y las formas de ataque a los que está expuesta la triada CID.

Fotografía por cortesía de PD Photo.org

Declaración de intenciones

Comienzo hoy esta nueva e ilusionante andadura que no sé hasta dónde nos llevará. El objetivo que me planteo es a la vez humilde en sus postulados y conceptualmente muy simple. Me propongo sencilla y llanamente abordar los distintos aspectos relacionados con la seguridad de la información.

Hoy pocos dudan que la información y la gestión que se le aplica sea uno de los aspectos fundamentales y más importantes para cualquier tipo de empresas. Para algunas es la esencia misma de su actividad y para otras la información es cuando menos el soporte de todos sus procesos de negocio y administración.

Si la información es un activo tan importante para la empresa moderna no es de extrañar que se le apliquen medidas de seguridad específicas y que de aquí surja una nueva disciplina o actividad: La seguridad informática, o como a mí me gusta llamarla la Seguridad de la Información.

A lo largo de los distintos artículos que vaya publicando en este Blog escribiré sobre la información y su seguridad. Con un enfoque eminentemente divulgativo y tratando siempre de simplificar los conceptos y alcanzar la esencia de cada técnica o materia abordada. Todo con un único fin: crear conciencia de la importancia de la información, su seguridad y la necesidad de la implicación de todos los componentes de una empresa para garantizarla.

Sin ánimo de ser exhaustivo hablaremos de las características de la seguridad y de los mecanismos para proteger cada una de ellas. Presentaremos también los grandes conceptos de la seguridad, ya sea ésta tradicional o de la información, como son los riesgos, las amenazas, las vulnerabilidades, los controles o los incidentes. Para cada uno de estos conceptos trataremos de las técnicas y las prácticas relacionadas con ellos.

En otro nivel hablaremos de los profesionales de la seguridad de la información y los diferentes enfoques que las empresas pueden dar a la gestión interna de esta disciplina.

Trataremos también de las leyes, nos ceñiremos a las españolas, relacionadas con la información y su seguridad con una especial atención a la Ley Orgánica de Protección de Datos de carácter personal (LOPD).

Hablaremos en fin de todo aquello que esté relacionado directa o indirectamente con la información y su seguridad en el entorno de la empresa.

Mis expectativas se verán ampliamente colmadas si consigo crear conciencia en uno solo de mis lectores de la importancia de la seguridad de la información.

Fotografía por cortesía de PD Photo.org

Innovación: imaginación y realidad

Mi abuelo decía que cuando algo funciona lo mejor es mantenerlo tal y como está. Mi abuelo tenía razón en muchas cosas (bueno, yo siempre lo he creído así) y en esto por supuesto que también creo que estaba en lo cierto. No obstante, vistas las cosas desde una perspectiva industrial o mercantil, una máquina o un utensilio decimos que funcionan cuando mantienen un grado suficiente de productividad, cuando nos da los rendimientos que le pedimos, cuando cumple sin mayores problemas con las expectativas creadas.

A pesar de ello, cuando analizamos con cierto detenimiento (y no siempre lo hacemos cuando las cosas funcionan presuntamente bien) la situación de la empresa respecto a nuestro mercado, nuestra competencia o simplemente, a veces, respecto a la economía general, podemos llegar a observar que siendo buenos los números, las tendencias no son favorables. Esto puede notarse porque se crece pero relativamente más despacio que otros; se mantiene una buena cartera de clientes muy fiel, pero apenas surge cartera nueva; se empieza a aparecer en las zonas medias de los rankings sectoriales cuando nuestra empresa siempre había estado con los de cabeza.

¿Qué está ocurriendo? ¿Se están haciendo mal las cosas? Mal no, pero evidentemente hay que mejorar si se quiere asegurar el nivel de empresa que se desea.

Intuición y análisis

Es en este punto donde la palabra innovación empieza a escucharse y en cierto modo, a cobrar sentido. Y el sentido que nos interesa dar al término no es el que primero nos viene a la cabeza: invento, descubrimiento, creación, revolución incluso. No, no es ese el sentido que debemos otorgar al concepto innovación.

La Real Academia de la Lengua Española (por el momento quien define oficialmente los usos y costumbres del lenguaje) determina para el vocablo “innovar” la acepción: “cambiar o alterar algo, introduciendo novedades”. Y yo añado: para mejorar y, más en concreto, para mejorar en aquellos aspectos que nos interese mejorar.

La invención busca hallar o descubrir algo nuevo. La innovación busca cambiar para mejorar. No tiene por qué ser nuevo. Es más: en la mayor parte de los casos la innovación consistirá en utilizar lo que ya está inventado.

Así pues, llevemos el término innovación al lugar que le corresponde en cualquier empresa (sea del tamaño y dimensión que sea). Al lugar del cambio, de la transformación y de la adaptación. Al lugar de la imaginación aplicada a la realidad, a la efectividad. Al lugar donde se utilicen con soltura palabras como modernizar, enriquecer, adecuar, reaccionar.

Mi abuelo tenía razón: si algo funciona consérvalo; pero si quieres que además mantenga el nivel: renuévalo, sin perder su esencia. Sólo el hecho de querer mejorar ya es innovación.

Ángel Luis Herrero

Socio Consultor en InnoSIB

Foto cortesía de PDPhoto

El valor de la experiencia

Dicen que un jugador de cartas adquiere la famosa “cara de póquer” a medida que va jugando más y más partidas a lo largo de su vida. Cuantas más partidas de naipes juegue (siempre que sea un juego en el que haya que ocultar la mano que se tiene entre manos, valga la redundancia) mejor aprende a ser inexpresivo, impasible en el gesto, impertérrito en la mirada. Con el tiempo el jugador modela esa cara gélida, ese rostro sin pulso, con tal de no ofrecer el menor atisbo de información sobre su estrategia.

El rostro, en efecto, es la parte más visible de nuestra expresión, pero cuando, después de disputadas muchas partidas —ganadas unas, perdidas otras—, uno maneja con soltura esa “cara de póquer” observa lo difícil que es jugar contra adversarios de similar veteranía. Sin embargo, llega un momento en que se da cuenta de que otros elementos del cuerpo delatan al contrario de forma inconsciente su táctica y sus pensamientos: léase el caso de las manos y de los dedos de las manos. Mientras todo el mundo piensa que la cara es el reflejo del alma (de la jugada, en este caso), es entonces cuando hay que fijarse en esa sutil presión en la esquina de un naipe, en ese tamborileo despistado, en esa palma contra la mesa porque aportan en gran medida la información precisa para desmantelar la ambición del contrincante.

El reflejo del entusiasmo

Del mismo modo, la experiencia profesional (definida como continua adquisición de conocimiento aplicándolo a multitud de situaciones reales), conforme se va acumulando, va traduciéndose en rendimiento, en utilidad, en convergencia, en movimiento hacia adelante. En resumidas cuentas: en eficacia. La diferencia entre el jugador experimentado y el jugador experto radica precisamente en ser eficaz, en orientar sus métodos de resolución de un problema hacia el camino más práctico.

La tan mareante crisis (iniciada oficialmente cerca de tres años atrás) está provocando que un aluvión de expertos en diversas áreas de la economía y la industria naveguen libres después de verse instados a abandonar esas empresas que no han podido lidiar con los malos tiempos por no haber sabido manejar los buenos tiempos.

Y muchos de estos profesionales de largas trayectorias (por encima de los veinticinco años en muchos casos) no sólo aportan el valor de la experiencia en cualquiera de los ámbitos y actividades del negocio empresarial sino que añaden a ese valor el arte de la eficacia. ¿Cómo? No malgastando energías en averiguar lo que nos dice un semblante frío que se esfuerza en ocultarnos la verdad; más bien ocupándose de dirigir los pasos hacia esos otros lugares que nos hagan más fácil cumplir los objetivos.

La iniciativa InnoSIB pretende ofrecer a las empresas (de todo tipo, pero con énfasis en las de estructuras moderadas) la experiencia de unos profesionales que en el transcurso de sus dilatadas carreras han conseguido hacer de la eficacia una destreza, una disposición y hasta, por qué no, una actitud.

Bienvenidos a Las Ideas de InnoSIB, el blog de la experiencia InnoSIB.

Ángel Luis Herrero

Socio Consultor en InnoSIB

Fotografía cortesía Imagebase