Thursday, March 30, 2006

Arbitrando, que es gerundio


Uno de los cuellos de botella de la gestión actual de los sistemas de información es la resolución de conflictos entre las partes implicadas. La oficial vía judicial sigue resultando en exceso lenta, carente de la suficiente especialización y demasiado proclive a las tácticas dilatorias. La falta de organismos jurisdiccionales específicos en el ámbito de los sistemas de información tampoco ayuda a enjuiciar lo correcto en determinadas situaciones. Por ello, la resolución por un tercero imparcial (una vez más nos encontramos con la figura del tercero de confianza), que establece bajo un criterio y una experiencia profesional determinados quién de las partes tiene razón ante una determinada controversia, va cobrando fuerza por momentos. Su filosofía alude a la necesidad de que verdaderos expertos sean los encargados de dilucidar el fondo del asunto con criterios de alta competencia técnica.

Los sistemas arbitrales, muy extendidos en otras actividades globalizadas como el comercio exterior, se postulan como alternativa buena, bonita y barata para la resolución de conflictos en el ámbito de los sistemas de información. Esta figura extrajudicial consiste en que las partes implicadas en cualquier negocio jurídico deciden, de forma voluntaria, someter las discrepancias nacidas de la relación contractual a un tercero o terceros que actúan en concepto de árbitro/s de la contienda. Mediante un acuerdo o convenio se regulan las normas en que se desarrollara dicho arbitraje y se declara el sometimiento expreso al laudo (equivalente a la sentencia) que decidirá los términos de la controversia, siendo de obligado cumplimiento para las partes, de carácter confidencial y con todas las garantías de ejecución real e inmediata que el ordenamiento jurídico presta al laudo dictado.

La extensión a posibles controversias supranacionales es otro rasgo de interés del arbitraje, en tiempos donde la prestación de servicios se internacionaliza como consecuencia del masivo uso de Internet. El modelo on demand permite que mi CRM se provea desde EE.UU, mi gestor de campañas de email marketing desde Sudáfrica y mis copias de seguridad automáticas desde Francia. Las posibles (y previsibles) controversias no deben verse lastradas por la pereza, teñida de desesperación, consustancial a la decisión de meterse en el jardín judicial internacional con escasas posibilidades de quedar satisfecho en mi reclamación.

El ejemplo más preclaro de uso del arbitraje lo constituyó en su día la ICANN, organización responsable de la gestión de los dominios de nivel superior genéricos como .com, .net y .org, al necesitar encontrar con urgencia una solución al problema de las controversias. Descartando la vía del tratado internacional por lenta y la promulgación de leyes nacionales, por la posibilidad de que fueran divergentes en exceso, se designó, entre otros, a la Organización Mundial de la Propiedad Intelectual (OMPI) como proveedor de servicios de solución de controversias bajo la fórmula en la que un “árbitro”, “mediador” o experto (de una lista de cerca de 200 profesionales independientes facultados para tomar decisiones en ese tipo de casos) examinaba la controversia y tomaba una decisión al respecto. Todo ello a precios razonables y en periodos habitualmente no superiores a dos meses.

El nuevo Plan de dominios .es acaba de estrenar el sistema de resolución extrajudicial de conflictos, donde una serie de proveedores acreditados atienden las reclamaciones sobre posibles dominios especulativos. Asociaciones como ACAM, AEADE o ARBITEC, entre otras, impulsan las ventajas del arbitraje en el mundo empresarial, demostrando que resoluciones sobre proyectos informáticos fallidos, análisis funcionales incompletos, conflictos sobre propiedad intelectual, incumplimientos de los niveles de servicio incluidos en un SLA, irregularidades en la prestación de servicios online, etc, tienen perfecta cabida dentro del esquema de resolución arbitral de conflictos.

Monday, March 27, 2006

Premonición




Como si de una peli de serie B se tratase, parece que aquel escenario resumen de múltiples incidentes de seguridad que utilizo como caso práctico en mis clases, se hace realidad por obra y gracia de la noticia aparecida en ComputerWorld y comentada por Enrique Dans en su blog (gracias por citarme, compañero). Ni Pigmalión lo hubiera hecho mejor.

Lo que está claro es que nada como perder un portátil y salir en los medios para despertar el alma dormida; lo curioso es que los americanos ya llevan bastantes años y han dedicado bastantes esfuerzos en obligar a que los incidentes de seguridad se tomen en serio. La propia ley de la que habla el artículo (Financial Data Protection Act) es un ejemplo de contramedidas correctoras, tal y como figura en otro post del blog. Entre otras propone:
  • Compromiso de creación de un estándar nacional de seguridad de la información.
  • Obligación de que las empresas objeto de un ataque notifiquen a sus usuarios/consumidores que su información personal y su identidad digital han sido comprometidas
  • La organización atacada tendrá la obligación de proveer de un servicio gratuito durante seis meses que monitorice (perdón por el anglicismo, ahora mismo no se me ocurre ninguno más adecuado) la información financiera del usuario que ha sido comprometida para prevenir cualquier fraude mediante el uso de esa identidad robada.

La ley, aunque muy criticada por el amplio margen de interpretación que da a la organización atacada de lo que considera un "riesgo razonable para el usuario", es un híbrido de imaginación y experiencias previas que viene precedida por iniciativas legislativas como la californiana Security Breach 1386 que, ya con ámbito de aplicación nacional en la práctica, obliga a las organizaciones a que cualquier incidente en el que se tenga constancia de que se ha comprometido la seguridad de determinados datos personales (sobre todo, financieros) sea notificado a los titulares de los datos "en el menor plazo posible y sin mediar retraso no razonable".

Ya por pedir....no estaría de más que la ley exigiera algún informe (aunque fuera anónimo) de cualquier incidente, por aquello de ir construyendo estadísticas fiables para saber de qué orden de magnitud estamos hablando realmente y facilitar así el cálculo actuarial que necesitan las entidades aseguradores para el diseño de productos especializados en la cobertura de riesgo.

Y ¿en España?...Un poquito de Documento de Seguridad, con procedimientos de corta y pega, y vamos que nos matamos. Eso sí, actualizado y difundido al mismo nivel que los incunables de la Biblioteca Nacional. Los pocos que lo tienen lo mantienen impoluto, pero por el escaso uso. Nos harán falta unos cuantos casos como el de Fidelity. Al tiempo.

Saturday, March 25, 2006

Privacidad por contrato

Bueno, parece que, en materia de protección de datos, no sólo llueve en Europa y chaparrea en España: una empresa de mercadotecnia online norteamericana, pagará 900.000 euros de multa por haber empleado ilegalmente los datos personales de seis millones de consumidores norteamericanos (ver noticia completa). A diferencia del caso de las autoridades de control europeas (las agencias de protección de datos), la multa en el mercado USA la impuso el fiscal general de Nueva York y es una de las más cuantiosas de una legislación claramente por debajo del nivel de exigencia de sus homólogas europeas. Parece que el ámbito del marketing tiene en el respeto a la privacidad y la política anti-spam a su Pepito Grillo particular y es una de los principales criterios para la selección de un proveedor de email marketing. Ahora que empiezan a proliferar los servicios de marketing en modo ASP (ConstantContact, Graphicmail, etc), los clientes tienen que tener en cuenta más que nunca que la responsabilidad en caso de infracción de la normativa es para ambos, cliente y proveedor, lo que obliga a revisar el contrato y adecuarlo a las circustancias y legislación particulares (la propia filosofía de estos servicios es ofrecerlos a cualquier país del mundo). Por tanto, nada de contratos de adhesión, en los que mi única opción como cliente es aceptar o no: si el proveedor vende un servicio personalizado...ha de empezar por el contrato.

Saturday, March 18, 2006

Ataques DOS: vuelta de tuerca



Según determina un reciente estudio realizado por IBM, un 30% de las empresas españolas manifiesta no sentirse protegida frente a las amenazas que circulan por Internet. Ninguna novedad (bajo el porcentaje, me parece), habida cuenta del estado exuberante de troyanos, phishing, pharming y demás malware cada vez pergeñado con mayor sofisticación (para asustarse de verdad, sólo hay que echar un vistazo al magnífico archivo del Anti Phishing Working Group) . Las conclusiones reflejan la preocupación de las empresas por que estas amenazas cristalicen en perdidas de negocio/financieras, pérdidas en los activos de propiedad intelectual y, cada vez con mayor presencia, en daños a la imagen de marca o, lo que es lo mismo, pérdida de la confianza de tus clientes.

El asunto es especialmente grave en sectores como la banca online, donde el más mínimo "fallo técnico" desincentiva a los reacios a la transacción online para dar el paso definitivo y abandonar las visitas a la sucursal de turno. Bueno, pues parece que la nueva generación de ataques DOS tienen el siguiente objetivo en los DNS ; siguiendo la lógica de ataques distribuidos por medio de PCs infectados convertidos en zombies inconscientes (y, por tanto, potencialmente responsables, ojo) del daño que pueden causar, los hackers usan ahora sus zombies para enviar peticiones a sus DNS pero usando la dirección del objetivo del ataque (un sitio de banca online, pongamos) como dirección de respuesta a la petición al DNS. Lo que significa que el DNS se convierte en atacante cada vez que responde a una petición maliciosa. Y si ya desde la defensa del banco es difícil discernir en un DDOS "normal" cuales son peticiones legítimas y cuales no, si se añaden las del DNS (no olvidemos, encargadas de traducir legítimamente los dominios a direcciones IP), el ataque se hará mucho más difícil de bloquear, y, sobre todo, más caro (lo que puede suponer un problema de supervivencia para todo aquellas organizaciones que no dispongan de un presupuesto holgado de seguridad).
Me pregunto que responderá en estos casos el Servicio de Atención al Cliente ante la agria reclamación del usuario....

Saturday, March 04, 2006

Dos factores mejor que uno

Un interesante artículo de Out-Law ilustra la tendencia creciente en grandes bancos europeos (UK, Holanda, Suecia, etc) a distribuir entre sus clientes (de forma gratuita o de pago, según los casos) un dispositivo hardware (token, OTP, o tarjeta inteligente) que complementa los sistemas actuales de autenticación basados en usuario y contraseña.
La lucha contra el phishing obliga a las entidades bancarias a elevar el listón de sus exigencias en materia de seguridad; la idea es que , en el uso de banca online, el usuario conecte el token, introduzca su nombre de usuario, y presione un botón, recibiendo a continuación un código aleatorio de seis cifras, único para esa sesión, que actuará a modo de sustituto o complemento del password. Un segundo código aleatorio se puede generar para autorizar las transacciones habituales de la banca online, sustituyendo la (mal llamada por algunos bancos españoles) firma eletrónica, que no es más que un segundo password añadido al primero. Todo lo que abunde en no emplear las castigadas neuronas de los usuarios en recordar enrevesadas contraseñas parece un paso en la dirección adecuada. Se impone la filosofía de sumar "algo que yo sé" (mi usuario y password habituales) con "algo que tengo" (el dispositivo hardware de turno o, incluso, el propio móvil). Mismo principio que inspira al famoso DNI electrónico. Dos mejor que uno.
Los contras de estos sistemas son, sin embargo, varios: en principio, parece que necesitaré tantos dispositivos como bancos online en los que tenga contratados servicios, lo que incrementa el engorro para el usuario, por no hablar de las dificultades de accesibilidad para discapacitados o el coste de estas soluciones, que puede llegar a ser disuasorio si hablamos de distribuciones masivas.
¿Mayor seguridad? Sí. Pero también incremento de la dificultad de uso (factor absolutamente disuasorio para el usuario medio), aumento del coste y reducción de su universalidad al existir una gran variedad de soluciones y estándares. Parece que, una vez más, procede saber si el valor de lo que intento proteger es superior a los controles establecidos para su protección. Para que no me cueste más el mango que el mazo, vamos.

Friday, March 03, 2006

Quitar hierro


La lectura del artículo en el que se detalla el saqueo de los ayuntamientos de Navacerrada y El Boalo produce escalofríos, no por el hecho en sí, que a primera vista parece un mero acto de vandalismo, sino por su redacción. "El asalto al Ayuntamiento de El Boalo, nos puso sobre aviso, lo que nos permitió el miércoles hacer copias de seguridad de todos equipos informáticos así como pintarlos con pintura plástica, para dificultar su posterior venta". Pero ¿a quién le importa el hardware, cuyo único cometido es alojar lo verdaderamente importante, la información? ¿A estas alturas no vemos que "quitar hierro" tiene cada vez menos trascendencia? ¿Y los datos que contenían las máquinas robadas? ¿No debería haber más temor al uso que se pueda dar a la información que almacenaban?

La reseña periodística no es más que un reflejo de la cultura dominante en el ámbito de la responsabilidad en el mundo virtual. Nos sigue importando más el continente que el contenido, como bien detalla Fernando Acero en Kriptópolis. El grave problema que supone la dificultad en la valoración de la información deja a las organizaciones huérfanas de referencias sobre el coste de su protección.

Matar moscas a cañonazos es la actitud más recurrente de la "seguridad por espasmo", que se dispara al día siguiente de acontecer un incidente de seguridad de estas características. Lo habitual en casos como el de los ayuntamientos citados es que los responsables de seguridad de turno (caso de haberlo/s) dediquen pasada la alarma recursos desproporcionados a la protección de una información cuyo valor parece haberse disparado subjetivamente tras el incidente. Es decir, la despreocupación inconsciente del antes se enfrenta al pánico desinformado del después. Ambas sensaciones responden a un déficit de gestión de la seguridad que supone la norma en esta nuestra comunidad.

Claro que el mercado de soluciones aseguradoras que protejan el riesgo inherente a estas situaciones no es precisamente inflacionario. Apuesto el cuello a que la póliza de daños cubre el valor de reposición de las máquinas, sin mención alguna (o peor aún, con exclusión expresa) del valor de la información que contenían.

Largo camino queda aún en nuestra sociedad de la información para la construcción de la confianza digital....