The dangers of narrow scopes of applicability

Accreditation of an ISMS can give you several choices. One choice is your Risk Assessment method, another is your Scope, expressed in the Statement Of Applicability, and you can choose to leave some controls out as well, if you can explain why they don't apply to you.

Choice is generally speaking good. But for accreditation, this brings a reputation issue. The reputation of a certificate holder is as good as the market perception of the performance of the worst of all certificate holders.  Education certifications and diplomas, for example, carry more reputation the LESS choice you have in your studies, not the more choice you have. Doctors can't choose not to take Anatomy, but Arts can study nearly anything (depending on what country are you based)

The existence and significance of the Statement Of Applicability is well beyond anyone how is not a specialist. This means it is possible to choose a very narrow SOA, totally unrelated to your critical systems for the sake of getting accredited, regardless of your real information security posture. This is bad for certificate holders that choose real SOAs, as their competition can get the same reputation for a far smaller investment.  Another side effect of choice (SOA et al) is that a big financial company with several sites get as easily certified as a small technology company with only one site.  I think that is BAD, as the effort, resources and quality of implementation can be quite different. If I ran a big company I wouldn't specially like to spend a lot time, effort and resources to get a certificate that just anyone can have, doing far less.  Another side effect of wild choice  is that a big financial company with several sites get as easily certified as a small technology company with only one site. Again, I think this is BAD, as simple technology infrastructure should be simpler to secure than a complex one.

El Dilema del Burócrata

Tal y como se conduce en España, la probabilidad de que el lector hay recibido una multa por aparcar cinco minutos en prohibido, o por conducir en zona de 40 a 42 son relativamente altas. Seguro que muchas veces hemos escuchado o proferido quejas como “Pero si sólo estuve un minuto de más” o “Es imposible ir a menos de 45 en esa recta”. Pues bien, es aquí donde el dilema del burócrata nos pone, por una vez, en su piel. La arbitrariedad de los límites burocráticos, como a partir de que ingresos se ofrece una subvención, o a partir de que altura se puede ingresar en la policía es en la práctica inevitable. Si, por ejemplo, a una persona que midiera una centímetro menos del mínimo se le admitiera en la Policía Nacional, todas las personas que midiesen igual serían admitidas, dado que la ley debe ser igual para todos. Eso convierte en efecto a ese centímetro menos en la nueva altura mínima. No tardará una persona que mide justo dos centímetros menos que el antiguo mínimo en pedir el ingreso, argumentando que es sólo un centímetro más bajo. El proceso continua hasta que no existe ninguna altura mínima. Luego la postura del burócrata es la de poner un límite, sabiendo que es arbitrario, y atenerse a él por absurdo que sea, dado que la alternativa es que no exista ningún límite. Tomar decisiones basadas en criterios objetivos simples implica con frecuencia imponer criterios inflexibles que pueden, y de hecho dan, lugar a situaciones paradójicas.

En el caso de la seguridad, el dilema del burócrata se ve agravado por el hecho de que la seguridad es un entregable negativo. La ausencia de incidentes por un periodo prolongado nos lleva a pensar que estamos seguros. Si vivimos en una ciudad en la ni nosotros ni nadie que conozcamos hay sido nunca atracados, nos sentiremos seguros, por ejemplo.

Existe una relación indirecta entre la actividad de seguridad y los objetivos de seguridad. Intuitivamente la mayoría creemos que hay una relación directa entre lo que hacemos (nuestros resultados) y lo que queremos conseguir (nuestros objetivos). Esta creencia la alimentan experiencias como hacerse un sándwich. Compramos los ingredientes, vamos a casa, los cortamos y apilamos, quizá incluso lo tostamos y, ¡ya está!: Un sándwich listo.

Por desgracia esta relación no es siempre directa. En el caso de la Investigación no hay una relación directa entre objetivos (descubrimientos) y la actividad (experimentos y publicaciones). Se pueden intentar cientos de experimentos y aún así no encontrar una cura para el cáncer. Lo mismo pasa con la seguridad. Los objetivos (confianza, seguridad), y la actividad (controles, procesos) no están directamente relacionados.

¿Cómo afectan estos dilemas al cumplimiento normativo? Las leyes y reglamentos intentan expresar con precisión a qué esta uno obligado, de modo que la Agencia Española de Protección de Datos pueda determinar cuando se está incumpliendo la ley para imponer la sanción correspondiente. Pero no sólo los requerimientos son arbitrarios (¿Cuánto bits de longitud de clave son insuficientes?), si no que los requerimientos no garantizan el resultado que busca la ley. Una empresa puede cumplir íntegramente con la LOPD, y a pesar de ello sufrir un incidente en el que se divulga información personal especialmente sensible.

La Ley y el Reglamento dicen qué medidas deben tomarse para proteger la información, esto es legislan la actividad, pero no legislan el objetivo. Si se legislara el objetivo, entonces la Ley debería establecer un límite burocrático sobre el número o cantidad de información personal que es tolerable perder al año; pero no lo hace.

La Judicatura no determina la culpabilidad únicamente por la tipicidad, sino que utiliza criterios como la naturaleza de los derechos afectados, la intencionalidad, la reincidencia y los daños y perjuicios ocasionados, entrando en lo podríamos llamar “el espíritu” de la ley.

Esta situación tiene un doble efecto; Por un lado una organización entiende que no necesita ir más allá de la actividad exigida por la ley para proteger su información personal. Por otro lado, en caso de un incidente la organización que cumple con las medidas que marca la ley entiende que queda exenta de responsabilidad dado que puede demostrar que ha cumplido con ella.

Para resumir, la unión del dilema del burócrata con la falta de relación directa entre la protección de la información y la seguridad de esa información, nos lleva a una situación perversa; algunas organizaciones se ven obligada a invertir de más para cumplir con la letra ley, cuando con una inversión inferior podrían cumplir con la intención de la ley; mientras otras organizaciones se paran mucho antes de la meta, dado que el cumplimiento con la letra les exime de responsabilidad por no cumplir con el espíritu, que sería el de tomar todas las medidas necesarias para proteger los derechos del ciudadano.

Esta no es una situación sencilla de resolver; en USA han tomado la medida de obligar a las empresas a declarar la pérdida de información de clientes, en la esperanza de que los posibles efectos negativos de esas declaraciones les fuercen a proteger su información, por la fuerza del mercado, de una forma más efectiva. Sólo el tiempo dirá si esa aproximación es más o menos efectiva que la Europea.

¿Cómo de Secreto es un Secreto?

Cuando algunos saben algo, y quieren impedir que otros lo sepan, eso es un secreto. Todo el mundo tiene secretos, algunos pequeños, como tomar chocolate sin que nos vea nadie mientras estamos a dieta, mientras que otros son personalmente más importantes, como un embarazoso error personal o profesional del pasado. Hay tantos tipos de secretos como tipos de personas y organizaciones, entre ellos:

  • Secretos personales y familiares, que normalmente están relacionados con la moral y los tabúes de la cultura a la que se pertenece.
  • Secretos comerciales, como información financiera, estrategia, y secretos industriales que le da una ventaja sobre los competidores que no conocen esta información. Este tipo de secretos se pueden perder por ingeniería inversa, y sólo se considera que existan cuando el propietario toma medidas para mantenerlo.
  • Secretos de la fuerzas de seguridad, como métodos de investigación y detalles sobre investigaciones en curso.
  • Secretos criminales, como “insider trading”, crimen organizado y pandillas.
  • Secretos sociales, como algunas religiones o sociedades secretistas como la masonería.
  • Secretos profesionales, como trabajadores sociales, de la salud, o periodistas.
  • Secretos políticos. La mayor parte de los países tienen una Ley de Secretos Oficiales y clasifican la información según el nivel de protección que precise, como por ejemplo:
  1. Diseño de armas y tecnología militar (nuclear, criptografía, camuflaje)
  2. Planes militares.
  3. Posiciones negociadoras diplomáticas.
  4. Fuentes de información, métodos e inteligencia.
  5. Relaciones Internacionales (OTAN, etc), como los acuerdos de la crisis de los misiles Cubanos, el tratado secreto de Dover, el pacto Molotov-Ribbentrop, el Acuerdo Cuatripartito, el pacto de Londres y el acuerdo Sykes-Picot.

Los secretos se guardan por varios motivos como tener una ventaja sobre los que no lo tienen, mantener la privacidad de terceros, dar una sensación de privilegio a los que lo conocen, o evitar se perseguido o avergonzado.

Mantener la privacidad de terceras partes es normalmente visto como una virtud, mientras que algunas profesiones lo tienen como un deber fundamental, que de otro modo pondría en peligro su trabajo. Abogados, médicos, trabajadores sociales y clérigos tienen un deber de confidencialidad. Mantener la privacidad tiene sus límites, como por ejemplo cuando revelar un secreto puede salvar la vida de alguien o prevenir un crimen. Una excepción llamativa son los curas católicos, para los que el secreto de confesión es inviolable. Deben mantener el secreto de confesión incluso bajo amenaza de muerte propia o de otros, sin ninguna excepción.

Los secretos son frecuente fuente de controversia. Por ejemplo, se utilizan para ocultar errores, o comportamientos ilegales, inmorales o simplemente criminales, lo que entra en conflicto directo con el interés público. La mayor parte de los gobiernos intentan ocultar información a la ciudadanía y especialmente a otros gobiernos. Algunas instituciones gubernamentales pueden, por ejemplo, retener información durante más tiempo del que la necesitan oficialmente.

Mientras todos tenemos una forma intuitiva de diferencia pequeños secretos de grandes secretos, hasta ahora no ha habido una forma de medirlo numéricamente.

Utilizando la siguiente formula:

Secreto = Log C*(Sum Tdc / Sum Tc)

Donde C es la cantidad de información, Tc la suma del tiempo durante el que alguien sabe el secreto, Tdc la suma del tiempo durante el que alguien ha querido saber el secreto.

Si tomamos C=1, podemos ver varios ejemplos interesantes:

¿Con quien se fue de fin de semana fogoso la famosa de turno? Si lo saben dos personas desde el 1 de Agosto, 48 más desde el 1 de Septiembre y 100.000 lectores de revistas rosas querrían saberlo, y lo averiguan al cabo de cinco meses, justo antes de que se revele el secreto es:

S = Log ((100.000 * 5) / (2 * 5 + 48 * 4)) = 3,39

Si sólo 8 personas lo hubieran averiguado en Septiembre, el secreto sería S = 4,04

¿Quién mató a Kennedy? Si suponemos que dos personas lo saben desde 1963m y que 300 milloneses de estadounidenses querrían saberlo, tras 44 años:

S = Log( 300 millones * 44 / 2 * 44 ) = 8,1

¿Quién era Garganta Profunda? Justo antes de que se revelase, lo sabían 4 personas, y al menos 300 millones estaban interesadas. Tras 33 años:

S = Log( 300 millones * 33 / 4 * 33 ) = 7,8

¿Y si lo hubieran averiguado dos personas más tras 30 años?

S = Log( 300 millones * 33 / (4 * 33 + 2 * 30) ) = 6,7

En una empresa, un secreto puede ser importante por unos pocos años, y todos los competidores pueden estar interesados en conocerlo. Si 10 personas de la empresa lo saben durante un años, y ciento cincuenta de otras empresas querrían saberlo:

S = Log( 150 * 1 / (10 * 1) ) = 1,17

Si al cabo de dos años el mercado es más competitivo y hay más gente que querría saberlo (1500):

Secret = Log (1500 * 1 / (10 * 1) ) = 2,17

Para los ejemplo, utilizaré los siguiente grupos para medir secretos:

  • Familia 10
  • Entornos social 100
  • Institutito 300
  • Compentencia 300
  • Banda 50
  • Policía 100000
  • Ejército 1000000
  • Población de un país 30000000
  • Ejércitos extranjeros 15000000

Aplicando la fórmula, los siguientes valores aproximados pueden servir como ejemplos de medidas de secreto:

  • Un secreto social, como una confidencia de un amigo o una coartada acerca de donde has dormido, 0,70
  • Señales secretas de una banda, 0,95
  • Ocultar un accidente, como romper algo, 1,00
  • Mantener la privacidad de otros, como una confesión, o la situación social de alguien, 1,00
  • Mantener la privacidad de un ciudadano medio, como por ejemplo la lista de videos que alquila o los libros que lee, 1,04
  • Engañar a tu mujer o marido, 1,44
  • Secretos de la Masonería, Cienciología, or Mirraismo, 1,48
  • Un secreto industrial normal, 2,18
  • Un error o mal comportamiento de un político 2,40
  • Secretos de la Mafia, Yazuka o “Insider Trading”, 3,30
  • Mantener la privacidad de un político como la lista de libros que lee, o películas que alquila, 3,48
  • La identidad de un testigo protegido en un caso penal, 5,70
  • Una fuente periodística, 5,78
  • La fórmula de la Coca Cola, 6
  • Corrupción, uso fraudulento de fondos públicos 7,57
  • Armas nucleares, técnicas avanzadas de análisis criptográfico, 8,00

Los misterios son secretos no conocidos por nadie, como los descubiertos por Champollion cuando descifró los jerogíficos egipcios tiene S=infinito.

La ignorancia sobre la existencia de un secreto, lo hace menos secreto, dado que el interés por averiguarlo es menos, y el esfuerzo para mantenerlo secreto puede ser menor. Por desgracia es muy difícil estimar el número de personas interesadas en un secreto, de modo que la precisión no será normalmente muy alta. Esta forma de medir secretos puede llevar a algunos ejercicios interesantes, como por ejemplo añadir un factor que mida el grado de interés por el secreto como complemento al número de personas interesadas por el secreto, o analizar la difusión de un secreto en un grupo dependiendo de la probabilidad de que cada miembro del grupo lo revele.

Los profesionales de seguridad tienen que trabajar a diario con secretos, dado que uno de los incidentes que más preocupa a los usuarios es su revelación. Normalmente las medidas técnicas utilizadas para mantener secretos son el control de acceso y el uso de criptografía. Las medidas de naturaleza organizativa suelen ser la firma de compromisos de confidencialidad, y clasificaciones personales de acceso a secretos clasificados, aunque también suele ser precisa cumplir con la condición de justificar la necesidad del conocimiento para acceder a secretos clasificados.

Una de las acepciones más usadas de “confidencialidad” es “mantener los secretos”. El factor humano es el principal factor que limita lo que la tecnología puede conseguir en lo referente a mantener secretos, siendo DLP una tecnología reciente que intenta superar las limitaciones existentes. Aquellos en los que se confía para que conozcan el secreto pueden copiar y transmitir con mucha facilidad la información, por lo que la selección de estas personas es probablemente el factor que más incide a la hora de mantener los secretos como tales. Clasificar secretos es complicado, debido a que hay varios requerimientos que entran en conflicto. Un número pequeño de categorías es fácil de comprender y gestionar, pero la clasificación puede ser poco estricta. Por el contrario, si el número de categorías es grande, la clasificación será más flexible y granular, pero puede ser difícil clasificar y la gestión puede ser costosa.

El impacto de los secretos en una organización puede ser serio, dado que un esfuerzo serio normalmente implica utilizar zonas físicas y redes separadas para manejarlos, crear procedimientos detallados para conceder acceso, utilizar sistemas especialmente configurados para prevenir la fuga de información, y realizar una comprobación exhaustiva de aquellas nuevas personas a las que se vayan a confiar secretos importantes.

Las consecuencias de revelar secretos pueden ser graves. Para una empresa pueden significar el fin de una ventaja competitiva, o el fracaso de acuerdos importantes, como fusiones, o puede implicar un cambio drástico de su valor en bolsa. Las empresas tiene un deber de mantener la privacidad de sus clientes, y la revelación de información privada puede llevar a multas muy onerosas.

Mediante la medición de secretos podemos entender mejor como de secreta es la información que manejamos, y qué tipo de medidas tomar para mantenerla secreta. Para entender mejor los motivos para mantener un secreto y la influencia del paso del tiempo, del interés y cantidad de personas qiue conocen el secreto puede dar pistas acerca de cómo gestionarlo. Hay dos conclusiones fácilmente deducibles de la fórmula:
1. Impedir que otros conozcan la existencia del secreto hace más fácil mantenerlo.
2. Mantener el grupo de personas que conocen el secreto tan pequeño como sea posible previene fugas con mayor efectividad que cualquier medida de tipo técnico.

Entender con claridad el tipo de secretos en una organización, como de secretos puede estimarse que sea y el impacto de que sean revelados es el primer paso para establecer una protección de secreto eficaz y de un coste proporcionado.

 

Pages