Vuelve la polémica sobre “la nube”

25 de Febrero de 2009 — Manuel Delgado

La caída del servicio de Gmail durante tres horas que ocurrió ayer ha vuelto a abrir el debate sobre la conveniencia de confiar en los servicios “en la nube”, sobre todo para usos empresariales. A los que ya criticaron este modelo en el pasado, se suman ahora muchas voces adicionales que advierten de la pérdida de control que supone el que tus datos y tus servicios esenciales, como el correo electrónico, estén en manos de terceros con quienes no firmas más que un contrato de adhesión (que ni siquiera te lees) y que no tiene contigo ningún compromiso de servicio.

El argumento de que confiar tu servicio de correo empresarial a un tercero de poca confianza es, como mínimo, arriesgado cuenta con una buena porción de sensatez. Sin embargo, no creo que la solución al problema sea prescindir del software como servicio (SaaS), una tendencia que comenzó hace ya años y que cuenta con importantes ventajas (comenzando por el “zapatero a tus zapatos” y terminando por unos costes de operación y despliegue enormemente reducidos). El equilibrio entre la pérdida de control que supone el SaaS y sus ventajas inherentes es el camino correcto, así como una correcta cuantificación de los riesgos que supone esta fórmula (¿cuánto cuestan seis horas de downtime de Gmail comparadas con mantener tu servicio de correo internamente?). Eso sin olvidar que los sistemas informáticos mantenidos internamente en la empresa también tienen sus interrupciones de servicio. Otras cuestiones, como la privacidad de los datos o la garantía de que la empresa no va a cancelar el servicio de un día para otro deben corregirse por la vía contractual y siempre desde la perspectiva de que no podemos pedirle a un único proveedor todas las garantías que no le pedimos al resto de los que intervienen en la cadena necesaria para disfrutar el servicio (¿de qué nos valdría tener un contrato sólido con, por ejemplo, Google, si no lo tenemos igualmente con nuestro proveedor de acceso a Internet?). Y, finalmente, recordemos que “sacarlo todo fuera” no significa desentendernos de todo: disfrutar del SaaS también implica actividades como descargar periódicamente tus datos desde “la nube” y guardar esas copias de la manera habitual, o contar con alternativas viables en caso de un fallo masivo de nuestro proveedor principal.

Sé que no estoy diciendo nada nuevo pero, tras eventos como el de ayer, son muchas las voces que se alzan en contra de “la nube” como si el asunto fuera una discusión blanco o negro, olvidando que la vida es algo más compleja que eso y que rechazar una opción cómoda, barata y flexible como el SaaS en lugar de intentar incorporarla a tus sistemas de forma sensata no es proteger a tu empresa, sino anquilosarla.

La electricidad y los aparatos electrónicos

30 de Junio de 2008 — Manuel Delgado

Es obvio decir que, sin electricidad, los aparatos electrónicos no existirían o, al menos, no funcionarían. Sin embargo, es algo menos habitual pensar en la electricidad como la amenaza más peligrosa para los dispositivos electrónicos: pues así es. En mi anterior ocupación, me enfrenté en multitud de ocasiones con verdaderas dificultades para convencer a mis clientes de que una correcta protección ante las variaciones en la tensión (sobretensiones, caídas y, sobre todo, picos) era fundamental. Esa protección se basaba en el uso de sistemas de alimentación ininterrumpida (SAI o, en inglés, UPS) fiables o simples regletas con el adecuado nivel de protección, sí, pero también en una revisión general de la instalación eléctrica de la oficina, en algunos casos.

Leer el resto del artículo »

Publicada la norma ISO/IEC 27005:2008

10 de Junio de 2008 — Manuel Delgado

Leo en el blog Seguridad y Gestión que se ha publicado, recientemente, la norma ISO/IEC 27005:2008 Tecnologías de la Información – Técnicas de Seguridad – Gestión de riesgos de seguridad de la información. Una aportación más al catálogo de normas para la gestión de riesgos de IT.

He llegado desde el blog Apuntes de seguridad de la información, desde donde, por cierto, he llegado también a este documento en el que se recogen los Criterios de Seguridad por los que se debe regir el diseño, desarrollo, implantación y explotación de aplicaciones que vayan a ser usadas por la Administración General del Estado en el ejercicio de sus funciones. Una pena haber llegado a esto hoy, porque me habría ahorrado bastante trabajo en la redacción de unos criterios similares para una oferta que tuvimos que preparar la semana pasada para un organismo público. Lo bueno es haber constatado que lo que hice no se alejaba demasiado de lo que se incluye en ese documento del Consejo Superior de Informática.

El ataque del frío me deja frío

29 de Febrero de 2008 — Manuel Delgado

En un mundo en el que la encriptación de la información personal y empresarial sigue siendo una utopía, en el que la gente va perdiendo por ahí llaves USB con todo tipo de datos confidenciales, en el que las contraseñas más habituales son tu DNI o la fecha de nacimiento de tu primogénito, en el que los gobiernos mandan por correo DVDs rebosantes de datos personales de los contribuyentes y en el que colocar un keylogger en un equipo es una cuestión trivial, no entiendo el revuelo organizado por el llamado "ataque del frío" (en inglés, cold boot attack) [PDF:2,46MB], que no es más que la posibilidad de mantener durante un tiempo la información contenida en la memoria RAM de un equipo apagado manteniéndola a muy baja temperatura gracias a, por ejemplo, un spray con nitrógeno líquido -o incluso un simple spray de aire, invertido-. Gracias a esta forma de acceder a la información de la RAM, sería posible, por ejemplo, recuperar las claves usadas por diversos programas de seguridad para desencriptar la información que protegen.

Leer el resto del artículo »