"Tenemos que definir nuestra política de seguridad y asumir el riesgo que consideremos oportuno"

Una de las principales reflexiones que ha hecho Miguel Hormigo, en contestación a los lectores ha sido sobre la seguridad en Internet tras el poémico robo de datos que ha sufrido la multinacional Sony y que hace que muchos internautas se muestren inseguros a la hora de aportar sus datos en la red de redes.

En este aspecto, Hormigo indica que "nos situamos en unos momentos en los que nuestros modelos de relación se están modificando rápidamente. En muy pocos años hemos observado como la información que hasta ahora podíamos considerar confidencial está creciendo exponencialmente en la red y nacen continuamente modelos de negocio y relación que “necesitan” de ese transvase de información confidencial. Tenemos que adaptarnos rápidamente a esta nueva época y posiblemente en este período de adaptación se estén utilizando modelos erróneos que se corregirán en breve".

Asimismo, el Encuentro también ha contado con una reflexión sobre la seguridad en el ámbito de la firma electrónica "la firma digital es más confiable que la manuscrita porque para implementarla se utiliza el concepto de certificado que no es más que una serie de información firmada por una autoridad que aporta validez en un entorno concreto".

Ángela - Buenas ¿Son seguras las firmas digitales?

El concepto de firma digital es muy amplio y por resumir podemos decir que es proceso implementado mediante unmodelo matemático que demuestra la autenticidad de un contenido firmado por un remitente. Bajo este paradigma podemos hablarde confianza más que de seguridad de la firma digital y, por ende,la firma digital es más confiable que la manuscrita porque para implementarla se utiliza el concepto de certificado que no es más que una serie de información firmada por una autoridad que aporta validez en un entorno concreto.

Teniendo en cuenta lo anterior, podemos decir que si todo el entorno que rodea a la firma digital es confiable, esta es confiable. Por entorno consideramos la autoridad de certificación que da validez a los certificados generados (cada uno de los cuales tiene asociada una firma digital), que estos son válidos (no han caducado ni han sido repudiados), que la firma digital está almacenada correctamente y no ha sido accedida y que los mecanismos criptográficos mediante los que se ha generado el certificado y la firma son lo suficientemente robustos para no ser violados computacionalmente.

Dicho esto podemos decir que el modelo matemático en el que se ha desarrollado la tecnología de firma digital sí es seguro y aporta una solución robusta a la firma manuscrita junto con funcionalidades adicionales. Aunque existen varios modelos matemáticos, los más utilizados son los que se basan en el concepto de par de claves asimétricas que están asociadas por una función matemática que no es reversible, es decir, conociendo una de las claves, no se puede conocer (computacionalmente) la otra.

De esta manera, cuanto más robusta (mayor sea la complejidad) sea el par de claves, más segura será el proceso de firma digital. En el DNI digital, por ejemplo, para proporcionar esta robustez adicional lo que se hace es que se utilizan dos pares de claves de tal manera que una de ellas se utiliza para implementar el proceso de cifrado de información y otro para implementar el proceso de firma digital.

HZ - Hola, me podría decir que sistema operativo es más seguro Linux, Windows o Mac?

Desde mi punto de vista, no se puede afirmar que un S.O. sea más seguro que otro porque hay que tener en cuentamuchas consideraciones:
- Arquitectura: los sistemas anteriores los podemos agrupar en dos, los que provienen de UNIX como Sistema Operativo (Linux
y Mac) y Windows que proviene de un sistema propietario desarrollado por Microsoft. Cada uno de ellos tiene una arquitectura distinta de tal manera que UNIX es un S.O. en el que los módulos que lo constituyen son fácilmente identificables y frente a esto Windows tiene una arquitectura más compacta. Esta forma de desarrollar el S.O. aporta ventajas e inconvenientes a cada uno de ellos.

- Versiones: no podemos enfrentar UNIX a Windows, sin más, teniendo en cuenta la multitud de versiones y configuraciones
posibles.

- Mercado: este es uno de los grandes desviadores de atención ya que el uso de Windows es muy superior a UNIX por lo que
puede parecer que proporcionalmente Windows es menos seguro.

- Usuario: hay que tener en cuenta el usuario que utiliza el S.O. Normalmente el usuario de Linux tiene un perfil posiblemente más especializado que el usuario de Windows y a su vez este tiene un perfil con una casuística mucho mayor.

- Ejecución: es muy importante donde (hardware y entorno) se ejecuta el S.O. Mac OS, por ejemplo, ejecuta el S.O. en
el hardware desarrollado por el mismo fabricante por lo que puede realizar controles más exhaustivos de seguridad. Tanto Windows como Linux se ejecutan en hardware multi fabricante.

- Desarrollo: Linux aporta un valor incuestionable al disponer prácticamente de todo su código accesible para poder mejorarlo continuamente y, de esta manera, hacerlo más seguro. Frente a esto tanto Windows como Mac OS ofrecen un S.O. cuyo
código está más protegido y ofrecen vulnerabilidades corregidas de forma agrupada cada cierto tiempo (que disminuye si es alguna muy grave).

Teniendo en cuenta todas estas consideraciones y algunas más, creo que no podemos afirmar que S.O. pero si podemos asegurar que disponemos en el mercado de herramientas y soluciones para poder securizar cualquiera de ellos para que, a nivel de usuario, nuestro S.O. sea totalmente seguro.

Por último tengo que destacar que el auge de las telecomunicaciones está haciendo que cada vez nuestros ordenadores estén más interrelacionados entre sí con lo que la seguridad será cada vez más un factor a tener en cuenta, de tal manera que, por un lado, gobiernos como el de India ya stán pensando en desarrollar su propio S.O. para que sea más seguro que los actuales y, por otro, estamos observando cómo los ataques se están industrializando pasando a depender de organizaciones completas más que de aficionados especializados.

Tello - La seguridad de la información ha adquirido mucha importancia aunque realmente no tenemos constancia de la importancia que tiene, especialmente en la Administración Pública. Al respecto, ¿qué le parece el Esquema Nacional de Seguridad aprobado por el gobierno?

Como usted comenta, la seguridad de la información ha adquirido mucha importancia en los últimos años. Por esto, la publicación del Real Decreto 3/2010 que regula el ENS es un paso muy importante para que en los próximos años la Administración Electrónica pueda dar un salto cualitativo garantizando la máxima seguridad a los ciudadanos.El ENS, como tal, lo que hace es sentar las bases para que lo anterior se pueda llevar a cabo teniendo en cuenta la Seguridad como un aspecto inicial y como un proceso y no, como en muchas ocasiones, una actividad secundaria y puntual.

La Seguridad es un proceso difícilmente cuantificable de forma temprana pero fácilmente medible una vez que se ha instanciado una amenaza o se ha descubierto una vulnerabilidad. Por esto, el ENS intenta concienciar a la administración para que se tengan en cuenta principios básicos de seguridad que regulen el acceso a medios electrónicos por parte de los ciudadanos.

Desde mi punto de vista, el ENS está muy bien estructurado porque se basa en tres ejes principales como son: la definición de una política de seguridad (qué tenemos que hacer), los requisitos mínimos para establecer una protección adecuada con respecto a la política de seguridad anterior (cómo vamos a hacerlo) y los mecanismos para lograr dicha seguridad, es decir, ser capaces de medir como de bien lo estamos haciendo (se define como un proceso de mejora continua).

Otro factor a tener en cuenta es que el ENS a lo largo de los próximos años establecerá un umbral común de seguridad entre las distintas administraciones que podrán observarse entre ellas para desarrollar buenas prácticas. Un factor clave en el éxito de cualquier servicio o producto es la confianza y el objetivo del ENS es sentar las bases para que esta confianza se instale en los servicios públicos que ofrecen acciones telemáticas a los ciudadanos.

Segu - la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados, qué hay de cierto en esto y qué soluciones aporta GMV? Gracias

La Seguridad Informática, a diferencia de la Seguridad de la Información, tiene como objetivo la protección de la infraestructura informática de una organización, utilizando para ello estándares, protocolos, reglas, buenas prácticas, herramientas y la legislación vigente para disminuir el nivel de riesgo al aceptable por dicha organización.

GMV lleva más de 20 años trabajando tanto en Seguridad Informática como en Seguridad de la Información. Somos una empresa que en nuestras señas de identidad está la seguridad como un proceso integral que forma parte de nuestros procesos productivos y fuimos la primera empresa relacionada con las TI en obtener la certificación ISO27001 por parte de AENOR en España en 2004.

Esto puede dar cierta información de la capacidad de soluciones de GMV en el mundo de la seguridad lo cual no puede ser entendido sin el grupo de profesionales que la forman del que podemos asegurar que está al máximo nivel de conocimiento y experiencia. Para conjuntar esto aportamos dos ejes más como son nuestra relación con los mejores fabricantes del mercado tanto en soluciones como en productos relacionados con la seguridad de la información de tal manera que nuestra formación, certificación y experiencia aportan una garantía a cualquier organización que quiera mejorar en su posición en la Seguridad Informática y de la Información.

Adicionalmente, la experiencia acumulada, nos ha hecho comenzar una etapa como fabricantes de tal manera que ya somos número uno mundial en la fabricación de cortafuegos para cajeros automáticos de entidades bancarias con nuestro producto Cheker® y seguimos desarrollando soluciones de seguridad como puede ser Arkano que es una solución para cifrar correo sin necesidad de instalar certificados digitales, lo cual aporta mayor seguridad en los nuevos paradigmas como pueden ser el “cloud”.

Inseguro - ¿qué tiene que decir del robo de SONY?

La intrusión en la PlayStation Network ha puesto de manifiesto varios aspectos fundamentales: la capacidad técnica de organizaciones y profesionales para “entrar” en sistemas cada vez más complejos, la dificultad por parte de las organizaciones para medir el riesgo y evitar vulnerabilidades que puedan convertirse en amenazas potenciales, la necesidad de los usuarios de ser cada vez más conscientes de los riesgos que se adquieren cuando entidades externas disponen de nuestros datos, la obligación de las administraciones de regular, vigilar y concienciar a las empresas y ciudadanos de los nuevos modelos de relación que provocan, inevitablemente, intercambio de información confidencial por medios telemáticos en redes abiertas (Internet) lo cual facilita la copia, extracción y robo de información si no se disponen de las medidasadecuadas.

Para finalizar, considero que este tipo de situaciones se seguirá dando en los próximos años hasta que se estandarice el modelo de relación del usuario con el servicio y las empresas y organizaciones proveedoras no dispongan de las medidas adecuadas frente al riesgo observado.

Basurto - Después del robo de datos en Sony y el reconocimiento por parte de micorsoft de los problemas de seguridad que tienen con Xbox, ¿Cómo puede convencernos de que nuestra seguridad en internet está garantizada? Nadie se lo cree al 100%.

Nuestra seguridad en Internet está garantizada de igual manera a como lo está en cualquier otro medio en el quese difunda. Nos situamos en unos momentos en los que nuestros modelos de relación se están modificando rápidamente. En muy pocos años hemos observado como la información que hasta ahora podíamos considerar confidencial está creciendo exponencialmente en la red y nacen continuamente modelos de negocio y relación que “necesitan” de ese transvase de información confidencial.

Tenemos que adaptarnos rápidamente a esta nueva época y posiblemente en este período de adaptación se estén utilizando modelos erróneos que se corregirán en breve. Mientras tanto tenemos que ser conscientes y asegurarnos qué datos, cómo y cuales damos a terceros. Por decirlo de otra manera, tenemos que definir nuestra política de seguridad y asumir el riesgo que consideremos oportuno.

Tenemos que confiar en entidades que demuestran que nuestros datos están asegurados exigiéndoles que nos muestren políticas y mejoras constantes en esta adaptación continua y tenemos que desconfiar de cualquier otra que nos genere sospechas y malos hábitos.

Miguel Marina - A lo mejor fantaseo un poco pero, ¿no cree que nos estamos acercando a aquello que vaticinan las películasamericanas del estilo "Minority Report"? Cada vez estamos más controlados. Cuentas bancarias,Cámaras de vigilancia, geolocalización en el móvil,etc. Y es un hecho que hay quien se dedica al tráfico de datos personales en la red.

Desde mi punto de vista vez más vigilados, lo que sí es cierto es interrelacionados de manera no física porde herramientas que controlen nuestra no creo que estemos cada que estamos cada vez más lo que es más fácil disponer actividad y nuestra propia relación.

Las telecomunicaciones están suponiendo continuos nuevos modelos de relación para los cuales, a veces, no tenemos prácticamente margen de tiempo para aprender a utilizarlos correctamente y conocer los beneficios y los problemas que nos pueden acarrear. Se hace necesario, por tanto, regularizar y disponer de la explicación en detalle de estos nuevos servicios para que el usuario sea capaz de valorar objetivamente los riesgos que conlleva.

La administración y los reguladores deben establecer los canales apropiados para defender y proteger al usuario frente a cualquier abuso que se pueda cometer fuera del servicio estricto que este último ha contratado o ha adquirido.

Servando - Desde su experiencia, ¿qué le parece la situación tan convulsa que está viviendo el sector de las telecomunicaciones con los recientes cambios en la CMT, las normativas y leyes que afectan directamente a los Colegios Profesionales, etc...? ¿Considera estos cambios positivos?

Es cierto que el sector de las telecomunicaciones está sufriendo cambios constantes en los últimos años y más que a sus normativas y leyes, les están afectando nuevos modelos de negocio que se están generando, los retornos de inversión y la necesidad de buscar su posición y aportar el valor añadido.

Desde mi punto de vista, en el sector de las telecomunicaciones es necesaria regular correctamente la relación entre el prestador de servicios y el usuario para devolver la situación de confianza que existía anteriormente. Actualmente este sector es el que más reclamaciones recibe por parte de los usuarios y eso es necesario reconducirlo.

Esta situación de competencia, avances tecnológicos continuos (que hacen difícil las inversiones en infraestructura), la continua bajada de precios, la disparidad de calidad y la brecha digital seguirán produciendo cambios en este sector durante los próximos años.

Servando Caune - Me gustaría conocer su visión personal sobre la administración electrónica. Este año he ido a confirmar mi borrador y de nuevo, con un navegador actualizado y la maquina virtual java correcta, vuelve a dar por saco con un archivo.cab, que no se puede instalar en el trámite en windows xp sp3 con Explorer 7 (y es el navegador con el que mejor va). Hay que buscarse un configurador, y hacerlo previamente, pero no te avisan. Yo soy un usuario avanzado, pero mi padre o mis amigos menos avezados en estas lides, no serían capaces de llegar hasta ahí. ¿Hasta cuando esta situación? Esto no es e-Administración para todos...

Mi experiencia personal con la realización de la Declaración de la Renta por Internet es que es uno de los servicios que mejor funciona de manera telemática. La labor que ha hecho la Agencia Tributaria desde mediados de los 90 es encomiable y es el ejemplo claro de cómo deben desarrollarse los servicios en Internet generando nuevos modelos de relación. Desde siempre han tenido en cuenta que la confianza del usuario es la principal baza para tener éxito por lo que año tras año han ido mejorando el sistema y haciéndolo, en la medida de lo posible, más cómodo y fácil para el usuario. Estoy seguro que su problema con el archivo .cab está relacionado con algún tema puntual, le sugiero que lea correctamente la información sobre compatibilidad que ofrece la Agencia Tributaria y estoy seguro que volverá a funcionar correctamente. Desgraciadamente las tecnologías y los nuevos modelos de relación establecen situaciones anómalas que hacen difícil que personas no formadas puedan disfrutar igualmente de las nuevas tecnologías. Esperamos que esta situación vaya mejorando rápidamente.