domingo, 17 de febrero de 2013

Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información


El uso de contraseñas se remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso. En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña, dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano o por revelación de la misma de manera no autorizada.

De otra parte la palabra símbolo, viene del latin symbolum y del griego σύμβoλoν, que significa signo, contraseña. En la antigüedad un símbolo era un objeto partido en dos, del que dos personas conservaban cada uno la mitad, lo cual servía para reconocer a los portadores y dueños de los compromisos adquiridos.

Como podemos observar, las palabras claves, se han usado desde la antigüedad para mantener el control de la autenticación de al menos dos partes, las cuales aún sin conocerse, son capaces de identificarse y asociarse, para completar una identificación. El secreto de la palabra clave, es el reto más importante del reconocimiento, toda vez que la palabra per se, si bien no representa en sí misma la autenticación, si manifiesta la forma como se reconocerá a la persona que la porta.

En este contexto, las palabras clave, contraseña, passwords, pass code, personal identification number, personal identification text, son expresiones modernas de un concepto que desde tiempo remotos se ha utilizado para reconocer si una persona es quien dice ser. Las técnicas modernas de autenticación hablan de múltiples factores de autenticación para aumentar la confiabilidad de la identificación y corroboración de la identidad de una persona: algo que tengo, algo que conozco y algo que soy, los cuales cada vez más se vuelven más cotidianos y automáticos.

Una contraseña en el contexto moderno podríamos decir que cumple el mismo cometido que lo hacía tiempo atrás, con una connotación adicional hoy, en cuanto a que representa el 90% de la seguridad y control de acceso tanto de las redes corporativas, servicios y facilidades, así como de los dispositivos móviles. Esto es, las palabras clave son la puerta de acceso a la información personal y empresarial, toda vez que con sólo una combinación de caracteres alineamos la combinación de ingreso, para acceder a los activos claves que materializan el valor de inherente de una organización y la vida personal de un individuo.

Si lo anterior es cierto y aún estamos en transición hacia una autenticación basada en contraseñas dinámicas, certificados digitales personales o cadencias individualizadas, se hace necesario conocer cómo la inseguridad de las contraseñas nos puede jugar malos ratos, como quiera que ella es el portal de ingreso a los activos de información críticos y, cuya fuerza y fortaleza radica en su calidad y cantidad, así como en la agilidad y sagacidad de su dueño.

De acuerdo con estudios realizados, considerando los avances tecnológicos recientes que hablan de la duplicación de la capacidad de cómputo cada diez y ocho meses, así como dispositivos móviles cada vez más versátiles e intensos en procesamiento, se hace necesario comprender el nivel de exposición de la utilización de contraseñas sin las debidas consideraciones de longitud, variedad y versatilidad que hagan más dispendioso a los atacantes intentar descifrar la palabra clave y tener acceso a la información.

Consultando múltiples fuentes de información, se encuentra con frecuencia un cuadro en internet que de manera pedagógica indica el tiempo requerido para quebrar una contraseña, basado en su longitud y en la variedad que se incluya en ella: mayúsculas, minúsculas, números y símbolos. Si bien este cuadro nos advierte sobre la complejidad inherente que deben tener las palabras clave, es probable que los datos allí consignados hayan variado, toda vez que hoy la capacidad de cómputo es mayor y se cuentan con estrategias como mallas de cómputo, que no solo aumentan la capacidad de procesamiento, sino la velocidad de éste, haciendo posiblemente que lo que inicialmente se indica en el cuadro, se haya reducido más de la mitad del tiempo allí indicado.

Largo
Sólo minúsculas
Agrega mayúsculas
Agrega números y símbolos
6 caracteres
10 minutos
10 horas
18 días
7 caracteres
4 horas
23 días
4 años
8 caracteres
4 días
3 años
463 años
9 caracteres
4 meses
178 años
43.530 años

Nótese que no se hacen cálculos para contraseñas menores a 6 caracteres, dado que con la capacidad de cómputo actual, los tiempos serían supremamente cortos y no ofrecen ninguna fortaleza, por lo cual la recomendación implícita del cuadro, es el no uso de  este tipo de longitudes, sabiendo que los atacantes contarán con la ventaja: tener una puerta de acceso sin ningún tipo de control.

La contraseña hoy por hoy sigue siendo una forma de asegurar la autenticación de muchas organizaciones, pese a la advertencia de muchas entidades internacionales (FFIEC - Federal Financial Institutions Examination Council) de modificar los esquemas de autenticación de contraseñas estáticas a palabras clave dinámicas o dos factores de autenticación para mitigar los riesgos de pérdida de confidencialidad de los datos residentes en las máquinas.

Mientras se llega la evolución y masificación de los mecanismos de autenticación modernos y migramos hacia elementos más robustos y automáticos, el “santo y seña” de tiempos inmemoriales puesto en los sistemas de información modernos, seguirá siendo el método base que tenemos para defendernos de los ojos no autorizados y la forma de cómo hacerle cada vez más difícil a los atacantes encontrarse con nuestros datos.

Luego, cuando alguien le diga que tiene muchas contraseñas para aprenderse, que la que utiliza en el móvil es larga y tediosa, que toma mucho tiempo adelantar la autenticación en su equipo de cómputo bien sea de escritorio o móvil, piense en los impactos de una brecha de seguridad en su equipo y las implicaciones que ello puede traer en su organización o  persona; así recordará nuevamente que, sin un entendimiento de los retos de la inseguridad de la información en su entorno personal y empresarial, será presa fácil de la inevitabilidad de la falla y una estadística más de aquella frase que no queremos escuchar una vez se le advierte sobre un peligro inminente a una persona y éste se materializa: “Se lo dije”.

Referencias:

domingo, 10 de febrero de 2013

Contratos en la nube: Seguridad jurídica desde la inseguridad de la información



Con frecuencia escuchamos a profesionales de tecnología de información y seguridad de la información estar en la encrucijada de “adoptar la computación en la nube”, toda vez que en el ejercicio inherente a la toma de decisión se encuentran contrapuestos los múltiples beneficios que este modelo entrega y los riesgos propios de la protección de la información, bien por su característica de estar regulada o por ser parte de la información clave que apalanca el modelo de valor de la empresa.

En este entendido, decidir movilizarse hacia la nube, demanda un entendimiento del apalancamiento de capacidades estratégicas de la empresa y aceptación de riesgos residuales (luego de los controles aplicados) que permitan a la organización, avanzar de manera innovadora en nuevas experiencias de servicios y productos para sus clientes, con un monitoreo y aseguramiento proactivo de los riesgos conocidos y aceptados.

Habida cuenta de lo anterior, concretamente “irse a la nube” es conocer de manera detallada y exigente las condiciones contractuales de los proveedores de los servicios, para evaluar sus capacidades y ofertas de valor, frente a las demandas propias de beneficios esperados por la empresa y sus clientes, así como las nuevas experiencias y soluciones novedosas para sus diferentes nichos de influencia.

En este sentido, “la nube” representa un reto técnico y jurídico que implica entender una nueva forma de operar y entregar la administración de la tecnología a un tercero de confianza, que permita mantener el foco de la empresa en el modelo de generación de valor, mientras la tecnología de información de soporte opera de manera virtuosa, en su evolución hacia una TI valiosa.

Como quiera que moverse a “la nube” es una decisión de negocio que motiva a la alta gerencia a revisar cómo potencializa con mayor impacto el modelo de generación de valor de la empresa, materializar esta iniciativa requiere conocer con detalle cómo los terceros desarrollarán el servicio y cómo la organización recibirá los beneficios propios de la promesa de valor que actualmente hacen los proveedores de servicios en la nube.

Por tanto, revisar los aspectos contractuales de la computación en la nube es conocer en profundidad la forma como los profesionales del derecho modelan desde la inseguridad de la información, estrategias de protección y aseguramiento empresariales que demanden el cumplimiento de prácticas concretas por parte de los terceros y la eficacia de las cláusulas sancionatorias que se harán efectivas en el caso que las condiciones pactadas para el servicio no se cumplan según las especificaciones iniciales.

En este ejercicio, revisamos el documento “Negotiating cloud contracts: looking at clouds from both sides now”, elaborado por W. Kuan Hon, Christopher Millard e Ian Walden y publicado en el Stanford Technology Law Review, volumen 16, número 1 en 2012. Este artículo desarrolla con detalle los elementos concretos de los términos contractuales claves que se deben considerar en el momento de adelantar un contrato de “cloud”.

Analizando los elementos identificados por Hon, Millard y Walden, encontramos que muchos de ellos responden a una condición de inseguridad de la información concreta bien sea jurídica, técnica o de procedimiento. Así las cosas,  las cláusulas que se planteen recogerán de manera proactiva las condiciones claves de la prestación del servicio en la nube privilegiando entre otros responsabilidades, niveles de servicio, aspectos regulatorios, seguridad y control de la información, verificaciones independientes, brechas de seguridad de la información, retención de los datos en la infraestructura del proveedor, propiedad intelectual y derechos de autor.

A continuación revelamos los aspectos más importantes en el contexto de los contratos con proveedores en la nube, intentando hacer una revisión práctica de los alcances de las cláusulas, sabiendo que este ejercicio es una excusa académica en este campo y no reemplaza la revisión propia del asesor jurídico empresarial  de la organización.

En el tema de la responsabilidad, los proveedores pueden tomar dos posiciones claras. Por un lado, aceptar una posición de responsabilidad ilimitada sobre el servicio que se contrata, esto es, responder por cualquier tipo de incidente, condición o situación que se presente en el cumplimiento del contrato, dejando al cliente en una posición cómoda, sin que asuma responsabilidades propias de la relación contractual, donde éste debe asegurarse que se mantienen una serie de prácticas de seguridad y control en el modelo seleccionado (IAAS – Infraestructura como servicio, PAAS – Plataforma como servicio o SAAS – Software como servicio) y que el proveedor deberá cumplir para asegurar más allá del servicio, la información.

Por otro, los proveedores buscarán establecer el mayor número de exclusiones y limitaciones posibles, a cambio de incrementar los niveles de servicio, lo cual necesariamente los clientes objetarán frente a las exigencias de seguridad y control que se requieren con la información depositada en custodia en su infraestructura. El cliente buscará obtener el mayor beneficio del proveedor al menor costo posible, por lo cual en esta puja los términos jurídicos contractuales estarán en la mesa de negociación, posiblemente desviando las implicaciones financieras y de negocio que pudiesen ser razones más fuertes, para establecer los términos razonables para potencializar todo el valor de la estrategia en la nube que se quiere desarrollar.

En los aspectos de seguridad y control, los proveedores de la nube pueden resultar respondiendo por brechas de seguridad materializadas sobre su infraestructura, pero no por pérdida o corrupción de datos, toda vez que los mínimos contractuales se basan en un conjunto de prácticas de seguridad y control orientadas a la infraestructura, pero no sobre los datos en sí mismos. Esta realidad establece una revisión particular de los acuerdos de servicio y prácticas del proveedor para encontrar puntos intermedios de puesta en común que demanden prácticas propias de los clientes sobre los datos y las condiciones básicas y funcionales de los proveedores para proteger la información.

Cuando de disponibilidad, tiempo de respuesta y capacidad de canales de comunicación se trata, las organizaciones que se migran a la nube, demanda un alto compromiso del tercero de confianza para lograr niveles de atención de calidad, que le permitan una experiencia diferente en el aseguramiento de su operación. En este sentido, la negociación que se adelante frente a los acuerdos de niveles de servicios, requieren necesariamente la transparencia del proveedor de servicios en la nube para validar que los niveles de latencia (pérdida de servicio) se encuentren en los rangos establecidos y de no ser así, proceder a efectuar las reclamaciones del caso frente a lo pactado.

Generalmente los acuerdos de niveles de servicios una vez contratados son de estricto cumplimiento, sin embargo, las compensaciones como posibilidades de mayor tiempo de uso o retorno de dinero se advierten como estrategia de los proveedores ante posibles fallas o pérdidas de disponibilidad. De otra parte, frente a incidentes o brechas de seguridad, las condiciones varían, pues cada proveedor define las acciones a seguir frente a los hechos y las estrategias de mitigación de impactos requerida. En este punto, los clientes no tienen mucho margen de acción, sólo que a través del contrato se consideren puntos particulares para enfrentar esta realidad.

Las verificaciones independientes son uno de los elementos que más causa inquietud y resistencia por parte de los proveedores en la nube, como quiera que este tipo de ejercicios permitan validar en sitio las condiciones y características de los terceros, quedando evidente cualquier tipo de limitación o falla no declarada inicialmente por éste en el proceso de elaboración del contrato. Algunos autores manifiestan que una auditoría previa sobre el modelo de servicio que se contrate permite advertir el nivel de seriedad de los servicios a contratar, sin perjuicio que de manera posterior y selectiva las organizaciones envíen auditores para contrastar el contrato frente al servicio recibido y la resistencia del modelo de seguridad que opera en la infraestructura.

Como quiera que los modelos de despliegue de la computación en la nube cuentan con infraestructura que los respalda, se hace necesario frente a la terminación del contrato o migración de las máquinas a nuevos equipos, contar con procedimientos formales eliminar la información remanente en los equipos anteriores y asegurar los escenarios técnicos requeridos para efectuar la retención de los datos según las necesidades de la organización. Si bien conocemos algunos de los elementos de la operación de los terceros, se hace necesario validar con hechos y datos que cada uno de los proveedores de la cadena de servicios se ajusta con las exigencias de seguridad, control y calidad de la información.

Los aspectos de propiedad intelectual y derechos de autor son condiciones relevantes para los acuerdos de voluntades que se tracen entre el proveedor y su cliente. Considerando que el proveedor puede desarrollar aplicaciones o nuevas funcionalidades que mejoren la calidad del servicio, es claro que se debe establecer si dichas mejoras serán parte del acuerdo de niveles de servicio o el proveedor se reserva el derechos sobre las mismas, considerando un modelo de licenciamiento para uso de la funcionalidad por parte del cliente.

Como hemos observado en cada uno de los temas revisados los alcances jurídicos tratan de modelar los retos jurídicos en clave de inseguridad de la información, dado que la certeza legal en un entorno cambiante y sin fronteras conocidas, no es posible alcanzarla sin entender las posibilidades que se pueden presentar al mantener una operación de tecnología de información en manos de un tercero de confianza.

Si bien el mercado de los proveedores de servicios en la nube, comienza a madurar y desarrollar una vista más estandarizada de sus propuestas de servicio, se hace necesario que las empresas y entes de supervisión avancen en el desarrollo de posturas de seguridad y control que permitan balancear los requerimientos de los clientes, las exigencias de los reguladores y las consecuencias de mantener una operación fuera de un estándar definido.

Alcanzar acuerdos internacionales alineados con las mejores prácticas de agremiaciones como el Cloud Security Alliance, permite tanto a los proveedores de servicios en la nube como a los clientes y entes de regulación, ordenar esfuerzos para desarrollar una base de operaciones, responsabilidades, procedimientos, prácticas y métricas que permitan asegurar una operación confiable y jurídicamente correcta por parte del proveedor.

Así mismo, unas acciones claras por parte del cliente que, conociendo la inevitabilidad de la falla, construya una relación estratégica de negocio más allá de las sanciones contractuales, centrada en el ejercicio diario del entendimiento de la incertidumbre jurídica y las fallas tecnológicas como factores fundamentales para desaprender, evolucionar y madurar en el gobierno de los riesgos de una infraestructura y servicios de TI ahora operado por un tercero.

Referencias
KUAN HON., W, MILLARD, C. y WALDEN, I. (2012) Negotiating cloud contracts: Looking at clouds from both sides now. Stanford Technology Law Review. Volume 16, number 1. Fall. Disponible en: http://stlr.stanford.edu/pdf/cloudcontracts.pdf (Consultado: 10-02-2013)