miércoles, 27 de mayo de 2020

Mutantes y planificación de la seguridad de la información

Jonathan Hickman ha hecho un reinicio o “reboot” de los X-Men con doce cómics llamados Dinastía de X y Potencias de X (seis grapas por cada título) muy recomendable. Pero como esto es mi blog jurídico voy a aprovechar para hablar de una cuestión que leí en los cómics y que me genera gran inquietud. 
Si conocéis a los mutantes, no desvelo nada si os digo que la principal funcionalidad de Cerebro es la posibilidad de localizar a mutantes del planeta. Si no conocéis a los mutantes, os digo que Cerebro es un dispositivo que utiliza Charles Xavier, un mutante, para poder localizar a otros mutantes del planeta. Es un localizador francamente bueno. 
Sin entrar en para qué ni en por qué, la versión de Cerebro (tercera generación) que maneja Charles Xavier en los cómics de Hickman, tiene la funcionalidad de hacer copias de las mentes de los mutantes.
Y aquí es donde viene mi preocupación cuando leí una conversación en Potencias de X entre Charles Xavier y Forja. El profesor Xavier le pide a Forja que implemente un sistema para guardar copias de seguridad de Cerebro. Y entonces Forja le plantea dos cuestiones a Xavier:
  • Un posible problema de volumen, porque hay muchas mentes mutantes y el número aumenta (Sí, Wanda, aumenta el número a pesar de lo tuyo, que se te fue mucho la pinza). 
  • Y la redundancia que implica guardar versiones actualizadas de las mentes de los mutantes conforme transcurre el tiempo. 
Forja dice que necesitará, como mínimo, una copia de seguridad. Y Charles le contesta que cinco, ¡que quiere cinco!: “Una unidad principal, tres copias de seguridad y una más para complicaciones imprevistas. “
A partir de ahí se meten en un tema de necesidad de una fuente de energía y almacenaje ilimitados y pasan cosas que os tenéis que leer en el cómic. Leed el cómic. 
Cuando leo estas cosas yo entro en modo análisis de riesgos, posibles vulnerabilidades, amenazas sobre Cerebro, cómo evitarlas y encima cinco copias, y dónde guardas esas copias y cómo proteges esas copias y run run y run run.  
Y ya les hablo: “Suena muy bien Forja. Y Charles, seguro que vas a hacer cosas buenas a favor de los mutantes o eso quieres creer, como siempre. Pero se supone que sois dos de los tíos más listos del planeta, con el permiso de Jean Grey. ¿Qué tal algo de seguridad coordinada en todo esto? 
Charles, yo empezaría por un Plan Director de Seguridad que, por resumir con la definición de INCIBE, se trata de “definir y priorizar un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.”
Vamos a decir que aquí la organización son los Mutantes. Representados por Charles Xavier en esas atribuciones que siempre se quiere arrogar el profesor y que a mi, muchas veces, me parecen bastante cínicas. Y si le preguntáis a Mística aquí (entre otros sitios), seguro que opina lo mismo que yo. 
Pero hombre, ya que te pones, qué menos que considerar la seguridad del proyecto en su conjunto, ¿no? 
Yo no sé, (o si lo sé no lo digo bien para no hacer spoilers, bien para que me encaje la frikada en el post), si Forja y Charles han hecho un análisis de la situación, pero en esa conversación que comento, a mí todo me suena a parches. Que si necesito una fuente de energía ilimitada por aquí, que si redundancia por allí, que si el sistema de rotación de copias de seguridad será este otro. De hecho, está explicado el sistema de copias de seguridad en el cómic (el cómic lo mola todo y el sistema de backups incluye copias incrementales y completas).
Y mi sentido arácnido cylon se va poniendo de punta, porque me suena todo a parches. No veo que aquí Charles y Forja se hayan sentado a hacer una Plan Director de Seguridad. Un “algo” coordinado en el que tengan en cuenta dónde tiene que estar la organización Mutante en materia de seguridad y la protección de su principal activo, Cerebro. No veo ninguna línea de actuación, ni plan predefinido sobre las medidas de seguridad que la organización Mutante tiene que implantar. 
Y, yo no sé si hay normas ISO en el mundo mutante, posiblemente no porque teniendo a Magnus, quién quiere una ISO, pero deberían basarse en alguna línea de buenas prácticas con las de la ISO 27000 para definir requisitos de seguridad. Porque estamos hablando de Cerebro y de que va a almacenar información francamente muy muy sensible. Y hasta cinco copias de seguridad de esa información muy muy sensible, así que vamos a centrarnos, Charles:
  1. Un Plan Director de Seguridad con alcance a Cerebro y sus copias de seguridad.
  2. Nombra responsables de seguridad y responsables de la información. (Gente fiable y competente, tipo Tormenta. Evita a Logan)
  3. Analiza qué medidas tiene implantadas ahora mismo Cerebro y establece qué objetivos de seguridad tienes que cumplir para garantizar su seguridad. 
    • Analiza riesgos y amenazas. 
    • Qué medidas de seguridad tienes ya para reducir esos riesgos y las amenazas. 
    • Qué riesgos siguen existiendo a pesar de esas medidas y qué nuevas medidas hay que establecer. 
  4. Ejecuta el plan. 
  5. Y revisa que las medidas funcionan, que estamos hablando de Cerebro. 
Voy a seguir profundizando sobre este tema en próximos post porque me parece relevante proteger a Cerebro. Pero por no extenderme demasiado voy a dejar aquí una idea muy simple y fundamental: es necesario abordar el proyecto de la seguridad de los activos de una organización, incluida la organización Mutante, desde su planificación. La finalidad es prevenir amenazas e incidentes sobre esos activos. En el momento que se improvisa, como entendí yo que estaban haciendo Forja y el Profesor Xavier, podemos encontrarnos con un serio problema.