eDiscovery. El futuro de la gestión de la información corporativa

Al hilo de este estupendo paper sobre eDiscovery, voy a aprovechar la ocasión para hablar un poco del tema.

Los orígenes del eDiscovery surgen en un típico entorno organizativo donde hay toneladas de información digital conservada de múltiples maneras: email, documentos ofimáticos, sistemas EDI, PIMs, etc. Esta información, como es obvio, debe ser conservada de modo que la privacidad y la confidencialidad, no sólo de la empresa, sino también de sus trabajadores, sea máxima.

Hasta aquí nada nuevo. Es una cuestión más lógica que legal. Si conservamos información, ésta debe conservarse con garantías de que ningún acceso no autorizado sea posible, y que en caso de producirse, se vele por la privacidad de los elementos afectados.

Vamos a dar un giro de tuerca adicional. Imaginemos que cumplimos con las prescripciones legales sobre retención de información y datos, y que nuestra organización vela por la privacidad de su know-how y sobre todo, por la confidencialidad de la información electrónica cuyos protagonistas sean los empleados. Esto ya sería, al menos en España, un logro importante, teniendo en cuenta que del orden de 8 de cada 10 empresas no cumple con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Imaginemos que a ese segmento del 15 o 20% de empresas que sí cumplen con la Ley les decimos algo así como lo siguiente:

Muy bien, usted trata los datos y la información acorde a la Ley, protege la confidencialidad y la privacidad de los usuarios del sistema. Pero es que además, Usted tiene no sólo que cumplir con esto, sino además, asegurarse de que en caso de litigio, la información tiene que estar lo suficientemente ordenada para que esté disponible con una inmediatez máxima. Caso contrario, se le sancionará.

Es decir, en caso de necesitarse, por motivos judiciales, acceso a la información protegida, debe garantizarse que la extracción de la información sea posible de una manera rápida y acorde a unas directrices de conservación aséptica, de modo que los hipotéticos procesos judiciales que requieran la información no se vean entorpecidos, propiciando además garantías de que la información se extrae del sistema conservando plenamente su integridad. Este escenario, que en España sería de ciencia y ficción, existe y se aplica en otros marcos legislativos más avanzados que el nuestro.

Este es el objetivo del Electronic Discovery o eDiscovery. Proporcionar herramientas para que la gestión de la conservación implique además la gestión de la extracción de la información, tal y como se ha explicado.

La proliferación de los Sistemas de la Información y de la dependencia de los mismos ha ocasionado que recientemente, y hablo de Estados Unidos, se hayan acordado sanciones muy fuertes a las compañías que no respondan rápida y efectivamente a las peticiones de extracción de información. Pese a que en principio el despliegue de conformidad es brutal, ya que aquí hablamos de una gestión en la que diseñan abogados judiciales, abogados de la corporación especializados en seguridad corporativa, especialistas en propiedad intelectual, especialistas en seguridad de la información, auditores, consultores TI y las directivas de las empresas, la idea no es descabellada.

¿Y por qué no exigir que las empresas tengan políticas y procedimientos específicos de retención de información? Los empresarios verán esto como una traba y sobre todo, como otra fuente de gasto. Los usuarios del sistema se verán, por el contrario, ampliamente beneficiados, ya que tienen un marco normativo respaldándolos plenamente no sólo en la conservación, sino en la puesta a disposición de las autoridades competentes de la información que les afecta. Evidentemente, si mejoramos los extremos, mejoramos el intermedio de la cadena, ya que al gestionar adecuadamente los procesos de extracción, mejoramos la adquisición y el tratamiento.

Me consta que el eDiscovery, al menos en EEUU, se está aplicando de un modo particularmente específico a las directrices relativas a información médica personal HIPAA (National Standards to Protect the Privacy of Personal Health Information), a las prescripciones OSHA de seguridad en el trabajo, y a las regulaciones SEC, orientadas a la protección de los inversores, la integridad de mercados financieros y a formación de capital.

¿El siguiente paso a la Protección de Datos? Quizás veamos en España cosas parecidas en 10 o 15 años. Es una pena, pero creo que no estamos preparados para algo así. Si la LOPD es una cruz para muchos, ¿qué cabría esperar de la exigencia por legislación de que las empresas tengan este tipo de procedimientos claramente operativos?

Una evidencia más de que estamos, al menos en lo referente a la Gestión TI, a años luz de otros países. Lo peor es que este tipo de actuaciones debería servir para que hiciéramos un poco de benchmarking y tomásemos nota de lo que es probable que tengamos que hacer en un futuro, viendo cómo evolucionan las TI. Sin embargo, sobre estas cuestiones, no existe movimiento alguno en la actualidad. Tiene toda la pinta de que volveremos a apagar el incendio cuando nos estemos quemando, en vez de ser precavidos y evitar que las llamas tan siquiera se acerquen.

Espero equivocarme.

Vulnerabilidad nfsd en FreeBSD 6.0

Me váis a permitir, para publicar esta nota, un «copypaste» de la fuente original, que no es otra que este boletín de «una-al-día» de Hispasec Sistemas.

freebsd beastie

Se ha descubierto un problema de importancia menor en FreeBSD que permitiría a los hipotéticos atacantes generar denegación de servicio en máquinas en las que corra este sistema operativo.

Para los lectores que desconozcan este sistema, comentar que FreeBSD es un sistema operativo libre derivado del sistema UNIX 4.4BSD-Lite, desarrollado por la Universidad de Berkeley, como resultado de un proyecto de investigación del Computer Systems Research Group (CSRG). Este sistema operativo es multiusuario y multitarea por apropiación, siendo además compatible con los estándares POSIX, e incluye además del núcleo, un completo sistema de ficheros y utilidades adicionales para dar servicios a sus usuarios. FreeBSD es multiplataforma, soportándose en la actualidad plataformas intel, amd, amd64, Alpha/AXP, IA-64, PC-98 y UltraSPARC y existiendo ramas experimentales para dar juego a otras arquitecturas como ARM, MIPS, y PPC.

El fallo diagnosticado afecta al núcleo 6.0 de FreeBSD, si bien no se descarta que otras versiones padezcan la misma debilidad. El problema está causado por un error en la gestión de las peticiones de montaje NFS, gestionadas por el demonio «nfsd». La explotación del problema puede ser efectuada enviando peticiones especialmente preparadas a nfsd, derivando el ataque en una denegación de servicio al entrar el núcleo en «kernel panic».

Los administradores FreeBSD pueden, siempre en un entorno de pruebas controlado, reproducir el problema para verificar su estado de vulnerabilidad. Para ello sólo hay que enviar este volcado hexadecimal al puerto TCP 2049 de cualquier máquina que corra nfsd en FreeBSD:

—-
80 00 00 00 00 00 00 01 00 00 00 00 00 00 00 02
00 01 86 a5 00 00 00 01 00 00 00 01 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04
2f 74 6d 70
—-

En ausencia de parche, la medida más razonable es restringir el acceso a nfsd a través de un cortafuegos.