Español | English
rss facebook linkedin Twitter

La letra pequeña de la CIA (I)

Reconozcámoslo.

Para el usuario medio de tecnologías de la información, para el trabajador que cada día se enfrenta a un ordenador en su trabajo, pero al que en el fondo, “todo eso de los ordenadores” le sigue pareciendo magia hermética, la seguridad informática a menudo le hace sentir como en la siguiente viñeta de Mauro Entrialgo.


Y es cierto que no se les puede culpar. De los tres componentes básicos de la seguridad Confidentiality, Integrity y Availability (en efecto, esta es la CIA a la que me refiero en el título) a menudo se sacrifica la disponibilidad en beneficio de las otras dos, e incluso tan solo de la confidencialidad.

Resultaría ocioso explicar que la información existe para ser consultada, procesada y transmitida; y que, si no podemos disponer de ella en el momento y la forma necesaria, esa información es inútil. Es algo que puede ocurrir de muy diversos modos, sin embargo hoy quiero hablar de un caso en el que la información verdaderamente se pierde.

De los cientos de Exabytes de información que se crean, capturan y replican anualmente (161 Exabytes en 02006, y se calcula que llegarán a 988 en 02010) la inmensa mayoría –por no decir todos ellos- están condenados a ser inútiles, por inaccesibilidad, en menos tiempo del que dura una vida humana. Como decía el investigador de RAND Jeff Rothenberg: "Sólo es una broma hasta cierto punto el decir que la información digital dura para siempre, o cinco años, lo que llegue antes".

El vertiginoso ritmo de actualización en las tecnologías de la información a menudo hace descuidar, si no ignorar por completo, la compatibilidad hacia atrás o retrocompatibilidad. De manera que, no sólo los expertos en seguridad, sino la inmensa mayoría de los profesionales del sector están sutil, solapadamente y a medio plazo, comportándose como el “experto” de la viñeta.

Se han dado casos particularmente representativos del extraordinario esfuerzo, y a menudo inutilidad, que supone intentar preservar la información digital en el tiempo.

Pero no hace falta recurrir a ningún estudio para darse cuenta de eso. Cualquiera que haya trabajado con recursos informáticos y documentos desde hace 10 ó 15 años sabe que, para el usuario medio del que hablábamos al principio, le pueden resultar irrecuperables. Y no es exagerado afirmar que a veces son un desafío incluso para los expertos. De hecho, hay quien utiliza tecnologías obsoletas para añadir seguridad a un sistema.

Las preguntas que se me ocurren al respecto son múltiples. ¿Se dedica el suficiente esfuerzo y dedicación a la preservación de la información contenida en tecnologías ya obsoletas? ¿Serán nuestros nietos capaces de ver más fotos de nuestros abuelos, en papel, que nuestras en jpg?

Y sobre todo. ¿Quién debe realizar hoy la labor preservadora de los monjes y escribas de la edad media? ¿Corresponde a las compañías especializadas en seguridad –recordemos la A de la CIA- proponer soluciones a este problema? ¿Qué proyectos existen al respecto?

Por el momento, yo sólo tengo noticia de una organización que trabaje en ello con una perspectiva verdaderamente amplia.

Pero eso os lo contaré en el siguiente post.

Mientras tanto... ¿Alguien intenta adivinar?

Luis Tarrafeta
S21sec labs

7 comentarios:

Marketing 2.0 dijo...

"Vive y aprende, muere y olvida, a menos que seas un sitema experto". La información debe caducar en su mayor parte. El crecimiento y difusion de la actualidad hoy en día provoca que las noticias de ayer estén ya muy desfasadas. Los periódicos venden noticias caducadas e internet no debe mantener registro de todo (como lo hace) para no desfavorecer la calidad de la novedad por la cantidad del archivo. No sólo es "podemos" es un "debemos".
Quien guarda la información, qué soporte funciona mejor? Yo creo que puedo descargarme mi vida por ftp

S21sec labs dijo...

Estamos totalmente de acuerdo en que la inmensa mayoría de esa información debe desaparecer. ¿Cuantas copias de "los micrófonos" es necesario que existan al mismo tiempo en el universo digital? ¿Es necesario que exista una sola?

Bromas aparte, también es cierto que una mínima -minimísima- parte de esa información, es necesario que sea conservada a largo plazo. De otra manera los Quijotes y las Giocondas de nuestro tiempo se perderían. Alguno debe de haber por ahí. El problema es que a veces hacen falta siglos para identificar un Quijote.

En cuanto a que los periódicos venden noticias caducadas y que internet no debe mantener registro de ellas... Ahí no estoy de acuerdo.

Para comprender en profundidad las situaciones es necesario una visión de perspectiva. No es razonable permitir que la actualidad se coma (aún más)la historia.

Una extraordinaria memoria a corto plazo, pero que es incapaz de mirar más allá en el pasado, puede ser una fuente de información, pero _nunca_ de conocimiento.

De la información, al conocimiento. Del conocimiento a la acción. Es algo inherente al ser humano, a la estructura de nuestra mente. Por eso el exceso de información es un riesgo. Porque termina por impedir el conocimiento e inhibir la acción.

No intentemos vivir como si no fuera así.

Passy dijo...

Debe distinguirse entre tipos de informaciones. Cada una de ellas crea sus propias formas de autodrestrucción o preservación. Hay, desde luego, accidentes como el de la Biblioteca de Alejandría, que nunca debió llegar a suceder. Creo que el autor se refiere a informaciones privadas, Ahí, somos nosotros mismos los que aplicamos parámetros determinados de seguridad y perdurabilidad. Por supuesto siempre estamos a merced de las contingencias: si no es un incendio, es un disco duro defectuoso, pero ahora, al menos podemos hacer una copia de la Biblioteca de Alejandría o de las fotos de toda nuestra vida en cuestión de minutos y guardarla en lugar relativamente seguro. Siempre que creamos que perder ese tiempo merece la pena en relación a lo guardado.

Saludos.

Anónimo dijo...

no hace mucho tiempo que en determinadas empresas se habla ya de la figura del documentalista como aquel que es necesario para clasificar, catalogar y guardar la informacion de interes para la organizacion.
Mucha informacion se pierde y otra mucha se guarad sin sentido porque nadie se ha tomado el tiempo de ver si es necesario conservarla o no. Y por defecto... siempre se conserva o por el contario se borra accidentalmente.

En todo proyecto de seguridad de la informacion la adopcion de medidas de seguridad sobre un conjunto de datos ha de partir de la clasificacion e inventariado previo de los mismos. Y eso es lo que falta...

S21sec labs dijo...

Estimado señor Passy.

Sin lugar a dudas puede hacerse esa distinción entre información pública y privada. Sin embargo, para el tema que nos ocupa, las dos se enfrentan a los mismos riesgos aunque, lo reconozco, en distinta medida. La volatilidad y rápida obsolescencia de la información digital afecta a ambas. Sin embargo es posible que una canción o un libro "públicos", si merecen la pena, o si en todo momento histórico hay una comunidad que así lo cree, se preservarán. Alguien hará el esfuerzo de conservar toda esa información a través de todos los cambios de formato, soporte y tecnología que sean necesarios. Con la información privada es mucho más difícil por las limitaciones insalvables de la esperanza de vida (humana o de la empresa) y el número, a priori, mucho más reducido de copias.


Muchas gracias por tu aportación anónimo. Es cierto que ése es un problema básico a la hora de decidir qué se salva y qué se pierde. Muchos de nosotros hemos vivido situaciones similares al encontrarnos un viejo disco duro, arrinconado durante años, con cuya información no hemos tenido el tiempo o las ganas de hacer un "triage" en condiciones.

Hoy en día, percibo un cierto optimismo a este respecto entre los habitantes de la blogosfera y demás comunidades de la Web2.0. Se tiende a pensar que mediante los nuevos sistemas de clasificación por etiquetas (tags, labels, es todo lo mismo) se puede resolver algunos de los problemas de la biblioteca de Babel (http://www.literatura.us/borges/biblioteca.html) a la que tendemos.

Al final es un sistema parecido al que llevan desde siempre usando los documentaristas, con el uso de palabras clave. A mí me parece evidente que el sistema tiene enormes ventajas, pero ¿será suficiente? ¿y qué coste tiene?

Lo que es seguro, como dices, es que de alguna manera hay que discriminar.

Y volviendo al tema del post, de eso ¿quién se es encarga? ¿existe conciencia de que es necesario?

Un saludo y gracias a los dos.

4s|m3tr|ko0 dijo...

Llego a esta entrada navegando de forma casi accidental, y atrapado por el tema, comento.

Sin duda es indispensable inventarira la información que se posee, como de hecho se hace de forma casi natural, tanto hablando de soportes informáticos directorizados como simples agendas telefónicas ordenadas alfabéticamente.

Ahora bien, hablando de un proyecto concreto, una vez se tiene la información correctamente catalogada e inventariada, es relativamente sencillo establecer un baremo y parametrizar la relevancia de cada dato, y aplicar el nivel de seguridad acorde.

Permitidme ahora una reflexión acerca del conocimiento y la información, que se ha tratado, pero a mi juicio sin establecer una serie de límites.Todo el conocimiento que ha generado el ser humano, no puede ser almacenado como tal, sino que necesita ser degradado de nuevo a información (del modo en que, el conocimiento del fenómeno de combustión del hidrógeno, por ejemplo, debe ser plasmado como información mediante una notación quiímica, fórmulas matemáticas siguiendo una notación también específica, y/o una explicación en lenguaje natural, plasmada siguiendo las reglas de un lenguaje determinado), y debido a ésa transformación. De modo que hablar de conocimiento, en el contexto de la comunicación, sea del tipo que sea, carece de sentido. No somos capaces de transmitir conocimiento, y por tanto no podemos almacenarlo pues el almacenamiento de información no es más que una comunicación mantenida en suspenso.

Pero, de toda ésta información, es evidente que tran parte será prescindible, ¿cuánto tiempo tiene que pasar para que (según el caso) cierto dato o conjunto de ellos pueda ser clasificado como imprescindible? En este caso, está claro que un dato es imprescindible en el momento en que resulta útil, lo que nos lleva a otra pregunta, todavía peor. ¿Qué requisitos debe cumplir cierta información para poder considerarla prescindible?

S21sec labs dijo...

4s|m3tr|ko0:
Muchísimas gracias por tu comentario. Muy valiosa tu aportación de que el conocimiento no puede almacenarse sin ser degradado de nuevo en información.

Desde luego, no se opone a lo que decíamos antes, de que una memoria a corto plazo, sin visión de perspectiva no puede ser _fuente_ de conocimiento. Sin embargo, por muy a largo plazo y muy capaz que sea de generar conocimiento, una memoria sólo puede almacenar información. Más aún, sólo puede almacenar datos.

E interesante también la pregunta que lanzas sobre qué requisitos debe cumplir una información para poder considerarla prescindible (o imprescindible, vaya). Yo tampoco tengo una respuesta al respecto, pero supongo que se podría comenzar por plantearlo desde el punto de visto de la supervivencia y auge de la especie. Algo así como empezar por la base de una pirámide de Maslow (http://es.wikipedia.org/wiki/Pir%C3%A1mide_de_Maslow) con una perspectiva de comunidad más que de individuo.

De todas maneras, estoy seguro de que ya hay profesionales reflexionando sobre el tema.

¿Alguien conoce quiénes y qué dicen?


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login