lunes, 17 de enero de 2011

El sistema SIGO de la Guardia Civil, las contraseñas, las buenas prácticas y las consecuencias.



El sistema SIGO de la Guardia Civil


SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema en funcionamiento desde 2005 tiene como función fusionar toda la ‘información de interés policial’ en un solo punto, integrado con otros sistemas de función operativa del mismo cuerpo, como la base de datos INTPOL y otras aplicaciones policiales (SAEX, SAID, bases de datos de ADN,…). Este sistema permite desde hace 5 años un mejor funcionamiento de la Benemérita.



LAS VENTAJAS DEL DATO ÚNICO

"Las ventajas del dato único se aprecian mejor con un ejemplo, en el que las palabras subrayadas serían módulos de SIGO: los datos sobre un hecho delictivo que haya ocurrido y sus entidades relacionadas (personas, vehículos, objetos...), recogidos a través de una denuncia o grabando el hecho, se emplearán para enviar la novedad a los destinatarios ya predefinidos para ese tipo de hecho, para crear el señalamiento, en su caso, y para realizar las distintas diligencias del atestado (expedientes). Estos datos, una vez introducidos, serán accesibles desde consultas y por último, serán trasvasados diariamente a SAEX para que sirvan y computen a efectos estadísticos"
Fuente: guardiacivil.org


Contraseñas


Existen contraseñas (passwords, claves , palabras de paso) de diferente tipo, seguras (alfanuméricas con mays/mins y caracteres especiales), inseguras (solo minúsculas), buenas (>8 caracteres), de longitud justa (=8 caracteres), malas (<8 caracteres), temporales (tokens), pin (4 números/3 intentos)… Pero si algo tienen normalmente en común es que son personales.

La función de las mismas son las famosas AAA: Autenticación, Autorización y Contabilidad (Accounting). Básicamente, la de controlar que solo aquellas personas que tienen esa contraseña puedan acceder a la información o sistema/s que protege, aparte sirve para asegurar una contabilidad de las acciones que hacen los autorizados, así te haces además responsable de un posible mal uso de esos accesos o información conseguida. Si no tienes tu contraseña tienes no tienes permiso de acceso, si lo deseas, pide una mediante el proceso adecuado.


Las buenas prácticas


En lo que ha contraseñas se refiere, yo, como todo el mundo, recomiendo, que sean de más de 8 caracteres alfanuméricos con minúsculas, mayúsculas, números y caracteres especiales, se han de cambiar cada cierto tiempo, este depende de la importancia de lo que protege la contraseña, puede ser de un solo uso, de una semana o no cambiarla en un año y no repetir contraseñas importantes en diferentes sistemas. Personalmente, añado a estas recomendaciones que las claves que usemos han de tener algún significado para nosotros, así evitamos olvidos o tener que apuntarlas en un papel o fichero claves.txt protegido con una clave más débil, que al final sería la que importa. ¡Ojo! Que ese significado no sea evidente, tengamos algo de cordura… Y como última recomendación es que son personales e intransferibles.

No sé exactamente como, la Guardia Civil, gestiona el acceso al sistema SIGO, si que sé que para acceder a algunos de sus sistemas usan tarjetas inteligentes personales…



Las consecuencias 


Hace poco, en un periódico y en diversos foros, se publicó una noticia que une los anteriores tres puntos. Dos agentes de la Guardia Civil fueron cesados por seguir las buenas prácticas antes nombradas al no ceder sus contraseñas del sistema SIGO a militares pertenecientes al Ejército de Tierra. Los agentes estaban destinados en el Mando de Adiestramiento y Doctrina (MADOC) del Ejército de Tierra.


"Sus labores estaban enmarcadas en el CESEGET, el Centro de Seguridad del Ejército de Tierra, órgano responsable de la dirección de las actividades relativas a la seguridad de las Unidades, Centros y Organismos de Tierra. Una unidad formada por guardias civiles y suboficiales y tropa del Ejército.
Según ha podido saber El Confidencial Digital de fuentes militares, el Ejército de Tierra transmitió a la Dirección General de la Guardia Civil que el motivo de este cese en destino era la “pérdida de confianza” en ambos agentes por parte del mando del CESEGET, sin especificar -más detalles. 
……………………
En 2009, otros dos guardias civiles fueron cesados por el mismo motivo, y otros tres agentes de una Subinspección General estuvieron a punto de correr el mismo destino. Un mando de alta graduación intercedió por ellos y finalmente mantuvieron su puesto.

En otra ocasión, según el relato de las fuentes consultadas, un agente de la Guardia Civil y un cabo 1º del Ejército estuvieron “a punto de llegar a las manos” por este motivo. El hecho ocurrió en Madrid, y fue necesaria la intervención de un mando de la Benemérita para evitar males mayores."
Fuente: El Confidencial Digital


Ante todo, avisar que de lo que sale en la prensa, radicalmente, no me creo la mitad y de la otra mitad dudo un cincuenta por ciento. Pero la noticia es importante, por varios motivos, el primero bien por esos agentes que protegían una base de datos importante para la seguridad del Estado, el segundo mal por los mandos del ejército de tierra, si sus soldados necesitan acceso a esa base de datos establezcan los protocolos necesarios para que cada uno tenga su propia contraseña y nivel de acceso, si no la necesitan, espero que si la historia es como se escribe sean, al menos, aleccionados de lo que es la seguridad de la información, de los datos personales, de datos importantes para la seguridad nacional y de por qué una contraseña no puede ser cedida.

Desde este blog, y a título personal, mi apoyo a esos dos guardias que cumplieron debidamente con su deber. Con una Guardia Civil así, estamos algo mejor en un panorama de ciberguerra. Con unos militares que intentan conseguir una contraseña de una base de datos importante como sea... Bueno... Hay quien diría que también estamos algo mejor.


Leonardo Nve.

Enlace a noticia completa en El Confidencial.
Artículo subido por Leonardo Nve
Etiquetas: , , , , ,

7 comentarios:

  1. Anónimo19 de enero de 2011, 1:57

    Conozco a uno de los cesados en 2009... la historia es tal y como cuentan...la culpa la tiene el jefazo del CESEGET, que hace y deshace a placer... y si no entras por su aro, te declara falto "de confianza" y a la mierda

    ResponderEliminar
  2. Foro Guardia Civil28 de enero de 2011, 4:03

    Demasiada información se está dando de este sistema.

    ResponderEliminar
  3. Leonardo Nve28 de enero de 2011, 4:07

    La "Security throught obscurity" no es muy buena idea. No considero que se sepa que existe si se protege adecuadamente. Aparte, está bien que los ciudadanos conozcan que nuestras FSE (o cualquier institución) se modernizan para dar un mejor servicio.

    ResponderEliminar
  4. Anónimo6 de marzo de 2012, 13:04

    la verdad es que yo comoo guardia civil, tambien estoy cansado de ver en diversos foros cosas como "esto no deberiamos comentarlo en el foro", y no entiendo porque, mientras no se de informacion confidencial o se revelen secretos o alguna cosa asi, no entiendo por que no podemos hablar de si los ciudadanos tienen tal o cual derecho, o si hay guardias que hacen su trabajo de esta manera. En fin coincido en que cuanta mas trasparencia mejor.

    ResponderEliminar
    Respuestas
    1. Anónimo7 de agosto de 2012, 8:51

      Por que nadie ajeno a la Guardia Civil debe de saber como se realizan servicios ni de que herramientas se dispoone para un mejor funcionamiento de los mismos, todo esto es dar informacion a los delincuentes.-

      Eliminar
  5. Anónimo13 de noviembre de 2012, 6:09

    Está bien esto del SIGO, pero con este programa lo que están haciendo es cargar en exceso el trabajo de los Guardias Civiles. No olvidemos que pripero hay que prevenir la delincuencia y no pasarse las horas enteras en las oficinas haciendo en el SIGO esto y aquello. Hay que vigilar y prevenir. Para operar en el SIGO que cojan a personal que se dedique en exclusiva a ello. Tomen nota..

    ResponderEliminar
    Respuestas
    1. Leonardo Nve13 de noviembre de 2012, 6:37

      Personalmente creo que introducir datos en el SIGO es parte del trabajo de prevención, en pleno siglo XXI no creo que esté en cuestión que compartir información (entre personal autorizado) es esencial.

      Otra cosa es como se hace, pero si se usa personal autorizado, de todas formas habrá que informarles debidamente y se perdería una cantidad de tiempo similar o si no, es posible que la información este incompleta o se produzca el efecto "teléfono roto".

      Como he dicho antes es mi opinión como observador externo, no como usuario del sistema, no excluyo la posibilidad de que desde "dentro" las cosas se vean muy diferentes.

      Eliminar

Suscribirse a: Enviar comentarios (Atom)