Seguridad, sexo y comida

Me ha sorprendido esta frase en el libro "Por qué somos como somos" de Eduardo Punset hablando sobre el origen del lenguaje:

"¿Cuál habrá sido la primera palabra? No lo sabemos, pero es muy probable que tuviera mucho que ver con el sexo o la comida. O con la seguridad, ¿no habrá estado relacionada con la seguridad? Consultados, los más sabios responden la seguridad también. Pero antes el sexo y la comida"

Es como una especie de pirámide de Maslow reducida, ¿no?

La madurez de los procesos y el Gobierno de TI

Así se titula el artículo publicado por Roger Debreceny (Universidad de Hawai) y Glen L. Gray (Universidad de California) en el volumen 3 de la revista Journal de ISACA y que se basa en el estudio realizado por el ITGI con el mismo título publicado en noviembre de 2008 y que podéis descargar aquí [siempre que tengáis un usuario válido]. Después de una lectura pausada, he pensado que merecía la pena comentar algunos de los resultados resaltados en dicho artículo en relación al estudio realizado.

Dicho estudio consistía en una evaluación de la madurez de los 34 procesos identificados en COBIT entre 51 empresas voluntarias de Europa, Asía y Norteamérica. Como en todo este tipo de estudios, los datos fueron reportados por la propia organización por lo que, naturalmente, están expuestos a cierto sesgo puesto que no existió ningún proceso de validación de dicha información.

El primer aspecto a comentar sería el tamaño de las organizaciones incluidas en el estudio, pues se trata de organizaciones bastante grandes: promedio de 172 personas en TI y 3.312 puestos clientes (con un máximo de 15.000). Así que, imaginemos como serían los resultados que vamos a comentar si el tamaño de la organización fuera más pequeña (como es el caso, por otra parte, en España, por ejemplo).

En segundo lugar, resaltar que existen algunos procesos en los que algunas organizaciones no habían hecho nada (tenían un nivel de madurez de '0'). En concreto, los procesos siguientes [aunque os parezca mentira]:

• DS2 - Gestión de servicios de terceros
  
• DS4 - Asegurar un servicio continuo
  
• AI4 - Permitir la operación y el uso
  
• ME2 - Monitorizar y evaluar el control interno
  
• ME3 - Asegurar el cumplimiento con requerimientos externos
  

En tercer lugar, comentar el dominio que menor puntuación saca en global, se trata (como no podía ser de otra forma), el de Monitorización y Evaluación (ME).

Finalmente, lo que los mismos autores concluyen: Que no existe una estrategia general y consistente para todos los procesos, sino que en cada caso, en lugar de evaluar cuál debería ser el nivel de madurez óptimo para cada organización, se actúa con el objetivo de alcanzar un nivel mínimo aceptable (lo que los autores denominan una estrategia de bombero o apaga-fuegos).

En definitiva, unos resultados llamativos y muy ilustrativos para los que buscamos conocer con profundidad como las organizaciones afrontan este tema de la seguridad de la información.

Conseguir el compromiso

Este es el título de un artículo publicado en el número 1 de 2009 de Journal, la revista de ISACA, firmado por Chris Konrad (Vicepresidente de servicio a clientes de Fortrex Technologies) y titulado exactamente "Getting Buy-in - An Easier Way" (lo siento pero solo podréis acceder online los que seáis socios de ISACA).

Me llamó la atención porque no es muy habitual que en una revista de seguridad se hable acerca de conseguir el compromiso y la verdad es que no me defraudó: sencillo y al grano.

Básicamente, Chris plantea una forma de hacer para elaborar un plan de seguridad que cuente con el apoyo y la participación del resto de personal clave de la organización:

1. Obtenga conocimiento e historia (ya hemos hablado un poco de esto antes).
2. Aprende sobre las operaciones y las funciones.
3. Realice una auto-evaluación de la organización.
4. Investigue los sistemas de información.
5. Complete la evaluación de la situación (que básicamente consiste en lo que hablamos hace unas semanas aquí).

También nos da unas pautas para llevar a cabo esa autoevaluación:

• Comprender lo que es más importante para el CEO.
• Dirigirse al área Jurídica para entender la legislación de aplicación al negocio.
• Después, pasar a Recursos Humanos para aprender sobre las políticas, tipos de empleados y procedimientos de contratación y cese.
• Tras estos pasos iniciales, ya habría que pasar a las unidades de negocio para entender como se generan los ingresos.
• Una vez entendido todo el contexto, habría que pasar a las áreas de TI propiamente dichas.
• Para finalizar con un análisis de riesgos.

En definitiva un conjunto de pautas sencillas que ponen el énfasis más en las formas que en el fondo pero que, aunque a alguno le parezca mentira, son igual de importantes, puesto que si el CISO no consigue "motivar" a la organización y a sus miembros para que apoyen sus planes de acción en materia de seguridad no servirá de nada que las conclusiones sean perfectas o que el análisis haya sido técnicamente perfecto.

Ambas componentes son partes de un todo y necesitamos que ambas "funcionen" para conseguir el objetivo.

Lectura: "El Cisne Negro"

Pues sí, finalmente lo hemos leído. Se podría decir que una obra imprescindible para todos aquellos a los que nos gustan [apasionan] los análisis de riesgos del libanés empírico-escéptico, Nassim Nicholas Taleb.

La verdad es que me ha defraudado un poco (supongo que por las altas expectativas que me había generado, después de oír los comentarios de los que lo habían leído antes) y se me ha hecho bastante duro de leer y seguir. Quizás es que me estoy haciendo mayor y me cuesta enfrentarme a lecturas "duras"... no lo sé (o quizás es que me convenció desde muy pronto y me "sobraron" muchos argumentos...)

Volviendo al tema del libro, lo que es indudable es que los conceptos que incluye son esenciales y un `must` para todos los que estamos involucrados, de una u otra forma, en gestionar la seguridad de la información. Básicamente, hay para mí 4 conceptos esenciales:

1. El concepto del cisne negro, como tal... hecho fortuito, gran repercusión, efecto sorpresa...
2. La distorsión retrospectiva que impide a los humanos predecir los sucesos.
3. La falsa creencia de que podemos predecir el futuro basándonos en acontecimientos pasados (el tema del pavo es muy recomendable).
4. Pero, sobre todo, la gestión de la incertidumbre.

En definitiva, una obra esencial, pero que tendremos que armarnos de valor para leerla de manera exhaustiva...

Lectura: "El club del liderazgo"

Este libro cayó en mis manos como obsequio del ISMS Forum tras la intervención de uno de sus autores (José Antonio Sáinz) en la V Jornada Internacional.

Lo primero que he de decir es que se lee rápido, muy rápido. Tanto, que he de reconocer que lo he leído durante un reciente viaje a Praga. Además, de forma literal, durante los vuelos de ida y vuelta (unas 6 horas, más o menos).

Está organizado como una sucesión de monólogos (como bien reza el subtítulo: "Monólogos entrañables para dirigir con talento") de diferentes estilos de dirección.
No me ha descubierto nada especialmente nuevo, pero al menos aporta claridad, sencillez y va al grano de los temas.

Me ha gustado [me he sentido identificado] el primero de los monólogos atribuido a Ladislao Roble (La visión) y el epílogo incluido al final del libro.

100 caminos al éxito #5: El "gobernador" de la seguridad

El pasado mes de septiembre la revista red seguridad publicó un artículo bastante interesante de Miguel García Menéndez titulado "El 'Gobernador' de la seguridad de la información: ¿una nueva cara en el equipo directivo?". Miguel, aparte de ser "buen tipo" es miembro de la Junta Directiva del capítulo de Madrid de ISACA (más conocido como ASIA) y lleva bastante tiempo trabajando en lo que se ha denominado IT Governance.

Aunque lo leí hace tiempo, he estado un poco [bastante] vago (como habréis podido observar) a la hora de escribir y me ha parecido muy oportuno retomar la actividad, comentando brevemente dicho artículo del que recomiendo su lectura detenida.

Básicamente, Miguel parte de la introducción de la figura del CSGO - Chief Security Governance Officer como responsable de "proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización "para desarrollar una serie de conceptos básicos como, por ejemplo, los KRI - Key Risk Indicator o el nuevo paradigma de "las 4 A" como evolución del tradicional CIA (confidencialidad - integridad - disponibilidad).

Todo ello para, al final, hacer la pregunta del millón: ¿No debería ser el CISO este CSGO? Y aquí es donde yo quería llegar.

En mi opinión, la disyuntiva no es si debería ser o no, sino cuándo lo será. Es decir, creo que la única salida que tiene el CISO para evolucionar en una organización es adoptar un enfoque de gestión de riesgos en el marco de una estrategia corporativa. De esta forma se puede aspirar a ese "proceso sistemático de gobierno del valor" y conseguir, además, un enfoque global que permita una gestión de riesgos mucho más eficiente evitando duplicidades y enfoques sesgados de cobertura para los mismos riesgos.

En definitiva, ¿para cuándo el CISO - CSGO?

100 caminos al éxito #4: El CISO nunca dice "no"

No se me entienda mal, no quiero decir que el Responsable de Seguridad sea un don-nadie... ni mucho menos, lo que quiero decir es que al CISO no le pagan para decir que "no" (ojo, tampoco que "sí"), eso es una labor que corresponde a Negocio.

No obstante, cada organización es un mundo y, por eso, es importante que cada uno sepa cual es su rol en la organización en la que está, para saber que es lo que se espera de él/ella.

En mi opinión, el CISO es un experto en el análisis de riesgos tecnológicos y su labor se circunscribe a poner de manifiesto cuales son los riesgos de las opciones presentadas por negocio para que, en conjunción con los beneficios que se esperan, se pueda tomar la mejor decisión posible. Por eso, no es nuestra labor decir que "no", sino que lo que se está proponiendo supone ciertos riesgos que han de ser sopesados para que, en caso de ser asumidos, seguir adelante o, si por el contrario, se considera que no son asumibles, hacer las modificaciones que corresponda.

Actuar de esta manera, evitaría que los responsables de seguridad tengan esa imagen interna de ser el/la que siempre dice "no" y que no tiene ninguna visión de negocio.

Fotografía tomada de www.librarybytes.com

Adagreed: Un ejemplo de poner los usuarios en el centro

Cuando la semana pasada comentábamos la necesidad de cambiar el enfoque y poner a los usuarios en el centro de las organizaciones me vino a la memoria la presentación que realizó Artur Sales, Presidente de adagreed en la pasada jornada sobre Internet organizada por la Comunidad de Madrid y ANEI el pasado mes de mayo.

En ella, Artur nos explicó la estrategia de adagreed que consiste, básicamente, en hacer que los usuarios sean los protagonistas de la publicidad en lugar del rol pasivo actual. El planteamiento es revolucionario y, desde mi punto de vista, brillante... de hecho, yo ya soy usuario y estoy empezando a experimentar con lo que ofrece el portal.

Creo que este es el tipo de cambios a realizar cuando comentaba lo de "poner a los usuarios en el centro", hace falta un cambio de 180º y partir de un folio en blanco, sin ataduras al modelo previo.

P.D.: Por cierto, os dejo aquí el link a la presentación estilo pecha kucha que utilicé en dicha jornada para hablar sobre el impacto de la seguridad en el uso de internet.