25 noviembre 2007

Vender el conocimiento

Todos los que nos dedicamos a esto de la Consultoría sabemos lo difícil que resulta romper el hábito existente de la facturación por horas. Como si lo que estuviera contratando el cliente fuera mi tiempo... Si fuera así, dejaría pasar el tiempo como dicen por el norte: "sin más".

En un post de hace algún tiempo, Mario abogaba por "sacar el conocimiento de la cabeza y ponerlo en algún otro soporte" (o algo así) y esto ha sido lo que se me ha venido a la cabeza al leer la noticia que publica Cinco Días relativa a las ganancias (233.000 euros) de la sociedad de la familia Aznar que se dedica a la "explotación de los derechos de propiedad intelectual en todas sus manifestaciones". Supongo que no es noticia ni por la cuantía, ni por el tipo de sociedad, sino simplemente porque se trata de Aznar...

A mi, al margen de todas las connotaciones existentes, me ha parecido inteligente... como dicen por ahí, "sin más", hay que aprovechar la marca personal...

Buenas noticias para "mi" libro

Mira por dónde, se han juntado en poco tiempo dos aspectos a destacar sobre el libro en el que participé relativo al Gobierno de TI (aquí).

Por una parte, mi empresa se ha hecho eco de su existencia y, por otra, comentado con Fernando la semana pasada durante la Asamblea anual de ASIA, me dice que, es muy probable que el libro aparezca dentro del book store de ISACA.

Vamos... todo un éxito...

21 noviembre 2007

Y reflexiones sobre la Gestión de Riesgos

Y para acabar la serie sobre reflexiones en eventos (bueno, es mentira, me queda otra todavía, pero por hoy ya hay bastante...), dos muy breves sobre el organizado por ENISA conjuntamente con INTECO, los días 8 y 9 de noviembre en Barcelona sobre la gestión de riesgos y su aportación al negocio.

Lo primero que he de decir es que, aunque casi todos los asistentes fuero de primer nivel y contaron cosas interesantes, no se centraron en lo que yo creo que era el objetivo del evento: Reflexionar sobre como enlazar el análisis de riesgos con el negocio; una lástima, porque oportunidades así no son fáciles de conseguir.

Y lo segundo, las dos ideas que saqué de las jornadas:
  1. De la reflexión de la responsable de sistemas de Alphamed, como PYME austriaca que se está beneficiando de un programa de ayuda en seguridad que existe en dicho país, en el que recalcó sus sensaciones en relación a la seguridad.
    Básicamente, las PYMEs están desorientadas y desvalidas: No saben lo que necesitan y necesitan a alguien que les aconseje lo que realmente necesitan y que no les quiera "vender" nada... Eso me hizo darme cuenta que deben contar con un consultor a un precio que les resulte razonable (habrá que investigar en esta línea).
  2. "Act diligently as a prudent businessman because every company is liable for negligence". Es decir que la seguridad es un acto de responsabilidad corporativa... y si actúas de manera negligente posiblemente acabarás sufriendo las consecuencias. Supongo que, en la medida en la que el coste de la no-seguridad sea más evidente y más probable, las decisiones en este ámbito se volverán más lógicas.

Reflexiones en el Information Security Forum

El pasado día 7 de noviembre asistí al Executive Briefing que el Information Security Forum organizó en Madrid y que alojó amablemente el BBVA como uno de sus 5 miembros españoles (junto con Caja Madrid, la Caixa, Repsol YPF y Telefónica).

Como en casi todo este tipo de eventos, había más proveedores que clientes finales (pobrecitos aquellos que se piensan que en este tipo de "saraos" se puede hacer "labor comercial") y algún que otro medio. Esto es lo de menos. Lo importante fue, por una parte, la buena sensación que me dejó el ISF, como asociación y, por otra, dos reflexiones que me surgieron escuchando a los ponentes y que me gustaría compartir:
  1. En primer lugar, la importancia que dieron a todo lo relacionado con la estrategia (de hecho, fue la parte que me resultó más interesante). Si alguna vez me habéis leído, sabréis que es una de las áreas en las que vengo trabajando más intensamente porque creo que es un gran déficit actualmente y que los Planes Directores de Seguridad no están abordando correctamente.
    De hecho, se comentó que "solo un 25% de los miembros del ISF tienen una estrategia de seguridad definida" y eso que, se supone, que son organizaciones pioneras que están interesadas y preocupadas por la seguridad, así que imaginemos lo que puede ser en el resto. Este dato, solo hace que animarme en la línea de trabajo iniciada con Mario para alinear la seguridad con la estrategia de negocio.
    Me gustó (aunque me parece un poco simplista) la definición de la estrategia de seguridad considerando tres tareas principales: dar soporte al negocio, defenderse de las amenazas externas y "raise the profile". En fin, ya le daremos vueltas...
  2. El otro aspecto deriva de un comentario que suscitó cierta polémica en relación al cumplimiento con leyes y otras disposiciones. Básicamente lo que se vino a decir por un asistente fue que las leyes se equivocaban al decirnos cómo teníamos que hacer las cosas en lugar de qué teníamos que conseguir. La verdad es que, filosoficamente, podría estar de acuerdo pero, ¿cómo se define de manera concreta e inequívoca lo que tenemos que conseguir? No hace falta que os recuerde aquello de que los objetivos han de ser S-M-A-R-T.
    La verdad se me hace muy complicado definir la seguridad de manera "elegante".

17 noviembre 2007

A vueltas con el estándar PCI-DSS

No sé por qué, últimamente me ha dado por darle vueltas al tema de PCI-DSS (ya sabéis que he escrito ya sobre este tema aquí y también aquí)... Eso ha provocado 2 posts en el blog de mi empresa. Os incluyo el enlace por si os interesa el tema:
  • El primero para acabar de aclarar el tema de los primeros en homologarse QSA y ASV.
  • El segundo haciendo una reflexión sobre las dificultades que están experimentando las marcas para que se cumpla con el estándar es España y cómo enfocar el cumplimiento desde la perspectiva de un comercio.
¡Feliz lectura!

14 noviembre 2007

El terrorismo e Internet

Ya comentamos hace unos días que no se puede culpar al intermediario, y es obvio que Internet no es más que un canal que sirve para dar rienda suelta al carácter de los usuarios.

No obstante, una vez dicho ésto, también es obvio el hecho de que Internet es el canal de comunicación más potente, barato y universal que hayamos conocido y eso es un potencial de uso increíble para lo bueno y para lo malo. Eso da lugar a iniciativas, como la del Comisario de Justicia de la Unión Europea, Franco Frattini, encaminada a eliminar todo lo que tenga que ver con terrorismo en Internet.

Aunque sea una iniciativa loable, va a ser difícil de lograr mientras no se consiga una posibilidad de supervisión, regulación de delitos tan potente y universal como el propio canal además de solventar la problemática del anonimato (en otro momento podemos hablar también de las iniciativas en este sentido). De todas formas, lo más peligroso suele estar oculto (os recomiendo este artículo de mi amigo David).

Rosa tiene un blog

Sí, Rosa tiene un blog y no es mi madre (que también se llama Rosa)...

La verdad es que me da un poco de envidia. Primero porque ha conseguido 115 comentarios en su primer post y ni se sabe cuantos lectores, casi igual que yo...

Y segundo porque ha reunido a unos cuantos de "maestros blogueros" para que le den consejo y le ayuden con esta aventura...

En fin, espero que le resulte más fácil que a mi mantener la continuidad...