29 abril 2008

Gestionando la seguridad como una externalidad


Varias noticias leídas estos días hacen que me reafirme en la convicción de la importancia que tiene el concepto de externalidad a la hora de gestionar la seguridad (y para los que queráis ver otro ejemplo del concepto aplicado al medioambiente podéis ver lo que ha pasado en Buenos Aires).

Las dos noticias que he leído podría parecer que no tienen nada que ver con esto pero, en mi opinión, ofrecen mecanismos alternativos para paliar los efectos de lo que denominamos "externalidad negativa":

Noticia 1. Telefónica se plantea auditar el grado de responsabilidad de sus proveedores. En este caso, lo que vemos es como una empresa para la cual hay un aspecto importante de sus proveedores (como podía ser los mecanismos de seguridad, máxime cuando "la seguridad es tan fuerte como el eslabón más débil de la cadena") decide asegurarse de que implanten ciertos mecanismos de Responsabilidad Social Corporativa. En este caso, claramente, el no cumplir con esas medidas tendrá el coste de no poder contratar con esta gran organización (es decir, en nuestro caso, la no-seguridad pasaría a tener un coste).

Noticia 2. El Gobierno estudia exigir a las empresas seguros obligatorios para riesgos laborales. De nuevo estamos en un caso en el que lo que se busca es que la no-seguridad (en este caso laboral) tenga un coste para las empresas, de forma que, una mejora en las medidas de seguridad establecidas, suponga un menor coste vía una póliza de cobertura más barata (al fina y al cabo, las compañías de seguros son las reinas en el cálculo actuarial de riesgos). Esta misma medida se puede aplicar al concepto de la seguridad de la información: Se podría exigir la contratación de un seguro para cubrir incidentes de seguridad, de forma que, cuanto mejores fueran los procesos de seguridad de una compañía, menor sería el coste de cubrir ese riesgo (más barata sería la póliza).

---------------
La fotografía es de P.Winberg (c).

22 abril 2008

Actividad frenética del PCI Security Standards Council


Parece que la actividad del PCI Security Standards Council se va "centrando" y una visita a su página, así lo demuestra. Sobre todo os recomiendo lo que ellos denominan Supporting Documents. Allí podemos encontrar, en especial:

  • Múltiple documentación en castellano (los procedimientos de auditoría, por ejemplo).
  • Suplementos informativos sobre los requerimientos 6.6 y 11.3.

En definitiva, información muy útil, así como los SAQ y otras cosas comentadas en "la empresa".


15 abril 2008

Sugerencias para ser un buen jefe


Como sabéis los que me leéis hace tiempo, ser un "buen jefe" ha sido siempre una gran preocupación para mí, bueno, más bien una gran responsabilidad. Aunque llevo ya un tiempo ejerciendo, la verdad es que nunca me he acostumbrado a esa presión y la sigo sintiendo de manera continua y creo que es bueno. Ya sabéis, para no despistarme (además me he dado cuenta de que es una preocupación para muchos otros porque es la búsqueda que más visitantes trae a mi blog: ¡Bienvenidos!).

El caso es que estar alerta sobre este tema me ha hecho encontrar un blog muy interesante, el de Pilar Jericó. Conocí de su existencia gracias a una entrevista que le hicieron para 'Executive Excellence', el suplemento de Cinco Días, y de primeras, me impresionó su formación: Estrategia en Harvard University, Comportamiento Organizativo en UCLA... Luego, leí su blog y se confirmaron mis sensaciones, no tiene desperdicio. Os recomiendo esta entrada reciente sobre el compromiso y la libertad, donde recoge de manera brillante y sucinta las pautas a seguir por los que queráis ser buenos jefes y estéis, por tanto, interesados en fomentar el compromiso de vuestro equipo:
  • Fomentando un ambiente de trabajo adecuado.
  • Haciendo que el compromiso emocional guíe al compromiso racional.
  • Confianza
  • Coherencia
  • Y... estando vosotros mismos, comprometidos.
Para finalizar una frase mítica que debo a Juan Antonio: La diferencia entre aportar y estar comprometido la podemos apreciar en un plato tan típico como los huevos fritos con chorizo. En este plato, la gallina claramente está aportando, pero el cerdo... el cerdo está realmente comprometido.


La responsabilidad del Banco de España en el fraude on-line

Tenía pendiente de leer esta comunicación del Servicio de Reclamaciones del Banco de España aparecida en El País. En ella, el BE viene a decirles a las entidades financieras españolas que no se pueden desentender a sus clientes en lo relativo al fraude electrónico. La verdad es que es una afirmación bastante "esperable" del BE, sobre todo, atendiendo a la Directiva 2007/64/CE.

No obstante, tampoco el BE puede desatender su responsabilidad en esta situación. Al fin y al cabo, estamos ante un caso claro de externalidad (
situación en la que los costes o beneficios privados a los productores o compradores de un bien o servicio difiere del coste o beneficio social total relacionado con su producción y consumo), es decir, para las entidades financieras, el prestar un servicio seguro es mayor coste que no tiene por qué significarles un mayor beneficio y, por tanto, no lo abordan. Estamos, de nuevo, en una situación en la que el mercado no regula (?) bien una situación. Por este motivo, mantengo que el BE no puede permanecer al margen y esperar que las entidades financieras lo arreglen ellas "solas". El Banco de España debe proporcionar las condiciones para solucionar esta situación.

Los mecanismos con los que cuenta son diversos: su potestad reguladora (obligatoriedad de utilizar un segundo factor de autenticación), su potestad sancionadora (penalizaciones para los sistemas inseguros), e incluso, porque no, su capacidad de marcar tendencia (predicar con el ejemplo), en definitiva, también el BE es, en cierta forma, responsable del fraude on-line.

10 abril 2008

Denegación de servicio en el mundo real

El fenómeno se denomina 'flashmob' y he leído este (pen)último caso en El Mundo. El caso es que sabéis que siempre busco paralelismos entre el mundo real y el "virtual" y en este caso, lo que me ha sugerido es que es bastante parecido a una denegación de servicio, ¿verdad?



Aunque puede parecer una locura, según como se utilicen este tipo de "quedadas" pueden suponer un riesgo para los receptores de la avalancha humana. Todo dependerá de las intenciones de los promotores (al igual que los efectos del malware depende de las motivaciones de sus creadores y ya hemos visto que en los últimos tiempos dichas motivaciones están cambiando).

09 abril 2008

¿Qué es el futuro? ¿Huevo o hamburguesa?


Vaya pregunta, ¿verdad?

Pues lo mismo me pasó a mi al leer el post de José Luis Montero en YNNOVATE: Mejor huevo que hamburguesa. Ya sabéis que en estos momentos vivimos tiempos de cambio en la empresa y leer esta reflexión sobre qué se parece más al futuro, si un huevo o una hamburguesa, al menos me ha hecho sonreír... (además porque AdWords me ha incluido un anuncio de "Huevos Inmaculada").

Coincido plenamente con José Luis. El futuro no es una hamburguesa que se pueda modelar y que permanece (casi inalterable) al pasarla por la plancha. Todo lo contrario. Es un huevo, indomable, impredecible al caer sobre el aceite de la sartén.

Pero aún así el ser humano es como es, necesita seguridad y necesita que le digas cual va a ser su futuro, cuando tu piensas... "Dios mío, y yo que sé... ¿cómo voy a saber yo lo que va a pasar el mes que viene, la próxima semana o dentro de un segundo?" Así que haces de pitonisa, sacas tu bola de cristal y le cuentas lo que tu esperas que suceda durante los próximos tres años, cuando rehagamos el Plan Estratégico (versión 3.0).

(La foto es de Joao en Picasa)


07 abril 2008

El no va más del SaaS

Pues sí, los chicos malos son capaces de seguir sorprendiéndonos cada día. Ahora no es que hayan ideado una nueva manera de suplantar nuestra identidad o hayan desarrollado un nuevo modelo de fraude.

La última tendencia es aplicar nuevos modelos de negocio a su actividad. Efectivamente, ahora aplican el concepto que hemos comentado de Software-As-A-Service (SaaS) a sus plataformas de fraude para permitir que otros hagan uso de ellas, cobrándoles en función del servicio utilizado... Increíble pero cierto, sino, lee este interesante artículo de Dark Reading.