12 diciembre 2009

Formación en seguridad de la información

Esta semana nos enterábamos de que en Inglaterra, la seguridad de la información será asignatura de primaria a partir de 2011. Básicamente es una campaña promovida por el Consejo del Reino Unido para la seguridad infantil en Internet (UKCCIS) para "alentar a los niños a no dar información personal en la web, bloquear mensajes no deseados en las redes sociales e informar de cualquier comportamiento inadecuado".

Por otra parte, y ya en España, El Blog Salmón nos comenta la "necesidad de la formación financiera en los colegios" y que en septiembre el Ministerio de Educación, el Banco de España y la CNMV habían firmado un convenio para un Plan de Educación Financiera.

Y yo me pregunto: ¿quién debería firmar un convenio similar para que en España existiera un Plan de Educación de Seguridad? ¿La AEPD? ¿INTECO? Recordemos además que las competencias en Educación se encuentran transferidas a las Comunidades Autonómas... para hacerlo más entretenido...

NOTA: El listado de miembros del UKCCIS es espectacular, por cierto.

Actualización: Según el informe (en PDF) del Safer Internet Forum de la Comisión Europea publicado el pasado día 26 de enero sobre la base de una consulta a jóvenes muy amplia, la conclusión sería: "Enséñennos sobre seguridad online en los colegios"


22 noviembre 2009

Proyecto eCID, ¿es la certificación la única vía?

Acabo de estar leyendo en el número de noviembre de la revista SIC el artículo publicado por J. Fernando Carvajal y Carlos F. Molina sobre el Proyecto eCID.

Para los que no lo hayáis leído todavía, se trata de un proyecto de investigación a nivel nacional orientado a la mejora en la protección de las infraestructuras críticas, de hecho, su nombre es el acrónimo de "enlightened Critical Infraestructures Defense" en el que participan 12 empresas, 4 organismos de investigación y también una asociación y en el que están representados los principales actores, junto con la Administración, de este asunto: las empresas que gestionan / administran dichas infraestructuras críticas. Podéis consultar toda la información que se vaya liberando sobre el proyecto en su propia página web (enlace aquí).

De todas formas, yo no quería entrar ahora en el tema de la protección de las infraestructuras críticas (aunque sabéis que lo hemos comentado brevemente con anterioridad); en lo que quería centrar mi comentario es en el enfoque de certificación del modelo que se ha establecido en el proyecto.

No es que no me guste la idea de la certificación, sino que creo que no es suficiente para solventar la problemática existente [eso sí, es un excelente punto de partida]. El inconveniente que le veo a la certificación es que es un modelo de absolutos: o cumples o no cumples. En este sentido, no permite situaciones de 'casi cumples' o 'cumples sobradamente'. Esta circunstancia que, podría parecer trivial, tiene en mi opinión importantes consecuencias en el comportamiento de las empresas que, enfrentadas a la decisión de invertir en medidas de seguridad no tienen incentivos (en referencia a este modelo, no a su estrategia en general) para invertir más allá de conseguir el nivel mínimo requerido por la certificación, lo cual nos lleva a que el mercado no ofrezca un óptimo a sus actores [siempre considerando que los usuarios de estas infraestructuras críticas desearan tener el mayor nivel de protección posible].

Quizás deberíamos intentar buscar otras vías para resolver este problema que, al final, no es más que un problema de asimetría de información (lo que los economistas, denominamos "mercados con información imperfecta") aderezado con un poco (bastante) de externalidades negativas.

En definitiva, que me surge la pregunta de: ¿hay otra vía diferente a la certificación que nos permita conseguir los objetivos del proyecto?

NOTA: Mi más sincera enhorabuena a Fernando y a Carlos por este proyecto y a los autores de la idea por el planteamiento que han realizado.


Tags Technorati: ,

21 noviembre 2009

VI Jornada Internacional del ISMS Forum en Sevilla

El próximo martes, 24 de noviembre estaré en la segunda Jornada Internacional del año del ISMS Forum que se organiza, en esta ocasión en Sevilla, en concreto, en el Hotel Barceló Renacimiento. Su título es el de "Impactos de la Transformación Económica y Social en la Seguridad de la Información: El desafío de proteger los nuevos ámbitos y hábitos de trabajo" [muy acertado para los momentos que vivimos, ¿verdad?]

En fin, que si vais a estar por allí... nos vemos. Y para los que no, estar atentos a mis tweets con la etiqueta #ISMS6, intentaré contaros en directo lo más relevante.

10 noviembre 2009

Seguridad, sexo y comida

Me ha sorprendido esta frase en el libro "Por qué somos como somos" de Eduardo Punset hablando sobre el origen del lenguaje:

"¿Cuál habrá sido la primera palabra? No lo sabemos, pero es muy probable que tuviera mucho que ver con el sexo o la comida. O con la seguridad, ¿no habrá estado relacionada con la seguridad? Consultados, los más sabios responden la seguridad también. Pero antes el sexo y la comida"

Es como una especie de pirámide de Maslow reducida, ¿no?

07 noviembre 2009

La madurez de los procesos y el Gobierno de TI

Así se titula el artículo publicado por Roger Debreceny (Universidad de Hawai) y Glen L. Gray (Universidad de California) en el volumen 3 de la revista Journal de ISACA y que se basa en el estudio realizado por el ITGI con el mismo título publicado en noviembre de 2008 y que podéis descargar aquí [siempre que tengáis un usuario válido]. Después de una lectura pausada, he pensado que merecía la pena comentar algunos de los resultados resaltados en dicho artículo en relación al estudio realizado.

Dicho estudio consistía en una evaluación de la madurez de los 34 procesos identificados en COBIT entre 51 empresas voluntarias de Europa, Asía y Norteamérica. Como en todo este tipo de estudios, los datos fueron reportados por la propia organización por lo que, naturalmente, están expuestos a cierto sesgo puesto que no existió ningún proceso de validación de dicha información.

El primer aspecto a comentar sería el tamaño de las organizaciones incluidas en el estudio, pues se trata de organizaciones bastante grandes: promedio de 172 personas en TI y 3.312 puestos clientes (con un máximo de 15.000). Así que, imaginemos como serían los resultados que vamos a comentar si el tamaño de la organización fuera más pequeña (como es el caso, por otra parte, en España, por ejemplo).

En segundo lugar, resaltar que existen algunos procesos en los que algunas organizaciones no habían hecho nada (tenían un nivel de madurez de '0'). En concreto, los procesos siguientes [aunque os parezca mentira]:
  • DS2 - Gestión de servicios de terceros
  • DS4 - Asegurar un servicio continuo
  • AI4 - Permitir la operación y el uso
  • ME2 - Monitorizar y evaluar el control interno
  • ME3 - Asegurar el cumplimiento con requerimientos externos
En tercer lugar, comentar el dominio que menor puntuación saca en global, se trata (como no podía ser de otra forma), el de Monitorización y Evaluación (ME).

Finalmente, lo que los mismos autores concluyen: Que no existe una estrategia general y consistente para todos los procesos, sino que en cada caso, en lugar de evaluar cuál debería ser el nivel de madurez óptimo para cada organización, se actúa con el objetivo de alcanzar un nivel mínimo aceptable (lo que los autores denominan una estrategia de bombero o apaga-fuegos).

En definitiva, unos resultados llamativos y muy ilustrativos para los que buscamos conocer con profundidad como las organizaciones afrontan este tema de la seguridad de la información.

06 noviembre 2009

Conseguir el compromiso

Este es el título de un artículo publicado en el número 1 de 2009 de Journal, la revista de ISACA, firmado por Chris Konrad (Vicepresidente de servicio a clientes de Fortrex Technologies) y titulado exactamente "Getting Buy-in - An Easier Way" (lo siento pero solo podréis acceder online los que seáis socios de ISACA).

Me llamó la atención porque no es muy habitual que en una revista de seguridad se hable acerca de conseguir el compromiso y la verdad es que no me defraudó: sencillo y al grano.

Básicamente, Chris plantea una forma de hacer para elaborar un plan de seguridad que cuente con el apoyo y la participación del resto de personal clave de la organización:

  1. Obtenga conocimiento e historia (ya hemos hablado un poco de esto antes).
  2. Aprende sobre las operaciones y las funciones.
  3. Realice una auto-evaluación de la organización.
  4. Investigue los sistemas de información.
  5. Complete la evaluación de la situación (que básicamente consiste en lo que hablamos hace unas semanas aquí).

También nos da unas pautas para llevar a cabo esa autoevaluación:

  • Comprender lo que es más importante para el CEO.
  • Dirigirse al área Jurídica para entender la legislación de aplicación al negocio.
  • Después, pasar a Recursos Humanos para aprender sobre las políticas, tipos de empleados y procedimientos de contratación y cese.
  • Tras estos pasos iniciales, ya habría que pasar a las unidades de negocio para entender como se generan los ingresos.
  • Una vez entendido todo el contexto, habría que pasar a las áreas de TI propiamente dichas.
  • Para finalizar con un análisis de riesgos.
En definitiva un conjunto de pautas sencillas que ponen el énfasis más en las formas que en el fondo pero que, aunque a alguno le parezca mentira, son igual de importantes, puesto que si el CISO no consigue "motivar" a la organización y a sus miembros para que apoyen sus planes de acción en materia de seguridad no servirá de nada que las conclusiones sean perfectas o que el análisis haya sido técnicamente perfecto.

Ambas componentes son partes de un todo y necesitamos que ambas "funcionen" para conseguir el objetivo.

05 noviembre 2009

Lectura: "El Cisne Negro"

Pues sí, finalmente lo hemos leído. Se podría decir que una obra imprescindible para todos aquellos a los que nos gustan [apasionan] los análisis de riesgos del libanés empírico-escéptico, Nassim Nicholas Taleb.

La verdad es que me ha defraudado un poco (supongo que por las altas expectativas que me había generado, después de oír los comentarios de los que lo habían leído antes) y se me ha hecho bastante duro de leer y seguir. Quizás es que me estoy haciendo mayor y me cuesta enfrentarme a lecturas "duras"... no lo sé (o quizás es que me convenció desde muy pronto y me "sobraron" muchos argumentos...)

Volviendo al tema del libro, lo que es indudable es que los conceptos que incluye son esenciales y un `must` para todos los que estamos involucrados, de una u otra forma, en gestionar la seguridad de la información. Básicamente, hay para mí 4 conceptos esenciales:

  1. El concepto del cisne negro, como tal... hecho fortuito, gran repercusión, efecto sorpresa...
  2. La distorsión retrospectiva que impide a los humanos predecir los sucesos.
  3. La falsa creencia de que podemos predecir el futuro basándonos en acontecimientos pasados (el tema del pavo es muy recomendable).
  4. Pero, sobre todo, la gestión de la incertidumbre.

En definitiva, una obra esencial, pero que tendremos que armarnos de valor para leerla de manera exhaustiva...


02 noviembre 2009

Lectura: "El club del liderazgo"

Este libro cayó en mis manos como obsequio del ISMS Forum tras la intervención de uno de sus autores (José Antonio Sáinz) en la V Jornada Internacional.

Lo primero que he de decir es que se lee rápido, muy rápido. Tanto, que he de reconocer que lo he leído durante un reciente viaje a Praga. Además, de forma literal, durante los vuelos de ida y vuelta (unas 6 horas, más o menos).

Está organizado como una sucesión de monólogos (como bien reza el subtítulo: "Monólogos entrañables para dirigir con talento") de diferentes estilos de dirección.
No me ha descubierto nada especialmente nuevo, pero al menos aporta claridad, sencillez y va al grano de los temas.

Me ha gustado [me he sentido identificado] el primero de los monólogos atribuido a Ladislao Roble (La visión) y el epílogo incluido al final del libro.

100 caminos al éxito #5: El "gobernador" de la seguridad

El pasado mes de septiembre la revista red seguridad publicó un artículo bastante interesante de Miguel García Menéndez titulado "El 'Gobernador' de la seguridad de la información: ¿una nueva cara en el equipo directivo?". Miguel, aparte de ser "buen tipo" es miembro de la Junta Directiva del capítulo de Madrid de ISACA (más conocido como ASIA) y lleva bastante tiempo trabajando en lo que se ha denominado IT Governance.

Aunque lo leí hace tiempo, he estado un poco [bastante] vago (como habréis podido observar) a la hora de escribir y me ha parecido muy oportuno retomar la actividad, comentando brevemente dicho artículo del que recomiendo su lectura detenida.

Básicamente, Miguel parte de la introducción de la figura del CSGO - Chief Security Governance Officer como responsable de "proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización "para desarrollar una serie de conceptos básicos como, por ejemplo, los KRI - Key Risk Indicator o el nuevo paradigma de "las 4 A" como evolución del tradicional CIA (confidencialidad - integridad - disponibilidad).

Todo ello para, al final, hacer la pregunta del millón: ¿No debería ser el CISO este CSGO? Y aquí es donde yo quería llegar.

En mi opinión, la disyuntiva no es si debería ser o no, sino cuándo lo será. Es decir, creo que la única salida que tiene el CISO para evolucionar en una organización es adoptar un enfoque de gestión de riesgos en el marco de una estrategia corporativa. De esta forma se puede aspirar a ese "proceso sistemático de gobierno del valor" y conseguir, además, un enfoque global que permita una gestión de riesgos mucho más eficiente evitando duplicidades y enfoques sesgados de cobertura para los mismos riesgos.

En definitiva, ¿para cuándo el CISO - CSGO?

13 septiembre 2009

100 caminos al éxito #4: El CISO nunca dice "no"

No se me entienda mal, no quiero decir que el Responsable de Seguridad sea un don-nadie... ni mucho menos, lo que quiero decir es que al CISO no le pagan para decir que "no" (ojo, tampoco que "sí"), eso es una labor que corresponde a Negocio.

No obstante, cada organización es un mundo y, por eso, es importante que cada uno sepa cual es su rol en la organización en la que está, para saber que es lo que se espera de él/ella.

En mi opinión, el CISO es un experto en el análisis de riesgos tecnológicos y su labor se circunscribe a poner de manifiesto cuales son los riesgos de las opciones presentadas por negocio para que, en conjunción con los beneficios que se esperan, se pueda tomar la mejor decisión posible. Por eso, no es nuestra labor decir que "no", sino que lo que se está proponiendo supone ciertos riesgos que han de ser sopesados para que, en caso de ser asumidos, seguir adelante o, si por el contrario, se considera que no son asumibles, hacer las modificaciones que corresponda.

Actuar de esta manera, evitaría que los responsables de seguridad tengan esa imagen interna de ser el/la que siempre dice "no" y que no tiene ninguna visión de negocio.

Fotografía tomada de www.librarybytes.com

02 septiembre 2009

Adagreed: Un ejemplo de poner los usuarios en el centro

Cuando la semana pasada comentábamos la necesidad de cambiar el enfoque y poner a los usuarios en el centro de las organizaciones me vino a la memoria la presentación que realizó Artur Sales, Presidente de adagreed en la pasada jornada sobre Internet organizada por la Comunidad de Madrid y ANEI el pasado mes de mayo.

En ella, Artur nos explicó la estrategia de adagreed que consiste, básicamente, en hacer que los usuarios sean los protagonistas de la publicidad en lugar del rol pasivo actual. El planteamiento es revolucionario y, desde mi punto de vista, brillante... de hecho, yo ya soy usuario y estoy empezando a experimentar con lo que ofrece el portal.

Creo que este es el tipo de cambios a realizar cuando comentaba lo de "poner a los usuarios en el centro", hace falta un cambio de 180º y partir de un folio en blanco, sin ataduras al modelo previo.

P.D.: Por cierto, os dejo aquí el link a la presentación estilo pecha kucha que utilicé en dicha jornada para hablar sobre el impacto de la seguridad en el uso de internet.

31 agosto 2009

100 caminos al éxito #3: "KISS"

Este fin de semana he comprado una lámpara de esas sobremesa para cuando cenamos en el jardín tener un poco más de visibilidad [la verdad es que esto no tiene la mayor importancia y supongo que os importará poco, pero bueno, es la verdad, así que, tampoco hay porqué ocultarlo]. El hecho es que cuando la saqué, vi que venía acompañada por sus correspondientes instrucciones de uso y al mirarlas, no pude por menos que sufrir un ataque de risa (si no entendéis porqué no tenéis mas que mirar la foto que adjunto de las mismas)... más sencillas, imposible.

Pero inmediatamente me encontré preguntándome: "¿Y para qué quieres más? Si es lo que hay que hacer, ¿no? Poner una bombilla, enchufarla y andando".

Así que, esa sería mi tercera recomendación para los CISO: Keep It Simple Stupid! (K.I.S.S.)
  • Si una política puede ser de una página mejor que de tres.
  • Si el análisis de riesgos se puede simplificar, mejor.
  • Si el procedimiento puede tener tres pasos y una aprobación, mejor que quince pasos y siete aprobaciones.
  • ...
En fin que la simplicidad tiene una potencia increíble y además ya sabéis que la complejidad es enemiga de la seguridad...


29 agosto 2009

El mundo ha cambiado: Las personas somos el centro

Esta semana algunos medios se han hecho eco de un estudio de Sophos (aquí y aquí) sobre la preocupación que genera en las empresas la utilización de redes sociales (ya sabéis, de esas, 2.0) por parte de sus trabajadores puesto que pueden salir a la luz ciertas informaciones, en principio, confidenciales o, simplemente, dichos trabajadores pueden "meter la pata" y ser políticamente incorrectos afectando negativamente a la imagen de la empresa.

En mi opinión, lo que ocurre es que se produce una incompatibilidad entre estas herramientas (tipo 2.0) con la "empresa" como modelo organizativo (que podríamos denominar como 1.0). Y esta incompatibilidad radica, en mi opinión, en el hecho diferencial de las redes sociales: Las personas somos el centro. Es decir, somos los propios usuarios de las redes las que las hacemos importantes en la medida en la que decidimos usarlas porque nos satisface lo que obtenemos de ellas (subimos vídeos interesantes, subimos presentaciones que nos aportan, compartimos en definitiva con el resto de usuarios).

Por el contrario, las empresas son un modelo "viejo". En las empresas, las personas NO somos el centro. En las empresas, las personas son medios productivos que deben subordinarse a los intereses de la empresa (a su estrategia, a su misión-visión, a sus valores...).

Por tanto, es normal que las empresas "teman" a las redes sociales, es que son incompatibles, porque esta "personalidad jurídica" no puede participar en dichas redes en igualdad de condiciones con las personas... En el fondo, lo que ocurre es que la empresa, como modelo organizativo debe evolucionar a su versión 2.0 donde las personas sean [de verdad] el centro, los protagonistas... cuando esto ocurra, las empresas no tendrán ningún motivo para temer a las redes sociales, sino que aprovecharán todas sus virtudes. Ya sabéis cuál es mi opinión, yo la denomino: Unión Temporal de Personas.

Una lectura interesante en relación a esta importancia de las personas en las organizaciones, es la "Declaración de Consultoría Artesana" [que suscribo plenamente] (via los sueños de la razón) que tendría las siguientes características:
  • Trabajamos con las personas
  • Nos gusta nuestro trabajo
  • Colaboramos de manera abierta
  • Somos red
Y que se fundamenta en los siguientes valores:
  • Franqueza
  • Libertad
  • Pragmatismo
  • Simplicidad
  • Economía
  • Re(d)lación
En definitiva, las empresas tienen que evolucionar a su versión 2.0... ¿alguna idea?

19 agosto 2009

Lectura: "Soy Consultor (con perdón)"

Siguiendo con la tradición de comentar los libros que voy leyendo, os voy a hablar sobre el último que he leído sobre la profesión de consultor de Carlos Abadía Jordana.

Lo primero que puedo deciros es que me lo he pasado "bomba" leyéndolo, me ha gustado el sentido del humor, las parodias y, sobre todo, me he visto identificado en múltiples de las situaciones que Carlos plantea a lo largo del libro.

No puedo decir que comparta todas las posiciones de Carlos, pero sí muchas de ellas... Sobre todo el enfoque que adopta sobre el "consultor" como profesión y la valía que tiene contar con uno de verdad, dejando al margen que existen muchos "wannabes" de la profesión que, en la mayor parte de las ocasiones, lo que provocan es mala imagen y mala prensa para el resto de consultores (¿artesanos?) que ejercen (ejercemos) esta profesión. Y, desde luego, comparto que la profesión es muy difícil, que nunca se vende humo y que, esencialmente lo que se vende es, confianza, que nunca se engaña y que el auténtico consultor se compromete, no se limita a aportar (os recomiendo la lista de valores que Carlos propone para el consultor: prudencia, respeto, trabajador...)

Os comento algunos de los pasajes que más me han gustado:

"Este libro está dirigido a todos aquellos que han elegido libremente la profesión de consultor y no han muerto por el camino. Es, pues, un libro para vivos de espíritu, para personas que creen que ayudar a otras personas a hacer mejor las cosas en la empresa es un trabajo que merece mucho la pena."

"El consultor es un ente orientado a la venta [...] El consultor debe tener conocimiento real del producto que vende, bien adquirido sobre el terreno."

"El consultor, además, debe conocer ese campo de juego que es la empresa."

"(El network) Es lo más importante que tienes que hacer como consultor. Es lo que diferencia al consultor de éxito de cualquier otro profesional del sector normal y corriente."

"Desde mi punto de vista, resulta por lo menos igual de complicado seleccionar una buena secretaria que, por ejemplo, un buen director comercial."

"Los grandes vendedores (de lo que sea) lo son porque son grandes transmisores de confianza y entusiasmo [...] Y en los grandes vendedores de consultoría, la confianza y el entusiasmo deben ser superiores porque se ofrece, en un alto porcentaje, un servicio a futuro, intangible, basado en una experiencia determinada y en la creencia racional de que, si eso que estás contando lo has hecho con éxito alguna vez, tal vez merezca la pena comprar lo que dices."

"Y, más importante, es ser consciente de que tú, consultor, lo eres del cliente, no del usuario ni del beneficiario."

Y muchas otras que me dejo pero que me ha encantado verlas por escrito...



18 julio 2009

Lectura: "El modelo Google. Una revolución del management"

Llevaba tiempo con ganas de leerlo, porque estoy muy interesado en entender cómo puede crecer una empresa sin perder aquello que la hace especial cuando es pequeña o mediana, y me parecía que saber un poco más sobre la experiencia de Google debía resultar bastante útil.

Efectivamente, conocer un poco más de sus orígenes, de su forma de funcionar resulta útil para todos aquellos interesados en crear una empresa o hacer de su empresa algo distinto y, sobre todo, de éxito como es el caso de Google.

No obstante, como nos recuerda el propio autor: "No será copiando a Google palabra por palabra como podremos crear una empresa rentable. Será más bien formulándonos las preguntas que se hicieron sus directivos e inspirándonos, cuando sea posible, en los métodos que ellos desarrollaron y probaron, adaptándolos a nuestra actividad y a nuestras dificultades. El éxito en la gestión, como en toda otra disciplina, requiere trabajo e imaginación".

En cuanto a los mecanismos empleados en Google que me han resultado más llamativos me gustaría destacar los siguientes:
  • Seleccionar solo a los mejores
  • Dar prioridad a la motivación intrínseca
  • Crear equipos de trabajo pequeños (este me ha llamado la atención, sobre todo por la relación con el libro de Koldo Saratxaga)
  • Utilizar la tecnología para la coordinación
  • 20% del tiempo de los ingenieros para sus proyectos personales
  • Tarificación basada en un sistema de subasta (denominado francés y que yo desconocía pero que me ha resultado muy curioso e inteligente)
  • Automatizar la relación comercial
En definitiva, una lectura muy recomendable para los que penséis que existen otras maneras de hacer las cosas...



14 julio 2009

Presentación del Data Privacy Institute

[Post online]

Hoy estoy teniendo la oportunidad de asistir a la presentación en sociedad de una nueva iniciativa del ISMS Forum Spain: el Data Privacy Institute. Hemos tenido la suerte de poder contar con D. Artemi Rallo, Director de la Agencia Española de Protección de Datos que, al margen de desearle suerte a la iniciativa, ha mostrado su interés en que los profesionales que nos dedicamos a la privacidad nos organicemos.

Al margen de esto, el Director de la Agencia nos ha comentado brevemente la iniciativa en marcha de todos los organismos encargados por velar por la privacidad a nivel global. Os indico aquí los principales puntos sobre los que está versando este trabajo, comentados por el propio Director:
  • Adopción de un marco global para facilitar la protección de datos de carácter personal a nivel mundial.
  • Revisión de algunos conceptos obsoletos: fichero, figuras involucradas en el tratamiento de datos (para reflejar mejor la realidad)...
  • Cooperación entre organismos internacionales de protección de datos
Seguimos ahora con la presentación del DPI - Data Privacy Institute realizada por su Director (Toni Bosch) y Subdirector (Carlos Saiz)...

Me ha encantado oir sobre la iniciativa de certificación de profesionales, porque ya sabéis que es un tema que ya hemos comentado antes aquí.

08 julio 2009

Festival de Mérida


El año pasado lo probé por primera vez (ya lo sé, imperdonable para un extremeño de adopción muy orgulloso de serlo) y este año repito...

Ya tengo mis entradas para el Festival de Mérida de este año.

Si no habéis estado, os lo recomiendo... además es una buena excusa para hacer alguna pequeña excursión para Extremadura...

27 junio 2009

100 caminos al éxito #2: Evidencia la aportación de la seguridad al negocio

Una vez que hemos entendido cuál es nuestro rol en la organización, nos toca el siguiente ejercicio: Entender y hacer evidente cuál es la aportación de la seguridad al negocio.

Bajo mi punto de vista, esta es una de las principales causas de que luego surjan múltiples dificultades en la realización de iniciativas promovidas por el área de seguridad: el negocio no las entiende, no comprende qué les aportan esas iniciativas y cuesta mucho que las apoyen. Por eso, comentábamos hace bastante tiempo la paradoja que se producía en los Planes Directores de Seguridad cuando después de finalizarlos nos encontrábamos en la situación de tener que defender la ejecución de cada uno de los proyectos resultantes de dicho plan.

Para mi, hasta este momento, la mejor forma de demostrar esta aportación, esta relación con el negocio ha sido mediante el Árbol de Objetivos Intermedios proporcionado por la Teoría de las Limitaciones de Goldratt (que ya sabéis que es mi herramienta favorita) aunque otros prefieren métodos más clásicos como el Balanced Scorecard de Kaplan y Norton.

El Árbol de Objetivos Intermedios permite representar gráficamente la estrategia de la compañía y podemos aprovechar su potencia para demostrar al resto de la organización, donde la seguridad "engancha" con el negocio. De esta forma, podremos identificar las 4 ó 5 líneas estratégicas en las que enfocará su desempeño la función de seguridad, del mismo modo que lo hace "Negocio". Aunque parece simple, no lo es y cuando se consigue es realmente potente.

¿Qué opináis vosotr@s?

24 junio 2009

Lectura: "Patrolling Cyberspace"

Tenía pendiente, desde que nos lo regalaron en la IV Jornada Internacional del ISMS Forum, la lectura del libro del que fue uno de los ponentes invitados, Howard A. Schmidt (ex-Asesor de la Casa Blanca en materia de ciberseguridad y otras muchas cosas..)

Se lee bastante bien y es bastante interesante el repaso que hace de los primeros incidentes en materia de seguridad y del fenómeno "hacker" desde su perspectiva de miembro del FBI.

Por otra parte, aunque es un libro de 2006, contiene reflexiones que siguen siendo de aplicación (de hecho, aún más, después del discurso de Obama sobre la importancia de la ciberseguridad). Os dejo aquí algunas de ellas:
"There were no published reports of the Chinese government taking any actions against the China-loyal hackers... This also marked the appearance of the China Eagle Union as an aggressive hacker group with international targets."

"I fear that some day a cybercatastrophe will occur because the existing disorganization between agencies was so acute that the evidence collected by the various jurisdictions was not share and, therefore, the necessary electronic dots could not be connected. [...] This is especially critical when the target migrates from money to threats on the nation's critical infrastructure."

"Almost 85% of the nation's critical infrastructure is in private hands (se refiere a EE.UU. pero en Europa supongo que será algo similar). [...] While good for consumers seeking lower prices and more choice, it was bad for promoting any type of cooperation and information-sharing [...] in order to develop a comprehensive method to secure the critical infraestructure that is in their care".

"Effective response to any disaster is based on preparation. Our system is based on a free market economy, so we are faced with another potencial source for failure when company profits are not inverted to the degree necessary for optimal security." (esto es lo que hemos hablado otras veces sobre el componente de externalidad implícito en la seguridad)

"We all need to do our part to secure our place in cyberspace"

21 junio 2009

100 caminos al éxito #1: Entiende tu rol

Una de las primeras cosas que debemos hacer, si no lo has hecho incluso antes de incorporarte a tu puesto como responsable de seguridad (a.k.a., CISO) es: Enteder cuál es tu rol en la organización.

Seguro que tu jefe te habrá explicado lo que espera de ti, pero no es todo lo que debes saber, créeme. En todas las organizaciones siempre hay toda un conjunto de relaciones no explícitas que "mandan" casi tanto como las explícitas y, lo que se espera de ti como responsable de seguridad, también tendrás que extraerlo de ese conocimiento implícito. Y la única forma que se me ocurre para hacerlo es estableciendo buenas relaciones con todos los actores de la organización.

Para entender bien tu rol deberías ser capaz de tener respuesta a unas cuantas preguntas:
  • ¿Mi rol ha de ser más operativo o más prescriptor? Es decir, me encargaré de operar los mecanismos de control o crearé las pautas para que sean administradas por otro grupo de la organización.
  • ¿Cómo se orquestará la relación con los administradores de seguridad?
  • ¿Qué tipo de relación se espera que establezca con las áreas de negocio?
  • ¿Se espera de mi que sea el que frene todas las actividades arriesgadas que se produzcan o el que busque mecanismos para minimizar el riesgo de las mismas? Es decir, tengo que ser un héroe o un villano (por eso lo de Anakin).
  • ¿Me tengo que limitar a hacer cumplir con la LOPD (y similares) o puedo establecer objetivos más ambiciosos? Ya sabéis, ISOs y cosas por el estilo...
  • ¿De quién es responsabilidad "eso de la disponibilidad de los sistemas"?
No parecen muchas (tampoco deberían serlo, ¿no?), pero desde luego son básicas para que los pasos que demos a partir de este momento estén bien orientados y no nos generemos más problemas de los necesarios.

¿Cómo lo veis? ¿Me he dejado alguna?

Espero vuestros comentarios y nos "vemos" en la próxima entrega de la serie...

18 junio 2009

"Emulando" a Tom Peters

Evidentemente no soy Tom Peters (ni de lejos), solo leo periódicamente su blog y he pensado que podría estar bien compartir con todos vosotros mis ideas al estilo de sus "100 Ways to Succeed", sobre lo que debería hacer y tener en cuenta (siempre, en mi humilde opinión) un responsable de seguridad (o CISO, como solemos decir cuando queremos utilizar un termino más fashion).

Seguro que muchas de las cosas que diga serán opinables, así que estaré encantado de comentarlas con todos aquellos que os animeis a dejar algún comentario. De hecho, lo ideal sería que pudiéramos aprovechar las experiencias de tod@s para hacer nuestra vida más llevadera y no caer en los mismos errores en los que ya cayeron otr@s en el pasado.

No sé si llegaremos a los 100 posts en esta serie (Tom va ya por el 175, pero ya hemos quedado en que no soy Tom), me conformo si sirve para que alguno de vosotr@s encontráis util alguna de mis ideas.

15 junio 2009

Internet: nuevo medio para viejos actos

Ya lo hemos comentado alguna vez aquí, aquí y aquí pero es que la noticia del chantaje a menores utilizando Internet me lo ha vuelto a recordar:
"We have not found any new crimes as a result of the Internet; criminals are just finding new ways to commit old crimes".
"No hemos encontrado nuevos crímenes como resultado de Internet; solo es que los criminales están encontrando nuevas formas de cometer los viejos crímenes".

Kevin Delli-Colli, Deputy Assitant Director, Financial Investigations, U.S. Department of Homeland Security



11 junio 2009

El CISO es como otro directivo más

Esa es mi conclusión después de la V Jornada Internacional organizada por el ISMS Forum el pasado 28 de mayo: El CISO es como cualquier otro directivo de la compañía. Después de escuchar las intervenciones de Ron Collete, Khalid Kark, Serge Moreno, Raúl Avedillo o Miguel Rego y de la mesa redonda que tuve oportunidad de moderar con el propio Ron, Nils Puhlmann y Justin Somaini esa es la gran conclusión...

Al fin y al cabo, el CISO tiene un rol directivo en la Organización y su perfil será el de un gestor típico de la organización a la que pertenece (la cultura empresarial evidentemente tiene un peso decisivo en el tipo de CISO adecuado para la organización).

Llevamos demasiado tiempo dándole vueltas a cómo debe ser un CISO y no nos hemos dado cuenta de que un CISO no es nada más (y nada menos) que un directivo...

¿Quién nos lo iba a decir, verdad?.


10 junio 2009

Solana y el ciberespionaje

Ayer tuve la oportunidad de asistir a la Conferencia que Javier Solana ofreció en el marco de la Fundación ESYS - Fundación de Empresa, Seguridad y Sociedad. La verdad es que nunca imaginé que se pudiera generar el revuelo a raíz de una pregunta, en principio inofensiva de mi buen amigo, Alfonso Bilbao, sobre la ciberseguridad... y es que el propio, Javer Solana reconoció haber sido espiado durante un largo período por una potencia extraeuropea gracias a algún tipo de software instalado en su ordenador, ¡casi nada!

Lo cierto es que fue una intervención muy interesante, como no podía ser menos viniendo de una persona que en los últimos años ha tenido la oportunidad de intervenir en negociaciones y conversaciones al más alto nivel en todo el mundo.

En su exposición hizo un breve repaso de la situación actual y de los riesgos a los que Europa y los europeos tendremos que hacer frente en el corto plazo según el Alto Representante para la Política Exterior y de Seguridad Común de la UE. Además de exponer claramente que afrontamos riesgos globales con medios y regulaciones locales, Javier Solana enumeró los que, en su opinión, son los principales riesgos para los próximos 15 - 20 años:
  1. La proliferación de armas nucleares.
  2. La seguridad energética.
  3. El cambio climático.
  4. Los agentes no estatales en Seguridad.
Muy interesante, cierto, pero sobre todo porque, al final, te das cuenta que esto de la seguridad no es tan diferente de otros ámbitos: También afrontamos retos globales con medios locales y, por supuesto, los agentes no estatales son unos de los principales actores en lo que respecta a nuevas formas de fraude y de robos de identidades en Internet.

En fin, una charla muy enriquecedora de alguien que lleva mucho tiempo viviendo Europa en profundidad.


06 marzo 2009

Las personas hacemos las empresas

Esta semana he tenido la oportunidad de asistir a un evento en el que estuvimos discutiendo sobre un nuevo modelo organizativo (aunque no es relevante, diré que era sobre la convergencia de seguridad lógica y física).

Después de analizar todas las bondades del modelo y considerando lo poco habitual que es encontrárselo en la actualidad, se me ocurrió preguntar a los ponentes por los frenos que ellos consideraban que impedían su adopción. La respuesta fue tan simple como rotunda (gracias, Manuel): "Las personas" [con la Iglesia hemos topado, amigo Sancho].


Podríamos recurrir a la manida resistencia al cambio, pero después de leer la última novela del Dr. Goldratt, "The Choice" (gracias, Mario) coincido con él en que el comportamiento de las personas depende de sus zonas de confort: dentro de ellas encontramos mentes abiertas y acción, pero fuera, solo vemos dudas y resistencia.

Y si no lo veis, pensar en cuántas veces, en vuestras propias organizaciones os encontráis con comportamientos asociados a esta idea:
  • Personas que han cambiado de función pero que no se desenganchan y siguen inmiscuyéndose en la labor de su sucesor.
  • Procedimientos que se cambian pero que, a pesar de todo, las personas seguimos haciéndolo como antaño.
  • Profesionales comerciales con reticencias a vender los nuevos productos y servicios diseñados por la empresa.
  • Profesionales que no aplican las mejoras en los medios de producción o no aplican las nuevas líneas de reporting.
  • Y así, un largo etcétera de situaciones cotidianas que están explicadas por el mismo factor, no queremos salir de nuestras zonas de confort.

En definitiva, que somos nosotros los causantes de nuestras propias desdichas por nuestros miedos a lo que escapa de nuestro control / influencia [si es que alguna vez estuvo]. Por eso, la labor de un jefe debe ser explicar detallada y claramente los cambios, las nuevas situaciones de forma que todo el mundo sienta que no tiene nada que temer de las mismas y si, aún así, hay alguna persona que se resiste, desde luego, tomar medidas para que el resto (que sí ha adoptado los cambios) no se vean perjudicados.



11 febrero 2009

Primer Blogger Security Summit

El pasado 3 de febrero tuvo lugar la primera reunión de bloggeros de la seguridad de la información (1st Security Blogger Summit) y si yo tuviera que hacer mi resumen, diría que se habló sobre todo de 2 aspectos:

  • La concienciación de los usuarios, y de la sociedad en general, es un aspecto fundamental para lograr la mejora del nivel de seguridad de la red, siendo los usuarios domésticos los más afectados.
  • La habilitación de mecanismos de respuesta (con las dificultades que eso conlleva en cuanto a saber qué ha pasado y la problemática de la distinta regulación en diferentes países) es imprescindible para generar confianza en los usuarios de Internet.

En algunos momentos, se generó un debate respecto a si la concienciación era suficiente o no, puesto que algunos bloggeros apostaban más por medidas a corto plazo. En realidad, creo que no debe ser un planteamiento alternativo. En mi opinión, sabemos que los efectos de la concienciación por la que trabajemos ahora los veremos cuando las generaciones actuales crezcan. Pero mientras tanto, no podemos dejar esto como está, así que tenemos que poner controles compensatorios para que en el corto plazo este entorno tenga unas medidas de seguridad razonables.

En ese sentido, no me parece mal el planteamiento de que sea necesaria cierta acreditación para el manejo de determinados sistemas de información. Me explico: la utilización de cualquier herramienta (y más si es un sistema complejo) puede usarse en un ambiente amateur (sin necesitar ningún tipo de acreditación, por ejemplo, una sierra) o en un ambiente profesional (con todo tipo de medidas preventivas y formación específica para que sepa usarse adecuadamente). Pues bien, creo que lo mismo pasa con los sistemas de información; quizás en un entorno doméstico (léase, amateur) podría usarse sin ningún tipo de acreditación (lógicamente), pero también es cierto que en entornos profesionales (y las empresas lo son) quizás tendríamos que plantearnos que el uso de un medio productivo como es un sistema de información debería requerir de un planteamiento más profesional: formación, acreditación previa (a modo de Carné de manipulador de alimentos), etc.

Ahí queda el debate...