Y luego dicen que los estándares no sirven para nada

Cuando a cualquier persona le imponen algo, normalmente nos parece mal, aunque sea "por nuestro bien", ¿verdad? No hay más que recordar los casos del tabaco, el alcohol, etc...

Pues lo mismo pasa en el mundo empresarial. Dos ejemplos claros son la legislación en materia de protección de datos de carácter personal o, más últimamente, la iniciativa de VISA y MasterCard para proteger los datos de titulares de tarjetas de crédito, el Payment Card Industry - Data Security Standard [PCI-DSS] (ahora adoptado por el PCI Security Standards Council).

Pero la verdad es que cuando el río suena, agua lleva. Si se promueven estas iniciativas, ya sea por la Administración, ya sean por el ámbito privado, es porque existe algún tipo de circunstancia preocupante que hace falta controlar. Otra cosa es si esa normativa es justa, excesiva o acaba regulando actuaciones totalmente correctas y dificultando el día a día de las organizaciones.

Y para muestra, baste un botón: El pasado 21 de febrero, TJX (grupo de empresas de moda con más de 16 mil millones de dólares de ingresos en 2005 y más de 2.500 tiendas en EE.UU., Canadá y Europa agrupadas en 8 marcas distintas) reconocía que habían sufrido una intrusión en sus sistemas de información que, según la información de Europa Press del pasado 29 de marzo, había resultado en el robo de... ¡¡¡45,7 millones de tarjetas de crédito de clientes!!! (un dato para comparar: según el INE, la población española a 1 de enero de 2006 era de 44,7 millones de habitantes).

Y lo peor de todo es que no ha sido algo puntual, sino que este robo se ha producido en repetidas intrusiones desde 2003. Después de estos datos, es más fácil que comprendamos por qué es necesario este estándar, de hecho, lo que nos deberíamos preguntar es: ¿Por qué las organizaciones no protejen adecuadamente esta información confidencial (tanto desde la perspectiva financiera como personal) y es necesario que alguién les obligue a establecer unas medidas de seguridad mínimas?

Pues muy sencillo, porque como mantiene Bruce Schneier, la seguridad es una inversión que está sujeta a las mismas reglas que cualquier otra inversión en el entorno empresarial, a salir bien parada de un análisis coste-beneficio. ¿Y qué ocurre con la seguridad? Pues que, a menos que existan multas, penalizaciones, sanciones, etc. que hagan subir el coste de la no-seguridad es difícil que sea "rentable" para una empresa invertir en seguridad.

Así que, gracias. Gracias a esas normas y a las organizaciones que las promueven por contribuir a un mayor nivel de seguridad (aunque sea a base de multas y sanciones).

Lo sé. Es triste, pero es así.

Actualización: El coste del incidente se eleva ya a 118 millones de dólares.

Normativa en la utilización de los sistemas

Estaba visitando la web del Senado por otros temas (entre otros para saber dónde estaba) cuando me he encontrado con algo que no me esperaba.

...

¡¡¡Una Normativa para el uso de los sistemas de información!!! Casi no me lo podía creer. Se me han caído dos lágrimas de la emoción. Lo que siempre dicen las teorías, las best practices de esto de la seguridad, hecho realidad (y además, desde 2004).

Toca bastantes temas:

1. El equipamiento informático - No es del usuario, por lo que no se puede modificar.
2. Tratamiento de la información - Ojo con lo que se gestiona, sobre todo, datos personales.
3. Soporte y mantenimiento - Hay que canalizar las peticiones y, quizás, acceder en remoto.
4. Seguridad y Control - El usuario tiene que cumplir con las medidas de seguridad y, en particular, utilizar contraseñas de calidad.
5. Salvaguarda de la información - Que será responsabilidad del usuario (la verdad es que se podrían herramientas de ayuda).
6. Acceso a Internet - Ya se sabe, para uso profesional.
7. Utilización del correo electrónico - Idem. pero con la posibilidad de contar con una dirección distinta para uso personal.
8. Cumplimiento - Para todos los usuarios de los sistemas del Senado.

En definitiva: Mi más sincera enhorabuena a los autores / promotores, la Dirección de Informática de la Secretaria General del Senado y, por supuesto, a los que la han aprobado, la Mesa del Senado.

¿Hacemos un Plan Director? (I)

La verdad es que está de moda.

Y eso debería hacernos sentir más felices: Vendemos más, tenemos trabajo asegurado y cumplimos las cifras esas de las que hablábamos antes. Pero como soy un apasionado de lo que hago, resulta que, aún así, no estoy feliz. ¿Por qué? Muy sencillo, porque la mitad de los Planes Directores de Seguridad que se hacen (siendo generoso) no sirven para nada. Y de esa mitad que no sirven para nada, la mitad es porque el que lo hace no aporta nada y la otra mitad es porque el cliente no está preparado.

Hoy nos centraremos en uno de estos casos: Aquellos en que se hacen por alguien que no aporta (no aportamos) nada. En estos casos nos encontramos con un escenario en el que, con independencia de que la organización estuviera preparada o no (eso ya hemos quedado que lo veremos otro día), se ha seguido el enfoque "académico". Ese enfoque dicta que para hacer un Plan Director de Seguridad hay que hacer un análisis de riesgos, para evaluar la seguridad cogemos un estándar (siempre el mismo, la UNE-ISO/IEC 17799:2005) que reuna todo lo que se puede hacer en seguridad (?), definimos una estrategia de gestión del riesgo y para acabar, metemos todo eso en la coctelera, y preparamos el Plan de Proyectos. Todo esto ha sido muy resumido y sin florituras, cuando se hacen ofertas, todo se adorna bastante más.

Y yo me pregunto, ¿quién ha dicho que esto se hace así? Pues muy sencillo, porque esto está en línea con las directrices de un Sistema de Gestión de la Seguridad de la Información (SGSI para los amigos) conforme a otro estándar (ISO/IEC 27001:2005) y como todos en el mundo de la Consultoría nos dedicamos a copiarnos (excepto alguno que piensa de vez en cuando), pues resulta que acabamos todos con el mismo mensaje y como corderitos, todos por la misma senda.

Y, ¿cuál es la realidad de todo esto? Pues que el que lo hace, en lo que está realmente interesado es en quedarse con la "implantación" de las medidas de seguridad que se obtienen como resultado del Plan y entonces, está como loco por incrementar el número de proyectos de forma descarada sin importarle ni la situación de la organización ni sus planes, ni nada de nada. Vamos, que como dice una buena colega, casi podíamos empezar por el final, por el plan de proyectos e ir construyendo hacia atrás, hasta el análisis de riesgos.

Lo malo de todo esto es que cuando hemos acabado, nos damos cuenta de que hemos consumido un buen montón de recursos (y aquí el presupuesto es lo que menos cuenta... importa más el tiempo de las personas), que hemos generado un montón de expectativas en la organización y que no vemos que realmente ese plan refleje nuestra realidad, ni nuestra cultura ni nuestros planes de futuro. Y cuando decimos tiempo, es un MONTÓN de tiempo: 4, 5, 6 meses... En fin, todo un despilfarro.

Por eso creo que tenemos que darle la vuelta, tenemos que innovar, tenemos que satisfacer las verdaderas necesidades de nuestro cliente. Y para eso, es necesario que cambiemos radicalmente el enfoque: La seguridad es un proceso que (normalmente) da soporte a la organización en el cumplimiento de sus objetivos de negocio y, ahí, es dónde hay que poner el énfasis. Para hacer un buen Plan Director, que yo llamaría estratégico hay que tener en cuenta otras cosas:

• Hay que tener clara la estrategia de la organización: Sus puntos fuertes, sus puntos débiles, sus planes de futuro... Aquí Mario tendría mucho que decir sobre cómo están definidas las estrategias de las organizaciones.
• Hay que contar con el grado de interlocución necesario. Normalmente los que poseen esta información están muy arriba en los organigramas.
• Hay que manejar conceptos de gestión y dirección de empresas (de management) que, a los expertos en seguridad normalmente se nos escapan... (tendremos que fichar MBAs en nuestras organizaciones??)

Vamos, que hay que cambiar la metodología de arriba abajo... Bueno, hay está la gracia, el reto...

¿Alguién se anima? Voy a dar una pista... A mi me gusta TOC...

Consultoría artesana... ¿en una empresa?

El motivo de mi entrada en este mundo de los blogs fue conocer por boca de otros como veían este mundo de la consultoría al que me dedico y, sobre todo, como pensaban que se podía hacer mejor. Y ahí fue donde me topé con el concepto de consultoría 2.0. La verdad es que, viniendo de una de las big four, sabía muchas cosas que no debía hacer, pero sobre cómo hacerlas, tenía bastante menos información y formación, por no decir ninguna.

Así que aquello me empezó a entusiasmar. Creo que al primero que leí fue a Julen:

• "Ética personal y deontología profesional con el cliente
• Respeto como valor clave en la gestión de personas.
• La relación con el cliente.
• Sistemas de incentivos, retribución y reconocimiento.
• Atracción y retención del talento.
• Gestión y formas de compartir el conocimiento.
• Innovación efectiva vs. modas en management.
• Project management en la consultoría."

Y luego al amigo Mario y surgieron otros conceptos que también me interesaron:

• Big four vs. redes
• PMBOK vs. Agile
• Tarifas horarias vs. Price per value
• Contratos vs. Relaciones
• Profesión vs. Vocación
• etc.

Pero siempre he tenido una espinita clavada: Estoy en una EMPRESA, en la que creo en el proyecto, que tiene sus cosas malas pero que me ha dado bastante (quizás menos que yo a ella, ya lo sé) y en la que tengo la oportunidad de hacer consultoría de otra forma pero... ¿es posible? Y justo estando en esta reflexión, llega Julen a echar leña al fuego diciéndonos que ha creado una empresa...Ya no entiendo nada, pero ¿no habíamos quedado en que esto iba de artesanía y yo para mi mismo y cosas por el estilo?

La verdad es que se trata de un asunto complicado. Cuando estás en una empresa te encuentras dentro de una espiral loca de cifras, presupuestos, precios e indicadores que te llevan a estar día tras día, semana tras semana, metido en un proyecto tras otro, ¿por qué? Porque a final del año lo que le importa al accionista es que los números salgan y para eso, te hace falta estar en esa dinámica... ¿o quizás no? Supongo que es un conflicto de esos que nos gustan a los apasionados de TOC que se merece una nube... Debería trabajar en ella. De todas formas se me ocurren un par de supuestos por los que "evaporar" el conflicto:

• Incremetar el valor del servicio y, apoyándonos en ese "Price per value" que comentábamos, aumentar la facturación por persona, de forma que "compremos" tiempo libre para otras cosas: investigar, vida personal, publicar, etc.
• Aumentar la eficiencia del trabajo que hacemos apoyándonos en herramientas para compartir conocimiento y, claro está, fomentar esa práctica entre los consultores del equipo.

En fin, se admiten sugerencias para "inyectar" la nube. Pero, de todas formas, me gustaría dejar una pregunta en el aire: ¿Esa consultoría 2.0 tiene tanto romanticismo implícito que es incompatible con el concepto de empresa?

Un día duro

De repente, me he visto aquí, en un aeropuerto, esperando durante 2 horas a un avión y he pensado: "Caray que vida llevas, compañero. ¿Por qué no lo cuentas en tu blog?" Así que, en esas estamos. La verdad que esta posición de Director de un departamento, conlleva ciertos "inconvenientes". Al final, hay 16 personas que dependen de tí y de que haya actividad suficiente para seguir adelante día tras día y, para eso, acabas asumiendo funciones que no son tuyas y convirtiéndote en una especie de hombre-orquesta.

Así, hoy el día ha empezado a las 5:00 AM cuando ha sonado el despertador (3 veces porque a la primera, no me levanto ni con grúa y, menos a esas horas). Desayunas, te duchas, te pones el traje y ¡venga!... al aeropuerto. 35 minutos por esa maravillosa M40 (así que ya sabéis que vivo en Madrid), eso sí, a 110 km/hora para que no te pille ningún radar, y ya estamos en la T2 de Barajas.

Después de la espera de rigor para embarcar (aunque estaba previsto a las 6:50 AM, acabamos embarcando a las 7:10), a las 7:30 salimos para San Sebastián y, claro, aunque teníamos que llegar a las 8:05, llegamos a las 8:20... cosas de los vuelos. Menos mal que viajamos en un maravilloso, cómodo y moderno MD87. Una vez que aterrizas, pues 45 minutos de coche hasta Aretxabaleta (menos mal que las vistas son espléndidas porque las carreteras...) donde asisto a un seminario sobre Cadena Crítica (si queréis saber más sobre esto, aunque acabaré hablando de ello, os recomiendo la página de Mario que es quién me ha descubierto el mundo de TOC) que organiza la Universidad de Mondragón.

Luego, de vuelta a Donostia, donde recojo a otro compañero y pongo rumbo a Iruña / Pamplona a una reunión con cliente... para hablar de una oferta, de esas que, como dice Julen, ya solo la oferta tenía que costarle dinero. Y ya está; acabas la reunión con el cliente, todo va bien, le gusta y te vas al aeropuerto a esperar tu vuelo y cruzar los dedos para que no se retrase (por cualquier causa, da igual). Encima, todo ha ido bien, has acabado pronto, pero no lo suficiente para adelantar tu vuelo y te encuentras "vendido" durante 2 horas en el aeropuerto. Menos mal que tengo un blog y puede escribir este post... que si no...

Para colmo de mis males, hablo con mi pareja (y futura mujer) y... las celosias del jardín se han caído y yo en Pamplona y no llego hasta las 09:00 PM (si no hay retrasos)..., eso sí, al terminal T4, por lo que cuando llegue, tendré que coger el bus para que me lleve al parking del T2 (vamos, otros 15 minutitos de traslado, como hoy te has movido poco, companyero...)

La verdad es que ha sido un día duro (y lo peor es que hay varios de estos todas las semanas), creo que tengo que hacer algo porque no es un planteamiento a largo plazo seguir así...

Seguro que vuelvo sobre el tema...

Si no vas, no has ido

Acabo de leer "Ir o no ir", el libro de Paco Muro, Consejero Delegado de Otto Walter y me he dicho: "Chaval, ya llevas demasiado tiempo queriendo escribir y no lo haces por temor a no estar a la altura, así que, mejor si te pones a ello y así comprobamos todos si merece la pena o no".

Y dicho y hecho. Aquí me encuentro, en una esquinita del aeropuerto de Noain (Pamplona para los que no lo ubiquen) escribiendo mi primer post en serio.

Lo primero que tengo que decir es que llevo bastante tiempo enganchado a esto de los blogs, (tampoco mucho, la verdad) y he descubierto un mundo alucinante: Sobre todo, un mundo de auténticos apasionados de lo que hacen, cualidad que envidio y con la que me siento totalmente identificado. Precisamente este hecho, el leer con asiduidad a Mario y a Julen, han hecho que haya dudado tanto, tantísimo, en iniciar esta actividad como "bloggero": Había que estar al nivel y eso no es fácil, pero bueno, vamos a intentar aportar mi punto de vista a este universo paralelo.

Porque, como dice el libro de Paco Muro, "si no vas, no has ido" y eso es lo peor que te puede pasar.