27 junio 2009

100 caminos al éxito #2: Evidencia la aportación de la seguridad al negocio

Una vez que hemos entendido cuál es nuestro rol en la organización, nos toca el siguiente ejercicio: Entender y hacer evidente cuál es la aportación de la seguridad al negocio.

Bajo mi punto de vista, esta es una de las principales causas de que luego surjan múltiples dificultades en la realización de iniciativas promovidas por el área de seguridad: el negocio no las entiende, no comprende qué les aportan esas iniciativas y cuesta mucho que las apoyen. Por eso, comentábamos hace bastante tiempo la paradoja que se producía en los Planes Directores de Seguridad cuando después de finalizarlos nos encontrábamos en la situación de tener que defender la ejecución de cada uno de los proyectos resultantes de dicho plan.

Para mi, hasta este momento, la mejor forma de demostrar esta aportación, esta relación con el negocio ha sido mediante el Árbol de Objetivos Intermedios proporcionado por la Teoría de las Limitaciones de Goldratt (que ya sabéis que es mi herramienta favorita) aunque otros prefieren métodos más clásicos como el Balanced Scorecard de Kaplan y Norton.

El Árbol de Objetivos Intermedios permite representar gráficamente la estrategia de la compañía y podemos aprovechar su potencia para demostrar al resto de la organización, donde la seguridad "engancha" con el negocio. De esta forma, podremos identificar las 4 ó 5 líneas estratégicas en las que enfocará su desempeño la función de seguridad, del mismo modo que lo hace "Negocio". Aunque parece simple, no lo es y cuando se consigue es realmente potente.

¿Qué opináis vosotr@s?

24 junio 2009

Lectura: "Patrolling Cyberspace"

Tenía pendiente, desde que nos lo regalaron en la IV Jornada Internacional del ISMS Forum, la lectura del libro del que fue uno de los ponentes invitados, Howard A. Schmidt (ex-Asesor de la Casa Blanca en materia de ciberseguridad y otras muchas cosas..)

Se lee bastante bien y es bastante interesante el repaso que hace de los primeros incidentes en materia de seguridad y del fenómeno "hacker" desde su perspectiva de miembro del FBI.

Por otra parte, aunque es un libro de 2006, contiene reflexiones que siguen siendo de aplicación (de hecho, aún más, después del discurso de Obama sobre la importancia de la ciberseguridad). Os dejo aquí algunas de ellas:
"There were no published reports of the Chinese government taking any actions against the China-loyal hackers... This also marked the appearance of the China Eagle Union as an aggressive hacker group with international targets."

"I fear that some day a cybercatastrophe will occur because the existing disorganization between agencies was so acute that the evidence collected by the various jurisdictions was not share and, therefore, the necessary electronic dots could not be connected. [...] This is especially critical when the target migrates from money to threats on the nation's critical infrastructure."

"Almost 85% of the nation's critical infrastructure is in private hands (se refiere a EE.UU. pero en Europa supongo que será algo similar). [...] While good for consumers seeking lower prices and more choice, it was bad for promoting any type of cooperation and information-sharing [...] in order to develop a comprehensive method to secure the critical infraestructure that is in their care".

"Effective response to any disaster is based on preparation. Our system is based on a free market economy, so we are faced with another potencial source for failure when company profits are not inverted to the degree necessary for optimal security." (esto es lo que hemos hablado otras veces sobre el componente de externalidad implícito en la seguridad)

"We all need to do our part to secure our place in cyberspace"

21 junio 2009

100 caminos al éxito #1: Entiende tu rol

Una de las primeras cosas que debemos hacer, si no lo has hecho incluso antes de incorporarte a tu puesto como responsable de seguridad (a.k.a., CISO) es: Enteder cuál es tu rol en la organización.

Seguro que tu jefe te habrá explicado lo que espera de ti, pero no es todo lo que debes saber, créeme. En todas las organizaciones siempre hay toda un conjunto de relaciones no explícitas que "mandan" casi tanto como las explícitas y, lo que se espera de ti como responsable de seguridad, también tendrás que extraerlo de ese conocimiento implícito. Y la única forma que se me ocurre para hacerlo es estableciendo buenas relaciones con todos los actores de la organización.

Para entender bien tu rol deberías ser capaz de tener respuesta a unas cuantas preguntas:
  • ¿Mi rol ha de ser más operativo o más prescriptor? Es decir, me encargaré de operar los mecanismos de control o crearé las pautas para que sean administradas por otro grupo de la organización.
  • ¿Cómo se orquestará la relación con los administradores de seguridad?
  • ¿Qué tipo de relación se espera que establezca con las áreas de negocio?
  • ¿Se espera de mi que sea el que frene todas las actividades arriesgadas que se produzcan o el que busque mecanismos para minimizar el riesgo de las mismas? Es decir, tengo que ser un héroe o un villano (por eso lo de Anakin).
  • ¿Me tengo que limitar a hacer cumplir con la LOPD (y similares) o puedo establecer objetivos más ambiciosos? Ya sabéis, ISOs y cosas por el estilo...
  • ¿De quién es responsabilidad "eso de la disponibilidad de los sistemas"?
No parecen muchas (tampoco deberían serlo, ¿no?), pero desde luego son básicas para que los pasos que demos a partir de este momento estén bien orientados y no nos generemos más problemas de los necesarios.

¿Cómo lo veis? ¿Me he dejado alguna?

Espero vuestros comentarios y nos "vemos" en la próxima entrega de la serie...

18 junio 2009

"Emulando" a Tom Peters

Evidentemente no soy Tom Peters (ni de lejos), solo leo periódicamente su blog y he pensado que podría estar bien compartir con todos vosotros mis ideas al estilo de sus "100 Ways to Succeed", sobre lo que debería hacer y tener en cuenta (siempre, en mi humilde opinión) un responsable de seguridad (o CISO, como solemos decir cuando queremos utilizar un termino más fashion).

Seguro que muchas de las cosas que diga serán opinables, así que estaré encantado de comentarlas con todos aquellos que os animeis a dejar algún comentario. De hecho, lo ideal sería que pudiéramos aprovechar las experiencias de tod@s para hacer nuestra vida más llevadera y no caer en los mismos errores en los que ya cayeron otr@s en el pasado.

No sé si llegaremos a los 100 posts en esta serie (Tom va ya por el 175, pero ya hemos quedado en que no soy Tom), me conformo si sirve para que alguno de vosotr@s encontráis util alguna de mis ideas.

15 junio 2009

Internet: nuevo medio para viejos actos

Ya lo hemos comentado alguna vez aquí, aquí y aquí pero es que la noticia del chantaje a menores utilizando Internet me lo ha vuelto a recordar:
"We have not found any new crimes as a result of the Internet; criminals are just finding new ways to commit old crimes".
"No hemos encontrado nuevos crímenes como resultado de Internet; solo es que los criminales están encontrando nuevas formas de cometer los viejos crímenes".

Kevin Delli-Colli, Deputy Assitant Director, Financial Investigations, U.S. Department of Homeland Security



11 junio 2009

El CISO es como otro directivo más

Esa es mi conclusión después de la V Jornada Internacional organizada por el ISMS Forum el pasado 28 de mayo: El CISO es como cualquier otro directivo de la compañía. Después de escuchar las intervenciones de Ron Collete, Khalid Kark, Serge Moreno, Raúl Avedillo o Miguel Rego y de la mesa redonda que tuve oportunidad de moderar con el propio Ron, Nils Puhlmann y Justin Somaini esa es la gran conclusión...

Al fin y al cabo, el CISO tiene un rol directivo en la Organización y su perfil será el de un gestor típico de la organización a la que pertenece (la cultura empresarial evidentemente tiene un peso decisivo en el tipo de CISO adecuado para la organización).

Llevamos demasiado tiempo dándole vueltas a cómo debe ser un CISO y no nos hemos dado cuenta de que un CISO no es nada más (y nada menos) que un directivo...

¿Quién nos lo iba a decir, verdad?.


10 junio 2009

Solana y el ciberespionaje

Ayer tuve la oportunidad de asistir a la Conferencia que Javier Solana ofreció en el marco de la Fundación ESYS - Fundación de Empresa, Seguridad y Sociedad. La verdad es que nunca imaginé que se pudiera generar el revuelo a raíz de una pregunta, en principio inofensiva de mi buen amigo, Alfonso Bilbao, sobre la ciberseguridad... y es que el propio, Javer Solana reconoció haber sido espiado durante un largo período por una potencia extraeuropea gracias a algún tipo de software instalado en su ordenador, ¡casi nada!

Lo cierto es que fue una intervención muy interesante, como no podía ser menos viniendo de una persona que en los últimos años ha tenido la oportunidad de intervenir en negociaciones y conversaciones al más alto nivel en todo el mundo.

En su exposición hizo un breve repaso de la situación actual y de los riesgos a los que Europa y los europeos tendremos que hacer frente en el corto plazo según el Alto Representante para la Política Exterior y de Seguridad Común de la UE. Además de exponer claramente que afrontamos riesgos globales con medios y regulaciones locales, Javier Solana enumeró los que, en su opinión, son los principales riesgos para los próximos 15 - 20 años:
  1. La proliferación de armas nucleares.
  2. La seguridad energética.
  3. El cambio climático.
  4. Los agentes no estatales en Seguridad.
Muy interesante, cierto, pero sobre todo porque, al final, te das cuenta que esto de la seguridad no es tan diferente de otros ámbitos: También afrontamos retos globales con medios locales y, por supuesto, los agentes no estatales son unos de los principales actores en lo que respecta a nuevas formas de fraude y de robos de identidades en Internet.

En fin, una charla muy enriquecedora de alguien que lleva mucho tiempo viviendo Europa en profundidad.