31 enero 2010

La privacidad y la comunicación de incidentes

Antes de que se pasen los ecos del 4º día de la Privacidad de Datos me gustaría comentar las declaraciones de la Comisionada de la Unión Europea, Viviane Reding, aprovechando las celebraciones de este día.

Para empezar, lo que desde la UE se consideran actualmente los principales retos para la privacidad:
  1. La publicidad basada en nuestros patrones de comportamiento
  2. Las redes sociales
  3. La denominada "location privacy"
Pero lo que me ha parecido más interesante es que ha anunciado que va a proponer una modificación, tanto de la Directiva de Protección de Datos, como de las reglas específicas para la privacidad de las comunicaciones electrónicas para adaptarlas a las nuevas tecnologías en línea con las actuaciones de la Comisión durante 2009:
  • Recomendación sobre las smart tags utilizadas en RFID.
  • Acuerdo con las redes sociales para mejorar la protección de menores.
  • Acciones contra la publicidad basada en el comportamiento en el Reino Unido.
  • Y, sobre todo, la introducción en la Reforma de las Telecomunicaciones de la UE de la obligación de los proveedores de servicios de comunicaciones de informar a las autoridades cuando una brecha de seguridad provoca una pérdida o una mala utilización de datos personales.
Quizás esta obligación de informar sea la forma de que, de una vez por todas, tengamos datos relativos a los incidentes de seguridad que se producen y su impacto en las organizaciones. No por "hacer leña del árbol caído" sino porque sería la manera de que se puedan tomar decisiones relacionadas con la seguridad con mejor información de lo que lo hacemos hoy en día cuando, como mucho, contamos con los datos históricos de nuestra organización [al margen del propio efecto de control que ejerce esta obligación puesto que nadie quiere comunicar este tipo de sucesos dado el efecto potencial sobre el negocio y la confianza de los clientes / usuarios].

Medidas de este tipo están siendo facilitadas por iniciativas como el Nuevo Acuerdo de Capital de Basilea y su método de cálculo del riesgo operacional que fomenta la creación de un data mart de riesgos con información sobre los incidentes acaecidos y su efecto sobre el negocio como base para el cálculo del riesgo.

Ya sabemos por Nassim Nicholas Taleb y sus cisnes negros que no podremos basarnos únicamente en el pasado puesto que no nos sirve para predecir el futuro (recordar la anécdota del pavo) pero, sobre todo, si podemos establecer un data mart de riesgos común (para tener información de todas las organizaciones, no solo de la nuestra) podremos mejorar en la toma de decisiones.

Vía | Europe's Information Society Thematic Portal
Technorati Tags | privacidad

30 enero 2010

3er aniversario del ISMS Forum

Hoy, día 30 de enero, hace 3 años que nació el ISMS Forum, así que solo quería aprovechar para felicitar a la Asociación y a tod@s los que han hecho posible que haya alcanzado los niveles que ostenta en la actualidad, así como logros como el DPI o las seis Jornadas Internacionales organizadas hasta el momento.

Es especial, gracias a Cristina, Germaine, Angelina y Joris... Y a los que de una forma u otra han ayudado o ayudan a la Asociación.

¡Enhorabuena y que sea por muchos años!

Technorati Tags | ISMS

29 enero 2010

Security Co-sourcing vs Security Outsourcing

Dentro de las predicciones que se publican a principios de año, me gustaría comentar la de Forrester, Twelve Recommendations For Your 2010 Information Security Strategy (firmada por Khalid Kark, al que algunos tuvimos oportunidad de conocer en una pasada Jornada Internacional del ISMS Forum) porque, como ha sido destacado por darkreading, ha puesto énfasis en el concepto de co-sourcing respecto al tradicional enfoque de outsourcing de seguridad.

Algunas opiniones interesantes (traducidas) recogidas en el informe de Forrester:

Algunas compañías emplean proveedores de outsourcing para lavarse las manos del cumplimiento normativo o transferir un entorno desordenado con la esperanza de que dicho proveedor sea capaz de arreglarlo. Estas son, obviamente, razones equivocadas para el outsourcing.

Primero, incluso si se subcontrata la seguridad, [la organización] sigue siendo responsable de la protección de los datos. Segundo si tienes un entorno desordenado, el subcontratista no tiene ningún incentivo para arreglarlo - y la pesadilla de gestionar ese entorno será peor si hay un tercero involucrado.

Los departamentos de seguridad deberían considerar la noción de "socio de negocio de riesgo". Muchas compañías todavía creen que es demasiado arriesgado subcontratar la seguridad, aunque existan cientos de proveedores trabajando para ellos, ocasionando riesgos muy similares.

He querido compartirlo con vosotros principalmente porque, por lo que he podido experimentar en estos últimos años que me he visto más involucrado con temas de outsourcing de seguridad, creo que refleja muy bien muchas de las situaciones que hemos vivido. Y es que, el que subcontrata no puede desentenderse, sería ideal, pero la realidad nos ha demostrado que no es factible, que se necesita un trabajo conjunto para poder llevar adelante la subcontratación y para aprovechar toda la potencialidad que este tipo de servicios pueden ofrecer.

Desde luego, hace falta mucha cooperación entre ambas partes para que el proyecto de subcontratación, de outsourcing tenga éxito. Y eso es bueno para ambas partes.


Vía | darkreading
Technorati Tags | outsourcing, cosourcing

28 enero 2010

¿Cómo debe ser una política de seguridad?

Ayer publicaba Optima Infinito un post titulado "Desarrollo Organizacional: El que no la hace, la paga"relativo a cómo deberían ser, a su entender, las políticas y normativas de una organización dada la evolución de la sociedad y sobre todo, porque ahora las personas somos el centro.

Algunas reflexiones interesantes:

El enfoque 1.0 es característico de la empresa tradicional. En él, el empleado es considerado como una persona que, si no se hace algo para evitarlo, actuará únicamente en beneficio propio y contra los intereses de la empresa. Se considera implícitamente que los empleados son inmaduros y egoístas. Hablamos, en resumen, de un enfoque regido por la desconfianza hacia el empleado.

Las políticas generadas desde este enfoque son rígidas y genéricas. Suelen ser resultado de la falta del liderazgo necesario para gestionar las diferencias, por lo que terminan optando por la solución simplista de defender como única prioridad los intereses de la empresa a cualquier precio, cayendo así en un proceso de “criminalización colectiva” por el que una mayoría de empleados resulta injustificadamente perjudicada.

El enfoque 2.0 es el que en mi opinión debería comenzar a imponerse. En él, el empleado pasa a ser considerado una persona madura, responsable y juiciosa que sabe encontrar la forma de compatibilizar sus intereses personales con los de la empresa. Es un enfoque regido por la confianza mutua, el diálogo y la transparencia.

Las políticas generadas desde este nuevo enfoque son flexibles y específicas, demostrando sensibilidad hacia las distintas necesidades, con una clara vocación integradora de intereses y con capacidad y liderazgo para explicar y justificar las diferencias. En lugar de criminalizar colectivamente a los empleados confían en la autocensura y el buen juicio de los mismos, a la vez que fomentan que se monitoricen las desviaciones y se actúe enérgicamente sobre ellas.


Como habréis visto, una reflexión muy interesante a mi juicio y que no debemos dejar pasar los profesionales de la seguridad de la información puesto que sabemos que el Cuerpo Normativo es una de las principales herramientas con las que contamos para definir el nivel de seguridad deseado por la organización.

Al menos en mi experiencia, la mayoría de las normativas que he desarrollado han sido totalmente del estilo 1.0 y la verdad es que, pocas veces, han sido muy user friendly que digamos. Quizás muchas de las reticencias de los usuarios se deban a este hecho, a que no eran muy 2.0.

¿Deberíamos cambiar nuestro estilo en la elaboración de los cuerpos normativos de seguridad? ¿Están los usuarios preparados para este tipo de normativas 2.0? Supongo que también dependerá del estilo de dirección de la organización, claro está...

Yo me inclino más por dar el paso e intentarlo con el modelo 2.0... ¿Y vosotr@s?



Vía | Optima Infinito
En Carpe Diem | Adagreed: Un ejemplo de poner los usuarios en el centro

27 enero 2010

Ferran Adriá y El Bulli como modelo de negocio

Ayer tuve ración doble de Ferrán Adriá y no fue porque estuviera cenando en El Bulli (ya sabéis que no abre en invierno) sino porque nos llegó la noticia de que va a cerrar durante 2 años (2012 y 2013) para volver en 2014 con un nuevo formato y, además, también tuvimos la oportunidad de ver la entrevista que le hizo Pablo Motos en El Hormiguero (Cuatro).

He de reconocer que desde hace tiempo el modelo de negocio que propone Ferrán basado en "priorizar la investigación por encima de la producción" me interesa y me gustaría intentarlo en aquello a lo que me dedico, la consultoría de seguridad.

Entiendo que no es fácil, pero hay elementos que me atraen (además de que también iba para economista como el que suscribe):
  • Que la innovación sea verdaderamente el driver del negocio. Por una parte, todo el mundo sabe que con el restaurante no se gana dinero ya que se convierte más en un centro de experimentación o en una forma de enseñar lo que se ha innovado (de hecho, la "vanguardia radical" no es, en principio, para muchos). Y por otra, se trata de un modelo de negocio que no puede crecer fácilmente puesto que, al crecer, lo normal es que la calidad no se pueda mantener... (para eso hay otros modelos de negocio, basados en el volumen, franquicias, etc.)
  • Que no busca solo ser buen cocinero, como dijo durante la entrevista, hay millones de personas que cocinan muy bien, lo que él hace va un poco más allá, es la experimentación, la novedad, el disfrute de la experiencia, la sorpresa...
  • Que se trata de un trabajo en equipo. Evidentemente, nadie en su sano juicio puede pensar que todo es obra de Ferran (aunque está claro que es la cabeza visible).
  • Que no es fácil de copiar. Al propio equipo de Ferran les ha llevado más de 20 años llegar hasta donde están, así que otros que quieran llegar tienen un largo recorrido por delante.
  • Que es un modelo que permite el crecimiento. La innovación puede traducirse en nuevos instrumentos, nuevas recetas, etc. que permite su venta y explotación por terceros a través de la venta de derechos de uso o de innovación.
  • La enseñanza, la educación también tiene un peso importante, tanto para difundir los logros alcanzados como para captar nuevos talentos.
Quizás, cuando hablamos de consultoría artesana, ¿deberíamos mirar al modelo de El Bulli?

Vía | Cinco Días, Cuatro
Technorati Tags: Adriá, Bulli, innovación, management

26 enero 2010

¿Estamos preparados para un ciberataque?

Mucho se ha escrito estos días (y más que se escribirá, ahora que parece que se ha abierto la veda y el enfrentamiento China - Google - Estados Unidos es abierto y evidente) sobre la existencia de ciberataques contra objetivos tanto empresariales como institucionales (comentado previamente aquí, aquí y aquí) y el grado de preparación de dichos objetivos para responder a dichos ataques o, al menos, aguantar los "envites" y poder seguir prestando el servicio previsto. Por eso me ha parecido interesante la iniciativa del FS-ISAC (Financial Services - Information Analysis and Sharing Center) de realizar una prueba "global" para evaluar cómo resistirían a un ciberataque (en definitiva van a evaluar sus procedimientos de comunicación, notificación y respuesta a emergencias de diferentes tipos durante los 3 días que durará el ejercicio).

El FS-ISAC es una organización especializada en el sector financiero, creada en Estados Unidos en 1998 cuyo objetivo es el de actuar como vehículo de intercambio de información entre los sectores privado y público sobre amenazas y vulnerabilidades "lógicas" y físicas para ayudar a proteger a sus infraestructuras críticas.

Algunas reflexiones al respecto:
  1. Probarlo es la única forma de comprobar que funciona. Para los más enfocados en auditoría, seguro que os suena aquello de recomendar las pruebas del Plan de Contingencias, pero también para los más orientados a buenas prácticas, como la BS 25999, seguro que también os suena las pruebas del plan. Al final, hasta que no lo pruebas, no sabes si funciona.
  2. Las interrelaciones entre organizaciones van a quedar expuestas mediante el ejercicio coordinado. Una de las implicaciones más importantes cuando se analiza el impacto sobre las infraestructuras críticas es precisamente este efecto de unas sobre otras que pueden provocar efectos de "bola de nieve". Pues bien, me parece una manera muy adecuada de estudiar esta problemática.
  3. La coordinación entre las organizaciones participantes va a mejorar. Lógicamente, dado que van a trabajar juntas en este simulacro, van a conocerse mejor, van a detectar problemas de comunicación / coordinación y van a estar mejor preparados para un ciberataque.
En definitiva, una muy buena iniciativa a copiar y a seguir...

Vía | SANS News Bites, darkREADING, InformationWeek
Technorati Tags: cyberattack

Las multas como mecanismo de seguridad

Interesante reflexión en "El Blog Salmón" sobre las multas:
Las multas deben hacer daño
Por otra parte, aunque muchos piensan que la razón por multar es aumentar la recaudación, y por qué no, al final son multados por infringir la ley, el objetivo principal real de toda multa es que tiene un efecto disuasorio para que no se repitan las infracciones. Esto no tiene efecto si el monto de la multa no tiene en cuenta la capacidad de pagar.
Me ha hecho recapacitar sobre el efecto que han tenido las sanciones de la LOPD en la cultura empresarial española. Y es que, como he comentado en varias ocasiones, hay que dar las gracias a esta ley porque si no fuera por ella pocos, muy pocos, habrían establecido medidas para proteger nuestra privacidad. Y no porque les hubiera convencido, sino por las sanciones que ha impuesto la AEPD: no entro a valorar su justicia o injusticia, me importa más el hecho de que dichas sanciones han hecho plantearse a más de uno, el coste de la inseguridad.

La posibilidad de la sanción ha modificado la ecuación en su análisis de riesgos y ha hecho que la externalidad lo sea un poco menos.

Technorati Tags: privacidad, security economics

25 enero 2010

Bill Dettmer está otra vez por Europa

Esta semana recibí un correo de los organizadores del seminario en el que me formé como Jonah con Bill Dettmer para informarme de que este año vuelven a repetirlo en Linz (Austria) el próximo mes de abril (del 21 al 27).

Ni que decir tiene que mereció la pena (aunque después de las clases cuasi-particulares de Mario tenía ya mucho adelantado) y que para los que os interese TOC y los procesos de razonamiento es un "plan" que debéis, al menos, plantearos [He de reconocer que Austria fue para mi un descubrimiento, en muchos sentidos: estilo de vida, clima, profesionalidad... Tanto es así que me he planteado volver con tranquilidad para conocerla mejor]

Si estáis interesados y queréis más información, no dudéis en dejarme un comentario o en poneros en contacto conmigo.

Technorati Tags: TOC

24 enero 2010

Nos vemos en Rooted CON

Espero que los organizadores del evento no se enfaden mucho conmigo por haber tardo tanto en escribir este post, en especial, Paco que fue el reclutador... :-)

Y es que, efectivamente, tengo el placer de participar en esta 1ª Edición de la Rooted CON [y digo primera porque espero que haya muchas más...] que se celebra entre el 18 y el 20 de marzo en el Auditorio del Centro de Convenciones Mapfre en Madrid.

Además, una Asociación a la que tengo mucho cariño, el ISMS Forum también es colaboradora, así que miel sobre hojuelas...

Y os decía que es un placer porque es la primera ocasión en la que me han pedido que abra una jornada, en concreto la dedicada a la perspectiva empresarial de la seguridad. Todo un orgullo, sobre todo, viendo el nivel del resto de ponentes que participarán en el congreso... os recomiendo que le echéis un vistazo, no tiene desperdicio.

Pero, sobre todo, lo que os recomiendo es que os REGISTRÉIS... ¡¡Nos vemos allí!!

Technorati Tags: RootedCON

CRISC - Nueva certificación de ISACA

Hace tan solo unos días, la ISACA anunció la que será su cuarta certificación de profesionales después del CISA, CISM y CGEIT: Certified in Risk and Information System Control (CRISC) y que ya nos había adelantado Gobernanza de TI en primicia (con su toque de marketing incluido, ya que nos indican que se pronuncia "see-risk", "si-risk" en castellano)

Respondiendo a alguna de las preguntas de Miguel en su post, efectivamente, creo que sí existía una necesidad sin cubrir en el mercado como así lo demuestra el hecho de que desde el ISMS Forum Spain iniciáramos el año pasado un Curso de Analista de Riesgos que tuvo, la verdad, bastante éxito [no sé que pasará ahora considerando que tendremos que "competir" con la todopoderosa ISACA y sus 100.000 asociados en todo el mundo].

No obstante, una vez dicho esto, creo que ISACA está llegando al límite en el asunto de las certificaciones y es que cuatro, son muchas certificaciones a mantener por los profesionales... la verdad. Es evidente que para ISACA puede ser una fuente de ingresos, pero me parece que está llegando a un punto en que es económicamente poco viable mantenerlas y será necesario seleccionar... No sé que opináis vosotros, a mi, al menos, así me lo parece (yo, de momento, la de CGEIT tendrá que esperar...)

Technorati Tags: ISACA, Análisis de Riesgos, CRISC

09 enero 2010

Demostrando el valor de las prácticas de gobierno TI CobiT y Val IT

Siguiendo con la costumbre de comentar los artículos (aquí y aquí) que me parecen más interesantes del ISACA Journal volvemos con otro estudio estadístico desde la Universidad de Antwerp realizado por Steven De Haes, Ph. D., Wim Van Grembergen, Ph. D. y Hilde Van Brempt.

En esta ocasión el estudio ha versado, como su propio nombre indica, en demostrar el valor que CobiT y Val IT tienen como prácticas de buen gobierno de Tecnologías de la Información. Para ello, han entrevistado a directivos de TI y de negocio de 538 empresas de todo el mundo en relación al grado de implantación de los 56 procesos de buen gobierno recogidos en dichos marcos de referencia.

Al margen de las propias conclusiones del informe que aparecen en el artículo, quisiera descatcar algunos elementos que han llamado mi atención:
  1. Las organizaciones están todavía enfocadas en la 'factoría de TI' - El mayor grado de implantación de los procesos del CobiT de Entrega y Soporte y Adquirir e Implementar indica que la mayoría de las empresas están todavía implicadas principalmente en la organización y la mejora de los procesos 'básicos' de TI. Por el contrario, los procesos menos implantados son los de PO2 - Definir la arquitectura de información y PO8 - Gestionar la calidad.
  2. El perfil de empresa con un mayor nivel de implantación de los procesos del CobiT es una empresa europea, con 5000 empleados o más y del sector financiero-seguros. En sentido contrario, el perfil con menor implantación sería una empresa de menos de 500 empleados y de los sectores gubernamental, utilities o sanitario.
    En general, el grado de implantación de los procesos es mayor cuanto mayor es la madurez de la organización.
  3. El objetivo que recibe, de lejos, la mayor puntuación en cuanto a grado de cumplimiento es el de "proporcionar cumplimiento con leyes externas, regulaciones y contratos".
  4. Parece que el mayor driver para alcanzar un objetivo es su obligatoriedad. Y es que, aunque nos quejemos, el objetivo considerado más importante ("alinear la estrategia de TI con la estrategia de negocio) figura como el séptimo en nivel de consecución, mientras que el objetivo de "proporcionar cumplimiento con leyes externas..." es considerado el quinto importancia, sin embargo es el conseguido en mayor grado [sobran los comentarios].
Para las conclusiones del estudio os remito al propio artículo... merecen la pena... aunque me temo que solo los miembros de ISACA podréis acceder a el... I'm sorry, but that's life!

Technorati Tags: ISACA, IT Governance, CobiT, Val IT

05 enero 2010

Lectura: "Por qué somos como somos"

Siguiendo con la tradición de comentar los libros que voy leyendo, hoy le toca el turno a esta obra de Eduardo Punset, ya sabéis, el Director y presentador del programa Redes de tve. Es el primer libro que leo suyo y me ha gustado su estilo: claro, sencillo y directo... muy divulgativo, tanto, que me he suscrito a su blog.

Ya os había comentado antes algún fragmento que me había llamado la atención, pero no ha sido el único, ha habido otros que también me han gustado:
"Knight [Chris Knight, catedrático de Antropología en la University of East London] sabe que las palabras no sirven para nada. Las palabras, el lenguaje no sirven para que las personas sientan una buena predisposición para el diálogo. Para ganar la confianza de alguien se requiere algo más poderoso que las palabras. No es verdad que hablando la gente se entiende. Hablando la gente se confunde."

"Esta revolución sexual [la mujer evolucionó para poder practicar sexo en cualquier momento de su ciclo hormonal] llevada a cabo por las hembras en los albores de nuestra evolución como especie estaría en la raíz del nacimiento del conjunto de leyes que dieron seguridad al grupo, rebajaron el estrés y la desconfianza e hicieron posible la aparición del lenguaje"

"Un amigo mío, corresponsal extranjero, llegó un día a su hotel de Nueva York y sacó de la maleta su maquinilla de afeitar. Fue al cuarto de baño y cuando enchufó el aparato se le fundió. Salió a la habitación y comprobó que tampoco había luz allí. Cuando miró por la ventana vio que toda Nueva York estaba a oscuras, era el blackout, el famoso apagón de Nueva York de agosto de 2003, y mi amigo dijo: "Pero, ¿qué he hecho?"

Además, ha servido para que añada a mi WhisList la obra "La inteligencia emocional. Por qué es más importante que el cociente intelectual" de Daniel Goleman, ya sabéis: autocontrol, gestión de las emociones, motivación, empatía y percepción social.

Tags Technorati: Punset, lecturas

01 enero 2010

¡Feliz 2010!

Dicen que "es de bien nacidos ser agradecidos" así que quisiera desear a todos los lectores de este blog (ocasionales o asiduos) un feliz y próspero 2010.

Y como es el momento de pedir deseos (aunque algunos no quieran pedir nada) para el nuevo año...
  • Para los que [como yo] estéis en el lado de la oferta de servicios solo desear que gane el mejor y mucho fair play.
  • Para los que estéis en el otro lado, en el de la demanda, como dice la oración, "serenidad para aceptar las cosas que no puedo cambiar, el valor para cambiar aquellas que puedo y la sabiduría para conocer la diferencia" y, por supuesto, que los proveedores que os ayuden en el camino cumplan vuestras expectativas.
Y, en general, para todos los que nos dedicamos a esto, que la seguridad de la información [la gestión del riesgo tecnológico] salga reforzada de este contexto de crisis mundial que estamos pasando.

Y, como parece que 2010 va a ser el año de la recuperación, seguro que va a ser un año "movidito" y apasionante... suerte para todos los movimientos que se avecinan...

Tags Technorati: