24 febrero 2010

Juego limpio

Aunque yo no voy a estar en la RSA Conference, me sumo al deseo de Will Gragido en Cassandra Security (al que llegué gracias a @lostinsecurity por cierto) pero no solo con carácter temporal, sino con carácter general:
  1. Si no puedes decir algo agradable no digas nada en absoluto.
  2. Incluso cuando sabes que sabes más o tienes más experiencia, no impidas que otros aprendan; es una falta de consideración
  3. Haz más bien que daño
En definitiva, tratarnos con respecto nos ayudará a compartir nuestras ideas y nuestras experiencias de una forma más provechosa para todos...

20 febrero 2010

Los secretos del desarrollo del liderazgo en las mejores compañías

Este es el título del artículo publicado por Norm Smallwood hace unos días en uno de los blogs de la Harvard Business Review. En dicho artículo se resumen los resultados del estudio que realizan cada 2 años, RBL Group y Hewitt sobre aquellas compañías que han demostrado ir más allá en el desarrollo de nuevos líderes como vía para garantizarse el futuro.

Lo que me ha llamado la atención del estudio es que, según los autores, hay 6 elementos que se repiten en esas compañías que mejor han desarrollado el liderazgo de sus empleados:
  1. La gestión del talento se realiza de manera centralizada.
  2. La involucración de la Alta Dirección.
  3. La selección de los mejores talentos y el desarrollo del resto junto con la exposición de esas personas a experiencias que les permitan desarrollarse.
  4. Hacer foco en el desarrollo del liderazgo como un elemento estratégico.
  5. Construir líderes y desarrollar una cultura de integración y oportunidad.
  6. Crear valor para los grupos de interés internos y externos.
Por mi propia experiencia, creo que resumen en muy pocos elementos los factores clave que marcan la capacidad de una organización de desarrollar verdaderos líderes que garanticen la continuidad de dicha organización en las mejores condiciones.

Además, estos elementos se convierten en esenciales cuando nos movemos en un entorno de pequeñas y medianas empresas (y sobre todo si son familiares).


13 febrero 2010

A vueltas con las Políticas de Seguridad y la propiedad intelectual

Gracias a Raúl y @fodor, llegué a esté artículo de Rosabeth Moss Kanter acerca de los problemas de controlar el flujo de información cuando lidiamos con "trabajadores del conocimiento".

Con este artículo me ha pasado eso que pasa algunas veces: Que hay cosas que, no dejando de ser triviales, al verlas escritas negro sobre blanco, tienen un impacto revelador sobre la conciencia. Algunos ejemplos:
  • "No podemos saber lo que saben [los trabajadores]. Solo podemos esperar que elijan compartirlo con nosotros".
  • "¿Qué ocurre si sus pensamientos se convierten en ideas útiles fuera del horario laboral y fuera de las instalaciones sin ningún elemento de la compañía implicado? Por otra parte, si la gente trabaja de manera flexible y remota, ¿cómo pueden establecerse límites?"
  • "Y si damos más derechos a los "trabajadores del conocimiento" - a la vez que los hacemos sentir leales y comprometidos con la compañía - se sentirán más dispuestos a compartir voluntariamente y, además la mejor protección de la compañía es hacer que cuando las ideas se van vuelvan nuevas ideas.
Al margen de otras reflexiones, esta idea enlaza con lo que comentábamos hace unos días sobre cómo debía ser una política de seguridad y es que, por mucho que nos empeñemos en imponer comportamientos y formas de hacer a los miembros de una organización, al final lo único que funciona es que nuestros usuarios quieran comportarse de manera que no dañen a la organización... como dice Rosabeth, hay que hacerlos "sentir leales y comprometidos".

Desde luego esto es algo que trasciende el ámbito del CISO pero a lo que éste deberá contribuir de manera decidida con políticas flexibles, específicas, confiando en la autocensura y el buen juicio de las personas, monitorizando las desviaciones, actuando en caso de desviaciones y, lógicamente con actuaciones de concienciación orientadas a hacer de los empleados los principales valedores de la seguridad de la información en la organización... ¡¡¡¡todo un reto!!!


Vía | Vida de un Consultor - El conocimiento, ¿es de la empresa?
En Carpe Diem | ¿Cómo debe ser una política de seguridad?

09 febrero 2010

Trasparencia: El control de seguridad clave

Si hay un control por excelencia, creo que ese es, la transparencia. Quizás suene un poco raro, pero, a nada que pensemos durante un rato, seguro que sabremos encontrar multitud de situaciones en las que la transparencia juega un papel fundamental.

  • Quizás el más claro ejemplo lo encontremos en la PKI (Public Key Infrastructure) donde los algoritmos son expuestos al escrutinio público para que cualquiera pueda detectar cualquier problema de seguridad en los mismos.
  • El mediático Bruce Schneier lo ha dicho mil veces en relación a los problemas con las máquinas de votar, la solución pasa porque se imprima una boleta en la que el usuario pueda comprobar que su voto había sido bien generado... es decir, transparencia en el proceso.
  • Hace unos días lo comentábamos al hablar sobre la modificación prevista en la Directiva de Telecomunicaciones que iba a obligar a comunicar los incidentes de seguridad: Ya os dije mi opinión en ese momento, comunicar los incidentes [todo un ejercicio de transparencia] hará que mejoren las medidas de protección, estoy seguro.
  • En relación con esto mismo, una buena amiga siempre me dice que toda la problemática que existe sobre la privacidad de los datos de la Historia Clínica Compartida se terminaría si se diera acceso al paciente a la misma y pudiera saber quién ha accedido y que datos ha visualizado... es decir, total transparencia.

Al fin y al cabo, hasta los mercados [ya me sale otra vez la vena economista] funcionan mejor, es decir, las decisiones que toman los agentes que intervienen son óptimas cuando existe información perfecta. Otra vez... transparencia.

Ahora que lo pienso, supongo que por eso no se hacen ejercicios de transparencia en muchas empresas, porque con toda la información se podría controlar más a los gestores y eso no conviene, ¿verdad?

02 febrero 2010

El estado de flujo según Mihaly Csikszentmihalyi

Supongo que muchos de vosotros ya lo habréis visto pero he llegado a esta charla de TED Talk en la que Mihaly Csikszentmihalyi nos explica en menos de 15 minutos lo que es el flujo y cómo afecta a nuestra felicidad y creo que merecía la pena compartirlo.



Explica por qué muchas de las situaciones de frustración, así como de éxtasis que sentimos en determinadas ocasiones...

Technorati Tags | Mihaly Csikszentmihalyi

01 febrero 2010

Informe de riesgos 2010 del Foro Económico Mundial

Hace unos días tuve conocimiento de la publicación del informe del Foro Económico Mundial sobre Riesgos Globales en 2010 (PDF en inglés) y tratándose de un tema de riesgos me dije, bueno, vamos a echarle un vistazo, seguro que es interesante.

Pues bien, la verdad es que sí... que es bastante interesante. Os comento los aspectos que más han llamado mi atención.

1. La forma de presentar los resultados de un análisis de riesgos
Uno de los temas más difíciles [¿hay alguno fácil?] a la hora de realizar un análisis de riesgos es la presentación de los resultados del mismo. Me ha gustado la forma en la que lo han solventado mediante una simple gráfica en la que, en uno de los ejes han colocado la probabilidad de la amenaza y en el otro su impacto (traducido en dólares). Muy sencillo, pero muy visual y muy potente.

2. El reconocimiento de una mayor interconexión entre los riesgos
Mayor interconexión, en dos sentidos. Por un lado, entre ellos, haciendo que su probabilidad e impacto aumenten. Y, por otro, en la necesidad de afrontar de manera coordinada a nivel mundial su tratamiento (lo que el Foro denomina riesgos sistémicos).

Ambos aspectos también los vemos en nuestro día a día en la gestión del riesgo tecnológico:
  1. La interconexión entre los riesgos es un elemento clave cuando tratas con infraestructuras críticas.
  2. La necesidad de una actuación global para actuar contra ellos: Internet elimina las fronteras nacionales.
3. Metodología de análisis de los riesgos seleccionados
El informe utiliza un método denominado 5i para analizar los riesgos que se basa en identificar para, cada riesgo:
  • Insight (comprensión / entendimiento)
  • Información
  • Incentivos
  • Inversión
  • Instituciones

4.También se han considerado riesgos tecnológicos
En concreto, los riesgos que aparecen en el análisis son:
  1. Fallo/avería de infraestructuras críticas de información. Respecto a este riesgo, se apuntan 3 vías para afrontar la problemática que supone la eficiencia de la gestión privada para esta vulnerabilidad pública: La inspección por terceros junto con regulaciones bien impuestas, la construcción de una capacidad de reacción y coordinación global y, por último, la consideración del retorno de la inversión a largo plazo.
  2. Toxicidad de nanopartículas (que significa que los "estudios revelan efectos en la salud por el uso a nanopartículas ampliamente utilizadas - pintura, cosméticos, medicamentos. Impacta primero en la salud público y segundo en la inversión en una serie de nanotecnologías")
  3. Fraude / Pérdida de datos
5. Reflexiones sobre los propios riesgos identificados
Y, finalmente, [perdón por la longitud de esta entrada] en relación a los propios riesgos identificados en el informe me ha llamado la atención que:
  • Uno de los tres riesgos sobre los que el informe dice que hay que mantener bajo vigilancia es la cibervulnerabilidad y los sistemas de información críticos.
  • Los riesgos con mayor probabilidad e impacto son el colapso del precio de los activos, epidemias crónicas, la crisis fiscal, la ralentización de la economía China y el gap de un buen gobierno global.
  • El aumento de regulación es uno de los riesgos más probables aunque de impacto medio.
  • El terrorismo internacional es uno de los riesgos con menor probabilidad e impacto. Esto pone de manifiesto algunos de los problemas que tenemos los humanos a la hora de percibir los riesgos.
  • Por el contrario, el crimen y la corrupción transnacional se situa con una probabilidad y un impacto medio. Más o menos, al mismo nivel que las pandemias.

Vía | El Blog Salmón
En Carpe Diem | ¿Estamos preparados para un ciberataque? Proyecto eCid, ¿es la certificación la única vía? 100 cáminos al éxito #4: El CISO nunca dice "no"
Technorati Tags | análisis de riesgos, Foro Económico Mundial, Global Risk