29 junio 2010

Desarrollando una estrategia de Gestión del Riesgo y de Seguridad de la Información

Este es el título del artículo publicado por John P. Pironti (Presidente de IP Architects LLC) en el volumen 2, 2010 de la ISACA Journal (ya sabéis que hay que ser miembro de ISACA para poder consultarlo). Supongo que algunos de vosotros ya lo habréis leído porque corresponde al número del pasado mes de abril, pero para los que no lo hayáis hecho y os interese la gestión de la seguridad, os recomiendo su lectura. Es un texto, no muy largo, sólo son 8 páginas que se leen rápidamente, pero completo en cuanto al funcionamiento del modelo que nos propone.

Son varias las cosas que me han interesado del artículo pero, yendo por partes, lo primero que me ha hecho reflexionar ha sido la dicotomía que plantea entre las funciones de gestión del riesgo de información y de la seguridad de la información funcional, la primera más consultiva y la segunda, más operativa. He visto esta diferencia de planteamiento en muchas organizaciones y me ha gustado encontrar un "modelo" que recoga esta diferencia de enfoque. Sobre todo, la reflexión de Pironti sobre la circunstancia de que un modelo consultivo enfocado en la gestión del riesgo y alineado con la estrategia de negocio puede ser más recomendable y fácil de implementar que un modelo más técnico y enfocado en el cumplimiento [bueno, como dice muy bien el autor, dependerá de la cultura de la organización].

En segundo lugar, como ya he dicho, el planteamiento exhaustivo que hace, partiendo de la estrategia de la organización y su grado de aversión al riesgo hasta su seguimiento y monitorización pasando por la definición y la implantación de la estrategia. En concreto, Pironti plantea seis fases para el desarrollo de la estrategia:
  1. Concienciación del negocio
  2. Definición de la estrategia
  3. Desarrollo de la estrategia
  4. Métricas y benchmarking
  5. Implantación y operación

Tercero, en relación a la elección de un estándar al que alinearse, estoy de acuerdo en la afirmación de Piroti, "es importante recordar que ningún estándar por sí solo es apropiado para todas las organizaciones, ni ninguna estrategia debería estar basado en una sola opción". Hay ocasiones en las que nos obsesionamos con la implantación de una ISO o COBIT y perdemos un poco la perspectiva o pretendemos ajustar todos los aspectos de nuestra organización, aunque sea con calzador...

Para ir finalizando, dos aspectos que resaltar y que alguna vez se olvidan:
  • La utilización de un comité supervisor como mecanismo que garantice el alineamiento el alineamiento de la función operativa de seguridad con el negocio y como lugar en el que expresar las diferencias respecto a la estrategia planteada.
  • La comunicación debe realizarse mediante el mecanismo más adecuado en cada caso (mezcla de online y presencial) y debe contar con sus propios KPIs.

Y, finalmente, una reflexión que comparto plenamente con el autor: "La verdadera medida del éxito de una estrategia bien desarrollada e implantada la podemos encontrar en las impresiones y acciones de la constituencia a la que sirve. Si utilizan las capacidades de la función durante momentos de toma de decisión claves y consultan con el equipo de forma regular, el éxito ha sido alcanzado."

En fin, un buen artículo que merece la pena analizar. Os lo recomiendo.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

24 junio 2010

Mercado para la asignación de recursos

Como habréis podido comprobar por mi entrada anterior, hace unos días que he terminado de leer 'Wikinomics'. Pues bien, casi al final del libro me pasó una anécdota curiosa: hay un apartado dedicado a la asignación de recursos que me hizo recordar una afirmación de un profesor de matemáticas de la carrera que nos dijo que "si se nos ocurría alguna forma novedosa de resolver un problema, debíamos desconfiar... era probable que se le hubiera ocurrido a alguien antes".

El motivo de este dejà vu es una reflexión de hace algún tiempo con Mario en la que le preguntaba sobre la forma de aplicar la Teoría de las Limitaciones y más en concreto, la contabilidad basada en el throughput (el throughput accounting) a la toma de decisiones para llevar a cabo o no un proyecto de consultoría en función de su rentabilidad.

Para los que no estéis familiarizados con esta teoría deciros simplemente que, para calcular el throughput o tasa a la que el sistema genera dinero a través de las ventas, solo se tienen en cuenta los costes totalmente variables (el throughput son los ingresos menos dichos costes totalmente variables) y que, para los casos en los que la limitación es interna (como en el caso que nos ocupa donde tenemos bastantes proyectos y tenemos que elegir por cuál empezar), debemos elegir la opción que maximice el throughput por unidad de tiempo del recurso limitante (o sea, de los consultores).

Suponiendo que en dicho proyecto de consultoría nos encontramos con  gastos de personal (los consultores están en nómina), gastos de desplazamiento y otros gastos indirectos imputados conforme algún criterio objetivo,  de todos ellos, solo consideraríamos  como  gastos totalmente variables de un proyecto aquellos originados por realizar el proyecto, es decir, los de desplazamiento porque los de personal y los asignados de manera indirecta seguirán existiendo con independencia del proyecto. Por tanto, el throughput sería el ingreso generado por el proyecto menos los costes de desplazamiento y, si aplicamos el criterio mencionado anteriormente, deberíamos elegir el proyecto que maximizara dicho throughput, o lo que es lo mismo, el que suponga un mayor precio/hora porque los costes totalmente variables serían prácticamente cero.

Y toda esta parrafada ha sido porque se me había ocurrido que se podría crear un mercado interno en el que, a modo de subasta, se asignaran los recursos a aquel proyecto que, en cada momento, maximizara dicha condición, es decir, el precio/hora del consultor o consultora. Y esto es, justamente, lo que me encontré en 'Wikinomics' en relación a la producción y la asignación de recursos:

"[...] los recursos son mercancías que se pueden comprar y vender, así que ¿por qué no asignarlos desde un enfoque mercantil que garantice que van allí donde más se valoren? Con ello, se eliminan del proceso grandes dosis de "cuestiones políticas" internas y se establece una dinámica en la que los equipos compran y venden acceso a los recursos en función de sus valoraciones independiente sobre lo mucho o poco que los necesitan"

Es decir, como me dijo mi profesor de matemáticas (al que por cierto, no creí): "si se nos ocurría alguna forma novedosa de resolver un problema, debíamos desconfiar... era probable que se le hubiera ocurrido a alguien antes".

Más información | Nodos en la red: Toma de decisiones gerenciales con Throughput Accounting

... ¿Todavía no me sigues en twitter.com/antonio_ramosga


21 junio 2010

Lectura: "Wikinomics. La nueva economía de las multitudes inteligentes"

No es una obra novedosa que digamos (Don Tapscott y Anthony D. Williams la escribieron en... ¡2006!), así que era una especie de deuda que tenía, lo reconozco.

Básicamente se trata de una obra que trata de explicar cómo Internet y los mecanismos de colaboración que incorpora están cambiando y van a cambiar en el futuro aún más los modelos económicos y de relación entre usuarios, empresas y  también  con la administración pública. Como ellos mismos dicen: "En apenas unos pocos años, la colaboración tradicional ha sido desbancada por nuevas colaboraciones de proporciones gigantescas".

Recomiendo su lectura (y la del blog que crearon los autores) a todos aquellos que estéis interesados en Internet y cómo está cambiando nuestras vidas. En concreto, los autores identifican 4 principios que rigen el nuevo modelo: Apertura, interacción entre iguales, compartir y actuación global.

Y ahora, como siempre, unas cuantas citas:

"Igual que ha ocurrido con todas las revoluciones económicas anteriores, las exigencias que recaerán en los particulares, las organizaciones y las naciones serán considerables y, en ocasiones, traumáticas, ya que los sectores y modos de vida antiguos están dando paso a procesos, tecnologías y modelos de negocio nuevos."
"... un mundo más pequeño, abierto e interdependiente posee el potencial de ser dinámico y activo, pero también resulta más vulnerable a las redes de delincuentes y terroristas."
"... la actividad colaboradora [...] amenaza con desplazar intereses arraigados que han prosperado bajo la protección de distintas barreras a la entrada..."
"El colectivismo implica coerción y control centralizado; la acción colectiva implica autoselección elegida con libertad y coordinación distribuida".
"... la verdadera ventaja de la contratación global de servicios no es el ahorro en costes, sino las infinitas posibilidades de crecimiento, innovación y diversidad".
"[La producción entre iguales] se fundamenta en principios meritocráticos de organización; esto es, los miembros más cualificados y con más experiencia asumen el liderazgo..."
"La capacidad de la humanidad para generar nuevas ideas y conocimientos es la fuente del arte, la ciencia, la innovación y el desarrollo económico."
"Colaboración, publicación, revisión por iguales e intercambio de información precompetitiva se están erigiendo en claves de éxito en la actual economía basada en el conocimiento."
"El éxito, pues, genera complacencia."
"Cuando los empleados viven en una estructura jerárquica, hay mucho miedo. [...] Y, debido a todo ese temor, la mayoría de las personas no hacen nada. Dejan que la jerarquía se imponga."
"[...] las medidas de tipo regulatorio sólo sirven como medidas de freno provisionales, nunca como fuentes de una ventaja competitiva duradera para quienes las impulsan."
"La apertura [...] hace aflorar el valor real y obliga a todas las empresas a competir sobre un terreno de juego igualado."
"... la colaboración y la apertura son más un arte que una ciencia."

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

16 junio 2010

España puede ganar el Mundial (o por qué el pasado no es el mejor predictor del futuro)

A pesar del clamor popular existente a nivel mundial [o quizás debido a él] de que España es favorita para ganar el Mundial (baste con ver este ejemplo), no paran de salir noticias en los medios de organizaciones (bancos de inversión y similares) de "reconocido prestigio" por haber elaborado sesudos cálculos que dicen lo contrario (el último este que os adjunto de PwC).

Y os preguntaréis, ¿qué les pasa? ¿que ya no saben que hacer para salir en la prensa y conseguir algo de publicidad gratis? [Bueno, eso también puede ser pero...] No, lo que pasa es que, por una parte, están empeñados en utilizar el pasado para predecir el futuro y entonces nos encontramos, por ejemplo, con que las posibilidades de España de ganar este Mundial son menores debido a nuestra pobre actuación en España'82 (¿?)... yo creo que no hace ni falta, pero por si acaso lo voy a decir. ¿No fue quizás un cisne negro que España ganara la pasada Eurocopa? Yo casi que me voy a fiar más de las opiniones de los expertos que de la Econometría... lo siento.

Y en segundo lugar, sobre-estiman las correlaciones estrictamente matemáticas y eso hace que variables que tienen tanto que ver con el fútbol como la riqueza o el PIB de los países se incluyan en el modelo... casi que también les voy a recomendar otra lectura: Freakonomics.

Me parece que me estoy repitiendo mucho estos últimos tiempos pero es que: ¿Qué probabilidad existía de que una nube de cenizas de una erupción volcánica en Islandia paralizara el tráfico europeo y causara pérdidas millonarias?

En definitiva, lo que quiero decir es que hay que discernir muy bien en qué casos tiene sentido aplicar un modelo económetrico y en cuál no. Y en este caso, me parece que estamos en la segunda opción... ¿no os parece también a vosotr@s?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

11 junio 2010

¿Puedo utilizar el cifrado de disco para cumplir con PCI DSS?

Pues como dirían el Council o las marcas en el 90% de los casos: "Depende" :)

El cifrado a nivel de disco se puede utilizar en varios contextos (cifrado de datos históricos o en copias de respaldo, por ejemplo) y en cada caso, el QSA deberá determinar si su utilización permite a la organización cumplir con el objetivo del estándar para dicha situación.

Normalmente, una organización se plantea utilizar el cifrado de disco para dar cumplimiento al requerimiento 3.4 del estándar: "Haga que el PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene..." puesto que es más sencillo de aplicar que el cifrado a nivel de base de datos, de logs o de ficheros planos, en general.

Como norma general, hemos de tener en cuenta lo que el estańdar establece para poder dar este mecanismo como válido:
  1. Utilizar "criptografía sólida". Para los que tengan dudas sobre lo que se entiende por este concepto, la aclaración la tenemos en el Glosario de Términos que maneja el Council.
  2. Como todo mecanismo de cifrado que se utilice debe cumplir con los requerimientos 3.5 y 3.6 del estándar, a saber, protección de las claves criptográficas utilizadas para el cifrado de datos y documentación e implantación de procesos y procedimientos de gestión de claves (generación, distribución, etc.)
  3. Y, si se utiliza en lugar de un cifrado de base de datos, también cumplir con el requerimiento 3.4.1 que establece que "se debe administrar un accesológico independientemente de los mecanismos de control de acceso del sistema operativo nativo [...]. Las claves de descifrado no deben estarvinculadas a cuentas de usuarios ".
Para terminar solo quería incluir una breve reflexión sobre este último aspecto puesto que no es trivial. La excepción que incorpora el requerimiento 3.4.1 hace que los típicos sistemas para sistemas "grandes" (servidores corporativos, mainframes) que realizan el cifrado de forma transparente para el usuario y, normalmente, intercambian las claves de cifrado en el momento que se montan los discos en el sistema, a mi entender, NO podrían considerarse válidos para cumplir el objetivo del estándar.

Ahora bien, sistemas a escala puesto de trabajo que incorporan sistemas de autenticación del usuario independiente sí cumplirían con el requerimiento 3.4.1 aunque les quedaría la tarea mucho más ardua de cumplir con los requisitos 3.5 y 3.6.

No sé lo que opináis vosotr@s pero ya sabéis, para eso están los comentarios :)

Por cierto, nótese el uso de cifrar vs. encriptar...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

08 junio 2010

Gestión de la Seguridad: De la robustez a la capacidad de recuperación

Después de la última entrada sobre la gestión de la seguridad, le he estado dando algunas vueltas más al asunto de cómo deberíamos gestionar entonces la seguridad dado ese gran componente de incertidumbre. Y estando en esas, me llegó una entrada del blog Cognitive Edge (From robustness to resilience) sobre el comportamiento de los vecinos de Gloucester para afrontar las inundaciones recurrentes en la zona.

Básicamente, el razonamiento es que, dado que no se puede hacer nada para evitar las inundaciones, lo mejor es cambiar las infraestructuras para resistir su efecto y poder recuperar la habitabilidad de las casas lo antes posible, es decir, se han centrado en la capacidad de recuperación (hacer que las infraestructuras sean más "elásticas" y recuperen lo antes posible la normalidad).

El caso es que, en relación a la gestión de la seguridad, quizás tendríamos que hacer algo similar y haya llegado el momento de restarle algo de importancia al enfoque de robustez (análisis de riesgos y medidas preventivas) y dársela a lo que podríamos denominar, enfoque de capacidad de recuperación, más orientado a dotarnos de mecanismos que nos permitan continuar funcionando en caso de un incidente (planes de contingencia y continuidad, pero también diseño de infraestructuras que sean más elásticas, que tengan más capacidad de volver a su estado previo).

¿Por qué digo esto? Pues porque según una encuesta de la Harvard Business Review a 1.463 gestores de Supply Chain (cadena de suministros) y áreas de negocio a lo largo de 73 países el reparto de la inversión entre medidas preventivas y reactivas era el siguiente:
  • 54% mayor inversión en medidas preventivas
  • 30% inversión equilibrada entre medidas preventivas y reactivas
  • Y, el 16% restante, mayor inversión en medidas reactivas
En este sentido, si somos clientes de servicios en la nube, nos importará más la capacidad de recuperación del proveedor más que el hecho de que no se vea afectado por ningún ataque, ¿no?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

02 junio 2010

¿Puedo reducir el alcance de PCI-DSS usando tokenización?

Siguiendo con la serie de preguntas relacionadas con el estándar PCI-DSS tenemos ahora esta relativa a la tokenización que está escrita junto con mi amiga Vanesa Gil (una verdadera experta en esta materia, os lo digo yo).

Bueno, pero entrando ya en materia, lo primero a decir es que la solución de tokenización será válida y permitirá reducir el alcance al que afecta PCI-DSS (ya sabéis, sistemas que almacenan, procesan o transmiten datos de tarjetas), siempre y cuando:
  • Los sistemas que solo tengan acceso al token se encuentren segmentados del resto del entorno que trata datos de tarjetas.
  • La solución de tokenización cumpla con la totalidad de requerimientos establecidos en el estándar.
  • Se garantice el cumplimiento de PCI-DSS en relación con los siguientes aspectos:
    • Algoritmo de creación del token.
    • Algoritmo de cifrado del PAN en la tabla/fichero donde se encuentra la asociación entre el PAN y el token. 
    • Módulo para el acceso al PAN. 

En relación al algoritmo de creación del token, es necesario garantizar que no es reversible (es decir, que se trata de un algoritmo único y de sentido unidireccional).

Adicionalmente, es necesario garantizar que la base de datos en la que se almacena la asociación entre el PAN y el token cumple con lo establecido en el estándar PCI-DSS, en especial, los siguientes requerimientos:
  • Req. 2, relacionado con la configuración segura de los sistemas.
  • Reqs. 7 y 8, relativos al control de acceso lógico.
  • Req. 10, sobre la monitorización.

Para finalizar, la solución de tokenización debe además garantizar que:
  • los sistemas que reciben tokens no pueden revelar o dejar ver el PAN en claro.
  • los tokens transmitidos no permiten revelar o dejar ver el PAN en claro.
Esperamos haberos sido de ayuda, pero si aún tenéis más dudas, ya sabéis que para eso están los comentarios.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?