14 julio 2010

Nueva web de ISACA

¿Qué os parece la nueva web de ISACA? Quizás lo primero y principal que haya que decir es que es muy 2.0, ¿verdad? De hecho, creo que es una apuesta clara por la creación de una web participativa, como lo corrobora el hecho de la desaparición de las listas de correo.

Yo he empezado a trastear un poco en ella hace unos pocos días y, de momento:

  • Me he creado mi perfil.
  • He creado mi propio blog dentro de la web de ISACA (podéis consultarlo en este link) donde traslado algunas de las entradas de Carpe Diem.
  • He definido mis áreas de interés.
  • Incluso me he conectado con algún compañero del capítulo de Madrid que también se ha creado un perfil en ISACA.

En definitiva, como comentábamos, muy 2.0, con sus nubes de tags, la posibilidad de compartir documentos y enlaces y un sistema de puntuación para que los propios usuarios señalen a aquellos que más les aportan (tipo menéame)...

Está claro que todos tendremos que pasar por un período de aprendizaje para "encontrar" en la nueva página dónde están las cosas que buscábamos antes (documentos, tests, la revista...) pero, en mi opinión, me parece una apuesta atrevida, moderna y que, desde luego, demuestra que ISACA está dispuesta a dar un paso adelante como punto de encuentro de los profesionales de la seguridad.

Si hubiera que ponerle algún pero, hoy por hoy, serían, por un lado, su extrema lentitud que, en algunos momentos es desesperante y, por otro, los pequeños fallos que se producen en momentos puntuales y que nos enseñan el MS Sharepoint (R) que subyace al nuevo portal... esperemos que lo solucionen pronto porque ya sabemos que la usabilidad es esencial para que los usuarios no abandonen la página y logren el efecto contrario al deseado.

¿Cuál es vuestra opinión?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

09 julio 2010

Proporcionando un servicio de seguridad de alta calidad utilizando la identificación de activos

Tenía pendiente comentar este artículo publicado en el volumen 2, 2010 de la ISACA Journal (ya sabéis que hay que ser miembro de ISACA para poder consultarlo) por Vinoth Sivasubramanian (responsable de políticas TI en UAE Exchange Centre LLC).

Vinoth, en su artículo, viene a esbozar un modelo para la toma de decisiones de inversión en seguridad en un entorno como el actual, de elevadas restricciones presupuestarias, que nos obligan a sopesar muy bien dónde invertir los pocos fondos disponibles. El modelo que nos propone Vinoth parte, como no puede ser de otra forma, de la identificación de las necesidades de la organización respecto a la seguridad mediante la identificación de 'especificaciones de requerimientos de seguridad' y lo que denomina CIFs (Critical Impact Factors) o Factores de Impacto Críticos. Estos CFIs recogen el tipo de daño que un incidente de seguridad causaría en la organización y actúan como enlace entre los activos y la Visión del negocio, permitiendo clasificar dichos activos en función de su impacto sobre la mencionada visión. Aunque cada organización puede tener su propia visión, Vinoth identifica tres patrones típicos sobre la base de los trabajos de Michael Treacy y Frederik Wiersema:
  1. Excelencia operativa
  2. Intimidad con el cliente
  3. Liderazgo en producto
Hasta aquí el resumen del artículo. ¿Qué por qué os lo quería comentar? Pues porque me recuerda sobremanera a la aproximación que podemos realizar a la seguridad de la información utilizando la Teoría de las Limitaciones (o TOC - Theory of Constraints para los amigos). Para los que estuvisteis en la rootedCON de este año quizás os sonará, pero el razonamiento es similar:
  1. Debemos identificar los elementos clave de la estrategia de la organización y las condiciones necesarias para que sus objetivos se cumplan (aquí utilizaríamos el Árbol de Objetivos Intermedios) [en las investigaciones con Mario también sospechábamos que, en el fondo, las organizaciones se parecen y se podrían obtener "patrones" de comportamiento].
  2. Una vez identificados los elementos clave, debemos analizar para cuales de ellos, la seguridad es, a su vez, condición necesaria.
  3. El análisis debemos realizarlo en las diferentes dimensiones de la seguridad (a saber, confidencialidad, integridad y disponibilidad... al menos).

El resultado es una lista de áreas en los que la seguridad es una prioridad, una prioridad para que la organización para la que trabajamos cumpla sus objetivos, haga realidad su estrategia.

Lo mejor de esto es que es así de simple, así de rápido y así de eficaz... mucho más rápido que un Plan Director de Seguridad con análisis de riesgos incluido... bueno, para ser exactos, habría que decir que en realidad se hace una análisis de riesgos express.

¿No os lo creéis? Doy fe que es cierto...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

01 julio 2010

[S21sec)

Sí, sí... no penséis que se me ha ido el dedo y he "colado" los corchetes en el título de esta entrada. Ha sido a propósito: Como los más matemáticos habréis identificado, es la notación que se utiliza para definir los intervalos, en concreto, el corchete denota un intervalo cerrado y el paréntesis un intervalo abierto.

Y toda esta parrafada, ¿para qué? Pues para deciros a todos los que me seguís que S21sec y un servidor hemos decidido poner un punto y a parte en nuestra relación. Efectivamente, desde hoy mismo soy, como se suele decir, un consultor independiente.

Ha sido un paso profundamente meditado y del que espero no tener que arrepentirme... :-) Dado que hemos acabado como amigos, seguro que seguiré colaborando con ellos en el futuro (por eso lo del intervalo abierto) pero ya, desde fuera de la organización; y es que, desde dentro, era imposible desde hacía algún tiempo... como dice [el gran] Sabina: "Me sentía como un pato en el Manzanares".
Tengo algunas ideas para esta nueva etapa, pero eso tendrá que esperar para entradas futuras... ¡sigan atentos a sus pantallas!

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?