22 octubre 2011

Mi propuesta para los candidatos a Presidente del Gobierno

Como los partidos políticos están en época de hacer propuestas para ganar nuestros votos, se me ha ocurrido hacer mi carta a los Reyes Magos para ver si convenzo a Rajoy y/o a Rubalcaba (que parecen los más adelantados en la carrera) para que incluyan algunas promesas en sus programas electorales.

Básicamente mi carta tiene una sola petición pero que tiene unas cuantas consecuencias en forma de leyes que habrá que modificar. Mi petición es muy sencilla:
Equiparar la seguridad de los sistemas de información a la seguridad patrimonial
Seguramente a muchos puede parecerles una tontería pero, sinceramente, creo que, como sociedad moderna, nuestra prosperidad y nuestro futuro depende de que la seguridad en el mundo online tenga el mismo tratamiento que tiene la seguridad en el mundo "real" partiendo del supuesto de que, en el futuro, las mayores amenazas vendrán del mundo ciber.

Y con esto no quiero que nadie piense que estoy pensando en una Internet super-regulada y vigilada, sino que en los mecanismos de gestión y las leyes existentes se adecuen al siglo XXI.

Voy a tratar de dar algunos ejemplos:


Reforma de la Ley de Seguridad Privada
Tenemos una Ley que establece un marco de control para las empresas que proporcionan servicios de seguridad privada e incluso una capacitación mínima para los "vigilantes" de seguridad. Y, por otra parte, "cualquiera" puede proveer de servicios de seguridad informática.

Reforma de la Ley de Protección Civil

En este caso nos encontramos con una Ley que persigue proteger a personas y bienes en situaciones de grave riesgo colectivo y que en su vertiente de previsión y prevención exige la elaboración de planes de protección pero que, actualmente, no considera en estos aspectos los sistemas de información cuando, en el momento actual, fallos de sistemas pueden ocasionar verdaderas situaciones de crisis [ya lo habías comentado antes aquí].

Facilitar la gestión de riesgos de seguridad al estilo de los riesgos laborales
Es indudable que, aunque forman más del 95% del tejido empresarial español, las PYMEs son un "problema" a la hora de implantar este tipo de políticas, ya sea por un tema de recursos, de capacidad o de disposición.
Por este motivo, podría adoptarse una decisión al estilo de lo desarrollado para la gestión de riesgos laborales, haciendo que las pequeñas empresas puedan hacer uso de un servicio gratuito proporcionado por la Administración [de hecho, en mi opinión, este servicio ya se ha creado y lo proporciona el CERT de INTECO].

Servicios en la nube regulados
Los servicios en la nube, en particular los de infraestructura (IaaS) y los de plataforma (PaaS), son la electricidad del siglo XXI y, en este sentido, necesitan de un entorno normativo en el que se puedan proveer en las mismas condiciones de garantía que la primera.
A diferencia de los puntos anteriores, este aspecto es totalmente innovador y seguramente necesitará de un tratamiento a nivel europeo pero, quien sabe, quizás sea la manera de hacer España puntera en estos aspectos.

Seguramente no son los únicos aspectos a modificar, pero es un principio. ¿Se os ocurren más ejemplos?

Puedes seguirme en twitter.com/antonio_ramosga

18 octubre 2011

Jornadas Técnicas 2011 de ISACA Madrid

Es cierto, llevo missing unas cuantas semanas, soy culpable.

Pero prometo que no he estado de vacaciones. De hecho, me gustaría comentar que una de las actividades a las que he estado dedicado con bastante profundidad este tiempo: las Jornadas Técnicas 2011 de ISACA Madrid.

Este año, como novedad, las organizamos junto a otra asociación, el itSMF España que, por fortuna nos ha posibilitado organizar unas mejores jornadas, con muchos más medios y más recursos que ISACA Madrid en solitario. Estoy convencido de que es una unión muy interesante y el congreso que ha resultado, itgsmVISION11, va a ser de gran interés para una gran pluralidad de profesionales y va a generar unas posibilidades de networking sin precedentes en el sector.

El kif de la cuestión ha sido abordar esa colaboración sin perder la singularidad de nuestros asociados que esperan atender a unas jornadas donde se hable de auditoría de sistemas de información, de gestión de la seguridad, de control de riesgos y, por supuesto, de gobierno de las TIC, sin olvidar otros aspectos como el cumplimiento normativo y las nuevas legislaciones.

Para ello, los que hemos estado involucrados en la organización de las Jornadas confiamos en haber preparado un cocktail de interés:
  • Desde ISACA HQ, Derek J. Oliver nos avanzará todo lo que hay que saber sobre el nuevo Process Assessment Model y COBIT5.
  • Jesús Bermejo, de BANKIA, nos hablará sobre la experiencia de fusión tecnológica de 7 entidades financieras.
  • Elena Maestre (PwC) y Tomás Martín (CNPIC) nos contarán las implicaciones de la nueva Ley para la Protección de las Infraestructuras Críticas sobre las funciones de auditoría y seguridad.
  • Javier Berciano (INTECO-CERT), reflexionará, desde el conocimiento, sobre mejores prácticas y consejos para la gestión de incidentes.
  • Sobre gobierno de las TIC, tendremos dos aportaciones. Por un lado, Miguel García (AtoS) y la Comisión de Gobierno del capítulo informaran de sus avances y de las opciones de integrar el gobierno empresarial y el de las TIC.
  • Ramiro Mirones (Ernst&Young) nos demostrará que la auditoría continua es posible explicando algunas experiencias prácticas.
  • El primer día finalizará con Mario López de Ávila (nodos), profesor del IE, nos invita a reflexionar sobre la posibilidad de que dos conceptos aparentemente incompatibles como la agilidad y el riesgo, en realidad, no lo son tanto.
  • Luís Carro (Deloitte) comenzará el segundo día con una reflexión sobre las soluciones GRC y su aplicación en el entorno corporativo.
  • Finalmente, una mesa de debate entre CIOs, cerrará las Jornadas.



Lo mencionado aquí solo es una pequeña parte de las ponencias que habrá en el Congreso, solo os he mencionado las que hemos coordinado desde ISACA Madrid, pero podéis ver todo el detalle aquí.

Así que, después de todo este esfuerzo, espero veros los próximos 24 y 25 de octubre en el Hotel Holiday Inn.

... puedes seguirme en twitter.com/antonio_ramosga