La evolución de la seguridad de la información en el Sector Público

Acabo de leer en GCN un artículo que reflexiona sobre algunas de las conclusiones de una encuesta realizada por ISC(2) durante los pasados meses de diciembre y enero. Según esta encuesta, el Gobierno Federal de los EE.UU. puede ser un refugio para los profesionales de la seguridad de la información gracias al mantenimiento, o incluso crecimiento, de sus presupuestos destinados a la seguridad. En concreto:

• Un 44% han visto incrementados sus presupuestos respecto al 2008, frente al 40% que los han visto reducirse.
• Respecto a la evolución del presupuesto para 2010 se espera así: 52% - mantenimiento, 28% - reducción y 20% - incremento.
• En cuanto a las contrataciones (sobre un total de 175), un 58% espera contratar personal de seguridad, destacando el hecho de que un 14% (es decir, 25) esperan contratar 10 ó más personas.

Me ha parecido interesante comentarlo por varias cuestiones. En primer lugar, por la gran diferencia con la situación española donde la reducción es generalizada en todos los estamentos de la Administración Pública (nacional, regional y local). En segundo lugar, porque se comenta la evolución de los perfiles solicitados, dándose cada vez mayor importancia a la monitorización continua y la evaluación de riesgos frente a las certificaciones.

Y finalmente, y no por ello menos importante, porque esta situación me sugiere una reflexión como proveedor de servicios de seguridad:

• ¿Qué ocurre con el sector privado si el sector público sigue creciendo?
• ¿Quedarán las empresas sólo para dar servicio al sector privado?
• ¿Deben conformarse las empresas privadas con actuar como cantera del sector público? Si es así, ¿qué incentivos tendrían las empresas para formar a esos profesionales?
• ¿Os imagináis que incluso alguna de estas agencias públicas se dedicará a dar servicio al resto del sector público? [Que conste que no me considero un liberal radical que apueste por la reducción del sector público a su mínima expresión... nada más lejos de la realidad]

Se admiten comentarios...

Vía | Government Computer News

¿Acabará el Cloud Computing con la industria de seguridad?

Según Seth Godin, el Axioma Wordperfect establece que "Cuando la plataforma cambia, el líder cambia". Y la verdad es que hay unos cuantos ejemplos: plataformas de videojuegos, música, libros...

Recordando las previsiones de Gartner sobre el futuro de los departamentos de TI, ¿pensáis que el Cloud Computing acabará con los proveedores de servicios de seguridad? ¿Será el cloud computing la killer application de la industria de seguridad?

Se admiten comentarios, puntos de vista, opiniones...

Vía| Seth Godin

Ciberataques contra PYMEs

Uno de los retos principales con los que me he enfrentado en mi vida profesional ha sido el de intentar llevar servicios de seguridad "avanzados" (algo más que firewalls y antivirus) al mundo de las PYMEs. Y digo que ha sido uno de mis retos principales porque no he tenido demasiado suerte.

¿Los motivos? Normalmente porque los responsables / dueños de esas PYMEs hacen su análisis de riesgos [de cabeza] y te espetan: "Pero... ¿quién va a estar interesado en atacarnos a nosotros?". Vamos, que consideran que la probabilidad de que pase algo es tan baja que no le sale a cuenta la medida de seguridad que propones para el nivel de riesgo resultante.

Pues bien, parece que eso está cambiando y que va a haber que replantearse la posibilidad de que pequeñas empresas sean objetivo de ciberataques. ¿Por qué lo digo? Pues, por la noticia que leo en SANS de que PYMEs irlandesas han notificado recientemente que han sido objeto de ciber-extorsiones con un mecanismo muy sencillo y poco innovador: su datos habían sido cifrados por los secuestradores que les han pedido un "rescate" por la clave de cifrado... os suena, ¿verdad? Además, lo "hábil" de estos tipos es que previamente ya se habían encargado de inutilizar el sistema de copias de respaldo [y por supuesto, nadie se había dado cuenta, porque nadie lo estaba monitorizando, claro...].

Es cierto que el rescate no es muy alto, 700$, pero lo indudable es que cambia radicalmente el escenario... ¿cambiarán las PYMEs sus planteamientos para enfrentar este nuevo escenario?

Ya veremos... Ya os contaré.

Vía | SANS NewsBites

Más información | Silicon Republic y The Independent

Juego limpio

Aunque yo no voy a estar en la RSA Conference, me sumo al deseo de Will Gragido en Cassandra Security (al que llegué gracias a @lostinsecurity por cierto) pero no solo con carácter temporal, sino con carácter general:

1. Si no puedes decir algo agradable no digas nada en absoluto.
2. Incluso cuando sabes que sabes más o tienes más experiencia, no impidas que otros aprendan; es una falta de consideración
3. Haz más bien que daño

En definitiva, tratarnos con respecto nos ayudará a compartir nuestras ideas y nuestras experiencias de una forma más provechosa para todos...

Los secretos del desarrollo del liderazgo en las mejores compañías

Este es el título del artículo publicado por Norm Smallwood hace unos días en uno de los blogs de la Harvard Business Review. En dicho artículo se resumen los resultados del estudio que realizan cada 2 años, RBL Group y Hewitt sobre aquellas compañías que han demostrado ir más allá en el desarrollo de nuevos líderes como vía para garantizarse el futuro.

Lo que me ha llamado la atención del estudio es que, según los autores, hay 6 elementos que se repiten en esas compañías que mejor han desarrollado el liderazgo de sus empleados:

1. La gestión del talento se realiza de manera centralizada.
2. La involucración de la Alta Dirección.
3. La selección de los mejores talentos y el desarrollo del resto junto con la exposición de esas personas a experiencias que les permitan desarrollarse.
4. Hacer foco en el desarrollo del liderazgo como un elemento estratégico.
5. Construir líderes y desarrollar una cultura de integración y oportunidad.
6. Crear valor para los grupos de interés internos y externos.

Por mi propia experiencia, creo que resumen en muy pocos elementos los factores clave que marcan la capacidad de una organización de desarrollar verdaderos líderes que garanticen la continuidad de dicha organización en las mejores condiciones.

Además, estos elementos se convierten en esenciales cuando nos movemos en un entorno de pequeñas y medianas empresas (y sobre todo si son familiares).

Vía | Blog The Conversation - Harvard Business Review

A vueltas con las Políticas de Seguridad y la propiedad intelectual

Gracias a Raúl y @fodor, llegué a esté artículo de Rosabeth Moss Kanter acerca de los problemas de controlar el flujo de información cuando lidiamos con "trabajadores del conocimiento".

Con este artículo me ha pasado eso que pasa algunas veces: Que hay cosas que, no dejando de ser triviales, al verlas escritas negro sobre blanco, tienen un impacto revelador sobre la conciencia. Algunos ejemplos:

• "No podemos saber lo que saben [los trabajadores]. Solo podemos esperar que elijan compartirlo con nosotros".
• "¿Qué ocurre si sus pensamientos se convierten en ideas útiles fuera del horario laboral y fuera de las instalaciones sin ningún elemento de la compañía implicado? Por otra parte, si la gente trabaja de manera flexible y remota, ¿cómo pueden establecerse límites?"
  
• "Y si damos más derechos a los "trabajadores del conocimiento" - a la vez que los hacemos sentir leales y comprometidos con la compañía - se sentirán más dispuestos a compartir voluntariamente y, además la mejor protección de la compañía es hacer que cuando las ideas se van vuelvan nuevas ideas.
  

Al margen de otras reflexiones, esta idea enlaza con lo que comentábamos hace unos días sobre cómo debía ser una política de seguridad y es que, por mucho que nos empeñemos en imponer comportamientos y formas de hacer a los miembros de una organización, al final lo único que funciona es que nuestros usuarios quieran comportarse de manera que no dañen a la organización... como dice Rosabeth, hay que hacerlos "sentir leales y comprometidos".

Desde luego esto es algo que trasciende el ámbito del CISO pero a lo que éste deberá contribuir de manera decidida con políticas flexibles, específicas, confiando en la autocensura y el buen juicio de las personas, monitorizando las desviaciones, actuando en caso de desviaciones y, lógicamente con actuaciones de concienciación orientadas a hacer de los empleados los principales valedores de la seguridad de la información en la organización... ¡¡¡¡todo un reto!!!

Vía | Vida de un Consultor - El conocimiento, ¿es de la empresa?
En Carpe Diem | ¿Cómo debe ser una política de seguridad?

Trasparencia: El control de seguridad clave

Si hay un control por excelencia, creo que ese es, la transparencia. Quizás suene un poco raro, pero, a nada que pensemos durante un rato, seguro que sabremos encontrar multitud de situaciones en las que la transparencia juega un papel fundamental.

• Quizás el más claro ejemplo lo encontremos en la PKI (Public Key Infrastructure) donde los algoritmos son expuestos al escrutinio público para que cualquiera pueda detectar cualquier problema de seguridad en los mismos.
• El mediático Bruce Schneier lo ha dicho mil veces en relación a los problemas con las máquinas de votar, la solución pasa porque se imprima una boleta en la que el usuario pueda comprobar que su voto había sido bien generado... es decir, transparencia en el proceso.
• Hace unos días lo comentábamos al hablar sobre la modificación prevista en la Directiva de Telecomunicaciones que iba a obligar a comunicar los incidentes de seguridad: Ya os dije mi opinión en ese momento, comunicar los incidentes [todo un ejercicio de transparencia] hará que mejoren las medidas de protección, estoy seguro.
• En relación con esto mismo, una buena amiga siempre me dice que toda la problemática que existe sobre la privacidad de los datos de la Historia Clínica Compartida se terminaría si se diera acceso al paciente a la misma y pudiera saber quién ha accedido y que datos ha visualizado... es decir, total transparencia.
  

Al fin y al cabo, hasta los mercados [ya me sale otra vez la vena economista] funcionan mejor, es decir, las decisiones que toman los agentes que intervienen son óptimas cuando existe información perfecta. Otra vez... transparencia.

Ahora que lo pienso, supongo que por eso no se hacen ejercicios de transparencia en muchas empresas, porque con toda la información se podría controlar más a los gestores y eso no conviene, ¿verdad?

El estado de flujo según Mihaly Csikszentmihalyi

Supongo que muchos de vosotros ya lo habréis visto pero he llegado a esta charla de TED Talk en la que Mihaly Csikszentmihalyi nos explica en menos de 15 minutos lo que es el flujo y cómo afecta a nuestra felicidad y creo que merecía la pena compartirlo.



Explica por qué muchas de las situaciones de frustración, así como de éxtasis que sentimos en determinadas ocasiones...

Technorati Tags | Mihaly Csikszentmihalyi

Informe de riesgos 2010 del Foro Económico Mundial

Hace unos días tuve conocimiento de la publicación del informe del Foro Económico Mundial sobre Riesgos Globales en 2010 (PDF en inglés) y tratándose de un tema de riesgos me dije, bueno, vamos a echarle un vistazo, seguro que es interesante.

Pues bien, la verdad es que sí... que es bastante interesante. Os comento los aspectos que más han llamado mi atención.

1. La forma de presentar los resultados de un análisis de riesgos
Uno de los temas más difíciles [¿hay alguno fácil?] a la hora de realizar un análisis de riesgos es la presentación de los resultados del mismo. Me ha gustado la forma en la que lo han solventado mediante una simple gráfica en la que, en uno de los ejes han colocado la probabilidad de la amenaza y en el otro su impacto (traducido en dólares). Muy sencillo, pero muy visual y muy potente.

2. El reconocimiento de una mayor interconexión entre los riesgos
Mayor interconexión, en dos sentidos. Por un lado, entre ellos, haciendo que su probabilidad e impacto aumenten. Y, por otro, en la necesidad de afrontar de manera coordinada a nivel mundial su tratamiento (lo que el Foro denomina riesgos sistémicos).

Ambos aspectos también los vemos en nuestro día a día en la gestión del riesgo tecnológico:

1. La interconexión entre los riesgos es un elemento clave cuando tratas con infraestructuras críticas.
2. La necesidad de una actuación global para actuar contra ellos: Internet elimina las fronteras nacionales.

3. Metodología de análisis de los riesgos seleccionados
El informe utiliza un método denominado 5i para analizar los riesgos que se basa en identificar para, cada riesgo:

• Insight (comprensión / entendimiento)
  
• Información
• Incentivos
• Inversión
• Instituciones
  

4.También se han considerado riesgos tecnológicos
En concreto, los riesgos que aparecen en el análisis son:

1. Fallo/avería de infraestructuras críticas de información. Respecto a este riesgo, se apuntan 3 vías para afrontar la problemática que supone la eficiencia de la gestión privada para esta vulnerabilidad pública: La inspección por terceros junto con regulaciones bien impuestas, la construcción de una capacidad de reacción y coordinación global y, por último, la consideración del retorno de la inversión a largo plazo.
   
2. Toxicidad de nanopartículas (que significa que los "estudios revelan efectos en la salud por el uso a nanopartículas ampliamente utilizadas - pintura, cosméticos, medicamentos. Impacta primero en la salud público y segundo en la inversión en una serie de nanotecnologías")
   
3. Fraude / Pérdida de datos

5. Reflexiones sobre los propios riesgos identificados
Y, finalmente, [perdón por la longitud de esta entrada] en relación a los propios riesgos identificados en el informe me ha llamado la atención que:

• Uno de los tres riesgos sobre los que el informe dice que hay que mantener bajo vigilancia es la cibervulnerabilidad y los sistemas de información críticos.
  
• Los riesgos con mayor probabilidad e impacto son el colapso del precio de los activos, epidemias crónicas, la crisis fiscal, la ralentización de la economía China y el gap de un buen gobierno global.
• El aumento de regulación es uno de los riesgos más probables aunque de impacto medio.
• El terrorismo internacional es uno de los riesgos con menor probabilidad e impacto. Esto pone de manifiesto algunos de los problemas que tenemos los humanos a la hora de percibir los riesgos.
• Por el contrario, el crimen y la corrupción transnacional se situa con una probabilidad y un impacto medio. Más o menos, al mismo nivel que las pandemias.
  

Vía | El Blog Salmón
En Carpe Diem | ¿Estamos preparados para un ciberataque? Proyecto eCid, ¿es la certificación la única vía? 100 cáminos al éxito #4: El CISO nunca dice "no"
Technorati Tags | análisis de riesgos, Foro Económico Mundial, Global Risk

La privacidad y la comunicación de incidentes

Antes de que se pasen los ecos del 4º día de la Privacidad de Datos me gustaría comentar las declaraciones de la Comisionada de la Unión Europea, Viviane Reding, aprovechando las celebraciones de este día.

Para empezar, lo que desde la UE se consideran actualmente los principales retos para la privacidad:

1. La publicidad basada en nuestros patrones de comportamiento
2. Las redes sociales
3. La denominada "location privacy"

Pero lo que me ha parecido más interesante es que ha anunciado que va a proponer una modificación, tanto de la Directiva de Protección de Datos, como de las reglas específicas para la privacidad de las comunicaciones electrónicas para adaptarlas a las nuevas tecnologías en línea con las actuaciones de la Comisión durante 2009:

• Recomendación sobre las smart tags utilizadas en RFID.
• Acuerdo con las redes sociales para mejorar la protección de menores.
• Acciones contra la publicidad basada en el comportamiento en el Reino Unido.
• Y, sobre todo, la introducción en la Reforma de las Telecomunicaciones de la UE de la obligación de los proveedores de servicios de comunicaciones de informar a las autoridades cuando una brecha de seguridad provoca una pérdida o una mala utilización de datos personales.
  

Quizás esta obligación de informar sea la forma de que, de una vez por todas, tengamos datos relativos a los incidentes de seguridad que se producen y su impacto en las organizaciones. No por "hacer leña del árbol caído" sino porque sería la manera de que se puedan tomar decisiones relacionadas con la seguridad con mejor información de lo que lo hacemos hoy en día cuando, como mucho, contamos con los datos históricos de nuestra organización [al margen del propio efecto de control que ejerce esta obligación puesto que nadie quiere comunicar este tipo de sucesos dado el efecto potencial sobre el negocio y la confianza de los clientes / usuarios].

Medidas de este tipo están siendo facilitadas por iniciativas como el Nuevo Acuerdo de Capital de Basilea y su método de cálculo del riesgo operacional que fomenta la creación de un data mart de riesgos con información sobre los incidentes acaecidos y su efecto sobre el negocio como base para el cálculo del riesgo.

Ya sabemos por Nassim Nicholas Taleb y sus cisnes negros que no podremos basarnos únicamente en el pasado puesto que no nos sirve para predecir el futuro (recordar la anécdota del pavo) pero, sobre todo, si podemos establecer un data mart de riesgos común (para tener información de todas las organizaciones, no solo de la nuestra) podremos mejorar en la toma de decisiones.

Vía | Europe's Information Society Thematic Portal
Technorati Tags | privacidad

3er aniversario del ISMS Forum

Hoy, día 30 de enero, hace 3 años que nació el ISMS Forum, así que solo quería aprovechar para felicitar a la Asociación y a tod@s los que han hecho posible que haya alcanzado los niveles que ostenta en la actualidad, así como logros como el DPI o las seis Jornadas Internacionales organizadas hasta el momento.

Es especial, gracias a Cristina, Germaine, Angelina y Joris... Y a los que de una forma u otra han ayudado o ayudan a la Asociación.

¡Enhorabuena y que sea por muchos años!

Technorati Tags | ISMS

Security Co-sourcing vs Security Outsourcing

Dentro de las predicciones que se publican a principios de año, me gustaría comentar la de Forrester, Twelve Recommendations For Your 2010 Information Security Strategy (firmada por Khalid Kark, al que algunos tuvimos oportunidad de conocer en una pasada Jornada Internacional del ISMS Forum) porque, como ha sido destacado por darkreading, ha puesto énfasis en el concepto de co-sourcing respecto al tradicional enfoque de outsourcing de seguridad.

Algunas opiniones interesantes (traducidas) recogidas en el informe de Forrester:

Algunas compañías emplean proveedores de outsourcing para lavarse las manos del cumplimiento normativo o transferir un entorno desordenado con la esperanza de que dicho proveedor sea capaz de arreglarlo. Estas son, obviamente, razones equivocadas para el outsourcing.

Primero, incluso si se subcontrata la seguridad, [la organización] sigue siendo responsable de la protección de los datos. Segundo si tienes un entorno desordenado, el subcontratista no tiene ningún incentivo para arreglarlo - y la pesadilla de gestionar ese entorno será peor si hay un tercero involucrado.

Los departamentos de seguridad deberían considerar la noción de "socio de negocio de riesgo". Muchas compañías todavía creen que es demasiado arriesgado subcontratar la seguridad, aunque existan cientos de proveedores trabajando para ellos, ocasionando riesgos muy similares.

He querido compartirlo con vosotros principalmente porque, por lo que he podido experimentar en estos últimos años que me he visto más involucrado con temas de outsourcing de seguridad, creo que refleja muy bien muchas de las situaciones que hemos vivido. Y es que, el que subcontrata no puede desentenderse, sería ideal, pero la realidad nos ha demostrado que no es factible, que se necesita un trabajo conjunto para poder llevar adelante la subcontratación y para aprovechar toda la potencialidad que este tipo de servicios pueden ofrecer.

Desde luego, hace falta mucha cooperación entre ambas partes para que el proyecto de subcontratación, de outsourcing tenga éxito. Y eso es bueno para ambas partes.

Vía | darkreading
Technorati Tags | outsourcing, cosourcing

¿Cómo debe ser una política de seguridad?

Ayer publicaba Optima Infinito un post titulado "Desarrollo Organizacional: El que no la hace, la paga"relativo a cómo deberían ser, a su entender, las políticas y normativas de una organización dada la evolución de la sociedad y sobre todo, porque ahora las personas somos el centro.

Algunas reflexiones interesantes:

El enfoque 1.0 es característico de la empresa tradicional. En él, el empleado es considerado como una persona que, si no se hace algo para evitarlo, actuará únicamente en beneficio propio y contra los intereses de la empresa. Se considera implícitamente que los empleados son inmaduros y egoístas. Hablamos, en resumen, de un enfoque regido por la desconfianza hacia el empleado.

Las políticas generadas desde este enfoque son rígidas y genéricas. Suelen ser resultado de la falta del liderazgo necesario para gestionar las diferencias, por lo que terminan optando por la solución simplista de defender como única prioridad los intereses de la empresa a cualquier precio, cayendo así en un proceso de “criminalización colectiva” por el que una mayoría de empleados resulta injustificadamente perjudicada.

El enfoque 2.0 es el que en mi opinión debería comenzar a imponerse. En él, el empleado pasa a ser considerado una persona madura, responsable y juiciosa que sabe encontrar la forma de compatibilizar sus intereses personales con los de la empresa. Es un enfoque regido por la confianza mutua, el diálogo y la transparencia.

Las políticas generadas desde este nuevo enfoque son flexibles y específicas, demostrando sensibilidad hacia las distintas necesidades, con una clara vocación integradora de intereses y con capacidad y liderazgo para explicar y justificar las diferencias. En lugar de criminalizar colectivamente a los empleados confían en la autocensura y el buen juicio de los mismos, a la vez que fomentan que se monitoricen las desviaciones y se actúe enérgicamente sobre ellas.

Como habréis visto, una reflexión muy interesante a mi juicio y que no debemos dejar pasar los profesionales de la seguridad de la información puesto que sabemos que el Cuerpo Normativo es una de las principales herramientas con las que contamos para definir el nivel de seguridad deseado por la organización.

Al menos en mi experiencia, la mayoría de las normativas que he desarrollado han sido totalmente del estilo 1.0 y la verdad es que, pocas veces, han sido muy user friendly que digamos. Quizás muchas de las reticencias de los usuarios se deban a este hecho, a que no eran muy 2.0.

¿Deberíamos cambiar nuestro estilo en la elaboración de los cuerpos normativos de seguridad? ¿Están los usuarios preparados para este tipo de normativas 2.0? Supongo que también dependerá del estilo de dirección de la organización, claro está...

Yo me inclino más por dar el paso e intentarlo con el modelo 2.0... ¿Y vosotr@s?

Vía | Optima Infinito
En Carpe Diem | Adagreed: Un ejemplo de poner los usuarios en el centro

Ferran Adriá y El Bulli como modelo de negocio

Ayer tuve ración doble de Ferrán Adriá y no fue porque estuviera cenando en El Bulli (ya sabéis que no abre en invierno) sino porque nos llegó la noticia de que va a cerrar durante 2 años (2012 y 2013) para volver en 2014 con un nuevo formato y, además, también tuvimos la oportunidad de ver la entrevista que le hizo Pablo Motos en El Hormiguero (Cuatro).

He de reconocer que desde hace tiempo el modelo de negocio que propone Ferrán basado en "priorizar la investigación por encima de la producción" me interesa y me gustaría intentarlo en aquello a lo que me dedico, la consultoría de seguridad.

Entiendo que no es fácil, pero hay elementos que me atraen (además de que también iba para economista como el que suscribe):

• Que la innovación sea verdaderamente el driver del negocio. Por una parte, todo el mundo sabe que con el restaurante no se gana dinero ya que se convierte más en un centro de experimentación o en una forma de enseñar lo que se ha innovado (de hecho, la "vanguardia radical" no es, en principio, para muchos). Y por otra, se trata de un modelo de negocio que no puede crecer fácilmente puesto que, al crecer, lo normal es que la calidad no se pueda mantener... (para eso hay otros modelos de negocio, basados en el volumen, franquicias, etc.)
  
• Que no busca solo ser buen cocinero, como dijo durante la entrevista, hay millones de personas que cocinan muy bien, lo que él hace va un poco más allá, es la experimentación, la novedad, el disfrute de la experiencia, la sorpresa...
• Que se trata de un trabajo en equipo. Evidentemente, nadie en su sano juicio puede pensar que todo es obra de Ferran (aunque está claro que es la cabeza visible).
• Que no es fácil de copiar. Al propio equipo de Ferran les ha llevado más de 20 años llegar hasta donde están, así que otros que quieran llegar tienen un largo recorrido por delante.
• Que es un modelo que permite el crecimiento. La innovación puede traducirse en nuevos instrumentos, nuevas recetas, etc. que permite su venta y explotación por terceros a través de la venta de derechos de uso o de innovación.
• La enseñanza, la educación también tiene un peso importante, tanto para difundir los logros alcanzados como para captar nuevos talentos.

Quizás, cuando hablamos de consultoría artesana, ¿deberíamos mirar al modelo de El Bulli?

Vía | Cinco Días, Cuatro
Technorati Tags: Adriá, Bulli, innovación, management

¿Estamos preparados para un ciberataque?

Mucho se ha escrito estos días (y más que se escribirá, ahora que parece que se ha abierto la veda y el enfrentamiento China - Google - Estados Unidos es abierto y evidente) sobre la existencia de ciberataques contra objetivos tanto empresariales como institucionales (comentado previamente aquí, aquí y aquí) y el grado de preparación de dichos objetivos para responder a dichos ataques o, al menos, aguantar los "envites" y poder seguir prestando el servicio previsto. Por eso me ha parecido interesante la iniciativa del FS-ISAC (Financial Services - Information Analysis and Sharing Center) de realizar una prueba "global" para evaluar cómo resistirían a un ciberataque (en definitiva van a evaluar sus procedimientos de comunicación, notificación y respuesta a emergencias de diferentes tipos durante los 3 días que durará el ejercicio).

El FS-ISAC es una organización especializada en el sector financiero, creada en Estados Unidos en 1998 cuyo objetivo es el de actuar como vehículo de intercambio de información entre los sectores privado y público sobre amenazas y vulnerabilidades "lógicas" y físicas para ayudar a proteger a sus infraestructuras críticas.

Algunas reflexiones al respecto:

1. Probarlo es la única forma de comprobar que funciona. Para los más enfocados en auditoría, seguro que os suena aquello de recomendar las pruebas del Plan de Contingencias, pero también para los más orientados a buenas prácticas, como la BS 25999, seguro que también os suena las pruebas del plan. Al final, hasta que no lo pruebas, no sabes si funciona.
2. Las interrelaciones entre organizaciones van a quedar expuestas mediante el ejercicio coordinado. Una de las implicaciones más importantes cuando se analiza el impacto sobre las infraestructuras críticas es precisamente este efecto de unas sobre otras que pueden provocar efectos de "bola de nieve". Pues bien, me parece una manera muy adecuada de estudiar esta problemática.
3. La coordinación entre las organizaciones participantes va a mejorar. Lógicamente, dado que van a trabajar juntas en este simulacro, van a conocerse mejor, van a detectar problemas de comunicación / coordinación y van a estar mejor preparados para un ciberataque.

En definitiva, una muy buena iniciativa a copiar y a seguir...

Vía | SANS News Bites, darkREADING, InformationWeek
Technorati Tags: cyberattack

Las multas como mecanismo de seguridad

Interesante reflexión en "El Blog Salmón" sobre las multas:

Las multas deben hacer daño
Por otra parte, aunque muchos piensan que la razón por multar es aumentar la recaudación, y por qué no, al final son multados por infringir la ley, el objetivo principal real de toda multa es que tiene un efecto disuasorio para que no se repitan las infracciones. Esto no tiene efecto si el monto de la multa no tiene en cuenta la capacidad de pagar.

Me ha hecho recapacitar sobre el efecto que han tenido las sanciones de la LOPD en la cultura empresarial española. Y es que, como he comentado en varias ocasiones, hay que dar las gracias a esta ley porque si no fuera por ella pocos, muy pocos, habrían establecido medidas para proteger nuestra privacidad. Y no porque les hubiera convencido, sino por las sanciones que ha impuesto la AEPD: no entro a valorar su justicia o injusticia, me importa más el hecho de que dichas sanciones han hecho plantearse a más de uno, el coste de la inseguridad.

La posibilidad de la sanción ha modificado la ecuación en su análisis de riesgos y ha hecho que la externalidad lo sea un poco menos.

Technorati Tags: privacidad, security economics

Bill Dettmer está otra vez por Europa

Esta semana recibí un correo de los organizadores del seminario en el que me formé como Jonah con Bill Dettmer para informarme de que este año vuelven a repetirlo en Linz (Austria) el próximo mes de abril (del 21 al 27).

Ni que decir tiene que mereció la pena (aunque después de las clases cuasi-particulares de Mario tenía ya mucho adelantado) y que para los que os interese TOC y los procesos de razonamiento es un "plan" que debéis, al menos, plantearos [He de reconocer que Austria fue para mi un descubrimiento, en muchos sentidos: estilo de vida, clima, profesionalidad... Tanto es así que me he planteado volver con tranquilidad para conocerla mejor]

Si estáis interesados y queréis más información, no dudéis en dejarme un comentario o en poneros en contacto conmigo.

Technorati Tags: TOC

Nos vemos en Rooted CON

Espero que los organizadores del evento no se enfaden mucho conmigo por haber tardo tanto en escribir este post, en especial, Paco que fue el reclutador... :-)

Y es que, efectivamente, tengo el placer de participar en esta 1ª Edición de la Rooted CON [y digo primera porque espero que haya muchas más...] que se celebra entre el 18 y el 20 de marzo en el Auditorio del Centro de Convenciones Mapfre en Madrid.

Además, una Asociación a la que tengo mucho cariño, el ISMS Forum también es colaboradora, así que miel sobre hojuelas...

Y os decía que es un placer porque es la primera ocasión en la que me han pedido que abra una jornada, en concreto la dedicada a la perspectiva empresarial de la seguridad. Todo un orgullo, sobre todo, viendo el nivel del resto de ponentes que participarán en el congreso... os recomiendo que le echéis un vistazo, no tiene desperdicio.

Pero, sobre todo, lo que os recomiendo es que os REGISTRÉIS... ¡¡Nos vemos allí!!

Technorati Tags: RootedCON

CRISC - Nueva certificación de ISACA

Hace tan solo unos días, la ISACA anunció la que será su cuarta certificación de profesionales después del CISA, CISM y CGEIT: Certified in Risk and Information System Control (CRISC) y que ya nos había adelantado Gobernanza de TI en primicia (con su toque de marketing incluido, ya que nos indican que se pronuncia "see-risk", "si-risk" en castellano)

Respondiendo a alguna de las preguntas de Miguel en su post, efectivamente, creo que sí existía una necesidad sin cubrir en el mercado como así lo demuestra el hecho de que desde el ISMS Forum Spain iniciáramos el año pasado un Curso de Analista de Riesgos que tuvo, la verdad, bastante éxito [no sé que pasará ahora considerando que tendremos que "competir" con la todopoderosa ISACA y sus 100.000 asociados en todo el mundo].

No obstante, una vez dicho esto, creo que ISACA está llegando al límite en el asunto de las certificaciones y es que cuatro, son muchas certificaciones a mantener por los profesionales... la verdad. Es evidente que para ISACA puede ser una fuente de ingresos, pero me parece que está llegando a un punto en que es económicamente poco viable mantenerlas y será necesario seleccionar... No sé que opináis vosotros, a mi, al menos, así me lo parece (yo, de momento, la de CGEIT tendrá que esperar...)

Technorati Tags: ISACA, Análisis de Riesgos, CRISC

Demostrando el valor de las prácticas de gobierno TI CobiT y Val IT

Siguiendo con la costumbre de comentar los artículos (aquí y aquí) que me parecen más interesantes del ISACA Journal volvemos con otro estudio estadístico desde la Universidad de Antwerp realizado por Steven De Haes, Ph. D., Wim Van Grembergen, Ph. D. y Hilde Van Brempt.

En esta ocasión el estudio ha versado, como su propio nombre indica, en demostrar el valor que CobiT y Val IT tienen como prácticas de buen gobierno de Tecnologías de la Información. Para ello, han entrevistado a directivos de TI y de negocio de 538 empresas de todo el mundo en relación al grado de implantación de los 56 procesos de buen gobierno recogidos en dichos marcos de referencia.

Al margen de las propias conclusiones del informe que aparecen en el artículo, quisiera descatcar algunos elementos que han llamado mi atención:

1. Las organizaciones están todavía enfocadas en la 'factoría de TI' - El mayor grado de implantación de los procesos del CobiT de Entrega y Soporte y Adquirir e Implementar indica que la mayoría de las empresas están todavía implicadas principalmente en la organización y la mejora de los procesos 'básicos' de TI. Por el contrario, los procesos menos implantados son los de PO2 - Definir la arquitectura de información y PO8 - Gestionar la calidad.
   
2. El perfil de empresa con un mayor nivel de implantación de los procesos del CobiT es una empresa europea, con 5000 empleados o más y del sector financiero-seguros. En sentido contrario, el perfil con menor implantación sería una empresa de menos de 500 empleados y de los sectores gubernamental, utilities o sanitario.
   En general, el grado de implantación de los procesos es mayor cuanto mayor es la madurez de la organización.
   
3. El objetivo que recibe, de lejos, la mayor puntuación en cuanto a grado de cumplimiento es el de "proporcionar cumplimiento con leyes externas, regulaciones y contratos".
4. Parece que el mayor driver para alcanzar un objetivo es su obligatoriedad. Y es que, aunque nos quejemos, el objetivo considerado más importante ("alinear la estrategia de TI con la estrategia de negocio) figura como el séptimo en nivel de consecución, mientras que el objetivo de "proporcionar cumplimiento con leyes externas..." es considerado el quinto importancia, sin embargo es el conseguido en mayor grado [sobran los comentarios].

Para las conclusiones del estudio os remito al propio artículo... merecen la pena... aunque me temo que solo los miembros de ISACA podréis acceder a el... I'm sorry, but that's life!

Technorati Tags: ISACA, IT Governance, CobiT, Val IT

Lectura: "Por qué somos como somos"

Siguiendo con la tradición de comentar los libros que voy leyendo, hoy le toca el turno a esta obra de Eduardo Punset, ya sabéis, el Director y presentador del programa Redes de tve. Es el primer libro que leo suyo y me ha gustado su estilo: claro, sencillo y directo... muy divulgativo, tanto, que me he suscrito a su blog.

Ya os había comentado antes algún fragmento que me había llamado la atención, pero no ha sido el único, ha habido otros que también me han gustado:

"Knight [Chris Knight, catedrático de Antropología en la University of East London] sabe que las palabras no sirven para nada. Las palabras, el lenguaje no sirven para que las personas sientan una buena predisposición para el diálogo. Para ganar la confianza de alguien se requiere algo más poderoso que las palabras. No es verdad que hablando la gente se entiende. Hablando la gente se confunde."

"Esta revolución sexual [la mujer evolucionó para poder practicar sexo en cualquier momento de su ciclo hormonal] llevada a cabo por las hembras en los albores de nuestra evolución como especie estaría en la raíz del nacimiento del conjunto de leyes que dieron seguridad al grupo, rebajaron el estrés y la desconfianza e hicieron posible la aparición del lenguaje"

"Un amigo mío, corresponsal extranjero, llegó un día a su hotel de Nueva York y sacó de la maleta su maquinilla de afeitar. Fue al cuarto de baño y cuando enchufó el aparato se le fundió. Salió a la habitación y comprobó que tampoco había luz allí. Cuando miró por la ventana vio que toda Nueva York estaba a oscuras, era el blackout, el famoso apagón de Nueva York de agosto de 2003, y mi amigo dijo: "Pero, ¿qué he hecho?"

Además, ha servido para que añada a mi WhisList la obra "La inteligencia emocional. Por qué es más importante que el cociente intelectual" de Daniel Goleman, ya sabéis: autocontrol, gestión de las emociones, motivación, empatía y percepción social.

Tags Technorati: Punset, lecturas

¡Feliz 2010!

Dicen que "es de bien nacidos ser agradecidos" así que quisiera desear a todos los lectores de este blog (ocasionales o asiduos) un feliz y próspero 2010.

Y como es el momento de pedir deseos (aunque algunos no quieran pedir nada) para el nuevo año...

• Para los que [como yo] estéis en el lado de la oferta de servicios solo desear que gane el mejor y mucho fair play.
• Para los que estéis en el otro lado, en el de la demanda, como dice la oración, "serenidad para aceptar las cosas que no puedo cambiar, el valor para cambiar aquellas que puedo y la sabiduría para conocer la diferencia" y, por supuesto, que los proveedores que os ayuden en el camino cumplan vuestras expectativas.

Y, en general, para todos los que nos dedicamos a esto, que la seguridad de la información [la gestión del riesgo tecnológico] salga reforzada de este contexto de crisis mundial que estamos pasando.

Y, como parece que 2010 va a ser el año de la recuperación, seguro que va a ser un año "movidito" y apasionante... suerte para todos los movimientos que se avecinan...

Tags Technorati: 2010

Formación en seguridad de la información

Esta semana nos enterábamos de que en Inglaterra, la seguridad de la información será asignatura de primaria a partir de 2011. Básicamente es una campaña promovida por el Consejo del Reino Unido para la seguridad infantil en Internet (UKCCIS) para "alentar a los niños a no dar información personal en la web, bloquear mensajes no deseados en las redes sociales e informar de cualquier comportamiento inadecuado".

Por otra parte, y ya en España, El Blog Salmón nos comenta la "necesidad de la formación financiera en los colegios" y que en septiembre el Ministerio de Educación, el Banco de España y la CNMV habían firmado un convenio para un Plan de Educación Financiera.

Y yo me pregunto: ¿quién debería firmar un convenio similar para que en España existiera un Plan de Educación de Seguridad? ¿La AEPD? ¿INTECO? Recordemos además que las competencias en Educación se encuentran transferidas a las Comunidades Autonómas... para hacerlo más entretenido...

NOTA: El listado de miembros del UKCCIS es espectacular, por cierto.

Actualización: Según el informe (en PDF) del Safer Internet Forum de la Comisión Europea publicado el pasado día 26 de enero sobre la base de una consulta a jóvenes muy amplia, la conclusión sería: "Enséñennos sobre seguridad online en los colegios"

Proyecto eCID, ¿es la certificación la única vía?

Acabo de estar leyendo en el número de noviembre de la revista SIC el artículo publicado por J. Fernando Carvajal y Carlos F. Molina sobre el Proyecto eCID.

Para los que no lo hayáis leído todavía, se trata de un proyecto de investigación a nivel nacional orientado a la mejora en la protección de las infraestructuras críticas, de hecho, su nombre es el acrónimo de "enlightened Critical Infraestructures Defense" en el que participan 12 empresas, 4 organismos de investigación y también una asociación y en el que están representados los principales actores, junto con la Administración, de este asunto: las empresas que gestionan / administran dichas infraestructuras críticas. Podéis consultar toda la información que se vaya liberando sobre el proyecto en su propia página web (enlace aquí).

De todas formas, yo no quería entrar ahora en el tema de la protección de las infraestructuras críticas (aunque sabéis que lo hemos comentado brevemente con anterioridad); en lo que quería centrar mi comentario es en el enfoque de certificación del modelo que se ha establecido en el proyecto.

No es que no me guste la idea de la certificación, sino que creo que no es suficiente para solventar la problemática existente [eso sí, es un excelente punto de partida]. El inconveniente que le veo a la certificación es que es un modelo de absolutos: o cumples o no cumples. En este sentido, no permite situaciones de 'casi cumples' o 'cumples sobradamente'. Esta circunstancia que, podría parecer trivial, tiene en mi opinión importantes consecuencias en el comportamiento de las empresas que, enfrentadas a la decisión de invertir en medidas de seguridad no tienen incentivos (en referencia a este modelo, no a su estrategia en general) para invertir más allá de conseguir el nivel mínimo requerido por la certificación, lo cual nos lleva a que el mercado no ofrezca un óptimo a sus actores [siempre considerando que los usuarios de estas infraestructuras críticas desearan tener el mayor nivel de protección posible].

Quizás deberíamos intentar buscar otras vías para resolver este problema que, al final, no es más que un problema de asimetría de información (lo que los economistas, denominamos "mercados con información imperfecta") aderezado con un poco (bastante) de externalidades negativas.

En definitiva, que me surge la pregunta de: ¿hay otra vía diferente a la certificación que nos permita conseguir los objetivos del proyecto?

NOTA: Mi más sincera enhorabuena a Fernando y a Carlos por este proyecto y a los autores de la idea por el planteamiento que han realizado.

Tags Technorati: infrestructuras críticas, eCID

VI Jornada Internacional del ISMS Forum en Sevilla

El próximo martes, 24 de noviembre estaré en la segunda Jornada Internacional del año del ISMS Forum que se organiza, en esta ocasión en Sevilla, en concreto, en el Hotel Barceló Renacimiento. Su título es el de "Impactos de la Transformación Económica y Social en la Seguridad de la Información: El desafío de proteger los nuevos ámbitos y hábitos de trabajo" [muy acertado para los momentos que vivimos, ¿verdad?]

En fin, que si vais a estar por allí... nos vemos. Y para los que no, estar atentos a mis tweets con la etiqueta #ISMS6, intentaré contaros en directo lo más relevante.

Seguridad, sexo y comida

Me ha sorprendido esta frase en el libro "Por qué somos como somos" de Eduardo Punset hablando sobre el origen del lenguaje:

"¿Cuál habrá sido la primera palabra? No lo sabemos, pero es muy probable que tuviera mucho que ver con el sexo o la comida. O con la seguridad, ¿no habrá estado relacionada con la seguridad? Consultados, los más sabios responden la seguridad también. Pero antes el sexo y la comida"

Es como una especie de pirámide de Maslow reducida, ¿no?

La madurez de los procesos y el Gobierno de TI

Así se titula el artículo publicado por Roger Debreceny (Universidad de Hawai) y Glen L. Gray (Universidad de California) en el volumen 3 de la revista Journal de ISACA y que se basa en el estudio realizado por el ITGI con el mismo título publicado en noviembre de 2008 y que podéis descargar aquí [siempre que tengáis un usuario válido]. Después de una lectura pausada, he pensado que merecía la pena comentar algunos de los resultados resaltados en dicho artículo en relación al estudio realizado.

Dicho estudio consistía en una evaluación de la madurez de los 34 procesos identificados en COBIT entre 51 empresas voluntarias de Europa, Asía y Norteamérica. Como en todo este tipo de estudios, los datos fueron reportados por la propia organización por lo que, naturalmente, están expuestos a cierto sesgo puesto que no existió ningún proceso de validación de dicha información.

El primer aspecto a comentar sería el tamaño de las organizaciones incluidas en el estudio, pues se trata de organizaciones bastante grandes: promedio de 172 personas en TI y 3.312 puestos clientes (con un máximo de 15.000). Así que, imaginemos como serían los resultados que vamos a comentar si el tamaño de la organización fuera más pequeña (como es el caso, por otra parte, en España, por ejemplo).

En segundo lugar, resaltar que existen algunos procesos en los que algunas organizaciones no habían hecho nada (tenían un nivel de madurez de '0'). En concreto, los procesos siguientes [aunque os parezca mentira]:

• DS2 - Gestión de servicios de terceros
  
• DS4 - Asegurar un servicio continuo
  
• AI4 - Permitir la operación y el uso
  
• ME2 - Monitorizar y evaluar el control interno
  
• ME3 - Asegurar el cumplimiento con requerimientos externos
  

En tercer lugar, comentar el dominio que menor puntuación saca en global, se trata (como no podía ser de otra forma), el de Monitorización y Evaluación (ME).

Finalmente, lo que los mismos autores concluyen: Que no existe una estrategia general y consistente para todos los procesos, sino que en cada caso, en lugar de evaluar cuál debería ser el nivel de madurez óptimo para cada organización, se actúa con el objetivo de alcanzar un nivel mínimo aceptable (lo que los autores denominan una estrategia de bombero o apaga-fuegos).

En definitiva, unos resultados llamativos y muy ilustrativos para los que buscamos conocer con profundidad como las organizaciones afrontan este tema de la seguridad de la información.

Conseguir el compromiso

Este es el título de un artículo publicado en el número 1 de 2009 de Journal, la revista de ISACA, firmado por Chris Konrad (Vicepresidente de servicio a clientes de Fortrex Technologies) y titulado exactamente "Getting Buy-in - An Easier Way" (lo siento pero solo podréis acceder online los que seáis socios de ISACA).

Me llamó la atención porque no es muy habitual que en una revista de seguridad se hable acerca de conseguir el compromiso y la verdad es que no me defraudó: sencillo y al grano.

Básicamente, Chris plantea una forma de hacer para elaborar un plan de seguridad que cuente con el apoyo y la participación del resto de personal clave de la organización:

1. Obtenga conocimiento e historia (ya hemos hablado un poco de esto antes).
2. Aprende sobre las operaciones y las funciones.
3. Realice una auto-evaluación de la organización.
4. Investigue los sistemas de información.
5. Complete la evaluación de la situación (que básicamente consiste en lo que hablamos hace unas semanas aquí).

También nos da unas pautas para llevar a cabo esa autoevaluación:

• Comprender lo que es más importante para el CEO.
• Dirigirse al área Jurídica para entender la legislación de aplicación al negocio.
• Después, pasar a Recursos Humanos para aprender sobre las políticas, tipos de empleados y procedimientos de contratación y cese.
• Tras estos pasos iniciales, ya habría que pasar a las unidades de negocio para entender como se generan los ingresos.
• Una vez entendido todo el contexto, habría que pasar a las áreas de TI propiamente dichas.
• Para finalizar con un análisis de riesgos.

En definitiva un conjunto de pautas sencillas que ponen el énfasis más en las formas que en el fondo pero que, aunque a alguno le parezca mentira, son igual de importantes, puesto que si el CISO no consigue "motivar" a la organización y a sus miembros para que apoyen sus planes de acción en materia de seguridad no servirá de nada que las conclusiones sean perfectas o que el análisis haya sido técnicamente perfecto.

Ambas componentes son partes de un todo y necesitamos que ambas "funcionen" para conseguir el objetivo.

Lectura: "El Cisne Negro"

Pues sí, finalmente lo hemos leído. Se podría decir que una obra imprescindible para todos aquellos a los que nos gustan [apasionan] los análisis de riesgos del libanés empírico-escéptico, Nassim Nicholas Taleb.

La verdad es que me ha defraudado un poco (supongo que por las altas expectativas que me había generado, después de oír los comentarios de los que lo habían leído antes) y se me ha hecho bastante duro de leer y seguir. Quizás es que me estoy haciendo mayor y me cuesta enfrentarme a lecturas "duras"... no lo sé (o quizás es que me convenció desde muy pronto y me "sobraron" muchos argumentos...)

Volviendo al tema del libro, lo que es indudable es que los conceptos que incluye son esenciales y un `must` para todos los que estamos involucrados, de una u otra forma, en gestionar la seguridad de la información. Básicamente, hay para mí 4 conceptos esenciales:

1. El concepto del cisne negro, como tal... hecho fortuito, gran repercusión, efecto sorpresa...
2. La distorsión retrospectiva que impide a los humanos predecir los sucesos.
3. La falsa creencia de que podemos predecir el futuro basándonos en acontecimientos pasados (el tema del pavo es muy recomendable).
4. Pero, sobre todo, la gestión de la incertidumbre.

En definitiva, una obra esencial, pero que tendremos que armarnos de valor para leerla de manera exhaustiva...

Lectura: "El club del liderazgo"

Este libro cayó en mis manos como obsequio del ISMS Forum tras la intervención de uno de sus autores (José Antonio Sáinz) en la V Jornada Internacional.

Lo primero que he de decir es que se lee rápido, muy rápido. Tanto, que he de reconocer que lo he leído durante un reciente viaje a Praga. Además, de forma literal, durante los vuelos de ida y vuelta (unas 6 horas, más o menos).

Está organizado como una sucesión de monólogos (como bien reza el subtítulo: "Monólogos entrañables para dirigir con talento") de diferentes estilos de dirección.
No me ha descubierto nada especialmente nuevo, pero al menos aporta claridad, sencillez y va al grano de los temas.

Me ha gustado [me he sentido identificado] el primero de los monólogos atribuido a Ladislao Roble (La visión) y el epílogo incluido al final del libro.

100 caminos al éxito #5: El "gobernador" de la seguridad

El pasado mes de septiembre la revista red seguridad publicó un artículo bastante interesante de Miguel García Menéndez titulado "El 'Gobernador' de la seguridad de la información: ¿una nueva cara en el equipo directivo?". Miguel, aparte de ser "buen tipo" es miembro de la Junta Directiva del capítulo de Madrid de ISACA (más conocido como ASIA) y lleva bastante tiempo trabajando en lo que se ha denominado IT Governance.

Aunque lo leí hace tiempo, he estado un poco [bastante] vago (como habréis podido observar) a la hora de escribir y me ha parecido muy oportuno retomar la actividad, comentando brevemente dicho artículo del que recomiendo su lectura detenida.

Básicamente, Miguel parte de la introducción de la figura del CSGO - Chief Security Governance Officer como responsable de "proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización "para desarrollar una serie de conceptos básicos como, por ejemplo, los KRI - Key Risk Indicator o el nuevo paradigma de "las 4 A" como evolución del tradicional CIA (confidencialidad - integridad - disponibilidad).

Todo ello para, al final, hacer la pregunta del millón: ¿No debería ser el CISO este CSGO? Y aquí es donde yo quería llegar.

En mi opinión, la disyuntiva no es si debería ser o no, sino cuándo lo será. Es decir, creo que la única salida que tiene el CISO para evolucionar en una organización es adoptar un enfoque de gestión de riesgos en el marco de una estrategia corporativa. De esta forma se puede aspirar a ese "proceso sistemático de gobierno del valor" y conseguir, además, un enfoque global que permita una gestión de riesgos mucho más eficiente evitando duplicidades y enfoques sesgados de cobertura para los mismos riesgos.

En definitiva, ¿para cuándo el CISO - CSGO?

100 caminos al éxito #4: El CISO nunca dice "no"

No se me entienda mal, no quiero decir que el Responsable de Seguridad sea un don-nadie... ni mucho menos, lo que quiero decir es que al CISO no le pagan para decir que "no" (ojo, tampoco que "sí"), eso es una labor que corresponde a Negocio.

No obstante, cada organización es un mundo y, por eso, es importante que cada uno sepa cual es su rol en la organización en la que está, para saber que es lo que se espera de él/ella.

En mi opinión, el CISO es un experto en el análisis de riesgos tecnológicos y su labor se circunscribe a poner de manifiesto cuales son los riesgos de las opciones presentadas por negocio para que, en conjunción con los beneficios que se esperan, se pueda tomar la mejor decisión posible. Por eso, no es nuestra labor decir que "no", sino que lo que se está proponiendo supone ciertos riesgos que han de ser sopesados para que, en caso de ser asumidos, seguir adelante o, si por el contrario, se considera que no son asumibles, hacer las modificaciones que corresponda.

Actuar de esta manera, evitaría que los responsables de seguridad tengan esa imagen interna de ser el/la que siempre dice "no" y que no tiene ninguna visión de negocio.

Fotografía tomada de www.librarybytes.com

Adagreed: Un ejemplo de poner los usuarios en el centro

Cuando la semana pasada comentábamos la necesidad de cambiar el enfoque y poner a los usuarios en el centro de las organizaciones me vino a la memoria la presentación que realizó Artur Sales, Presidente de adagreed en la pasada jornada sobre Internet organizada por la Comunidad de Madrid y ANEI el pasado mes de mayo.

En ella, Artur nos explicó la estrategia de adagreed que consiste, básicamente, en hacer que los usuarios sean los protagonistas de la publicidad en lugar del rol pasivo actual. El planteamiento es revolucionario y, desde mi punto de vista, brillante... de hecho, yo ya soy usuario y estoy empezando a experimentar con lo que ofrece el portal.

Creo que este es el tipo de cambios a realizar cuando comentaba lo de "poner a los usuarios en el centro", hace falta un cambio de 180º y partir de un folio en blanco, sin ataduras al modelo previo.

P.D.: Por cierto, os dejo aquí el link a la presentación estilo pecha kucha que utilicé en dicha jornada para hablar sobre el impacto de la seguridad en el uso de internet.