Lectura: "El modelo Google. Una revolución del management"

Llevaba tiempo con ganas de leerlo, porque estoy muy interesado en entender cómo puede crecer una empresa sin perder aquello que la hace especial cuando es pequeña o mediana, y me parecía que saber un poco más sobre la experiencia de Google debía resultar bastante útil.

Efectivamente, conocer un poco más de sus orígenes, de su forma de funcionar resulta útil para todos aquellos interesados en crear una empresa o hacer de su empresa algo distinto y, sobre todo, de éxito como es el caso de Google.

No obstante, como nos recuerda el propio autor: "No será copiando a Google palabra por palabra como podremos crear una empresa rentable. Será más bien formulándonos las preguntas que se hicieron sus directivos e inspirándonos, cuando sea posible, en los métodos que ellos desarrollaron y probaron, adaptándolos a nuestra actividad y a nuestras dificultades. El éxito en la gestión, como en toda otra disciplina, requiere trabajo e imaginación".

En cuanto a los mecanismos empleados en Google que me han resultado más llamativos me gustaría destacar los siguientes:

• Seleccionar solo a los mejores
• Dar prioridad a la motivación intrínseca
• Crear equipos de trabajo pequeños (este me ha llamado la atención, sobre todo por la relación con el libro de Koldo Saratxaga)
• Utilizar la tecnología para la coordinación
• 20% del tiempo de los ingenieros para sus proyectos personales
• Tarificación basada en un sistema de subasta (denominado francés y que yo desconocía pero que me ha resultado muy curioso e inteligente)
• Automatizar la relación comercial

En definitiva, una lectura muy recomendable para los que penséis que existen otras maneras de hacer las cosas...

Presentación del Data Privacy Institute

[Post online]

Hoy estoy teniendo la oportunidad de asistir a la presentación en sociedad de una nueva iniciativa del ISMS Forum Spain: el Data Privacy Institute. Hemos tenido la suerte de poder contar con D. Artemi Rallo, Director de la Agencia Española de Protección de Datos que, al margen de desearle suerte a la iniciativa, ha mostrado su interés en que los profesionales que nos dedicamos a la privacidad nos organicemos.

Al margen de esto, el Director de la Agencia nos ha comentado brevemente la iniciativa en marcha de todos los organismos encargados por velar por la privacidad a nivel global. Os indico aquí los principales puntos sobre los que está versando este trabajo, comentados por el propio Director:

• Adopción de un marco global para facilitar la protección de datos de carácter personal a nivel mundial.
  
• Revisión de algunos conceptos obsoletos: fichero, figuras involucradas en el tratamiento de datos (para reflejar mejor la realidad)...
  
• Cooperación entre organismos internacionales de protección de datos

Seguimos ahora con la presentación del DPI - Data Privacy Institute realizada por su Director (Toni Bosch) y Subdirector (Carlos Saiz)...

Me ha encantado oir sobre la iniciativa de certificación de profesionales, porque ya sabéis que es un tema que ya hemos comentado antes aquí.

Festival de Mérida

El año pasado lo probé por primera vez (ya lo sé, imperdonable para un extremeño de adopción muy orgulloso de serlo) y este año repito...

Ya tengo mis entradas para el Festival de Mérida de este año.

Si no habéis estado, os lo recomiendo... además es una buena excusa para hacer alguna pequeña excursión para Extremadura...

100 caminos al éxito #2: Evidencia la aportación de la seguridad al negocio

Una vez que hemos entendido cuál es nuestro rol en la organización, nos toca el siguiente ejercicio: Entender y hacer evidente cuál es la aportación de la seguridad al negocio.

Bajo mi punto de vista, esta es una de las principales causas de que luego surjan múltiples dificultades en la realización de iniciativas promovidas por el área de seguridad: el negocio no las entiende, no comprende qué les aportan esas iniciativas y cuesta mucho que las apoyen. Por eso, comentábamos hace bastante tiempo la paradoja que se producía en los Planes Directores de Seguridad cuando después de finalizarlos nos encontrábamos en la situación de tener que defender la ejecución de cada uno de los proyectos resultantes de dicho plan.

Para mi, hasta este momento, la mejor forma de demostrar esta aportación, esta relación con el negocio ha sido mediante el Árbol de Objetivos Intermedios proporcionado por la Teoría de las Limitaciones de Goldratt (que ya sabéis que es mi herramienta favorita) aunque otros prefieren métodos más clásicos como el Balanced Scorecard de Kaplan y Norton.

El Árbol de Objetivos Intermedios permite representar gráficamente la estrategia de la compañía y podemos aprovechar su potencia para demostrar al resto de la organización, donde la seguridad "engancha" con el negocio. De esta forma, podremos identificar las 4 ó 5 líneas estratégicas en las que enfocará su desempeño la función de seguridad, del mismo modo que lo hace "Negocio". Aunque parece simple, no lo es y cuando se consigue es realmente potente.

¿Qué opináis vosotr@s?

Lectura: "Patrolling Cyberspace"

Tenía pendiente, desde que nos lo regalaron en la IV Jornada Internacional del ISMS Forum, la lectura del libro del que fue uno de los ponentes invitados, Howard A. Schmidt (ex-Asesor de la Casa Blanca en materia de ciberseguridad y otras muchas cosas..)

Se lee bastante bien y es bastante interesante el repaso que hace de los primeros incidentes en materia de seguridad y del fenómeno "hacker" desde su perspectiva de miembro del FBI.

Por otra parte, aunque es un libro de 2006, contiene reflexiones que siguen siendo de aplicación (de hecho, aún más, después del discurso de Obama sobre la importancia de la ciberseguridad). Os dejo aquí algunas de ellas:

"There were no published reports of the Chinese government taking any actions against the China-loyal hackers... This also marked the appearance of the China Eagle Union as an aggressive hacker group with international targets."

"I fear that some day a cybercatastrophe will occur because the existing disorganization between agencies was so acute that the evidence collected by the various jurisdictions was not share and, therefore, the necessary electronic dots could not be connected. [...] This is especially critical when the target migrates from money to threats on the nation's critical infrastructure."

"Almost 85% of the nation's critical infrastructure is in private hands (se refiere a EE.UU. pero en Europa supongo que será algo similar). [...] While good for consumers seeking lower prices and more choice, it was bad for promoting any type of cooperation and information-sharing [...] in order to develop a comprehensive method to secure the critical infraestructure that is in their care".

"Effective response to any disaster is based on preparation. Our system is based on a free market economy, so we are faced with another potencial source for failure when company profits are not inverted to the degree necessary for optimal security." (esto es lo que hemos hablado otras veces sobre el componente de externalidad implícito en la seguridad)

"We all need to do our part to secure our place in cyberspace"

100 caminos al éxito #1: Entiende tu rol

Una de las primeras cosas que debemos hacer, si no lo has hecho incluso antes de incorporarte a tu puesto como responsable de seguridad (a.k.a., CISO) es: Enteder cuál es tu rol en la organización.

Seguro que tu jefe te habrá explicado lo que espera de ti, pero no es todo lo que debes saber, créeme. En todas las organizaciones siempre hay toda un conjunto de relaciones no explícitas que "mandan" casi tanto como las explícitas y, lo que se espera de ti como responsable de seguridad, también tendrás que extraerlo de ese conocimiento implícito. Y la única forma que se me ocurre para hacerlo es estableciendo buenas relaciones con todos los actores de la organización.

Para entender bien tu rol deberías ser capaz de tener respuesta a unas cuantas preguntas:

• ¿Mi rol ha de ser más operativo o más prescriptor? Es decir, me encargaré de operar los mecanismos de control o crearé las pautas para que sean administradas por otro grupo de la organización.
  
• ¿Cómo se orquestará la relación con los administradores de seguridad?
• ¿Qué tipo de relación se espera que establezca con las áreas de negocio?
• ¿Se espera de mi que sea el que frene todas las actividades arriesgadas que se produzcan o el que busque mecanismos para minimizar el riesgo de las mismas? Es decir, tengo que ser un héroe o un villano (por eso lo de Anakin).
  
• ¿Me tengo que limitar a hacer cumplir con la LOPD (y similares) o puedo establecer objetivos más ambiciosos? Ya sabéis, ISOs y cosas por el estilo...
  
• ¿De quién es responsabilidad "eso de la disponibilidad de los sistemas"?

No parecen muchas (tampoco deberían serlo, ¿no?), pero desde luego son básicas para que los pasos que demos a partir de este momento estén bien orientados y no nos generemos más problemas de los necesarios.

¿Cómo lo veis? ¿Me he dejado alguna?

Espero vuestros comentarios y nos "vemos" en la próxima entrega de la serie...

"Emulando" a Tom Peters

Evidentemente no soy Tom Peters (ni de lejos), solo leo periódicamente su blog y he pensado que podría estar bien compartir con todos vosotros mis ideas al estilo de sus "100 Ways to Succeed", sobre lo que debería hacer y tener en cuenta (siempre, en mi humilde opinión) un responsable de seguridad (o CISO, como solemos decir cuando queremos utilizar un termino más fashion).

Seguro que muchas de las cosas que diga serán opinables, así que estaré encantado de comentarlas con todos aquellos que os animeis a dejar algún comentario. De hecho, lo ideal sería que pudiéramos aprovechar las experiencias de tod@s para hacer nuestra vida más llevadera y no caer en los mismos errores en los que ya cayeron otr@s en el pasado.

No sé si llegaremos a los 100 posts en esta serie (Tom va ya por el 175, pero ya hemos quedado en que no soy Tom), me conformo si sirve para que alguno de vosotr@s encontráis util alguna de mis ideas.

Internet: nuevo medio para viejos actos

Ya lo hemos comentado alguna vez aquí, aquí y aquí pero es que la noticia del chantaje a menores utilizando Internet me lo ha vuelto a recordar:

"We have not found any new crimes as a result of the Internet; criminals are just finding new ways to commit old crimes".
"No hemos encontrado nuevos crímenes como resultado de Internet; solo es que los criminales están encontrando nuevas formas de cometer los viejos crímenes".

Kevin Delli-Colli, Deputy Assitant Director, Financial Investigations, U.S. Department of Homeland Security

El CISO es como otro directivo más

Esa es mi conclusión después de la V Jornada Internacional organizada por el ISMS Forum el pasado 28 de mayo: El CISO es como cualquier otro directivo de la compañía. Después de escuchar las intervenciones de Ron Collete, Khalid Kark, Serge Moreno, Raúl Avedillo o Miguel Rego y de la mesa redonda que tuve oportunidad de moderar con el propio Ron, Nils Puhlmann y Justin Somaini esa es la gran conclusión...

Al fin y al cabo, el CISO tiene un rol directivo en la Organización y su perfil será el de un gestor típico de la organización a la que pertenece (la cultura empresarial evidentemente tiene un peso decisivo en el tipo de CISO adecuado para la organización).

Llevamos demasiado tiempo dándole vueltas a cómo debe ser un CISO y no nos hemos dado cuenta de que un CISO no es nada más (y nada menos) que un directivo...

¿Quién nos lo iba a decir, verdad?.

Solana y el ciberespionaje

Ayer tuve la oportunidad de asistir a la Conferencia que Javier Solana ofreció en el marco de la Fundación ESYS - Fundación de Empresa, Seguridad y Sociedad. La verdad es que nunca imaginé que se pudiera generar el revuelo a raíz de una pregunta, en principio inofensiva de mi buen amigo, Alfonso Bilbao, sobre la ciberseguridad... y es que el propio, Javer Solana reconoció haber sido espiado durante un largo período por una potencia extraeuropea gracias a algún tipo de software instalado en su ordenador, ¡casi nada!

Lo cierto es que fue una intervención muy interesante, como no podía ser menos viniendo de una persona que en los últimos años ha tenido la oportunidad de intervenir en negociaciones y conversaciones al más alto nivel en todo el mundo.

En su exposición hizo un breve repaso de la situación actual y de los riesgos a los que Europa y los europeos tendremos que hacer frente en el corto plazo según el Alto Representante para la Política Exterior y de Seguridad Común de la UE. Además de exponer claramente que afrontamos riesgos globales con medios y regulaciones locales, Javier Solana enumeró los que, en su opinión, son los principales riesgos para los próximos 15 - 20 años:

1. La proliferación de armas nucleares.
2. La seguridad energética.
3. El cambio climático.
4. Los agentes no estatales en Seguridad.

Muy interesante, cierto, pero sobre todo porque, al final, te das cuenta que esto de la seguridad no es tan diferente de otros ámbitos: También afrontamos retos globales con medios locales y, por supuesto, los agentes no estatales son unos de los principales actores en lo que respecta a nuevas formas de fraude y de robos de identidades en Internet.

En fin, una charla muy enriquecedora de alguien que lleva mucho tiempo viviendo Europa en profundidad.

Las personas hacemos las empresas

Esta semana he tenido la oportunidad de asistir a un evento en el que estuvimos discutiendo sobre un nuevo modelo organizativo (aunque no es relevante, diré que era sobre la convergencia de seguridad lógica y física).

Después de analizar todas las bondades del modelo y considerando lo poco habitual que es encontrárselo en la actualidad, se me ocurrió preguntar a los ponentes por los frenos que ellos consideraban que impedían su adopción. La respuesta fue tan simple como rotunda (gracias, Manuel): "Las personas" [con la Iglesia hemos topado, amigo Sancho].

Podríamos recurrir a la manida resistencia al cambio, pero después de leer la última novela del Dr. Goldratt, "The Choice" (gracias, Mario) coincido con él en que el comportamiento de las personas depende de sus zonas de confort: dentro de ellas encontramos mentes abiertas y acción, pero fuera, solo vemos dudas y resistencia.

Y si no lo veis, pensar en cuántas veces, en vuestras propias organizaciones os encontráis con comportamientos asociados a esta idea:

• Personas que han cambiado de función pero que no se desenganchan y siguen inmiscuyéndose en la labor de su sucesor.
• Procedimientos que se cambian pero que, a pesar de todo, las personas seguimos haciéndolo como antaño.
• Profesionales comerciales con reticencias a vender los nuevos productos y servicios diseñados por la empresa.
• Profesionales que no aplican las mejoras en los medios de producción o no aplican las nuevas líneas de reporting.
• Y así, un largo etcétera de situaciones cotidianas que están explicadas por el mismo factor, no queremos salir de nuestras zonas de confort.

En definitiva, que somos nosotros los causantes de nuestras propias desdichas por nuestros miedos a lo que escapa de nuestro control / influencia [si es que alguna vez estuvo]. Por eso, la labor de un jefe debe ser explicar detallada y claramente los cambios, las nuevas situaciones de forma que todo el mundo sienta que no tiene nada que temer de las mismas y si, aún así, hay alguna persona que se resiste, desde luego, tomar medidas para que el resto (que sí ha adoptado los cambios) no se vean perjudicados.

Primer Blogger Security Summit

El pasado 3 de febrero tuvo lugar la primera reunión de bloggeros de la seguridad de la información (1st Security Blogger Summit) y si yo tuviera que hacer mi resumen, diría que se habló sobre todo de 2 aspectos:

• La concienciación de los usuarios, y de la sociedad en general, es un aspecto fundamental para lograr la mejora del nivel de seguridad de la red, siendo los usuarios domésticos los más afectados.

• La habilitación de mecanismos de respuesta (con las dificultades que eso conlleva en cuanto a saber qué ha pasado y la problemática de la distinta regulación en diferentes países) es imprescindible para generar confianza en los usuarios de Internet.

En algunos momentos, se generó un debate respecto a si la concienciación era suficiente o no, puesto que algunos bloggeros apostaban más por medidas a corto plazo. En realidad, creo que no debe ser un planteamiento alternativo. En mi opinión, sabemos que los efectos de la concienciación por la que trabajemos ahora los veremos cuando las generaciones actuales crezcan. Pero mientras tanto, no podemos dejar esto como está, así que tenemos que poner controles compensatorios para que en el corto plazo este entorno tenga unas medidas de seguridad razonables.

En ese sentido, no me parece mal el planteamiento de que sea necesaria cierta acreditación para el manejo de determinados sistemas de información. Me explico: la utilización de cualquier herramienta (y más si es un sistema complejo) puede usarse en un ambiente amateur (sin necesitar ningún tipo de acreditación, por ejemplo, una sierra) o en un ambiente profesional (con todo tipo de medidas preventivas y formación específica para que sepa usarse adecuadamente). Pues bien, creo que lo mismo pasa con los sistemas de información; quizás en un entorno doméstico (léase, amateur) podría usarse sin ningún tipo de acreditación (lógicamente), pero también es cierto que en entornos profesionales (y las empresas lo son) quizás tendríamos que plantearnos que el uso de un medio productivo como es un sistema de información debería requerir de un planteamiento más profesional: formación, acreditación previa (a modo de Carné de manipulador de alimentos), etc.

Ahí queda el debate...

En qué se parece un consultor y un bar

Una cosa que no os había contado es que me había criado en un bar. De hecho, el bar de mis padres y yo solo nos llevamos 2 meses (yo en julio y el bar en septiembre). Os cuento esto porque podríamos decir que soy consultor y que entiendo de bares. Y lo que quería contaros tiene que ver con las dos cosas.

Hace unos días hablaba con un buen amigo (también consultor) y me comentaba que un cliente suyo había descubierto que tenía que hacer consultoría y se había puesto a ello sin más. Y justo a mi me acababa de pasar lo mismo. Como si ser consultor fuera cualquier cosa. Igual que poner un bar, parece que cualquiera puede montar un bar.

Durante los más de 30 años que he pasado en el bar de mis padres, he visto a su alrededor montar decenas de bares y... cerrarlos en menos de 1 año. Y es que una cosa es tener el dinero para montar un bar y, otra muy distinta es ser capaz de sacar adelante ese negocio: Para todo hay que ser profesional, tanto para ser consultor como para montar un bar.

Ya sé que hay muchos chistes sobre los consultores y que se hacen muchas gracias sobre ser consultor, pero la verdad es que ser un consultor experto no es trivial y mucho menos lo es subsistir como consultor con el paso del tiempo.

En fin, una reflexión liviana para ir reentrando en la rutina...

Lecturas de verano (yIV)

Y para finalizar con las lecturas del verano, esta magnífica obra sobre la construcción de métricas de seguridad, "Security Metrics" de Andrew Jaquith.

No es una obra que se limite a enumerar métricas de seguridad, sino que "te enseña a pescar": qué debemos buscar, cómo construirlas, qué graficos emplear, qué colores... y también, claro está, algunos ejemplos.

Me han gustado muchas reflexiones, pero os comento las más destacadas (a mi juicio):

• No debemos confundir las métricas de seguridad con el análisis de riesgos (por cierto, mi alter ego acaba de escribir sobre esto y coincide con Andrew sobre el problema que suponen las estimaciones para una buena medida).
• Que las métricas deben ser: consistentes, baratas de obtener, expresadas como un número cardinal o un porcentaje, que deben utilizar al menos una unidad de medida y deben ser específicas del contexto.
• La explicación que hace de la utilización de métricas para el diagnóstico de problemas, apoyándose en el funcionamiento de los experimentos científicos que no tiene desperdicio.
• Evidentemente, el catálogo de métricas para el diagnóstico de problemas y la medición de la seguridad técnica (capítulo 3) y para medir la efectividad del programa de seguridad (capítulo 4) [por cierto utilizando COBIT].
• Y, finalmente, el ejercicio de análisis para conseguir un balanced scorecard para la seguridad de la información que, aunque yo prefiero utilizar TOC, no quita para que sea un buen ejercicio de identificación de métricas relacionadas con el negocio (que es al fin y al cabo lo que perseguimos con este tipo de cuadros de mando).

En definitiva, indispensable para aquellos que nos dedicamos al buen gobierno de la seguridad de la información...

Lecturas de verano (III)

Lo compré siguiendo la recomendación de "mi jefa" que le gustó el título y no se equivocó (como casi siempre). Durante algunos momentos de la lectura, me recordó a ciertos episodios de comienzos de mi carrera profesional. Y es que Ferrazzi me recordó a un "compañero" que empezó conmigo en una de las big four y que demostró entender de que iba el asunto y manejarlo como un auténtico maestro. Evidentemente el llegó a socio mucho antes de que yo me marchara (sin llegar ni siquiera a senior manager). Gracias a Dios, parece que Ferrazzi aprendió algunas lecciones sobre su estilo de liderazgo que creo que mi antiguo "compañero" todavía no ha aprendido (quizás debería recomendarle el libro).

Bueno, yendo al tema, es un libro que trata sobre cómo hacer networking y para los que me conocéis, os podréis imaginar que me ha venido muy bien, porque no es precisamente algo que domine. Todavía tengo pendiente decidir cuánto esfuerzo quiero dedicarle, pero indudablemente su forma de ver el networking me ha ayudado a darle un nuevo enfoque, sobre todo porque he visto que puede ser algo que se desarrolle, no algo innato (aunque evidentemente, hay algunos más predipuestos que otros).

Como en los casos anteriores os adjunto algunas citas:

"... el verdadero networking consiste en encontrar maneras de hacer que otros obtengan éxito".

"Las relaciones se solidifican con la confianza".

"... es más fácil avanzar en la vida cuando las personas que trabajan para ti quieren ayudarte, que cuando desean tu fracaso."

"Si no haces amigos al relacionarte con la gente más vale que te resignes a tratar con gente a la que no le importa demasiado lo que te pueda pasar."

"Ser invisible es un destino mucho peor que fracasar. Eso significa que debes intentar conectar con otros siempre..."

"No dejes que la vanidad se filtre en tu manera de actuar, ni que cree en ti una sensación de merecer tu éxito"

Así que ahora, sólo me queda ponerlo en práctica... Ya os contaré que tal me va...

Lecturas de verano (II)

Voy a continuar con "La nueva gestión del Talento". Es el primer libro que leo de Pilar Jericó. Ya sabéis que la tengo entre mis preferencias, pero no había tenido oportunidad de leerla hasta este verano y no me ha defraudado en absoluto.

Creo que todos aquellos a los que os preocupa cómo ser un buen jefe, deberiáis pasar por esta lectura. No tiene desperdicio.

No quiero destriparos su lectura, pero si incluiros algunas citas que me han gustado en especial:

"Todos tenemos talento, pero no tenemos talento para todo"

"La gente se esfuerza más como resultado de un compromiso emocional, que no racional".

"El compromiso es como un baile en pareja, el resultado de dos, de la capacidad de comprometerse del profesional y de las actuaciones de la empresa."

"El compromiso se crea en la práctica y no con palabras bonitas."

"... ¿qué es preferible, un profesional con menos capacidades, pero con más alto nivel de compromiso, o con altas capacidades, pero con bajo compromiso con la empresa? Si lo importante es el talento de los equipos, la respuesta resulta fácil."

... Y no voy a seguir porque tengo decenas de frases más que podría añadir pero prefiero que os lo leáis. Son solo 200 páginas, que se devoran en un par de días.

Para finalizar, deciros que en mi opinión, los primeros capítulos son introductorios y que, los que más me han aportado, son los capítulos del 4 en adelante. Y sobre todo, el decálogo del gestor del talento que se recoge, a modo de resumen, en el último capítulo.

Gracias, Pilar y... ¡Enhorabuena!

Lecturas de verano (I)

Como habréis visto, he estado un tiempo sin escribir. Ya lo sé. Mal hecho. Pero os prometo que no he estado perdiendo el tiempo: Le he dedicado bastante tiempo a la lectura, así que he pensado que podía compartir con vosotros (los 2 ó 3 que leéis este blog) mis lecturas y mis opiniones sobre ellas.

Voy a empezar por "SUN TZU - El Arte de la Guerra para Directivos" de Gerald A. Michaelson. No por nada en especial, simplemente por orden cronológico.

La verdad es que necesitaré otra lectura para analizarlo en detalle. Era lo que esperaba. Pero sobre todo me ha gustado una cita de la que se hace eco el autor casi al final del libro y que se le atribuye a "un señor de la guerra de China":

"El que consigue una victoria se convierte en Emperador.
El que consigue dos, en Rey.
El que consigue tres, en Señor Protector.
El que gana cuatro, queda exhausto.
El que gana cinco, sufre calamidades"

En resumen, no libre batallas que no puede ganar. "Los buenos políticos negocian. Los malos políticos emprenden batallas.

Coopetir con empresas públicas

[Dedicado a superJ]

Cada vez es más habitual coopetir con empresas públicas. Tirando de Wikipedia eso quiere decir, "aquella que es propiedad del Estado, sea este nacional, municipal o de cualquier otro estrato administrativo, ya sea de un modo total o parcial". Y en la legislación española (me ha costado encontrarlo, lo admito), según el Real Decreto Legislativo 1091/1188, son Sociedades Estatales [...] "las Sociedades mercantiles en cuyo capital sea mayoritaria la participación, directa o indirecta, de la Administración del Estado o de sus Organismos Autónomos y demás Entidades estatales de derecho público." y en la Ley 6/1997 de Organización y Funcionamiento de la Administración General del Estado en la que se establece que "Las sociedades mercantiles estatales se regirán íntegramente, cualquiera que sea su forma jurídica, por el ordenamiento jurídico privado, salvo en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero y contratación. En ningún caso podrá disponer de facultades que impliquen el ejercicio de autoridad pública."

En resumen, que en algunas ocasiones actúan como proveedores, actuando como canal para contratar servicios con la Administración Pública y, en otras, compiten con nosotros para proveer de dichos servicios a la Administración (por eso, lo de coopetir).

¿Qué opináis de la coopetencia?
------
La foto es de akash en Picasa

Cifrar versus Encriptar

Me vais a perdonar... Ya sé que es una chorrada y que no va a ninguna parte, pero me pone muy nervioso.

Soy de la opinión que es mejor utilizar los términos en castellano cuando estos existan y dejar los anglicismos para cuando no quede más remedio (que ya son bastantes). Pues eso me pasa con los términos cifrar y encriptar. Aunque tendemos a usarlos como sinónimos, siento daros la mala noticia de que el término encriptar no existe en el diccionario de la Real Academia y que, en todo caso, significa "meter en una cripta". Ya sé que sería lo más fácil pensando en término inglés, encrypt, pero es aquello que denominamos como un "false friend", es decir, que se parece pero no es...

Así que, ya sabéis, a partir de ahora, acordaros de mi (de este cap...) y cuando vayáis a decirlo, lo pensáis 2 veces, y lo sustituís por "cifrar" que según el mismo R.A.E. significa: "Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar".

---------------
La foto corresponde a la Cripta protorrománica de la Catedral de Palencia

Hablando de seguridad en Extremadura

Ahora que Extremadura está "mucho en los medios" tengo la oportunidad de visitarla para hablar sobre seguridad de la información. Para un extremeño como yo (nací en Madrid, "de casualidad"), es todo un placer visitar su tierra en relación a una de sus pasiones (la seguridad de la información... ya sabéis lo de vida personal-profesional).

Lo he contado en el blog oficial para que aquellos que no lean este blog (el mio es mucho más modesto)... Nos vemos el próximo jueves, día 12, en el recinto ferial (Don Benito) en el marco de ENTER.

P.D.: Seguro que Laurent me encarga una Torta del Casar...