30 junio 2009

ISO 20000 para PYMEs

Uno de los principales culpables de que le dedique menos tiempo a publicar comentarios en el blog es un proyecto de implantación de ISO 20000 en PYMEs en el que estoy participando. El objetivo es muy sencillo: ¿No dice el estándar que el Sistema de Gestión de Servicios TI (SGSTI) que propone la ISO 20000 es válido para organizaciones de cualquier tamaño? Pues vamos a demostrarlo implementándolo en PYMEs, con todas las limitaciones de este tipo de empresas (pocos recursos técnicos, pocos recursos humanos, pocos recursos económicos) y alguna más que nos hemos buscado, ya que para conseguir que el proyecto sea subvencionado por el Plan Avanza los plazos de implantación deben garantizar que dichos SGSTIs estén certificados antes de fin de 2009.

La verdad es que es un proyecto muy complejo, tanto a nivel "técnico" como a nivel de gestión. Pero de momento puedo decir que, con sus puntos fuertes y sus áreas de mejora, el proyecto marcha más o menos según lo previsto. Y aunque todavía no tengamos resultados definitivos, sí que hay algunos aspectos que a día de hoy ya creo que se pueden ir destacando. Entre ellos, tenemos:
  • Para las empresas que venden servicios TIC realmente la ISO 20000 tiene importantes connotaciones de negocio: sólo el hecho de adecuar los servicios prestados a las exigencias de la norma está proporcionando ventajas competitivas a las organizaciones a la hora de posicionar sus servicios respecto de los de la competencia.
  • Un SGSTI no tiene por qué ser un monstruo: Si atendemos exclusivamente a los requisitos mínimos que exige la ISO 20000, es posible desarrollar procesos y servicios con unas dedicaciones totalmente asumibles por pequeñas organizaciones.
  • No es imprescindible una super-herramienta para implementar los procesos definidos por la ISO 20000: Aunque las herramientas ayuden mucho, unas pocas aplicaciones bien seleccionadas, la voluntad del equipo de trabajo y un poco de sentido común nos pueden permitir suplir las funcionalidades de herramientas de elevado coste.

En definitiva, sigo pensando no sólo que es posible implementar un SGSTI certificable bajo ISO 20000 en una PYME, sino que un proyecto bien definido en este ámbito puede permitir a dicha PYME obtener beneficios directos y tangibles a la hora de comercializar sus servicios TI, con una inversión relativamente pequeña y amortizable a corto plazo. Y a día de hoy, eso es todo lo que puedo contar...

Publicado por Joseba Enjuto en 3:10 PM 0 comentarios Enlaces a esta entrada
Etiquetas: , ,
Compártelo: | | | | |

24 junio 2009

Tecnología Vs Uso

Hoy me he encontrado con este post, un poco por casualidad, pero la verdad es que me ha resultado muy interesante. En él, un conocido blogger (entre otras cosas) analiza las implicaciones de la tecnología de reconocimiento facial en función de los casos de uso, a través de dos casos concretos con distintas implicaciones y percepciones incluso opuestas de la misma tecnología.

La verdad es que el post me parece un ejemplo muy ilustrativo de la neutralidad tecnológica y de cómo lo importante no es la tecnología en sí misma, sino el uso que se haga de ella. E incluso hay que tener en cuenta que usos similares en entornos distintos pueden tener consecuencias muy diferentes, y apreciaciones subjetivas muy distintas, en función de las características del entorno.

Más allá del propio ejemplo, sería muy interesante analizar la aplicabilidad de la LOPD a los usos comentados en el artículo, y las implicaciones que puede tener eso de poder identificar a las personas que aparecen en las fotografías. ¿Estamos en un ámbito estrictamente personal, o es dicha ley aplicable? ¿Qué entidades desempeñarían cada uno de los roles definidos por dicha reglamentación? Un caso de estudio bastante interesante para cualquiera que esté dispuesto a moverse por terrenos resbaladizos, creo...

En definitiva, creo que el citado artículo supone un estupendo ejemplo para poder analizar cómo lo técnico, lo legal y lo moral se entremezclan hasta mucho más allá de lo que podríamos suponer en un principio. ¿Está nuestra sociedad preparada para dar respuestas a estas situaciones? ¿En los 3 ámbitos? Seguro que todavía hay mucho que decir al respecto.
Publicado por Joseba Enjuto en 3:13 PM 1 comentarios Enlaces a esta entrada
Etiquetas: , , ,
Compártelo: | | | | |

02 junio 2009

Seguridad en prensa

Estos últimos días me ha llamado la atención ver cómo algunos incidentes de seguridad han trascendido más allá de los medios especializados y han llegado a la prensa generalista. Puede que sean situaciones un poco anecdóticas, pero también es cierto que a veces este tipo de hechos son formas muy efectivas de difundir al público en general ciertos conceptos que sin la anécdota jamás llegarían a calar.

El primero es la difusión pública de un vídeo porno en una torre de préstamo de bicis. Parece ser que algún hábil pirata informático consiguió acceder al terminal de préstamo de bicis y reproducir el citado vídeo porno en lugar de la aplicación que controla el alquiler de las bicis. Y claro, en plena calle no tardó en ser advertido por los viandantes... hasta que finalmente la policía "resolvió" el incidente tapando la pantalla con unos folios.

El segundo, mucho más desapercibido, es la posibilidad que tuvieron los periodistas de escuchar una conversación privada entre los presidentes de Brasil y Venezuela porque los aparatos de traducción automática se conectaron antes de tiempo. En este caso fueron los agentes de seguridad los que resolvieron el incidente, recogiendo los aparatos repartidos.

Dos simples ejemplos de incidentes de seguridad relacionados con la integridad de la información visualizada en el primer caso y la confidencialidad de la información hablada en el segundo. En conjunto, un buen ejemplo para recordar algunos conceptos básicos, como:
  • Los incidentes de seguridad pueden tener efectos directos sobre temas tan estratégicos como el prestigio y la imagen.
  • Los terminales públicos también deben ser apropiadamente securizados, aunque aparentemente su importancia pueda no ser excesivamente grande.
  • No sólo la información en soporte electrónico es susceptible de ser atacada.
  • Cualquier medio es susceptible de ser utilizado para provocar una violación de la seguridad.

En definitiva, dos buenos ejemplos para utilizar en las típicas charlas de seguridad que a todos nos ha tocado dar alguna vez.

Publicado por Joseba Enjuto en 2:58 PM 0 comentarios Enlaces a esta entrada
Etiquetas:
Compártelo: | | | | |

28 mayo 2009

Seguridad abierta

Lo sé. Últimamente casi no posteo nada. La verdad es que el trabajo diario me está consumiento todo el tiempo y más... Aunque la verdad es que lo asumo de buen grado, porque los proyectos que estamos desarrollando lo merecen. A ver si un día de estos me salto mi regla no escrita de no hablar de los proyectos que tengo y os presento alguno...

Al grano. Surfeando por la red me he encontrado, sin saber muy bien cómo, con un artículo en el que se habla de innovación abierta. Un artículo que, en su interior, afirma que las empresas "han levantado sistemas de defensa antiaérea para explotar su conocimiento", en los que "los escudos antimisiles tienen forma de patentes y contratos de confidencialidad". Y contrapone este planteamiento al de la innovación abierta, afirmando que la libertad personal es imprescindible para generar nuevo conocimiento, que eso supone descontrol, y que "los sistemas de gestión están diseñados para que eso no ocurra".

Estas frases me han hecho reflexionar. ¿Realmente son tan contrarias la innovación-libertad y el control-gestión? El artículo habla de innovación abierta, de la innovación desarrollada no de forma aislada dentro de las organizaciones sino en cooperación con el exterior. ¿Realmente los escudos de seguridad de las empresas son un freno a la innovación, y por tanto al negocio?

La clave, como parece obvio, debería estar en el "justo medio", en la libertad controlada, en el caos gestionado (y seguro). Aunque claro, es más fácil decirlo que hacerlo. Existe la seguridad abierta? La seguridad siempre ha consistido en poner límites, acotar, controlar. En resumidas cuentas, restringir parcialmente la libertad. Y no obstante, yo creo que libertad y seguridad son compatibles, tal y como podemos interpretar de las posturas de Hobbes. En el fondo, sería algo así como que la libertad de un individuo acaba donde comienza la seguridad del resto...

De todas formas, la seguridad abierta tampoco me parece imposible de conseguir. Al igual que en criptografía ya se produjo el cambio de mentalidad de la "seguridad por oscuridad" a la "seguridad abierta", estoy convencido de que ese mismo cambio es posible que se pueda producir en otros ámbitos relacionados con la seguridad. De todos modos, mi gran duda al respecto es ¿Estamos preparados para asumir el cambio de mentalidad que requiere?

En definitiva, creo que el sector de la seguridad debe ir soltando lastre, olvidando los viejos paradigmas de la seguridad en los que la caja fuerte más segura es aquella que no tiene puerta y tratar de avanzar por el camino de la seguridad abierta. No obstante, también creo necesario recordar a los "ultras" de la "apertura" que, al igual que existe el límite entre libertad y libertinaje, nunca será posible una seguridad 100% abierta. Al fin y al cabo, en los sistemas de criptografía pública también hay una clave secreta, verdad? Aunque claro, encontrar ese límite ya es otro cantar...
Publicado por Joseba Enjuto en 3:08 PM 2 comentarios Enlaces a esta entrada
Etiquetas: ,
Compártelo: | | | | |

14 mayo 2009

No lo hagas sin proteccion

El consejo es de Forrester, y no hablan de sexo. Hablan de externalizar servicios en la nube sin tomar las precauciones previas necesarias, en materia de:
  • Seguridad
  • Privacidad
  • Propiedad intelectual
  • Cumplimiento legal

Este tema no es nuevo para los lectores de este blog, pero ahora que lo dice una consultora con tanto prestigio, seguro que el mensaje cala más...

Y ojo, que si el salto a la nube "en general" tiene sus riesgos, en materia de seguridad puede que incluso sean todavía mayores. Y si tres de cada cuatro empresas lo están haciendo, podemos estar ante un problema de dimensiones mucho mayores de las aparentes...

Publicado por Joseba Enjuto en 3:19 PM 2 comentarios Enlaces a esta entrada
Etiquetas: , ,
Compártelo: | | | | |

07 mayo 2009

Videovigilancia y LOPD

Hoy he leído un informe jurídico de la AEPD relativo a las copias de seguridad en los ficheros de videovigilancia que, sinceramente, me ha dejado impactado. No por el contenido, que en realidad tiene bastante lógica desde el punto de vista legal, sino por las implicaciones prácticas que tiene. En resumen, viene a decir que:
  • Todos los ficheros de videovigilancia tienen que tener backup.
  • La cancelación mensual de los datos no supone su borrado definitivo, sino sólo que no puedan ser tratados (accedidos).
  • Tanto los datos originales como el backup sólo podrán ser eliminados cuando estemos seguros de que no incumplimos ninguna responsabilidad legal al hacerlo.

En definitiva, que los sistemas más habituales, de sobreescritura mensual, no cumplen la LOPD. Necesitaríamos sacar esta información a un soporte externo al sistema antes de que fuese sobreescrita, y almacenarla en un medio no directamente accesible por el sistema original durante un tiempo mayor, antes de poder eliminar definitivamente la grabación. ¿Cuánto tiempo? Es mi principal duda. Seguro que los abogados pueden contestar a esto mejor que yo, pero me da la sensación de que, si entendemos de forma amplia eso de no incumplir posibles responsabilidades legales, posiblemente podamos llegar a situaciones en las que el requisito puede ser de varios años... Y eso conlleva unos costes importantes, ya que el backup es continuamente creciente. Espero equivocarme, porque si no puede que los fabricantes de soportes hagan el agosto a costa de este informe jurídico... y de las empresas con ficheros de videovigilancia.

Publicado por Joseba Enjuto en 3:13 PM 2 comentarios Enlaces a esta entrada
Etiquetas: ,
Compártelo: | | | | |
Suscribirse a: Entradas (Atom)