29 septiembre 2008

Seguridad y miedo

Hace unos días leí un post bastante curioso, titulado hacer frente al miedo, que se hacía eco de un estudio en el que se concluye que las personas más miedosas tienden a mantener unas posiciones más conservadoras que los menos miedosos. Y la consiguiente pregunta desde la temática de este blog creo que es obvia: ¿Tiene el miedo alguna relación con la seguridad?

Yo cre que la pregunta tiene una respuesta clara, aunque a veces reconocerla nos pueda resultar incómodo: sí, están relacionados. ¿Alguna vez nos hemos sentido tentados de "asustar" a nuestro interlocutor en un análisis de riesgos con las terribles consecuencias que puede tener una amenaza determinada? ¿Nunca hemos tratado de "meter miedo" a nadie como argumento de venta de la seguridad? Evidentemente, la gestión de riesgos es una tarea con un importante factor implícito de subjetividad, y el miedo es uno de los elementos que puede modificar directamente ese factor... ¿Nadie ha oído nunca el consejo de "vender" un Plan de Continuidad de Negocio al poco tiempo de que una empresa cercana, sectorial o geográficamente, haya sufrido una importante crisis?

Ahora bien, hay una interpretación del artículo que me parece más provocadora que la anterior. En general, creo que no es descabellado pensar que la propia actividad de gestión de riesgos lleva implícita una postura conservadora a la hora de afrontar la tarea. ¿Quiere decir esto que a las personas encargadas de gestionar riesgos se nos podría catalogar como miedosas? ¿O es precisamente el hecho de gestionar esos riesgos la prueba de que esos miedos están superados? El mismo artículo hace referencia a que en pocas ocasiones el miedo se muestra tal y como es, y que en muchos casos aparece disfrazado de otro tipo de comportamientos. ¿Qué estrategias de gestión podrían enmascarar ese miedo? ¿Cuáles de ellas son más apropiadas desde este punto de vista?

Como reflexión final me quedo con otra cita del mismo artículo: "el miedo (...) limita nuestro abanico de alternativas y genera acciones de las que solemos ser los primeros perjudicados". ¿Seremos capaces de integrar como parte de la gestión de riesgos las actividades de superación de nuestros propios miedos como parte de la estrategia global de la compañía? ¿Tendremos así organizaciones más libres? ¿Y más seguras?

24 septiembre 2008

Estas seguro de que estas seguro?

El juego de palabras del título puede parecer divertido, pero plantea una pregunta con mucha miga. ¿Puedes garantizar la seguridad de tus sistemas en este mismo instante? Esa es la pregunta que plantea Sebastián Bortnik en su post Cómo sé si estoy seguro.

La verdad es que es una pregunta con trampa. Si la seguridad completa es imposible de conseguir, nunca podremos asegurar al 100% nuestra seguridad. Eso quiere decir que ese % de riesgo residual se puede traducir en un % de certeza residual acerca de nuestra seguridad plena. ¿Se puede estar un 95% seguro de que los sistemas de información no han sido violados? Eso es precisamente lo que habría que garantizar en términos estadísticos.

Y el artículo continúa con un check-list de elementos a verificar para poder garantizar esa seguridad de los sistemas. Un check-list interesante, sobre todo, para plantearnos cuál es el nivel de supervisión que tenemos sobre nuestra seguridad. ¿Cuántos de estos ítems aparecen en nuestro cuadro de mando de seguridad? ¿En qué parámetros nos basamos para responder a preguntas sobre nuestra seguridad? Vemos la lista:
  • Identificadores de usuario (no) autorizados.
  • Servicios corriendo (no) conocidos.
  • Fecha (des)actualizada y/(o) (des)sincronizada.
  • Sistemas (no) desarrollados bajo normativas y estándares, incluyendo los de seguridad.
  • Vulnerabilidades conocidas (no) parcheadas.
  • Actividad del administrador (no) autorizada.
  • (No) Ausencia de alertas en los sistemas de seguridad -Antimalware, IDS/IPS, SIM, etc.-.
  • Parámetros de funcionamiento de los servidores (in)controlados -carga, ocupación, etc.-.
  • (No) Ausencia de tráfico inusual en la red -firewall, routers, etc.-.
  • Anti-malware (des)actualizado.
  • (No) Ausencia de intentos fallidos de log-on.
  • (No) Ausencia de errores en los logs de los sistemas y aplicaciones.
  • (No) Ausencia de accesos físicos no autorizados.
  • Caídas de los sistemas (no) justificadas.

Seguro que a todos se nos ocurren más apartados a controlar, pero la pregunta es... ¿Cuántos de ellos controlamos? ¿Sobre cuántos somos capaces de responder adecuadamente? Y en última instancia... ¿Qué argumentos tenemos, en realidad, para poder asegurar con bastante certeza que nuestros sistemas son seguros? Porque no olvidemos que hay dos motivos para no registrar incidentes de seguridad: que no los tengamos o que no nos enteremos de que suceden.

22 septiembre 2008

Cesiones al Gran Hermano

La verdad es que hoy no tengo muchas ganas de escribir. Y no porque el tema no sea interesante, sino porque creo que deberíais ser vosotr@s, los lectores, los que escribais.

Últimamente parece que Google está en boca de todos. Nuevo navegador (por cierto, os dejo un link a una comparativa de navegadores que me ha gustado), nuevo sistema operativo para móviles, nueva política de retención de datos, ... Y de fondo, el eterno debate sobre si Google es o no el nuevo Gran Hermano. Al respecto, una de las opiniones más equilibradas que he leído es la de Asbel López, que hace referencia a un aspecto fundamental desde mi punto de vista: la cesión de información a Google es voluntaria. ¿Estais de acuerdo con esta postura? ¿Cambia algo el hecho de que los usuarios sean o no conscientes de esa cesión?

Otro de los aspectos sobre los que me gustaría incitar a la reflexión es el relativo a la significancia individual. Está claro que un árbol en medio de una estepa destaca claramente. Pero si ese mismo árbol está en medio de un bosque de árboles ya no destaca, sólo es uno más, y toda la curiosidad que podía despertar ese árbol tiende a desaparecer. ¿Creéis que cambia algo el hecho de que la información recopilada de cada individuo sea sólo una más entre los millones de individuos de los que se tienen datos? ¿Tendría importancia la existencia de un tratamiento diferenciado de la información de ciertos individuos particulares? ¿Y la no diferenciación de nadie?

Por último, sólo me queda volver a recordar que, desde mi punto de vista, el concepto de privacidad de las nuevas generaciones está cambiando. ¿Cuál es el valor que damos a nuestros datos personales? ¿Es un valor objetivo o subjetivo? ¿Cuál es el valor que tiene la información? No olvidemos que hoy en día también se comercia con la información...

18 septiembre 2008

Abrimos la empresa?

Estos días he leído con bastante interés algunos post acerca de la conveniencia o no de "abrir" la empresa a los "nuevos" servicios web 2.0. En el primero de ellos, tic616 comentaba la noticia de que una cierta empresa estaba considerando relajar las políticas de seguridad para acomodar aplicaciones destinadas a usos personales, ya que "tanta" seguridad podía hacer menos atractiva la empresa para potenciales candidatos con talento.

Bajo el post en cuestión creo que se esconden un par de asuntos distintos, aunque relacionados. Por una parte subyace el debate de si se debe permitir o no el acceso a servicios web personales desde el puesto de trabajo. Pero también creo que hay un importante componente de "filosofía empresarial" si entendemos el post como valorar la posibilidad de utilizar este tipo de servicios con fines corporativos y de manera oficial (no sólo a título particular).

En el primer caso el debate es evidente. ¿Hasta qué punto tenemos que permitir el uso personal de los recursos corporativos? Es un debate clásico en el que hoy no me voy a meter, ya que es precisamente el tema de debate en los siguientes post de tic616 (informática corporativa y uso personal I y II) y además me parece más interesante la segunda opción. Esta vía es ir más allá de integrar una wiki en nuestros servidores para favorecer la gestión del conocimiento, es utilizar los servicios de blogger, por ejemplo, para publicar el blog corporativo. ¿Qué hacemos en este momento con las políticas de seguridad? Estamos adheriéndonos a unos servicios cuyo uso no está planteado desde el punto de vista corporativo, por lo que el "contrato" difícilmente va a reflejar nuestras necesidades corporativas. ¿Están las empresas a día de hoy, desde el punto de vista de la seguridad jurídica, para valorar y gestionar este riesgo?

Curiosamente, si avanzamos en esta vía de hacer un uso corporativo de los servicios pensados para el público particular, el camino empieza a converger con el primer planteamiento del uso personal de los recursos corporativos. ¿Hasta qué punto vamos a ser capaces de diferenciar el uso corporativo y el uso personal de estos servicios? ¿Vamos a poder establecer unas normas claras para que todo el personal sepa si puede o no puede usar dichos servicios de una u otra forma, en función del uso que se le de? Porque lo que tenemos que tener claro es que es imposible conseguir que se sigan unas normas que no son lo suficientemente claras. ¿Seremos capaces de establecer normas diferentes en función del uso que se haga de un cierto servicio? ¿O nos veremos obligados a decidir sólo si permitimos o prohibimos su uso, sabiendo que puede ser al mismo tiempo corporativo y personal? Porque de lo que estoy seguro es de que es algo que poco a poco nos vamos a ir encontrando, sobre todo cuando las nuevas generaciones vayan accediendo al mercado laboral.

15 septiembre 2008

Los seguros tambien cuentan

Después de realizar un análisis de riesgos todos somos conscientes de que existen 4 estrategias posibles para gestionar esos riesgos: eliminarlos, transferirlos, reducirlos o asumirlos. Lo que ocurre es que normalmente sólo nos acordamos de las dos últimas opciones, obviando las posibilidades que nos ofrecen las dos primeras.

El parámetro principal para ayudarnos a decidir cómo se gestionan los riesgos debería ser la relación coste/beneficio. Y ojo, que coste no es lo mismo que precio, aunque al final podamos llegar a traducirlo de esa forma. ¿Por qué digo esto? Porque ese es el factor clave para la eliminación de riesgos. ¿Qué beneficio aporta a mi organización el comercio electrónico? ¿Cuántos ingresos nos supone? ¿Qué futuro espero de ese canal de vantas? ¿Ese beneficio (tanto presente como futuro) compensa los riesgos que supone esa infraestructura? Ese es el análisis que hay que hacer para poder llegar a la conclusión de que podemos eliminar todos los riesgos asociados a las ventas por internet, eliminando dicho canal.

La otra opción que normalmente se suele quedar en el tintero es la de transferir los riesgos. Y aquí hay que tener cuidado, porque no es una opción sencilla, y no todos los riesgos se pueden transferir. ¿Transifero el riesgo derivado de la ejecución de un proceso por el mero hecho de subcontratarlo en modo BPO? Pongamos el caso de un banco que subcontrata por completo la gestión de ventas por Internet. Como mínimo está transfiriendo el riesgo operativo asociado a estas actividades. ¿Está transfiriendo completamente el riesgo? En absoluto. ¿Acaso no es la subcontratación en sí misma la asunción de un cierto tipo de riesgo? ¿Qué consecuencias tendría en la imagen de ese banco un incidente de seguridad en la empresa subcontratada? Es obvio que el riesgo no se puede transferir por completo. Lo que sí se puede transferir es una parte del riesgo, y esta transferencia también puede servir para transformar un tipo de riesgo en otro (en el ejemplo, un riesgo operativo lo convertimos en un riesgo contractual).

Y en este punto es donde aparecen los seguros. Su trabajo consiste precisamente capitalizar los riesgos que les transfieren sus clientes. Y los riesgos de seguridad de la información también se pueden transferir de este modo. Quizás no estemos muy acostumbrados a ellos, pero estoy seguro de que es una tendencia que va a ir al alza. ¿Cuál es el coste de adoptar una determinada medida de seguridad para reducir un determinado riesgo? ¿Y cuál puede ser el coste de adquirir un seguro que cubra ese posible incidente de seguridad? Las empresas que trabajan con "seguros cibernéticos" piensan de este modo. Al fin y al cabo, si me sale más "barato" (en términos de coste global, no sólo en términos directamente económicos) "apechugar" con el incidente y usar el dinero del seguro que reducir el riesgo asociado a él estamos ante una mejor opción en términos de coste/beneficio. ¿Por qué no hacer uso de ella?

Por supuesto, antes de terminar con el post tengo que recordar que los seguros no son la panacea. Por poner un ejemplo, podemos pensar que el perjuicio en imagen derivado del incidente vamos a poder recuperarlo invirtiendo parte del dinero del seguro en una campaña de marketing. Ahora bien... ¿Cuándo vamos a disponer de ese dinero en efectivo? ¿Podremos ejecutar la campaña en el momento en el que es necesario? ¿Existirán costes adicionales derivados de tener que litigar con el seguro porque no nos ha dado el dinero que esperábamos? En resumidas cuentas: ¿Estamos gestionando adecuadamente el riesgo de contratar ese seguro?

10 septiembre 2008

Que certifica una ISO 20000

Cada vez que empiezo a hablar con algún compañero de la ISO 20000 acabamos siempre con el mismo debate. ¿Qué certifica exactamente una ISO 20000? Sí, certifica un Sistema de Gestión de Servicios IT. Pero... ¿qué es exactamente un servicio IT?

La pregunta, que podría parecer trivial, no lo es en absoluto. La norma, curiosamente, no define qué es un servicio IT. Y sinceramente, la definición dista mucho de estar estandarizada. ¿Creéis que no? Echadle un vistazo a este post de Antonio Valle sobre la importancia de las definiciones, y veréis que no miento.

¿Cuál es exactamente el problema? Que la norma no especifica en ninguna parte si al hablar de servicio IT está pensando en servicios técnicos (servicios prestados por una máquina, tipo correo electrónico o almacenamiento) o servicios profesionales (servicios prestados por personas, tipo consultoría o mantenimiento de sistemas de segundo nivel). Lo que sí especifica la norma es que tienes que desarrollar los 13 procesos (y recordad que proceso no es lo mismo que servicio) que especifica para poder gestionar esos servicios adecuadamente. Y claro, si pensamos, por ejemplo, en la gestión de la capacidad, no es lo mismo gestionar la capacidad de un servicio de correo electrónico que gestionar la capacidad de un servicio de consultoría. Por no hablar de la gestión de versiones de ambos servicios...

La solución que se me ha ocurrido es consultar los alcances de las empresas certificadas, para ver qué tipo de servicios son los que se certifican. Así que me he ido al registro internacional y he consultado las empresas certificadas en España. Los resultados son, en traducción y simplificación libre, los siguientes:
  • La instalación, operación, administración, gestión, soporte, mantenimiento y reparación de sistemas TIC.
  • La provisión de servicios de hosting y housing.
  • El outsourcing de servicios de backup, acceso a internet y monitorización.

Es decir, que aparentemente se pueden certificar ambos tipos de servicios (yo entiendo el primer caso como servicios profesionales y el segundo como servicios técnicos).

En busca de más información se me ha ocurrido la posibilidad de ver si en los foros de itSMF España había algo útil, y la verdad es que tampoco he encontrado una solución definitiva. Veo con agrado que mi opinión coincide con la de Antonio, pero nadie parece tener una respuesta clara. De hecho, en otro de los foros me encuentro con un nuevo alcance, que también parece un servicio profesional:

  • Servicios Gestionados de explotación de los sistemas y actividades relacionadas de la División de Tecnología de Sistemas

En definitiva, no tengo nada claro si es o no admisible la certificación de servicios profesionales. Siendo estrictos yo entendería que no, pero el enunciado de algunos alcances parece contradecir mi opinión. No obstante, sería necesario conocer el catálogo de servicios certificados para ver si realmente estamos o no ante servicios profesionales (puede que sencillamente el enunciado del alcance de esa impresión, pero luego los servicios sean IT "puros"). ¿Alguien tiene alguna información al respecto? ¿Alguien podría aportar algún dato esclarecedor? También estaría bien si alguien nos pudiera aclarar el espíritu de la norma... Si hay alguna persona que pueda ayudarnos a resolver esta duda, desde aquí le animo a que lo haga. Los comentarios están a su disposición.

08 septiembre 2008

El riesgo como valor

Este post sigue la misma línea que el artículo Análisis de Riesgos en tiempos de crisis, cuyo objetivo es dejar de ver el riesgo como algo negativo y empezar a verlo como algo intrínsecamente ligado al negocio. Por eso quiero referenciar hoy una noticia de hace ya algún tiempo, en la que se hacían eco de un informe que asegura que las economías emergentes utilizan el riesgo para aumentar la ventaja competitiva. Un artículo muy interesante en el que se ilustra cómo el riesgo puede ser utilizado como factor de beneficio directo en el negocio.

En el artículo se plantea la inversión en gestión del riesgo como un factor de ventaja competitiva, traducido en la práctica en hechos tan tangibles como contar con un director de seguridad corporativa o de riesgo corporativo en el consejo de dirección. Parece que las empresas que apuestan por el riesgo como ventaja competitiva centran su estrategia de gestión del riesgo en las siguientes líneas de actuación:
  • Usar la gestión del riesgo para promover la innovación.
  • Desarrollar estrategias de gestión del riesgo para amenazas globales.
  • Apostar por la colaboración (real) inter-organizaciones como factor de éxito.
  • Confiar en las políticas de gestión del riesto TIC.

Desde mi punto de vista, la filosofía que subyace en estos principios es simple pero efectiva. Por una parte, se gestionan los riesgos de forma "optimista", desde el punto de vista de alguien que tiene "poco" que perder y mucho que ganar. Además, las amenazas se entienden no como algo contra lo que luchar, sino como algo cuya existencia hay que asumir y, si es posible, utilizar en nuestro beneficio. Y a partir de ahí se construyen una serie de políticas de gestión del riesgo que tratan de "obviar" los perjuicios y maximizar los beneficios, nombrando una figura cuyo cometido sea precisamente el de exprimir esos beneficios planteados. Y para que las propias limitaciones de la organización no supongan un obstáculo a las propuestas que se planteen se ligan dichas propuestas a los programas de innovación y creatividad de la compañía. A partir de ahí, las líneas de actuación sobre las que desarrollar las políticas que se definan símplemente tratarán de ser lo más eficientes y eficaces, de forma que se apoyen en programas de colaboración para reducir o distribuir costes y en el uso de las TIC para aumentar el rendmiento de las soluciones que se planteen. Quizás se pueda pensar que son estrategias arriesgadas, pero precisamente estábamos hablando de que la clave era precisamente asumir más riesgos en aquellos ámbitos en los que se puede maximizar el beneficio...

En definitiva, creo que es posible orientar la gestión de riesgos para conseguir que ese alineamiento con el negocio sea algo tangible. Sólo hace falta exprimirse un poco el cerebro, y creo que esta época empresarial que atravesamos puede ser un buen momento...

04 septiembre 2008

Integridad de la información pública

La verdad es que no tenía muy claro si escribir o no este post. Por una parte creo es fácil dejarse llevar por la inercia y escribir sobre el fatídico accidente de barajas, pero por otra me causa cierto rechazo tener la sensación de que soy partícipe del amarillismo que rodea esa noticia. Así que me he pasado unos cuantos días dándole vueltas al tema, aunque finalmente he decidido escribirlo. Sólo espero que nadie se sienta molesto al leerlo.

Probablemente todos tengamos muy claro que la integridad de la información, a nivel general, es algo importante. Pero hay ciertos casos en los que dicha integridad es especialmente relevante, por distintos motivos. Uno de ellos es el relativo a la información que ponemos a disposición del público en general, debido a los problemas de imagen (entre otros) que puede ocasionar que la información que publicamos oficialmente sea incorrecta. Es importante que la información sea veraz, como ya expuse en su momento, pero también es clave que la información sea íntegra una vez difundida. Y si está la opinión pública pendiente de ella, mucho más. Y sobre todo si no es sólo la imagen de la organización la que está en juego, sino que esa información afecta a título personal a una gran cantidad de personas y de manera general a los sentimientos de toda una sociedad. Por eso no me explico cómo, en unos comunicados oficiales, aparece un comunicado (nº 2) en el que indica que en el avión había 164 pasajeros y 9 tripulantes, otro (nº 3) en el que se indica que son 162 pasajeros y 10 tripulantes, y por fín una lista oficial donde actualmente sí que figuran 160 nombres propios + 2 bebés (aunque en el momento en el que la contrasté creo recordar que sólo contabilicé 161).

Es cierto que los comunicados están publicados en momentos difíciles, y que se pueden producir errores de contabilización. Pero también es cierto que estamos precisamente ante un os comunicados oficiales, donde la información se presupone más que verificada y validada. Si hubieran sido erratas o errores de recuento se deberían haber indicado como tal, y si hubiese existido incertidumbre en los datos no se deberían haber publicado datos exactos. Porque, al fin y al cabo, ¿cuál de los dos comunicados es el que tiene validez, si ninguno desmiente al otro? ¿Qué argumentos reales tenemos para suponer que el cronológicamente posterior es el válido? ¿Y si la lista de pasajeros realmente hubiera tenido sólo 161 nombres?

Hay personas que creen que debemos mejorar la forma de reaccionar ante un desastre desde los planos informativo y organizativo. De lo que estoy seguro es de que éste puede ser un buen ejemplo para analizar cómo puede reaccionar una organización ante una situación de crisis, y para intentar aprender de los errores ajenos. Al fin y al cabo, la gestión de una crisis desde el punto de vista informativo (hacia todos los grupos de interés) es un apartado fundamental dentro de los planes de continuidad de negocio. ¿Cuántas organizaciones tienen este aspecto en cuenta dentro de sus pruebas periódicas programadas? Seguro que todos somos capaces de extraer alguna lección de este hecho... y ójala que esas lecciones aprendidas sirvan para que catástrofes como la sucedida no se vuelvan a producir.

01 septiembre 2008

Escribiendo Políticas de Seguridad

Hoy quiero referenciar una serie de post sobre Políticas de Seguridad que nos ofrece apokalyptica79 en su blog, que aprovecho para recomendar.

El primero de ellos es una introducción a las políticas de seguridad, en el que trata de definir exactamente qué es eso de las políticas de seguridad y cuáles son sus connotaciones más importantes. Como ya he comentado en otras ocasiones, no estoy de acuerdo en la simplificación que se hace al reducir la seguridad de la información a un concepto más acotado como es el de la seguridad informática, pero aun así sigo considerando que la introducción es muy instructiva.

El siguiente post trata de justificar la necesidad de las políticas de seguridad, desde el punto de vista de herramienta regulatoria ya presentado en el post anterior, y además presenta una estructura típica de políticas de seguridad, basada en el índice propuesto por la serie 27000 y con un listado muy interesante de elementos que debe contener una buena política de seguridad en cualquiera de los citados ámbitos.

Y el último (al menos, por el momento) de los post sobre políticas de seguridad es el referido al propio proceso de elaboración de las políticas de seguridad, en el que detalla distintos elementos a tener en cuenta durante la elaboración de las políticias (aspectos a considerar, participantes, etc.). En conjunto, una excelente tripleta (y ójala que siga evolucionando en cuarteto, quinteto o más) de artículos que puede servirnos de gran ayuda a la hora de enfrentarnos a la dura tarea de escribir políticas de seguridad para nuestra organización.