29 abril 2009

Securmatica 09

La semana pasada estuve un par de días por Securmática, uno de los congresos del sector más importantes a nivel nacional y un buen lugar para hacerse una idea de cómo se está moviendo la seguridad.

En el congreso se habló de muchas cosas, pero por tratar de resumir un poco, algunos de los aspectos que me parecieron más destacables son los siguientes:
  • Los servicios de seguridad gestionada (SOC, o como prefiráis) están empezando a pegar fuerte. Todavía no son tantas las organizaciones que externalizan parte de la seguridad (principalmente la operación técnica de bajo nivel), pero la seguridad como servicio externalizado está empezando a coger fuerza. Ojo, porque el modelo que propone puede provocar cambios en ciertas presunciones que hasta el momento no habían sido cuestionadas.
  • La necesidad de un cuadro de mando de seguridad cada día es mayor, sobre todo frente a soluciones de seguridad cada vez más diversificadas y para poder afrontar con garantías la mayor madurez de las organizaciones en esta materia. Hay muchas empresas que ya están empezando a trabajar en serio en estos ámbitos.
  • La seguridad de la información cada vez tiene las fronteras más difuminadas, y frente a tanta alternativa de evolución las vías de avance son múltiples. En unos casos predomina la seguridad lógica TI, en otros la seguridad física clásica, hay otros que tienden hacia la gestión de riesgos corporativos... y todos sabemos que quien mucho abarca poco aprieta.
  • A nivel técnico, parece que tanto la gestión de identidades y el single-sign-on como la gestión de logs siguen pegando fuerte y poco a poco son soluciones que se van extendiendo entre las empresas. Pero atención a las nuevas tecnologías, ya que bajo las siglas DLP se están posicionando diversos productos que prometen dar mucho que hablar en el medio plazo.

En definitiva, parece que el sector se mueve. Quizás los cambios sean lentos, es posible que los riesgos a los que tenemos que hacer frente evolucionen a mayor velocidad que nosotros, pero al menos nos movemos, que no es poco. Sobre todo, como no se cansaron de repetir en el congreso, en los tiempos que corren, cuando puede que la inversión en seguridad esté más cuestionada de lo normal. Y con el paso del tiempo podremos ir viendo si nuestros movimientos están siendo acertados...

07 abril 2009

Alcances certificables para ISO 20000

Como ya he comentado alguna vez, definir qué tipo de alcances son certificables bajo ISO 20000 no es un tema sencillo. Los requisitos para conseguir la certificación son fáciles de resumir: montar el sistema de gestión, desarrollar los 13 procesos que define el estándar y aplicar el SGSTI a los servicios a certificar. No obstante, en muchas ocasiones surgen dudas en este último apartado. ¿Qué tipos de servicios son certificables bajo este estándar?

Desde mi punto de vista, podemos encontrar varios tipos de servicios susceptibles de serlo:
  • Servicios desarrollados por sistemas informáticos: Serían todos aquellos servicios que son prestados por aplicaciones o plataformas tecnológicas concretas, entre los que podemos encontrar no sólo los "típicos" ejemplos (correo electrónico, DNS, etc.) sino también servicios prestados a través de aplicaciones desarrolladas a medida, servicios prestados en modo SaaS, etc.
  • Servicios de CPD: Serían todos aquellos servicios orientados al albergue físico y/o lógico de sistemas, entre los que tenemos tanto los clásicos de un datacenter (hosting, housing) como las modernas versiones virtualizadas que están empezando a aparecer.
  • Servicios de soporte técnico: Aquí podemos englobar todos aquellos servicios profesionales prestados en régimen de outsourcing, orientados a TI y en los que la propia infraestructura TI utilizada tiene un peso específico propio fundamental para la prestación del servicio. En esta categoría podemos encontrar desde servicios de asistencia técnica hasta servicios de mantenimiento o help-desk.

Es posible que esta última tipología pueda haber sorprendido a alguien, ya que anteriormente había mostrado ciertas dudas al respecto. No obstante, aunque creo que es en la que mayores matizaciones habría que hacer caso por caso, ver de primera mano que es posible me ha servido para terminar de convencerme. Por lo tanto, si alguien tiene un servicio que se encuadre en alguna de estas tres categorías... ya sabe que puede intentarlo.