30 junio 2009

ISO 20000 para PYMEs

Uno de los principales culpables de que le dedique menos tiempo a publicar comentarios en el blog es un proyecto de implantación de ISO 20000 en PYMEs en el que estoy participando. El objetivo es muy sencillo: ¿No dice el estándar que el Sistema de Gestión de Servicios TI (SGSTI) que propone la ISO 20000 es válido para organizaciones de cualquier tamaño? Pues vamos a demostrarlo implementándolo en PYMEs, con todas las limitaciones de este tipo de empresas (pocos recursos técnicos, pocos recursos humanos, pocos recursos económicos) y alguna más que nos hemos buscado, ya que para conseguir que el proyecto sea subvencionado por el Plan Avanza los plazos de implantación deben garantizar que dichos SGSTIs estén certificados antes de fin de 2009.

La verdad es que es un proyecto muy complejo, tanto a nivel "técnico" como a nivel de gestión. Pero de momento puedo decir que, con sus puntos fuertes y sus áreas de mejora, el proyecto marcha más o menos según lo previsto. Y aunque todavía no tengamos resultados definitivos, sí que hay algunos aspectos que a día de hoy ya creo que se pueden ir destacando. Entre ellos, tenemos:
  • Para las empresas que venden servicios TIC realmente la ISO 20000 tiene importantes connotaciones de negocio: sólo el hecho de adecuar los servicios prestados a las exigencias de la norma está proporcionando ventajas competitivas a las organizaciones a la hora de posicionar sus servicios respecto de los de la competencia.
  • Un SGSTI no tiene por qué ser un monstruo: Si atendemos exclusivamente a los requisitos mínimos que exige la ISO 20000, es posible desarrollar procesos y servicios con unas dedicaciones totalmente asumibles por pequeñas organizaciones.
  • No es imprescindible una super-herramienta para implementar los procesos definidos por la ISO 20000: Aunque las herramientas ayuden mucho, unas pocas aplicaciones bien seleccionadas, la voluntad del equipo de trabajo y un poco de sentido común nos pueden permitir suplir las funcionalidades de herramientas de elevado coste.

En definitiva, sigo pensando no sólo que es posible implementar un SGSTI certificable bajo ISO 20000 en una PYME, sino que un proyecto bien definido en este ámbito puede permitir a dicha PYME obtener beneficios directos y tangibles a la hora de comercializar sus servicios TI, con una inversión relativamente pequeña y amortizable a corto plazo. Y a día de hoy, eso es todo lo que puedo contar...

24 junio 2009

Tecnología Vs Uso

Hoy me he encontrado con este post, un poco por casualidad, pero la verdad es que me ha resultado muy interesante. En él, un conocido blogger (entre otras cosas) analiza las implicaciones de la tecnología de reconocimiento facial en función de los casos de uso, a través de dos casos concretos con distintas implicaciones y percepciones incluso opuestas de la misma tecnología.

La verdad es que el post me parece un ejemplo muy ilustrativo de la neutralidad tecnológica y de cómo lo importante no es la tecnología en sí misma, sino el uso que se haga de ella. E incluso hay que tener en cuenta que usos similares en entornos distintos pueden tener consecuencias muy diferentes, y apreciaciones subjetivas muy distintas, en función de las características del entorno.

Más allá del propio ejemplo, sería muy interesante analizar la aplicabilidad de la LOPD a los usos comentados en el artículo, y las implicaciones que puede tener eso de poder identificar a las personas que aparecen en las fotografías. ¿Estamos en un ámbito estrictamente personal, o es dicha ley aplicable? ¿Qué entidades desempeñarían cada uno de los roles definidos por dicha reglamentación? Un caso de estudio bastante interesante para cualquiera que esté dispuesto a moverse por terrenos resbaladizos, creo...

En definitiva, creo que el citado artículo supone un estupendo ejemplo para poder analizar cómo lo técnico, lo legal y lo moral se entremezclan hasta mucho más allá de lo que podríamos suponer en un principio. ¿Está nuestra sociedad preparada para dar respuestas a estas situaciones? ¿En los 3 ámbitos? Seguro que todavía hay mucho que decir al respecto.

02 junio 2009

Seguridad en prensa

Estos últimos días me ha llamado la atención ver cómo algunos incidentes de seguridad han trascendido más allá de los medios especializados y han llegado a la prensa generalista. Puede que sean situaciones un poco anecdóticas, pero también es cierto que a veces este tipo de hechos son formas muy efectivas de difundir al público en general ciertos conceptos que sin la anécdota jamás llegarían a calar.

El primero es la difusión pública de un vídeo porno en una torre de préstamo de bicis. Parece ser que algún hábil pirata informático consiguió acceder al terminal de préstamo de bicis y reproducir el citado vídeo porno en lugar de la aplicación que controla el alquiler de las bicis. Y claro, en plena calle no tardó en ser advertido por los viandantes... hasta que finalmente la policía "resolvió" el incidente tapando la pantalla con unos folios.

El segundo, mucho más desapercibido, es la posibilidad que tuvieron los periodistas de escuchar una conversación privada entre los presidentes de Brasil y Venezuela porque los aparatos de traducción automática se conectaron antes de tiempo. En este caso fueron los agentes de seguridad los que resolvieron el incidente, recogiendo los aparatos repartidos.

Dos simples ejemplos de incidentes de seguridad relacionados con la integridad de la información visualizada en el primer caso y la confidencialidad de la información hablada en el segundo. En conjunto, un buen ejemplo para recordar algunos conceptos básicos, como:
  • Los incidentes de seguridad pueden tener efectos directos sobre temas tan estratégicos como el prestigio y la imagen.
  • Los terminales públicos también deben ser apropiadamente securizados, aunque aparentemente su importancia pueda no ser excesivamente grande.
  • No sólo la información en soporte electrónico es susceptible de ser atacada.
  • Cualquier medio es susceptible de ser utilizado para provocar una violación de la seguridad.

En definitiva, dos buenos ejemplos para utilizar en las típicas charlas de seguridad que a todos nos ha tocado dar alguna vez.