19 octubre 2009

Peligros en la nube

La verdad es que hoy no estoy demasiado inspirado. Me cuesta escribir, no consigo que me salga algo fluido y medianamente motivador, al menos como para que alguien quiera seguir leyendo hasta el final del post... Sin embargo, me he decidido a escribir algo más que nada por no dejar pasar la oportunidad de comentar muy brevemente un par de artículos que me han gustado.

El primero de ellos, en dos partes, es del que he sacado el título del post: Hack in the Box, el peligro está en la nube. Un artículo en el que su autora nos cuenta cómo el ciber-crimen se está orientando hacia la nube, a la par del incremento de popularidad de este tipo de soluciones. Era algo previsible, que no nos permite olvidarnos de una de las principales premisas en esto de la seguridad: las mayores amenazas siempre serán aquellas que siguen los devenires del negocio. O lo que es lo mismo, visto desde el lado contrario: allí donde se concentre un mayor volumen de negocio es el lugar óptimo para centrar los ataques intencionados. Obvio, pero no está de más recordarlo de vez en cuando, no sea que las típicas discusiones Windows Vs Linux vayan a transformarse, en su versión 2.0, en una discusión Nube Vs Local, y acabemos cayendo en los mismos fundamentalismos...

El segundo, sobre el que no he investigado demasiado pero que me parece muy interesante por su aproximación innovadora, es la idea de luchar contra las ciber-amenazas mediante el uso de hormigas digitales. La verdad es que no me queda muy claro si eso de crear tipos concretos de hormigas para luchar contra amenazas específicas puede ser una solución apropiada (me recuerda a la filosofía de los antivirus del uso de firmas, aunque es una interpretación totalmente personal), pero el simple hecho de buscar soluciones alternativas a un problema que actualmente no está siendo apropiadamente resuelto me parece una idea estupenda, más allá del éxito real que vaya a tener la solución concreta. Y yendo un poco más allá... ¿Habría más modelos de la naturaleza susceptibles de ser aplicados para solucionar el problema del malware? Al fin y al cabo, los animales llevan millones de años estableciendo mecanismos de lucha contra sus propios virus, bacterias y demás "malware"... ¿Serán estas hormigas los glóbulos blancos electrónicos que estamos buscando? El futuro lo dirá.

15 octubre 2009

Integrando Sistemas de Gestión

En este blog he hablado muchas veces de los requisitos comunes a cualquier sistema de gestión "tipo ISO", y de las ventajas que puede tener la integración de todos ellos. Sin embargo, últimamente me he encontrado con algunos casos que, usando la integración como slogan, lo único que pretendían era aprovechar la existencia de un sistema de gestión (normalmente de calidad, ISO 9001) para reutilizar algunos de sus elementos en el nuevo sistema de gestión que estaban montando, ya sea de gestión medioambiental (ISO 14001), de seguridad de la información (ISO 27001) o cualquier otro. No es que me parezca mal (de hecho, me parece algo lógico y recomendable, dado que sirve para optimizar recursos), pero con lo que no estoy en absoluto de acuerdo es con que a éso se le llame Sistema de Gestión Integrado. Y como no me ha gustado que en un blog me hayan eliminado un comentario esbozando este planteamiento (aunque lo entiendo, ya que es un blog corporativo, y puede ser comprensible que la organización no quiera que aparezcan posturas críticas en una herramienta de marketing), he decidido presentarlo aquí.

Como decía, existen ciertas prácticas que pueden ser recomendables a la hora de solapar o superponer (creo que cualquiera de estos dos términos sería más apropiado) sistemas de gestión. Es conveniente reutilizar las prácticas de gestión desarrolladas, lo que a nivel tangible se convierte en reutilizar la documentación, usando, por ejemplo, los mismos procedimientos de gestión documental y/o de registros o los mismos procedimientos de auditoría. No obstante, no hay que olvidar la especificidad de cada sistema de gestión, y por tanto habrá que ampliar el ámbito de actuación de dichas prácticas a los diversos entornos, de la forma que corresponda en cada caso. Eso nos puede llevar, entre otras cosas, a fusionar en un único documento textos equivalentes en distintos sistemas de gestión, consiguiendo, por poner un ejemplo, un documento único que recoja la política de calidad y seguridad de la información. Del mismo modo podremos acabar teniendo documentos únicos para ambos sistemas de gestión en los que se hable de responsabilidades de la dirección, mejora continua, gestión de no conformidades, ... Si pensamos en el apartado de roles y responsabilidades, algo que también suele ser habitual a la hora de solapar sistemas de gestión es intentar aprovechar las estructuras de gestión existentes (Responsable, Comité, etc.) para el nuevo sistema de gestión. Aunque claro, aquí puede no ser tan sencilla la reutilización, dado que en cada caso se requieren una capacitación y conocimientos específicos y diferenciados, y saber gestionar, por ejemplo, la calidad, no implica saber hacerlo con el medioambiente o la seguridad de la información.

Llegados a este punto es cuando hay que ver qué hemos conseguido al solapar distintos sistemas de gestión: tener una manera común de gestionar cosas distintas. Y ese creo que es precisamente el problema. Si buscamos el término integrar en el diccionario, vemos que hace referencia a la constitución de un todo, de algo global que sintetice las partes. Por lo tanto, creo que no basta con "integrar" la sistemática de gestión (que en realidad ya era la misma), sino que la clave para conseguir un sistema de gestión integrado es ser capaz de integrar aquello que se gestiona, es decir, poder gestionar de manera integrada la calidad, la seguridad o lo que corresponda en cada caso.

Para mí el primer requisito (necesario, pero no suficiente) de un Sistema de Gestión Integrado es, sin duda, que el alcance de ambos sea coincidente. Es más, no creo que se pueda hablar de que cosas distintas puedan estar integradas si su ámbito de aplicación no coincide. A partir de ahí, creo que para hablar de integración de verdad (permitidme que me centre en calidad y seguridad de la información, que es lo que mejor domino) tenemos que ser capaces de considerar de forma simultánea la calidad y la seguridad, y poder entender la una como parte de la otra (y viceversa). No creo que se pueda hablar de integración entre ambos sistemas de gestión si no consideramos la seguridad de la información en en nuestros procesos productivos, si la seguridad no es un factor intrínseco en la selección de proveedores, o si en nuestros análisis de riesgos no consideramos factores de riesgo relacionados con la calidad. En definitiva, creo que para hablar de un Sistema de Gestión Integrado tenemos que centarnos fundamentalmente en integrar aquello que se gestiona (que es lo difícil, obviamente). Y creo que esto es mucho más importante que tratar de que el responsable de calidad y el de seguridad sean la misma persona, ya que incluso se podría hablar de sistemas de gestión integrados en el caso de que sean distintos responsables.

En definitiva, creo que a veces las organizaciones pierden un poco el norte con tanto sistema de gestión normalizado, y se olvidan de que las empresas lo que deberían tener es un único sistema de gestión, el de la organización, independientemente de que el sistema cumpla o no los requisitos de más o menos sistemas de gestión normalizados, o de que ese cumplimiento esté o no certificado por alguien. La preocupación de cualquier organización debe ser el negocio, y negocio no sólo es calidad, o seguridad, sino la suma de todo ello y de mucho más. Así que estaría bien pensar un poco más en tener un sistema de gestión del negocio, que integre la gestión de todos los elementos que lo componen, y no preocuparnos tanto por modas o certificaciones que, si hacemos las cosas bien, se acaban integrando "solas"...

13 octubre 2009

Continuidad de Negocio en la practica

Aunque debo reconocer que últimamente mi agenda está más apretada de lo que a mí me gustaría, también es cierto que a veces esa agenda me da la oportunidad de participar en foros muy interesantes y hablar con verdaderos profesionales de nuestro sector.

La semana pasada tuve la suerte de participar en un foro sobre Continuidad de Negocio en la Universidad de Deusto, donde algunos tratamos de exponer nuestras experiencias y puntos de vista sobre la continuidad de negocio desde un punto de vista práctico. No voy a hacer un resumen de las ponencias que allí se presentaron, pero sí destacar algunos comentarios que allí se hicieron, y que creo que puede ser interesante recordar:
  • Negocio, Negocio, y Negocio: esa es la palabra clave de la continuidad. Lo siento por los tecnófilos, pero la tecnología es un medio, no un fin (aunque a veces sea un medio importantísimo).
  • En un análisis de riesgos de continuidad, el impacto es más importante que la probabilidad, y por tanto su escala debería ser ponderada al alza (es decir, impacto alto y probabilidad baja supone mayor riesgo que probabilidad alta e impacto bajo).
  • La clave de la continuidad de negocio es la eficacia, pero es desde la eficiencia desde donde conseguiremos "vender" los planes de continuidad e incluso encontrar el ROI.
  • Si una organización es lo suficientemente madura no hace falta "vender" la continuidad, la propia dirección de la organización será quien se preocupe de que el negocio continúe y de sacar partido a los foros de continuidad desarrollados.
  • Los incidentes son las pruebas de continuidad más perfectas que podemos encontrarnos: no perdamos la oportunidad de aprender de ellos.
  • La comunicación es un factor clave en la gestión de la crisis, si no controlamos la imagen transmitida todos nuestros esfuerzos pueden verse abocados al fracaso.

Estos son sólo algunos de los mensajes que me vienen a la memoria. De todas formas, seguro que tanto los que estuvisteis allí como los que no tuvisteis la oportunidad tenéis otros mensajes igual de importantes que añadir a la lista. ¿Estáis dispuestos a compartirlos? Espero vuestros comentarios.