Seguridad y Gestión

ISO 20000 de alcance global

2012-01-31T15:31:00.000+01:00

Como ya comenté en su momento, la nueva ISO 20000 (ahora también UNE-ISO/IEC 20000-1:2011, desde el pasado 21 de Diciembre) introduce importantes cambios, siendo el principal la "universalización" de su alcance, puesto que se elimina el término TI y se convierte en aplicable a cualquier tipo de servicios.

La versión española de la norma incluye, además, un anexo informativo en el que se relacionan, en forma de tabla de correspondencia, los apartados de la ISO 20000 con los apartados de la ISO 9001. Y si se analizan uno por uno... Sorpresa! Prácticamente todos los apartados de la ISO 9001 encuentran una relación directa con los apartados de la ISO 20000.

¿Qué quiere decir esta correspondencia? A mí se me ocurren dos consecuencias interesantes. La primera, que cualquier SGS (Sistema de Gestión de Servicios) certificado bajo ISO 20000 requiere de muy poco trabajo adicional para cumplir con los requisitos de la ISO 9001, y por lo tanto ser certificable por ella como SGQ (Sistema de Gestión de la Calidad). Y la segunda, vista en la dirección contraria, que cualquier empresa de servicios (una mayoría a nivel nacional) certificada en ISO 9001 podría utilizar la ISO 20000:2011 como modelo de referencia para el despliegue de sus procesos de soporte.

Teniendo esto en cuenta, y sabiendo que la mayor parte de las organizaciones han adoptado un enfoque global para la certificación ISO 9001, la consecuencia es clara: a futuro, el sistema de gestión propuesto por la ISO 20000 debería tender a un alcance global, en el que cualquiera de los servicios de la organización se gestione a través del modelo de procesos propuesto por el estándar, de modo que fuesen procesos transversales. Es cierto que antes de dar este paso tendremos que ser capaces de soltar el lastre TIC que todavía fluye por las venas de la ISO 20000, de forma que adaptemos los conceptos tecnológicos a la filosofía de gestión clásica, la aplicable de manera general a los procesos de negocio (por ejemplo, tendremos que asumir que, en un caso general, la gestión de la capacidad es más gestión de recursos humanos que otra cosa). Sin embargo, una vez que consigamos dar ese paso, nos daremos cuenta de que el modelo de gestión propuesto por la ISO 20000 es mucho más completo y eficaz que el levemente esbozado por la ISO 9001 a la hora de gestionar servicios. Aunque no creo que lleguemos a ver, ni siquiera en un futuro lejano, cómo la ISO 20000 sustituye a la ISO 9001 en las empresas de servicios (el peso -y poso- de la ISO 9001 a nivel mundial es demasiado grande), sí que creo que podremos contemplar, de aquí a unos años, cómo la ISO 20000 va calando en las empresas de servicios, que irán adoptando progresivamente ciertas prácticas de gestión derivadas de esa norma, si no el modelo de gestión completo.

Protección de datos europea

2012-01-27T15:28:00.000+01:00

Hace unos días recibíamos la noticia de que esta misma semana íbamos a poder ver las nuevas propuestas europeas de protección de datos personales. Se hablaba de notificaciones públicas de incidentes de seguridad sufridos, de multas proporcionales a los ingresos, de derecho al olvido... ¿Qué había de cierto en esos adelantos?¿Cuál iba a ser el conetenido exacto de las propuestas?

Finalmente, el pasado miércoles la Comisión Europea publicaba la propuesta de reforma general de las normas de protección de datos europeas. Los rumores se confirmaban, con algunos detalles específicos como la cuantía máxima de las multas (1M€ o el 2% de la facturación anual) o la previsión de desarrollo de una directiva específica para el mundo policial y judicial. La nota de prensa oficial presentaba la propuesta como un gran avance para los ciudadanos y un importante ahorro para las empresas, aunque al parecer hay fuentes que creen que la propuesta no sólo incorpora luces en su contenido, sino que también incluye algunas sombras. De hecho, ya ha habido empresas que se han mostrado contrarias a esta nueva normativa, aduciendo que provocará importantes pérdidas económicas.

Desde mi punto de vista, creo que es demasiado pronto como para posicionarse en torno a esta nueva normativa. A partir de ahora se abren dos años de discusiones en el Parlamento Europeo, en los que seguro que se introducen cambios en el texto. Muchos detalles serán modificados, y es posible que incluso pueda desaparecer alguna de las grandes líneas de actuación presentadas, a causa de los diversos intereses que confluyen en este ámbito. Por lo tanto, no creo que este sea el momento para preocuparse de detalles que probablemente variarán, sino para alegrarse de que finalmente vea la luz una iniciativa para actualizar y armonizar la protección de datos personales a nivel europeo. Y qué mejor fecha para celebrar esta iniciativa que este sábado, no?

Seguridad industrial

2012-01-25T15:21:00.000+01:00

A estas alturas, hablar de la seguridad en torno a los sistemas de control industrial no es nada novedoso. Stuxnet supuso el punto de inflexión, el hito a partir del cual la industria comenzó a prestar más atención a la seguridad en este tipo de entornos. Se había demostrado que era posible atentar contra la población civil a través de Internet, y era imposible que la sociedad no reaccionase ante tal constatación.

Sin embargo, que el verano de 2010 fuese el detonante de los cambios en la concepción de la seguridad en torno a los sistemas SCADA no quiere decir que año y medio más tarde la situación real haya cambiado mucho. Cualquier cambio tecnológico de envergadura es lento, y la adopción de nuevas tecnologías en este tipo de entornos industriales lo es todavía más. No obstante, iniciativas como la publicación de fallos de seguridad en sistemas SCADA llevada a cabo en el S4 demuestra que la concepción de la seguridad en este tipo de entornos está cambiando, pareciéndose cada vez más a la existente en el mundo TIC "clásico", el conectado a Internet. Ver cómo prácticas como el full disclosure empiezan a abrise camino en el cerrado mundo de los sistemas de control industrial es una prueba de que la seguridad empieza a tener la relevancia que se merece.

En cualquier caso, no es momento de echar las campanas al vuelo. Una compañía como Microsoft ha tardado casi diez años en integrar la seguridad en sus desarrollos, y ha necesido desarrollar una iniciativa global específica para seguridad y desarrollar dos nuevos sistemas operativos (desde el Windows XP hasta el Windows 7, sin contar el Windows XP SP2) para conseguir un entorno que puede considerarse aceptablemente seguro. Vistos los antecedentes, no creo que podamos esperar grandes revoluciones de los fabricantes de productos SCADA, y mucho menos de empresas que a día de hoy utilizan versiones de estos productos que funcionan sobre equipos Windows 98 o incluso anteriores. No obstante, las bases poco a poco se están asentando, de modo que quizás dentro de 10 años alguien pueda escribir, en torno a estos productos, un artículo similar al referenciado para Microsoft.

ISO 20000 y ENS

2012-01-16T15:19:00.000+01:00

En mi último post sobre el ENS y la mejora continua incluía al final un breve apunte para la reflexión, acerca de los estándares de referencia que podrían ser utilizados para cumplir con las exigencias del Esquema Nacional de Seguridad. ¿Es necesariamente la ISO 27001 la mejor referencia para su implementación?

La verdad es que las analogías entre la ISO 27001 y el ENS son tantas que parece obvio tomar este estándar como referencia para la implantación de un "buen" ENS. Sin embargo, creo que esa facilidad en el paralelismo ha hecho que no nos preocupemos en buscar alternativas, en ser críticos y plantearnos seriamente la existencia de otras opciones. ¿Qué supondría basar una implementación de un ENS en la implantación de un SGSTI (Sistema de Gestión de Servicios TI) que cubra los servicios electrónicos prestados por una administración pública?

Uno de los procesos que forman parte de un SGSTI que cumpla con la ISO 20000 es el proceso de gestión de la seguridad. Por lo tanto, el desarrollo de un proceso de gestión de la seguridad de la información tal y como establece el ENS estaría directamente contemplado. Este hecho supone, además, que podemos articular a través de él todas las medidas de seguridad que requiere el ENS. Aunque... son realmente tales las medidas de seguridad del Anexo II?

Desde mi punto de vista, una gran cantidad de medidas de seguridad propuestas por el ENS no lo son estrictamente hablando. O dicho de otra forma (antes de que los más puristas se lleven las manos a la cabeza), son antes medidas de "gestión correcta de las TIC" que medidas de seguridad. Actividades como la gestión de la capacidad, la gestión de la configuración, el mantenimiento de los sistemas, la gestión de cambios, la gestión de incidentes, el acondicionamiento de los locales, la formación al personal, la gestión de medios removibles u otras de similares características no son patrimonio exclusivo de la seguridad. Todas estas actividades son necesarias en cualquier organización que quiera prestar servicios TIC de calidad, independientemente de que la seguridad sea o no una preocupación expresa. Y la ISO 20000 establece un modelo general de gestión de servicios TIC mucho más completo que el propuesto por la ISO 27001. ¿No sería, por tanto, mejor opción utilizar el modelo de gestión propuesto por la ISO 20000 como referencia para el cumplimiento de los requisitos del ENS?

Por supuesto, en términos de eficiencia es fácil encontrar una objeción a este planteamiento. Dado un mismo alcance, desplegar un SGSI (Sistema de Gestión de la Seguridad de la Información) conforme con ISO 27001 es más sencillo, fácil y rápido que desplegar un SGSTI que cumpla con ISO 20000. En los tiempos que corren, la premisa general de reducción de costes vigente en todas las administraciones públicas es un argumento contundente a favor del modelo basado en ISO 27001. No obstante, también es habitual encontrar en los objetivos de muchas administraciones públicas una gran cantidad de iniciativas relacionadas con la búsqueda de la excelencia, de altas cotas de calidad en los servicios ofrecidos, etc. Si ofrecer servicios de calidad es uno de los eslóganes más repetidos, por qué no utilizar como modelo de referencia el estándar más completo? Quizás no sea tiempo de correr, y la ISO 27001 pueda ser un primer paso, pero... por qué no utilizar la sistemática de mejora continua para que la evolución cubra no sólo las propias medidas de seguridad, sino también el modelo de gestión seleccionado?

ENS y la mejora continua

2012-01-09T15:15:00.000+01:00

Hace algunos años era habitual que existieran empresas que vendían "malas adecuaciones" a la ISO 27001. Empresas que lo que hacían era diseñar proyectos de implantación sistemática de los 133 controles que componen el Anexo A de la norma, es decir, implantaban la ISO 27002. Eran proyectos que se olvidaban de la parte fundamental de la ISO 27001, del cuerpo de la norma: la gestión de riesgos, la mejora continua, el compromiso de la dirección... Afortunadamente, en la actualidad esa situación prácticamente ha sido desterrada por completo (aunque ahora existan casos en los que se da el caso contrario, pero bueno, eso es otra cuestión).

Sin embargo, a veces tengo la sensación de que en la actualidad se está dando una situación similar con el Esquema Nacional de Seguridad. En cierto modo, tengo una sensación de deja-vu al ver que, en muchos casos, cuando se habla del ENS se piensa automáticamente en su Anexo II, en el catálogo de medidas de seguridad que incorpora, obviando (al igual que en el caso anterior) la parte fundamental del documento, el cuerpo del Real Decreto: los principios básicos y requisitos mínimos que debe cumplir la política de seguridad de cualquier administración pública. ¿No aprendemos de los errores del pasado?

Digo esto porque una de las carencias que se le suelen achacar al ENS, desde mi punto de vista de manera completamente errónea, es que no contempla la mejora continua. Es más, yo creo que la contempla de manera explícita y bastante completa:

Uno de los principios básicos de la seguridad es su reevaluación periódica (Art.9), donde establece la necesidad de reevaluar las medidas de seguridad hasta replantear la seguridad de forma completa si fuera necesario.
Uno de los requisitos mínimos de la seguridad es la mejora continua del proceso de seguridad (Art. 26), donde se exige la actualización y mejora continuas del proceso integral de seguridad, aplicando para ello mecanismos reconocidos a nivel nacional e internacional.

¿No es suficiente con esa referencia? Está claro que no establece ningún tipo de sistemática de mejora continua, ni regula la gestión de mejoras mediante la articulación de acciones preventivas y/o correctivas como hacen los estándares ISO de gestión, pero... es necesario?

Y como tema adicional de reflexión, por si alguien le quiere dar una vuelta: el citado artículo 26 habla de mecanismos reconocidos relativos a gestión de las tecnologías de la información, no relativos a gestión de riesgos o gestión de la seguridad. ¿Qué lectura hacéis de este hecho?

ENS, ENI y sociedades públicas

2012-01-03T15:24:00.000+01:00

A estas alturas no creo que ninguno de los lectores de este blog desconozca la Ley 11/2007 (LAECSP) ni los Reales Decretos que se derivan de ella (ENS y ENI, respectivamente). Pero sí que me gustaría abordar una cuestión sobre la que muchos pasan de puntillas, pero que me parece muy importante: ¿Aplican estas regulaciones a las sociedades públicas?

Uno de los análisis "oficiales" más profundos que conozco respecto de la aplicabilidad del ENS es el realizado por el CCN en sus FAQ. En ellas viene a decir que, en el ámbito de las sociedades públicas, cada caso es diferente y que hay que analizarlos uno por uno. Sin embargo (y disculpad mi osadía, supongo que se debe a que no soy jurista), yo tengo la sensación de que hay muchas similitudes entre ellas, y que se pueden establecer algunas pautas generales.

En general, yo soy de la opinión de que TODAS las sociedades públicas DEBEN CUMPLIR con el ENS/ENI. Al menos, en parte de sus servicios. Me explico.

Hasta donde yo sé (y espero que si hay algún jurista que lea esto y detecte algún error, me lo notifique), todas las sociedades públicas están sujetas al régimen de licitación pública. Y ese régimen entiendo que es un derecho de los ciudadanos y/o un deber de las administraciones públicas. Por lo tanto, debería ser accesible electrónicamente según la Ley 11/2007 (de hecho, la mayoría de las sociedades públicas tienen un "perfil del contratante" en Internet)... y por consiguiente, debería cumplir con el ENS y el ENI. Al menos, el servicio de licitaciones públicas debería hacerlo.

Por otro lado, entiendo que cualquier sociedad pública cuyos servicios impliquen la concesión de becas, subvenciones y/o ayudas económicas utilizando dinero público también realiza esa concesión de dinero en régimen de derecho público... y de nuevo dicho servicio de concesión de ayudas debería estar sujeta a la LAECSP y por tanto al ENS y al ENI.

En definitiva, creo que hay una gran cantidad de sociedades públicas cuyos servicios se prestan en régimen de derecho público y que implican la interacción con los ciudadanos y el ejercicio de derechos y/o deberes. Y lo que me parece destacable es que, hasta donde yo sé, tengo la sensación de que el sector está pasando de puntillas sobre este hecho... dejando pasar oportunidades de negocio y dejando sin las garantías asociadas a dicho cumplimiento legal a los ciudadanos que utilizan dichos servicios.

ISO 27000, la familia crece

2011-12-13T15:15:00.000+01:00

En este último par de meses han visto la luz algunas nuevas normas de la familia ISO 27000 (la serie de normas relacionadas con la seguridad de la información). En concreto, me parece muy destacable la publicación de:

ISO/IEC 27007:2011: Guía para realizar auditorías de SGSIs, publicada el mes pasado.
ISO/IEC TR 27008:2011: Guía técnica para auditar controles de seguridad de la información, publicada en Octubre.

En conjunto, me parecen un complemento muy interesante para realizar auditorías de sistemas de gestión basados en ISO 27001, ya que incorporan matices específicos en torno a la seguridad de la información y constituyen una guía sobre cómo realizar una auditoría de seguridad completa (sistema de gestión + controles). Eso sí, que nadie espere encontrar en ellos un checklist de verificaciones ni nada similar, ya que este tipo de estándares son metodologías, no guia-burros.

Y si crece la familia de normas de seguridad de la información, también lo hace el número de empresas certificadas en ISO 27001 a nivel mundial. Según el extracto de prensa del último ISO Survey, con datos de 2010, la certificación ISO 27001 ha crecido un 21%, alcanzándose los 15625 certificados mundiales en 117 países.

En definitiva, parece que la seguridad de la información no sufre la crisis... al menos, con datos de 2010.

Procesos y actividades

2011-11-29T15:27:00.000+01:00

Con los conceptos aparentemente más sencillos suelen surgir las dudas filosóficas más profundas. Uno de estos casos, siempre recurrente, es el asociado al concepto de proceso.

En sí mismo, un proceso no es más que un conjunto de actividades realizadas de manera coordinada para conseguir un fin. En términos de organización empresarial, además, consideramos que ese conjunto de actividades se realiza para transformar una serie de entradas (inputs) en algo diferente, las salidas (outputs), aportando un valor añadido en dicha transformación (el fin buscado). Parece sencillo, verdad?

Las dudas surgen habitualmente al hablar del "tamaño" del proceso. ¿Cuál es el número mínimo de actividades que hay que "agrupar" para hablar de proceso? ¿Y qué ocurre cuando hablamos de sub-procesos? No obstante, cuando los pilares del concepto se empiezan a tambalear es cuando nos damos cuenta de las implicaciones existentes en función del "tipo de salidas" que produce, que pueden ser tanto productos como servicios. Y por si fuera poco, a alguien se le ocurre meter en este poutpurri el concepto de procedimiento, para terminar de liar las cosas...

Pero si lo pensamos bien, veremos que el tema tampoco es tan complejo:

Un procedimiento es la forma de hacer algo. Lo más habitual es que sea un documento donde se explica cómo se hace algo. Y ése algo puede ser tanto una única actividad (apretar una tuerca) como un proceso completo (por ejemplo, montar una mesa). Por lo tanto, es un elemento "colateral" a cualquier actividad o conjunto de actividades.
La diferencia entre actividad y sub-proceso y proceso es más sutil, ya que radica en el concepto de "valor añadido". Por poner un ejemplo, montar un coche puede ser un proceso, considerando que uno de sus sub-procesos puede ser montar el motor, ya que también aporta un valor añadido concreto, aunque menor. Una pista suele ser que el resultado (output) de cualquier sub-proceso es algo concreto, identificable de forma individual. Otra pista puede ser que las personas y/o los recursos que se utilizan para realizar cada sub-proceso son diferentes. Otra más sería que en el punto en el que se produce la salida de un sub-proceso se realiza una verificación de su resultado, ya que su correcta o incorrecta realización depende de ese sub-proceso en cuestión. Pero quizás la definición más elegante pueda ser que un conjunto de actividades sólo puede tener entidad de sub-proceso si la gestión requerida por el hecho de serlo genera menos carga que el valor que aporta en su conjunto. En cualquier caso, es el concepto más subjetivo de todos.
La relación entre procesos, servicios y productos es sencilla: la salida de cualquier proceso siempre va a ser un producto o servicio (o al menos parte de él). Por tanto, puede haber procesos "materiales" (la salida es un producto) e "inmateriales" (la salida es un servicio). Pero no los confundamos, sobre todo en este último caso: las actividades son el proceso, los resultados de esas actividades son el servicio.
Y por último, no olvidemos la cantidad de parámetros que podemos encontrar en un proceso:

Objetivos (fin del proceso)
Condicionantes (exigencias que afectan al proceso: propias, de clientes, legales, etc.)
Entradas
Actividades que lo componen
Recursos (materiales y humanos)
Registros (resultados parciales de las actividades)
Salidas (resultados del proceso completo)
Indicadores (parámetros que permiten medir el funcionamiento del proceso)

¿Ahora está más claro? Espero que el post haya sido de ayuda...

Continuidad preventiva

2011-11-22T15:22:00.000+01:00

Es curioso ver que, en un mundo que cada vez avanza más deprisa, hay ciertos temas que parecen atemporales, como si el paso del tiempo estuviera detenido para ellos. Y lo más llamativo es que sólo la periódica aparición de deja-vus te recuerda que todo sigue igual, que el mundo parece no haber evolucionado nada en ese ámbito.

Uno de estos temas es el relacionado con la continuidad de negocio. O mejor dicho, con la forma de abordar la continuidad del negocio por parte del sector de la consultoría. Echando la vista atrás, hace más de 4 años que en este mismo blog criticaba la visión reactiva de la continuidad que tienen algunos autores. Y hoy es el día que me encuentro con un estupendo artículo titulado Gestión integral de crisis: La nueva Continuidad de Negocio que, escrito el pasado mes, viene a decir prácticamente lo mismo. ¿Qué estamos haciendo mal? ¿Por qué no hemos evolucionado nada en estos últimos 5 años?

De todos modos, este caso me parece especialmente hiriente, ya que ni siquiera hemos hecho caso a la sabiduría popular, que desde tiempos inmemoriales incluye en el refranero el máximo exponente de esta filosofía: "más vale prevenir que curar". ¿Por qué no somos capaces de incorporar el conocimiento histórico adquirido en las "nuevas" filosofías de gestión?

A partir de ahora, además, se abre un nuevo campo en el que aplicar la filosofía de la continuidad: la protección de las infraestructuras críticas. Quizás no sea nuevo en el fondo, pero sí que se ha renovado en la forma, en cómo encarar el problema, en cómo gestionarlo. ¿Seremos capaces de aplicar por fín la filosofía preventiva a la continuidad de estas infraestructuras? ¿Nos obligará su singularidad (son críticas por definición) o el coste de las medidas reactivas a cambiar la forma de afrontar este ámbito de la continuidad? ¿O no seremos capaces de aprender de nuestros errores? Espero que en esta ocasión aprendamos... por el bien de todos.

Seguridad multimedia

2011-11-21T15:01:00.000+01:00

Todo evoluciona. Incluso la seguridad de la información, un tema que, seamos sinceros, no es especialmente interesante para el público en general, se puede hacer más atractivo y cercano con el correspondiente "toque multimedia". Y como a mí no se me dan demasiado bien esas herramientas, prefiero dejaros un par de referencias multimedia sobre seguridad de la información de dos reconocidos actores del sector.

La primera de ellas es un webinar sobre la implantación de un SGSI basado en ISO 27001, gratuito, impartido por Dejan Kosutic, en el que se va a profundizar en las similitudes, diferencias y convergencias entre la ISO 27001 y la ISO 9001. El único inconveniente para los hispano-hablantes es que el webinar se imparte en inglés, aunque no creo que a la mayoría les deba suponer demasiado problema en un sector en el que el spanglish es casi una obligación...

La segunda referencia es la intypedia, y en particular la última lección publicada hasta el momento, sobre el análisis y gestión de riesgos. Un complemento perfecto al webinar anterior que se centra en el núcleo del análisis de riesgos, y que cuenta con el guión de un reconocido experto en la materia como es Jose A. Mañas.

En definitiva, una forma más amena de acercarse al mundo de la seguridad, por si la versión "clásica" en modo texto no nos gusta demasiado...

Y ya que hablamos de contenido multimedia, no puedo dejar de referenciar las ponencias de ENISE, cuyos vídeos ya están disponibles. Espero que las disfrutéis...

ITIL en la vida cotidiana

2011-11-08T15:00:00.000+01:00

Aunque a veces no nos damos cuenta, el mundo de la gestión TIC es muy pequeño. Para el común de los mortales, completamente desconocido. Pero además es un mundo muy endogámico, del que muchas veces nos cuesta trabajo salir.

Por eso, hoy quiero plantear una simple propuesta: ¿Cuántos servicios utilizáis en vuestra vida cotidiana, en vuestro día a día? ¿Os habéis planteado alguna vez cómo sería su gestión siguiendo las directrices de ITIL / ISO 20000?

Pensemos en la sanidad. Cuando nos ponemos enfermos... no tenemos, en realidad, una incidencia? ¿Qué pasaría si la atención primaria fuese nuestro CAU? Os imagináis a un médico de cabecera, al que le hayan asignado nuestra "incidencia", haciendo el seguimiento de nuestro tatamiento de principio a fin? Quizás podría mejorar el servicio prestado, aunque... qué os parece eso de no tener un médico de cabecera asignado, sino un pool de médicos atendiendo? Pero si seguimos un poco más allá... ¿Podríamos ver las operaciones de quirófano como un cambio/entrega? ¿Os gustaría que la sanidad tuviese una CMDB en la que cada uno de nosotros fuera un elemento de configuración? Y para rizar el rizo... ¿En qué consitiría el proceso de relaciones con el negocio (con los clientes)? ¿Realmente la sanidad se preocuparía por nuestra satisfacción real?

Pensemos en la administración pública. Cuando solicitamos un padrón (o una subvención), o cuando renovamos un DNI... ¿No estamos realizando, en el fondo, una petición de servicio? ¿No sería genial que existiera un punto único de interlocución con el que pudiésemos tramitar, de princpio a fin, todas nuestras necesidades? Y si hubiera que interactuar con otras administraciones públicas... ¿No debería ser el propio proceso de gestión de suministradores de nuestra administración pública quien se encargase de esos trámites? ¿Os imagináis que existiera un SLA con la administración pública contra el que pudiésemos reclamar? ¿O que pudiésemos recibir informes sobre los servicios que hemos utilizado?

Estos son sólo dos ejemplos de cómo se pueden aplicar los principios de la gestión de servicios TIC a cualquier clase de servicios. En el fondo, cualquier servicio, sea o no sea TIC, tiene una capacidad, seguridad o disponibilidad determinada, y podremos mejorarlo si gestionamos estos aspectos adecuadamente. Por suerte o por desgracia, la tecnología es compleja, y hemos tenido que desarrollar sistemáticas elaboradas para poder gestionarla mejor. ¿Por qué no hacemos uso de esas sistemáticas para gestionar servicios cuyo nivel de complejidad también sea elevado? La nueva versión de la ISO 20000 ya ha dado ese paso, librándose de la "coletilla" TIC... ¿Por qué no lo hacemos también nosotros?

Sensaciones de ENISE 2011

2011-11-03T15:19:00.000+01:00

La semana pasada se celebró la 5ª edición de ENISE, en la que una vez más tuve la oportunidad de participar, representando a mi organización. En esta ocasión sólo pude estar los dos primeros días, dedicados a la seguridad en la nube y a la protección de las infraestructuras críticas respectivamente, así que son esas dos jornadas las que voy a comentar.

La sensación general que me queda es agridulce. Por un lado, creo que la organización ha sido magnífica, y la selección de los temas a debatir me ha parecido perfecta. Además, el formato de sesión plenaria seguido de talleres más específicos me parece muy acertado, y creo que la articulación de los temas y representantes en cada taller ha sido muy buena. Sin embargo, no puedo evitar un cierto regusto amargo derivado de la escasa profundidad de la mayor parte de las ponencias, así como de una cierta sensación de deja vu entre unas ponencias y otras. Tengo la sensación de que algunos de los ponentes no han (hemos) estado a la altura del congreso (o al menos, de lo que yo esperaba de él). Obviamente no estuve presente en todos los talleres, de modo que mi opinión no tiene por qué ser generalizable, pero por las impresiones que pude cruzar con otros participantes, no fui el único que salió con esa sensación.

Las principales conclusiones que extraje de la jornada dedicada al Cloud Computing se pueden resumir de forma sencilla:

Cloud = externalización + virtualización
El Cloud Computing no tiene problemas legales específicos, sólo acentúa los propios de la externalización, que en absoluto tenemos resueltos de forma satisfactoria.
Ni la seguridad ni la privacidad son preocupaciones primarias de los proveedores de servicios Cloud, de modo que las soluciones que ofrecen no incorporan mayores (ni menores) garantías al respecto que las ofertadas al hablar de "simple" externalización. Una vez más, la seguridad es un requisito incorporado a posteriori.
La virtualización es una realidad bastante más tangible que el cloud. El mercado del cloud todavía se está "autodefiniendo".
Las iniciativas en torno a las arquitecturas cloud de las grandes organizaciones son, por el momento, apuestas "a chica" (en términos "musísticos").

En cuanto a la jornada dedicada a las infraestructuras críticas, mis principales conclusiones son las siguientes:

La forma de proteger las infraestructuras críticas en los términos actuales todavía no está clara, existe una cierta indefinición en sus límites y en el encaje que tiene con otros conceptos más asentados como la seguridad patrimonial, la seguridad de la información, la continuidad de negocio, etc.
Derivado de esa indefinición, en muchos operadores críticos (oficiales o "futuribles") se está viviendo una cierta "lucha de poder" entre los mundos de la seguridad física y la seguridad lógica por hacerse con el control de estas "nuevas" iniciativas.
Es previsible que los próximos avances regulatorios en la materia ayuden a establecer estos límites y a resolver estas luchas.
En cualquier caso, todos los operadores críticos plantean la cuestión presupuestaria como la principal barrera para avanzar en este tema, motivo por el cual los avances reales son muy escasos.
Tampoco los proveedores de servicios presentan en la actualidad una oferta demasiado definida de productos o servicios específicos para la protección de las infraestructuras críticas, existiendo aproximaciones bastante diversas en función de los orígenes de cada proveedor.

En definitiva, la conclusión global que pude sacar de ambas jornadas es que, en cualquiera de los casos, el sector todavía no está maduro, y es previsible que en los próximos años veamos avances muy importantes en ambos temas.

Dicho esto... ¿Alguien que asistiera a la última jornada, dedicada a la seguridad de los dispositivos móviles, se atreve a completar el post con sus conclusiones al respecto? Dejo los comentarios a vuestra entera disposición.

Seguridad y sostenibilidad

2011-09-22T15:25:00.000+02:00

El pasado lunes publiqué un post en el Blog de Seguridad de INTECO, en el que introducía brevemente un concepto que creo que en un futuro puede ser una de las estrellas del mundo de la seguridad: la sostenibilidad aplicada a la seguridad de la información. ¿Qué os parece el planteamiento? ¿Qué fallos le veis? Espero vuestros comentarios.

Agua y seguridad

2011-09-15T17:48:00.000+02:00

A veces, me encuentro con personas que ponen cara de extrañeza cuando les hablas de mezclar el mundo de la seguridad informática con el de la seguridad "tradicional". Sin embargo, día tras día surgen ejemplos que ponen de manifiesto la importancia de avanzar en esa fusión.

El último caso lo encontramos en Noruega, en el sistema de suministro de agua potable de Oslo. Parece ser que se podía acceder a través de Bluetooth al sistema de control y suministro de agua, utilizando la contraseña 0-0-0-0. Esa sencilla clave, la segunda clave numérica más utilizada según algunos estudios, permitía que cualquiera, símplemente con un móvil con bluetooth, pudiera acceder al sistema, interrumpir el suministro, alterar la presión... En definitiva, tener el control del suministro de agua de la capital de Noruega.

Este sólo es un ejemplo más de que el mundo físico y el electrónico cada vez están más interrelacionados, y de que ya no basta con la seguridad física para proteger apropiadamente las infraestructuras críticas. No obstante, tampoco debemos caer en la tentación (propia del sector TIC, por otra parte) de pensar que ahora lo que cuenta es la seguridad informática, y olvidarnos de la seguridad física o pensar que las preocupaciones al respecto deben ser menores. La verdad es que no es una labor sencilla, por mucho que ahora contemos con una Ley y un Real Decreto que regulan estos aspectos. Y no por el hecho en sí de balancear ambos mundos, sino por tratar de hacer confluir los intereses de dos perfiles profesionales muy diferentes, que nunca se han entendido y que ahora tienen que trabajar en equipo, superando sus egos y prejuicios. ¿Seremos capaces de proteger adecuadamente nuestras infraestructuras físicas? ¿O la próxima noticia contará alguna historia sobre el riesgo que ha sufrido una capital española? Al menos, esperemos que en ese caso no haya sido por mantener las claves de acceso por defecto...

Certificados y confianza

2011-09-08T15:50:00.000+02:00

La noticia de que una nueva entidad de certificación, DigiNotar, ha sido comprometida ha acrecentado las dudas acerca del sistema PKI y, por ende, acerca de los elementos sobre los que se fundamenta la seguridad hoy en día. ¿Podemos seguir confiando en el SSL, en el "candadito" del navegador? Ayer mismo Hispasec publicaba, en su una-al-dia, una breve pero clara relación de los incidentes de seguridad más importantes sufridos por el sistema PKI en los últimos tiempos, con un mensaje preocupante al final: esto sólo acaba de empezar. ¿La situación es realmente tan preocupante como parece?

En cualquier caso, creo que no estaría de más hacer un pequeño análisis de los últimos incidentes. Del correspondiente a GlobalSign todavía no se sabe mucho, ya que está bajo investigación. También lo está el de DigiCert, pero en este caso tenemos un análisis bastante interesante sobre la intrusión, muy instructivo y recomendable. Del primero de ellos no hay un análisis tan detallado, pero se puede resumir en que el atacante entró en la RA (autoridad de registro) a través de internet, y en ella estaban almacenadas las claves necesarias para emitir los certificados contra la CA (autoridad de certificación).

Viendo los hechos, a mi me parece claro un aspecto: el nivel de automatización y ejecución on-line de todo el proceso es excesivamente alto. Por un lado, porque no se requiere autenticación fuerte basada en token físico (tarjeta criptográfica) para la emisión de un certificado. Por otro, porque tampoco da la sensación de que se requiera la intervención humana expresa para proceder a dicha emisión. Y por último, porque un equipo que sólo actúa una vez al año (como mucho) como es una CA raíz jamás debería estar no ya conectado a la red, sino siquiera encendido.

Dicho esto, no creo que el sistema PKI esté en peligro... pero sí que me parece necesaria una migración rápida a soluciones SSL-EV. Para los profanos, los certificados SSL-EV son los que "colorean de verde" la barra del navegador. El EV significa "validación extendida", o dicho de otra forma, verificación rigurosa de la identidad del solicitante antes de emitir el certificado. Por tanto, no es un cambio tecnológico, sino procedimental: las RAs tienen la obligación de emitir "manualmente" los certificados, ya que se deben verificar un montón de datos para autenticar fehacientemente al solicitante del certificado antes de emitirlo.

Obviamente, siempre será imprescindible cumplir las especificaciones de seguridad que contienen las normas que regulan el mundo de las PKIs... y más si se está certificado en ellas por una tercera parte confiable. Esa tercera parte, que acredita el correcto cumplimiento, es quien garantiza la viabilidad de todo el sistema, y desde mi punto de vista debería ser a quien se exijan responsabilidades si se demuestran incumplimientos importantes no identificados. Es cierto que esto supone una gran responsabilidad para los auditores, pero... ¿Acaso no es ésa su función?

Este blog sigue abierto

2011-08-31T15:25:00.000+02:00

Hace más de mes y medio que no publicaba nada en el blog. Una excusa podría ser que he estado de vacaciones (ójala hubieran durado todo ese tiempo), otra la jornada intensiva (y la dedicación del tiempo libre al ámbito no-profesional), pero la verdad es que sólo serían excusas. El motivo real no tengo muy claro cuál era, salvo que me estaba replanteando el encaje del blog dentro de mi nuevo status profesional.

A partir de ahora voy a dirigir la línea de negocio de Control Corporativo y Cumplimiento Legal de Nextel en la zona Norte. Por un lado me voy a encargar del desarrollo de negocio en torno al diseño e implantación de modelos de control interno corporativo (COSO, CobiT, etc.), y por otro voy a asumir la labor de potenciar las áreas de negocio relacionadas con la legislación tecnológica (tanto las ya maduras como la LOPD o la LFE -firma electrónica-, como las más "nuevas" como ENS, ENI o Infraestructuras Críticas). Un reto profesional que asumo con mucha ilusión, pero también consciente del esfuerzo e implicaciones que puede suponer.

Y una de esas implicaciones era, precisamente, la neutralidad de este blog. Teniendo en cuenta que asumo unas funciones de mayor perfil comercial y de promoción e impulso de los servicios que ofrecemos desde Nextel, no tenía claro si iba a ser capaz de mantener un tono suficientemente neutro a la hora de posicionarme en los temas que trato en el blog. En más de una ocasión he caído en la tentación de "vender" los planteamientos de mi empresa, y no me gustaría que el blog se acabase convirtiendo en una herramienta de marketing o algo similar. Así que he estado dándole muchas vueltas, releyendo algunos post y tratando de ver cuáles pueden ser los límites que no debo cruzar.

Finalmente, he llegado a una conclusión: es posible continuar. Quizás me tenga que pensar más lo que escribo, o tenga que ser especialmente escrupuloso con el tono de ciertas críticas, pero creo que es posible mantener la neutralidad mínima requerida. Así que ya siento haber escrito tanto para acabar repitiendo el título del post, pero necesitaba explicarme:

Este blog sigue abierto.

La estrategia española de seguridad

2011-07-13T18:30:00.000+02:00

Hace tres semanas pudimos conocer la Estrategia Española de Seguridad, el documento que recoge el planteamiento estratégico de seguridad previsto para los próximos 10 años. En él se analizan las amenazas y riesgos a nuestra seguridad, se identifican las líneas de respuesta y se definen los mecanismos de coordinación. En la práctica, se identifican las principales líneas de acción previstas para los próximos años en relación a las distintas amenazas identificadas en el documento.

Para todo aquél que no quiera analizar a fondo el documento, también existe la opción de revisar otro documento en el que se analiza dicha estrategia, comparándola además con las estrategias de seguridad de Estados Unidos, Reino Unido, la Unión Europea y la OTAN. Este documento es el Análisis comparativo de la estrategia española de seguridad, elaborado por el Instituto Español de Estudios Estratégicos.

No es mi intención hacer un análisis exhaustivo de dicho documento, pero sí destacar algunos aspectos que me parecen interesantes desde el punto de vista de la temática de este blog. El primero de ellos es que el desarrollo legislativo no es una línea de acción especialmente significativa, pero aparece citada en torno al crimen organizado y sobre todo en relación a las ciberamenazas. Parece que este sea el ámbito con mayores carencias legislativas, lo cual hace prever la futura aparición de nuevas leyes de carácter tecnológico en los próximos años.

Otro de los aspectos más destacable es la aparición de continuas referencias a las infraestructuras críticas. Se identifica la vigilancia y protección de las infraestructuras críticas por parte de los diferentes cuerpos de seguridad como una de las líneas de acción frente al terrorismo, así como la necesidad de gestionar los riesgos derivados de la participación de empresas extranjeras en la gestión de las infraestructuras críticas como una de las líneas de acción en torno a la inseguridad económica y financiera. También figura su protección como una de las líneas de acción encaminadas a proteger las líneas y redes de abastecimiento energético, pero sobre todo aparecen reseñadas en relación a la protección frente a las ciberamenazas y como uno de los elementos a proteger en sí mismos. Hace referencia al CNPIC y al Plan Nacional de Protección de las Infraestructuras Críticas, a la incidencia de los ciberataques sobre dichas infraestructuras, pero sobre todo incide en la necesidad de coordinación entre los agentes públicos y privados.

Por último, uno de los aspectos que más me han llamado la atención es la poca relevancia aparente que tiene el Esquema Nacional de Seguridad dentro de dicho documento. En torno a la ciberseguridad se identifican distintas líneas de acción de carácter público, centradas en la interconexión entre administraciones y la identidad digital (certificados electrónicos y DNIe), y se identifica el desarrollo del ENS como otra de ellas. No obstante, me parece destacable que se cite la necesidad de realizar auditorías que verifiquen la seguridad de los sistemas, ya que permite soñar con un futuro reforzamiento de este aspecto, que "anime" a las administraciones públicas a tomarse más en serio este tema.

En definitiva, un documento interesante que creo que debe ser conocido por cualquier que se mueva en este sector. Al menos, para poder anticipar por dónde pueden venir los futuros movimientos...

Ya no basta con ser como la mujer del césar

2011-06-14T15:38:00.000+02:00

Seguro que todos hemos oído que en seguridad, como la mujer del césar, no sólo basta con ser honrado, también hay que parecerlo. Unas buenas medidas de seguridad no sólo tienen que ser eficaces, sino que tienen que parecerlo. El efecto disuasorio de la apariencia de seguridad no es en absoluto despreciable, y de hecho es una medida preventiva bastante eficiente. Y si no, que se lo pregunten a los instaladores de alarmas (que siempre colocan el cartel de "alarma conectada") o a los que colocan cámaras de seguridad "falsas".

La discusión entre cuál de los dos factores es más importante (y por tanto, cuál primar) tampoco es trivial, aunque el análisis es fácil de entender. La apariencia de seguridad es una medida de seguridad preventiva, que reduce la probabilidad de ocurrencia de un ataque (no de cualquier incidente, sólo de los malintencionados). Por contra, la seguridad eficaz pero no aparente puede ser una medida de seguridad preventiva, detectiva o reactiva, en función de lo cual va a reducir la probabilidad de ocurrencia del incidente en el primer caso o el impacto del mismo (directamente en el caso reactivo e indirectamente en el detectivo)en los restantes. Por tanto, primar uno u otro dependerá sencillamente de nuestro análisis de riesgos y de qué tipo de amenazas queramos mitigar.

Sin embargo, a día de hoy creo que no basta con tener en cuenta estos dos factores. Hay un tercer factor que cada día cobra más importancia a la hora de valorar una medida de seguridad: la fiabilidad de sus resultados. Es un factor que no es nuevo (que se lo pregunten a los fabricantes de IDS y los problemas causados por falsos positivos/negativos), pero que cada día cobra más importancia. La confiabilidad de las medidas de seguridad está relacionada con su sostenibilidad, y busca la certeza de que los resultados ofrecidos se puedan garantizar a lo largo del tiempo. De poco vale un buen control de accesos si no somos capaces de controlar los cambios que realizamos en su configuración, de forma que a la hora de la verdad no podamos asegurar si durante un ataque funcionó como queríamos que lo hubiera hecho.

El problema es que, a día de hoy, la mayor parte de los sistemas de seguridad (físicos, lógicos, o del tipo que sean) no están preparados para garantizar su fiabilidad a lo largo del tiempo. ¿Cuántos armarios son capaces de identificar unívocamente cada llave de acceso? ¿Cuántos firewalls son capaces de guardar la trazabilidad completa de los cambios de configuración sufridos? ¿Cuántos sistemas de ficheros están preparados para realizar auditorías periódicas de su contenido? Si alguien pone en duda la fiabilidad de las medidas de seguridad que tenemos dispuestas... ¿Estamos preparados para contestar?

El efecto mariposa de la seguridad

2011-06-06T15:36:00.000+02:00

En estos últimos tiempos estamos presenciando cada vez más iniciativas legislativas en torno al sector de la seguridad. Por un lado, a principios del año pasado presenciábamos el nacimiento del ENS. Por otro lado, estas navidades veíamos cómo el nuevo Código Penal introducía el concepto de la culpa in vigilando en torno a la responsabilidad penal de las personas jurídicas, obligando a las organizaciones a garantizar el debido control corporativo. Este año hemos visto cómo, en un tiempo récord, surgía la Ley 8/2011 para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 por el que se aprueba el Reglamento que desarrolla la LPIC. En todas ellas, la correcta aplicación y gestión de la seguridad de la información y los entornos TIC es el núcleo de su aplicación.

Después de ver este panorama, me asalta una duda existencial. Serán estas leyes las alas de la mariposa, y dentro de algún tiempo acabaremos viendo el tsunami provocado? O quizás debamos echar la vista atrás y buscar el aleteo que ha provocado este despliegue legislativo? Está sufriendo el sector su propio efecto mariposa?

ENS practico

2011-05-26T15:04:00.000+02:00

Hoy sólo quiero poner en común con todos vosotros un par de documentos que seguro que os sirven de ayuda si queréis acercaros a la parte práctica de una implantación de las medidas de seguridad que indica el Esquema Nacional de Seguridad:

La Guia de Implantacion del Esquema Nacional de Seguridad de AMETIC, un documento que, además de explicar el ENS, incluye un apartado con un caso práctico que seguro que resultará de mucha utilidad para cualquiera que se enfrente por primera vez a una implantación de un ENS.
El libro Esquema Nacional de Seguridad con Microsoft, un documento que recoge la propuesta de Microsoft para implementar, utilizando sus tecnologías y productos, las medidas de seguridad exigidas por el ENS.

En conjunto creo que constituyen una referencia bastante completa para "aterrizar" de forma sencilla las exigencias a veces abstractas que recoge el ENS. Es cierto que entre las dos son unas cuantas páginas a revisar, pero creo que merece la pena echarles un vistazo.

El resumen de tu seguridad

2011-05-18T15:26:00.000+02:00

Hace más de un mes que no publico nada. Sigo aquí, aunque por diversos motivos me he tenido que mantener off-line más tiempo del que me hubiera gustado. No obstante, espero que este alejamiento temporal pueda concluir dentro de no demasiado tiempo, y sobre todo que merezca la pena. Ya os contaré...

Hoy quiero referenciar un artículo que he leído en estos últimos tiempos, y que me ha parecido un estupendo alegato acerca de la utilidad de la declaración de aplicabilidad. No es muy extenso, y en cambio es tremendamente acertado, así que animo a todos a leerlo.

En resumidas cuentas, la declaración de aplicabilidad es el resumen de tu seguridad. Es un documento mediante el cual se puede realizar una aproximación sencilla, apta "para todos los públicos", del "tamaño" de tu seguridad. Hace ya mucho tiempo que hablé en el blog de las dimensiones de un SGSI, y sin embargo creo que a día de hoy su vigencia sigue intacta.

La ventaja que tiene este documento es que puede servir, sin comprometer demasiado la confidencialidad de la información asociada, para orientar a los clientes u otras partes interesadas sobre la "fortaleza" de tu seguridad, algo que puede ser muy útil a la hora de firmar acuerdos en los que la seguridad sea un factor importante a considerar. ¿Pediríais vosotros la declaración de aplicabilidad a un proveedor, por poner un ejemplo concreto, de servicios en la nube? ¿Qué otra documentación os parece importante solicitar (y pensáis que puede ser "conseguible"?

El futuro de los estandares de continuidad de negocio

2011-04-15T16:12:00.000+02:00

El mundo de los estándares de continuidad de negocio está sufriendo un lento pero progresivo cambio. Por un lado, hace mes y medio que se publicó la ISO 27031, que sustituye e internacionaliza la antigua BS 25777 sobre continuidad TIC. Este hecho, además, supone reconocer la continuidad TIC como uno de los aspectos propios de la seguridad de la información, puesto que pasa a formar parte de la serie ISO 27000, pero por otro lado lo "aleja" de la continuidad de negocio, ya que el estándar que define los requisitos para el establecimiento de un sistema de gestión dentro de esta serie es la ISO 27001.

Por otro lado se va avanzando en la redacción del futuro estándar de continuidad ISO 22301, que establece los requisitos para un sistema de gestión de la continuidad. Curiosamente, el borrador actual parece que no utiliza el término "negocio", y en su lugar aparece el concepto "preparedness" (algo así como "estar listo para entrar en acción") para el que no se me ocurre un buen término en español. Esta norma sustituirá a la actual ISO 22399, y según parece también lo hará con las vigentes BS 25999 y UNE 71599. No obstante, en este caso el estándar no pertenece a la serie de seguridad de la información, sino que está desarrollado por el comité técnico ISO/TC 223 sobre "societal security" (término para el que tampoco se me ocurre una traducción apropiada, aunque el término seguridad corporativa quizás pueda valer). Por tanto, parece que la separación entre "negocio" y "tecnología" se acentúa en la evolución de estos estándares de continuidad a normas ISO, lo cual me agrada especialmente, como podréis suponer.

De todos modos, sigo viendo una importante carencia en este tipo de estándares de continuidad (al menos, a falta de una definición más exacta de su alcance). Carencia que, además, me da la sensación de que puede ser una de las causas de que su adopción no se esté extendiendo tan rápidamente como se preveía inicialmente. Y es carencia es que, en general, los riesgos que gestionan este tipo de estándares suelen ser riesgos operativos (u operacionales), mientras que cuando se habla de negocio en cualquier organización, todo el mundo suele pensar inicialmente en riesgos económico-financieros y/o como mucho en riesgos de mercado. Quizás el problema sea tan sólo el nombre (y ese pueda ser uno de los motivos por los que se ha eliminado el término "negocio" en la versión ISO), pero por otro lado estoy seguro de que si este tipo de estándares de gestión cubriesen de algún modo este tipo de riesgos más propios del "negocio" su adopción por parte de todo tipo de organizaciones sería mucho más amplia. ¿Estáis de acuerdo?

Publicada la nueva ISO/IEC 20000-1:2011

2011-04-14T18:49:00.000+02:00

El pasado martes se publicó la nueva versión de la ISO 20000. Esta versión sustituye oficialmente a la ISO/IEC 20000-1:2005, y despeja todas las dudas acerca de su contenido. Ya está disponible! Ahora podremos verificar cuántas de las suposiciones previas y de los cambios previamente anunciados eran ciertas.... Al menos, lo que sí se puede comprobar es que efectivamente la nueva versión aumenta su tamaño en un 60%. ¿Serán también correctas el resto de las suposiciones? Seguro que tras una lectura detallada descubriremos la respuesta.

Seguridad y meta-gestión

2011-04-05T15:46:00.000+02:00

La consultoría es un timo. Esa fue la frase que escuché hace unos días, al tiempo que la mitad de los presentes ponía (poníamos) una cara horrorizada -los "consultores"- y la otra mitad sonreía con gesto de aprobación -los "clientes". Y hablaba de consultoría de seguridad...

En el fondo, el que dijo aquella frase tenía algo de razón. Un consultor debería ser un consejero, alguien a quien le cuentas tus problemas (de seguridad, o de lo que sea) y te propone soluciones (buneas, bonitas, y baratas). Ni más, ni menos. Pero claro, piensas en la consultoría que hacen muchas organizaciones a día de hoy, y le entiendes. Documentación vendida "al peso", mínima personalización -cuando no copy-paste de algún otro cliente-, poca utilidad práctica... Es muy difícil entender que esos "entregables" son las soluciones prometidas.

Y en el mundo de la seguridad la situación todavía puede empeorar más. Normalmente los clientes tienen problemas de seguridad reales, han sufrido incidentes, sus máquinas son vulnerables, su personal "pasa" de la seguridad... y los consultores ni siquiera le ofrecen seguridad, sino gestión. Algunos, incluso meta-gestión: un consultor es la única persona capaz de darle a un cliente un procedimiento sobre cómo escribir procedimientos de seguridad sin necesidad de ayudarle a resolver los problemas (de seguridad) que deben arreglar esos procedimientos. ¿O no?

En el fondo, la situación no es tan absurda. Usando terminología "consultora", la clave es la forma de encarar el problema: top-down o botton-up. Podemos empezar por enseñar a gestionar y conseguir que esa gestión vaya consiguiendo una mejora de la seguridad aplicada, o empezar aplicando medidas de seguridad y luego enseñar cómo se deben gestionar. La aproximación "consultora", clásicamente "top-down", puede argumentar que estamos enseñando a pescar (o incluso a construir cañas, si pensamos en meta-gestión), pero se nos olvida un "detalle" fundamental: el cliente muchas veces tiene hambre. Y en función del tiempo que necesite para aprender a pescar, puede morir de hambre antes de haber aprendido...

En definitiva, creo que para perder el halo de "timo" que algunas personas asocian a la consultoría tenemos que empezar a ser más prácticos, entender más los problemas de nuestros clientes y poner los pies en la tierra a la hora de definir los "entregables". Resumiendo, enseñar a pescar está bien, pero os puedo asegurar -y más ahora que acabo de terminar de comer- que siempre se aprende más con el estómago lleno (los que no quieran perder la terminología "consultora" le pueden llamar quick-wins).

Se puede decidir basándose en el riesgo?

2011-03-24T15:40:00.000+01:00

Hace unos días estuve inmerso en una interesante discusión en torno a las causas y consecuencias del incidente de la central nuclear de Fukushima. El estupendo artículo escrito por Javier Cao sobre el posible fallo en la seguridad de la central nos sirvió para aportar algo de luz a la discusión, pero la verdad es que la discusión acabó cuestionando el propio núcleo de la seguridad, la gestión de riesgos, hasta acabar preguntándonos si realmente tiene sentido hacer los análisis de riesgos como los hacemos.

El problema es fácil de explicar en términos de un simple análisis de riesgos: un activo (la central) de bastante valor, una amenaza (la catástrofe nuclear) de muy baja probabilidad de ocurrencia (tres casos a nivel mundial en la historia de la energía nuclear) y un impacto altísimo (la muerte, inmediata o aplazada, de las personas que estén a varios kilómetros a la redonda) si llega a ocurrir. Unido al análisis de ese riesgo, el beneficio asociado: la producción eficiente y barata de energía eléctrica. ¿Qué hacer?

Para simplificar el análisis, voy a hacer una rápida aproximación (trivial, lo sé): Riesgo (1-125) = Activo (1-5) x Amenaza (1-5) x Impacto (1-5). En este caso, R1 = 4 x 1 x 5 = 20/125 = 16%.

Viendo este cálculo, cualquiera podría decir que un riesgo del 16% se puede considerar bajo, y en consecuencia asumible, a priori.

Ahora, comparémoslo con otro caso, como puede ser un accidente de aviación: un avión (de no mucho valor comparado con la central), la amenaza de que se estrelle (cuya frecuencia de ocurrencia, viendo los datos estadísticos mundiales, es significativamente más alta que la anterior) y un impacto también asociado a la pérdida de vidas humanas, pero de menor incidencia que el anterior. El beneficio, en este caso, es el transporte rápido y relativamente eficiente de personas.

De nuevo voy a hacer un ejercicio de libro para simplificar este otro caso: R2 = 2 x 3 x 4 = 24/125 = 19%.

También tenemos un riesgo bajo, de un orden de magnitud comparable con el caso anterior, aunque su resultado es mayor (lo sé, ambos cálculos pueden ser discutibles, y es evidente que los números están elegidos a propósito, pero me parece un ejemplo ilustrativo).

Por último, un tercer ejemplo: un atentado terrorista con pre-aviso en la sede de una bolsa. En este caso, el valor del activo (la bolsa) probablemente será más alto que el del avión, la probabilidad de ocurrencia a nivel mundial puede ser comparable, y el impacto, aunque no provoque muertes, puede tener consecuencias económicas muy importantes para el país. En este caso, el cálculo podría ser R3 = 4 x 3 x 3 = 36/125 = 29%.

Y ahora empiezan los cuestionamientos a este planteamiento. Para empezar, uno sencillo, matemático: ¿Si hablamos de vidas humanas comparadas con pérdidas económicas, realmente deberíamos valorar el impacto con la misma escala? ¿La escala de impactos debería ser lineal o exponencial? ¿No estaremos simplificando mucho la fórmula de cálculo del riesgo? Porque una excesiva simplificación nos podría llevar a trivializar ciertos riesgos...

En segundo lugar, un cuestionamiento más filosófico, de fondo. En los casos en los que el impacto es tan brutal... ¿Es conveniente tener en cuenta la probabilidad de ocurrencia de las amenazas? ¿O quizás no se debería valorar el riesgo, sino sólo el impacto ponderado? De esa forma nos estaríamos cubriendo frente a cisnes negros, cuya probabilidad de ocurrencia, por definición, es incalculable. ¿Deberíamos hacer sustituir los análisis de riesgos por los análisis de impactos, como se hace al valorar la continuidad? En ese caso, el resultado cambiaría mucho:

I1(desastre nuclear) = 20/25 = 80% >> I3(atentado bolsa) = 12/25 = 48% >> I2(accidente aéreo) = 12/25 = 32%

Ahora otra duda filosófica. ¿Cómo entra en la ecuación el beneficio (en este caso, beneficio obtenido de la asunción del riesgo)? En el ejemplo no me he atrevido a cuantificar el beneficio de cada uno de los tres casos, pero... ¿Es la ecuación coste/beneficio (riesgo/beneficio en nuestro caso) una ecuación válida? Y lo que es más importante (sin entrar en el cuestionamiento matemático): ¿Podrían existir casos en los que un riesgo (o un impacto) fuese tan alto que no se debiera considerar la posibilidad de aceptarlo, independientemente del beneficio asociado? (y ojo, que esta duda filosófica no es una cuestión trivial, ya que subyace tanto en el debate nuclear como en la crisis de las sub-prime).

Por último, otro cuestionamiento más clásico. ¿Debe cambiar nuestra decisión, o nuestra valoración, en función de la cercanía temporal con un incidente en el que se haya materializado la amenaza cuyo riesgo estamos evaluando? ¿Y si el incidente es un cisne negro?

En definitiva, con este post (ya siento que me haya quedado un poco largo) quería poner de manifiesto un problema del que, de una forma u otra, se está hablando mucho últimamente: es posible que los gobiernos tomen decisiones sin haber hecho un análisis excesivamente profundo sobre los riesgos asociados a esas decisiones, y probablemente un análisis más detallado les permitiría tomar decisiones más razonadas. Pero tampoco caigamos en la tentación de pensar que un análisis correcto va a llevar automáticamente a una decisión acertada, porque... realmente la herramienta de análisis y decisión es correcta? ¿Es realmente el análisis de riesgos una herramienta válida para la toma de este tipo de decisiones? Si has leído hasta aquí seguro que tienes tu propia opinión al respecto... ¿La compartes?

Límites legales a la seguridad

2011-03-15T15:28:00.000+01:00

Como todos sabréis, no soy abogado. Muchas veces me cuesta bastante entender la forma de pensar de los licenciados en derecho, tan enrevesada para un ingeniero. Y más cuando se ponen a hablar de cosas tan "simples" como la tecnología o la gestión. Sin embargo, no puedo evitar que la legislación tecnológica me parezca un tema apasionante, y más cuando se entremezclan aspectos "importantes de verdad" como los derechos y deberes de las personas o de las empresas. Así que muchas veces caigo en la tentación de abordar temas en los que realmente no soy experto, pero sobre los que no puedo evitar mojarme. Sólo espero que nadie considere que mis posturas están más autorizadas que otras por el mero hecho de decidirme a plasmarlas en un blog...

Dicho esto, algo que me satisface enormemente suele ser encontrarme con textos en los que personas realmente autorizadas, como creo que son los juristas especializados en nuevas tecnologías, escriben sobre estos temas en lenguaje apto para el común de los mortales. Y hoy quiero referenciar dos de ellos que han caído recientemente en mis manos:

El Anuario TIC 2010 editado por AUTELSI, en el que se recoge toda la legislación y jurisprudencia en materia TIC generada durante 2010.
El artículo sobre la responsabilidad penal de las personas jurídicas publicado por el blog Security by Default.

Si a vosotros también os interesan estos temas, seguro que los encontráis muy apetecibles.

ISO 20000, servicios y subcontrataciones

2011-03-08T15:38:00.000+01:00

Poco a poco vamos descubriendo los cambios que se han introducido en la nueva versión de la ISO 20000, cuya publicación se espera para Mayo de este año. De acuerdo a las explicaciones de la editora de la nueva parte 1 de la norma, parece que algunos son más bien "cosméticos" (actualizaciones y aclaraciones, principalmente, pero sin modificar el núcleo del contenido), pero hay dos cambios que creo que son especialmente destacables: los relativos a los servicios y a las subcontrataciones.

El primero de ellos es un cambio que puede parecer simple pero que a mí me parece fundamental: se introduce la definición de servicio. Ahora ya no habrá que elucubrar sobre qué es un servicio (¿TI?) desde el punto de vista del estándar, puesto que ya se define. Además, el nuevo enunciado del estándar introduce varias referencias en torno al establecimiento del alcance, incluyendo el requisito de identificar en él los servicios cubiertos por el Sistema de Gestión de Servicios (SGS). Con todo ello, es probable que la acotación de los servicios susceptibles de ser certificables bajo ISO 20000 sea más sencilla, aunque parece ser que en este punto no ha habido cambios respecto a la filosofía vigente en la versión actual.

El segundo de los cambios, que me parece MUY importante conociendo la casuística del sector TIC actual, pasa por aclarar una situación cada vez más demandada: qué ocurre en los casos en los que la prestación de servicios TI está subcontratada. Y la moraleja es muy sencilla: es posible certificar un SGS siempre que TODOS los requisitos propios del Sistema de Gestión los cumpla directamente la propia organización que se certifica, mientras que el resto de las exigencias (tanto la planificación de los servicios como los 13 procesos "clásicos") pueden estar subcontratadas y gobernadas mediante el ejercicio del "control de gestión". Este cambio, desde mi punto de vista fundamental, facilita la certificación de grandes organizaciones que habitualmente tienen los servicios TIC subcontratados, ya que este "nuevo" modelo de alcance certificable encaja a la perfección con su filosofía habitual... ¿Servirá este cambio para provocar un incremento en la tasa de nuevas certificaciones en ISO 20000? Yo apostaría a que sí...

Conclusiones del CNIS

2011-02-28T15:45:00.000+01:00

Después de haber asistido al CNIS, y en paralelo a las conclusiones oficiales publicadas por la organización, aquí tenéis mis impresiones del congreso:

Una gran cantidad de administraciones públicas todavía no se ha enfrentado a la adecuación al ENS. Según se podría esperar, los ministerios son los que demuestran una mayor iniciativa, mientras que los ayuntamientos son, en general, los menos activos.
Todas las administraciones públicas que han iniciado el proceso de adecuación al ENS se han acogido a la prórroga de 3 años que permite el haber desarrollado el Plan de Adecuación correspondiente. A día de hoy ninguna administración parece haber superado ese hito, y aunque algunos titulares puedan sugerir lo contrario, nadie ha completado el proceso.
La mayor parte de las administraciones que concretaron la categorización de sus sistemas indicaron que éstos eran de nivel alto de seguridad, sólo una comentó que sus sistemas eran de nivel medio. Este hecho, unido a la afirmación del CCN de que el nivel alto iba a requerir bastante más trabajo, hace prever periodos de adecuación efectiva bastante prolongados, de modo que difícilmente veremos declaraciones reales de cumplimiento antes de 2014.
La mayor parte de las administraciones públicas, al hablar del ENI, se limitan a detallar los distintos componentes técnicos en los que basan su arquitectura de e-administración. La mayor parte de los avances realizados en torno a la interoperabilidad se concentran en la formalización de protocolos y formatos que previamente ya estaban estandarizados o constituían estándares de facto.
Uno de los ámbitos del ENI en los que más avances ha habido, sorprendentemente (al menos, para mi), es en la creación de nodos de interoperabilidad. Me ha llamado mucho la atención que uno de los aspectos más vagos y ambiguos del ENI sea precisamente en el que más avances concretos ha habido.

Por último, uno de los aspectos más destacables del congreso me temo que sigue siendo una de las principales lacras de la administración pública: la política pesa más que la técnica. Administraciones públicas que no hablan entre ellas, proyectos idénticos en parelelo, nodos de interoperabilidad que no interoperan entre sí. En definitiva, mucho dinero público mal invertido por cuestiones que nada tienen que ver con la técnica. Creo que sería muy importante que todas las administraciones públicas tuvieran mucho más presente el espíritu del ENI, y que tuvieran la mente más abierta cuando leen eso de la "reutilización", máxime en tiempos de recortes presupuestarios. ¿No creéis?

Congreso Nacional de Interoperabilidad y Seguridad

2011-02-18T17:38:00.000+01:00

Hay que reconocer que los eventos en torno al Esquema Nacional de Seguridad despiertan cada día más interés, por mucho que su cumplimiento sea hoy por hoy prácticamente una utopía. Parece que, si te pierdes uno, quedas desactualizado. Y como no quiero correr el riesgo, el martes y miércoles de la semana que viene estaré por Madrid en el CNIS, con la intención de palpar de primera mano la situación real del sector. Ya os contaré cuál es mi percepción. Nos vemos...

Responsabilizarse de los incidentes

2011-02-17T15:22:00.001+01:00

Si tienes un incidente de seguridad, lo pagas. Aunque tengas medidas de seguridad, aunque se demuestre que son efectivas, aunque quede demostrado que el incidente se debe a que una persona concreta ha incumplido la normativa de seguridad establecida... la organización es la culpable. Al menos, en lo referente a la LOPD, según se deduce de una sentencia de la AEPD que he conocido a través de uno de los últimos post de Samuel Parra.

La clave, según parece, es que la vulneración del deber de secreto es una infracción de resultado, es decir, que lo relevante es el resultado del incidente, la vulneración de la confidencialidad, independientemente de los medios dispuestos por la organización para evitar que se produzcan los incidentes. Estos medios permitirán "modular" la sanción, pero siempre dentro del rango que le corresponde, que en este caso es el de "muy grave". Si estuviesemos ante una empresa privada, por mucho SGSI que pudiera tener la empresa, o por muy eficaces que pudieran ser las medidas de seguridad existentes, esa fuga de información llevada a cabo por un empleado concreto le hubiera supuesto pagar como mínimo 300 000 €. Y la verdad es que no me parece justo. Si queda probado que el incidente de seguridad se debe a la responsabilidad personal de un usuario que ha violado, intencionada y conscientemente, las medidas de seguridad dispuestas por la organización, creo que la sanción no es justa. Desde mi punto de vista, esa situación debería poder permitir que la sanción asociada tuviese distinta graduación. De acuerdo con estas consideraciones, la verdad es que la reforma de la LOPD que proponía CiU como enmienda a la famosa Ley Sinde tenía buena pinta. Al menos, tenía en consideración estos aspectos...

Con este artículo tampoco quiero dar la impresión de que las organizaciones no se deben responsabilizar de sus incidentes de seguridad. De hecho, creo que debería ser todo lo contrario, y que deberíamos fijarnos un poco más en nuestros "vecinos" estadounidenses a la hora de asumir responsabilidades por las consecuencias de los incidentes de seguridad sufridos. Pero también creo que esa asunción de responsabilidades debe tener un límite, que debería ser precisamente esa frontera entre la responsabilidad de la organización y la responsabilidad personal de cada uno de sus miembros.

ACTUALIZACIÓN: Por lo que he podido saber, parece que la reforma de la LOPD de la que hablaba ha sido aprobada como la disposición adicional quincuagésimo octava de la Ley de Economía Sostenible.

Cambios en la nueva ISO 20000

2011-02-10T15:40:00.001+01:00

Por lo que tengo entendido, se aproximan importantes cambios en la nueva ISO 20000. La nueva versión de la norma ISO 20000, que pasará a ser ISO/IEC 20000-1:2011, ya está cerrada, y la fase de votaciones ya ha concluido, así que, salvo sorpresas, en las próximas fechas podremos ver la nueva edición del estándar.

Una nueva versión del estándar que introduce, por lo que me he podido enterar, cambios destacables. El más evidente es su "crecimiento", ya que pasa de 16 a 26 páginas (aunque no tengo muy claro si en estas 26 páginas incluyen el control de cambios, en cuyo caso dicho crecimiento sería significativamente menor). Además, esta nueva versión ya indica claramente en su título que su contenido contempla los requisitos para un sistema de gestión de servicios. Pero quizás el cambio más significativo es precisamente ése, que se limita a hablar de sistema de gestión de servicios, sin incluir el apellido TI. Cambio que en principio podría ser símplemente consmético, ya que la primera parte del título es precisamente esa ("Information Technology"), pero que en realidad introduce una modificación sustancial en el ámbito del estándar, ya que su contenido pasaría a ser válido para certificar, potencialmente, el sistema de gestión de cualquier tipo de servicios. Sin conocer el texto de esta nueva versión, la interpretación que yo hago de este cambio es que podría servir para poder certificar bajo este estándar servicios que, relacionados con las TIC, antes no se consideraban certificables, por ser principalmente servicios "profesionales" (en contraposición con los servicios TI "puros", como ya he comentado en alguna otra ocasión). ¿Será una interpretación válida? ¿Tenéis alguna información más al respecto de los cambios de esta nueva versión? ¿Estáis de acuerdo con esta interpretación? Seguro que todos los lectores del blog estamos encantados de conocer otras opiniones al respecto.

ACTUALIZACIÓN: Parece que ya tenemos algo más de información sobre los cambios de la nueva versión de la ISO 20000 (Joserra, gracias por el link). En general, cambios que aportan mayor consistencia al modelo, pero sin afectar significativamente a su implementación. ¿Habrá realmente un cambio en el espíritu de la norma? Posiblemente lo descubriremos en el próximo Forum ISO 20000.

Y ahora que?

2011-02-02T15:43:00.000+01:00

Reconozco que llevo unos cuantos días sin postear nada. La verdad es que el trabajo de estos últimos días ha sido constante. Proyectos que tienen que acabar, proyectos que ya deberían haber empezado... Como cualquier otro Enero, salvo porque este año el ENS (Esquema Nacional de Seguridad) ya está aquí.

Por si alguien no era consciente, ya se ha cumplido un año desde la publicación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Según su disposición transitoria, a los doce meses de su entrada en vigor (que se produjo el día 30 de Enero de 2010, ya que fue publicado el día 29) todas las administraciones públicas deberían haber adecuado sus sistemas de información, o al menos deberían contar con un plan de adecuación aprobado. Es decir, que desde el pasado domingo todas las administraciones públicas de este país deberían contar con un plan de adecuación al ENS o con una declaración de conformidad publicada en su sede electrónica indicando su cumplimiento.

Sin embargo, el panorama real dista bastante del deseado. A día de hoy sólo algunos ministerios tienen una declaración de conformidad publicada, que en muchos casos no supone un cumplimiento real sino un "disfraz" del plan de adecuación, y una búsqueda de planes de adecuación tampoco ofrece resultados muy diferentes. La mayor parte de las administraciones públicas no cumplen lo exigido por el Real Decreto.

¿Y ahora, qué va a pasar? Una de las principales críticas que se le hacía al ENS era que no iba acompañado de un régimen sancionador específico, de modo que su incumplimiento no supone una sanción específica, más allá de las que se puedan derivar de que una administración pública incumpla un Real Decreto. ¿Hay alguna forma práctica de "impulsar" la acometida de este tipo de proyectos? ¿O seguirá la seguridad de estos servicios a merced de iniciativas políticas que poco tienen que ver con una preocupación real por los ciudadanos? ¿Quizás los acontecimientos recientes relacionados con la seguridad de la información hayan podido influir en la percepción que las administraciones públicas tienen de la seguridad de sus servicios electrónicos? ¿O sus dirigentes seguirán pensando eso de "a mí no me pueden pasar esas cosas? Quizás es que hoy me he levantado pesimista, pero un panorama tan lleno de dudas me parece desalentador.

Hacking legal

2011-01-11T15:23:00.000+01:00

Hoy sencillamente quiero referenciar un artículo de Jorge Bermúdez, un fiscal especialista en delitos informáticos, en el que nos explica un "hack legal" (no recuerdo dónde ví este término, pero la verdad es que me gustó) que permite la realización de hacking ético de manera legal dentro del nuevo código penal, en vigor desde finales del año pasado y que considera el hacking como un comportamiento delicitivo (simplificando).

Por tratar de explicarlo, el artículo 197, apartado 3º viene a decir que cualquiera que vulnere las medidas de seguridad de un sistema informático y acceda a sus datos o programas sin el permiso de sus dueños puede acabar en la cárcel. La clave parece estar en el concepto de sistema informático, válida tanto para servidores u ordenadores personales como para software, aplicaciones o incluso servicios tipo SaaS, y en el permiso de los dueños, que muchas veces no queda claro quiénes son. Normalmente los pen-test se suelen llevar a cabo con el permiso (y normalmente petición expresa) de los dueños, pero la labor de investigación y búsqueda de vulnerabilidades en general suele ser más proactiva, normalmente llevada a cabo por los usuarios "afectados" sin informar de ella al responsable de la aplicación o servicio salvo en caso de que el resultado sea fructífero. Y es aquí donde pueden surgir los problemas.

En el artículo se plantea como solución al problema la invocación de una norma legal presente en el Código Civil denominada "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito, eh?), que podría amparar este tipo de actividades. ¿Que en qué consiste? Os animo a leer la explicación en el artículo original, que yo no soy jurista y prefiero no equivocarme al tratar de explicarlo...

Trabajar con personas

2011-01-10T15:40:00.000+01:00

Un artículo publicado por Javier Cao relativo a las fugas de información en Renault me ha llevado a retomar una reflexión que planteé hace ya unos meses: para gestionar adecuadamente su seguridad, las organizaciones deben gestionar la "inteligencia emocional corporativa". O dicho de otra forma: los modernos departamentos de Recursos Humanos tienen mucho que decir en ésto de la seguridad.

Me explico. No hace falta decir que la seguridad depende de las personas. Depende de ellas, entre otras cosas, como origen de ciertas amenazas: las derivadas de sus acciones involuntarias (errores) y las derivadas de sus acciones voluntarias malintencionadas (ataques). Evidentemente estas últimas sean probablemente las más peligrosas de todas las amenazas posibles, ya que su impacto será el más elevado posible para cada atacante, pero es que además estos riesgos tienen realimentación positiva: su probabilidad de ocurrencia crece con el nivel de motivación contra la empresa, y esa misma motivación hace que el impacto crezca, ya que se buscará el mayor éxito posible en el ataque. Por tanto, las organizaciones que quieran minimizar estos riesgos tendrán que aplicar políticas activas de Recursos Humanos encaminadas a mantener contento al personal de la organización, con el fin de que los niveles de motivación contra la empresa sean bajos. Aplicando buenos salarios, motivando, estableciendo buenos mecanismos de recompensa y reconocimiento... En definitiva, haciendo todo lo que se espera de un moderno departamento de Recursos Humanos.

Sin embargo, el diálogo con RR.HH. suele ser una de las áreas más retadoras para un buen responsable de seguridad: clásicamente suelen ser tecnólogos, más acostumbrados a hablar de políticas de contraseñas que de motivación a los usuarios, y que normalmente se entienden mejor con las áreas técnicas (o en estos últimos tiempos incluso con la dirección) que con los psicólogos, sociólogos y gestores que suele haber en los departamentos de RR.HH. De hecho, ni siquiera a nosotros mismos nos suena convincente cuando vamos a pedirle a Recursos Humanos que tenga en cuenta la seguridad a la hora de establecer sus políticas. Habrá llegado el momento del reciclaje? Tendremos que aprender a hablar de premios y motivaciones? O quizás está llegando el momento de que el perfil del responsable de seguridad cambie? Espero vuestras opiniones al respecto.

Un año más

2011-01-04T15:25:00.000+01:00

Como siempre que comienza un año, es tiempo de pronósticos, deseos y buenas intenciones, aunque muchas veces corramos el riesgo de equivocarnos o incumplir esos ambiciosos objetivos de año nuevo. La verdad es que no creo ser un buen futurólogo, pero aquí os dejo algunas reflexiones de por dónde creo que puede ir el año en nuestro sector, por si suena la flauta:

Aunque para estas fechas todas las Administraciones Públicas ya deberían tener finalizado su Plan de Adecuación al Esquema Nacional de Seguridad (con margen para aprobarlo formalmente antes de fin de mes), probablemente este sea el año en que empecemos a ver los primeros planes, y no necesariamente a principios. Los recortes presupuestarios van a hacer mella en las Administraciones Públicas, y sólo los alumnos más aventajados podrán alardear del cumplimiento del ENS allá por finales de año (y con suerte). Éso sí, probablemente este sea el año de la explosión de las sedes electrónicas de la administración autonómica, provincial y local, y las veremos ir surgiendo como setas a lo largo de todo el año.
Seguro que este año se va a hablar mucho de la protección de las infraestructuras críticas, tanto por la aprobación de la correspondiente Ley como a causa de algún destacable incidente que lamentablemente acabe sucediendo, y que seguro que se utiliza para dar relevancia a la cuestión. Sin embargo, tengo la sensación de que este no va a ser el año de las grandes inversiones en este tema.
Acabaremos el año diciendo del Cloud Computing exactamente lo mismo que se dice ahora. Algunas empresas se subirán a la nube, y seguro que siguen apareciendo argumentos a favor de ello, pero probablemente la mayoría se quede más o menos como está.
No creo que vayamos a ver una explosión en el mundo de las certificaciones de sistemas de gestión "tecnófilos". Tengo la sensación de que el ritmo de crecimiento de las certificaciones ISO 27001 se va a reducir, aunque seguirá siendo importante, y el de las ISO 20000 se va a mantener, con un crecimiento no tan importante como el de las primeras pero destacable en cualquier caso. Y probablemente veamos aparecer las primeras certificaciones en UNE 71599, aunque no creo que este vaya a ser el año de la continuidad de negocio.
En el mundo de la seguridad TIC no creo que vaya a haber cambios significativos. Las empresas seguirán ampliando poco a poco sus soluciones de seguridad para ir orientándolas hacia el mundo móvil, aunque muy por detrás de la adopción de tecnologías móviles por parte de los usuarios y casi siempre de forma reactiva. No obstante, tengo la esperanza de que este no sea el año del boom del malware móvil, y por tanto no creo que la vulnerabilidad de las organizaciones en su parque TIC móvil vaya a crecer a mayor ritmo que en el 2010.

En resumen, no creo que vaya a haber muchos cambios en el sector a lo largo de este año. Me parece que va a ser un año de transición, de "quiero pero voy a esperar un poco más", y que probablemente el año 2012 sea un año mucho más ajetreado en este sector. Pero como he dicho al principio, las predicciones están para no ser cumplidas, así que ya veremos cómo va el año y cuánto he acertado a la hora de hacerlas. Mientras tanto...

Feliz año 2011 a todos los lectores del blog

Feliz Navidad y Próspero 2011!

2010-12-23T14:55:00.000+01:00

Hoy sólo quiero desear a todos los lectores del blog una feliz navidad y un próspero (y seguro) año 2011.

ZORIONAK!!

Wikileaks y los orígenes de la seguridad

2010-12-16T15:56:00.000+01:00

Sí, lo reconozco. He sucumbido a la tentación de hablar de Wikileaks y la seguridad. Supongo que era inevitable... Aunque espero que mi planteamiento sea provocador. ¿Pueden tener razón tanto defensores como detractores de Wikileaks, simultáneamente y por los mismos motivos? Yo creo que sí.

Los partidarios de Wikileaks defienden la transparencia de los gobiernos, argumentan que es beneficioso que la información que tiene Wikileaks salga a la luz, por su interés público. Defienden que la transparencia de los gobiernos tiene efectos positivos sobre la socidad. Por contra, sus detractores esgrimen que Wikileaks no es la propietaria de la información, y por tanto no tiene derecho a decidir sobre su difusión, ni por supuesto a difundirla, ya que sus propietarios no lo han hecho. Afirman que su difusión puede poner en riesgo a ciertos sectores de la sociedad.

Parece claro que el fondo de la polémica (al menos de la principal, que hay muchas otras) está en la clasificación de la información. Para unos esa información debe ser pública, para los otros debe ser confidencial. Y ambos utilizan el mismo argumento: el impacto que puede tener en la sociedad la divulgación de esa información. Para los primeros muy positivo, para los segundos muy negativo. ¿Cómo puede ser?

El factor diferencial de ambas argumentaciones va un poco más allá, y ataca directamente al origen de la seguridad: las responsabilidades. Ambas parten de la misma premisa: debería ser el "propietario real" de la información quien tuviera la responsabilidad de clasificar esa información, y de aplicar las medidas de seguridad apropiadas a dicha clasificación. No obstante, cada uno responde a esa pregunta de forma distinta. Unos argumentan que los propietarios reales de la información son los ciudadanos, otros que sus propietarios reales son los gobiernos. Los primeros defienden medidas de seguridad que garanticen la disponibilidad de la información, que catalogan como pública, y critican a los que atacan dicha disponibilidad y quieren restringir su difusión. Los otros catalogan esa misma información como confidencial, y por tanto defienden las medidas de seguridad encaminadas a garantizar su distribución limitada y critican a los que quieren difundirla públicamente. Mismos argumentos, conclusiones opuestas.

Y el problema es que, en el fondo, ambos tienen razón. Por un lado, la información es de los gobiernos, y por otro los gobiernos se deben a sus ciudadanos. El debate, en realidad, no es técnico, sino político. O mejor dicho, filosófico. Y si no me creéis, desenpolvad vuestros libros de filosofía del instituto y echadle un vistazo a la obra de Montesquieu, Hobbes y otros filósofos del pasado, y veréis cómo las noticias "de actualidad" tienen mucho más de "clásicos" de lo que nosotros pensamos...

Security, safety y otros matices

2010-12-09T15:59:00.000+01:00

Más de una vez he hecho referencia a noticias que cruzaban el límite de la seguridad de la información (security) y entraban de lleno en la seguridad de las personas (safety). Sin embargo, hasta ahora no me había metido con la protección de las infraestructuras críticas, aunque es evidente que dichas infraestructuras son un puente tangible entre ambos mundos. Y la verdad es que ciertos artículos, como el referido a la continuidad de las organizaciones resilientes, invitaban a ello. Así que hoy no he podido evitar la tentación de comentar brevemente una noticia sin prácticamente repercusión en Europa que salió a la luz hace cosa de mes y medio, referida a la pérdida temporal del control de unos misiles balísticos nucleares en EEUU.

La noticia es sencilla de entender: debido a un cierto fallo tecnológico cuyo origen no está muy claro, el gobierno estadounidense perdió temporalmente el control de unos cuantos misiles nucleares intercontinentales. Parece ser que el sistema informático de la base perdió completamente el contacto con los misiles, a causa de un fallo generalizado en el interfaz de control, posiblemente por un fallo en un componente hardware.

Aunque probablemente el hecho se pueda catalogar de anecdótico, ya que aparentemente no había ningún riesgo más allá de los nervios de unos operarios que veían caído el sistema de control, creo que el hecho merece unos cuantos comentarios al respecto:

Es destacable que un fallo en un simple componente hardware, o en unos meros cables de comunicaciones, pueda provocar una incidencia de tanta magnitud como para que se requiera informar a la Casa Blanca. ¿No hay sistemas redundantes para controlar un material tan sensible?
Llama la atención que relacionen este hecho con otro de similares características ocurrido hace 12 años. ¿No llevan a cabo una gestión de problemas, en terminología ITIL, en caso de incidencias graves? Y yendo un poco más allá... ¿Cómo se gestiona la obsolescencia tecnológica del equipamiento hardware destinado al control de este tipo de material "delicado"?
Según se recoge en el artículo, parece que sí se llevan a cabo tareas de mantenimiento durante las cuales algunos de los misiles están off-line. Sin embargo, en términos de continuidad... ¿Se lleva a cabo un programa de pruebas de continuidad que cubra este tipo de situaciones?
Y una duda conceptual: ¿Serían las bases de misiles una infraestructura crítica en términos de la próxima Ley para la Protección de las Infraestructuras Críticas? ¿Deberían serlo?

Creéis que hay otros aspectos destacables en el artículo? ¿Cuál es vuestra opinión al respecto? Espero vuestros comentarios...

ISO 27001 en España - 2009

2010-12-01T15:22:00.000+01:00

Como todos los años, a finales de Octubre ISO publicó su informe anual sobre certificaciones a nivel mundial, su ya famoso ISO Survey of Certifications, correspondiente al año 2009. En él se analiza la evolución mundial de los principales certificados ISO, y de dicho análisis se extrae un resumen general que se puede consultar en abierto. Por su parte, también AENOR como representante español en ISO ha publicado una nota de prensa al respecto, y puede servir para complementar las principales conclusiones del estudio si no se tiene acceso a él.

Las principales conclusiones que se pueden sacar de dicho estudio en torno al estado de las certificaciones ISO 27001 en España son las siguientes:

De los 12934 certificados ISO 27001 que había a nivel mundial en 2009, 483 (un 3,7%) estaban emitidos en España, convirtiéndose en el 5º país del mundo y 2º en Europa (después de Reino Unido, el país en el que se gestó el estándar, con 946) con mayor número de certificados.
En el año 2009 se emitieron en España 280 certificados ISO 27001, lo que le convierte en el primer país europeo y tercero del mundo con mayor crecimiento en números absolutos.
A nivel mundial la certificación ISO 27001 creció en el año 2009 un 40%, mientras que el incremento anual que se produjo en España en el número de certificados emitidos fue del 72,5%.

En resumidas cuentas, creo que la conclusión que se puede extraer de este informe es que el negocio de la certificación ISO 27001 goza de muy buena salud en todo el mundo, y en España avanza viento en popa a toda vela. No obstante, después de ver estos números tan grandilocuentes no puedo evitar que me surja siempre la misma pregunta: ¿Cuantos de todos estos certificados han servido para que las organizaciones que los poseen hayan visto mejorada la seguridad de su información? ¿Cuántos de todos estos certificados han impactado de forma positiva en el negocio de las respectivas organizaciones? Porque no olvidemos que el objetivo último es ése...

Sistemas de Gestión de Organizaciones Resilientes

2010-11-24T15:27:00.000+01:00

A veces es conveniente sacar la cabeza del entorno cercano y ver qué se mueve más allá. Sobre todo, cuando te pasas los días hablando de los mismos temas, con las mismas personas, en los mismos entornos. Por éso me gusta tener noticias de gente que se mueve en otros mundos, cercanos pero diferentes, y que siempre aportan un nuevo punto de vista a los temas de siempre. Y este es uno de esos casos.

Jose Miguel Sobrón trabaja en Naciones Unidas, en la Unidad de Apoyo a la Gestion de Crisis y Operaciones del Departamento de Seguridad. Trabaja, como digo yo, en Continuidad de Negocio "de verdad": las "típicas amenazas de libro" (pandemias, ataques terroristas, etc.) son amenazas reales a las que estas unidades tienen que enfrentarse de forma práctica y efectiva. Un entorno sin dudas interesente, y más si tenemos en cuenta que su trabajo está imbuído de la cultura americana, más pragmática que la europea, y por tanto con un acercamiento parcialmente distinto a los mismos problemas. Por éso, cuando me ofreció la posibilidad de contribuir a difundir la visión que tenía la ONU en relación a la Continuidad de Negocio, no lo dudé ni un momento.

Según era de esperar, Naciones Unidas lleva bastante tiempo trabajando en Continuidad de Negocio. No obstante, su acercamiento no es el estándar, ya que parte de un entorno multi-entidad, en el que la coordinación, cooperación, coherencia y complementación de las estrategias de cada entidad (nación, administración, empresa u otras) es clave para lograr una estrategia común de continuidad. En ese entorno, el concepto de Continuidad de Negocio fue evolucionando hasta desembocar en el de Resiliencia, entendida como la capacidad de una organización de recuperarse de cualquier situación. Y por lo tanto la sistemática de gestión para garantizar esa capacidad de recuperación de las organizaciones acabó por conformar lo que se ha venido a llamar Sistema de Gestión de Organizaciones Resilientes.

Los principios de este sistema de gestión son muy sencillos de entender:

Compromiso de la dirección: Los órganos directivos de cada entidad se deben comprometer activamente con el sistema de gestión (¿A alguien le suena?)
Transparencia: Todos los actores implicados conocen los planes de todos los demás.
Homogeneidad: La estructura básica de todos los planes es similar, lo que facilita su uso.
Sencillez: La sistemática de valoración de impactos es única, sencilla y simple, y es la referencia exclusiva para la activación de los planes.

Bajo estas premisas se desarrolla el resto de la sistemática de gestión, que ya es más similar a un sistema de gestión "clásico" de continuidad de negocio. ¿Os interesa el tema? ¿Queréis más información al respecto? Pues os invito a conocer más detalles directamente en su blog: Gestión de Riesgos, Crisis y Continuidad.

Calidad en la gestión de servicios TI

2010-11-15T15:48:00.000+01:00

Hoy ha dado comienzo en Madrid el congreso anual de itSMF España, cuyo lema es "Dibujando el futuro de las TIC". Lamentablemente este año tampoco voy a poder asistir, ya que otros compromisos previos me lo impiden, pero a cambio me gustaría recomendaros a todos una de las ponencias, la T2.06 sobre cómo implantar la ISO 20000 en la PYME, donde Jose Ramón Concha, gran profesional donde los haya además de compañero de aventuras y desventuras, os va a contar cómo hemos conseguido que más de 20 PYMEs implanten, certifiquen (bajo ISO 20000) y mantengan su Sistema de Gestión de Servicios TI (SGSTI) con alcances muy reducidos (en algunos casos incluso de tan sólo 5 ó 6 personas), gracias a un gran esfuerzo de "decantación" del estándar y de construir procesos eficaces y sobre todo muy eficientes.
La verdad es que a veces tengo la sensación de que el sector está olvidando la esencia de la ISO 20000, de que las organizaciones están más empeñadas en "adecuarse" a ITIL que en buscar sus ventajas. Parece como si ITIL se hubiera vuelto una religión, y empezásemos a confundir el medio (la buena gestión de los servicios TI, independientemente del modelo de referencia que utilicemos) con el fin (incrementar la eficacia y eficiencia de los servicios TI e incrementar su beneficio para el negocio). Por éso creo que este tipo de ejemplos, aplicados a entornos reducidos, pueden no sólo ser una excelente referencia para una PYME, sino que incluso las grandes organizaciones deberían tomar estos casos de éxito como ejemplos a seguir, sobre todo si tenemos en cuenta las importantes ineficiencias que en muchas ocasiones se pueden observar en grandes empresas.
Creo que a estas alturas cualquiera que lea este blog sabrá que soy un completo creyente en la ISO 20000 y en las ventajas que una buena interpretación del estándar puede aportar a cualquier organización, incluso más allá de la gestión de servicios TI. No obstante, también creo que es importante basar esta confianza en el estándar en algo más objetivo que un simple convencimiento personal, y por éso estoy trabajando en un artículo que establezca una correlación clara entre este modelo de gestión y otros modelos más generalistas y reconocidos entre la alta dirección como pueden ser los modelos de excelencia empresarial. Ya os adelanto que el artículo resultante puede exceder el tamaño aconsejable para ser publicado en el blog, y que posiblemente opte por encontrar algún medio más apropiado para su publicación inicial, pero no os preocupéis que tarde o temprano encontraréis aquí los resultados de dicho artículo. Mientras tanto, espero que los contenidos sigan siendo de vuestro interés.
Un saludo a todos

Publicada la UNE 71599 sobre Continuidad de Negocio

2010-11-09T00:07:00.000+01:00

Finalmente ya tenemos una norma española sobre continuidad de negocio: la UNE 71599. Tras la autorización por parte de BSI de la publicación de la norma BS 25999 como norma UNE, AENOR ha publicado la traducción oficial de la BS 25999 al español como norma UNE 71599, en dos partes:

UNE 71599-1:2010: Gestión de la continuidad del negocio. Parte 1: Código de práctica
UNE 71599-2:2010: Gestión de la continuidad del negocio. Parte 2: Especificaciones

Eso supone que ya tenemos una norma UNE certificable sobre continuidad de negocio, la parte 2, y probablemente este hecho suponga un impulso significativo al negocio de la certificación en este ámbito. Sobre todo si pensamos que hasta ahora era un requisito necesario (al menos, de facto) que existiera una norma UNE para que la certificación de un sistema de gestión en un cierto ámbito fuese susceptible de recibir subvenciones públicas...

Aunque la noticia me parece destacable y muy positiva, la verdad es que también tengo una crítica al respecto. El trabajo de adopción de la norma BS como norma UNE ha sido llevado a cabo por el comité AEN/CTN 71, cuyo ámbito de actuación son las Tecnologías de la Información, y esto me parece un error.

Una de las mayores críticas que está recibiendo el sector de la consultoría en torno a la orientación que da a la continuidad de negocio es que la aproximación que se suele realizar es desde el mundo de las TI y no desde la visión del negocio, y tengo la sensación de que AENOR puede haber hecho lo mismo, lo cual me parece un error. Y lo que me fastidia es que la diferencia de visión entre ambos mundos está muy clara desde que BSI publicó la BS 25777:2008, que habla específicamente de continuidad TIC y su relación con la BS 25999, de modo que no termino de entender el motivo por el cual ha sido ese subcomité quien ha asumido la gestión de esta norma. ¿Será que somos los del mundo de las TIC los que más nos preocupamos por la continuidad operativa del negocio? ¿O es que tenemos demasiado interiorizada la dependencia actual del negocio con respecto de las TIC? En cualquier caso, será interesante ver cómo evoluciona el sector a partir de la publicación de esta norma, no creeis?

El mercado de los certificados ISO 20000

2010-10-25T16:01:00.000+02:00

Hace unos días saltó la noticia: APMG compra a itSMF UK el esquema de acreditación para ISO 20000. La verdad es que la noticia probablemente no haya tenido demasiada repercusión, ya que el mercado de las certificaciones tampoco es demasiado conocido por el público en general, pero la verdad es que la noticia es jugosa.

Para tratar de entenderla primero hay que conocer cómo funciona el mercado de las certificaciones y las acreditaciones. Por no repetirme, la casuística que hay en torno a la ISO 20000 es parecida a la que había en su día alrededor de la ISO 27001, así que me remitiré a un antiguo post en el que en su día describí el estado de los certificados ISO 27001 en España. En resumen, podría decir que un esquema de acreditación es para una entidad certificadora lo mismo que una norma certificable para una empresa normal, de modo que las certificadoras se "certifican" (acreditan) contra una norma (esquema de acreditación) que puede ser nacional o internacional.

A día de hoy, que yo sepa, sólo existe un esquema de acreditación "oficial" y reconocido, que es el que elaboró en su día el itSMF UK y que acaba de ser comprado. Sin embargo, no está muy claro hasta qué punto tiene validez en la actualidad dicho esquema de acreditación, ya que itSMF UK firmó con UKAS, la entidad de acreditación británica, un acuerdo por el cual sería UKAS quien operase dicho esquema (en UK, y la entidad de acreditación nacional correspondienteen el resto de los países). Sin embargo, para añadir más confusión al asunto, parece que el esquema de acreditación que tiene UKAS, basado en ISO 17021, es propio, o al menos no aparece ninguna referencia al esquema de itSMF UK.

También tenemos que tener en cuenta que el esquema de acreditación de UKAS sólo debería ser tenido en cuenta allí donde ha sido reconocido oficialmente, y esto es en UK, ya que (al menos, que yo sepa) no hay ningún acuerdo multilateral firmado en torno a este esquema. Por tanto, en España a día de hoy no hay ningún esquema de acreditación válido, ya que ENAC no lo tiene (aunque parece que están en ello) y el de UKAS no es válido (por el momento).

En este entorno entra en juego APMG, una organización privada con proyección internacional que hasta el momento no se había movido en el terreno de la acreditación de entidades certificadoras. Aparentemente no pertenece a ese mundo, y desde mi punto de vista su entrada es compleja, ya que tampoco pertenece a EA, IAF o asociaciones similares. ¿Respetará APMG el acuerdo con UKAS? ¿Seguirá su propio rumbo? La verdad es que no está nada claro, pero el mercado de la certificación no se va a detener a esperar a que este embrollo se aclare...

Para terminar de embarullar el panorama, AENOR-normalización y ENAC están trabajando en el desarrollo de un esquema de acreditación específico para España. El problema de fondo es que la norma en la que se basa el esquema de acreditación de UKAS es genérica para sistemas de gestión, y el sector echa de menos una norma específica para los SGSTIs. Sin embargo, crear una norma lleva tiempo, y si queremos un esquema de acreditación basado en ella todos los certificados en España deberían esperar a que ambos estuvieran listos. Además, el resultado sería una norma UNE, sin validez internacional a no ser que desde ISO se decidiera adoptar dicha norma como norma ISO. Pero claro, mientras tanto el resto de países también podrían desarrollar sus propias normas, y para crear a partir de ellas una norma internacional habría que "pelearse" (llegar a un acuerdo) y por tanto esperar todavía más, cosa que también habría que hacer si se quisiera crear una norma ISO desde el principio... En definitiva, la regulación completa de los certificados ISO 20000 en España llevará tiempo. No obstante, no creo que eso vaya a frenar su evolución. ¿Será este barullo un freno para la misma, o dinamizará su adopción? No creo que tardemos mucho en ver las primeras consecuencias...

El coche de Google

2010-10-18T15:37:00.000+02:00

La semana pasada saltaba la noticia de que se había "descubierto" el último "juguete" de Google, el coche autónomo. Un coche comercial capaz de conducir solo, sin conductor, y que habría recorrido ya más de 200000 kilómetros con un único percance del que aparentemente no era culpable.

Después de oir la noticia seguro que a todos se nos vienen a la cabeza escenas de películas futuristas de ciencia-ficción en las que aparecen coches que no necesitan conductor. ¿Estaremos cerca de poder vivir en primera persona las escenas de yo robot o minotiry report?

Más allá del nivel real de evolución tecnológica en el que nos encontremos (no es lo mismo desarrollar un prototipo funcional que producir en serie coches autónomos), y donde no me voy a meter por desconocerlo totalmente, creo que hay algunas dificultades no tecnológicas que habría que superar antes de poder ver estos coches circulando por nuestras carreteras. Y la que más me preocupa es la relativa a la responsabilidad. ¿Estaría dispuesto el fabricante del software a hacerse responsable de los errores de conducción que pudiera tener su software, o a responder de los accidentes que pudiera provocar un fallo de programación?

Las responsabilidades derivadas de fallos en los productos fabricados es algo que ha sido abordado de forma completamente opuesta por los fabricantes de automóviles y por los fabricantes de software. Los primeros siempre se han considerado responsables, y periódicamente alguna noticia asociada con la revisión preventiva de miles de vehículos por posibles errores en la fabricación nos lo recuerda, mientras que los fabricantes de software nunca han querido responsabilizarse de bugs ni de fallos de seguridad. ¿Qué mentalidad ganará la partida en esta extraña fusión?

Ligado al tema de la responsabilidad también tenemos un aspecto crucial como es la seguridad de ese software. Teniendo en cuenta que los coches se deberán comunicar entre sí para reaccionar de forma coordinada... ¿Cómo se va a securizar ese software? Lo que es evidente es que en este caso pueden estar en juego vidas humanas, y cualquier virus que modifique, por ejemplo, la distancia de seguridad o la función de frenado del coche puede provocar consecuencias catastróficas. ¿Qué garantías de seguridad debería incorporar ese coche para asegurar que eso no va a ocurrir? El reto al que se puede enfrentar el sector puede ser enorme si queremos ver en nuestras calles coches autónomos y confiables... ¿Algún día lo veremos?

ENISE 2010

2010-10-13T15:49:00.001+02:00

Estos días estoy ultimando la presentación que voy a realizar en ENISE el día 26, creo que en la sesión de la tarde, titulada ENS, de la teoría a la práctica, en la que voy a contar algunos de los problemas prácticos que nos hemos ido encontrando hasta ahora en los proyectos de adecuación al ENS que estamos realizando y cómo los hemos ido resolviendo. La verdad es que me parece un foro estupendo para hablar sobre estos temas, tanto por el nivel que ha demostrado el evento en ediciones pasadas como por el perfil de los asistentes, así que espero que sea un foro del que todos podamos sacar provecho...

Por mi parte tengo que felicitar a la organización del evento por haber decidido abordar los Esquemas Nacionales de Seguridad dentro de la temática del encuentro, porque creo que es un tema que realmente requiere un debate abierto en un foro de este tipo, en el que coincidan administraciones públicas, prestadores de servicios y fabricantes de soluciones de seguridad. La verdad es que la adecuación al ENS se está convirtiendo en algunos ámbitos en poco menos que un mito (todos conocen a alguien que lo está implantando, pero nadie lo ha visto), y creo que ya es hora de que el sector y sobre todo las administraciones públicas cuenten y vean qué hay de realidad en este tipo de proyectos, a pocos meses de que concluya el plazo oficial (inicial) de adecuación. Así que sólo espero encontraros a todos allí, y que todos disfrutemos del evento...

Nos vemos

Actualización 24/11: Por si a alguien le interesa, ya están disponibles tanto la presentación que utilicé en el congreso como el vídeo de la ponencia (en mi caso, el capítulo 2).

Es licito el DoS?

2010-10-07T15:42:00.000+02:00

Supongo que a estas alturas todo el mundo (al menos, dentro del sector) se habrá enterado ya del ataque DDoS (ataque distribuido de denegación de servicio) que han sufrido (y que no tengo muy claro que no sigan sufriendo, ya que a estas horas sus webs están inaccesibles) la SGAE, Promusicae y el Ministerio de Cultura. La noticia sobre el ataque se podría resumir en que un grupo de ciber-activistas denominado Anonymous ha organizado ese ataque dentro de la campaña "operation payback", cuyo objetivo es hostigar a los organismos que a nivel internacional encabezan los movimientos anti-P2P, consiguiendo saturar sus páginas web y que no sean accesibles para los internautas.

El ataque ha suscitado opiniones para todos los gustos, que van desde el respaldo a la iniciativa hasta su rechazo. No obstante, creo que uno de los aspectos más importantes para poder valorar el hecho es conocer sus implicaciones: con la legislación actual no es un delito, aunque sí lo será a partir del 23 de Diciembre, cuando entre en vigor la reforma del código penal. Quizás podría provocar sanciones económicas si los afectados denunciaran por vía civil a los atacantes, a los que previamente tendrían que haber identificado, y un juez aceptara la denuncia. Aunque la verdad es que tengo la sensación de que es poco probable que este hecho acabe teniendo consecuencias específicas para personas individuales.

Personalmente no estoy de acuerdo con esta forma de actuar. La verdad es que coincido bastante con la opinión de Carlos Sánchez Almeida, no creo que una demostración de fuerza que se acerca al límite de lo legal sea la mejor forma de protestar frente a unas organizaciones que han ido de verdugos hasta que se les acaba de dar la excusa perfecta para ir de víctimas. En definitiva, estamos ante una manifestación no autorizada que ha bloqueado la carretera de acceso a estos 3 organismos durante las últimas 24 horas. ¿Es esa conducta sancionable? ¿Hasta qué punto? La verdad es que no lo sé, pero siempre viene bien trasladar el caso al mundo físico, donde todo es más entendible... ¿Qué pensais vosotros? ¿Respaldais el ataque? En el fondo es más una cuestión filosófica que otra cosa... Para enfrentarnos a la SGAE... ¿Todo vale?

Seguridad en las nubes

2010-09-30T15:36:00.000+02:00

Después de algún tiempo inactivo vuelvo a la carga, con la esperanza de poder mantener un ritmo de publicación más normal. Y qué mejor que retomar la actividad del blog reseñando un estupendo artículo de Juan Cobo, publicado en la Revista SiC nº 91, titulado Seguridad en "la nube": ¿Cómo controlar lo que no controlas? acerca de qué medidas mínimas se deberían adoptar para mantener bajo control los servicios externalizados en la nube.

Como el artículo está a disposición de todo el que lo quiera leer, me voy a limitar a resumir los aspectos a mi juicio más destacables a la hora de poder gestionar la seguridad de unos servicios externalizados, de acuerdo con dicho artículo:

Tendremos que extender nuestros procedimientos y normas de gestión de la seguridad al prestador de servicios, "obligándole" a que las adopte como mínimos exigibles.
Deberíamos conseguir que el prestador de servicios se comprometa a aplicar internamente unas medidas de seguridad técnicas, organizativas y operativas mínimas (dicho de otra forma, exigirle que gestione su seguridad).
El proveedor deberá comprometerse a ser auditado periódicamente y a corregir las desviaciones que se detecten en las auditorías, poniendo a nuestra disposición los informes de auditoría.
Deberemos reservarnos el derecho de ser nosotros mismos quienes auditemos al proveedor, tanto a nivel técnico como a nivel de gestión.
El proveedor deberá comprometerse a gestionar formalmente sus incidentes de seguridad, y a informarnos acerca de ellos y de las acciones adoptadas para su corrección.
Tendríamos que conseguir que el proveedor de servicios designe un responsable de seguridad que centralice su interlocución con nosotros en dicha materia, manteniéndonos informados periódicamente.
Tendremos que reservarnos el derecho de cancelar el contrato a causa de una seguridad deficiente.
Deberíamos establecer SLAs sobre los aspectos de seguridad organizativa y técnica más relevantes para el servicio subcontratado: bastionado, gestión de cambios y parches, gestión de incidentes de seguridad, resultados de las auditorías, etc.
Por último, también sería conveniente que estableciésemos penalizaciones económicas, aparte de los SLAs, en caso de que se produzca algún incidente grave de seguridad que nos perjudique (sobre todo los relacionados con divulgación de nuestra información).

En resumidas cuentas, un estupendo compendio de condiciones que deberíamos incluir en nuestros contratos a la hora de subcontratar servicios, y más en aquellos casos en los que la nube no nos deja ver el funcionamiento real de los prestadores de servicios. ¿Cuántos de estos condicionantes incluís en vuestros contratos?

Cuestion de confianza

2010-09-13T16:16:00.000+02:00

A estas alturas seguro que nadie se sorprenderá de oir decir que un análisis de riesgos es subjetivo. Sin embargo, a veces pienso que somos demasiado superficiales al dejar la reflexión en ese punto. ¿Cuáles son las causas de esa subjetividad? ¿Podemos hacer algo para combatirla? Y si no es así... ¿Tenemos capacidad, al menos, para concretar esa subjetividad y "asumir los riesgos" derivados de ella?

Uno de los factores de esa subjetividad es, sencillamente, la necesidad de hacer estimaciones. Normalmente carecemos de datos estadísticos que nos permitan cuantificar objetivamente la probabilidad de ocurrencia de las amenazas, así que acabamos estimando su valor. ¿Y de qué depende esa estimación? En general suele depender del optimismo o pesimismo de quien valora, pero también (y en gran medida) de sus experiencias pasadas. Todos aquellos que hayan tenido que desinfectar su parque informático o que hayan sufrido en carne propia la inundación del CPD seguro que son más propensos a "sobrevalorar" estasa amenazas que quienes no hayan tenido que afrontarlas nunca...

No obstante, en el factor en el que me quería centrar hoy es en el referente a los riesgos derivados de los administradores de sistemas. Muchas veces suele ser un tema tabú, sobre todo dentro del sector, pero la realidad es que hay más de un responsable de negocio que está preocupado por la "omnipotencia" de sus administradores de sistemas. Y la realidad, al menos la de hace un año, nos dice que los riesgos de los usuarios privilegiados no se gestionan bien, incluso en organizaciones que cuentan con un SGSI, de modo que los miedos de los responsables de negocio parecen estar justificados, al menos en parte...

Valorar la probabilidad de materialización de un abuso de privilegios por parte de los administradores de sistemas no es nada gratificante. En resumidas cuentas estás valorando cómo de malas son las intenciones de un compañero de trabajo, que en función del tamaño de la empresa puede tener cara, nombre y hasta familia, y la verdad es que dejar a un lado las relaciones personales puede ser una tarea imposible. Pero por otro lado, es realmente necesario hacerlo?

Visto desde otro punto de vista, lo que estamos valorando es el nivel de confianza que la organización puede depositar en los administradores de sistemas. Desde un punto de vista "práctico", cuanto más confiemos en ellos menores serán las precauciones a adoptar, lo que es lo mismo que aplicar menos controles debido a que el resultado del análisis de riesgos ha dado valores bajos porque la probabilidad de ocurrencia de esta amenaza es baja. Obviamente la confianza es subjetiva, pero... de qué depende? Aunque en esta valoración intervienen muchos factores, podemos pensar que ese nivel depende tanto del grado de competencia de la persona en cuestión como, sobre todo, del nivel de satisfacción que ese administrador de sistemas tiene en relación a su trabajo. Traduciendo a términos corporativos ambos factores, en el primer caso tendríamos la política de formación y capacitación de la compañía y en el segundo un compendio de política retributiva, conciliación, gestión de expectativas... En resumidas cuentas, todas las actividades que se suelen asociar a una moderna gestión de personas (o departamento de RR.HH. en los casos más habituales, me temo). A la hora de la verdad, los mecanismos "clásicos" de gestión empresarial siempre están ahí...

En definitiva, no sólo estamos ante un factor subjetivo, sino que en este caso dicha subjetividad es necesaria, ya que en función de las personas implicadas y de su situación "personal" concreta la valoración de los riesgos asociados a ellas debería cambiar. El nivel de confianza que la organización deposita en las personas es variable, y lo más importante es que la propia organización dispone de las herramientas necesarias para modificar los principales parámetros que condicionan dicha confianza. Dicho de otro modo, la gestión del riesgo asociado a las personas no sólo depende de la aplicación de los controles "formales" que define la ISO 27001, sino que la primera medida de gestión del riesgo que deberíamos aplicar es, sencillamente, la "inteligencia emocional" corporativa (concepto que, si no existe, me acabo de inventar con gran satisfacción). Ahora bien... esto, que parece una perogrullada, cuántas empresas lo aplican?

El riesgo de los PenDrives

2010-08-31T15:47:00.000+02:00

Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos "sensibles" que se almacenaban en pendrives, así como la gran predisposición de las personas a "curiosear" el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones.

A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de los principales focos de infección de los PCs, y aunque no he sido capaz de encontrar estudios actuales al respecto, estoy prácticamente seguro de que el uso de memory sticks cada día es más habitual, y no creo que la sensibilidad de los datos almacenados en ellos haya disminuido (de hecho, lo más probable es que haya aumentado). Tanto la capacidad de almacenamiento como la fiabilidad de estos dispositivos ha crecido, a la vez que su precio ha disminuido enormemente, de forma que cada vez es más habitual encontrarse con este tipo de dispositivos. Y la verdad es que no es de extrañar, ya que su utilidad es enorme, dado que son ultraportables y accesibles de forma prácticamente universal.

Desde el punto de vista de la seguridad tampoco tiene que ser mala esta proliferación. Estamos maximizando la disponibilidad de la información almacenada en ellos, lo cual es positivo. El mayor problema es que su uso puede provocar una disminución de la confidencialidad (que suele ir asociado habitualmente al aumento de disponibilidad, pero que en este caso supone una disminución adicional por el importante potencial de pérdida que tienen estos dispositivos) y también una diminución de la integridad (como siempre que se generan copias de una información y no la "sincronizamos" apropiadamente). Algo habitual en esto de la seguridad (sería genial que se inventaran soluciones capaces de maximizar los 3 factores simultáneamente, verdad?), pero que en general no se suele gestionar de manera eficiente.

Es cierto que en el mercado existen productos que tratan de solucionar el tema de la confidencialidad mediante la introducción de cifrado nativo, con control de acceso autenticado bien mediante password o bien mediante autenticación biométrica. Pero también es cierto que el uso de este tipo de soluciones es bastante residual, y normalmente limitada a entornos corporativos. ¿Está justificado el elevado precio de este tipo de soluciones, normalmente muy superior al de los dispositivos sin ellas? Si los precios de ambos productos fueses equivalentes seguramente se conseguiría mejorar enormemente la seguridad de la información en toda la sociedad... ¿Merecería la pena subvencionarlos?

A diferencia que para el caso de la confidencialidad, el mercado no ha buscado soluciones específicas para solucionar los problemas de integridad asociados al uso de los PenDrives. Es cierto que existen multitud de herramientas que pueden resolver estos problemas, pero curiosamente no suelen ser funcionalidades que se integren de manera nativa en los productos de gestión de memorias USB. Parece como si, por una vez, la integridad de la información fuese un problema secundario, cuando "de siempre" ha sido el parámetro más cuidado (y quizás por ello también el que menos nos preocupa, ya que suele ser el más transparente).

En definitiva, desde 2008 se han incrementado bastante las soluciones disponibles para los problemas ocasionados por las memorias flash USB, pero ni su evolución ha sido todo lo buena que se podría haber esperado ni sobre todo su adopción se ha extendido tanto como hubiera sido deseable. En la actualidad nos encontramos con un panorama en el que los riesgos derivados del uso de las memorias USB, cuya expansión continúa siendo imparable, aumenta lenta pero progresivamente. ¿Responderá finalmente la industria de la seguridad con soluciones apropiadas para los riesgos a los que nos enfrentamos? ¿Será capaz la sociedad de madurar en la adopción de soluciones de seguridad apropiadas? Me temo que a los profesionales del sector todavía nos queda mucho trabajo por hacer...

Spanair, malware y gestión del servicio

2010-08-23T15:36:00.000+02:00

Aunque a estas alturas seguro que ya habéis oido hablar del tema, parece ser que ha saltado la noticia sobre un troyano que pudo intervenir en el accidente aéreo de Spanair, infectando el sistema que gestionaba los registros sobre incidencias técnicas en los aviones e impidiendo a los técnicos de mantenimiento percatarse de que existían incidencias repetitivas asociadas a uno de los dispositivos que, según parece, intervino en la causa del accidente.

Más allá de los titulares sensacionalistas que hemos podido ver en algunos medios, que poco menos que afirman que el virus fue el causante del accidente, es evidente que cuanto mayor es la dependencia que tiene la actividad humana diaria de los sistemas de información más probabilidades habrá de que un virus informático acabe afectando a dicha actividad, con consecuencias cada vez más imprevisibles. No es la primera vez que en este blog hablo del tema, y de hecho hay una etiqueta específica, seguridad y salud, bajo la que se agrupan esos post. Sin embargo, hoy no tengo intención de profundizar en este caso en cuestión, ya que creo que el nivel de incidencia que pudo tener es bastante relativo (puede contribuir al desastre, por supuesto, pero no creo que sea uno de los factores más importantes, al menos por la información a la que he podido acceder).

Lo que sí que quiero destacar es el concepto ITILero que subyace en el funcionamiento del sistema de gestión de incidencias técnicas de Spanair, y que según parece computa automáticamente una incidencia repetitiva de manera especial (mediante una "alarma"). El funcionamiento es bastante similar a la gestión de incidentes (o alguien prefiere hablar de incidencias?) y su escalado a "problemas" que se utiliza en el mundo de la gestión de servicios TI. También parece que la práctica habitual a la hora de registrar los incidentes permitía demorar dicho registro durante 24 horas, lo que implica que la catalogación como problema puede retrasarse 24 horas. ¿Son esas 24 horas un tiempo aceptable para la detección de problemas originados por incidentes repetitivos? O dicho de otro modo... ¿Debería haberse fijado un SLA asociado al tiempo de generación de una alarma provocada por un incidente repetitivo? Y si Spanair considerase que el tiempo es insuficiente, y que los incidentes deberían registrarse en tiempo real... ¿Cuál sería el coste de la infraestructura necesaria para que los técnicos pudieran registrar los incidentes de forma inmediata?

Con estas dos preguntas lo que quiero destacar es el hecho de que muchas veces, cuando pensamos en gestión de servicios TI, nos limitamos a seguir las prácticas comúnmente aceptadas, sobre todo a la hora de fijar indicadores y SLAs, sin pararnos a reflexionar en las necesidades específicas que puede tener nuestra organización a causa de la actividad que realiza. Sencillamente, el indicador que le conveniene a nuestro negocio no tiene por qué ser un indicador "clásico". Pero tampoco podemos "perder el norte" y subir los niveles de exigencia de los SLAs a valores hiper-exigentes, a riesgo de que el coste asociado a su consecución sea inasumible. Lo que sí debería ser exigible es que las organizaciones estuvieran obligadas a hacer esa reflexión, y que en este caso Spanair pudiera justificar el motivo por el cual sus protocolos de actuación funcionaban de ese modo. ¿Habrá hecho la compañía este ejercicio? Seguiremos atentos a la evolución de los acontecimientos...

Ley de Acceso a la Informacion Publica

2010-08-17T15:34:00.000+02:00

Ayer saltaba la noticia de que se está ultimando el anteproyecto de Ley de Transparencia y Acceso de los Ciudadanos a la Información Pública, cuyo objetivo es que los ciudadanos tengan acceso a la información que manejan las administraciones públicas. Según parece, esta ley pretende regular la capacidad de los ciudadanos de acceder a la información generada o gestionada por las administraciones públicas, estableciendo periodos máximos de tiempo de respuesta y la aceptación por defecto de la solicitud, siendo necesario que la administración justifique las denegaciones.

La noticia ha corrido como la pólvora en estas últimas 24 horas, y aunque en general las opiniones son favorables con la medida también han surgido opiniones que cuestionan sus limitaciones y el grado de aplicación real que pueda tener. Según parece, existen ciertos ámbitos en los que esta Ley no sería aplicable, y la transparencia que promueve es pasiva (a petición del ciudadano) en lugar de activa (Open Government).

Uno de los aspectos más destacables desde el punto de vista de la temática de este blog es que la Agencia de Protección de Datos es el organismo que se erige como árbitro en caso de discrepancias ante una denegación de la solicitud de acceso. Por un lado deberá velar por la confidencialidad de la información personal de los ciudadanos, mientras que por otro deberá luchar por la apertura de la información pública. Disponibilidad vs confidencialidad, dos aspectos muchas veces contrapuestos entre los que deberán mediar los profesionales implicados. ¿Creéis que es apropiada la designación de la AEPD como mediador en este ámbito, o pensáis que la alternativa que según parece se barajaba, la del Defensor del Pueblo, hubiera sido más apropiada?

Personalmente, la designación de un organismo público "especializado" en seguridad de la información como es la AGPD me parece una decisión muy interesante, aunque reitero que el reto al que se enfrentan los profesionales encargados de balancear entre disponibilidad y confidencialidad no es baladí, sobre todo si tenemos en cuenta que hasta ahora su trabajo estaba completamente sesgado hacia el segundo de ellos. No obstante, creo que puede ser un aspecto fundamental para el futuro del sector de la seguridad de la información, ya que con el paso del tiempo podremos contar con referencias válidas y legalmente sustentadas sobre el modo de aplicación de unos criterios que, a la hora de la verdad, suponen el mayor quebradero de cabeza de los administradores de la seguridad de la información.

En los limites de la LOPD

2010-08-16T14:59:00.000+02:00

Ya estoy de vuelta de las vacaciones... Es una sensación curiosa, por un lado parece que te has ausentado durante lustros y por otro da la sensación de que todo sigue igual, de que el tiempo se ha detenido durante el tiempo que no has estado. Y claro, lo que siempre sigue esperándote a la vuelta son todas esas tareas que habías dejado con la esperanza de que se resolvieran solas, pero que alguna extraña fuerza ha sido capaz de mantener tal y como estaban durante todo el tiempo en que las estado ausente...

Sin embargo, también es cierto que a la vuelta a veces te encuentras con sorpresas, con cambios, con pequeños asuntos que hacen más entretenido el regreso. Y uno de ellos es una consulta que he recibido por correo, y que me gustaría contrastar con todos vosotros, a ver qué opinais. De momento os planteo la cuestión, y dejo mi respuesta para dentro de algún tiempo, a ver si mientras tanto alguien se anima a debatir sobre el tema.

El caso es que me escribe un comerciante con dudas acerca de la aplicabilidad de la LOPD a su caso particular. Esta persona tiene una tienda, y parece ser que sobre la puerta ha instalado una cámara IP enfocando hacia el interior. La cámara en cuestión no graba imágenes de ningún tipo, y la utiliza para conectarse a ella a través de Internet cuando salta la alarma y poder comprobar si es una falsa alarma y tiene que ir a desactivarla, o si por el contrario hay "gente" dentro de la tienda y tiene que llamar a la policía. La cámara, según parece, tiene visión nocturna y buena resolución.

Por un lado, la duda de esta persona es si le aplica la LOPD. La cámara por sí sola no graba imágenes, pero desde el ordenador de su casa él tiene la capacidad de conectarse a ella y sacar pantallazos o grabar manualmente lo que la cámara esté visualizando. ¿Creéis que le aplica la LOPD? ¿Hasta qué punto? ¿Debería esta persona colocar un cartel informativo?

Por otro lado, la cámara enfoca hacia el mostrador, y por tanto a través de ella se puede ver a sus empleados mientras están trabajando. Y claro, es evidente que alguno de ellos se puede sentir vigilado... ¿Qué implicaciones creéis que puede tener esto desde el punto de vista del derecho laboral? ¿Os parece una solución apropiada?

La verdad es que no es una solución sencilla, ya que el caso roza los límites de la aplicación de la LOPD, y no está claro si por dentro o por fuera. ¿Qué pensáis? ¿Alguien se anima a dar su opinión (no vinculante, por supuesto) al respecto?

Ciudadanos clientes

2010-07-05T12:56:00.002+02:00

Ya siento no postear con más asiduidad, pero la verdad es que el último mes ha sido especialmente intenso. A los habituales proyectos externos en los que participo se ha unido una recertificación del SGSI con una nueva entidad certificadora, y el replanteamiento que hemos hecho de nuestro SGSI para pulir algunos "vicios" que ha ido adquiriendo nuestro SGSI a lo largo de 6 años ha llevado su tiempo...

Hoy quiero plantearos un debate que ha surgido en varios de los proyectos que estamos realizando con organismos públicos, y que se resume en cómo abordar la dicotomía ciudadano - cliente que tienen algunos organismos públicos. Para la administración pública "general" su atención al ciudadano es homogénea, ya que todos somos iguales (vecinos del ayuntamiento, ciudadanos de la autonomía, etc). No obstante, existen otros organismos públicos que tienen clientes expresamente definidos, con los que firman un contrato para la prestación de ciertos servicios. En estos casos, parece que no queda claro cuáles son las condiciones que deben cumplir estos organismos públicos a la hora de prestar servicios a unos y a otros. ¿Es necesario cumplir las exigencias de la Ley 11/2007 con todos ellos? ¿O sólo con los servicios prestados a los ciudadanos en general? ¿Aplican las exigencias del ENS a los servicios prestados a clientes, entendidos en su forma clásica? Si hay algún jurista con ganas de aportar algo de luz a este debate, estaría encantado de escucharle...

Cuando la continuidad es imposible

2010-06-14T14:51:00.002+02:00

Muchas veces, al hablar de continuidad de negocio, el personal comienza a pensar inmediatamente en servidores en alta disponibilidad, CPDs redundantes, centros de contingencias... Supongo que será por deformación profesional, pero la verdad es que al hablar de continuidad de negocio nos solemos olvidar de la industria. Sí, las fábricas de toda la vida, con sus autómatas, su máquina-herramienta, sus operarios a pie de máquina... ¿Qué solución se le puede dar a ese tipo de organizaciones?

En muchos casos, el principal coste de una fábrica son sus máquinas de producción. Pensemos, para empezar, en un fabricante de automóviles. ¿Cuánto cuesta una cadena de producción? ¿Es asumible el coste de tener una "cadena de producción de backup"? ¿Es una alternativa viable económicamente la de tener un "centro remoto" de backup? Claro, si pensamos en una multinacional quizás una planta de producción pueda ser el backup de otra. ¿Y en el caso de una empresa pequeña? ¿Todas las industrias se pueden permitir los costes de tener una planta alternativa?

Otra opción podría ser la de esperar. Esperar a que los fabricantes de máquina-herramienta nos suministren nuevos equipos de producción. Pero si estamos hablando de maquinaria especializada... ¿Cuánto tiempo tardan esos fabricantes en suministrarnos los equipos que necesitamos? ¿Podemos asumir ese tiempo de parada del negocio? ¿Seguiremos manteniendo nuestro sitio en el mercado cuando restablezcamos la producción?

Y llegamos a la pregunta que os quería plantear hoy: si los costes de la planta alternativa son inasumibles, y los tiempos de espera también lo son, qué podemos hacer? ¿Cuál puede ser el plan de continuidad de negocio de una industria? ¿Es posible? ¿Debemos asumir el riesgo de no tener Plan de Continuidad? Espero vuestros planteamientos...

Seguridad móvil y percepciones

2010-05-27T15:08:00.008+02:00

Hoy quiero reseñar el último de los estudios realizados por el Observatorio de Seguridad de la Información de INTECO, referente a la seguridad y privacidad en el uso de los teléfonos móviles por los menores en España. La verdad es que es uno de los estudios más interesantes que he leído en estos últimos tiempos, tanto por los temas analizados como por la diferenciación de resultados que hacen entre respuestas de padres y de hijos.

El estudio, además de analizar los hábitos de los menores en el uso de los teléfonos móviles, ha analizado la percepción de ambos colectivos frente a 7 riesgos concretos:

Uso excesivo y adicción al teléfono móvil
Amenazas a la privacidad del menor (como el sexting, o envío de contenidos de carácter erótico/sexual con el menor como protagonista)
Acceso a contenidos inapropiados (de carácter sexual o violento)
Ciberbullying o acoso entre menores
Grooming o acoso de un adulto a un menor con intención sexual
Riesgo económico (gasto excesivo, pérdidas económicas, fraude)
Riesgos de carácter técnico (virus y spam)

En general, uno de los resultados más significativos es que en todos los casos la gravedad percibida por los padres siempre es bastante más alta que la percibida por los hijos. Tanto padres como hijos perciben como más graves más o menos los mismos tipos de amenazas(ciberbullying, grooming y acceso/uso de contenidos inapropiados), aunque los más frecuentes son, precisamente, los identificados como menos graves. Además, ocurren con más frecuencia de la que creen los padres, y normalmente los hijos no se lo cuentan, a no ser que sean incapaces de resolver la situación por su cuenta.

Viendo las diferencias entre la gravedad percibida, normalmente asociada al impacto, y la frecuencia de materialización de cada riesgo, echo de menos un análisis de riesgos un poco más formal, con el fin de obtener un valor de riesgo final que hubiera permitido compararlos. Por lo tanto, haciendo uso de la licencia con la que está publicado el informe, y utilizando los datos de las tablas 8 y 9, he decido hacer un cálculo sencillo con dichos datos, "calculando el riesgo" como el producto de la incidencia percibida y el porcentaje de personas que atribuyen a cada amenaza una gravedad alta (he tomado sólo los valores correspondientes a las valoraciones dadas por los hijos). Haciendo ese simple cálculo, el resultado sería el siguiente:

Viendo los resultados de la tabla, hay algunos resultados que llaman la atención. El primero de ellos es que el Spam y el gasto excesivo pasarían a ser las amenazas de mayor riesgo, ascendiendo desde las últimas posiciones en la tabla de "gravedad relativa", pero junto a ellas se mantendría el ciberbullying como una de las amenazas de mayor riesgo. También llama la atención el hecho de que los virus para teléfonos móviles, que es la amenaza para la que más soluciones tecnológicas existen en la actualidad, sea precisamente la amenaza de menor riesgo resultante después de este cálculo. ¿Hay algún otro resultado que os llame la atención? ¿Alguien se anima a seguir "procesando" los resultados del estudio? Seguro que todavía se pueden sacar un montón de conclusiones útiles para evaluar el "nivel de seguridad" existente en torno al uso de la telefonía móvil por parte de los menores...

Consejos prácticos en redes sociales

2010-05-20T14:50:00.002+02:00

Últimamente he leído varios artículos de similares características: consejos para un buen uso de las redes sociales (y en especial, de Facebook). He leído comentarios al respecto de Enrique Dans, de ConsumerReports, de Blogoff, ... Hay tanto consejos de uso como consejos de seguridad, pero yo me voy a centrar en estos últimos, ya que todos los consejos se basan, más o menos, en las mismas premisas:

Limitar la información publicada: Tanto la relativa a características personales como a circunstancias sociales. No dar excesivos datos íntimos, no facilitar el seguimiento de tu estado/ubicación en tiempo real, ...
Compartimentar: Agrupar a las personas y separarlas en grupos/listas en función del tipo de relación que tengan contigo (amigos, familia, vida profesional, ...).
Limitar los accesos: Tanto el acceso desde fuera de las redes sociales como el acceso de cada grupo a cada tipo de información. En definitiva, configurar adecuadamente la privacidad, la posibilidad de aparición en búsquedas, etc.
Limitar la actividad: Ser cauto en la utilización de funcionalidades que pueden permitir el acceso a información propia o que pueden afectar a tu presencia fuera de tu propio perfil (información "personal" en el muro, etiquetado excesivo de fotos, actividad pública "propagandística", etc.).
Utilizar claves de acceso robustas: Esta creo que no necesita explicación.

No obstante, creo que algunos de estos consejos chocan con el uso que muchas personas quieren para sus redes sociales: potenciar su imagen digital pública, favorecer que les conozcan, ser identificables como personas activas en la red social. En ese caso, muchos de los consejos dados en aras de la privacidad son completamente inútiles, ya que el objetivo es completamente el opuesto, la publicidad. En ese caso, de todas las premisas anteriores sólo nos podríamos quedar con dos: compartimentación (aunque quizás no sirva para nada, ya que no tiene por qué aplicarse el criterio de limitación de accesos) y uso de claves de acceso robustas. En este caso la duda que me surge es siempre la misma: ¿Es posible dar consejos válidos en el ámbito de la seguridad a este tipo de usuarios? ¿Por qué estos usuarios no "valoran" su privacidad? ¿Está la privacidad sobrevalorada por nuestro sector, o infravalorada por estos usuarios? ¿Son compatibles ambas visiones? Estaría encantado de escuchar vuestras opiniones...

Persistencia de la información pública

2010-05-17T14:55:00.004+02:00

Aunque la reflexión surgió en torno a la información de carácter personal que es accesible públicamente, la verdad es que la persistencia de la información o, dicho de otro modo, el carácter atemporal que en muchas ocasiones tiene la información accesible en Internet, puede ser a la larga un grave problema y uno de los talones de aquiles de la web tal y como la conocemos actualmente.

El caso es que el otro día estuve en una reunión debatiendo sobre las implicaciones y dificultades legales y técnicas que tiene la cancelación de datos personales públicos (publicados en boletines oficiales, por ejemplo), y a raíz de los comentarios que surgieron al respecto empecé a reflexionar acerca de la "calidad" de los datos a los que tenemos acceso a través de Internet, desde un punto de vista de su "veracidad temporal".

La verdad es que una gran parte de la información accesible en Internet no está fechada. Mucha de la información que existe en Internet no tiene una referencia temporal, no sabemos de cuándo data ni su grado de actualización. Además, los principales portales de acceso a la información, los buscadores, no tienen en cuenta ese factor a la hora de ordenar los resultados. De hecho, la información más reciente, y por tanto la que debería estar más actualizada, es la que menos probabilidades tiene de aparecer bien posicionada, ya que es la que menos tiempo ha tenido para ser rastreada o linkada. Por lo tanto, y salvo excepciones (medios de comunicación, informaciones oficiales, etc.), la mayor parte de la información accesible en Internet no sólo es atemporal, sino que en muchos casos puede estar desactualizada.

Teniendo en cuenta que el mundo en el que vivimos es enormemente temporal (e incluso cada vez funciona más en "tiempo real"), esta atemporalidad puede provocar divergencias bastante significativas entre el "mundo virtual" y el "mundo real". Divergencias que pueden ser más graves cuanto mayor sea la interrelación entre ambos mundos. Desde el caso en el que alguien figure en un boletín oficial como moroso cuando ya ha satisfecho sus deudas, hasta el caso en el que una empresa vea caer en picado sus acciones porque alguien ha publicado en la web su cuenta de resultados con un "simple" cero de menos, o sólo porque una noticia de hace 4 ó 5 años haya sido republicada por error y se entienda como noticia actual. Que un dato del pasado aparezca en Internet por cualquier motivo como información actualizada puede ser un grave problema para cualquiera. Como ya he dicho en alguna ocasión, la "integridad de la información" publicada en Internet, entendida como veracidad, cada vez es más crítica. Lo cual puede llevarnos a una nueva definición de "integridad de la información", en la que ya no sólo vale con que la información no haya sido modificada sin permiso, sino que además requiera su veracidad, su actualización en caso de que aquello a lo que se refiere haya sufrido algún cambio.

El problema es que la web no está concebida de manera dinámica y temporal, sino todo lo contrario. Y si tenemos en cuenta las ingentes cantidades de información que cada día se generan en la web, las probabilidades de que cada vez la información que encontramos esté menos actualizada poco a poco van a ir creciendo. ¿Existen soluciones actualmente para que esta situación no sea un problema? ¿O estamos ante uno de los puntos débiles de la web actual?

Crítica práctica al Esquema Nacional de Seguridad

2010-05-13T15:07:00.005+02:00

El otro día tuve la suerte de participar en un interesante debate con varias organizaciones del sector público que se están "peleando" con la implantación del ENS, y estas organizaciones estuvieron comentando comentando algunas de las dificultades que estaban teniendo a nivel práctico para lograr una implementación eficaz y sobre todo eficiente de dichas exigencias.

La primera dificultad común, ya prevista, venía dada por la necesidad de establecer nuevas funciones y responsabilidades en torno a la seguridad. Las figuras del responsable de la información, del servicio y de la seguridad son fáciles de entender, pero estaban teniendo dificultades a la hora de designar estos responsables en un organigrama en el que no es tan sencillo como parece identificar dichas responsabilidades de manera unipersonal.

No obstante, el debate se centró principalmente en la aplicación práctica de las medidas de seguridad recogidas en el Anexo II del ENS, y en la dificultad para poder aplicarlas de manera eficiente, dada la metodología de aplicación que define.

El problema radica en que, según el ENS, la aplicación de las medidas de seguridad se determina en función de la categoría de los sistemas, es decir, en función del valor de los activos, de su importancia. Esta es una filosofía garantista, ya que asegura la aplicación de mayores medidas de seguridad a los sistemas más valiosos, pero tiene el problema de que no utiliza, para discriminar la aplicación de dichas medidas, los valores de riesgo resultantes en torno a dichos activos. Un análisis de riesgos permite modular las medidas de seguridad a aplicar en función no sólo del valor del activo sino también de la probabilidad de ocurrencia de las amenazas y de la vulnerabilidad que presente el activo a dichas amenazas, de modo que si el primer factor tiene un valor elevado pero los restantes tienen un valor bajo, el riesgo resultante no será excesivamente alto, de modo que las medidas de seguridad a aplicar no tendrán que ser tan férreas como si sólo hubiéramos tenido en cuenta el primero de los factores, ya que los restantes "tiran hacia abajo" del resultado. En el caso del ENS, según la lectura que se hacía en aquella reunión, este efecto modulador del análisis de riesgos sólo es aplicable "hacia arriba", ya que su aplicación "hacia abajo" nos podría llevar a decidir no aplicar, en función del riesgo resultante, algunas medidas de seguridad que según el valor del activo sí que serían aplicables, lo que limita enormemente la capacidad de las organizaciones de poder realizar una gestión de riesgos eficiente, ya que no estaría permitido la no aplicación de ciertas medidas de seguridad.

Dándole vueltas al motivo por el cual las medidas de seguridad no se aplican en función del riesgo resultante sino del valor del activo, llegamos a la conclusión de que parte de la "culpa" probablemente viniese dada por la no determinación de una metodología concreta de análisis de riesgos. Esto supone, en la práctica, que una misma valoración de activos a la que se aplican dos metodologías de análisis de riesgos distintas pueden llegar a resultados de riesgo diferentes (presuponiendo mismos factores y mismos valores), lo que supondría la aplicación de distintas medidas de seguridad, echando por tierra de este modo la filosofía garantista del ENS. No obstante, estoy seguro de que puede haber más motivos a considerar a la hora de explicar esta situación, y puede que incluso la lectura que se haga en otros foros de la metodología de aplicación de medidas de seguridad del ENS difiera de la que se hizo en aquella reunión. ¿Qué pensáis vosotros? ¿Estáis de acuerdo con la interpretación de la metodología de aplicación de medidas de seguridad? ¿Pensáis que es una metodología que permite poca eficiencia? ¿Estáis de acuerdo con las causas que se identificaron en aquella reunión? ¿Se os ocurren otras? Estaría encantado de escuchar vuestras opiniones...

Cosa de SLAs

2010-05-05T15:01:00.002+02:00

Aunque todo el mundo hable de utilizar SLAs (o ANSs, si preferís en español) en sus servicios, a la hora de la verdad cuesta encontrar una organización que realmente los utilice en toda su dimensión. En muchas ocasiones, sencillamente, por no haberse parado a pensar en las consecuencias de utilizarlos, y en muchas otras porque, a la hora de la verdad, son tan pocas las empresas que los tienen en cuenta tanto en el lado del proveedor como en el lado del cliente.

En torno a los SLAs hay una serie de conceptos que creo que puede ser necesario aclarar:

Servicio: Es el concepto fundamental, aquello sobre lo que vamos a establecer unas condiciones de prestación determinadas. Pero no olvidemos que prácticamente se puede vender "cualquier cosa" en forma de servicio, de modo que definir adecuadamente el servicio, identificando todas sus características, es un factor clave al hablar de SLAs.
Parámetros: Son aquellas características medibles del servicio sobre las que se van a fijar las condiciones de prestación. Deben servir para caracterizar el servicio a partir de ellas, y habrá que pensar si nos conviene que sean características diferenciadoras del servicio, de modo que destaquemos su exclusividad, o características generalistas, de modo que sirvan para comparar los niveles que ofrecemos en nuestros servicios con los que ofrece nuestra competencia. Además, no podemos olvidar que estos parámetros son los que deben definir la calidad de nuestros servicios.
Niveles de servicio: Este es el valor que alcanza nuestro servicio en cada uno de los parámetros. Son valores variables, y tendremos que conocer dicha variabilidad a la hora de ofrecer nuestros servicios, ya que probablemente estos interesarán más o menos a nuestros clientes en función de los valores que seamos capaces de conseguir.
Acuerdo: Para un SLA es un factor clave, y no sólo por ser la tercera palabra. Implica que debería existir una negociación entre el cliente y el proveedor en la que ambos acuerden unos niveles de servicio determinados a un coste concreto, de modo que dicha negociación permita que los niveles de servicio prestados sean beneficiosos para ambas partes (satisfagan las expectativas del cliente y sean realizables y rentables para el prestador del servicio).
Objetivos (de nivel de servicio), o SLO: Son aquellos valores a cuyo cumplimiento nos comprometemos en un SLA, de modo que tendremos que tener un grado de certeza lo suficientemente alto de que nuestros niveles de servicio van a alcanzar dicho valor si queremos ofrecer servicios de calidad. En este punto el factor clave es tratar de conocer el % de certeza (valor numérico) con el que podemos garantizar el cumplimiento de dicho objetivo, y este es el punto en el que los expertos en estadística más nos pueden ayudar, ya que es una de las tareas más complejas, sobre todo si no tenemos datos históricos sobre los que basarnos.
Límites: Son aquellos valores mínimo y máximo entre los que se puede mover el nivel de servicio, y entre los cuales debe fijarse el SLO. Parece una obviedad, pero seguro que todos conocéis más de una organización que trata de vender imposibles...
Capacidad: Hasta ahora hemos estado pensando en un único cliente, pero un proveedor de servicios normalmente aspira a vender sus servicios a más de un cliente simultáneamente. Por tanto, no podemos olvidar la capacidad máxima de nuestros recursos, que por una parte condicionan los límites de nuestros servicios pero por otra parte también condicionan el número de clientes a los que podemos prestar servicios simultáneamente, y que en el caso de recursos compartidos puede venir también condicionado por los niveles de servicio que estemos ofreciendo a cada uno de ellos concurrentemente.
Valores agregados: Una vez que comenzamos a pensar en la prestación de un servicio a varios clientes de manera concurrente, también tendremos que plantearnos todos los conceptos anteriores de forma agregada, analizando los niveles de servicio, objetivos y límites que tiene el servicio prestado de manera global.

Por tanto, sólo cuando hayamos resuelto todos estos factores estaremos en condiciones de poder ofrecer SLAs a nuestros clientes con las suficientes garantías, ya que si no hemos hecho el ejercicio previo no seremos capaces de responder por nuestros servicios en función de los acuerdos alcanzados. Ese es el motivo por el que a la hora de la verdad no suelen existir demasiados servicios que se gestionen en base a SLAs, y es que pocas organizaciones suelen estar dispuestas a realizar el esfuerzo de llevar a cabo este análisis...

El PC seguro

2010-05-03T15:00:00.004+02:00

Muchas veces solemos pasar de puntillas por aquellos temas que nos parecen obvios, y al final podemos acabar quitando importancia a aspectos que, por básicos, creemos que ya están superados. Por eso me suele gustar encontrarme con estudios y análisis que nos suelen recordar que precisamente en lo más básico suelen aparecer los mayores errores, cumpliendo a la perfección la regla de Pareto.

Hoy me he encontrado con un artículo que, pese a tener casi 3 años, creo que sigue siendo completamente válido a día de hoy. El artículo en cuestión habla de una recomendación de Gartner sobre los PCs corporativos y las características que deberían cumplir. La interpretación que yo hago de esas premisas para que los PCs sean "seguros" son:

Plataformas estables y lo más homogéneas posible
Pocos cambios, y bien controlados
Limitación a la capacidad de los usuarios de alterar configuraciones y características de los sistemas
Uso de productos consolidados en el mercado y de calidad contrastada
Aplicación de programas de control de calidad a las aplicaciones desarrolladas a medida
Búsqueda de la sencillez y la facilidad de uso
Existencia de soporte técnico para la plataforma y las aplicaciones
Aplicación de programas de mantenimiento y revisión periódica de los equipos

Pueden parecer obviedades, pero son unas pocas premisas simples y muy útiles para construir una referencia básica utilizable. ¿Alguien me ayuda a transformar estos 8 puntos en un "decálogo para la seguridad microinformática"?

Boton SOS

2010-04-27T15:06:00.004+02:00

Hace unos días leí una noticia acerca de una propuesta de la policía alemana de que los navegadores incorporasen un botón de alarma para notificar ciberdelitos en Internet. Ese botón, al ser pulsado, enviaría automáticamente una captura de la pantalla a un centro en el que se analizaría dicho pantallazo y se decidiría qué hacer en consecuencia.

La verdad es que la idea me parece ingeniosa, aunque no tengo claro el nivel de eficacia real de la medida. Me temo que la mayor parte de los usuarios de Internet no tiene un conocimiento demasiado claro de qué situaciones pueden constituir un delito (por no hablar de que esos delitos dependerán de la jurisdicción de cada país), y por contra sí que hay un número significativo de usuarios de Internet con pocos conocimientos y mucha necesidad de soporte técnico. Por tanto, me temo que esa solución podría pasar de ser un botón de notificación de posibles ciberdelitos a ser interpretada por muchos usuarios como un botón de ayuda on-line, algo más similar a un notificador de incidencias técnicas durante la navegación que a un notificador de ciberdelitos. Tengo la sensación de que la gran cantidad de falsos positivos que se podrían producir, unido a la elevada necesidad de recursos dedicados al análisis que puede requerir la solución, puede echar por tierra esa propuesta. No creo que el nivel de conocimientos en torno a la ciberseguridad del navegante alemán medio sea muy superior al del español, así que veo difícil que la idea llegue a tener una aplicación práctica suficientemente efectiva.

No obstante, sigo diciendo que la idea me parece ingeniosa, y quizás podría dar un buen resultado con unos pequeños cambios. Seguro que en Alemania, igual que aquí, hay un montón de empresas relacionadas de algún modo con la seguridad informática, y es muy probable que en esos entornos el nivel de eficacia que puede tener la utilización de un botón de ese tipo sea mucho mayor. También veo posible el uso efectivo de esa solución en ciertos entornos de la administración pública, como pueden ser los departamentos de informática, siempre que se llevase a cabo un programa de formación adecuado. Seleccionando un poco el público objetivo de esa solución, y centrándose en aquél con mayores conocimientos o con mayores probabilidades de encontrarse con algún ciber-delincuente, creo que una solución que automatice la notificación de posibles ciberdelitos puede ser una buena forma de mejorar la lucha contra dichas actividades. Y mientras tanto damos tiempo a que el nivel medio de conocimientos de la población sobre la seguridad en Internet pueda ir creciendo poco a poco, de forma que algún día este tipo de soluciones puedan extenderse a toda la población con las suficientes garantías. ¿Qué os parece?

Libro ISO/IEC 20000 para pymes publicado

2010-04-26T14:43:00.002+02:00

Por fin!! La verdad es que ha costado mucho (muchísimo) más de lo previsto, pero al fin lo tengo en mis manos... Ya está publicado el libro "ISO/IEC 20000 para pymes - Cómo implantar un sistema de gestión de los servicios de tecnologías de la información". Ha costado mucho, ya que es un libro cuyo borrador se terminó de escribir a finales de 2008, en el marco del proyecto de CONETIC 20Kpyme, y que tras una larga (a veces, casi interminable) andadura por fín ve la luz de la mano de AENOR ediciones. La verdad es que es una gran satisfacción ver cómo una obra en la que has puesto tanto entusiasmo (y tanto tiempo) acaba siendo publicada, y más aún si la entidad que la publica está avalando al mismo tiempo su rigor. La espera ha merecido la pena...

El libro lo podéis encontrar en dos ediciones distintas. La primera, editada en tapa dura, está puesta a la venta en la propia web de AENOR, mientras que la segunda, con tapa blanda, está patrocinada por la SPRI y se puede solicitar a Nextel en la propia web del proyecto. El libro no es demasiado grande (144 páginas en tamaño A5), y hemos intentado que el contenido no sea excesivamente denso. Ya me contaréis si hemos conseguido escribir un libro atractivo...

Por último, no me resisto a la tentación de comentar el rotundo éxito del proyecto 20kpyme en la edición 2008-2009 y la buena marcha del mismo en su reedición de 2009-2010. En estos momentos se está gestando la edición 2010-2011, así que si sois una pyme y os interesa participar en un proyecto de implantación y certificación de un SGSTI bajo ISO 20000 con un coste muy asequible (gracias a las subvenciones del Plan Avanza), no dudéis en poneros en contacto con CONETIC, con Nextel o conmigo mismo y seguro que os podemos hacer un hueco en esta nueva edición.

Nos gusta el riesgo

2010-04-20T15:03:00.003+02:00

Según parece, la mayor parte de los problemas de pérdida de datos en las empresas se debe a conductas de riesgo de los usuarios. O al menos éso es lo que reflejan algunos estudios, según indica el artículo referenciado. Como no he podido acceder a los datos de partida del informe (parece que la empresa que lo ha realizado sólo ha publicado algunas notas de prensa, pero no los resultados estadísticos de dicho estudio), el único dato que tenemos es el del titular: un 78% de las pérdidas de datos en las empresas se deben a:

Errores humanos
Pérdida de hardware
Robo de hardware
USB personal infectado
Desactivación del antivirus

De ellos, los dos primeros no creo que se deban estrictamente a conductas de riesgo (un "despiste" lo puede tener hasta el más paranoico), y el tercero tampoco tiene por qué estar relacionado con ellas (podría ser que con tu conducta vayas "provocando" a los ladrones, pero lo más habitual es que el robo se deba más a "despistes" y casualidades). Por tanto, me gustaría quedarme con las dos últimas, que sí que creo que son en sí mismas conductas de riesgo en las empresas.

En relación al uso de pendrives personales, creo que hay dos aspectos que habría que analizar: su uso para fines personales y su uso para fines profesionales. Sobre todo porque en este segundo caso (el primero queda regulado por cada organización una vez que se estipulen los usos y comportamientos permitidos en la organización, ya que puede ser una conducta de riesgo o una conducta incluso no permitida) habría que tener en cuenta si la propia empresa proporciona a sus empleados los medios necesarios (en este caso, pendrives) para que puedan realizar su trabajo. A partir de ahí, una buena solución sería la integración de un sistema de control de periféricos, de esos que permiten definir políticas de uso de medios removibles, para poder controlar qué pendrives se conectan a los equipos.

En cuanto a la desactivación del antivirus, la primera duda sería conocer por qué los usuarios tienen capacidad de desactivarlo (puede que no requieran ese tipo de permisos), y a partir de ahí preguntarnos el motivo por el cuál lo han hecho. Es cierto que algunos usuarios esgrimen la ralentización del equipo como argumento para desactivarlo (aunque muchas veces sea el propio malware que les infecta por tenerlo desactivado el que les ralentiza el equipo), pero también puede que una mala integración de estas soluciones o un incorrecto dimensionamiento de los equipos para soportarla puedan causar problemas reales con la plataforma antivirus.

Con esto quiero señalar que a veces puede ser la propia organización la que puede establecer acciones para corregir ciertas conductas de riesgo, ya que a veces el propio celo de los usuarios por realizar adecuadamente su trabajo puede conducirles a caer en dichas conductas. Más allá de las clásicas acciones de concienciación, adoptar ciertas precauciones con las herramientas y normativas de uso asociadas que homologamos en la organización puede ser un aspecto tanto o más importante que la propia concienciación a la hora de limitar las conductas de riesgo. Sobre todo si nos enfrentamos a soluciones que, por simplificarle la vida al usuario, le limitan la posibilidad de saber si está utilizando un protocolo de navegación seguro...

TecniMap 2010

2010-04-12T14:49:00.002+02:00

La semana pasada estuve en el TecniMap de Zaragoza, y hoy quería aprovechar para contaros algunas de las principales conclusiones que yo saqué del evento:

En primer lugar, las administraciones públicas están muy centradas en la LAECSP, es decir, en digitalizar los servicios que prestan a los ciudadanos. Aunque las más grandes ya tienen la mayor parte de los deberes hechos, todavía hay cierta incertidumbre en cómo van a poder conseguir los ayuntamientos pequeños adecuarse a dicha ley. Parece que el camino es que sean las diputaciones (o similares) las que les monten las infraestructuras necesarias para cubrir con las exigencias legales, pero la insuficiente digitalización de los propios ayuntamientos (e incluso la insuficiente alfabetización digital de los funcionarios que trabajan en ellas) puede ser un problema real para cubrir estos objetivos.
El escaso uso de los servicios públicos digitales por parte de los ciudadanos es un reto de importantes dimensiones que en general no está muy claro cómo resolver. Todas las administraciones parecen tener claro que es necesario hacer un mayor esfuerzo en marketing, en "vender" a los ciudadanos estos servicios, pero tampoco se ha dado con una fórmula concreta de éxito. Existen casos puntuales con gran crecimiento, pero sin que se puedan extraer conclusiones concretas de qué es necesario para que los ciudadanos usen los servicios públicos digitales. Además, el respaldo presupuestario a esas acciones de marketing parece que en general es escaso.
La mayor preocupación de las administraciones que ya tienen más asentados los servicios públicos digitales parece ser la interoperabilidad, aunque la falta de una normativa concreta que regule estos temas (recordemos la gran cantidad de normas técnicas de interoperabilidad que el ENI prevé desarrollar) dificulta bastante su desarrollo, por "miedo" a realizar esfuerzos que luego puedan quedar fuera de la regulación que se establezca, y tampoco parece existir un estándar de facto (salvo ciertas excepciones) que vaya a ofrecer suficientes garantías.
Parece que la democracia participativa puede cobrar una mayor importancia gracias a la apertura de la administración pública a las redes sociales y a la web 2.0. No obstante, existen ciertos aspectos como la representatividad de esta participación activa o los riesgos derivados de una apertura a entornos no controlados que aún no han sido resueltos por completo.
Aunque todo el mundo parece tener claro que la digitalización de los servicios públicos debería suponer una reingeniería de los procesos administrativos y un cambio profundo de la manera de prestar servicios a los ciudadanos, a la hora de la verdad la mayor parte de esas digitalizaciones se han convertido en una mera automatización de los mismos procesos. La resistencia al cambio parece ser un gran obstáculo en la administración.

Aparte de esas conclusiones, que más o menos fueron temas comentados en distintas ponencias, yo añadiría una que me parece muy significativa: la seguridad prácticamente brilló por su ausencia en el TecniMap. Pese a la publicación del ENS, parece que las administraciones públicas están mucho más preocupadas por la funcionalidad que por la seguridad. Una vez más, parece que la seguridad queda en un segundo término (y mucho menor), pese a que tenga el mismo rango legal que la interoperabilidad. De nuevo, la seguridad será algo en lo que se piense, como mucho, a posteriori, y una vez que los servicios públicos electrónicos ya están montados. Olvidando que cualquier servicio público que se digitalice a partir del 29 de Enero de este año ya debería cumplir de manera "nativa" con el ENS...

Para finalizar, en relación al último comentario del pasado post referente a la responsabilidad de las administraciones públicas en torno a la información que gestionan, me quedó la sensación de que es un tema sobre el que no se ha reflexionado en exceso. La verdad es que no salió a relucir en ninguna de las ponencias a las que asistí, y en un par de sesiones en las que intenté "colarlo" en la ronda de preguntas tampoco lo conseguí. Sin embargo, la aparente "ligereza" con la que en alguna sesión equiparaban las iniciativas privadas de particulares con las iniciativas públicas, unido a la relajación que parecían mostrar en algunos casos en relación a las connotaciones legales que podía tener la apertura de los servicios públicos me lleva a pensar que este es uno de los temas en los que todavía no se ha trabajado lo suficiente. La verdad es que no me sorprendió especialmente, ya que en el ámbito empresarial también suele ser uno de los ámbitos en los que existen más lagunas a la hora de montar servicios TI, pero creo que es uno de los temas que más se debería trabajar de cara a futuros TecniMaps, dada la especial relevancia de una buena definición de responsabilidades en el ámbito de los servicios públicos.

Integridad virutal y real

2010-04-06T15:07:00.004+02:00

La integridad suele ser una de las dimensiones de la seguridad a la que, pese a que todo el mundo la valora especialmente, no se le suele prestar demasiada atención a la hora de aplicar medidas de seguridad. En general, es algo que se da por hecho, y muchas veces son otras las dimensiones de la seguridad las que centran nuestra atención. Por esa especial importancia suelen ser tan sonados los incidentes relacionados con la misma, y por esa insuficiente atención suelen aflorar las críticas a la seguridad cada vez que ocurren.

El problema es que, poco a poco, estos incidentes de seguridad informática que atentan contra la integridad de la información, normalmente materializados en los famosos defacements de páginas web, están pasando del entorno corporativo al entorno personal, aumentando exponencialmente el daño potencial que pueden llegar a causar. Porque ahora ya no nos podemos limitar a pensar en los hijackings de la web personal del político de turno, sino que tenemos que empezar a pensar en los robos de identidades digitales de personas "anónimas", en la modificación malintencionada de cualquiera de las múltiples páginas web en las que un individuo "moderno" puede tener colgada información personal. Por eso, leer noticias como que ya se empiezan a producir asesinatos virtuales en facebook nos debería llevar a pensar que de algún modo deberíamos ser capaces de controlar de manera más eficiente la integridad de la información que cada uno genera en la red. Esto no quiere decir que en la red no puedan existir bulos, chismes y habladurías, igual que ocurre en el mundo real, pero no podemos perder de vista que la información en la red es persistente y replicable exponencialmente. De modo que la falta de integridad entre la información del mundo real y la del mundo virtual puede tener efectos muchísimo más grandes que si el incidente se limitase al mundo real. Porque un simple error en un estado civil o la publicación en el muro de un comentario inapropiado en un momento de enfado puede llegar a tener efectos demoledores sobre la vida de cualquier individuo. Y claro, todavía no hay sistemas que sean capaces de verificar la integridad de la información virtual con la del mundo real...

Para terminar, ya que el tema puede dar mucho de sí, sería necesario pensar si todas las entidades (los propios individuos, las empresas, las administraciones públicas, ...) deberían asumir la misma responsabilidad por fallos de integridad (podemos llamarle veracidad) entre la información existente en su versión virtual y la información existente en el mundo real. Tanto acerca de la propia entidad como acerca de otras. ¿Hasta qué punto una organización puede (Y/o debe) ser responsable de la información digital que mantiene sobre terceros? ¿Tiene el mismo grado de responsabilidad una empresa privada que una administración pública? ¿A quién corresponde el mantener actualizada (íntegra) dicha información? Aprovechando que los próximos días me pasaré por el Tecnimap, trataré de indagar sobre estas cuestiones. A ver qué os puedo contar a la vuelta...

Ilegalidades de la DGT

2010-03-29T14:54:00.003+02:00

Siento no postear más a menudo, pero la verdad es que el primer trimestre del año está siendo mucho más ajetreado de lo que esperaba, sobre todo a nivel profesional. Pero bueno, como en estos tiempos parece que no está demasiado bien visto quejarse por exceso de trabajo, sólo diré que me quejo por el poco tiempo libre que me queda últimamente. :-)

Hoy me ha sorprendido un post publicado por Samuel Parra en el que habla de que el sistema de consulta de puntos de la DGT es ilegal, pero no lo van a cambiar. Lo que más me ha llamado la atención son las declaraciones efectuadas por el responsable de informática, en las que se justifica que la organización no está dispuesta a cambiar el sistema porque "el organismo no se ve obligado desde un punto de vista jurídico ". Una afirmación con la que, sin ser abogado, creo que no puedo estar de acuerdo.

En la web de la DGT hablan de sí misma como Organismo Autónomo adscrito al Ministerio del Interior. Por tanto, entiendo que a la DGT le aplica por completo la Ley 11/2007, que en su Artículo 2 indica que dicha ley le será de aplicación a las Administraciones Públicas, entendiendo por tales la Administración General del Estado (...), así como las entidades de derecho público vinculadas o dependientes de las mismas. Así que, si consideramos que la consulta de puntos no es una actividad que la DGT desarrolle en régimen de derecho privado, que es la única excepción que preve la ley en este punto, yo entiendo que tanto dicha Ley como toda la reglamentación que se desprenda de ella le aplica por completo. De hecho, una de las disposiciones finales habla específicamente de temas de tráfico...

Siguiendo con ese razonamiento, entiendo que también le son aplicables el Real Decreto 1671/2009, que en su Artículo 1 indica que dicho real decreto "tiene por objeto desarrollar la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos en el ámbito de la Administración General del Estado y los organismos públicos vinculados o dependientes de ésta, en lo relativo a la transmisión de datos, sedes electrónicas y punto de acceso general, identificación y autenticación, registros electrónicos, comunicaciones y notificaciones y documentos electrónicos y copias". Y por último, creo que también le es aplicable el Esquema Nacional de Seguridad, puesto que en su Artículo 3 indica que el ámbito de aplicación de este real decreto será "el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio´", y no creo que se pueda aplicar en este caso la excepción de los secretos oficiales.

En definitiva, no sólo creo que no es cierto que no exista obligación jurídica de subsanar las graves deficiencias encontradas, sino que considero que la obligación jurídica es completamente la contraria. Considero que existe una obligación jurídica bastante sólida de que dicho sistema ofrezca garantías reales de seguridad, y no sólo desde el punto de vista de la LOPD sino también desde un punto de vista más amplio, tal y como establece la Ley 11/2007. Así que esperemos que alguien se lo cuente a la DGT y se pongan a trabajar antes de que expiren los plazos establecidos por estas leyes y con ellos las excusas para no cumplirlas...

El papel de la tecnologia

2010-03-22T15:10:00.003+01:00

Hoy me he vuelto a encontrar, un poco por casualidad, con un artículo de Enrique Dans que en su día me llamó bastante la atención. En él, el autor criticaba el despido de un profesor por haber uitlizado un blog como motor de una asignatura. Más allá de las aseveraciones que hace el autor, que no voy a entrar a valorar, sí que quiero destacar uno de los argumentos que se utilizan en él, y es el de la capacidad que tiene a día de hoy la tecnología para cambiar la forma de hacer las cosas. Un argumento que también se repite una y otra vez en el libro que estoy terminando de leer, The Long Tail, y que en el fondo es el origen del post en cuestión.

La tecnología nos abre un mundo completamente nuevo y diferente. Un mundo virtual en el que, a diferencia del mundo físico, las reglas no están escritas, y podemos definirlas a nuestra conveniencia. Esa es su principal ventaja, pero también su principal riesgo. Porque no podemos desenvolvernos en el mundo virtual con las reglas del mundo físico sin correr el riesgo de equivocarnos, y no podemos perder de vista que la gravedad de nuestra equivocación viene determinada por lo diferentes que sean las reglas en uno y otro mundo.

El ejemplo de la pizarra digital es fácil de entender. Es una pizarra, y como tal se puede utilizar, sencillamente escribiendo sobre ella. Se puede pintar con colores, no mancha, y como lo escrito son sólo líneas en una pantalla se puede borrar por completo con un simple gesto. Es decir, que la pizarra digital puede seguir siendo sólo una pizarra moderna. Pero también es una pantalla táctil multimedia, y como tal permite muchas otras posibilidades: desde "traer la pizarra escrita" en una presentación, hasta utilizar vídeos o la navegación por Internet como herramientas lectivas, o muchas otras que a mí ni siquiera se me ocurren. El problema de este segundo caso es que el método clásico de clases magistrales quizás no sea el más apropiado para sacar provecho de este tipo de herramientas. Y si tratamos de forzar ese encaje, puede que el resultado no sea el óptimo.

Si bien el caso de la pizarra digital puede ser anecdótico, podemos ampliar el papel de la tecnología y confrontar el formato de enseñanza tradicional con el del e-learning. ¿Es válida la misma metodología de enseñanza para ambos casos? ¿Un profesor en ambos casos necesita tener las mismas aptitudes y conocimientos? ¿De hecho, el propio perfil del profesor es equivalente en ambos casos?

El ejemplo de la enseñanza no es un caso aislado. En todos los ámbitos de nuestra actividad, la utilización de la tecnología puede cambiar (y de hecho, ya lo ha hecho en muchos casos) la forma de entender nuestra sociedad y nuestro mundo. La comunicación, el trabajo, el transporte... Sin darnos cuenta hemos ido integrando el uso de la tecnología en nuestras vidas, en unos casos de forma natural y en otros de manera más traumática. El problema actual es que los cambios tecnológicos son tan rápidos que no estamos siendo capaces de asimilar las consecuencias de su uso, los cambios de fondo que provocan. No somos capaces de elaborar las reglas del mundo virtual a la velocidad adecuada, y la adaptación de las reglas físicas nos juega malas pasadas.

En el fondo, quizás estemos simplemente ante una brecha generacional, y la generación Y (o Z, ya no tengo muy claro cuál es cuál) pueda afrontar estos retos de forma natural. O puede que no. En el fondo, la gran duda es si la sociedad será capaz de afrontar los riesgos tecnológicos de forma correcta, o si llegaremos a asumir riesgos excesivos por no ser conscientes de ellos o por no saber cómo reducirlos. ¿En qué quedará todo? El tiempo lo dira...

Mi vecino es un zombi

2010-03-11T14:27:00.004+01:00

Quien más quien menos, y seguro que así lo han hecho todos los lectores de este blog, se ha podido enterar de que estos días ha caído una importante botnet de 13 millones de equipos zombi, de los que unos 200000 eran españoles. Cifras bastante impresionantes, sobre todo si tenemos en cuenta que detrás de ellas sólo hay 3 personas que ni siquiera son grandes hackers ni nada parecido, sino simples compradores de un software que fueron capaces de distribuir 13 millones de agentes (el troyano) en máquinas de todo el mundo. El "mérito" de la operación, y por tanto lo que a todos nos debería preocupar, es la relativa facilidad con la que cualquiera parece poder montar y explotar una red de este tipo. ¿Si sólo 3 personas han sido capaces de tener bajo su control 13 millones de equipos, cuál puede ser el volumen real de equipos zombi que hay distribuidos por el mundo?

La probabilidad de que un vecino (o nosotros mismos, aunque creamos que las cosas malas siempre le pasan al de al lado) tenga un equipo zombi me temo que no es nada despreciable. Y sobre todo me preocupa lo difícil que es que cualquiera se entere. ¿A cuánta gente habéis oido estos días, en relación a la noticia, pensar que su ordenador podría ser uno de los afectados? ¿Y a cuántos, en cambio, les habéis visto confiados de que eso a ellos no les pasaría? Que el usuario común crea que sabe lo suficiente de informática es un obstáculo para la seguridad bastante difícil de superar, y me temo que no sólo en Bilbao hay usuarios de esos...

Mi propuesta de solución es de difícil aplicación y a largo plazo, pero creo que sería una forma de atajar el problema de verdad, de raíz. Yo apostaría por un cambio radical en las asignaturas de informática de colegios e institutos, sobre todo teniendo en cuenta que a las nuevas generaciones no les aporta nada que un profesor que sabe menos que ellos les intente enseñar a utilizar un navegador o un procesador de textos, y su transformación en asignaturas que les enseñen a ser ciudadanos digitales. Estoy hablando de "educación vial" en Internet, de hablar de privacidad en la red, de que sepan lo suficiente de seguridad informática como para encontrar indicios de que su ordenador puede estar infectado. Es cierto que para conseguirlo los primeros que deberían tener una formación adecuada son los profesores, pero también es cierto que ahora que los políticos están pensando en reformar por enésima vez el programa educativo podría ser un buen momento para modernizar los temarios de algunas asignaturas. Y al ritmo al que se producen este tipo de cambios, el tiempo no creo que sea el problema... En definitiva, estaría bien que no tuviésemos que llegar en el futuro a tener la sensación de estar rodeados de zombis invisibles que vigilan todos nuestros actos electrónicos, no?

El reto de la seguridad movil

2010-03-03T14:50:00.003+01:00

No es ninguna noticia que la informática móvil cada vez está más extendida en la sociedad. Ya no es sólo que los ordenadores portátiles sean un producto cada vez más demandado, o que la tasa de penetración de la telefonía móvil llegue a ofrecer resultados de más de un móvil por persona, sino que a día de hoy el límite entre lo fijo y lo móvil cada vez es más difuso, y todo lo que ayer era fijo mañana casi seguro que terminará siendo móvil. Además, a esta evolución imparable se va uniendo la progresiva fusión e hibridación entre el mundo de la telefonía y el de la informática, en el que smartphones y blackberrys ya casi son el pasado y todavía nadie se atreve a pronosticar cómo serán los iPads del futuro.

No obstante, no es la evolución tecnológica la que me parece preocupante. Es cierto que hay nuevas plataformas, nuevas soluciones HW o SW sobre las que centrar las soluciones de seguridad, pero ese tipo de cambios es precisamente al que saben hacer frente los fabricantes de productos de seguridad. Lo más preocupante no es la movilidad, sino los nuevos hábitos que permite dicha movilidad. Conectividad permanente, ubicua, desde cualquier lugar y en cualquier momento. Sin las fronteras físicas ni lógicas que tanto facilitan la vida a la hora de aplicar soluciones de seguridad. Y por si eso fuera poco, estamos dejando atrás la filosofía asíncrona y entrando a toda velocidad en un mundo síncrono, en el que el real-time es un valor que puede llegar a colisionar con uno de los principios más básicos de la seguridad: pensar las cosas antes de hacerlas.

Por estos motivos, cuando leo reportajes que hablan de la seguridad en los móviles (I, II, III y IV), siempre me llevo la misma desilusión. Se habla de software anti-malware, de la seguridad de los distintos sistemas operativos para móviles o de securizar la navegación desde estos terminales, pero siempre desde el punto de vista de la tecnología utilizada y sin pensar en los riesgos derivados de estas nuevas filosofías de uso. Es cierto que hay artículos que van un poco más allá y analizan, por ejemplo, la posibilidad de reaparición de los dialers (dialers 2.0, obviamente), pero no dejan de ser reinterpretaciones "técnicas" de las nuevas tecnologías. Lamentablemente, repensar las soluciones de seguridad desde 0 y con una nueva óptica basada en el comportamiento no es algo que se haga todos los días...

Por eso, este post sirve para crear una nueva categoría en el blog, y para iniciar un debate que, espero, pueda resultar constructivo para todos los que lo utilizáis, con el objetivo (quizás un poco utópico, pero en el fondo la utopía es parte de la esencia de la seguridad) de que las reflexiones que aquí podamos ir haciendo puedan servir para acercarnos, a poder ser con algo menos de retraso que a lo largo de la historia, a una seguridad 2.0 que sea capaz de adaptarse a las necesidades actuales de una sociedad móvil.

Ciberguerra de andar por casa

2010-02-15T14:55:00.002+01:00

Es más que probable que cualquier persona "de a pie" que oiga hablar de "ciberguerra" piense automáticamente en películas de Hollywood (por el momento es un género ausente de los Goya, visto lo visto) y en robots asesinos que quieren acabar con la humanidad, más o menos. La verdad es que los conflictos bélicos a día de hoy se perciben como algo más propio del mundo real que del virtual, y en muchos casos los estereotipos de la ciencia-ficción no hacen más que distorsionar la pequeña percepción que del tema pueda tener el común de los mortales.

En estos entornos, artículos como el que me he encontrado hoy (Ciberguerra: los nuevos conflictos armados), conciso y de carácter más bien generalista, me parecen muy apropiados para ayudar a que todo el mundo pueda llegar a conocer un poco más de cerca temas a los que países como Estados Unidos dan la suficiente importancia como para nombrar a un coordinador nacional de ciberseguridad. En el artículo se definen 4 aspectos básicos sobre los que incidir a nivel social, como son:

La ciberguerra es una realidad: Existe, en nuestro mundo, en la actualidad.
Las ciberarmas se dirigen a infraestructuras críticas: A través de internet se puede atacar a ordenadores que controlan las infraestructuras de los países (energía, comunicaciones, suministros esenciales, etc.), siendo posible conseguir efectos directos a nivel físico sobre la población.
La ciberguerra es indefinida: No sólo los posibles atacantes son difusos, sino que los organismos con responsabilidad para hacer frente a esos ataques tampoco tienen suficientemente definidas sus ámbitos y formas de actuación.
El sector privado es el que corre más riesgo: Existe una gran cantidad de posibles objetivos que no son de propiedad estatal, y por tanto los recursos de defensa ante estos posibles ataques son igualmente privados, sin el argumento de "seguridad nacional" para reforzar las inversiones en medidas de protección.

En definitiva, y centrando el foco en el último punto, el artículo viene a recordar no sólo que los ataques electrónicos son reales, sino que los objetivos pueden ser más cercanos de lo que nos imaginamos. Y es precisamente en este ámbito cercano, en el de las empresas con las que lidiamos día a día, en el que se puede perder la perspectiva. Luz, agua, teléfono, gas... ¿De cuántas compañías depende nuestro bienestar diario? Sin necesidad de que los atacantes accedan a los sistemas centrales de estas compañías... ¿Cuándo perjuicio nos puede causar algo tan básico como que un ataque nos dé de baja de todos estos servicios? Y no hace falta que pensemos en ciberguerras entre países, las "ciberdisputas" a nivel doméstico son tan simples como pasar al mundo de Internet las riñas clásicas entre vecinos. ¿Estamos preparados para lidiar nuestras propias ciberguerras de andar por casa? Puede ser un buen momento para ir pensando en ello...

Novedades en el Esquema Nacional de Seguridad

2010-02-01T14:54:00.002+01:00

Aunque el Real Decreto 3/2010 ha sido bastante "fiel" al borrador que se había publicado, creo que es importante destacar algunos de los cambios que se han producido en su versión definitiva, y no tanto por su magnitud como por las implicaciones de fondo que se pueden deducir de dichos cambios. Los cambios que a mí más me han llamado la atención son los siguientes:

Se ha modificado el artículo 10 casi por completo, de forma que en la redacción definitiva del principio básico relativo a la seguridad como función diferenciada quedan mucho más claras las responsabilidades específicas y los roles en materia de seguridad de la información.
Se introducen varias "coletillas" en distintos artículos encaminadas a explicitar la garantía de derechos, tanto de las empresas prestadoras de servicios de seguridad (art. 15) como de las personas (art. 23).
Se refuerza el concepto de "mínimos ampliables" que tiene el ENS, tal y como se puede ver en la nueva redacción del artículo 27.
Habrá que prestar atención a los movimientos que pueda haber entre los juristas en relación a la redacción definitiva del artículo 30, ya que especifica mucho más claramente que en el borrador la posibilidad de excluir ciertos sistemas de información del alcance del ENS (habiendo excluido ya los sistemas que tratan secretos oficiales). Aunque a mí personalmente me parece una redacción que difícilmente puede dar lugar a "fisuras" en el cumplimiento del ENS, ya conocemos la capacidad de reinterpretación que tienen los abogados...
El capítulo relativo a la auditoría de la seguridad tiene algunas modificaciones que amplían y detallan más los requisitos asociados a la misma, dando claras muestras de que este va a ser un elemento de suma importancia en el cumplimiento del ENS.
Se ha eliminado el detalle del procedimiento de actualización del ENS que figuraba en el borrador, de modo que se aligera la tramitación de dichas actualizaciones, facilitándose su mantenimiento actualizado.
El cambio más significativo, desde mi punto de vista, se ha producido en el capítulo 10. En la versión final del ENS se ha eliminado la obligación de clasificar expresamente la información en base a su nivel de confidencialidad, lo cual me temo que resta bastante enjundia al resultado final. Soy consciente de la gran dificultad real que suponía su cumplimiento, y de que hubiera sido complejo "ponerle el cascabel al gato", pero era una de las obligaciones más valientes y de mayor efectividad que tenían los anteriores borradores, y me da pena que haya sido eliminada de este punto. Es cierto que dicha medida se puede identificar en el Anexo I del ENS, pero su redacción definitiva ha perdido muchos enteros desde el punto de vista de la eficacia que se puede conseguir con ella.
La redacción definitiva del ENS referencia como título habilitante la propia Constitución, en lugar de la Ley 11/2007, lo que supone una "elevación" de los argumentos esgrimidos para el cumplimiento del mismo.

Hay algún que otro cambio más en la redacción final, pero estos son los que me han parecido más llamativos. ¿Qué pensais vosotros? ¿Creéis que hay algún otro cambio que merezca la pena destacar?

Publicado el Esquema Nacional de Seguridad

2010-01-29T12:17:00.005+01:00

En el Boletín Oficial del Estado de 29 de Enero de 2009 se ha publicado el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Con el honor, además, de ser el primer BOE que se publica en color (gracias al Anexo II de este Real Decreto). Por tanto, a partir de mañana mismo entra en vigor, de modo que según el propio Real Decreto los sistemas existentes se deberán adecuar a sus exigencias (con matizaciones) antes del 29 de Enero de 2010, debiendo "nacer" adecuados todos aquellos que se implanten a partir de ahora. ¿Habrán tenido en cuenta este factor todas las administraciones públicas que están en estos momentos implantando sus servicios de e-Administración? ¿Qué pasará a partir de ahora con la seguridad de los servicios públicos prestados electrónicamente? En próximas ediciones seguiremos hablando de estos temas... ;-)

Por cierto, en el mismo BOE también se ha publicado el Esquema Nacional de Interoperabilidad.

Continuidad y Disponibilidad práctica

2010-01-21T15:08:00.002+01:00

Hoy no tenía previsto postear nada, pero no me he podido resistir. Después de leer el post sobre continuidad y disponibilidad sin despeinarse en el blog de Joaquín Báñez, no me queda otra que recomendar su lectura a todo aquél que busque una visión práctica, sencilla y útil de la gestión de continuidad y disponibilidad. Disfrutadla.

Recortes en TI

2010-01-20T15:04:00.002+01:00

Acabo de terminar de leer un artículo que, bajo el título de "La mitad de los centros de datos están faltos de personal", muestra en tres partes (I, II y III) una realidad cada vez más afianzada: los departamentos de TI sufren importantes recortes, principalmente en personal, mientras que las inversiones se centran básicamente en tecnologías. El mensaje se podría interpretar sencillamente como una búsqueda de la eficiencia, pero creo que es necesario hacer un análisis más detallado de las implicaciones que se deducen en el artículo.

Creo que es importante tener en cuenta el papel de ambos recursos: la tecnología presta por sí misma una serie de servicios de soporte a la actividad corporativa, mientras que el personal de TI se centra en el desarrollo, mantenimiento y evolución de dichos servicios. Servicios que, sin analizar si realmente evolucionan en su propio cometido, lo que está claro es que evolucionan en complejidad, lo que obviamente dificulta la labor del personal de TI. ¿Cuál es la consecuencia previsible a medio-largo plazo de mantenerse la tendencia? No sólo personal insuficiente en cantidad sino probablemente también en calidad, en lo referente a su formación. Sin embargo, ¿cuáles son las líneas en las que se centra el futuro de los centros de datos, según el artículo? Básicamente, la continuidad de los servicios prestados por la tecnología. ¿Por qué las organizaciones que piensan en la continuidad de sus negocios n0 sólo dejan de lado la continuidad del personal sino que por otra parte siguen unas estrategias que la hace peligrar todavía más?

Yo creo que el problema de fondo está en una sencilla realidad: la tecnología, en general, funciona sola. Sí, las labores de mantenimiento son necesarias, pero sólo puntualmente. Lo que el negocio ve funcionar a diario son las máquinas, las aplicaciones, mientras que el personal de TI no realiza un trabajo visible desde su punto de vista o sólo de manera puntual, en caso de incidencias. Y si un servicio aparentemente no se requiere de manera continuada es más prescindible que otro que sí es necesario continuamente...

Además, tenemos otro problema, inherente a las TI. Las TI fallan: cuelgues, avisos de error, funcionamientos incorrectos... Y esto es un problema, aunque alguien pueda pensar lo contrario, ya que fallan tanto si tienen mantenimiento como si no. Desde la visión de negocio a nadie se le ocurre pensar que tener un buen departamento de TI garantice la ausencia de fallos. Y si vamos a tener fallos... ¿No es asumible tener unos pocos más, si a cambio me ahorro algunos sueldos?

Evidentemente, esta situación no se puede mantener en el tiempo. Llegará un momento en que la degradación del servicio que pueda ofrecer el departamento de TI sea tal que sea imposible mantener el servicio ofrecido por las máquinas. Pero... ¿Es posible desarrollar un modelo cuantitativo para "demostrar" este hecho al negocio? ¿Y sin ese modelo, qué argumentos tangibles tenemos para tratar de revertir esta situación?

En definitiva, creo que estamos en un punto preocupante. Sobre todo porque tengo la sensación de que, pese a que la tendencia se ha agravado con motivo de la crisis, sus causas subyacen más allá de la coyuntura económica actual y suponen un importante riesgo para cualquier organización, mayor cuanto más grande sea su dependencia tecnológica. De modo que creo que este debe ser el momento de analizar en profundidad cómo hemos llegado a este punto y tratar de establecer unas bases sólidas para revertir la situación, sobre todo ahora que todavía podremos utilizar el tirón de salida de la crisis para impulsar el nuevo crecimiento del sector TIC. ¿Alguien se anima a comenzar con ese trabajo?

Pero tu... A que te dedicas?

2010-01-19T14:55:00.002+01:00

Quizás a alguno le parezca conocida esta pregunta. La verdad es que no es fácil explicar a una persona normal, a un "profano" en la materia, en qué consiste la gestión de la seguridad de la información de una empresa. Se puede hablar de virus, de hackers... Pero hablar de gestión o de análisis de riesgos con un colega del instituto puede ser bastante complicado. ¿Será que la seguridad de la información, por mucho que nos creamos, todavía no ha trascendido al mundo real? ¿Es en realidad un coto exclusivo del ámbito empresarial y público? No lo tengo nada claro...

Después de la reflexión anterior cualquiera pensaría que dentro del propio entorno corporativo las dudas anteriores ya están disipadas, pero me temo que tampoco es tan sencillo. ¿Cuántos responsables de informática tienen claro qué hacen "de verdad" los nuevos productos de seguridad que salen al mercado? ¿Cuántos directores de sistemas saben exactamente qué pueden esperar de los servicios que les está vendiendo la consultora de turno? El marketing ha inundado el mercado de tantas "suites", "global services", "advanced security solutions" y demás términos abstractos y rimbombantes que eso de saber qué es lo que puedes esperar exactamente de tus proveedores en materia de seguridad se ha comvertido en poco menos que una utopía. Por eso me gusta tanto la nueva taxonomía de soluciones de seguridad TIC que ha sacado INTECO, ya que supone una clasificación clara y fácil de entender de los distintos productos y servicios de seguridad que se pueden encontrar en el mercado. Una buena ayuda para traducir la jerga comercial de nuestros proveedores a un lenguaje más claro y sobre todo más uniforme, que nos permita conocer en qué ámbito trabajan las soluciones que nos ofrecen y nos sirva de ayuda a todos los que pertenecemos al mundillo de la seguridad para contar un poco mejor a qué nos dedicamos, que en el fondo es lo que prima en las comidas familiares...

Aprobado el Esquema Nacional de Seguridad

2010-01-11T10:36:00.002+01:00

El pasado viernes 8 de Enero el consejo de ministros aprobó el Esquema Nacional de Seguridad, cuya publicación definitiva la veremos los próximos días en el BOE. Una gran noticia para todo el sector, como ya he comentado en algunas ocasiones.

Año nuevo, misma vida

2010-01-07T14:54:00.002+01:00

Pues sí, ya estoy de vuelta. Entre un final de año estresante y las vacaciones de por medio, la verdad es que he tenido el blog bastante desatendido. Así que, teniendo en cuenta que para el año entrante toca hacer buenos propósitos, el mío va a ser el de publicar más a menudo. Que vistos los pobres procedentes, puede que no sea muy complicado, todo hay que decirlo...

Más allá de estos propósitos de año nuevo, la verdad es que nuestro mundo no tiene pinta de haber cambiado mucho por el cambio de década. "La vida sigue igual", que diría la canción. Aunque la verdad es que parece que el año nuevo promete traer más noticias de seguridad de las habituales, al menos si miramos la fecha y analizamos las que han surgido en estos días. Entre el ataque a la web de la presidencia española de la unión europea, el efecto 2010 y el clásico debate entre seguridad y privacidad llevado al mundo físico, la verdad es que parece que en 2010 vamos a seguir teniendo noticias de las que hablar. ¿Alguien se apunta?

Feliz año nuevo!

Publicada ISO/IEC 27004:2009

2009-12-21T18:38:00.002+01:00

Después de tanto tiempo esperándola, por fín se ha publicado la ISO 27004. Desde el día 7 de este mes está disponible esta norma sobre métricas de seguridad. No obstante, me gustaría recalcar, ya que parece que hay cierta confusión al respecto, que esta norma lo que establece principalmente es el ciclo de vida de las métricas, es decir, cómo se deben definir y articular las métricas de seguridad para lograr medir la efectividad de los controles de seguridad establecidos en un SGSI. Lo digo porque hay gente que piensa que esta norma es un catálogo de métricas de seguridad, y aunque sí incluye una sugerencia de métricas en el anexo, su objetivo es que cada organización aprenda a establecer sus propias métricas, más que proponer una lista cerrada de métricas a utilizar. Para que no haya malos entendidos...

El valor de una certificacion ISO 27001

2009-12-02T14:57:00.002+01:00

Cada día es más habitual encontrarse con organizaciones certificadas en ISO 27001 o con intenciones de hacerlo. Y ya no son sólo las pequeñas o medianas empresas que quieren incrementar el valor de su marca con una certificación de este tipo, sino que inmensas organizaciones cuyo nombre prácticamente eclipsa el brillo de cualquier certificado también están empezando a ver su valor. O al menos es lo que parece al leer la noticia de que Microsoft quiere certificar su plataforma Business Productivity Online Suite bajo ISO 27001. Visto lo visto, parece que cada vez hay más organizaciones que aprecian el valor de una certificación de este tipo.

No obstante, hace unos días tenía una conversación acerca del valor de esta certificación con una persona cuya organización acaba de certificarse en ISO 27001 (en realidad, todavía ni siquiera es oficial la concesión del certificado) en la que se cuestionaba el valor real que el SGSI había aportado a su organización. No se ponía en duda el valor comercial y de negocio que aporta "el sello", pero sin embargo sí que se cuestionaba, al menos en parte, la utilidad real del SGSI en una organización madura en términos de seguridad. ¿Qué aporta un SGSI a una compañía cuyo "nivel de seguridad" es elevado?

Desde mi punto de vista, el principal argumento de un SGSI para empresas maduras tanto en gestión como en seguridad se centra en la utilidad del análisis y gestión de riesgos como herramienta para racionalizar las inversiones en materia de seguridad. No obstante, también es cierto que en muchas ocasiones si las medidas de seguridad ya están implantadas y se determina que son excesivas, como puede pasar, su eliminación puede ser más costosa que su mantenimiento, de modo que los ajustes asociados pueden no ser tan rentables a la hora de la verdad. También existe una serie de elementos clave que aporta un SGSI que pueden suponer un salto cualitativo diferencial en la gestión de la seguridad de una organización, aunque ese diferencial se verá atenuado en función de los elementos que la organización ya posea debido a su madurez.

En definitiva, creo que el valor de un certificado ISO 27001 no está sólo en su reconocimiento comercial, sino que existe una buena cantidad de factores clave de un SGSI que aportan valor a la organización por sí mismos, más allá del valor del certificado. No obstante, cuanto mayor sea el nivel de madurez de la organización en relación a la gestión de la seguridad menor valor diferencial aportará el SGSI, ya que ciertas prácticas ya estarán interiorizadas. ¿Puede ser este un argumento válido para que una organización madura en seguridad descarte una certificación de este tipo? ¿Qué prima en las organizaciones, el valor comercial aportado por un "sello" o los beneficios internos que proporciona? Y por último... ¿Se os ocurren más elementos que proporcionen valor a una certificación ISO 27001?

Consejos para la ISO 20000

2009-11-26T15:10:00.005+01:00

Probablemente, en estas fechas muchas empresas del sector TIC puedan estar pensando en si meterse o no en un proyecto de implantación de un Sistema de Gestión de Servicios TI (SGSTI) certificable bajo ISO 20000. Si esa es vuestra situación, aquí van unos consejos que os pueden servir como ayuda para tomar esa decisión:

No te metas en un proyecto de ISO 20000 si no estás dispuesto a "hacer ruido" en toda la organización. La ISO 20000 en una empresa que venda servicios TI afecta directamente al negocio de la organización, toca de lleno las actividades productivas y de venta. Por tanto, un SGSTI según ISO 20000 no es un sistema de gestión que se pueda implantar "con vaselina". Si no estás dispuesto a remover los cimientos de la organización, este no es tu sistema de gestión.

No te metas en un proyecto de ISO 20000 si no vendes servicios. Si tu modelo de negocio está basado en la venta de productos o proyectos, este no es un sistema de gestión para ti. No estoy hablando de que la organización no realice proyectos (de hecho, el proceso de gestión de la entrega es el enlace con ellos), pero esos proyectos deben estar encaminados a la prestación de un servicio continuado. Si a día de hoy tu organización no vende servicios TI, o estás dispuesto a hacer un cambio radical en (al menos) parte del modelo de negocio o este sistema de gestión no es el más adecuado para ti.

No te metas en un proyecto de ISO 20000 si no eres partidario de la estandarización de tus servicios. Si tu modelo de negocio se basa en la provisión de soluciones llave en mano, diseñadas exactamente al gusto del cliente, este sistema de gestión no te conviene. La ISO 20000 permite personalizaciones, por supuesto, pero dentro de unos parámetros acotados. Su filosofía se basa en la normalización de los servicios y en su "industrialización", de modo que el margen de actuación que permite es limitado. Si eres partidario de la prestación de servicios diseñados completamente a medida es muy probable que el modelo no te encaje.

No te metas en un proyecto de ISO 20000 si tu modelo de negocio se centra en el consumo de los servicios prestados. La ISO 20000 se centra en la calidad de los servicios TI prestados, no en la cantidad de servicios consumidos (independientemente de que dicho consumo se mida por ancho de banda, tiempo de procesador o de dedicación de recursos humanos). La ISO 20000 se centra en fijar y garantizar el cumplimiento de unos niveles de servicio determinados, acordados con el cliente en un SLA (Service Level Agreement), de modo que la cantidad de servicio consumido pasa a un segundo término. Está claro que ese es un parámetro clave para el servicio prestado, y por eso existe un proceso específico encargado de gestionar la capacidad del servicio, pero si tu preocupación principal es el consumo del servicio probablemente la ISO 20000 no sea una referencia apropiada para ti.

No te metas en un proyecto de ISO 20000 si no eres partidario de la transparencia hacia el cliente. Si no eres partidario de ofrecer información detallada al cliente acerca del nivel de servicio que realmente le estás prestando, de los problemas internos que haya podido tener el servicio o del consumo del servicio que realmente está realizando el cliente, posiblemente este sistema de gestión no sea el modelo apropiado para ti. La ISO 20000 tiene un proceso específico de gestión de informes del servicio cuyo objetivo es, en definitiva, ser más transparente de cara al cliente, y puede que proporcionar tanta información no encaje con la filosofía de negocio de la organización, por múltiples motivos. Por tanto, si no estás dispuesto a "enseñar tus vergüenzas" al cliente, este modelo probablemente no te encaje.

Podría extenderme más en otro tipo de consejos más asociados a la implantación de un sistema de gestión genérico tipo ISO (disposición a dedicar recursos extra a nuevas actividades, disposición a ser auditado, disposición a mantener un programa de formación específico, etc.), pero creo que estos puntos pueden resumir las principales consideraciones de negocio que nos hemos encontrado en este tipo de proyectos. De todas formas, seguro que cualquiera que conozca suficientemente el modelo es capaz de ampliar esa lista a la hora de pensar en su propia organización...

Y no quería terminar el post de hoy sin hacer una reflexión final:

Si no tienes miedo a remover los cimientos de tu organización, si vendes servicios TI, si quieres estandarizar internamente esos servicios, si tu principal preocupación es su calidad, si eres partidario de la transparencia con el cliente... No tengas ninguna duda: la ISO 20000 es tu modelo a seguir. ¿a qué esperas para empezar?

Cuantos errores de seguridad cometes?

2009-11-24T14:56:00.002+01:00

Es muy habitual que, hablando de seguridad, la gente trate de encontrar un método sencillo para saber, de forma rápida y medianamente fiable, cuánta es la seguridad de su organización. A poder ser, de forma autónoma y obteniendo un resultado cuantitativo. Por eso, cuando el otro día leí en ComputerWorld un artículo en el que hablaban de Los diez errores más comunes de los administradores de redes, me resultó muy sencillo hacer una propuesta de auto-evaluación rápida. ¿Cuántos de estos errores evita tu organización de manera sistemática (sin que evitarlos dependa de la iniciativa personal de un administrador de redes preocupado por la seguridad)? El número de errores evitados sería, directamente, la "nota" en seguridad. ¿Cuántos de estos errores se evitan en tu organización?:

No cambiar las claves por defecto de los equipos (servidores, routers, switches, etc.).
Compartir una misma contraseña en múltiples dispositivos
No buscar vulnerabilidades de inyección SQL en las aplicaciones web
No definir listas de control de accesos en los dispositivos de red
Permitir accesos remotos y software de administración inseguros
No probar las aplicaciones no críticas frente a vulnerabilidades básicas
No proteger apropiadamente los servidores frente al malware
No configurar los routers para prohibir tráfico saliente no deseado
No saber dónde se almacenan los datos críticos de la organización (todas sus ubicaciones, considerando todas las copias existentes de los mismos)
No seguir estándares de seguridad básicos (en el artículo se habla de PCI DSS, pero me vale cualquier estándar de mínimos de seguridad).

¿Cuál es tu nota? ¿Apruebas en seguridad? ¿Echas en falta alguna medida de seguridad básica de red? Si quieres hablar de ello, los comentarios están a tu disposición.

Si no cumples con tu perfil

2009-11-23T14:55:00.002+01:00

Es cierto, las redes sociales cada vez están más de moda. Es más, yo creo que es el momento de dejar de pensar que son una moda y empezar a pensar en que, sencillamente, nuestras vidas se están "digitalizando". Es un proceso lento, muy irregular y muy poco homogéneo, pero creo que es un proceso imparable. Poco a poco, todos tendremos que ir aprendiendo a convivir con nuestras "dos vidas", la física (la de toda la vida, o la real, como dirían algunos) y la digital, virtual o como quiera que se acabe llamando la vida que "vive" nuestra identidad digital, que queramos o no también es parte de nosotros.

¿Cuál es el problema de llevar esta "doble vida" (real y virtual)? Sencillamente, que esa duplicidad es una falacia. En realidad esa doble vida no existe, son sólo dos visiones de una vida única, la nuestra. Dos visiones distintas, desde perfiles diferentes, pero de una única realidad.

El problema de la "doble vida" no es nuevo. De hecho, es tan antiguo como la sociedad en la que vivimos. Todos tenemos distintos perfiles en la vida real: el profesional, el personal, el familiar... Perfiles distintos, en los que tratamos de potenciar distintas características, pero que normalmente siempre tratamos de que sean coherentes entre sí. Al fin y al cabo, no es tan difícil que los distintos perfiles acaben mezclándose, y si algo tenemos claro es que detrás de cada perfil siempre está uno mismo.

El problema con nuestros perfiles digitales es que a veces nos olvidamos de que nos siguen representando a nosotros. Y de que son perfiles mucho más ubicuos, persistentes y permeables, con muchas más posibilidades de mezclarse y expandirse. Y claro, si no son coherentes entre sí y con los de la "vida real", podemos tener un problema...

Ese problema de falta de coherencia entre perfiles es el que ha tenido la protagonista de la noticia que acabo de leer, acerca de una chica que ha perdido la pensión por depresión por estar alegre y de fiesta con sus amigas. Parece que su perfil "profesional real" (de baja por depresión) no era coherente con su perfil "personal virtual" (fotos en facebook de fiesta con las amigas), y debido a esa incoherencia la empresa aseguradora ha decidido suspender la remuneración que tenía asignada.

No voy a entrar en la pertinencia o no del hecho, y menos voy a analizar la legalidad o no de la decisión, sobre todo desde el punto de vista de las leyes españolas. Prefiero quedarme sólo con el fondo del asunto: ¿estamos preparados para gestionar adecuadamente nuestros perfiles digitales? ¿Hasta qué punto puede ser "la seguridad" la herramienta para llevar a cabo esta gestión? Y lo que es más importante: ¿Existen los medios para hacerlo? ¿O estamos intentando ponerle puertas al campo? Si alguien quiere hacer comentarios al respecto, ya sabe que aquí puede hacerlo.

Publicada ISO/IEC TR 20000-3:2009

2009-11-19T15:04:00.002+01:00

Lo sé, hace más de un mes que no publico ningún post. La verdad es que últimamente ando envuelto en una vorágine profesional bastante agotadora... Aunque ya se empieza a ver la luz al final del tunel.

Hoy sencillamente quiero destacar la publicación hace un mes del estándar ISO/IEC TR 20000-3:2009, la tercera parte de la cada vez más conocida ISO 20000. Esta parte, cuyo título oficial es Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1, es un "informe técnico" en el que se dan pautas sobre cómo se puede definir el alcance de un SGSTI (Sistema de Gestión de Servicios TI) en línea con las exigencias de la ISO 20000. Habla de la aplicabilidad de la ISO 20000 y de los principios generales para la definición de alcances, y sobre todo proporciona distintos ejemplos y escenarios para la definición de alcances válidos.

Para terminar, y en línea con este tema, para todo aquél que quiera profundizar en la definición de alcances para un SGSTI según ISO 20000 también puede consultar el documento "itSMF ISO/IEC 20000 Certification Scheme - Scoping Guidelines", que aunque date de 2006 sigue siendo perfectamente válido, y tiene la ventaja de que está redactado en un tono mucho más divulgativo que el documento anterior.

Peligros en la nube

2009-10-19T14:49:00.003+02:00

La verdad es que hoy no estoy demasiado inspirado. Me cuesta escribir, no consigo que me salga algo fluido y medianamente motivador, al menos como para que alguien quiera seguir leyendo hasta el final del post... Sin embargo, me he decidido a escribir algo más que nada por no dejar pasar la oportunidad de comentar muy brevemente un par de artículos que me han gustado.

El primero de ellos, en dos partes, es del que he sacado el título del post: Hack in the Box, el peligro está en la nube. Un artículo en el que su autora nos cuenta cómo el ciber-crimen se está orientando hacia la nube, a la par del incremento de popularidad de este tipo de soluciones. Era algo previsible, que no nos permite olvidarnos de una de las principales premisas en esto de la seguridad: las mayores amenazas siempre serán aquellas que siguen los devenires del negocio. O lo que es lo mismo, visto desde el lado contrario: allí donde se concentre un mayor volumen de negocio es el lugar óptimo para centrar los ataques intencionados. Obvio, pero no está de más recordarlo de vez en cuando, no sea que las típicas discusiones Windows Vs Linux vayan a transformarse, en su versión 2.0, en una discusión Nube Vs Local, y acabemos cayendo en los mismos fundamentalismos...

El segundo, sobre el que no he investigado demasiado pero que me parece muy interesante por su aproximación innovadora, es la idea de luchar contra las ciber-amenazas mediante el uso de hormigas digitales. La verdad es que no me queda muy claro si eso de crear tipos concretos de hormigas para luchar contra amenazas específicas puede ser una solución apropiada (me recuerda a la filosofía de los antivirus del uso de firmas, aunque es una interpretación totalmente personal), pero el simple hecho de buscar soluciones alternativas a un problema que actualmente no está siendo apropiadamente resuelto me parece una idea estupenda, más allá del éxito real que vaya a tener la solución concreta. Y yendo un poco más allá... ¿Habría más modelos de la naturaleza susceptibles de ser aplicados para solucionar el problema del malware? Al fin y al cabo, los animales llevan millones de años estableciendo mecanismos de lucha contra sus propios virus, bacterias y demás "malware"... ¿Serán estas hormigas los glóbulos blancos electrónicos que estamos buscando? El futuro lo dirá.

Integrando Sistemas de Gestión

2009-10-15T14:52:00.004+02:00

En este blog he hablado muchas veces de los requisitos comunes a cualquier sistema de gestión "tipo ISO", y de las ventajas que puede tener la integración de todos ellos. Sin embargo, últimamente me he encontrado con algunos casos que, usando la integración como slogan, lo único que pretendían era aprovechar la existencia de un sistema de gestión (normalmente de calidad, ISO 9001) para reutilizar algunos de sus elementos en el nuevo sistema de gestión que estaban montando, ya sea de gestión medioambiental (ISO 14001), de seguridad de la información (ISO 27001) o cualquier otro. No es que me parezca mal (de hecho, me parece algo lógico y recomendable, dado que sirve para optimizar recursos), pero con lo que no estoy en absoluto de acuerdo es con que a éso se le llame Sistema de Gestión Integrado. Y como no me ha gustado que en un blog me hayan eliminado un comentario esbozando este planteamiento (aunque lo entiendo, ya que es un blog corporativo, y puede ser comprensible que la organización no quiera que aparezcan posturas críticas en una herramienta de marketing), he decidido presentarlo aquí.

Como decía, existen ciertas prácticas que pueden ser recomendables a la hora de solapar o superponer (creo que cualquiera de estos dos términos sería más apropiado) sistemas de gestión. Es conveniente reutilizar las prácticas de gestión desarrolladas, lo que a nivel tangible se convierte en reutilizar la documentación, usando, por ejemplo, los mismos procedimientos de gestión documental y/o de registros o los mismos procedimientos de auditoría. No obstante, no hay que olvidar la especificidad de cada sistema de gestión, y por tanto habrá que ampliar el ámbito de actuación de dichas prácticas a los diversos entornos, de la forma que corresponda en cada caso. Eso nos puede llevar, entre otras cosas, a fusionar en un único documento textos equivalentes en distintos sistemas de gestión, consiguiendo, por poner un ejemplo, un documento único que recoja la política de calidad y seguridad de la información. Del mismo modo podremos acabar teniendo documentos únicos para ambos sistemas de gestión en los que se hable de responsabilidades de la dirección, mejora continua, gestión de no conformidades, ... Si pensamos en el apartado de roles y responsabilidades, algo que también suele ser habitual a la hora de solapar sistemas de gestión es intentar aprovechar las estructuras de gestión existentes (Responsable, Comité, etc.) para el nuevo sistema de gestión. Aunque claro, aquí puede no ser tan sencilla la reutilización, dado que en cada caso se requieren una capacitación y conocimientos específicos y diferenciados, y saber gestionar, por ejemplo, la calidad, no implica saber hacerlo con el medioambiente o la seguridad de la información.

Llegados a este punto es cuando hay que ver qué hemos conseguido al solapar distintos sistemas de gestión: tener una manera común de gestionar cosas distintas. Y ese creo que es precisamente el problema. Si buscamos el término integrar en el diccionario, vemos que hace referencia a la constitución de un todo, de algo global que sintetice las partes. Por lo tanto, creo que no basta con "integrar" la sistemática de gestión (que en realidad ya era la misma), sino que la clave para conseguir un sistema de gestión integrado es ser capaz de integrar aquello que se gestiona, es decir, poder gestionar de manera integrada la calidad, la seguridad o lo que corresponda en cada caso.

Para mí el primer requisito (necesario, pero no suficiente) de un Sistema de Gestión Integrado es, sin duda, que el alcance de ambos sea coincidente. Es más, no creo que se pueda hablar de que cosas distintas puedan estar integradas si su ámbito de aplicación no coincide. A partir de ahí, creo que para hablar de integración de verdad (permitidme que me centre en calidad y seguridad de la información, que es lo que mejor domino) tenemos que ser capaces de considerar de forma simultánea la calidad y la seguridad, y poder entender la una como parte de la otra (y viceversa). No creo que se pueda hablar de integración entre ambos sistemas de gestión si no consideramos la seguridad de la información en en nuestros procesos productivos, si la seguridad no es un factor intrínseco en la selección de proveedores, o si en nuestros análisis de riesgos no consideramos factores de riesgo relacionados con la calidad. En definitiva, creo que para hablar de un Sistema de Gestión Integrado tenemos que centarnos fundamentalmente en integrar aquello que se gestiona (que es lo difícil, obviamente). Y creo que esto es mucho más importante que tratar de que el responsable de calidad y el de seguridad sean la misma persona, ya que incluso se podría hablar de sistemas de gestión integrados en el caso de que sean distintos responsables.

En definitiva, creo que a veces las organizaciones pierden un poco el norte con tanto sistema de gestión normalizado, y se olvidan de que las empresas lo que deberían tener es un único sistema de gestión, el de la organización, independientemente de que el sistema cumpla o no los requisitos de más o menos sistemas de gestión normalizados, o de que ese cumplimiento esté o no certificado por alguien. La preocupación de cualquier organización debe ser el negocio, y negocio no sólo es calidad, o seguridad, sino la suma de todo ello y de mucho más. Así que estaría bien pensar un poco más en tener un sistema de gestión del negocio, que integre la gestión de todos los elementos que lo componen, y no preocuparnos tanto por modas o certificaciones que, si hacemos las cosas bien, se acaban integrando "solas"...

Continuidad de Negocio en la practica

2009-10-13T14:49:00.003+02:00

Aunque debo reconocer que últimamente mi agenda está más apretada de lo que a mí me gustaría, también es cierto que a veces esa agenda me da la oportunidad de participar en foros muy interesantes y hablar con verdaderos profesionales de nuestro sector.

La semana pasada tuve la suerte de participar en un foro sobre Continuidad de Negocio en la Universidad de Deusto, donde algunos tratamos de exponer nuestras experiencias y puntos de vista sobre la continuidad de negocio desde un punto de vista práctico. No voy a hacer un resumen de las ponencias que allí se presentaron, pero sí destacar algunos comentarios que allí se hicieron, y que creo que puede ser interesante recordar:

Negocio, Negocio, y Negocio: esa es la palabra clave de la continuidad. Lo siento por los tecnófilos, pero la tecnología es un medio, no un fin (aunque a veces sea un medio importantísimo).
En un análisis de riesgos de continuidad, el impacto es más importante que la probabilidad, y por tanto su escala debería ser ponderada al alza (es decir, impacto alto y probabilidad baja supone mayor riesgo que probabilidad alta e impacto bajo).
La clave de la continuidad de negocio es la eficacia, pero es desde la eficiencia desde donde conseguiremos "vender" los planes de continuidad e incluso encontrar el ROI.
Si una organización es lo suficientemente madura no hace falta "vender" la continuidad, la propia dirección de la organización será quien se preocupe de que el negocio continúe y de sacar partido a los foros de continuidad desarrollados.
Los incidentes son las pruebas de continuidad más perfectas que podemos encontrarnos: no perdamos la oportunidad de aprender de ellos.
La comunicación es un factor clave en la gestión de la crisis, si no controlamos la imagen transmitida todos nuestros esfuerzos pueden verse abocados al fracaso.

Estos son sólo algunos de los mensajes que me vienen a la memoria. De todas formas, seguro que tanto los que estuvisteis allí como los que no tuvisteis la oportunidad tenéis otros mensajes igual de importantes que añadir a la lista. ¿Estáis dispuestos a compartirlos? Espero vuestros comentarios.

Matices de ISO 20000

2009-09-29T14:48:00.003+02:00

En el último post prometía explicar la fórmula que sirve para entender la ISO 20000, o al menos aclarar los importantes matices que tiene. La fórmula en cuestión es la siguiente:

ISO 20000 = ISO 9001 + ITIL + Desarrollo de los servicios

La primera parte, comentada en el citado artículo, es ver las analogías entre la ISO 20000 y la ISO 9001. El elemento común es, como ya se ha comentado en este blog en más de una ocasión, el núcleo del sistema de gestión: la filosofía PDCA que subyace en ambas y los requisitos mínimos que se plantean en torno a dicha filosofía para montar un sistema de gestión certificable (responsabilidades de la dirección, gestión documental, formación, revisión por la dirección, auditoría, mejora contínua, etc.). A partir de ahí las diferencias radican en el espíritu de cada norma: mientras que la ISO 9001 fue concebida pensando en la gestión de la calidad de los productos, y generalizando dichas ideas para ser aplicables a servicios de manera genérica, la ISO 20000 fue concebida específicamente para la gestión de la calidad de los servicios TI. Es por éso que el planteamiento de la primera es mucho más lineal, más "clásico". No obstante, hay un punto en el que ambas se solapan, y es en lo referente a la gestión aplicada a los interfaces externos de la organización (clientes por un lado y proveedores por otro), mientras que en los apartados más referidos al ámbito "productivo" es donde más difieren. También tienen otros aspectos en común, como la orientación a procesos, pero como vamos a ver en el siguiente párrafo es un apartado en el que la ISO 20000 está mucho más trabajada.

El segundo elemento de la ecuación son los procesos. La ISO 20000 plantea 13 procesos divididos en 5 grupos de procesos, que nosotros podríamos "reagrupar" en 3: procesos de provisión del servicio, procesos de relación y procesos de soporte al servicio (agrupando los de resolución, control y entrega). De este modo es fácil identificar la analogía con ITIL v2, ya que en gran medida la definición de procesos en ambos casos es solapable. No obstante, hay ciertas diferencias: ISO 20000 introduce la gestión de la seguridad dentro de los procesos de provisión (en ITILv2 es independiente), agrupa la gestión de la continuidad y la disponibilidad (en ITILv2 son procesos separados) e introduce como proceso la gestión de informes (en ITIL no existe), dando un mayor peso específico a la monitorización y reporte de información. Con algunos otros matices de menor importancia, podemos decir que en el resto de los aspectos ambas referencias son solapables, si obviamos el hecho de que la ISO 20000 habla de requisitos mínimos e ITIL de "referencias máximas".

Las diferencias más profundas entre ISO 20000 e ITIL vienen provocadas, principalmente, por su fecha de publicación. Mientras que ITIL v2 data de 2001, ISO 20000 fue publicada en 2005, e ITIL v3 lo fue en 2007. Esto hace que dicha evolución se pueda ver como un modelo incremental en el que se van incorporando evoluciones conceptuales, cuyo mayor exponente es el ciclo de vida del servicio. Mientras que ITIL v2 es un modelo "estático" ISO 20000 esboza dicho concepto en su apartado 5, mientras que ITIL v3 lo desarrolla completamente en su nuevo modelo de procesos.

Efectivamente, el tercero de los elementos que incorpora ISO 20000 es el desarrollo de los servicios, o más específicamente la planificación e implementación de los servicios. En realidad no es un concepto nuevo, dado que ya venía recogido en el olvidado libro de ITIL v2 Planing to implement service management. No obstante, ISO 20000 tiene el mérito de recuperar su esencia, muy en línea con conceptos tan de moda actualmente como el de Gobierno TI, e introducirlo como elemento imprescindible de un Sistema de Gestión de Servicios TI. Es en realidad uno de los aspectos más importantes de la ISO 20000, y el elemento diferencial para las organizaciones que, pese a haber adoptado un "modelo ITIL" para sus procesos, sienten que les falta alguna pieza... Y por último, también es un guiño para todos aquellos entusiastas de la ISO 9001 que, pese a todo, se hayan quedado con la sensación de que hay partes de esa norma que no quedan suficientemente cubiertas por la ISO 20000.

Cuidado con confundir ISO 9001 e ISO 20000

2009-09-21T14:54:00.004+02:00

Es cierto que cada vez se oye hablar más de ISO 20000, que poco a poco se está popularizando como un estándar reconocido para la gestión de la calidad de los servicios TI. Pero eso no quiere decir, en ningún caso, que la ISO 20000 sea una ISO 9001 para empresas TIC, como parece que algunos intentan que pensemos. Es como comparar un utilitario con un camión frigorífico: tienen cosas en común, y la filosofía de este último parte del primero, pero si queremos profesionalizar el transporte de alimentos perecederos a grandes distancias no nos sirve con un simple utilitario de propósito general... Así que es muy importante que, a la hora de leer los titulares de algunos reportajes sobre ambas normas, tengamos conocimiento suficiente como para poder ponerlos en perspectiva y no llevarnos impresiones equivocadas.

Simplificando mucho y sin entrar en (importantes) matizaciones, podríamos llegar a decir lo siguiente:

ISO 20000 = ISO 9001 + ITIL (v2) + Desarrollo de los servicios

Por tanto, es fácil ver cómo, con sólo una ISO 9001, no es suficiente, por mucho que la empresa sea del sector TIC... Nos faltan 2 de las 3 partes de la ecuación: los procesos de gestión de servicios TI que define ITILv2 y las actividades de planificación e implementación de los servicios que define de manera autónoma la propia ISO 20000. Obviamente hay elementos comunes entre ambas normas, y si tenemos una ISO 9001 la transición a la ISO 20000 será más sencilla, ya que el núcleo del sistema de gestión será el mismo, pero esto no quiere decir que sean intercambiables... y si no que se lo pregunten al cliente que recibe los alimentos perecederos transportados en automóvil.

Quizás otro día dedique un post a explicar las matizaciones de la fórmula de más arriba, pero creo que, por hoy, con esto es suficiente. El mensaje ha quedado claro, verdad? Así que tened cuidado, y no os dejéis engañar...

Datos personales al descubierto?

2009-09-17T14:51:00.003+02:00

El pasado lunes bajaba del avión leyendo un artículo interesante, en prensa generalista, hablando de que la descoordinación de las empresas al ocultar los números de cuenta bancaria del cliente en sus facturas permite averiguarla fácilmente, con sólo combinar las de varias empresas que oculten números complementarios.

Aunque el trashing no sea una técnica tan habitual por estas latitudes como lo es en las películas (supongo que algo tendrá que ver que tampoco las viviendas unifamiliares con cubo de basura propio lo sean), la verdad es que es muy sencillo recabar información "sensible" en los cubos de reciclaje de papel. Y no pensemos que es algo propio de películas de hollywood, porque hasta tenemos (¿leyendas urbanas?) noticias que hablan del uso oficial de esa técnica en algunos países para multar a quien tira la basura fuera del horario establecido...

De todos modos, y volviendo al artículo en cuestión, el problema de fondo radica en saber si el número de cuenta, más allá de estar parcialmente anonimizado, es pertinente en las facturas. El artículo afirma que parece excesivo, pero esa afirmación desde mi punto de vista no está tan clara. Al fin y al cabo, puede considerarse pertinente que la empresa indique el número de cuenta sobre el que se ha realizado o va a realizar el cargo que está siendo comunicado, o al menos proporcione una cantidad de dígitos suficiente como para que se pueda identificar dicha cuenta. La finalidad asociada al fichero no la podemos obviar...

En el fondo, el problema está en la consideración de dato "sensible" que hace la LOPD y la que hace cualquier persona. Porque claro, el número de cuenta no revela prácticamente nada sobre la intimidad del afectado, pero sin embargo muchas personas pensarán que ese dato debería ser más privado que otros como la filiación sindical, por ejemplo... Y es que, como se suele decir, con el dinero no se juega. Pero sin embargo para la LOPD a este dato sólo es necesario aplicarle las medidas de seguridad de nivel bajo, lo mismo que haríamos con el nombre, los apellidos o la dirección de la persona. Así que me temo que legalmente no hay mucho que decir...

Después de todo lo dicho, y para que los defensores acérrimos de la privacidad no se ofendan, también es necesario recordar que cualquier ley tiene carácter de mínimos exigibles, y que a partir de ella la responsabilidad social de cualquier empresa es la encargada de poner en práctica cualquier tipo de norma o forma de actuar que considere que va a ser beneficiosa para sus clientes. Por tanto, no estaría de más apelar a esa RSC que en algunos sectores está tan de moda para abogar por una mayor cohesión entre las prácticas de ofuscación de datos personales de este tipo de organizaciones, con el objeto de que sea realmente cierto, y no sólo aparente, el beneficio social que este tipo de actuaciones quieren conseguir.

Avances en el Esquema Nacional de Seguridad

2009-09-11T15:17:00.002+02:00

Lento pero seguro. Así suele ser el avance de los temas legislativos, más allá de las peleas políticas que les afectan. Es cierto que hace mucho tiempo que no hablaba del tema, pero en los últimos 2 años el Esquema Nacional de Seguridad ha seguido su avance, poco a poco. Hasta el punto de que, en la página referenciada, ya tenemos una primera propuesta para el Esquema Nacional de Seguridad. ¿Qué os parece? ¿Cuáles son vuestras primeras sensaciones al leerlo? Espero vuestros comentarios.

Amenazas, lo que viene (III): Amenazas del futuro

2009-09-11T14:55:00.006+02:00

Esta es la tercera y última parte del artículo de Jose Miguel Sobrón "¿Está el mundo preparado para la nueva clase de amenazas que llegan?". Tras haber analizado los límites de la habitual gestión de riesgos y haberlos contrastado con el amplio universo de las amenazas, en esta tercera parte el autor introduce la variable tiempo para recordarnos que la labor de la gestión de riesgos no sólo debe tener en cuenta el presenta, sino mirar al futuro e intentar anticiparse a lo que, por propia definición, no es previsible.

Nos hace falta un concepto más, que regula imperativamente el desarrollo de cualquier teoría, al menos hoy. Este factor que define la componente tridimensional del estudio de las amenazas, es el tiempo: la escala de tiempo como conocida hasta ahora (no entraré en dimensiones superiores para evitar perdernos sin haber siquiera comenzado, pero hay sin duda otras dimensiones intervinientes). El tiempo hace que valores determinados permuten sus sectores de pertenencia. Es importante recordar que toda amenaza “nueva” acaba integrándose en la colección de amenazas convencionales, es solo una cuestión de tiempo. Y también es importante recordar que no siempre lo desconocido se podía haber previsto solo por conocer su existencia.
El tiempo hace que nuestro universo de amenazas se amplíe como si de un cono se tratara, no solamente lo probable y conocido aumenta, cada vez que lo hace aumenta en la misma proporción el resto de sectores. Efectivamente la dimensión de aumento no es lineal, no se trata de un cono perfecto sino de una aproximación teórica para intentar aproximarnos a la comprensión del fenómeno.

Todo aquello que simplemente todavía no existe o no ha sucedido es futuro tal y como lo conocemos ahora. Eso significa que los cuatro sectores que hemos definido anteriormente adquieren una dimensión mucho mayor con el paso del tiempo. El crecimiento en la línea temporal aumenta exponencialmente ya que hoy somos incapaces de regular o controlar el devenir de los acontecimientos en la línea del tiempo, no se puede parar. Probablemente llegara el día en el que sí que sea más factible andar por esa línea de tiempo, pero no lo hemos podido demostrar aún en el terreno de lo práctico. Por mucho que nos empeñemos la función que define la relación entre el paso del tiempo y el crecimiento de cada sector nos es desconocida, no sabemos de su magnitud. Si algún día llegamos a ser capaces de demostrar que efectivamente hay funciones que definen estas áreas de conocimiento, seguramente no serán funciones simples, pero eso esta todavía por ver.
Es importante no olvidar que lo que presento es un constructo teórico, se trata simplemente de un modelo visual que nos ayuda a comprender el concepto, es decir la realidad no tiene porque ser de esta manera y evidentemente puede ser absolutamente asimétrica (palabra mágica que define áreas de reducido / limitado conocimiento). En este punto defino la asimetría como matemáticamente se hace asimetría: que no es exactamente igual en dos partes presupuestas idénticas. No soy capaz de definir el nivel cuantificado de asimetría, eso está todavía lejos de mi capacidad de análisis y predicción. Lo importante de esta asimetría no es la cantidad sino la capacidad que nos da de dejar el espacio entreabierto a nuevas opciones, ese es el verdadero valor de la asimetría, nos permite asumir otros constructos sin tener que permanentemente asumir errores en la verificación de nuestras hipótesis. Básicamente es una pequeña trampa para ganar tiempo.
Hasta ahora nada nuevo bajo la capa celeste. Bueno lo nuevo es que somos capaces de no aturullarnos entre tanto concepto y que hemos intentado simplificar o limitar la presentación de las amenazas de una forma un poco mas visual. ¿Cual es la motivación para organizar las amenazas de esta manera?, primero comprenderlas mejor aunque las desconozcamos inicialmente y segundo ser capaces de preparar una reacción más normalizada con un plan mucho mas abierto a impensables y que no se deje intimidar por la situación.
Después de haber definido someramente cuales sin las diferencias básicas entre las amenazas actuales- recordar que se trata exclusivamente de un modelo de comprensión- el siguiente par de pasos pueden ser como siguen: Catalogar cada sector (y merece la pena el esfuerzo compilatorio) y desarrollar las técnicas básicas que nos conduzcan a una mejor solución de los problemas que se nos plantean. Verdaderamente necesitaremos un grupo de expertos que sean capaces de destripar en detalle cada sector. Las tareas compilatorias son de por si aburridas y tediosas, salvo que el equipo sea lo suficientemente polifacético como para poder combinar diferentes puntos de vista.
Nueva York, Enero de 2009

Amenazas, lo que viene (II): El universo de las amenazas

2009-09-08T14:59:00.005+02:00

En este post voy a publicar la segunda parte del artículo de Jose Miguel Sobrón titulado "¿Está el mundo preparado para la nueva clase de amenazas que llegan?". Me he permitido la licencia de adaptar los títulos con el fin de que cuadren con las divisiones que he hecho. Espero que sirvan de ayuda...

Vamos a explorar el universo real de una forma sencilla. Definamos solo dos dimensiones básicas: Conocido / Desconocido y Probable / Improbable.

Esto automáticamente define cuatro sectores como refleja la figura. Este es el primer momento de acercamiento al problema ya que de todas las posibles opciones vamos a identificar aquellas que son previsibles. Este será el concepto nexo fundamental que siempre marca nuestra tarea, la capacidad de predecir acontecimientos. A posteriori veremos que lo fundamental no es sólo predecir sino combinar la capacidad de predicción con la capacidad de reacción. Analicemos pues sobre estas dos dimensiones las posibilidades de predecir (con éxito claro está).
Sector 1: Probable y conocido. Este es nuestro mayor campo de actuación y el que definimos tradicionalmente como “convencional”. No entrare en este momento en el análisis detallado de este sector sino en una mera explicación de las características del mismo para evitar perdernos en el detalle. Incluso siendo el sector más ampliamente conocido de los que vamos a definir, no es ni mucho menos conocido al 100%. Tenemos una idea bastante detallada de su funcionamiento y la mayor parte de sus amenazas se podrían describir como lineales sin cambios de dirección significativos por lo general, hasta 1991, después todo se ha complicado bastante. A partir definitivamente de la caída del muro de Berlín se inicia una serie de procesos cuya tendencia inmediatamente posterior es simplemente incalculable que no impredecible. Desconocemos su dirección y magnitud porque desconocemos lo que podrá controlarlo, la capacidad de reacción. Lo que más nos sorprende de estos fenómenos es su carácter vectorial, su cambio de dirección una vez iniciados por salirse precisamente del área de expectativas previstas no porque nos sean desconocidos sino por la trayectoria inusual o sorprendente.

Sector 2: Improbable y conocido. Este es el área en la que los fenómenos que se suceden, por la falta de costumbre, nos sorprenden. No hay una ausencia de casos reales simplemente no les habíamos prestado atención o era irrelevantes para nuestro análisis Los conocemos pero hemos llevado a cabo lo que podríamos denominar una análisis de economía de medios y hemos decidido aparcarlos en al área de puede que pero no creo o si yo lo creo no tengo la suficiente base para explicar mi intuición. Es aquí donde empieza a tomar forma la teoría del shock. Ya entraremos en detalle mas tarde en que consiste esa teoría o teorías Aquí podemos encapsular todo aquello que los clásicos denominan Ciencia ficción: Todo aquello que es imaginable por nosotros (por ende es posible, conocido e improbable) pero que nuestro sentido común o experiencia (raya que define hasta donde puedo llegar defendiendo una opción sin caer en el descrédito social de la comunidad) nos definen como improbable. No siempre son realmente improbables sino inaceptables dentro de los niveles de aceptación general por lo que es más sencillo definirlos así. Aquí somos nosotros mismos quienes decidimos limitar nuestra capacidad de predicción por razones prácticas o simplemente sociales.

Sector 3: Probable y desconocido. Esta opción demuestra claramente que la capacidad de predicción del ser humano es bastante limitada. No tenemos el control sobre la capacidad de imaginar o no, simplemente no lo podemos conocer. Esto no es realmente cierto en realidad. Seria mejor decir que la mayor parte de nosotros es incapaz de verlo o siquiera imaginarlo. Sí que hay individuos que han traspasado ese nivel y que son realmente capaces de tener una idea aproximada del concepto. Aquí entra la osadía del individuo en juego para ser capaz de romper la barrera del conocimiento actual y ponerlo a disposición del resto, es lo que se viene conociendo comunmente como “descubrimientos”. Es en este sector donde encontramos los visionarios o privilegiados que son capaces de ir mas allá del resto de todos nosotros para presentarnos sus teorías. Para evitar malentendidos, sirva este ejemplo para marcar la diferencia entre los visionarios innovadores (presenta un trocito del área desconocida a los demás) y los literatos de lo improbable (los que hablan de áreas ya conocidas pero generalmente descartadas por la experiencia o no probadas como válidas). Ambos tienen un mérito incalculable, pero evidentemente diferente en su concepción. No pretendo en absoluto compararlos simplemente definir su área de actuación.

Sector 4: Desconocido e Improbable. Todo aquello que pasa al lado de nuestra existencia sin siquiera percibirlo y que además la probabilidad de que suceda a pesar de nuestro desconocimiento es mínima. Este es nuestro mayor agujero en materia de seguridad porque sin lugar a duda será el que provoque estupefacción en los que tengan que reaccionar a la amenaza y se trata de minimizar el tiempo de shock, no seremos capaces de eliminarlo pero si de reducirlo. A diario millones de pequeñas cosas nos sorprenden, pero dado que tenemos una capacidad limitada de procesamiento, nuestro cerebro, consciente e inconscientemente la mayor parte del tiempo, se encarga de aparcarlos para poder ser capaz de mantenernos concentrados en tareas bastante mas básicas de supervivencia, como por ejemplo ser capaces de llegar a tiempo al trabajo sin detenerme en cada sorpresa que me encuentro, pragmático ¿no?.
Hasta aquí lo que el Secretario de Estado Robert Gates define estupendamente con sencillas palabras. Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé. Impactante y sencilla visión, e impactante el coraje de decirlo a pesar de que no es tan obvio como parece.

Amenazas, lo que viene (I): ¿Donde están los limites?

2009-09-07T15:22:00.006+02:00

A diferencia de otras ocasiones, hoy no voy a publicar un post de mi autoría, sino un artículo escrito por Jose Miguel Sobrón, un experto en seguridad, gestión de crisis y continuidad de negocio que trabaja en una organización internacional en apoyo a la gestión de crisis. Como es un poco extenso, lo publicaré en varias partes. Espero que os guste.

Hace ya unos cuantos años que muchos especialistas se enfrentan al reto de actualizar el inagotable arsenal de “nuevos” riesgos a los que nos enfrentamos. Tarea harto difícil por no decir imposible en un momento de cambio como este. La realidad mundial dista bastante de parar de crecer cuando ni menos estabilizarse.
La pregunta del analista y a veces del directivo o gestor es: ¿Cómo se puede hacer frente a algo que sencillamente desconocemos? Es difícil Y lo es básicamente porque esta cambiando el set de reglas básicas. Hace ya un tiempo que para marcar esta diferencia se han acuñado términos como convencional y no convencional. Estas definiciones a veces son más confusas que clarificadoras y es porque claro, al cabo de pocos meses lo que llamábamos no convencional se ha transformado en algo convencional debido a que se ha integrado perfectamente en nuestra respuesta cotidiana.
El quid de la teoría es reconocer que la seguridad está evolucionando a una velocidad que es difícil de ser asimilada por el común de los mortales que nos vemos sobrepasados por tanto cambio conceptual y variada denominación. La realidad cambiante (jamás encontré un termino tan exacto para una situación como la seguridad actual) hace tambalear la mayor parte de todas las teorías concebidas en los últimos decenios. En realidad solo unas pocas son capaces de sobrevivir por lo evidentemente adelantadas a la realidad diaria. Sucede, que algunos de los que han conseguido interpretar de alguna manera esas lecturas han descubierto a la vez que es más rentable entrar en la nomina de los aspirantes a Nostradamus que en la de los simples teóricos de la seguridad. En un mundo tan atado a reglas y procedimientos es fácil caer en la tentación de buscar alternativas a una falta de atención escandalosa sobre las nuevas amenazas que nos rodean y que sin duda van a formar parte de las próximas complicaciones. Es, sin lugar a dudas más simple llamar la atención del editor si lo que cuento entra de lado en la conexión con lo paranormal o suena a ciencia ficción imposible, que si se basa exclusivamente en una interpretación concienzuda y a la vez artística del arte de la guerra, eso desgraciadamente no vende. Reconoceré que siempre llamará más la atención del público en general un titular de libro que conecte la sapiencia de Nostradamus con nuestros egos voraces de saber el futuro, que uno que sencillamente mencione el trabajo de un investigador que se ha dedicado a profundizar en el análisis.
Ahí esta el reto de la mayor parte de los nuevos teóricos de la seguridad ser capaces de innovar y convencer a la vez. La seguridad no es una ciencia perfecta sino mas bien un arte y como buen artista, la vida desde el completo anonimato hasta el reconocimiento es dura y plagada de desagravios abonados de incomprensión y mediocridad. Como no soy teórico, quedo libre de la vida del artista y me limitaré simplemente a intentar explicar qué es lo que esta cambiando en materia de seguridad y defensa que deja perplejos a gran número de dirigentes y lideres en su aproximación a la comprensión del fenómeno actual.
Sucede por un lado que debemos de dejar de buscar explicaciones a lo que ya hace bastante tiempo es un hecho constatable: la seguridad de hoy no tiene nada que ver con la de hace quince años. El camino comienza por intentar seriamente ser más abiertos y dar un paso más valiente en la comprensión de esta nueva realidad. Siempre me ha hecho sonreír este concepto tan anglosajón de “thinking out of the box”. El problema es que por definición no hay “box” desde hace bastante tiempo y algunos todavía ni se han enterado, luego es ya hora de articular otro término que sirva de verdad a nuestros propósitos con más eficacia. A mi me gusta el de piensa en 360 porque básicamente no limita o el más sencillo de abre tu mente. Bueno sin más me intentaré adentrar en la definición de nuestro universo de amenazas para poder vagamente mediante una clasificación por eliminación entender donde nos encontramos.
El analista de seguridad, que normalmente es una persona absolutamente práctica, evita a toda costa perderse en el batiburrillo de lo intangible por dos razones: la primera ganará tiempo al evitar conjeturar en exceso y la segunda evitará ser despedido porque su tremendamente experimentado jefe no quiere tener que estar explicando conceptos que sabe de antemano que su Jefe Ejecutivo no va a comprender o no podrá justificar delante del Consejo Directivo. Somos pues los propios expertos los que empequeñecemos sobremanera la visión de lo que nosotros vemos porque reducimos ex profeso el abanico de lo que presentamos, por lo intangible de lo desconocido o difícil de explicar. Eso hace que la mayor parte de los neófitos acaben convenciéndose del limitado universo en el que nos movemos, lo que se conoce hasta ahora me refiero.

Empresas y gripe A

2009-09-03T15:12:00.002+02:00

Lo siento, no me he podido resistir. Hay temas sobre los que, si no escribes, parece que no estás al día... Aunque claro, si lo que escribes va contra corriente, quizás estés cometiendo un suicidio social... Bueno, me voy a arriesgar.

A estas alturas seguro que todos hemos oído hablar de la Gripe A, así que no me voy a entretener mucho con ella. No obstante, sí que me gustaría analizar sus efectos desde el punto de vista de la seguridad (de la información), porque tengo la sensación de que estamos perdiendo un poco el norte con este tema.

Vayamos por partes. En primer lugar, ¿qué efectos puede tener la gripe A sobre las empresas? Sencillamente, que el personal afectado no vaya a trabajar por estar sufriendo la enfermedad. Es decir, que desde el punto de vista de la seguridad la gripe A es una amenaza que puede provocar efectos sobre la disponibilidad y continuidad de las personas, y por tanto sobre los servicios que estas personas desarrollen.

El hecho de que sean los "servicios profesionales" los que se vean directamente afectados es un factor a tener en cuenta. Servicios TI puros o empresas productivas cuya cadena de producción esté completamente automatizada no se van a ver afectados de forma directa, sino sólo indirecta (por los servicios de mantenimiento que presten las personas sobre las máquinas correspondientes).

Ahora pasemos a analizar el factor de riesgo de esta amenaza. Por una parte, tendremos que analizar la probabilidad de ocurrencia de esta amenaza. En este caso estamos frente a una pandemia (sencillamente, una enfermedad infecciosa de alcance mundial, o mejor dicho, extendida por varias regiones geográficas extensas de varios continentes) de nivel 6 (la enfermedad se propaga geográficamente de persona a persona de manera exitosa, ya que aparecen brotes comunitarios en al menos 3 países de 2 regiones distintas). Por tanto, podemos decir que la probabilidad de ocurrencia aparentemente es alta. Pero... cómo de alta? Hay noticias que hablan de una tasa actual de ocurrencia de casi 54 casos por 100000 habitantes, y si vemos los datos de otros países europeos ninguno alcanza los 100. ¿Podemos considerar un 0,054% una tasa alta de ocurrencia? Si lo comparamos con el histórico de incidencia de la gripe estacional en España, vemos que el año pasado tuvimos una incidencia máxima de 200 casos semanales, y el máximo histórico alcanzado en 2005 fue de 542. Si extrapolamos este dato a uno mensual, podemos hablar de un umbral máximo histórico de ocurrencia del 2,17%. Si hacemos unas pequeñas suposiciones, como que la incidencia geográfica y temporal es homogénea, podríamos decir que la probabilidad mensual de contagio que tiene cada persona es, redondeando al alza, de un 2,2%. En realidad deberíamos considerar la probabilidad anual para poder mantener los cálculos que figuran a continuación, y aunque jamás van a llegar ni con creces a una tasa mantenida a lo largo del año, vamos a suponer que es así y que la probabilidad anual, acumulativa, es del 26,4% (como veis, estoy dejando muuuucho margen de error, y siempre estimando el caso peor).

El segundo factor para analizar el impacto de la amenaza es valorar sus efectos. En este caso, por separado para la disponibilidad y para la continuidad. Para el segundo, el fatídico, hay que considerar la tasa de mortalidad de la enfermedad, que sería lo que provocaría efectos sobre la continuidad. Para esta enfermedad a día de hoy tenemos una tasa de mortalidad del 0,018% en España, aunque algunas noticias que podemos encontrar en la red han llegado a dar una tasa mundial de 0,78%. Aparentemente no es una probabilidad alta, y tampoco parece serlo comparada con la de la gripe común, que según algunas fuentes sería hasta del triple que la primera.

Para el caso de la disponibilidad es necesario analizar el tiempo medio que una persona está de baja debido a la infección por gripe A. Según algunas fuentes, el dato de referencia varía entre los 2-4 y los 10 días, así que para nuestro cálculo tomaremos el límite superior, por si acaso. Esto supone una indisponibilidad del personal del 2,8% del tiempo anual, aproximadamente, si no consideramos periodos especiales. En términos coloquiales, una baja de semana y media.

En principio, con estos datos ya podríamos hacer una estimación del factor de riesgo. Para la disponibilidad, tendríamos que estimar que la gripe A va a provocar una baja de semana y media de duración en el 2,2% del personal cada mes. ¿Es correcta esta afirmación? Pues me temo que no. En este caso hay un factor que debemos tener muy en cuenta: la tasa de propagación del virus. La probabilidad de infección de una persona concreta sí que sería del 2,2%, pero la probabilidad de que esta persona infecte a compañeros de trabajo durante la semana y media de duración de la enfermedad depende de este dato. Y la verdad es que no he sido capaz de encontrar un dato específico al respecto, salvo que todas las fuentes hablan de una tasa mayor que la correspondiente a la gripe común y algunas afirman que llega a ser del triple. Como no he podido obtener ningún dato numérico, no me ha quedado más opción que recurrir a noticias menos argumentadas, que hablan de un 50% de afección en las empresas. Personalmente me parece un dato inflado, pero ya que es el único que he podido encontrar es el que voy a utilizar.

En definitiva, la afección por gripe A podría llegar a ocasionar como máximo en una empresa la baja del 50% de las personas durante el 2,8% del año con una probabilidad de ocurrencia del 26,4%, es decir, un impacto del 1,4% sobre la disponibilidad con una probabilidad de ocurrencia del 26,4%, de modo que el lucro cesante que debería asociar una empresa a la gripe A serían del 0,37% del valor que generen los servicios profesionales desarrollados por las personas afectadas, que en una empresa de servicios podríamos asimilar a su facturación. Sin olvidar que este es un valor asintótico con mucho margen...

Para estimar el impacto real de la gripe A en cualquier organización me gustaría comparar este dato con uno de referencia muy habitual: las vacaciones. Desde el punto de vista de la disponibilidad tienen un efecto idéntico al de una baja, salvo que son planificadas. En este caso, las vacaciones habitualmente las coge el 100% del personal (pongamos el 90%, por si acaso) con una probabilidad de al menos el 90% de certeza de que lo hagan y una duración de referencia de 3 semanas, así que en este caso hablaríamos de un impacto del 5,18% con una probabilidad de ocurrencia del 90%, es decir, un lucro cesante del 4,7%. ¿No os parece llamativa la comparación?

En definitiva, mi conclusión es que, aun en el peor de los casos, la gripe A no debe ser especial motivo de preocupación para las empresas. Todas asumen que sus empleados se van de vacaciones, y aunque se planifique para que coincida con periodos de menor actividad, la afección por la gripe A también coincidiría, si atendemos a los factores de propagación del virus, con periodos de menor actividad de los clientes, ya que se verían sujetos a las mismas olas. Y de todos modos hay que considerar el elevado diferencial de impacto entre ambos casos... Vamos, que en la práctica muchas empresas seguro que tienen mejores motivos por los que preocuparse que por los efectos de la gripe A. No vaya a ser que en medidas de prevención acaben gastándose más dinero que el lucro cesante que puede llegar a provocar la enfermedad...

Modelos para la gestion de incidentes de seguridad

2009-09-01T14:54:00.002+02:00

A raíz de unos comentarios en relación al último post sobre incidentes de seguridad se me ha ocurrido extender un poco más mi respuesta en forma de post. La idea es, sencillamente, presentar un par de modelos que pueden ser utilizados para la gestión de incidentes de seguridad.

El primero de ellos, como sugieren en los citados comentarios, es seguir el modelo de gestión de problemas de ITIL para llevar a cabo la gestión de incidentes de seguridad. En dicho modelo se habla de monitorizar y ejecutar revisiones preventivas en busca de problemas, que en el ámbito de los incidentes de seguridad se podrían asimilar a las auditorías (técnicas de seguridad y la monitorización de los sistemas de seguridad, pudiendo llegar a considerar incluso las consolas SIM. Por otra parte, ya dentro de la gestión reactiva, la gestión de problemas en sí misma habla de registrar los problemas, diagnosticarlos, identificar las causas del mismo (convirtiendo el problema en un error conocido), definir la solución más apropiada y generar la RFC (petición de cambio) correspondiente. Si sustituimos el término problema por el de incidente de seguridad, el modelo de gestión es perfectamente válido.

El segundo de los modelos que se suele utilizar para la gestión de incidentes de seguridad es el correspondiente a la gestión de no conformidades y acciones correctivas asociadas. Podemos sustituir el incumplimiento de las normas y/o procedimientos establecidos (la no conformidad) por la ruptura de las condiciones de seguridad establecidas (el incidente de seguridad), y a partir de ahí seguir la sistemática de registro y análisis estándar para las no conformidades aplicada al mismo. A partir de la no conformidad se definirán alas cciones correctivas necesarias para resolver la no conformidad, que en nuestro caso supondría identificar las acciones a acometer para solucionar la causa del incidente de seguridad.

Como se puede ver, ambos modelos son equivalentes, y perfectamente válidos para la gestión de incidentes de seguridad. No obstante, tienen algunos matices que no está de más tener en cuenta, por si las moscas.

En primer lugar, la gestión de problemas según ITIL tiene un carácter técnico. Esto supone que los incidentes de seguridad asociados a las personas (y muchos del ámbito de la confidencialidad lo son) van a tener dificultades para ajustarse al modelo. Por otra parte, también es necesario tener en cuenta que la gestión de problemas requiere de la gestión de incidentes y la gestión de cambios y versiones para completar el ciclo de gestión, ya que los incidentes de seguridad requieren tanto de la corrección instantánea de la situación que provoca el incidente (gestión de incidentes) como de la aplicación efectiva de la corrección (gestión de cambios y versiones) para poder considerar que el incidente de seguridad está cerrado. Y por último es necesario considerar, dentro de la gestión de cambios, que el carácter eminentemente operativo que subyace en este proceso puede ser insuficiente para tratar determinados incidentes de seguridad cuyas causas y/o consecuencias puedan llegar a ser de carácter estratégico.

El segundo modelo es complementario al anterior. Es un modelo de caracter más estratégico, de modo que tienen mayor cabida situaciones de carácter menos técnico u operativo, pero al mismo tiempo es un modelo mucho más vago y menos detallado. Tiene la ventaja de que, al exigir la participación activa de la dirección, las decisiones que se adopten van a contar con su "bendición", lo que desde el punto de vista de recursos y prioridades puede ser importante. No obstante, si restringimos el modelo a la gestión de no conformidades y acciones correctivas también sería un modelo incompleto, y para terminar de completarlo deberíamos considerar también ltanto a gestión de acciones preventivas (en relación a las debilidades de seguridad) como la realización de auditorías y el seguimiento de indicadores y cuadros de mando que exige cualquier sistema de gestión normalizado, de modo que también queden contemplado en el modelo el apartado preventivo de la gestión de incidentes de seguridad.

En definitiva, lo importante es que cada organización desarrolle su propia sistemática de gestión de incidentes de seguridad y que, independientemente del modelo que elija (alguno de estos dos o cualquier otro) sea un modelo completo, que contemple todos los apartados necesarios para una gestión efectiva de los incidentes de seguirdad.

Incidentes y responsabilidades

2009-08-26T14:48:00.002+02:00

Habitualmente, los que nos dedicamos a esto de la seguridad solemos hablar de riesgos, de controles, de prevención... Sí, también hablamos de incidentes de seguridad, pero habitualmente desde un punto de vista positivista: procedimientos de gestión, minimización de los efectos de los incidentes, etc. Pero muchas veces se nos olvida hablar de la cruda realidad: los incidentes ocurren. Y cuando ocurren, duelen.

Efectivamente, por mucha seguridad que tenga una organización, por mucho SGSI que tenga implantado y por muy bien que venda su certificado, nadie se libra de sufrir incidentes de seguridad. Tarde o temprano, a todo el mundo le toca. Y qué supone sufrir un incidente de seguridad? Veamos:

En principio, el incidente ha podido ser contra la disponibilidad (algo ha dejado de funcionar), la integridad (algo se ha corrompido) o la confidencialidad (se ha filtrado alguna información). La traducción respectiva de estas casuísticas es que algo se ha parado (lucro cesante), algo funciona mal (también lucro cesante) o alguien sabe algo que no debería (y eso nunca es bueno).
De los incidentes sólo nos enteramos cuando alguien lo notifica. Esto quiere decir que el hecho es conocido, al menos a nivel interno de la organización.
Los incidentes siempre tienen connotaciones negativas (intrínsecas al concepto, por éso hay gente que prefiere hablar de incidencias, más allá de las definiciones exactas que hagamos de ambos términos), y por tanto son intrínsecamente morbosos, lo que va a propiciar la progresiva expansión de su conocimiento, cuya velocidad será proporcional al impacto percibido.
Lo negativo y morboso, una vez que se ha difundido suficientemente, siempre ocasiona críticas, que se van realimentando y creciendo con la difusión. En el caso de la pérdida de confidencialidad estas críticas serán más evidentes, pero en cualquier caso el posicionamiento generalizado tenderá a criticar el hecho de que la organización haya "permitido" que ocurra el incidente, y más cuanto mayores sean las medidas dispuestas por la organización para tratar de evitar que ocurran.
Como consecuencia de lo anterior, es previsible un posicionamiento del personal "en contra" de la organización, al menos del grupo de personas conocedoras del hecho.
Este posicionamiento social contrario probablemente vaya a provocar reducciones en el rendimiento de la organización, derivadas de la desmotivación provocada.
Cuanto mayor sea el impacto del incidente, su morbosidad potencial o el posicionamiento negativo del personal más probabilidades habrá de que su existencia pueda ser conocida fuera de la organización. Obviamente, si la parada o el mal funcionamiento propios del incidente estaban asociados a servicios externos, su conocimiento por parte de entidades externas será mucho más probable.
A nivel externo las pautas de propagación del incidente son equivalentes, sustituyendo las personas por entidades y los agentes externos por medios de comunicación, aunque la velocidad de propagación a nivel externo habitualmente es mucho menor.
En el caso de incidentes a nivel externo tendremos que considerar también los efectos derivados del tipo de información que haya sido revelada o de los servicios que hayan dejado de estar operativos, y que pueden ir desde pérdidas de competitividad hasta incumplimientos contractuales o regulatorios, con los consiguientes efectos económicos asociados.
Todo ello podrá terminar provocando, a nivel externo, pérdida de prestigio o de reputación corporativa.

En definitiva, un incidente de seguridad ha podido ocasionar lucro cesante, pérdida de credibilidad a nivel interno, posicionamiento "social" en contra de la organización, reducción del rendimiento de la organización, pérdida de competitividad, penalizaciones económicas y pérdida de imagen pública. Obviamente, no todos los incidentes de seguridad van a tener tan "catastróficos" efectos, pero la clave es que debemos ser conscientes de que la gestión de los incidentes de seguridad no debe cubrir sólo los efectos directos del mismo, sino que todas estas derivadas deberían ser consideradas a la hora de llevar a cabo una gestión integral del mismo. Si no, corremos el riesgo de resolver el incidente y al mismo tiempo no ser capaces de cortar el flujo de acontecimientos que acabo de señalar...

Cuestion de confianza

2009-08-24T15:00:00.002+02:00

Con el paso del tiempo, cada vez son más las organizaciones certificadas en ISO 27001. Ahora ya no es extraño encontrar empresas que luzcan un certificado de seguridad, y poco a poco comienza a verse cómo algunas de ellas incluso están comenzando a valorar que sus proveedores también estén certificados.

Ante este panorama, la pregunta clave en torno al mercado de las certificaciones comienza a hacerse cada vez más patente. ¿Hasta qué punto una organización está dispuesta a confiar en el certificado de la otra? ¿Es requisito suficiente el hecho de estar certificado para que todo el mundo pueda confiar en tu gestión de la seguridad?

La pregunta tiene más miga de lo que parece. Por un lado, todo el que conozca cómo funcionan los esquemas de certificación sabe que no es suficiente con tener un certificado, sino que el alcance de dicha certificación debe cubrir el ámbito que nos interesa. Pero una vez verificado este aspecto (algo sencillo, ya que figura en el propio certificado), qué más aspectos hay que tener en cuenta?

Como ya he comentado en alguna ocasión, un SGSI tiene varias dimensiones. La primera viene dada por el alcance, pero no es la única. También deberíamos tener en cuenta la Declaración de Aplicabilidad (es decir, qué controles de seguridad tiene aplicados la organización y cuáles no), y además sería muy útil conocer cuál es el nivel de riesgo asumido por la organización, ya que ese parámetro nos va a dar la clave para conocer el grado de "intensidad" con el que se están aplicando los controles. Por tanto, para poder estimar el "nivel de seguridad" de una organización sin necesidad de conocer el detalle de su SGSI sería necesario conocer estos 3 parámetros.

Teniendo esto en mente, podemos darnos cuenta de que la clave de la confianza en el SGSI de otra organización no radica en el certificado en sí mismo, sino en el "nivel de seguridad" que dicha organización presenta en relación al que nuestra organización exige. De este modo, podría existir una organización para la que la simple posesión del certificado por parte del proveedor fuese suficiente garantía de seguridad, ya que esta organización no tiene requisitos particularmente exigentes en materia de seguridad para el servicio o producto de este proveedor, mientras que otra organización opte por definir exigencias mucho mayores en este ámbito debido a que las necesidades de seguridad que tiene para el mismo servicio o producto son mucho mayores.

El "problema" de los certificados en ISO 27001 es que los criterios de auditoría, las exigencias contra las que se contrastan los SGSIs en las auditorías de certificación, son sencillamente (que no es poco) la propia norma y la normativa interna de la organización, pero nunca se tendrán en cuenta las exigencias de los clientes (a no ser que se establezca expresamente o que la organización asuma explícitamente como propias dichas exigencias). Por lo tanto, si dichas exigencias exceden las de la propia organización, el diferencial existente nunca será auditado en las auditorías de certificación, y por tanto debería ser auditado expresamente en auditorías de segunda parte (realizadas por el cliente al proveedor), en las que se incluyan dichas exigencias como criterios de auditoría.

En definitiva, la cadena de confianza establecida por los certificados (presuponiendo que son certificados acreditados, y por tanto de reconocimiento mutuo independientemente de la entidad de certificación) es suficiente si las exigencias en materia de seguridad son las "normales", si consideramos que el cumplimiento de la ISO 27001 es suficiente garantía, mientras que si las exigencias en esta materia son superiores tendremos que recabar más información acerca del SGSI de nuestro proveedor o recurrir a las auditorías de segunda parte para poder verificar el cumplimiento de nuestras exigencias en seguridad.

La culpa la tiene el gobierno... de TI

2009-08-03T12:57:00.002+02:00

Buenos días a todos,

Aunque estoy de vacaciones, hoy quiero saldar una deuda pendiente con un colega. Hace ya algún tiempo (más del que me gustaría) recibí un mail suyo invitándome a publicitar un artículo escrito por él en el que indica una serie de recomendaciones para el correcto establecimiento de un Modelo de Gobierno TI, y la verdad es que, aunque leí el artículo y me pareció completamente recomendable, entre unas cosas y otras olvidé el mail y la recomendación asociada. Así que hoy cumplo con la deuda pendiente, con el consejo a todos los lectores de este blog de que lean el artículo con atención, ya que seguro que en algunos contraejemplos se van a sentir identificados:

La culpa la tiene el gobierno de TI, por Jose Manuel Fernández

Que paséis unas buenas vacaciones.

Gestion de Riesgos Vs Baselines

2009-07-23T18:35:00.002+02:00

Hola a todos! La verdad es que últimamente tengo el blog bastante desatendido. Lo siento, pero por diversos motivos la verdad es que el tiempo no me da de sí ... Los días deberían tener más de 24 horas. Verdad?

Hoy sencillamente os quiero proponer un pequeño debate. O, al menos, una reflexión en la que os invito a participar. ¿Qué ventajas e inconvenientes veis a las dos estrategias de gestión de la seguridad que figuran en el título? ¿Cuál os gusta más? ¿Creéis que son compatibles?

En una de las esquinas del ring tenemos la gestión de riesgos de seguridad. Consiste en analizar los riesgos a los que estamos expuestos y aplicar medidas de seguridad para reducir aquellos riesgos que "sobresalen" por encima del nivel de riesgo que consideramos asumible. Las ventajas seguramente ya las conozcamos, pero como todo, siempre tiene un lado criticable: nada obliga a establecer un bajo nivel de riesgo aceptable, así que si asumimos riesgos elevados la seguridad que aplicaremos será "débil".

En la otra esquina tenemos la aplicación de baselines de seguridad. Consiste en establecer un cierto nivel de seguridad que conseguiremos mediante la aplicación de un determinado conjunto de medidas de seguridad específicas. Independientemente del riesgo, las medidas a aplicar son unas determinadas, con lo que conseguimos un nivel de seguridad "estandarizado", pero podremos estar haciendo una aplicación de medidas de seguridad ineficiente desde el punto de vista del riesgo.

Son dos alternativas válidas, cada una con sus ventajas y sus inconvenientes, aunque aparentemente poco compatibles. ¿Cuál os gusta? ¿Creéis que pueden ser compatibles? ¿Cómo? Estaré encantado de leer las opiniones de todos los que no estén de vacaciones...

ISO 20000 para PYMEs

2009-06-30T15:10:00.002+02:00

Uno de los principales culpables de que le dedique menos tiempo a publicar comentarios en el blog es un proyecto de implantación de ISO 20000 en PYMEs en el que estoy participando. El objetivo es muy sencillo: ¿No dice el estándar que el Sistema de Gestión de Servicios TI (SGSTI) que propone la ISO 20000 es válido para organizaciones de cualquier tamaño? Pues vamos a demostrarlo implementándolo en PYMEs, con todas las limitaciones de este tipo de empresas (pocos recursos técnicos, pocos recursos humanos, pocos recursos económicos) y alguna más que nos hemos buscado, ya que para conseguir que el proyecto sea subvencionado por el Plan Avanza los plazos de implantación deben garantizar que dichos SGSTIs estén certificados antes de fin de 2009.

La verdad es que es un proyecto muy complejo, tanto a nivel "técnico" como a nivel de gestión. Pero de momento puedo decir que, con sus puntos fuertes y sus áreas de mejora, el proyecto marcha más o menos según lo previsto. Y aunque todavía no tengamos resultados definitivos, sí que hay algunos aspectos que a día de hoy ya creo que se pueden ir destacando. Entre ellos, tenemos:

Para las empresas que venden servicios TIC realmente la ISO 20000 tiene importantes connotaciones de negocio: sólo el hecho de adecuar los servicios prestados a las exigencias de la norma está proporcionando ventajas competitivas a las organizaciones a la hora de posicionar sus servicios respecto de los de la competencia.
Un SGSTI no tiene por qué ser un monstruo: Si atendemos exclusivamente a los requisitos mínimos que exige la ISO 20000, es posible desarrollar procesos y servicios con unas dedicaciones totalmente asumibles por pequeñas organizaciones.
No es imprescindible una super-herramienta para implementar los procesos definidos por la ISO 20000: Aunque las herramientas ayuden mucho, unas pocas aplicaciones bien seleccionadas, la voluntad del equipo de trabajo y un poco de sentido común nos pueden permitir suplir las funcionalidades de herramientas de elevado coste.

En definitiva, sigo pensando no sólo que es posible implementar un SGSTI certificable bajo ISO 20000 en una PYME, sino que un proyecto bien definido en este ámbito puede permitir a dicha PYME obtener beneficios directos y tangibles a la hora de comercializar sus servicios TI, con una inversión relativamente pequeña y amortizable a corto plazo. Y a día de hoy, eso es todo lo que puedo contar...