miércoles, 22 de febrero de 2012

La credibilidad del CISO


Sí, he de admitirlo, los proyectos de seguridad son los que más me hacen disfrutar. Además, durante estos años de consultor, he tratado con muchos CISOs (Chief Information Security Officer) y me fascina el rol que juegan en la organización. Su trabajo es una continua partida de ajedrez… yo muevo mi ficha, el ciberdelincuente mueve la suya y así sucesivamente…pero… ¿Quién gana la partida?

Es precisamente a la hora de responder a esta pregunta donde quiero profundizar. La seguridad es dinámica ya que el mapa de amenazas, los tipos de ataques, los riesgos y la tecnología avanzan constantemente y el CISO siempre debe anticiparse a este avance para ir mejorando la seguridad de los sistemas de negocio. Para mejorar la seguridad, el CISO pedirá fondos a la Alta Dirección para llevar a cabo sus estrategias y poder mover “su ficha”.

Es aquí donde entra en juego el parámetro clave: La credibilidad.

Pueden darse dos casos:

  • Si los incidentes de seguridad han sido pocos y con impactos irrelevantes, el CISO tendrá un “papelón” al explicarle a la Alta Dirección que necesita más fondos para mejorar una “seguridad corporativa” que ya de por sí parece buena. Los directivos pensaran: “ya estamos como todos los años pidiendo más dinero para que luego no pase nada”
  • Si por el contrario tienes un escenario de crisis por un incidente de seguridad, tal y como le ocurrió a la Plataforma PlayStation Network de Sony, el CISO podrá pedir fondos, pero su credibilidad estará en entredicho.

Ésta, precisamente, es la encrucijada con la que se encuentra el CISO en la organización, con su credibilidad como factor clave, sabiendo que en el dinamismo de la seguridad la ausencia de incidentes juega por un lado en su contra (aparentemente es seguro lo que no lo es tanto y la inversión puede parecer como no prioritaria) y por otro lado a su favor, reflejando que su trabajo es “tan bueno” que los incidentes no se materializan.

Es clave, por tanto, la conciencia de seguridad en la Alta Dirección y el conocimiento de que la seguridad es un proceso dinámico que si se para es más vulnerable. Es necesario hacerle ver a la Dirección que la seguridad no solo se valora como buena o como mala en función de lo que pase sino también de lo que podría pasar y no pasa. Para ello, he ayudado a muchos CISO a crear esa conciencia y ese conocimiento en las organizaciones a través de la exposición de los nuevos riesgos o brechas que se están presentando en empresas similares y de las que no se es consciente. Esta exposición significa “poner en el tejado” de la Dirección la siguiente cuestión: ¿Estáis dispuestos a asumir estos nuevos escenarios de riesgo?

Es esta pregunta la que gana, casi todas las veces, la partida.
Publicado por No hay comentarios:
Etiquetas: , ,

viernes, 17 de febrero de 2012

Protección de datos: La verdad sobre la sentencia del Tribunal Supremo

La reciente sentencia del Tribunal Supremo que anula el artículo 10.2.b del Real Decreto 1720/2007 ha hecho saltar todas las alarmas en los medios de comunicación. Titulares como “Barra libre para el trato de datos de carácter personal” o “El fin de la privacidad de las personas” han aparecido en la prensa generalista o en diversos blogs. Sin embargo, ¿qué hay de cierto detrás de estas noticias?

Analizando las primeras noticias que aparecieron en la prensa, una empresa podía pensar que a partir de ahora era posible tratar los datos de las personas a su antojo, sin que ello supusiera incumplir con la normativa aplicable en materia de protección de datos. Sin embargo, para tranquilidad de muchos y perjuicio de otros este hecho es totalmente falso, basta con leer cómo queda el famoso artículo 10 del Real Decreto 1720/2007 tras la sentencia del Tribunal Supremo.

Sin pretender entrar en temas demasiado técnicos, cabe desmentir de forma categórica las noticias que han aparecido, continúa siendo necesario contar con el consentimiento de las personas para cualquier tratamiento de sus datos de carácter personal. Lo único cierto del tema es que se ha eliminado una de las condiciones necesarias para constituir una excepción a dicha norma general, que establecía que dichos datos debían figurar en fuentes accesibles al público.

Más allá del contenido del artículo anulado, lo importante es saber que para que no sea necesario el consentimiento del afectado, deben coincidir una serie de restricciones que continúan siendo válidas, y que correspondientes al artículo 10.2.a). Básicamente exigen que dicho tratamiento esté amparado por una norma con rango de ley o de derecho comunitario, que corresponda al interés legítimo del responsable del tratamiento o cesionario (no basta con alegar interés comercial), y siempre que este interés no prevalezca a los derechos fundamentales de las personas (tales como el honor de las personas y su intimidad).

De hecho, la propia Agencia Española de Protección de Datos ya publicó una nota informativa donde analizaba este hecho, dejando claro su posicionamiento al respecto, incluso antes de que se pronunciase el propio Tribunal Supremo. La propia Agencia establece que atendiendo a las restricciones que permanecen vigentes, la sentencia no supone una modificación sustancial a los principios de la protección de datos de carácter personal.

Con todo ello es fácilmente comprobar que los titulares que se sucedieron a raíz de la mencionada sentencia partían de un análisis erróneo o exagerado y que en la práctica dicha sentencia no afecta sustancialmente a la mayoría de tratamientos que puedan realizarse.


Publicado por No hay comentarios:
Etiquetas: , , ,

lunes, 13 de febrero de 2012

Otras ventajas en la implantación de un Plan de Continuidad de Negocio

La implantación de un plan de continuidad de negocio tiene como principal objetivo  mejorar la resistencia o la capacidad de la Organización para sobreponerse a la materialización de una amenaza.

Dentro de la primera etapa del ciclo de vida de un BCP (Business Continuity Plan), la metodología propone dos actividades enfocadas a la comprensión de la organización (Norma BS25999):
  • Análisis de impacto al negocio: determinar cuáles son las actividades críticas y el impacto de su parada.
  • Análisis de riesgos: analizar los riesgos a los que están expuestos los activos de la Organización.


Estas dos actividades están orientadas a obtener los siguientes resultados:
  • Analizar estrategias de recuperación de las actividades críticas.
  • Planificar la reacción en caso de desastre.
Adicionalmente existen dos ventajas al enfocar un BCP en base a esta metodología:
  1. Por un lado, el análisis de impacto aporta una aproximación al mapa de procesos de la Organización. Obviamente no se profundiza en aspectos como el propietario del proceso, roles, métricas, instrucciones de trabajo, definición de las actividades secundarias, etc. pero sí se determinan las entradas y salidas críticas del proceso, los recursos humanos necesarios para ejecutarlo, los registros vitales que requiere el proceso y las dependencias con otros procesos, sistemas de información, proveedores  o localizaciones. Además de ello, también proporciona otros elementos que no se definen en proyectos de reingeniería de procesos, como son el tiempo máximo permitido de interrupción o el volumen de pérdida de recursos asumible para el negocio. 
  2. Por otro lado, permite identificar el mapa de riesgos corporativo (impacto a nivel técnico, legal, regulatorio, financiero, etc.). Este análisis es uno de los ejes de sostenibilidad de la compañía ya que ayuda a definir iniciativas para minimizar dichos riesgos, evitarlos, prevenirlos o anticiparse con posibles respuestas.
Desde nuestro punto de vista, estas actividades son básicas para cualquier implantación exitosa de plan de continuidad y proporcionan un valor añadido a la Organización.
Más información sobre BCP en thebci.org

Publicado por No hay comentarios:

jueves, 9 de febrero de 2012

Integrar personas y procesos. El reto de la gestión de TI



No basta con definir un proceso para que éste funcione. Lo complicado es conseguir que las personas involucradas los sigan de manera eficiente, estén convencidas y participen en su mejora.

Esto es un reto, no sólo a la hora de implementar procesos de gestión de servicios de TI sino a la hora de implementar cualquier nuevo proceso en la empresa. Esto es especialmente complejo en empresas de gran tamaño.

Para que los procesos funcionen de manera eficiente, necesitamos apoyarnos en la tecnología. Para ello implantamos herramientas de gestión de TI que nos permiten automatizar la ejecución de los procesos, consolidar y relacionar los datos involucrados y proporcionar información útil para la gestión y toma de decisiones.

Sin embargo, en muchas implementaciones de procesos de TI hemos olvidado involucrar a las personasLa idea es hacer partícipes a las personas involucradas en dichos procesos para que no perciban su implementación como una imposición sino como algo suyo. De esta manera creerán en el proyecto y se aunarán esfuerzos para conseguir hacerlo con éxito. Si no lo hacemos así, podemos generar una sensación del tipo “esto lo tengo que hacer así porque lo dice alguien y no sé por qué hemos de trabajar de una manera diferente si hasta el momento funcionábamos más o  menos bien”.

Una buena manera de conseguir lo anterior consiste en empezar realizando reuniones de trabajo para la definición de los procesos en los que participe la gente afectada, de diferentes departamentos y con diferentes funciones, con el objetivo de conocer cómo lo harían los involucrados.

Es imprescindible que en estas reuniones participen los consultores y técnicos externos con el objetivo de 1) guiar a los participantes en base a las recomendaciones que proporcionan las mejores prácticas y metodologías existentes y 2) proporcionar el expertise técnico necesario sobre la manera de cómo implementar en la herramienta, de manera eficiente y eficaz, las ideas y requisitos resultantes de dicha reunión.

Generalmente sin participación no suele haber compromiso. Es necesario que los responsables de TI practiquen una política de gestión de su personal basada en la transparencia, participación y delegación, sin olvidar el ejercicio de las actividades de control necesarias para asegurar que 1) se mantiene el rumbo, es decir, se va en el camino correcto para la consecución de los objetivos de TI y 2) se ha llegado a buen puerto, es decir, esos objetivos se han alcanzado.
Publicado por 1 comentario:
Etiquetas: , ,

jueves, 2 de febrero de 2012

Gestión TIC. Obsesionado por lo básico

Si me pongo en la piel del Director de TI creo que me sentiría algo así como abrumado. Continuamente están bombardeados con información acerca de nuevas tecnologías y metodologías, o la actualización o refundación de las ya existentes, con la promesa de aumentar la productividad, reducir costes, etc. A esto se une la sensación de que si no te subes al carro de las mismas te puedes quedar obsoleto o desactualizado.

Además, hemos de tener en cuenta que, si somos una pequeña o mediana empresa, para ser efectivos necesitamos tener en cuenta el hecho de que dispondremos de unos recursos y opciones limitados. Será necesario evitar toda la burocracia innecesaria y proponer soluciones que sean atractivas y adecuadas para la manera de ser de este tipo de empresas.

Para abordar esta avalancha de información, así como los retos específicos de nuestra empresa o sector, hay que realizar una parada de sincronía y volver a lo básico. Para mí, este volver a lo básico significa, en cualquier ámbito de la vida, responder a la pregunta ¿Para qué hago lo que hago?. En el mundo de las TIC, para responder a esta pregunta, tanto nosotros como la Dirección de la empresa, necesita entender, básicamente, cuatro cosas:

A nivel de seguridad
  • Entender las obligaciones. Es imprescindible tener un buen conocimiento de los requerimientos legales, comerciales o regulatorios que aplican al negocio y, además, este conocimiento debe permanecer constantemente actualizado.
  • Entender los riesgos. Es imprescindible conocer a qué riesgos de seguridad está expuesto el negocio, es decir, sus procesos, actividades y activos.

A nivel de servicios de TI
  • Entender qué procesos de negocio y que actividades principales de los mismos existen y, en particular, cuales forman la cadena de valor de la organización.
  • Entender qué servicios de TI soportan dichos procesos y cómo los soportan en cuanto a garantía y utilidad. ¿Por qué hablar de servicio de TI, de garantía y de utilidad?. Simplemente porque es el lenguaje que nos va a permitir entendernos e involucrar a la Dirección de nuestra empresa.

Volviendo a la pregunta inicial de para qué hago lo que hago, responderíamos que básicamente para:
  • Cumplir con las obligaciones del negocio
  • Reducir o eliminar los riesgos del negocio o el impacto asociado a la materialización de las amenazas asociadas a los mismos.
  • Mejorar la garantía o utilidad de los servicios que ofrecemos y soportamos.

Teniendo claro el mapa de situación en base a qué obligaciones, qué riesgos, qué procesos, y qué servicios, podemos abordar nuestros proyectos TIC con la garantía de que vamos por buen camino.
Publicado por 1 comentario:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)