En los últimos posts sobre SGSIs [1][2], planteábamos los problemas a los que los consultores nos solemos enfrentar a la hora de implantar un Sistema de Gestión de Seguridad de la Información y los errores más comunes que se suelen cometer.

Lejos de pretender mostrar una visión negativa de la decisión de implantar un SGSI, intentábamos advertir de cosas a tener en cuenta a lo largo del proceso. Es indudable que una vez el SGSI está implantado y en funcionamiento, éste aporta innumerables ventajas a la organización en general y al departamento TI en particular. Mucho se ha escrito sobre las ventajas de implantar un SGSI; como con el resto de Sistemas de Gestión, siempre se insiste en que el hecho de obtener un certificado hace que la organización aumente su competitividad, mejore su imagen respecto a las empresas de la competencia y se posicione mejor en el mercado. Todo eso es cierto, y está claro que esa puede ser una razón de peso para algunas organizaciones, ya que al fin y al cabo aumentar el nicho de mercado o fortalecer la posición y la imagen es algo imprescindible desde el punto de vista del negocio, y sin negocio, de nada sirven los sistemas de gestión y los certificados.

(La entrada de hoy es la cuarta colaboración de Francisco Benet , un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Como todos los veranos, este año se ha celebrado la Black Hat, un conjunto de conferencias donde se desvelan las ultimas tendencias en seguridad, cubriendo con detalle la parte técnica aunque también cada vez mas la parte organizativa y social. Aunque desgraciadamente no he podido asistir a estas charlas, tantos los papers comos los slides están disponibles en la web en la parte de archivos Blackhat.

Muchos equipos investigadores esperan a este evento para desvelar sus descubrimientos, por lo que creo que son de lectura obligatoria para aquellos que quieren ver por dónde van las ultimas tendencias y el “state of the art” en el mundo de la seguridad.

Tras echar un vistazo a las presentaciones, uno tiene la impresión que nada es seguro, ya sean teléfonos móviles, parquímetros, infraestructuras eléctricas, medidas antihacking, certificados SSL, la virtualización, la nube, o cualquier tipo de hardware que puedan imaginar. Los malos pueden incluso leer tu teclado desde el enchufe de tu ordenador, así que la única opción parece ser volver a las cuevas. En fin, que para cualquier “maldad” que puedan imaginar ya hay quien se dedica a aplicarla… y en estas charlas se pueden ver muchas de ellas.

No voy a hablar de la importancia de la I+D para el futuro de un país, ni de que los sectores que aportan más valor añadido y, por tanto, generan puestos de trabajo de mayor nivel son aquellos que requieren profesionales cualificados, formados en ambientes impregnados de ciencia (que no es otra cosa que curiosidad organizada con método), ni de que los sectores tradicionales que, por no ser sostenibles, han provocado que nuestra crisis sea peor que la de otros países de nuestro entorno, son, precisamente, los que absorben la mano de obra menos cualificada.

No hablaré tampoco de que, mientras nosotros estamos peleando por mantener puestos de trabajo en sectores de la segunda ola, hay países con empuje que nos van a adelantar por la derecha porque trabajan ya en la economía de la tercera ola.

No hablaré de que, cuando se dice que España es el noveno país en cuanto a aportación científica en el ranking mundial, medida en artículos científicos de alto nivel publicados, se están contando a todos los científicos que trabajan en universidades extranjeras (léase norteamericanas). Nosotros los formamos y ellos los aprovechan.

No diré todo esto, porque seguro que hoy, todos estos argumentos ya se han explicado en otros blogs. Y, ya que estamos en un entorno empresarial, diré por qué creo que los recortes en I+D son malos para las empresas españolas.

La semana pasada, en la Conferencia Europea sobre Investigación en Seguridad que José Rosell les comentaba ayer, tuvo lugar una interesante sesión paralela con el título Citizens Security Needs vs Citizens Integrity, el conocido debate sobre el balance entre la seguridad y la pérdida de libertad. Dos de los ponentes defienden la necesidad de introducir consideraciones éticas (léase privacidad, respeto a la intimidad y a las libertades) en los proyectos de investigación, desde el principio, y no como una cuestión a posteriori.

En el turno de preguntas, una persona en la audiencia hace una observación que merece ser registrada: la disyuntiva entre ética y seguridad no se puede plantear como un balance, ya que aunque es indiscutible que todos queremos, como mínimo, algo de seguridad, ¿quién es capaz de decir que quiere menos del 100% de ética?

La semana pasada tuvo lugar en Estocolmo, la 4ª conferencia europea sobre investigación en seguridad, Security Research Conference (SRC’09).

El nivel de participación fue francamente alto, más de 500 inscripciones, lo que pone de manifiesto el interés generalizado que despiertan todos los temas relativos a la seguridad dentro y fuera de nuestras fronteras. La delegación española estaba compuesta por 49 personas de empresas, universidades y organismos públicos.
Aunque como es habitual en estos eventos el nivel de profundidad alcanzado en las exposiciones de los ponentes no puede ser mucho, sí nos permite hacernos una idea de los campos en los que se está investigando y desarrollando iniciativas a nivel europeo poniendo de manifiesto las áreas de interés de los distintos actores o stakeholders (ciudadanos, administración, empresas, etc…)

Vaya por delante que cualquier parecido de lo que les voy a contar con la realidad es pura coincidencia. Vamos, que se trata de una situación hipotética, que no se trata de un caso “tengo un amigo que”. Vamos con ello.

Imagine que usted descubre un día, por casualidad o mientras investigaba, un gran problema de seguridad en el software o hardware de uno de los grandes. Cuando digo grande, me refiero grande en ambos sentidos; uno de esos que hacen desplomarse las cotizaciones en bolsa del afectado: Microsoft, Sony, Dell, Google, Hewlett Packard, Oracle, Intel, etc. Vamos, un problema de los gordos para una compañía de las gordas.

Hace un tiempo solicitamos a nuestros lectores que respondieran a una cuestión aparentemente sencilla:

¿Crees que las organizaciones necesitan una sola figura que concentre la responsabilidad sobre seguridad?

• Si, debe existir una sola figura que concentre esta responsabilidad y que reporte directamente a la dirección. (51%, 33 Votos)
• Deben existir distintas figuras independientes con distintos roles porque p.ej. la LOPD no tiene nada que ver con la seguridad física o la PRL. (32%, 21 Votos)
• No, la responsabilidad sobre seguridad debe estar repartida entre los distintos departamentos. (12%, 8 Votos)
• Es indiferente, no tiene importancia, siempre que estén identificadas las necesidades. (5%, 3 Votos)

Votantes: 65

 Loading ...