En esta entrada me voy a atrever a darles mi visión personal de las conclusiones que se extrajeron del taller “Gestión de Continuidad: Planes de Contingencia, Gestión de Crisis” del I Encuentro Internacional de Ciberseguridad y Protección de Infraestructuras Críticas, taller que dirigió con mucha habilidad y dinamismo Miguel Rego, Director de Seguridad Corporativa de ONO, y que resultó muy participativo.

En el taller personalmente constaté que, salvo honrosas excepciones, muchas de las empresas estratégicas españolas todavía se encuentran en una fase digamos intermedia en cuanto a la implantación real de planes de continuidad de negocio. Todavía se confunden términos, y por ejemplo se establecen equivalencias entre planes de contingencia TIC y planes de continuidad de negocio (si miran la fotografía que acompaña este post estarán de acuerdo conmigo en que “eso” no tiene nada que ver con continuidad TIC). Sobre esto ya les hablé en otro post sobre la resiliencia de las organizaciones.

No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.

La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).

La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.

Y por último yo diría que en España la aparición de la LOPD —a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes— y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.

En este blog normalmente abordamos la gestión de la seguridad desde el punto de vista TIC, desde el punto de la seguridad de la información, de los procesos de negocio, etc. Pero hay otras seguridades, como ha estado presentando Toni Villalón en sus últimos posts. Hoy quería dar unas pinceladas de cómo se gestiona la seguridad en un ámbito totalmente diferente y muy complejo: el de la navegación marítima. No es algo caprichoso; algunos integrantes de S2 Grupo estamos asistiendo a un curso de Seguridad Portuaria, en el marco de un proyecto I+D+i en el que estamos participando.

Voy a ver si soy capaz de ponerles en situación.

No sé cómo se habrán sentido ustedes tras observar la polémica suscitada por la publicación de la famosa fotografía de las hijas del presidente del gobierno en el Metropolitan de Nueva York, y observar —cada vez me sorprende más lo desocupados y aburridos que pueden llegar a estar mis congéneres— esa especie de “variaciones sobre el mismo tema” en que se ha convertido la generación de fotografías de las menores cambiando el escenario, los rostros y los aderezos de los retratados.

No voy a entrar en la disquisición de dónde termina el círculo privado y empieza el ámbito público, tema más propio de uno de estos “programas” de “prensa” rosa/morbosa. Con independencia de lo que se piense (¿era o no era un viaje privado? ¿Un presidente de gobierno y su familia son o no son personajes públicos?), personalmente me parece preocupante la falta de respeto general observada al tratar el tema después de leer/oír los comentarios vertidos en los medios de comunicación, partiendo de la base de que se trata de menores de edad.

Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.

La semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

En una charla a la que asistí hace unos meses sobre continuidad de negocio, uno de los ponentes clasificaba los métodos que existían a la hora de afrontar la materialización de un escenario de siniestro en los siguientes:

• Método israelí: atajar el problema como sea (“enemigo muerto, trabajo bien hecho”).
• Método americano: desplazar a un técnico al campo de trabajo y hacer un procedimiento. A partir de ese momento el procedimiento es sagrado.
• Método británico: el que se desplaza es un segundo del técnico (vestigios del Imperio…).
• Método español: Vamos y lo intentamos arreglar. Después, si podemos, haremos el informe, y el procedimiento….uff, eso ya veremos.

El miércoles se nos fue la abuelita de Internet.

Y ustedes dirán: ¿Y qué tiene que ver esto con la seguridad, con los SGSIs, con las políticas de privacidad? Bueno, pues tenía un blog que le regaló su nieto, a lo mejor va por ahí el post…

Se llamaba María Amelia, y era de Muxía. “Mi nieto, que es muy cutre, me ha regalado un blog“, dijo. En estos días, en que parece que Internet es sólo una fuente de malware, de usos malintencionados, de tráfico ilegal de datos personales, de venta y compra de datos, de peligros para los jóvenes… creo que este es un ejemplo de que también puede ser algo positivo. Ese regalo supuso para María Amelia una puerta de salida a su soledad, una ventana de aire fresco, le trajo alegrías, conocer mucha gente, hacerse famosa, demostrar que una persona “mayor” e internet no son incompatibles… Pero sobre todo sirvió para demostrar al mundo que la alegría, las ganas de vivir, la fuerza de una persona no están en su cuerpo, están en su espíritu.

Hasta siempre, María Amelia.

P.D. No se pierdan los audios de su blog. Nos vemos el lunes, sean buenos.

Hace ya unos días apareció en prensa una noticia que me parece interesante comentar. El titular es bastante efectista: “Los jefes podrán controlar el correo electrónico de los empleados (…)”.

La noticia recoge la aprobación en Finlandia de la conocida como “Ley Nokia”, debido a que fue esta empresa la que desde hace un par de años ha estado presionando al gobierno finés para que se modificara la ley de protección de las comunicaciones electrónicas, y que así una empresa u organismo público pudiese investigar el uso que del correo electrónico hacen sus empleados. El revuelo consiguiente es comprensible, tanto en un sentido como en otro, y es fácil encontrar opiniones que justifican la medida y otras que piden el boicot a la marca y que nadie se vuelva a comprar un Nokia en su vida…

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.