Desmenuzando la aproximación al marco de gobernanza de la ciberseguridad del CCN

18 de febrero de 2022 Por

En un proceso continuado a lo largo de los últimos lustros, los términos de gobernanza y de buen gobierno han venido adquiriendo un creciente protagonismo en todo tipo de organizaciones que, o bien han buscado mejorar su nivel de madurez o, en otros casos, se han visto sometidas a los requisitos de nuevos marcos sectoriales de control.

La preocupación por los problemas de “gobierno corporativo” en todo tipo de organizaciones apareció por primera vez en el “Informe Cadbury” (Reino Unido, 1992); este informe recogía un “código de buen gobierno” al que debían adherirse las corporaciones que cotizaban en la bolsa de Londres.

Posteriormente, en 1999 y 2004, la Organización para la Cooperación y Desarrollo Económico, OCDE, publicaría las primeras ediciones de sus “Principios de Gobernanza Corporativa”.

En 2004 los investigadores del Instituto de Tecnología de Massachusetts, MIT, Peter Weill y Jeanne Ross propondrían seis activos clave que deberían ser objeto de prácticas de gobierno en cualquier organización:

  • Los activos financieros,
  • los activos físicos,
  • los recursos humanos,
  • el esquema de relaciones de la organización,
  • la propiedad intelectual, y
  • la información y las Tecnologías de la Información.

Cronología de los marcos de referencia en gobernanza corporativa
[Read more…]

Desinformación y ciberseguridad: De los “últimos de Filipinas” a los últimos en verificar una noticia

15 de diciembre de 2021 Por

Dado que los españoles somos una raza muy aficionada a ignorar nuestra historia y, por tanto, nos privamos de la capacidad de interpretarla de forma objetiva y desprendida de cualquier sesgo interesado, puede que sea oportuno comenzar recordando el episodio histórico de “los últimos de Filipinas”.

En su libro “El sitio de Baler. Notas y recuerdos” (libro traducido al inglés y cuya lectura se recomienda en el Ejército de los Estados Unidos de Norteamérica) el Teniente Saturnino Martín Cerezo narra la gesta de un grupo de cincuenta soldados españoles sitiados durante 11 meses, entre el 30 de junio de 1898 y el 2 de junio de 1899, en la iglesia de San Luis de Tolosa de la localidad de Baler, en la isla filipina de Luzón; éste es uno de sus pasajes:

“El mismo día 30 (de septiembre) recibimos una carta del gobernador civil de Nueva Écija, señor Dupuy de Lome. Nos participaba en ella la pérdida de Filipinas, y el mismo comandante político-militar, que dijo conocerle, no pudo menos de manifestar que si en circunstancias normales hubiera recibido aquel mensaje pidiéndole dinero, lo hubiese dado sin titubear un sólo instante, porque la letra, que también aseguró conocer, parecía la verdadera. Siguieron a esta carta las actas de capitulación del comandante D. Juan Génova Iturbe; del capitán D. Federico Ramiro de Toledo, y de otros que no recuerdo. Luego fueron sucesivamente participándonos que se había rendido el comandante Caballos, destacado en Dagupán, y entregado 750 fusiles; que el general Augustí había capitulado en Manila porque su señora estaba prisionera de los tagalos, y otra porción de noticias por el estilo. Cerró la serie aquella, otra carta del cura de Palanán, Fr. Mariano Gil Atianza, resumiendo y confirmándolo todo, diciéndonos que se había perdido el Archipiélago; que ya no tenía razón de ser nuestra defensa y que depusiéramos inmediatamente las armas, sin temor ni recelo, porque nos tratarían con todo linaje de atenciones.

Preciso es confesar que tanto y tan diverso testimonio era más que sobrado para convencer de la realidad a cualesquiera; mas conocíamos el empeño, la cuestión de amor propio que tenían los enemigos en rendirnos, y esta idea nos mantenía en la creencia de que todo aquello era supuesto y falsificado y convenido. Por esto cuando nos participaron que tenían con ellos a varios de los que habían capitulado, les contestamos que nos los llevasen para verlos y por esto no dimos crédito ni a la evidencia de la carta del gobernador de Nueva Écija, ni a las actas ni a nada. Por otra parte, no cabía en la cabeza la ruina tan grande que nos decían; no podíamos concebir que se pudiera perder con tanta facilidad aquel dominio; no nos era posible ni aún admitir la probabilidad de una caída tan rápida y tan estruendosa como aquella”.

Supervivientes del destacamento de Baler fotografiados el 2 de septiembre de 1899, a su llegada a España (Museo del Ejército)
[Read more…]

Sincronización de navegadores en equipos corporativos… that is the question!

8 de julio de 2021 Por

La lucha por la cuota de mercado de los navegadores web es un relato tan viejo como la propia internet. A lo largo de esta crónica, distintos protagonistas han pugnado por atraer a los usuarios con nuevas y diferenciadoras funcionalidades que, cuando han resultado exitosas, han sido posteriormente adoptadas también por los competidores.

La publicidad, la privacidad, la explotación de los datos del usuario, la incorporación de nuevas extensiones, el consumo de recursos, vienen siendo, entre otros, algunos de los diferentes argumentos en esa confrontación.

En los últimos tiempos una nueva funcionalidad ha emergido en el terreno de los navegadores web: la sincronización de datos. De manera genérica, esta función permite acceder a los mismos favoritos, contraseñas, historial, extensiones,… desde cualquier dispositivo del usuario; es decir, estará disponible la misma información independientemente del dispositivo utilizado.

Así pues, por ejemplo, si usted sincronizara los “Favoritos” de su navegador entre el ordenador de casa y el de la empresa, accedería a los mismos “Favoritos” en ambos equipos.

[Read more…]

Controles CIS versión 8, en vuelo

4 de junio de 2021 Por
CIS Controls

Teniendo en cuenta que cualquier época es tiempo de cambio y evolución, sería imposible imaginar algo diferente para un momento de especial incertidumbre y disrupción como el actual: la pandemia generada por COVID 19 ha acelerado los ciclos de la gestión del cambio de cualquier actividad o área de conocimiento. ¡Y los controles CIS no son una excepción! Desde abril de 2019, fecha de publicación de la versión 7.1, no pocas cosas han cambiado en el universo de la gestión de la información.

Como la práctica totalidad de nuestros lectores ya conoce, los Controles CIS conforman un conjunto de buenas prácticas para la defensa frente a ataques contra los sistemas de información y las redes. Estos controles han venido siendo desarrollados por una comunidad de expertos en Tecnologías de la Información provenientes de múltiples sectores de actividad.

Este ejército de voluntarios constituye el músculo y el corazón del Center for Internet Security (CIS), organización independiente sin ánimo de lucro que se focaliza en el desarrollo de múltiples utilidades de ciberseguridad, entre ellas los CIS Controls.

[Read more…]

Salud, TI y Seguridad de la Información: un universo de desafíos

24 de julio de 2020 Por

En las últimas semanas (y meses) las aplicaciones móviles de apoyo a la lucha contra el virus se han erigido en uno de los múltiples prismas desde los que analizar la pandemia ocasionada por COVID-19; como otros tantos, en medio de este escenario repleto de riesgos e incertidumbre, esta perspectiva ha emergido acompañada de una importante dosis de polémica y controversia.

Por un lado, están las aplicaciones focalizadas en las funcionalidades de geolocalización de los ciudadanos; por otra parte, las aplicaciones de autodiagnóstico; y como punto en común a todas ellas, las potenciales limitaciones al derecho fundamental de protección de datos personales. En el ámbito europeo, diferentes interesados han saltado a la arena de una u otra forma: desde la propia Unión Europea, emitiendo sus recomendaciones; pasando por los proveedores de las propias aplicaciones, con Apple y Google como actores más renombrados; hasta las autoridades nacionales, las regionales u otros estamentos públicos reguladores, como es el caso de la Agencia Española de Protección de Datos.

Fuente: https://play.google.com/
[Read more…]

Orientaciones para armar un buen informe

1 de junio de 2020 Por

Vivimos en una sociedad que gravita alrededor de la información, por lo que no cabe duda de la importancia que cobran hoy en día las capacidades y habilidades de comunicación. Con independencia del tipo de proyecto, servicio o actividades, saber transmitir la información de manera eficaz y eficiente a los responsables y agentes interesados es sin duda un aspecto crítico.

Indudablemente, la comunicación es un proceso esencial de cualquier organización, capaz de propulsar y revalorizar otros procesos estratégicos o primarios. En el ámbito profesional, una parte importante de esta comunicación se materializa en los informes, debido a su carácter más formal y elemento de transmisión de información tanto vertical como horizontal. Por ello, deben responder a los habituales principios de la comunicación: transparencia y accesibilidad según el modelo de clasificación de la información, de modo que estén disponibles a todas las partes interesadas; idoneidad, para que sus contenidos sean pertinentes a los destinatarios; credibilidad, proporcionando información veraz, exacta y apropiada; y claridad, resultando comprensibles y huyendo de toda ambigüedad. Más allá de estas variables, nunca se debe olvidar que los informes suelen utilizarse como herramientas de apoyo a la decisión.

Fuente: Jesús Gómez
[Read more…]

Gestión de Proveedores. Entre los principios de Deming y los de la Unión Europea

21 de mayo de 2020 Por

Sin duda, todos ustedes conocerán al célebre estadístico norteamericano William Edwards Deming, firme defensor de la necesidad de transformación de la industria americana en el último tercio del pasado siglo XX y que, al mismo tiempo, desarrollaría una próspera y relevante carrera profesional durante la reconstrucción de Japón posterior a la Segunda Guerra Mundial.

Con toda probabilidad, la mayoría de ustedes estarán familiarizados con los “14 principios de la Calidad Total de Deming”, cuyo cuarto principio establece que:

Don’t award business based on price; minimize total cost by having single suppliers on long-term relationships of loyalty and trust

Es decir, algo así como: “acabe con la práctica de realizar negocios fundamentados en el precio; en lugar de ello, minimice el coste total por medio de unos pocos proveedores sobre la base de relaciones a largo plazo cimentadas en la lealtad y la confianza”.

Naturalmente, un principio es una idea fundamental que debe regir un pensamiento o una conducta… ¡lo cual no significa que sea posible llevarlo a la práctica en todo momento y circunstancia!

Fuente: Melián Abogados
[Read more…]

SGSI: De la información documentada a la gestión del conocimiento

11 de mayo de 2020 Por

En mayor o menor medida, por todos son conocidos los requisitos de la norma ISO/IEC 27001 en relación a la información documentada. Atendiendo al mandato:

el sistema de gestión de seguridad de la información de la organización debe incluir la información documentada requerida por esta norma internacional, así como aquella otra que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información

Cada entidad deberá crear, actualizar y controlar un conjunto nada desdeñable de documentos: políticas, Declaración de Aplicabilidad, alcance, revisiones por la dirección, procedimientos, normas reguladoras de la gestión de controles de seguridad, hojas de cálculo, formularios, listas de control, registros,…

[Read more…]

Cómo consolidar el alcance de un Sistema Integrado de Gestión

28 de abril de 2020 Por

Afortunadamente, cada día son más las empresas que, convencidas de los beneficios de articular y normalizar sus actividades sobre la estructura de sistemas de gestión, van adoptando e implantando algunos de ellos: desde el primigenio Sistema de Gestión de la Calidad ISO 9001, pasando por el Sistema de Gestión Ambiental ISO 14001, el Sistema de Gestión de la Continuidad de Negocio ISO 22301 o los más afines con las Tecnologías de la Información, el Sistema de Gestión de Servicios ISO 20000-1 y el Sistema de Gestión de Seguridad de la Información ISO 27001.

Pero, en el marco de este esfuerzo continuado y creciente de implantación de un Sistema Integrado de Gestión que aglutine los diversos sistemas de gestión de la empresa, ¿qué ocurre cuando el alcance de los primeros sistemas de gestión resulta demasiado genérico para su transposición a los nuevos sistemas de gestión que se van incorporando a dicho sistema integrado?

[Read more…]

Gobierno TI, gestión de servicios TI y arquitectura empresarial: tres patas para organizaciones TI esenciales para su negocio

15 de abril de 2020 Por

Por todo el mundo son conocidas las dificultades de los departamentos internos de Tecnologías de la Información (TI) para alcanzar y mantener “El Dorado” de su integración en los procesos de negocio de sus compañías. Los cambios constantes y la transformación del negocio son una característica intrínseca de cualquier sector; incluso entre los más exitosos, quien no evoluciona corre un serio riesgo de quedar en la cuneta más pronto que tarde.

Inmersos en esta dinámica, los departamentos internos de TI se afanan por adaptarse, no quedar rezagados del negocio y, en su caso, gestionar el “shadow IT” y sus consustanciales problemas de seguridad para las compañías. ¿Dónde se encuentra la raíz de los problemas?, ¿solo es un problema de tecnólogos poco decididos a seguir el ritmo del negocio o hay algo más profundo?

Como punto de partida cabe admitir que los proveedores internos de TI comparten unas características y vocación comunes: en primer lugar, se afanan en proporcionar al negocio capacidades basadas en la utilización de TI; además, se ocupan de administrar esas capacidades; y, finalmente, aspiran a convertir la TI en un elemento de ventaja competitiva a través de la innovación que introducen estas tecnologías. Corresponde entonces analizar los espacios de confluencia entre las necesidades y expectativas de negocio y, por otro lado, las actividades que vertebran el empleo de la TI.

[Read more…]