Por un desarrollo sostenible con seguridad

17 de junio de 2009 Por

Ni los hijos ni los sistemas de información vienen con el bocadillo debajo del brazo, y eso lo sabemos todos desde hace mucho tiempo, ¿no? Sí, son un gasto, a la vez un peligro, pero gracias a ellos somos capaces de incrementar nuestra productividad hasta límites jamás imaginados, y los países, las sociedades que no apuestan por su uso decididamente, son penalizadas. No tenemos que irnos muy lejos para analizar esta afirmación. España, séptima potencia económica mundial —hasta hace poco al menos—, tiene una productividad que nos sitúa en puestos de economía en vías de desarrollo.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

[Read more…]

No podemos pasarlo por alto

11 de diciembre de 2008 Por

Aunque el objeto de este blog no es, ni mucho menos, servir de trampolín comercial para la empresa que de alguna manera está detrás de estas páginas, no podemos pasar por alto que para el equipo de trabajo de S2 Grupo estos últimos días han sido algo ajetreados, tal y como habrán podido comprobar en la frecuencia de las actualizaciones. Además de haber consolidado nuestras actividades en el Centro de Respuesta ante incidentes de la Comunidad Valenciana (CSIRT-CV), hemos sido adjudicatarios del concurso para la implantación de un SGSI en la Universitat Jaume I de Castellón, del concurso para el desarrollo de una auditoría RDLOPD en RTVV y de un contrato de consultoría para el Desarrollo Seguro para la Consellería de Economía y Hacienda de la Generalitat Valenciana y otros.

Pero la gota que ha colmado el vaso de la satisfacción de nuestra empresa no ha sido, por ahora, un premio gordo de la lotería, sino el premio que el Instituto Ideas de la Universidad Politécnica de Valencia ha otorgado a S2 Grupo como empresa consolidada. Ayer, en un acto en el Paraninfo de la UPV, el Instituto IDEAS de la UPV concedió a S2 Grupo (y, por tanto, a todos nosotros) el primer accésit del Premio a la Empresa Consolidada. Se valoró la trayectoria de la empresa, su proyección de crecimiento, sus iniciativas de I+D+i y su relación con la UPV.

No podemos cerrar esta pequeña contribución como muestra de nuestra alegría sin agradecer públicamente al Instituto Ideas y a la Universidad Politécnica de Valencia el premio concedido.

Buen Gobierno. Una reflexión en voz alta.

7 de octubre de 2008 Por

No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.

Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.

No podemos trabajar en Buen Gobierno y no analizar en profundidad las evidentes implicaciones que tienen los sistemas de información y la información misma en las decisiones que toman los equipos directivos de las grandes compañías. No podemos hablar de un proyecto sostenible de una empresa y no tener en cuenta la evaluación continua de riesgos, riesgos que pueden afectar a la cuenta de resultados de la empresa de forma impredecible, tanto a través de un problema de la imagen de marca como de una sanción de la LOPD.

Dicen que en cuestión de protección de datos de carácter personal en España tenemos el régimen sancionador más duro de Europa; y tal vez sea muy duro para una PYME que no puede transferir un riesgo. O quizá lo sea para una PYME que por falta de conocimiento se enfrenta a sanciones por parte de la administración que llevan al empresario a la quiebra y a la ruina personal. Pero más allá de la PYME, no creo que sea tan duro para grandes organizaciones que se dedican a aprovisionar fondos en su cuenta de resultados porque prefieren pagar las multas a perder negocio, o que transfieren y comparten los riesgos a través de primas específicas de seguros. En estos casos no se puede alegar desconocimiento; grandes despachos de abogados se encargan de forma continua de pleitear para minimizar el impacto.

España no es el país con un régimen sancionador de protección de datos más duro para todos, sino en realidad, sólo para unos pocos, o muchos, según se mire, pero menos poderosos. En otros lugares de Europa, como Suiza o Alemania, además de tener sanciones económicas, aunque sean de menor importe, los administradores o infractores se pueden enfrentar a penas de cárcel. Interviene por tanto el Código Penal y eso, señores, sí que lo entiendemos los equipos directivos de compañías porque, independientemente de que la empresa pague la correspondiente multa, los directivos pagamos con nuestra libertad, nuestro prestigio y nuestra carrera.

¿Por qué entonces hablamos de Buen Gobierno en España? ¿Por qué olvidamos cuestiones tan importantes en el Gobierno de las sociedades? Por supuesto que el cuidado del entorno es importantísimo en los tiempos que corren y no es algo que cabe poner en duda, pero simplemente lo dejo en un comentario de Juan Alfaro, Secretario del Club de Excelencia en Sostenibilidad, al que en más de una ocasión le he oído una reflexión en voz alta que me parece de lo más apropiada: ¿conciencia o conveniencia?

Para acabar, no quiero con esto decir, ni mucho menos, que los temas tratados en los códigos de Buen Gobierno escritos en España no sean importantes. Por supuesto que lo son, pero no están ni mucho menos todos los que son, y esta situación debería cambiar para poder empezar a hablar de una forma seria de Buen Gobierno en España.

La Seguridad de la Información en el desarrollo

10 de septiembre de 2008 Por

Es complicado trabajar en el mundo de la seguridad. Estaba pensando emplear la palabra “duro”, en lugar de complicado, pero para ser justos creo que debemos dejar ese tipo de términos para otros trabajos que son “realmente duros”. Lo dejaremos simplemente en complicado.

Normalmente, los que nos dedicamos a estos menesteres, trabajamos para evitar que las cosas sucedan. Somos trabajadores incansables y silenciosos. Lo mejor es que se sepa que estamos pero que no se note. Este suele ser nuestro trabajo, pero digo suele porque no en todas las disciplinas nos ocurre lo mismo, como luego comentaremos. En los sistemas en explotación distribuimos sensores para enterarnos de las cosas, bastionamos equipos, configuramos redes y sistemas, diseñamos arquitecturas seguras, dibujamos nuestras trampas en las redes para que los “malos” caigan en nuestras redes y podamos “pillarlos con las manos en la masa”, compramos y ponemos hardware y software específico para levantar murallas virtuales (más feas que las de Carcassonne —véanlo ustedes mismos en la imagen adjunta— pero murallas al fin y al cabo). Todo con el fin último de defender nuestros bienes más preciados: nuestra información, nuestro conocimiento.

Trabajar para que no pase nada solía ser muy difícil de justificar, por no decir imposible, pero la verdad es que, poco a poco, directivos y empresarios, se van concienciando de que la Seguridad de la Información es una de esas actividades necesarias para proteger el patrimonio de las organizaciones de todo el mundo sea cual sea su actividad y tamaño y que no requiere un ROI (*) o un ROSI que lo justifique. Por decirlo de otra forma, son parte del peaje que debemos pagar por el uso que hacemos de la tecnología.

Ahora creo que toca empezar por el principio para evitar situaciones como las que nos encontramos con cierta frecuencia a la hora de hacer auditorías. Nos gusta hacer nuestro trabajo y aportar soluciones, pero en el caso de las auditorías de aplicaciones, en ocasiones, resulta muy complicado. ¿Por qué? Creo que la respuesta general la debemos buscar en la forma de afrontar el inicio del ciclo de desarrollo de las mismas. Cuando iniciamos un proyecto lo que creo que queda claro, o al menos debería quedar claro, es la funcionalidad que se desea conseguir, ¿qué es lo que queremos hacer? Desgraciadamente no es muy habitual que en el equipo de desarrollo de estos proyectos o aplicaciones intervengan equipos independientes o profesionales independientes especializados capaces de diseñar, a partir de unos requisitos funcionales, los Requisitos de Seguridad de la Información en todos sus frentes: seguridad organizativa, física, lógica y legal.

El resultado en bastantes casos es el que sufrimos cuando se nos solicita que llevemos a cabo una auditoría contra redes, sistemas y aplicaciones de una organización. En ese momento nuestro trabajo ya es reactivo y la capacidad para la acción de nuestro cliente suele ser, desgraciadamente, baja. La situación con la que nos encontramos es desalentadora para nuestro equipo, ya que planteamos un problema a nuestro cliente y sabemos de antemano que la solución, en el caso de detectar una vulnerabilidad grave en una aplicación, es difícil, costosa y a veces inviable a corto o medio plazo.

Nuestro equipo de seguridad “reclama”, en el buen sentido del término, la oportunidad para trabajar donde nuestro trabajo es más creativo, donde podemos aportar para evitar que lleguemos a situaciones como las descritas, donde en definitiva somos capaces de aportar más valor a nuestros clientes, ya que de eso se trata, ¿no?

Sirva este pequeño post como introducción de una nueva sección en el Blog de Seguridad de S2 Grupo. Una sección en la que llevamos ya algún tiempo trabajando y que podríamos denominar “Seguridad de la Información en el Desarrollo” (el nombre de la categoría tendrá que ser algo más breve). Una sección en la que nuestro equipo de de seguridad y desarrollo, dirigido en esta ocasión por nuestro Director de Desarrollo, Daniel de los Reyes, nos contará sus vivencias e impresiones sobre estos temas.

(*) ¿Acaso requiere el cálculo de un ROI la decisión de implantación de un ERP en una organización? Sin entrar a valorar qué ERP, en mi opinión la inversión está sobradamente justificada. Lo que sí deberemos analizar es el ERP que implantamos pero no si lo necesitamos o no.

La selectividad no es solo la prueba de acceso a la universidad

5 de mayo de 2008 Por

Aunque la selectividad, como prueba de acceso a la Universidad, sea ya una gran olvidada para muchos de los que la hemos sufrido, la selectividad, como principio básico de diseño de los sistemas de suministro eléctrico de las salas de ordenadores, no debería ni mucho menos serlo.

Para empezar deberemos recordar que una de las dimensiones fundamentales de la seguridad es la disponibilidad, y que si ésta falla nos enfrentamos a un problema de seguridad que, dependiendo del tipo de servicio y del momento del tiempo en el que se produzca, será de mayor o menor gravedad pudiendo llegar a ser CR?TICO.

Son muchos los factores que inciden en la disponibilidad de los sistemas de información y por tanto en la seguridad de la información, pero sin duda hay un factor básico y trivial y a la vez poco atendido o poco entendido: el suministro eléctrico.

[Read more…]

Siempre pagan justos por pecadores…

22 de febrero de 2008 Por

La LOPD puede a veces verse como una ley sin sentido y exagerada, pero cuando te paras a pensar y analizas el uso que gente sin escrúpulos puede hacer de la información que se maneja en el mundo hoy en día se te ponen los pelos como escarpias. Es en este momento cuando empiezas a entender el significado y el alcance de esta ley que está pensada sobre todo y ante todo para proteger el derecho de los individuos en una sociedad moderna y protectora como la sociedad en la que vivimos.

Les cuento uno de los casos que personalmente me hizo reflexionar sobre el sentido de la ley.

En un colegio indeterminado de Valencia —al menos para este post— se entregó un día a todos los alumnos entre 3 y 14 años un pequeño formulario en un papel cochambroso dónde se pedían una serie de datos aparentemente sin importancia alguna. Preguntaban a los padres por los hábitos de los niños, por su tez, por el número de pecas, por la sensibilidad de su piel y un largo etcétera. El objetivo del “papelito” era bueno a priori, pero uno, por esto de trabajar en lo que trabaja, se ha vuelto un poco paranoico y ve amenazas hasta en los recortes de la prensa.

El hecho es que con las contestaciones del “papelito”, un grupo “indeterminado” de personas con un “indeterminado” conocimiento en la materia iban a pronosticar la probabilidad de que un niño, de los anteriores, desarrollase, en algún momento “indeterminado” de su vida, algún tipo de afección maligna en su piel.

Hasta el momento el único problema es la “indeterminación” con la que se trata el asunto. Eso sí, he de decir que el cochambroso papelito llevaba un sello de una institución, aunque si me preguntan diría que, por el papelito y por el sello, la institución también era “indeterminada”.

Seamos serios, por favor, hablamos de datos de salud de un colectivo de niños de un colegio. Hablamos de predicciones de desarrollo de enfermedades muy serias y muy graves. Hablamos de recopilar de forma “indeterminada”, por parte de gente “indeterminada”, con unas medidas de seguridad “indeterminadas” y con posibilidad de acceso para un colectivo “indeterminado” de datos que para gente sin escrúpulos puede tener bastante valor. Al fin y al cabo toda esta información se convierte fácilmente en una base de datos de salud presente o futuro de 2000 o 3000 niños.

En mi humilde opinión es sobre estas iniciativas sobre las que debería caer todo el peso de la ley. Y no vale eso de decir que desconocía el alcance de la ley y de su régimen sancionador. No dudo en que el fin pueda ser incluso bueno pero no hay derecho que, a pesar de que el fin último sea bueno, se hagan las cosas de esta manera tan irresponsable…

A quién corresponda.

Cuando saltan chispas en la seguridad

18 de febrero de 2008 Por

No son muy amigas, la seguridad y las chispas, o tal vez la seguridad y los chispas. No lo son y no conozco realmente la razón, porque es habitual ver como empresas importantes invierten sumas nada despreciables en protecciones tecnológicas de sus infraestructuras TIC y olvidan de forma recurrente su protección física, en su más amplio sentido: la protección de las instalaciones que soportan sus sistemas de información. Instalaciones básicas (en el sentido de vitales) que en un porcentaje muy importante de los casos están descuidadas, mal diseñadas o mal ejecutadas y que en TODOS los casos tienen consecuencias negativas sobre alguna de las dimensiones de la seguridad: Confidencialidad, Disponibilidad o Integridad.

Sistemas de alimentación ininterrumpida mal dimensionados, elementos de protección incorrectos, cuadros eléctricos accesibles, instalaciones no documentadas, protecciones que no protejen, ausencia de selectividad en protecciones de circuitos, equipos de aire acondicionado mal dimensionados y mal colocados, tuberías de agua encima de las máquinas más críticas, armónicos y un largo etcétera son un breve ejemplo de las amenazas a las que nos enfrentamos en esta dimensión, y que he tenido el dudoso privilegio de ver a lo largo de mi carrera.

A la hora de enfrentarnos a un análisis de riesgos es habitual que, siguiendo más o menos lo que nos sugieren metodologías como MAGERIT, estructuremos nuestros activos de forma piramidal desde los procesos de negocio hasta llegar a las personas que lo soportan todo, pasando por las instalaciones y suministros. Según esto, si somos capaces de identificar los cimientos sobre los que se sustentan nuestros sistemas de información e indirectamente muchos de nuestros procesos de negocio, ¿por qué nos empeñamos en proteger solo parte de los niveles de la pirámide? Y es que por pequeñas que sean las instalaciones, son MUY grandes los activos que almacenan: información de nuestro negocio, de nuestros clientes, empleados, de las personas con las que trabajamos y para las que trabajamos. Cconocimiento al fin y al cabo… el alma de nuestras organizaciones.

Alguien podría esgrimir la lanza del presupuesto, pero lo cierto es que entre las instalaciones autoportantes e hiper-seguras de marcas muy conocidas para las que podemos necesitar hasta 60.000 euros para una sala de escasos metros cuadrados, y lo que habitualmente tenemos la oportunidad de ver, hay un abismo. Como cualquier otra instalación crítica, y el CPD en muchos casos lo es, necesitamos diseñar de forma adecuada las instalaciones, teniendo en cuenta que no es lo mismo hacer una instalación eléctrica en una casa o en una nave industrial que en una sala técnica, y que no podemos tratar las condiciones ambientales de la misma como si fuese una cámara frigorífica o una sala de cine. A lo que voy, es que cada una de las instalaciones que hospedan físicamente nuestros sistemas requieren un cuidado especial y unos conocimientos específicos.

La selectividad no es sólo la prueba de acceso a la universidad“. Esta será la próxima entrada de esta serie sobre seguridad física que comenzamos en Security Artwork, en la que, en la línea de lo dicho hasta ahora, hablaremos de un concepto poco conocido —o poco aplicado— a la hora de diseñar las instalaciones eléctricas de los CPDs.

¿Todo lo que no son cuentas son cuentos?

22 de noviembre de 2007 Por

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

¡¡Estaba totalmente equivocado!! El resultado se lo pueden ustedes imaginar…

Los asistentes al evento eran técnicos y directivos de grandes empresas, de la administración pública y de consultoras especializadas y, en mi opinión, de lo que hablaban y lo que querían escuchar eran cosas completamente distintas. Hablaban de gestión medioambiental, de recursos humanos o gestión del personal, de gestión financiera, de trasparencia, del código Conte, del número de mujeres que debían participar en los consejos de administración,… y ni una sola mención a la seguridad, a la monitorización de procesos —incluido el de gestión de la seguridad— ni a la gestión en tiempo real. ¡¡¡Vaya chasco!!! Estaba como pez fuera del agua, y el caso es que seguía convencido con el hecho que teníamos mucho que decir en ese contexto, pero la percepción es que estaba hablando en un idioma que ni podían ni querían entender. Un fallo de preparación, sin duda, y la Seguridad una grandísima ausente.

La vida sigue. La experiencia no fue positiva, pero de esto también se aprende. Creí por un momento que la convicción profunda que tenía sobre el hecho de que la RSC no podía relegar a un ámbito técnico o tecnológico los asuntos relacionados con la seguridad, con la gestión en tiempo real, con la monitorización de procesos, estaba infundada. En definitiva que el leit-motiv de nuestro proyecto empresarial, el de S2 Grupo, no convergería nunca con algo en lo que creía profundamente: “Las obligación que tienen las empresas de desarrollar su negocio de forma sostenible, cuidando la conciliación de la vida familiar y profesional, cuidando de su entorno y de la sociedad en la que viven, cuidando de la confianza que se deposita sobre ella, cuidando sus cuentas, cuidando de la información: la de carácter personal y la que no lo es, cuidando de sus resultados, de sus activos, de … TODO. Es una OBLIGACIÓN, no una opción”.

Una conversación con mi socio y amigo al respecto volvió a darme la confianza perdida por unas horas y el trabajo duro siguió.

Hace unas semanas me llegó la invitación del ISMS Forum, asociación española para el fomento de la seguridad de la información, de la que, como no podía ser de otra forma, S2 Grupo es miembro, a la II jornada internacional organizada en colaboración con INTECO y con el título: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”.

No se pueden imaginar ustedes la alegría que me lleve. Los tiempos han cambiado un poco. Las entidades con su SGSI certificado son ya muchas. Solo AENOR tiene ya más de 80 organizaciones certificadas según dato aportado por D. Avelino Brito en su intervención en la jornada, entre ellas S2 Grupo como la primera en la Comunidad Valenciana con la ISO 27001.

Me gustó el planteamiento inicial de la jornada y me ha gustado, en líneas generales, el contenido de la misma.

A pesar de que el plato fuerte de la jornada era, a priori, la intervención en directo de Bruce Schneier que como era de esperar estuvo francamente bien, yo quiero destacar el panel de expertos en el que un grupo de personas, no técnicas de la seguridad informática, disertaron durante un buen rato sobre las relaciones entre la Responsabilidad Social Corporativa —o como D. Javier López-Galiacho decía Responsabilidad Corporativa— y la Seguridad de la Información. Estuvo francamente bien.

D. Javier López-Galiacho, Director de Responsabilidad Corporativa de FCC, hizo una exposición brillante en mi opinión sobre los conceptos básicos de la Responsabilidad Corporativa, ya que según defiende esta responsabilidad no sólo es social, y le hizo los guiños justos a la Seguridad de la Información cuando pasó por encima del Buen Gobierno.

Y es que no puedo estar más de acuerdo con lo que dijeron los miembros del panel en este sentido. Sí, señores, ¿acaso no forma parte del buen gobierno gestionar, controlar y monitorizar que los accesos de nuestros sistemas de información son los que deben ser y no otros? ¿acaso no es un asunto de buen gobierno garantizar que la información de nuestros empleados está a buen recaudo y no en manos de un desaprensivo que quiera usarla para fines no lícitos? ¿acaso no es un asunto de buen gobierno gestionar correctamente los soportes con información confidencial y secreta que de nuestra organización circula por el mundo? Yo creo que sí y ayer se habló públicamente de esto. ¡¡Sí señor!! La Responsabilidad Social Corporativa debe tener en cuenta, en el lugar que le corresponde, la necesidad de gestionar la seguridad de la información, debe escuchar cuanto tenemos que decir los profesionales que nos dedicamos a esto.

Mientras las empresas que cotizan en la bolsa americana sudan la gota gorda para cumplir la SOX y en particular su sección 404 que habla de seguridad y de gestión en tiempo real entre otras cosas, nuestra sociedad, a este lado del atlántico, discute airadamente sobre el porcentaje de mujeres que debe haber en un consejo de administración de una empresa o si el código Conte es un código demasiado intrusivo o si debe o no debe el estado regular determinado tipo de situaciones. ¿No estará en el término medio la virtud?

En fin, como conclusión diré que 350 personas nos hemos sentado en torno a una mesa (¡¡enorme!!) para hablar de Seguridad y Responsabilidad Social Corporativa. ¡¡Será por algo!! Varias veces se dijo en tono irónico “todo lo que no son cuentas son cuentos” Pues no señores, hay muchas cosas que no son cuentas que tampoco son cuentos…

En definitiva, ¡¡enhorabuena a Gianluca y al resto de la junta por el éxito del evento!!

¿Es el correo electrónico un medio de comunicación seguro…?

5 de septiembre de 2007 Por

mail.jpgLeía hace unas semanas una noticia que decía “La policía danesa detiene a un hombre por acceder a los correos electrónicos de Michael Rasmussen” y seguía “La policía danesa ha arrestado en Herning, en el oeste de Dinamarca, a un danés de 30 años por introducirse en el correo electrónico del ciclista Michael Rasmussen e intentar vender a un periódico la información que obtuvo”.

Esta noticia me ha hecho reflexionar sobre la seguridad general del correo electrónico que transita por el mundo y el negocio lucrativo que algunas mentes enfermizas pueden obtener por el hecho de fisgar en el correo ajeno.

Nuestros equipos de trabajo han analizado en bastantes ocasiones la seguridad del correo electrónico desde la óptica, por ejemplo, de la Ley Orgánica de Protección de Datos y de las medidas de seguridad que el Reglamento nos exige. ¿Podemos enviar información de carácter personal por el correo electrónico? ¿Cumple el correo electrónico las medidas básicas de seguridad para proteger la información que contiene? ¿Cómo podemos hacer uso del correo electrónico como canal de comunicación seguro? Las respuestas no son desde luego triviales para el gran público.

Pero el foco del análisis ha sido siempre distinto. Nos hemos enfrentado a infraestructuras corporativas de correo electrónico con servidores de correo, a evitar que el correo sea interceptado dentro y fuera de las organizaciones y a garantizar unas medidas de protección para determinado tipo de información que viaja en nuestros sobres electrónicos, pero, al menos yo, no me había planteado el interés que los correos electrónicos personales pueden llegar a tener en función de los dueños de las cuentas y, por tanto, la necesidad de que los que hospedan estas cuentas de correo ofrezcan a sus clientes servicios que garanticen la seguridad de sus comunicaciones.
[Read more…]

Y la culpa será del cambio climático II…

6 de agosto de 2007 Por

cpd.jpgLa verdad es que hay veces que nos pasa poco respecto de lo que nos podría llegar a pasar. En el fondo el ser humano tiene un cupo de suerte razonable, aunque siempre nos parezca poca. No son pocas las organizaciones que gastan sumas importantes de dinero en productos y servicios que incrementan, aparentemente de forma proporcional, la disponibilidad de la información, la confidencialidad y su integridad en el perímetro interior de las organizaciones. Muchos gestores TIC centran sus políticas de seguridad en la protección puertas adentro pero ¿es realmente efectiva, en los tiempos que corren, una política de seguridad que solo contemple el perímetro físico interior de nuestra organización?

En mi opinión no, y si no, piensen ustedes en qué les sugieren las dos imágenes que incluimos en este comentario.

He observado varias reacciones al respecto de esta pregunta, además de la mía propia por supuesto. La reacción inicial dibuja una leve sonrisa en la cara del observador. Al cabo de unos segundos el gesto sonriente se torna en serio, mostrando una cara de preocupación. ¿Será tal vez porque vea a su organización identificada? Pues… tal vez.

mascara.jpgEl hecho cierto es que esta situación se repite constantemente, y no sólo con los hogares de directivos y de personal técnico con privilegios suficientes para tumbar las infraestructuras de su empresa. Las fronteras han caído (ver la entrada “La caída de las fronteras digitales”) y desde las áreas de seguridad debemos extender nuestras preocupaciones y ocupaciones allende los muros de hormigón de nuestros despachos. Debemos llegar, virtualmente hablando, a la casa de nuestro Director General, a la casa del Director de Recursos Humanos, a la oficina de la gestoría que nos hace las nóminas o a la red de la empresa que está desarrollándonos esa aplicación para la gestión de clientes.

En el caso del “home office” somos nosotros los responsables de establecer las políticas, de implantarlas y hacer que se cumplan. En el caso de proveedores que tratan información de nuestras organizaciones también somos nosotros los “responsables” de marcar las pautas y, aunque sea el proveedor el responsable de aplicar las medidas oportunas, nosotros deberemos velar por el cumplimiento de las mismas “deber in vigilando

La verdad es que es sorprendente lo duras que pueden llegar a ser las medidas de seguridad puertas adentro de una organización y lo descuidadas que pueden llegar a estar las mismas organizaciones en su seguridad en el exterior. Pero no se preocupen ustedes, si hay algún problema, como ya les dije la otra vez, siempre podremos decir que la culpa es del cambio climático…