Seguridad alimentaria: de la granja a la mesa

El pasado viernes tuvo lugar la 1ª jornada de Calidad y Seguridad Alimentaria en la ETS de Ingeniería Agronómica y del Medio Natural (UPV). El objetivo de la jornada era dar a conocer el marco regulatorio en materia de seguridad alimentaria, analizar los principales peligros que afectan al sector industrial y presentar las estrategias de algunas empresas del sector para garantizar la seguridad y calidad de los productos.

En la presente entrada haré un breve resumen sobre el contenido de cada bloque tratado en la jornada y comentaré aquellos aspectos que me resultaron más interesantes.

Bloque 1: La seguridad en la cadena alimentaria

La jornada se inició con una breve introducción sobre la cadena alimentaria y los actores que en ésta intervienen. Además, se presentó la idea de “From Farm To Fork” (de la granja a la mesa) que estuvo presente en la mayor parte de las ponencias. Como era de esperar, esta filosofía para asegurar la calidad destaca la importancia de tratar la seguridad alimentaria a lo largo de toda la cadena y no únicamente en sus etapas finales antes de llegar al consumidor. Aunque lo expuesto en relación al sector primario y a la Administración resultó enriquecedor, desde mi punto de vista este primer bloque quedó “cojo” al no tratar uno de los actores principales de la cadena: el sector logístico.

[Read more…]

BYOD

BYOD, de sus siglas en inglés “Bring Your Own Device”, es una tendencia que consiste en permitir / fomentar el uso de dispositivos personales en el entorno de trabajo. Es decir, que sean los empleados quienes traigan sus “herramientas” para desempeñar sus labores del día a día. Se trata de una tendencia que se ha ido arraigando en las organizaciones y que ahora está en auge. Debido a las implicaciones que esto puede tener desde el punto de vista de la seguridad de la información, resulta necesario evaluar las ventajas e inconvenientes de está practica así como los riesgos que se derivan de la misma.

En la presente entrada, vamos a tratar algunas de las particularidades de BYOD y expondremos la opinión desde dos puntos de vista: Dirección y CSO.

Antes de hablar de los pros y contras de BYOD conviene concretar un poco más a qué nos referimos con éste término. Como podréis imaginar, los límites no se encuentran claramente definidos. En principio, cuando hablamos de Bring Your Own Device, hacemos referencia a que los empleados usen su dispositivo: Portátil, tablet, smartphone, etc. Pero el software con el que llevan a cabo sus tareas seguirá siendo el corporativo. Ahora bien, si los empleados aportan además del dispositivo, el software, entonces se utiliza el término BYOT (Bring Your Own Technology). Ya por último y, por si no fuera suficiente, también se está hablando de que los empleados traigan su propia “nube”. En estos casos, se habla de BYOC (Bring Your Own Cloud).

Ventajas

Una de las posibles ventajas de BYOD es que los empleados cuidan / tratan mejor los dispositivos por ser estos de su propiedad. En lo que respecta a la organización, la adopción de BYOD puede suponer un ahorro en lo que a la adquisición de terminales se refiere. No obstante, el debate en relación a este beneficio sigue abierto ya que está por comprobar si realmente el ahorro en la adquisición de terminales compensa el coste adicional derivado de la implantación de mecanismos para garantizar un nivel apropiado de seguridad.

También hay que valorar las ventajas que puede aportar desde el punto de vista de la movilidad. El empleado puede disponer de un entorno de trabajo en casa “muy similar” al que encuentra en la oficina. Por lo tanto, parece razonable pensar que BYOD resultará especialmente interesante para aquellas organizaciones que operen siguiendo un modelo de teletrabajo.

Al margen de lo citado, el aporte más interesante de BYOD tiene que ver con el hecho de que, en determinados tipos de puesto de trabajo, en los que el manejo de información y la generación de conocimiento es lo más importante, los usuarios no separan claramente la vida profesional de la personal. En esta situación, resulta mucho más cómodo utilizar un único dispositivo para ambos ámbitos y así evitar ir cargado con el móvil del trabajo, el personal, el portátil de la empresa, el iPad, etc. Ni que decir tiene que, si el usuario es techie, le encantará poder elegir exactamente el dispositivo que quiere (modelo, SO, versión del SO, color, aplicaciones instaladas, etc.). De este modo, BYOD se convierte más en un acuerdo que beneficia a ambas partes y una muestra de flexibilidad por parte de la empresa.

Inconvenientes

En mi opinión el principal inconveniente tiene que ver con la seguridad de la información. Si BYOD no se gestiona adecuadamente puede suponer una importante brecha en la seguridad de las organizaciones. De hecho, algunos expertos en la materia han “rebautizado” el acrónimo BYOD como: “Bring Your Own Disaster” o “Bring Your Own Danger”.

Resulta sencillo imaginar múltiples situaciones en las que BYOD pueda producir una fuga de información. Pongamos por ejemplo el caso más sencillo: “Un empleado que ha usado su portátil personal en el trabajo” y planteémonos las siguientes cuestiones: ¿Dispondrá este equipo de unas medidas de seguridad equiparables a las del resto de equipos de la organización?, ¿quién se encarga de velar por la seguridad de este equipo?, ¿qué ocurre si este empleado decide renovar su equipo y vender el antiguo?, ¿realizará un borrado seguro de los discos duros?, etc. Otra cuestión a tener en cuenta es que al tratarse de un equipo personal, es muy probable que éste sea usado por otras personas del entorno familiar, amigos, etc. Nuevamente esto supone un importante riesgo.

Al margen de los inconvenientes que BYOD pueda tener en relación a la seguridad, no hay que pasar por alto el calvario que puede suponer para los administradores de sistemas. Éstos se verán forzados a trabajar en un escenario heterogéneo de dispositivos cada uno con sus particularidades.

Comentarios y opiniones

He tenido la oportunidad de comentar este trending topic con personas de distintos ámbitos: clientes, proveedores, amigos y, por supuesto, con compañeros de S2 Grupo. Creo que os resultará interesante conocer las opiniones de tres personas en particular. Con su permiso, y a modo de cierre, las incluyo a continuación:

Jose Miguel Rosell – Socio Director de S2 Grupo.

¿Es BYOD una moda pasajera o por el contrario es el modelo al que van a tender las organizaciones?, ¿qué postura ha tomado S2 Grupo al respecto y cuál ha sido el factor más influyente?

Más que de moda yo hablaría de tendencia imparable. Es una realidad que venimos observando desde hace tiempo a la que se le ha puesto un nombre y, por tanto, no creo que, en términos generales, se trate de una moda a la que van a tender o no las organizaciones o de algo que puedan decidir las mismas. Es una tendencia que están adoptado los usuarios. Las organizaciones lo que hacemos es, en este tipo de casos, diseñar las políticas de uso de algo que de una u otra manera viene impuesto por la realidad de los usuarios. Es algo similar a lo que ha pasado con el uso de las redes sociales.

Las organizaciones nos tenemos que adaptar o sufrir las consecuencias. En este sentido S2 Grupo, como muchas otras organizaciones del mundo, está analizando qué política de uso debe diseñar atendiendo a las necesidades de una empresa que, en nuestro caso, tiene el agravante de ser una empresa de seguridad. En este sentido, en este momento, la respuesta a esta pregunta yo diría que no es trivial y que tengo que contestar que estamos analizando el riesgo que introduce esta tendencia en organizaciones que manejan información sensible y cómo mitigarlo. Desde luego no creo que en este tipo de compañías el factor influyente sea el coste, el factor, en mi opinión, más influyente va a ser el riesgo y la posibilidad de limitarlo. En resumen yo creo que tenemos que conformarnos, por ahora, con un sonoro y decepcionante «dependerá».

Dependerá del tipo de organización y de la respuesta que la industria de la seguridad sea capaz de aportar para la incorporación, de una forma eficiente, de esta tendencia a las infraestructura TIC de las compañías.

Miguel Ángel Juan – Socio Director de S2 Grupo.

¿Qué cambios se tendrán que producir en la tecnología para que BYOD se extienda en las organizaciones conscientes de los riesgos de esta práctica?

Debemos diseñar un sistema que permita incrementar la seguridad de las organizaciones contando con el apoyo y respaldo de los empleados. Se deben establecer mecanismos que permitan al empleado separar de una forma sencilla, la información personal de la corporativa. Evidentemente, también será necesario aplicar controles para garantizar la seguridad de la información corporativa.

Es pronto para hablar de cambios concretos en la tecnología, pero desde mi punto de vista, la clave radica en involucrar al empleado. Convencidos de que este es el camino a seguir en S2 Grupo hemos iniciado MUSES. Un proyecto I+D cuyo principal objetivo es incrementar la seguridad corporativa reduciendo el riesgo introducido por las actuaciones de los usuarios. Aportaremos más detalles sobre nuestros avances en esta línea en futuras entradas.

Antonio Villalón – Director de Seguridad de S2 Grupo.

Hemos visto que BYOD puede entrañar muchos problemas de seguridad, ¿crees que oponerse rotundamente es adecuado?, ¿cómo podemos lograr un equilibrio entre seguridad / flexibilidad?, ¿alguna recomendación que permita reducir el riesgo sin matar moscas a cañonazos?

Oponerse rotundamente a algo casi nunca es adecuado :) Lo que desde Seguridad tratamos de hacer siempre es analizar cómo integrar una necesidad, en este caso BYOD, en la seguridad corporativa: es decir, no nos oponemos de entrada a BYOD, lo que trataremos de hacer será que esta tendencia no introduzca riesgos en la organización.

Lograr un equilibrio entre funcionalidad (o flexibilidad) y seguridad no siempre es sencillo; para aplicar medidas de seguridad sobre dispositivos personales necesitamos en primer lugar que el usuario esté de acuerdo (si no lo está, como mucho podremos denegarle el acceso a datos corporativos… o intentarlo), y eso no se consigue por una vía técnica sino por una vía de concienciación. Cuando alguien es consciente de que un robo, una pérdida o un ataque a su dispositivo pone en riesgo tanto su información personal como la información corporativa, y eso se le demuestra fácilmente, asume sin problemas medidas técnicas —por supuesto, siempre trataremos de ser lo menos intrusivos posible, salvo cuando no hay más remedio.

Como recomendación, una medida muy simple: apliquemos en los dispositivos personales las mismas restricciones que en los corporativos. Si estas medidas son proporcionales -y deben serlo en ambos casos- los usuarios las adoptarán sin problemas y no introduciremos riesgos significativos en nuestra organización.

Día de la Protección de Datos en Europa

Mañana, sábado 28 de enero de 2012, se celebrará el día de la Protección de Datos en Europa. Es la sexta vez que se celebra desde sus inicios en 2006 y por este motivo queremos tratar algunas cuestiones sobre este día.

¿De qué trata este evento?

El día de Protección de Datos en Europa es una jornada que tiene como objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos. Esta jornada está respaldada por las autoridades de Protección de Datos de los estados miembros de la Unión Europea (por ejemplo, la AEPD), el Consejo de Europa y la Comisión Europea.

¿Por qué se celebra el día 28 de enero?

El Comité de Ministros del Consejo de Europa eligió esta fecha para conmemorar el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Dicho convenio se firmó el 28 de enero de 1981 y establece las bases para la protección de datos en Europa.

[Read more…]

Risky Business

Recientemente he tenido la ocasión de leer un artículo titulado “Risky business» (Leah Hoffmann, Communications of the Association for Computing Machinery). Ya os adelanto que poco o nada tiene que ver con la película con la que comparte nombre y que protagoniza Tom Cruise. Este artículo ha sido publicado en la revista CACM (Communications of the Association for Computing Machinery) y como ya hemos hablado de esta revista en un post anterior, aprovecho para indicar que CACM es una publicación mensual con alrededor de 80.000 suscriptores donde podemos encontrar muchos artículos relacionados con la computación y los sistemas de información.

El artículo en cuestión, Risky Business, trata distintas cuestiones relacionadas con los ataques informáticos. Se citan, a modo de ejemplo, algunos de los ataques más sonados del último año:

Expertos en el campo de la seguridad de la información pertenecientes a distintas organizaciones (Carnegie Mellon University, Purdue, Indiana University,…) y compañías del sector TIC como CISCO Systems estudian la evolución de las acciones ilícitas. Las conclusiones de estos estudios indican que se está reduciendo el número de ataques masivos y por el contrario aumenta el número de ataques centrados en un objetivo específico como por ejemplo, los ataques de phishing. En general, se detecta que los robos de información se suelen producir por motivos económicos o políticos. Se estima que la venta de información personal mueve más de 100 millones de dólares anualmente, aunque grupos de hackers como Lulz Security (o LulzSec) realizan ataques por diversión.

Para abordar el problema se plantean diversas líneas de actuación. Éstas son algunas de las que menciona el artículo.

Marco regulatorio legal: Se remarca la importancia de crear un marco legislativo firme en materia de seguridad de la información. En este sentido la Comisión Europea ha propuesto la creación de leyes que permitan responsabilizar a las compañías desarrolladoras de software de los daños que se deriven de las vulnerabilidades o bugs de sus productos.

Personalmente creo que es complicado que esta propuesta tenga éxito. Es cierto que reducir las vulnerabilidades del software contribuye a incrementar la seguridad. No obstante, a la hora de rendir cuentas, es previsible encontrar situaciones complejas en las que en un mismo sistema haya instaladas múltiples aplicaciones susceptibles de contener vulnerabilidades. En esta situación ¿Quién paga el pato? Si la propuesta sigue adelante podemos vaticinar un incremento en la demanda de servicios de peritaje informático.

Incentivar la identificación y notificación de vulnerabilidades. La segunda línea de actuación también tiene que ver con los bugs y vulnerabilidades del software. En este caso se plantea la creación de un fondo entre las compañías que desarrollan software a fin de bonificar a aquellos que identifiquen y notifiquen sus hallazgos. (Actualmente ya se están llevando acciones similares como son, por ejemplo las iniciativas de TippingPoint).

Information sharing. Como viene siendo habitual las iniciativas concretas sobre algún aspecto de la seguridad van acompañadas de actuaciones propias de “information sharing”. Es decir, iniciativas que permitan compartir información entre grupos con los mismos intereses o afectados por un problema común. En este caso particular, se pretende fomentar que se compartan experiencias sobre la detección y resolución de vulnerabilidades.

En mi opinión ésta es una de las líneas de actuación más importantes y que más beneficios puede aportar. Dicho esto, aprovecho la despedida para agradecer la participación de nuestros amigos, compañeros y lectores que respaldan estas iniciativas aportando su granito de arena.

Pasen todos ustedes un buen fin de semana.

¿Traes invitación? Sí, corbata y decisión…

No es que sea un fan de Jimmy Jump, pero en esta entrada quiero comentar algunas experiencias personales relacionadas con saltarse controles de acceso. Para evitar dañar la marca/imagen de algunos de los actores que aparecen en el post, voy a evitar incluir nombres de las compañías involucradas en estas historias.

Buenos días, tengo una reunión con nombre_del_jefe

El contexto de esta historia es el siguiente: en el desarrollo de un proyecto comprobamos que los controles de acceso del cliente no eran todo lo estrictos que debían ser, lo comunicamos al personal responsable del control de acceso y ésto dio pie a que pudiéramos hacer pruebas para ver si conseguíamos evitar las medidas de seguridad. Las distintas pruebas se realizaron durante un periodo que duró aproximadamente tres meses.

[Read more…]

Risk Governance, defensa a tres bandas

Hace unos días recibí la revista de ISACA “ISACA Journal Vol. 5 Governance, tying together the three lines of defense”. En esta publicación encontramos un artículo sobre el Risk Governance (en adelante, Gobierno del riesgo). El artículo me pareció interesante pero un poco alejado de la realidad con la que solemos encontrarnos. Si me permitís la expresión, creo que está redactado un poco «a la Americana«. En más de una ocasión, al leer sobre estos temas de gestión «de tan alto nivel» me quedo con una sensación un tanto extraña, es como si esas empresas con increíbles estructuras organizacionales no existieran por aquí. Eso me lleva a preguntarme: ¿tan distintas son unas organizaciones de otras? ¿O simplemente es que usamos distintos términos para referirnos a lo mismo? Gobernar, gestionar, administrar… el lenguaje es caprichoso.

En lo que resta de entrada quiero aportar mi interpretación sobre el artículo “The three lines of defense related to Risk Governance” (Las tres líneas de defensa relacionadas con el Gobierno del Riesgo) procurando ofrecer una visión más cercana y similar a la que nos podemos encontrar en nuestras empresas. Pero antes de centrarnos en el artículo creo que es conveniente revisar algunos conceptos para situarnos en contexto.

Gobierno corporativo: Conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de gobierno de la empresa […]. Un buen Gobierno Corporativo provee los incentivos para proteger los intereses de la compañía y los accionistas, monitorizar la creación de valor y uso eficiente de los recursos […]. (Wikipedia).

Particularizando un poco esta definición para que se ajuste mejor a nuestro propósito, diremos que el “Gobierno corporativo” está formado por políticas, directrices y normativas que regulan cómo debe funcionar la organización para poder alcanzar unos objetivos (objetivos de negocio).

Gobierno TI: Parte del gobierno corporativo que consiste en que el liderazgo, las estructuras organizativas y los procesos para asegurar que la TI sostiene y extiende los objetivos y estrategias de la Organización. (IT Governance institute).

Gobierno del Riesgo: Aproximación sistemática al proceso de toma de decisiones asociado a los riesgos naturales o tecnológicos basada en los principio de cooperación, participación, mitigación y sostenibilidad para alcanzar una gestión de riesgos más efectiva. (Wikipedia).

Esta definición queda un poco alejada del contexto en el que nos movemos. En nuestro caso, tal y como hemos descrito el Gobierno TI, consideraremos el Gobierno del Riesgo como una parte más del Gobierno corporativo que, a través de estructuras organizativas y procesos, permitirá gestionar adecuadamente los riesgos (tecnológicos o no tecnológicos) facilitando que la organización alcance sus objetivos.

Una vez expuestos y particularizados algunos conceptos nos centramos en estudiar la estructura de Gobierno del Riesgo que plantea el autor del citado artículo. Se trata de una estructura compuesta por tres líneas de defensa, veamos en qué consisten, cuáles son sus funciones y cómo podríamos implementarlas en nuestra organización:

1ª Línea: Departamentos

La primera línea de defensa hace referencia a los departamentos de la organización y a los distintos empleados que realizan las tareas operativas. Sobre ellos recae la responsabilidad de gestionar el riesgo día a día. Para ello, deben conocer las implicaciones que tiene sobre la organización el correcto desempeño de sus tareas.

Implementación: Para trasladar esta línea a nuestras organizaciones será necesario habilitar unos canales de comunicación entre los departamentos y la 2ª línea de defensa para que cualquier información relevante desde el punto de vista del riesgo se comunique eficientemente. Evidentemente, se debe llevar a cabo un programa de formación en el que se indicará qué aspectos se deben controlar, cómo realizar las comunicaciones, etc.

2ª Línea: Comité de Riesgos

La segunda línea de defensa está formada por un comité multidisciplinar (Comité de Riesgos). Este grupo debe tener conocimientos sobre las distintas áreas de la organización. Puede haber un responsable que represente a cada departamento y, si se considera oportuno, se puede contar con asesoría externa.

Este comité tiene dos funciones principales. La primera de ellas consiste en prestar soporte a la Alta Dirección y, conjuntamente, decidir cuál es el nivel riesgo aceptable. Para ello lo más recomendable es realizar sesiones de trabajo en las que, a través de un caso de estudio, se plantean situaciones adversas a fin de determinar si la organización puede o no asumir determinados riesgos. La segunda función consiste en supervisar las tareas que se realizan los distintos departamentos y comprobar que el riesgo se mantiene bajo los umbrales fijados por la Alta Dirección.

Implementación: Es habitual que las organizaciones dispongan de un Comité de Gestión que dé soporte a la Alta Dirección o incluso que parte de la Alta Dirección forme parte de este órgano de gobierno. No tenemos que partir de cero ni reinventar la rueda. Las funciones y responsabilidades del Comité de Gestión se pueden ampliar para que adopten el rol del Comité de Riesgos.

3ª Línea: Grupo de auditoría

La tercera y última línea de defensa está formada por el grupo de auditoría. En el artículo al que hacemos referencia habla del US Sarbanes-Oaxley Act compliance team (grupo para verificar el cumplimiento de la Ley Sarbanes-Oaxley). En nuestro caso es más conveniente tener una visión más amplia. Para ello, indicaremos en las directrices de auditoría de nuestra organización que se debe verificar el cumplimiento legal en general, es decir, LOPD, LSSI, y/o cualquier ley o marco regulatorio del sector que sea de aplicación para nuestra organización.

El nombre del grupo nos permite deducir cuáles serán sus funciones. Únicamente remarcar que aparte de verificar el cumplimiento legal, deberá evaluar la efectividad global del marco establecido para el gobierno del riesgo.

Implementación: En la práctica muchas organizaciones cuentan con personal encargado de realizar las auditorías internas y, habitualmente se recurre a organizaciones externas para que las auditorías sean más objetivas e independientes. Estas personas serán las encargadas de comprobar que el Gobierno del Riesgo es el adecuado.

A estas alturas no creo que nadie se plantee diseñar, establecer y operar una estructura para el Gobierno del Riesgo partiendo desde cero. Probablemente esa no sea la mejor opción ya que la empresa en cuestión tendrá su propia estructura organizativa, se habrán definido roles, asignado responsabilidades, implantado procesos, etc. Por eso, considero que la clave para establecer sistemas de Gobierno (si lo podemos llamar así) radica en realizar un análisis y ver qué analogías encontramos entre el modelo propuesto en los estándares, guías o normas y nuestra organización. Seguramente encontremos más similitudes de las que a priori podríamos pensar. Nos sorprenderemos al comprobar que cuando unos hablan de ”tres líneas de defensa”, nosotros hablamos de “defensa a tres bandas”.

COBIT 5, tanteando el terreno

¿Han leído COBIT? Es una de esas lecturas ligeras que pueden llevarse a la playa o para descansar a la sombra de un pino. Es más, si se dispone de la edición de bolsillo pueden llevárselo al dentista para amenizar la espera, no hay nada como la prosa de COBIT para pasar un buen rato. ¿¡Qué dice éste chalao!?, habrán pensado los lectores que conozcan COBIT. Estaba sólo bromeando :)

Como ya sabrán, COBIT no es ningún bestseller que podamos llevar a la piscina para pasar un rato entretenido, sino que son las siglas de “Control Objectives for Information and related Technology”. Es un conjunto de mejores prácticas relacionadas con el Gobierno TI que fue creado por ISACA (Information Systemas Audit and Control Association) y por el ITGI (IT Governance Institute). Se han publicado varias versiones de COBIT. La primera versión fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000; y la cuarta edición en 2005, y la versión 4.1 está disponible desde mayo de 2007.

Este tipo de publicaciones, las que agrupan o recopilan “mejores prácticas”, requieren de actualizaciones para no quedarse desfasadas u obsoletas. Era previsible pensar que una nueva edición de COBIT llegaría en “breve” y si todo sigue según lo previsto, la próxima versión de COBIT (COBIT 5) estará disponible a principios de 2012. A medida que se va concretando la última versión, van surgiendo noticias con las novedades que ésta contendrá. De hecho podemos descargar y consultar un primer borrador en el que se destacan los principales cambios que aportará la nueva versión.

[Read more…]

Seguridad, ¿cuándo dar el salto?

Las organizaciones cambian constantemente; es posible que algunas cambien por capricho pero la gran mayoría cambian para subsistir. El origen de los cambios es diverso: algunos tienen que ver con iniciativas internas de la empresa, otros están condicionados por la relación con terceras partes (clientes, proveedores, socios, etc.) y, por supuesto, hay cambios que vienen forzados por el entorno. Por ejemplo, un cambio en el marco legislativo puede forzar a la organización a modificar sus procesos a fin de cumplir los nuevos requisitos regulatorios.

Todos tenemos claro que los cambios, sea cual sea su origen u objetivo, tienen lugar y por lo tanto, se deben gestionar adecuadamente para evitar que éstos repercutan negativamente en la seguridad de la organización.

En el escenario descrito, donde las organizaciones cambian y evolucionan, ¿qué papel juega la seguridad?, ¿es una carga?, ¿es un factor facilitador o por el contrario es un factor que añade complejidad innecesaria? En la presente entrada vamos a analizar algunas cuestiones relacionadas con la seguridad a lo largo del “ciclo de vida” de una organización.

Etapa 1: Nacimiento.
01En un escenario ideal, una organización recorrería su camino acompañada en todo momento de la “Seguridad”. En primer lugar, cuando la organización se está creando o se creó recientemente, hay pocos “activos” que proteger pero a su vez, es muy importante que éstos se protejan adecuadamente. Sin duda depende mucho del tipo de organización pero pongamos por caso una pequeña empresa que tiene una buena idea (o una gran idea). En este caso, mantener esa idea bien protegida es fundamental. Si la idea llega a otra organización, ésta puede adelantarse y, como ya sabemos, en muchos ámbitos ser el primero en ofrecer “algo” nuevo es crucial para el éxito.

Etapa 2: Primeros pasos.
02Una vez se han desarrollado los primeros proyectos, la organización sale del rodaje. No es de extrañar que se hayan tenido que apagar algunos fuegos debido a que no se habían tomado las medidas adecuadas para prevenir o mitigar algunos riesgos. En esta etapa tomar acciones para mantener unos niveles de seguridad adecuados permitirá que la organización evolucione dando pasos firmes. Pongamos por caso una pyme que propicia una fuga de información relacionada con uno de sus clientes. Esto es negativo sea cual sea el grado de madurez de la organización pero resulta especialmente negativo en los primeros pasos ya que la reputación de la misma puede verse afectada. En función de la magnitud del incidente, algunos clientes podrían decidir prescindir de los servicios. Además, los clientes potenciales rara vez adquirirán productos o solicitarán servicios de una organización de la que desconfían.

Etapa 3: Madurez.
03Siguiendo un orden cronológico de las etapas por las que pasa una organización, llegamos a la madurez. En esta etapa, la organización está asentada en el mercado. Dispone de cierta estabilidad y de un conjunto amplio de clientes. Aunque las mejores prácticas en temas de seguridad se pueden aplicar a todas las organizaciones, con independencia de su tamaño, suelen ser las organizaciones maduras las que mejor pueden adaptar sus procesos e incorporar una gestión eficaz de la seguridad. Ahora no entraremos en detalle sobre la importancia y beneficios que tiene la seguridad para las organizaciones que han alcanzado este grado de madurez, en el presente blog podemos encontrar múltiples ejemplos en los que nos pronunciamos al respecto.

Etapa 4: Cierre.
04Finalmente, la última etapa correspondería con el cierre de la organización. Incluso en esta fase final, es importante no descuidar la seguridad porque finalizar la provisión de servicios de una forma planificada y ordenada deja la puerta abierta a que en un futuro, se pueda volver a contar con los mismos clientes. Es cierto que generalmente se tiene una visión negativa de las empresas que cierran. Es poco habitual ver la gestión empresarial como un campo más en el que se aprende de los errores. Posiblemente la gente involucrada en la organización habrá aprendido mucho de esta “dura” experiencia, pero experiencia al fin y al cabo.

Llegado a este punto habría que plantearse ¿porqué hay organizaciones que descuidan su seguridad? En mi opinión, esto se debe principalmente a dos motivos: El primero es el “desconocimiento”. El hecho de que el personal no sea consciente de hasta qué punto está “expuesto” a las amenazas y del riesgo que la organización corre. Esto propicia que se descuiden los temas relacionados con la seguridad.

El segundo motivo es sencillamente porque la organización espera el momento adecuado para “dar el salto” y abordar de forma adecuada la gestión de la seguridad. Típicamente solemos encontrarnos con comentarios del estilo de “No tenemos suficientes recursos”, “estamos muy liados con los proyectos”, “ahora no es el mejor momento”, etc. ¿Estos comentarios son argumentos o excusas? Posiblemente sean excusas pero debemos admitir que en el día a día de las organizaciones resolver la carga de trabajo es lo primordial y no es tarea sencilla abordar otras cuestiones como la gestión de la seguridad. Aún así, creo que no es adecuado hacer un planteamiento como si de una dieta se trata “empiezo el lunes”, “empezaré la semana siguiente”, “en las fechas en las que estamos, me espero y empiezo con el nuevo mes”, “me pongo a dieta después de navidades”…

¿Cuándo se debería dar el salto?
Ya, lo antes posible. Ahora bien, si resulta complicado abordar la gestión de la seguridad como un proyecto independiente, un buen método puede consistir en abordar dicha gestión de forma progresiva a medida que se desarrollan otros proyectos. Dicho de otra manera hacer que los cambios de la organización sean los “catalizadores” que contribuyen a mejorar la seguridad.

Creo que una forma adecuada de asimilar la gestión de la seguridad como una parte más de la organización es ir incluyéndola progresivamente junto con otros proyectos. Dicho de otra manera, aprovechar los cambios de la organización para introducir mejoras en la seguridad. Por ejemplo, si una organización lleva a cabo un proyecto de adecuación a la LOPD y RDLOPD, puede tratar de ir más allá de lo estrictamente exigido por la ley y ampliar el alcance para que cubra otros aspectos que no estén directamente relacionados con los datos de carácter personal. Si una organización requiere más espacio de almacenamiento, sería conveniente que antes de realizar la ampliación se tuviera en consideración cómo se realizará el backup de esos datos (en caso de que sea necesario). Este puede ser un buen momento para plantear mejoras en la política de copias de seguridad o directamente, para plantear hacer backup de los datos críticos porque, aunque parezca mentira, puntualmente seguimos encontrándonos con casos en los que organizaciones relativamente maduras siguen sin tener un backup en condiciones, etc.

Antes de despedirnos, me gustaría recalcar que la situación expuesta en el “ciclo de vida de la organización” es un tanto utópica y somos conscientes de que en la práctica, aún existen muchas organizaciones (cada vez menos) que evolucionan sin prestar atención a las cuestiones relacionadas con la seguridad. No obstante, incluso analizando con un ejemplo tan simple como el descrito, observamos que es necesario gestionar la seguridad durante todo el “ciclo de vida” de la organización. Creo que puede resultar positivo para nuestros lectores hacer una pequeña reflexión sobre cómo se gestiona la seguridad en sus respectivas organizaciones y, en caso de encontrarse en situación de “dar el salto”, les animamos a dar el primer paso, con la estrategia que mejor se adapte a su organización y con una propuesta realista que aporte valor a la organización.

Espero que la entrada os haya resultado interesante. No dudéis en compartir con nosotros aquellas experiencias que han contribuido a mejorar la gestión de la seguridad en vuestras organizaciones. ¡Hasta la próxima!

Concienciación a través de la prensa rosa

SPMe encontraba esperando turno en una peluquería a la vez que escuchaba (inevitablemente) como una de las peluqueras hacía un repaso de las novedades semanales de la prensa rosa. Nada de lo que comentaban parecía salirse de lo habitual, pero de repente escuché: […] bla bla bla … hacker … bla bla bla […]. Un momento, ¿he oído bien?, ¿hacker?. No soy especialmente cotilla pero me toca admitir que habían captado mi atención, así que, sin mucho descaro, me colé en la conversación. Estaba claro que no iban a estar discutiendo sobre los avances de la Black Hat 2011, pero aún así me sorprendió que, aun sin ellas saberlo, estuvieran hablando sobre cuestiones relacionadas con la seguridad de la información. ¡Un hacker había robado la foto de Shakira y Piqué! ¡Vaya notición! Un hacker desvelando este “gran secreto”, resulta que Shakira y Piqué están liados… nadie lo hubiera dicho.

Dejando de lado la parte “rosa” de la noticia me sorprende ver el impacto mediático que ha tenido la foto y, por si esto no fuera suficiente, más me sorprende saber que la foto para la exclusiva estaba valorada en un millón de euros (100.000 € según otras fuentes…). Éste parece un buen ejemplo para ilustrar las repercusiones económicas que puede tener una mala gestión de la seguridad de la información.

En las últimas semanas hemos sido testigos de otros episodios en los que famosos/as ven vulnerada su privacidad. Sin ir más lejos, recientemente salía a la luz una noticia que informaba sobre el robo de unas fotos a la famosa actriz Scarlett Johansson en las que aparece desnuda. Supuestamente un hacker consiguió robar las fotos accediendo al iPhone de la actriz. Por ahora no se dispone de mucha información sobre este caso. El FBI ha abierto una investigación para esclarecer el asunto.

Tal y como sucedía con la foto de Shakira y Piqué, si dejamos de lado la parte “rosa” de la noticia nos encontramos con un hecho relacionado con la seguridad de la información. Tan elevada debe ser la preocupación de la afectada como el interés que pueden tener ciertos medios en conseguir las fotos que todo sea dicho, están valoradas en millones de dólares.

El caso de Scarlett no es un caso aislado. Este caso se suma al de otras famosas que han sido víctimas de algún tipo de ataque informático como pueden ser Miley Cyrus, Vanessa Hudgens, Jessica Alba, Natalie Portman, etc. Por lo visto, tal y como sucedía con el caso de Scarlett, los hackers consiguen las fotos robándolas de los teléfonos móviles.

RevistasEn la línea del tema principal, comento un hecho que ha sido, junto con la anécdota de la peluquería, el detonante que me ha llevado a escribir esta entrada: El pasado fin de semana estaba pasando un rato con el grupo de amig@s, cuando una compañera nos mostró orgullosa su nueva adquisición… un espectacular smartphone. El caso es que, además de pedirnos ayuda para configurar unos widgets de facebook y twitter, nos pidió que le recomendáramos algún antivirus. Yo, de forma un poco capciosa, le pregunté “¿para qué quieres antivirus?”. No voy a negar que esa pregunta es de las que haces para dejarte sorprender. Su respuesta no defraudó. “Para que no me puedan hackear, como le ha pasado a Scarlett.”, respondió.

Te quedas de piedra. Después de años concienciando y recordando a tus amig@s (que no son del “sector TI”) lo importante que es la seguridad de la información… ahora resulta que hay que ponerse antivirus porque lo dice “la Cuore”, “In Style”, “Hola”, o vete tú a saber qué revista del corazón.

En fin, más que mostrarme indignado (porque lo cierto es que me pareció más gracioso que otra cosa), me siento un tanto sorprendido y por ello, me gustaría trasladar a nuestros lectores unas cuestiones sobre la concienciación que dan pié a la reflexión, ahí van:

Ejemplos próximos al público objetivo. En primer lugar destacar que a la hora de formar/concienciar, al público general sobre cuestiones en materia de seguridad es fundamental disponer de ejemplos que les resulten cercanos. Al hilo de esto, me planteo hasta qué punto mi compañera puede ver el caso de Scarlett como cercano… aunque si a Belén Esteban la llaman la “princesa del pueblo”, no me extraña que otras personas puedan verse identificadas con los famosos citados previamente.

Múltiples vías de concienciación. Creo que es conveniente remarcar la importancia que tiene difundir las buenas prácticas relacionadas con la seguridad de la información a través de diversas vías. De este modo, es posible alcanzar un público mucho más amplio. Personalmente no creo que la prensa rosa sea la mejor vía para difundir conocimientos sobre seguridad de la información. Aún así, observando ambas anécdotas, podemos comprobar que, aunque sea de forma indirecta, sí consiguen concienciar a ciertas personas.

La fuente de información. En ocasiones no se presta atención a las advertencias/recomendaciones de las empresas dedicadas a la seguridad porque es su “negocio”. Que se cuestiones la objetividad con la que las empresas de seguridad difunden su conocimiento me parece adecuado y depende de la opinión personal de cada uno. No obstante, parece un poco absurdo hacer más caso a “otras fuentes” que a quien realmente es experto en la materia. Para ilustrar esto podemos hacer analogía con otros sectores y comprobar que definitivamente no resulta muy coherente. Por ejemplo si buscas recomendaciones sobre cuestiones de salud, ¿hablas con el electricista o con el médico?… con el médico, evidentemente. Ahora bien, ¿se cuestiona de igual manera a los médicos cuando nos trasladan recomendaciones sobre temas de la salud? Yo diría que no. Ni que decir tiene que sólo se trata de un ejemplo, no pretendo hacer referencia a ningún colectivo concreto.

Antes de despedirme me gustaría remarcar que no estoy muy puesto en los temas del “corazón” y que los casos que comento pueden contener algún error. En cualquier caso, el objetivo de esta entrada no es repasar los chismorreos del momento sino trasladar a los lectores algunas reflexiones relacionadas con una cuestión tan importante como puede ser la concienciación en materia de seguridad.

Espero que la entrada resulte interesante a nuestros lectores y que, de algún modo, lo tengan presente cuando traten de aconsejar a amigos, colaboradores, clientes, socios, etc. Por nuestra parte, seguimos con SecurityArtWork y mostrándonos en predisposición de extender los temas que tratamos a través de nuevas vías.

Abróchense los cinturones (II)

“Su tasa de alcoholemia supera los límites permitidos, el vehículo queda temporalmente inhabilitado”. ¡Cuánto ha cambiado el panorama en las últimas semanas! Si recordamos la entrada anterior, nuestro vehículo se mostraba en predisposición de llevarnos a casa o a donde nosotros consideráramos oportuno, ahora en cambio, nos impide conducir.

¡Hola de nuevo! Tras un pequeño descanso volvemos con la serie “Abróchense los cinturones”. En nuestra primera entrega hablamos de los sistemas de seguridad disponibles en los vehículos terrestres y los clasificamos en dos grandes grupos. Por una parte tenemos los sistemas de seguridad activa (ABS, EBV/EBD, ESP, etc. ¡uff!, cuántas siglas) y por otra los elementos de seguridad terciaria (cinturones de seguridad, airbag, etc.). A su vez, agrupábamos todos estos sistemas dentro de lo que llamábamos paradigma clásico y planteamos cómo los nuevos sistemas de seguridad propician un cambio de paradigma en el que, para aumentar la seguridad, se delega la conducción en los sistemas.

Una vez hecha esta introducción abordamos el tema que nos concierne: los sistemas de seguridad vial. Empezaremos describiendo dos sistemas de seguridad activa y posteriormente expondremos el sistema eCall, una de las apuestas más fuertes en cuanto a seguridad vial se refiere. Como ya hemos indicado en alguna ocasión, el exceso de velocidad, las distracciones al volante y conducir bajo los efectos del alcohol son las principales causas de los accidentes. Como es lógico pensar, se han desarrollado sistemas de seguridad específicos para hacer frente a este tipo de causas. Veamos algunos ejemplos:

ALCOLOCK (alcohol ignition interlock): Un dispositivo instalado en el vehículo impide que éste funcione a menos que el conductor supere una prueba de alcoholemia, es decir, que su tasa de alcohol en sangre esté dentro de los límites permitidos. Este sistema consta de un etilómetro y de un sistema que controla el encendido del motor.

El sistema base presenta ciertas deficiencias ya que evalúa el nivel de alcohol antes de arrancar el vehículo pero no durante la conducción, tampoco garantiza que haya sido el conductor quien haya realizado la prueba, etc. No obstante, es posible incorporar al alcolock otros elementos que permiten cubrir estas deficiencias como pueden ser los sistemas de reconocimiento de huellas dactilares, de voz, de las pupilas, etc.

Estos sistemas se empezaron a implantar hace algunos años en EEUU en los vehículos de los conductores que habían sido amonestados repetidas veces por conducir bajo los efectos del alcohol. La instalación del sistema era opcional y permitía a los reincidentes reducir la sanción. En la actualidad existen diversos proyectos para la implantación de este sistema en algunos países de la Unión Europea. Por ejemplo, se ha anunciado que en Francia se incluirá este sistema en vehículos pesados, taxis y transportes escolares a finales de 2011. Medidas similares se han implantado en Suecia dónde el uso de alcolock es obligatorio en los transportes escolares.

Sistemas para evitar las distracciones: Los avances tecnológicos en el ámbito de la captación de imágenes y el reconocimiento de formas han posibilitado el desarrollo de sistemas de seguridad cuyo propósito se centra en evitar los accidentes de tránsito producidos por las distracciones del conductor. Estos sistemas están compuestos principalmente por tres módulos: Captación de imágenes, unidad de procesamiento de datos y sistema de alarma. A grandes rasgos el funcionamiento de estos sistemas consiste en lo siguiente: en primer lugar una o varias cámaras captan imágenes de la cara del conductor. Estas imágenes se envían a la unidad de procesamiento de datos dónde se analizan automáticamente. Este procesamiento permite al sistema conocer la dirección de la mirada del conductor, la velocidad de parpadeo y el grado de apertura de los ojos, etc. En caso de detectarse una situación peligrosa el sistema emite una alarma para advertir al conductor.

eCall: Con el slogan “time saved = live saved”, la Comisión Europea hace hincapié en la importancia de proporcionar una respuesta rápida cuando ocurre un accidente de tráfico. “ECall” es una de las iniciativas más importantes que se están desarrollando en el ámbito de la seguridad vial, que consiste en implantar un conjunto de sensores en los vehículos que, en caso de producirse el accidente, avisarán automáticamente a los servicios de emergencia indicando la posición (GPS/Galileo), el tipo de vehículo afectado, la dirección y otra información relevante a la hora de dar respuesta al accidente. Las previsiones realizadas son realmente favorables llegando a salvar más de 2500 vidas al año en Europa. En esta iniciativa se ven implicadas muchas entidades, proveedores de servicios, fabricantes de automóviles, centros de emergencias, etc.

La información que proporcionan los sistemas como eCall tiene mucho valor para los centros de emergencias, pero a su vez, también se trata de información muy “golosa” para otro tipo de compañías como pueden ser las aseguradoras. Sin ir más lejos, Mapfre ofrece el seguro Ycar que premia o penaliza al conductor en función de cómo sea su conducción.

Aquellos conductores que contraten el seguro Ycar deberán instalar un dispositivo GPS en el vehículo y a partir de ese momento se monitorizará su conducción. Toda la información captada por el sistema queda registrada y puede consultarse a través de la web. El sistema ofrece muchas posibilidades: Podemos saber dónde se encuentra un vehículo (especialmente útil si pensamos en la localización de vehículos robados), y facilita información sobre los trayectos realizados así que podemos hacer nuestros cálculos y averiguar qué trayecto nos resulta más adecuado (tiempo, consumo,…), etc.

Ahora bien, ¿qué pasa con la privacidad? Con la información recabada a través de estos sistemas es posible crear un perfil de conductor (tranquilo, agresivo, temerario, ejemplar,…). ¿Estamos hablando de datos de carácter personal? No se puede garantizar que la persona que conduce el vehículo sea quien haya contratado el seguro, no obstante los datos sí irán asociados al tomador del seguro. En cualquier caso, debemos plantearnos la siguiente cuestión: ¿Cuánto vale nuestra privacidad? Evidentemente, no podemos dar una respuesta a menos que concretemos exactamente qué información entra en juego, pero lo que sí está claro es que la privacidad empieza a ser un factor más en el mercado en cuanto a seguridad vial se refiere.

Para terminar esta entrada y a modo de conclusión, no hay que olvidar los beneficios que aportan los avances en materia de seguridad a la sociedad, haciendo especial hincapié en la importancia de gestionar la información de una forma adecuada para evitar entrar en conflicto con otras cuestiones tan importantes como la privacidad.