Cómo escribir informes técnicos y no morir en el intento (II)

Consejos de estructura

Define una estructura base
Si tu informe tiene una buena estructura va a ser mucho más fácil de redactar, y sobre todo de leer (recuerda que nuestro objetivo es el éxito del informe, así que toda ayuda es bienvenida). Una estructura básica válida para prácticamente cualquier tipo de documento podría ser esta:

  • Resumen ejecutivo: es tan importante que tiene apartado propio
  • Objeto y alcance: cuál es el objetivo del documento y hasta dónde vamos a llegar
  • Antecedentes y consideraciones preliminares: todo aquello que debería conocerse de forma previa a la lectura de este informe
  • Análisis: describir el trabajo realizado objeto del informe
  • Conclusiones: a qué conclusiones llegamos con los análisis realizados.
  • Anexos: toda la información adicional que queramos incluir

Consejo 5: Define una estructura base para tu contenido. [Read more…]

Cómo escribir informes técnicos y no morir en el intento (I)

En esta vida hay cosas que nunca nos apetece hacer: bajar la basura, hacer dieta, una colonoscopia un lunes en ayunas… En el mundo TIC esos “no apetece” son a veces ligeramente diferentes. Sería realmente curioso saber los resultados de esta encuesta.

Elige por orden de preferencia las siguientes actividades:

  1. Realizar una presentación ante tu jefe y el jefe de tu jefe.
  2. Documentar con detalle un código/sistema que estás a punto de desplegar.
  3. Realizar un informe técnico de 50+ páginas.
  4. Pelear en pelotas contra un oso armado con un mondadientes.

En muchos casos el personal técnico es justamente eso: técnico. No vamos a entrar en el cliché de «toda la gente que trabaja en tecnología son unos frikis», pero sí que hay que reconocer que a los técnicos nos suele gustar más cacharrear, desarrollar, crear cosas… que tener que contarlas. [Read more…]

PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

Para aprender, perder

Mis primeros años en el mundo laboral, una vez concluida mi formación universitaria como informático de sistemas, los pasé ganándome la vida como docente. Pasé algún tiempo impartiendo clases, entre otros, en un centro de enseñanza privado. En la administración del centro se apañaban con una aplicación hecha en dBaseIII+ que rodaba sobre MS-DOS en un trasto con pantalla verde y, casi con total seguridad, con procesador 8086 u 8088 de Intel. Ha llovido.

Después de varias advertencias al personal del centro acerca de, entre otras cosas, la importancia de realizar copias de seguridad de la información en disco (y aunque no era asunto mío, yo era un simple profesor) preparé una BAT ad-hoc que se ejecutaba automáticamente cada semana. Más simple no podía ser: a las 17:00 horas de cada viernes aparecía un mensaje en pantalla que pedía que se introdujese el juego A o B, según fuera semana par o impar, de diskettes de 3½ y que se pulsase una tecla para continuar. Y ya sólo restaba ir cambiando de disco conforme se iba solicitando. Esta operación se llevó a cabo correctamente durante las primeras semanas. Pero un buen día, la persona que estaba al mando de la administración de ese centro, la simpática Marina, por el motivo que fuese y pese a mis advertencias admonitorias, dejó de hacer las copias de seguridad y comenzó a responder al incómodo mensaje semanal a base de CTRL-C.

Tenía que ocurrir. Unos meses después Murphy tomó el control de la situación. Y es que nunca pasa nada, nunca pasa nada… hasta que pasa.

[Read more…]

Analizando a las personas

En el último post hablábamos de los «típicos tópicos» que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

El primer punto de un ciclo de inteligencia es determinar qué queremos saber y para ello qué información necesitamos obtener y analizar. Creo que lo mejor para nosotros en esta primera fase es plantearnos cómo afectan las personas a la seguridad del negocio; bajo mi punto de vista, más allá de accidentes (por ejemplo si una persona practica escalada…¿consideramos esto un riesgo? Y lo más importante… ¿tomamos medidas para mitigarlo?), las personas introducen principalmente cuatro tipos de riesgo en una organización:

  • Robo de información, espionaje industrial… Lo que toda la vida hemos llamado insider: una persona que, tras una apariencia más o menos normal -o no-, se dedica a robar información corporativa y pasarla a quien pueda utilizarla en nuestra contra (generalmente, la competencia).
  • Perturbación del clima laboral. Una persona descontenta suele acabar minando, antes o después, las relaciones dentro de la empresa. Dicho descontento puede estar o no justificado y, es más, puede que incluso no tenga relación con la actividad profesional y se trate de problemas del ámbito personal, pero todo acaba influyendo en las personas con las que compartes buena parte de tu día a día: tus compañeros.
  • Fuga de personas clave. A pesar de aquello de que «no hay nadie imprescindible», que comparto plenamente, es cierto que determinadas personas realizan trabajos clave y que, si abandonan la organización, el impacto es mayor que si deja su trabajo otro compañero. Este riesgo puede estar relacionado con el anterior (personas descontentas o poco motivadas que cambian de trabajo por este motivo) o no tener relación alguna: circunstancias personales que obligan a dichas personas a cambiar de trabajo por muy implicados que estén con su organización actual y por mucho que les motive su actividad.
  • Daños a la reputación. Es obvio que una persona que hable mal de nosotros nos causa, en mayor o menor medida, un impacto en nuestra reputación que podríamos asociar en buena parte a riesgos como la perturbación del clima laboral que hemos comentado antes (suele ir todo junto). Pero no sólo eso: en una charla que dí hace meses sobre reputación digital (lo del apellido de «reputación» lo quitaría ;) hablabla de la reputación personal como un activo para las organizaciones; y es que la imagen de las personas es, en muchos casos, parte inseparable de la imagen de la organización, por lo que cierta información personal colgada en Internet, verdadera o no, puede causar también riesgo reputacional para nosotros y constituir un daño a la imagen corporativa.

Con estos tipos de riesgo sobre la mesa -o cualquier otro que consideremos-, podemos empezar a plantearnos qué datos nos gustaría obtener y, de ellos, cuáles podemos obtener y cómo podemos hacerlo; la diferencia entre lo que nos gustaría y lo que podemos obtener es muy importante, ya que si tuviéramos la información que queremos seguramente responderíamos a ciencia cierta a todas nuestras dudas pero, como generalmente esto no es posible, requerimos de un análisis detallado y con unos márgenes de error determinados. Típicos datos a obtener son los relativos al uso de correos electrónicos externos, tipo webmail, dispositivos extraíbles, accesos masivos a datos (para determinar robos de información), uso de redes sociales o microblogs (para detectar desde daños a la reputación a posible fuga de personas), comentarios de compañeros (muy importante a la hora de hablar del clima laboral), etc.

Teniendo claro qué información nos gustaría tener, debemos plantearnos cómo obtener la información, entrando así en la segunda fase del ciclo de inteligencia clásico. Una forma muchas veces sencilla y, aunque informalizada, bastante habitual de obtener información es mediante la actuación de personas, lo que en inteligencia se denomina HUMINT (Human Intelligence). No, no pensemos en agentes tipo 007 colándose por la noche en casa de un compañero; es más: ni siquiera tenemos que llegar al extremo de detectives privados siguiendo a la gente… Mucho más sencillo: un café, la hora de la comida, una cena de empresa -que nos permite conocer a la gente en un ambiente distendido muy diferente al habitual-… estas situaciones son propensas a comentarios que en ocasiones son muy significativos para determinar, sin ir más lejos, si una persona puede estar buscando trabajo fuera de la organización, si está «quemada» por motivos personales o laborales y por tanto crea un mal ambiente -insisto, con o sin razón-, etc. La relación con las personas en las situaciones de nuestro día a día son una fuente muy importante de datos si sabemos observar de forma correcta, tanto por la cantidad de datos que aislados no son significativos pero que podemos «correlar» (al menos mentalmente ;) como por los datos que son significativos de forma directa.

Aparte de HUMINT es cada vez más habitual utilizar técnicas OSINT (Open Source Intelligence) para obtener datos que puedan ser importantes de cara a nuestra seguridad; la información que publicamos en Internet -redes sociales, blogs, webs, etc.- es más que significativa para analizar el riesgo introducido por las personas. Y es que muchas veces no nos damos cuenta -o no nos queremos dar cuenta- de que lo que hacemos en estos lugares lo puede ver el resto del mundo, y que con un sencillo análisis ese «resto del mundo» puede llegar a conclusiones muy rápidas: si últimamente estoy actualizando mi perfil en LinkedIn e incluso pidiendo recomendaciones, no hace falta ser un lince para pensar que puedo estar buscando trabajo; si no hago más que tuitear lo que hago cada segundo de mi vida o los importantes descubrimientos que realizo y que van a cambiar el curso de la humanidad, podemos concluir datos muy interesantes de una personalidad sin ser, ni mucho menos, psicólogos; si en mi FaceBook no paro de poner comentarios en horario laboral, no estoy muy concentrado en mi trabajo… y mil ejemplos más que, sin grandes complicaciones, pueden proporcionar información más que útil para un tercero que quiera analizarme.

Finalmente, como algo mucho más delicado, tenemos la recopilación de información a través de SIGINT (Signals Intelligence); el personal técnico puede tener acceso sin problemas a registros muy importantes para analizar el riesgo humano en la organización: desde los registros de llamadas móviles y fijas -bendito Asterisk- hasta las trazas de correos electrónicos enviados y recibidos o las webs visitadas por los usuarios de la organización. Desde un punto de vista técnico no hay ningún problema en obtener estos datos, procesarlos y generar información muy valiosa: ¿Cuántas visitas a Infojobs realiza nuestra gente? ¿Llaman a números de países con los que el negocio no tiene relación? ¿Llaman a teléfonos o envían correos electrónicos a gente que tenemos en una lista negra, por ejemplo de la competencia? ¿Con qué frecuencia? El problema, como decía, no es técnico: se trata más bien de aspectos legales: ¿es lícito monitorizar estos datos? Es más: ¿Es ético hacerlo? Un debate más que interesante… Por cierto, ¿qué opinais?

Otras técnicas tradicionales de obtención de información, como MASINT o GEOINT, creo que quedan fuera del alcance de casi todos nosotros (de ahí lo que decíamos antes de qué es lo que nos gustaría obtener y qué es lo que podemos obtener), pero con las anteriores podemos sacar conclusiones más que interesantes. Y ahí empieza la tercera fase del ciclo de inteligencia, el procesamiento de los datos obtenidos: reducción, normalización… en definitiva, todo aquello que nos permita utilizar dichos datos para un análisis posterior. En la mayor parte de organizaciones, aunque el procesamiento sí que se ejecute para poder analizar automáticamente otro tipo de riesgos -lógicos, naturales…-, disponiendo para ello de herramientas de análisis, bases de datos, técnicas establecidas… a la hora de monitorizar el riesgo introducido por las personas no es habitual que esta fase esté automatizada ni se utilicen herramientas ad hoc para procesar los datos (¿alguien tiene alguna base de datos de «hechos significativos» en el comportamiento humano?). Si queremos empezar a formalizar esta etapa, un buen modelo de datos es el planteado en nuestra entrada sobre riesgo humano, que hemos citado antes, que nos permitiría generar perfiles de riesgo para las personas que se relacionan con nosotros… Ya tenemos trabajo, aunque en buena parte de nuestras organizaciones -no en todas, por supuesto- estaríamos, como se suele decir, matando moscas a cañonazos :)

Mucho más que centrarnos en esta tercera fase, de procesamiento de los datos, es habitual focalizarnos en la cuarta etapa del ciclo: el análisis de los datos obtenidos y la producción de inteligencia. Como hemos dicho, no hace falta ser un experto psicólogo especializado en conducta humana para darnos cuenta de múltiples detalles que están ahí esperando a que alguien los vea; y cuando alguien los ve, los toma como dato aislado y los analiza junto a otros datos aislados, obtiene conclusiones muy (pero que muy) interesantes para determinar si las personas introducen en nuestras organizaciones alguno de los riesgos que antes hemos comentado (u otros cualesquiera). Esta fase es obviamente la más importante, la que requiere en mayor o menor medida materia gris, y la que por supuesto aporta un incalculable valor al ciclo de inteligencia (aplicado en este caso a la monitorización de personas, pero extrapolable a cualquier «otra» inteligencia).

Los resultados de esta cuarta etapa son la entrada para la quinta fase y última del ciclo, la de diseminación de la información: proporcionar las conclusiones y resultados de la información analizada (la inteligencia) a las personas adecuadas para que éstas puedan tomar decisiones correctas. Aquí viene la gran pregunta, ya no para el analista -nuestro ciclo aquí ha terminado con la diseminación- sino para esas personas que tienen que tomar decisiones: ¿qué hacer cuando detectamos algo que pueda suponer un riesgo? Obviamente no hay -creo- una respuesta única; cada situación debe ser evaluada independientemente, de forma objetiva, teniendo en cuenta cualquier circunstancia adicional que consideremos y, por supuesto, bajo dos principios desde mi punto de vista fundamentales: el de proporcionalidad y el de ética (lo siento, me cuesta decir legalidad, demasiadas veces reñida con la ética). Con esto, las decisiones adoptadas tendrán más probabilidad de ser las correctas, aunque lamentablemente el margen de error siempre está ahí y deberemos asumir que podemos equivocarnos :(

Ojo, para disipar cualquier duda antes de acabar: cuando hablo de «decisiones a adoptar» no estoy refiriéndome, ni mucho menos, a despedir directamente a una persona porque introduzca un cierto riesgo en la organización; justo por eso hablaba de los principios de proporcionalidad y de ética. Salvo en el caso de robo de información o actividades expresamente malintencionadas, donde para mí no hay duda de lo que hacer, cualquier otra situación puede ser mitigada sin llegar a estos extremos… Sólo hace falta buscar soluciones inteligentes.

Programa COOPERA

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

La importancia de la experiencia

Hoy en día cada vez se intenta acudir más a estándares del mercado y a estándares de facto para poder abordar la problemática TIC de la empresa. Para una gran parte de las organizaciones es excesivamente costoso realizar sus propios desarrollos para cubrir las necesidades del negocio, tanto en tiempo como en esfuerzo y dinero, así que por norma se recurren a los principales proveedores del mercado, que en cierta manera aportan una seguridad desde el punto de vista tecnológico. Todos conocemos gigantes de bases de datos, colosos de los sistemas operativos de escritorio, o de la electrónica de red, etc. Al final ponemos nuestra confianza y nuestros negocios en quien creemos que tiene más experiencia en resolver nuestro problema. Porque las dos palabras fundamentales son estas: confianza y experiencia.

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?

Pero hay un eslabón que solemos dejar por el camino, que es el del implantador. Gran parte de las soluciones al final dependen de un partner que es quien parametriza y adapta las soluciones para poder ajustarlas a la problemática local. Evidentemente, cuanto mayor sea la experiencia con clientes similares, mejor será la implementación y habrá mas oportunidades de éxito. Y es aquí donde muchas soluciones flojean, en la experiencia local y en los profesionales que tienen esta experiencia. Porque la normativa legal no es la misma (retención de datos, LOPD, etc.), porque la problemática no es la misma (¿ataque de una potencia extranjera o disponibilidad de servicio?), porque las necesidades no son las mismas, las soluciones deben estar probadas en la problemática local…

Y los implantadores y su experiencia es el punto clave: ¿cuántas implantaciones con éxito ha realizado el equipo? Porque hay soluciones con mucho nombre y mucho arco, con tres profesionales en España, y ningún partner con más de dos implantaciones de éxito; otras empresas hablan de cabinas de almacenamiento y monitorización en el mismo paquete, y luego dicen que no tienen ni 20 implantaciones en este país; incluso hay quien vende soluciones que ya están obsoletas y han dejado de ser mantenidas por el creador de la solución… y así, miles y miles de ejemplos…

A fin de cuentas, ¿dejarías tu contabilidad en manos de cualquiera? ¿Entonces por qué le pides a alguien sin experiencia que implante, monitorice o gestione lo que no conoce? Bajo mi punto de vista lo mejor, como siempre, es ponerse en manos experimentadas y seguras, tengan el nombre que tengan.

Habilitaciones, titulaciones… y todo lo demás

Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente «clásica».

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada «no oficial»… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un «Ingeniero de Seguridad Perimetral» o un «Responsable de Riesgos» no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; «Director de Seguridad» es una habilitación propia del Ministerio del Interior, mientras que «Director de Seguridad de la Información» -el famoso CISO-, o «Consultor de Seguridad» no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una «academia» concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…

(Algunos) Beneficios de la implantación de un SGSI

En los últimos posts sobre SGSIs [1][2], planteábamos los problemas a los que los consultores nos solemos enfrentar a la hora de implantar un Sistema de Gestión de Seguridad de la Información y los errores más comunes que se suelen cometer.

Lejos de pretender mostrar una visión negativa de la decisión de implantar un SGSI, intentábamos advertir de cosas a tener en cuenta a lo largo del proceso. Es indudable que una vez el SGSI está implantado y en funcionamiento, éste aporta innumerables ventajas a la organización en general y al departamento TI en particular. Mucho se ha escrito sobre las ventajas de implantar un SGSI; como con el resto de Sistemas de Gestión, siempre se insiste en que el hecho de obtener un certificado hace que la organización aumente su competitividad, mejore su imagen respecto a las empresas de la competencia y se posicione mejor en el mercado. Todo eso es cierto, y está claro que esa puede ser una razón de peso para algunas organizaciones, ya que al fin y al cabo aumentar el nicho de mercado o fortalecer la posición y la imagen es algo imprescindible desde el punto de vista del negocio, y sin negocio, de nada sirven los sistemas de gestión y los certificados.

No obstante, dejando de lado el tema del certificado, desde nuestro punto de vista, el de una empresa especializada en Seguridad de la Información, existen otras muchas ventajas en la implantación de un Sistema de Gestión de Seguridad de la Información que son de otro ámbito. Entre otras, podríamos señalar como principales las siguientes:

  • La gran mayoría de las tareas que obliga a ejecutar un SGSI (auditoria técnica de la plataforma TI, sistema de detección de intrusos, análisis de vulnerabilidades, inventario de activos, control de accesos, etc.) son aspectos que cualquier departamento TI que se precie debe abordar. La diferencia en este caso es que una vez implantado el SGSI estas tareas —y muchas otras— se encuentran sistematizadas, tienen asignado un responsable de ejecución y en muchos casos otro para la revisión, se analiza el resultado que de su ejecución se desprende, y se toman medidas en función de éste.

    Dicho de otra forma, la mayoría del trabajo es el mismo que se realizaría —o debería realizarse— sin tener un SGSI, pero el SGSI formaliza las tareas y garantiza que se ejecuten cuándo y de la forma que se haya considerado adecuada y por ello establecido.

  • El Análisis de Riesgos es quizá uno de los aspectos que un departamento TI no aborda de forma sistemática si no ha implantado o se encuentra implantando un SGSI. No es necesario listar las ventajas que supone realizar y revisar de forma periódica un Análisis de Riesgos; basta con decir que nos permite conocer las amenazas a las que están expuestas nuestros activos —entre los que se encuentra la información—, la probabilidad de que éstas se materialicen y el impacto que dicha materialización tendría sobre nuestro negocio. Dicho de otro modo, nos permite conocer la situación en la que nos encontramos y a través del Plan de tratamiento de Riesgos (un requisito de la norma) planificar cómo llevar este riesgo a un nivel que consideremos aceptable y que estemos dispuestos a asumir.
  • La continuidad del negocio, contemplada de manera específica en uno de los dominios de la norma, obliga a la organización a plantear, aunque se a un nivel muy general, cómo garantizar la continuidad del negocio en caso de una catástrofe. Aunque es cierto que la elaboración, implantación y mantenimiento de un plan de continuidad de negocio es un proyecto en sí mismo, de (casi) tanta entidad como la implantación de un SGSI, para abordar la certificación se debe haber realizado y probado al menos un plan de contingencia, que sin llegar a ser un plan de continuidad de negocio, sí que constituye un primer paso.
  • El dominio correspondiente a Conformidad es otra de esas tareas que en la mayoría de las organizaciones queda fuera del alcance de las responsabilidades del departamento TI, y en la que interviene tanto jurídico como posiblemente recursos humanos. Este dominio obliga a identificar la legislación que nos aplica tanto a nivel de propiedad intelectual como de protección de datos de carácter personal, y no son pocas las empresas que pretenden implantar y certificar un SGSI sin cumplir las exigencias de la LOPD y su Reglamento de Desarrollo. La implantación de un SGSI obliga como mínimo a disminuir la probabilidad de incumplir algún requisito legal que puede acarrear sanciones o dañar la imagen corporativa, ya que hoy en día las entidades de certificación —o por lo menos aquellas con las que nosotros hemos trabajado— consideran una No Conformidad mayor cualquier incumplimiento legal y obligan a la empresa que aspira a obtener el certificado a un plazo de tres meses regularizar su situación. Lo que parece totalmente lógico, ¿no les parece?
  • Comentábamos en un post anterior que un problema con el que hay que lidiar al implantar un SGSI es involucrar a áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC, que ven como ajeno a ellos y una carga de trabajo extra. La implantación de un SGSI requiere superar este escollo, lo que conlleva muchas ventajas: la seguridad ha dejado de ser cosa del Departamento TI y gracias a la formación y concienciación toda la organización es consciente del valor que tiene la información corporativa que maneja diariamente. Sin olvidar la existencia de normativas que deben cumplir para garantizar la seguridad de dicha información y cuyo incumplimiento tiene definido en la mayoría de los casos un proceso sancionador.

    Por último, pero no por ello menos importante, el apoyo que la Dirección debe demostrar al proyecto de implantación del SGSI, hace que los empleados entiendan que el tema de la seguridad de la información no se trata de un ‘capricho’ del Director del área TI, sino de una directriz marchada por la alta Dirección y que es por tanto un aspecto vital de la organización.

  • Durante la fase de implantación de un SGSI se definen las directrices para detectar y actuar ante un incidente de seguridad, lo que evita que llegado el momento de enfrentarse a un incidente grave se tenga que pensar por dónde empezar, quién debe encargarse de qué, a quién hay que informar en primer lugar, y aspectos de ese estilo.
  • Por último, la mejora continua es una ventaja común a todos los Sistemas de Gestión, sobre la que hay cientos de artículos escritos pero no por ello queremos dejar de mencionarla. Gracias al ciclo PDCA garantizamos que existe un proceso continuo que comprueba cómo de segura está nuestra información y actuamos para conseguir que el nivel de seguridad aumente. Este trabajo no se termina nunca: medir y actuar para mejorar. Siempre hay algún aspecto de la seguridad de la información que se puede mejorar.

Aunque estas son algunas de las ventajas, es indudable que existen muchas otras. En próximas entradas pasaremos a ver cuáles son las ventajas de la integración de sistemas de gestión, o la conveniencia y ventajas que aporta contar con un sistema de gestión de eventos y alarmas a la hora de implantar un SGSI.

No news is good news?

«No News is Good News«. Todos hemos oído en alguna ocasión esta frase, un poco pesimista, si pensamos que implica que es más probable recibir malas que buenas noticias. Sin embargo, como directivo de una empresa, opino que lo peor es no enterarse de lo que está sucediendo. Como dice mi socio: “Ojos que no ven… batacazo que te pegas».

Los ingenieros llevamos muchos años monitorizando los procesos industriales; son procesos con parámetros de funcionamiento bien definidos en el diseño, y cuya variación tiene consecuencias conocidas. Sabemos qué desviaciones se pueden permitir sin afectar negativamente al resultado final, vigilamos esos parámetros y establecemos sistemas de control que nos avisan cuando alguno se sale de lo establecido.

En términos generales, la gestión de una empresa consiste en controlar el funcionamiento de sus procesos manteniendo los parámetros de funcionamiento dentro de los límites admisibles, para garantizar que los resultados cumplen con el plan de operaciones. En este caso, los procesos no son sólo los industriales, sino también los logísticos, comerciales, financieros y, por supuesto, la seguridad, de la que a estas alturas no hace falta hablar; todos conocemos el mantra de Bruce Schneier: «Security is a process, not a product«. No hay más que echarle un vistazo a su blog Schneier on Security para comprobar su insistencia en esta idea.

[Read more…]