PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

Para aprender, perder

Mis primeros años en el mundo laboral, una vez concluida mi formación universitaria como informático de sistemas, los pasé ganándome la vida como docente. Pasé algún tiempo impartiendo clases, entre otros, en un centro de enseñanza privado. En la administración del centro se apañaban con una aplicación hecha en dBaseIII+ que rodaba sobre MS-DOS en un trasto con pantalla verde y, casi con total seguridad, con procesador 8086 u 8088 de Intel. Ha llovido.

Después de varias advertencias al personal del centro acerca de, entre otras cosas, la importancia de realizar copias de seguridad de la información en disco (y aunque no era asunto mío, yo era un simple profesor) preparé una BAT ad-hoc que se ejecutaba automáticamente cada semana. Más simple no podía ser: a las 17:00 horas de cada viernes aparecía un mensaje en pantalla que pedía que se introdujese el juego A o B, según fuera semana par o impar, de diskettes de 3½ y que se pulsase una tecla para continuar. Y ya sólo restaba ir cambiando de disco conforme se iba solicitando. Esta operación se llevó a cabo correctamente durante las primeras semanas. Pero un buen día, la persona que estaba al mando de la administración de ese centro, la simpática Marina, por el motivo que fuese y pese a mis advertencias admonitorias, dejó de hacer las copias de seguridad y comenzó a responder al incómodo mensaje semanal a base de CTRL-C.

Tenía que ocurrir. Unos meses después Murphy tomó el control de la situación. Y es que nunca pasa nada, nunca pasa nada… hasta que pasa.

[Read more…]

Analizando a las personas

En el último post hablábamos de los “típicos tópicos” que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)... Leer Más

Programa COOPERA

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.... Leer Más

La importancia de la experiencia

Hoy en día cada vez se intenta acudir más a estándares del mercado y a estándares de facto para poder abordar la problemática TIC de la empresa. Para una gran parte de las organizaciones es excesivamente costoso realizar sus propios desarrollos para cubrir las necesidades del negocio, tanto en tiempo como en esfuerzo y dinero, así que por norma se recurren a los principales proveedores del mercado, que en cierta manera aportan una seguridad desde el punto de vista tecnológico. Todos conocemos gigantes de bases de datos, colosos de los sistemas operativos de escritorio, o de la electrónica de red, etc. Al final ponemos nuestra confianza y nuestros negocios en quien creemos que tiene más experiencia en resolver nuestro problema. Porque las dos palabras fundamentales son estas: confianza y experiencia. ... Leer Más

Habilitaciones, titulaciones… y todo lo demás

Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.... Leer Más

(Algunos) Beneficios de la implantación de un SGSI

En los últimos posts sobre SGSIs [1][2], planteábamos los problemas a los que los consultores nos solemos enfrentar a la hora de implantar un Sistema de Gestión de Seguridad de la Información y los errores más comunes que se suelen cometer.... Leer Más

No news is good news?

No News is Good News“. Todos hemos oído en alguna ocasión esta frase, un poco pesimista, si pensamos que implica que es más probable recibir malas que buenas noticias. Sin embargo, como directivo de una empresa, opino que lo peor es no enterarse de lo que está sucediendo. Como dice mi socio: “Ojos que no ven… batacazo que te pegas”.

Los ingenieros llevamos muchos años monitorizando los procesos industriales; son procesos con parámetros de funcionamiento bien definidos en el diseño, y cuya variación tiene consecuencias conocidas. Sabemos qué desviaciones se pueden permitir sin afectar negativamente al resultado final, vigilamos esos parámetros y establecemos sistemas de control que nos avisan cuando alguno se sale de lo establecido.

En términos generales, la gestión de una empresa consiste en controlar el funcionamiento de sus procesos manteniendo los parámetros de funcionamiento dentro de los límites admisibles, para garantizar que los resultados cumplen con el plan de operaciones. En este caso, los procesos no son sólo los industriales, sino también los logísticos, comerciales, financieros y, por supuesto, la seguridad, de la que a estas alturas no hace falta hablar; todos conocemos el mantra de Bruce Schneier: “Security is a process, not a product“. No hay más que echarle un vistazo a su blog Schneier on Security para comprobar su insistencia en esta idea.

[Read more…]

Puerto “Seguro”

safeharborNos van a tener que disculpar; después de acostumbrarles a una entrada diaria, no es justo desaparecer durante casi dos semanas. Como justificación, decirles que julio es ese mes del año en el que todo el mundo quiere dejar sus cosas cerradas antes de irse de vacaciones, incluido un servidor, lo que genera una carga de trabajo extra. En cualquier caso, ya ven que aquí seguimos.... Leer Más

Por un desarrollo sostenible con seguridad

Ni los hijos ni los sistemas de información vienen con el bocadillo debajo del brazo, y eso lo sabemos todos desde hace mucho tiempo, ¿no? Sí, son un gasto, a la vez un peligro, pero gracias a ellos somos capaces de incrementar nuestra productividad hasta límites jamás imaginados, y los países, las sociedades que no apuestan por su uso decididamente, son penalizadas. No tenemos que irnos muy lejos para analizar esta afirmación. España, séptima potencia económica mundial —hasta hace poco al menos—, tiene una productividad que nos sitúa en puestos de economía en vías de desarrollo.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

[Read more…]