El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)

20 de enero de 2009 Por

[Como habrán visto, y a petición del respetable, hemos introducido la funcionalidad de búsqueda, tanto simple (a su derecha), como avanzada, algo que empezaba a ser una necesidad teniendo en cuenta la cantidad de entradas en las que nos empezamos a mover.]

La semana pasada estuve de vacaciones, y me perdí la entrada de Enrique Dans insistiendo, otra vez, en la conveniencia de gestionar el correo corporativo a través de Google Apps Premium Edition. Bueno, en realidad no me la perdí, pero intenté mantenerme alejado del tema, al menos hasta mi vuelta.

Poco después, el abogado Javier Mestre del Bufete Almeida publicaba un artículo en elmundo.es titulado “El cuento de la lechera 2.0“, poniendo en tela de juicio la conveniencia legal de utilizar los servicios de Google Apps Premium Edition para cuestiones corporativas, en algo que parece casi una respuesta personalizada dirigida a Enrique Dans (“un experto asesor en nuevas tecnologías, de esos que van siempre a la última rodeado de ‘gadgets’ por todos lados”, Javier Mestre dixit). Como respuesta, Carlos Gracia, Director de Google Enterprise España y Portugal, replica con un artículo titulado “Esto no es un cuento 2.0“, y Enrique Dans remata la faena con un artículo en el que critica desde la ignorancia el enfoque de Javier Mestre y respalda los prácticamente inexistentes argumentos proporcionados por el portavoz de Google, casi en calidad del comercial del gigante norteamericano.

[Read more…]

Otra pérdida masiva de datos de caracter personal

13 de diciembre de 2008 Por

Hoy, El Pais da cuenta de una noticia: “Filtrados a un diario alemán los datos de tarjetas de crédito de miles de clientes”, en la que se informa de otra pérdida de datos de tarjetas de crédito.

¿Por qué se producen tantos incidentes graves en la gestión de datos personales que hacen las entidades públicas o privadas? Hoy el Berliner Landesbank, pero no hace mucho fue la Hacienda británica ¡por segunda, tercera vez! la que perdió datos personales de los ciudadanos.

No sé si es por la forma de redactar del periodista de El País, pero no da la impresión de que a nadie le haya extrañado demasiado ni se haya rasgado las vestiduras. Estas noticias están dejando de ser noticia. Voy a hacer una predicción: cada vez vamos a enterarnos de casos más graves, en los que se pierda información más sensible o de más millones de usuarios. ¿Hasta cuándo?

¿Nos podemos imaginar que se hubiera perdido dinero, contenido de las cajas de seguridad o documentación confidencial del banco? Seguro que alguien acabaría en la calle. O secretos militares… menudo escándalo. A algún ministro le costaría el cargo.

¿Cuál es la diferencia? En mi opinión, hay tres: (1) se trata de información de los ciudadanos, que no perjudica directamente a los depositarios de la misma, sino a los propios ciudadanos; (2) el perjuicio es difuso, no es que le hayan robado nada a nadie, sino que podrían robarle a algunos de los ciudadanos, si no toman las medidas adecuadas; y (3) la información “extraviada” no la maneja un grupo reducido de personas que entienden su valor, sino mucha gente dentro de varias organizaciones: el banco, la empresa subcontratada para la gestión de los cómputos bancarios (¿?), la delegación… es tan sencillo copiarse una base de datos o una hoja de cálculo…

En resumen, información que manejan muchas personas que no valoran adecuadamente su importancia, que la manejan de manera rutinaria, sino con indeferencia.

Hace falta formación, hacen falta procedimientos y hacen falta mecanismos de seguridad adecuados. Y mucha, mucha concienciación.

Confusiones

2 de mayo de 2008 Por

Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que “permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados”).

Esto ha levantado al parecer un pequeño revuelo en Internet, y aunque no es mi estilo, he de afirmar que la ignorancia es muy atrevida. Personalmente, no soy ni amigo íntimo ni enemigo acérrimo de Microsoft; tiene sus cosas buenas, y sus cosas malas, básicamente como cualquier gran empresa; aquello de Don´t be evil pasó a la historia. Pero esta me parece, al contrario de lo que muchos opinan, una buena noticia, por mucho que algunos se hayan llevado las manos a la cabeza y hayan puesto el grito en el cielo invocado las libertades civiles.

No me extenderé demasiado porque este es un tema que me parece obvio. El dispositivo proporcionado es una herramienta de análisis forense para un sistema (Windows) que resulta opaco en muchos sentidos, y más para personal policial no siempre especializado en delitos tecnológicos. No es, por supuesto, una puerta trasera que pueda ser utilizada indiscriminadamente sin conocimiento del usuario. Tampoco permite hacer cosas que no se puedan hacer en otros sistemas, simplemente las aglutina y las facilita. Es simplemente algo que, utilizado bajo una orden judicial y presencialmente, permite obtener información del sistema rápida y sistemáticamente; como utilizar una cámara de fotos en el lugar de un asesinato, antes de que limpien la sangre.

Nada más y nada menos. ¿Ustedes qué opinan?

[Fuentes originales en NYT y Seattle Times]

Con eMas no habría pasado…

28 de enero de 2008 Por

[Actualización 29/01: Hemos decidido, para incrementar de alguna manera la participación en el blog, habitualmente escasa como pueden apreciar, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones, que les aseguro estamos ansiosos por escuchar.]

No es mi intención trivializar el caso, todo lo contrario, y sobre todo si tenemos en cuenta su magnitud económica. Pero el caso de la Société Générale (y la que está cayendo) ha vuelto a poner encima de la mesa la necesidad cada vez mayor de implantar sistemas de monitorización de las actividades de negocio de las organizaciones, y sobre todo de aquellas que pueden poner en peligro su estabilidad financiera, como ha ocurrido en el caso que nos ocupa.

Con independencia de que la versión que se ha dado de lo ocurrido me resulta realmente difícil de creer (es decir, que una sola persona sea capaz, sin que nadie se entere, de cometer un fraude por una cantidad equivalente al 80% de los beneficios obtenidos por el BBVA el pasado ejercicio), este hecho nos pone delante de las narices la necesidad del control interno y la oportunidad de la implantación de normas equivalentes a la SOX (Sarbanes-Oxley Act) americana en el ámbito europeo; qué mejor momento que éste para exigirlo.

Es más, a mi modesto entender no debería tratarse de normativas sectoriales (como los acuerdos de Basilea en el sector financiero o Solvencia en el sector asegurador), sino que este tipo de regulación debería extenderse a cualquier sector de negocio, adaptándose a las características intrínsecas de cada caso. Los directivos de cualquier organización deben tener muy presente que la falta de control de factores de riesgo —ya sea un riesgo reputacional, el riesgo de una rotura de stock de un producto crítico, o el riesgo que puede estar asumiendo un comercial en una determinada operación de venta por alcanzar los objetivos de año— puede poner en peligro en un momento dado la continuidad en el mercado de su empresa, sin tener en cuenta posibles perjuicios para terceras partes (los clientes, por ejemplo) y responsabilidades de carácter penal para los implicados.

Tomen esto como una primera aproximación a temas que van cogidos de la mano: el análisis de riesgos, la monitorización de procesos y la continuidad de negocio. Aparte de eso, nada más; que les sea leve el lunes.

[N.d.E. Sin ánimo de hacer autobombo, algo a lo que como pueden ver en este blog no estamos acostumbrados (ni nos gusta, puedo añadir) “eMas” es un producto desarrollado por S2 Grupo y orientado a la monitorización de procesos y la gestión en tiempo real.]

[N.d.E. El próximo miércoles, nuestro compañero Antonio Villalón participará en el 1er Foro Latinoamericano STC a través de videoconferencia, con una ponencia en torno a la Convergencia de las Seguridades. Les seguiremos informando.]

Sistemas SCADA

25 de enero de 2008 Por

¿Se acuerdan de aquella entrada sobre los potenciales problemas de seguridad (y sus consecuencias) de los sistemas SCADA? Aquel texto fue reproducido en Kriptópolis y despertó varias suspicacias por su aparente nivel de alarma; algunas de las quejas apuntaban al típico “no seamos paranoicos”, al “estamos viendo fantasmas”. Por supuesto, crear alarma injustificadamente no era ese el propósito de aquella entrada ni de ninguna otra.

Al parecer, según informa Steve Bellovin en su blog, y de acuerdo a información de la CIA, grupos de hackers han sido los responsables de la pérdida de fluido eléctrico en varias ciudades extranjeras, como parte de una trama dedicada a la extorsión. Me atrevo a decir que Barcelona no es una de ellas; eso sería genial como excusa desde algún punto de vista político, aunque sin duda traería mucha más cola desde otros; una cosa es tener problemas de dimensionamiento, y otra saber que tu red eléctrica está completamente a merced de los delincuentes; a mí al menos esto último me asusta mucho más. Como apunta Bellovin, aunque es obvio que las redes de este tipo de servicios no deberían estar conectadas a Internet, esto no siempre es posible; a veces por requisitos funcionales, y a veces incluso por un exceso innecesario de innovación y/o publicidad. Esta es sólo otra noticia más en relación con sistemas SCADA y cómo los problemas de seguridad tienen consecuencias en la vida real (ver opinión de Bellovin al respecto).

Por otro lado, si quieren leer una opinión algo más escéptica sobre estos ataques energéticos y las declaraciones de la CIA, les remito a la entrada de Bruce Schneier, con cuyas opiniones estoy últimamente en desacuerdo (véase su artículo sobre Wifis abiertas y lo que escribimos aquí sobre ello).

Y eso es todo; estamos estos días envueltos en S2 Grupo en un proceso de certificación de la ISO 9001 y recertificación de nuestro SGSI (ISO 27001), por lo que pueden imaginar que el tiempo que podemos dedicarles es más bien escaso (y aún así, aquí seguimos).

Como siempre, gracias por seguir leyéndonos, pasen un buen fin de semana y si es posible, nos vemos de nuevo el lunes.

Google lo sabe todo. Y no olvida.

23 de enero de 2008 Por

Si siguen este blog, ya conocen nuestra pequeña y particular obsesión por Google (y si no, ya lo saben). Eso no quita, por supuesto, que un servidor (yo) utilice sus servicios tanto como lo necesite; el hecho de que Google conozca mis hábitos de navegación, tenga acceso a mi correo de Gmail, o sepa quién y cuando accede alguien a mi blog personal les confieso que no me quita el sueño; quizá porque asumo que no hay nada en todo ello que le pueda ser interesante a Google, más que desde un punto de vista publicitario (siempre por supuesto en un ámbito personal, ya conocen aquello de “en casa del herrero…”). También es cierto que en algún momento de mi vida tuve una relativa preocupación por la indexación y almacenamiento que este buscador realizaba de los grupos de discusión (Usenet News), debido a mi por aquel entonces habitual costumbre de enzarzarme en discusiones estériles y nada sensatas con otros usuarios de estos grupos. Eso y otras cosas hicieron que decidiese añadir una etiqueta CONTENT=”NOARCHIVE” a toda aquella información que vuelco en mi página personal; esto no evita que Google (y otros motores de búsqueda) indexe los contenidos, pero sí que los guarde en caché, dándome la libertad de poder eliminar o cambiar cualquier texto en cualquier momento. Claro que siempre quedan aquellos robots menos educados, o los servicios de lectura feeds, pero dejemos eso para otro momento.

En resumen, cuando uno dispone de un acceso total a los medios de publicación, tomar algunas precauciones es sencillo (y recomendable). Pero esto cambia radicalmente cuando es un tercero quien publica estos datos. Entonces, esta información está accesible a cualquiera que tenga acceso a Internet gracias a Google, hasta que la fuente original decida eliminarla, algo que no siempre es tan fácil como cambiarle el nombre a un fichero. Y no se trata de cuando alguien decide publicar información que uno mismo hizo públicamente accesible en por ejemplo un blog personal, como comentamos aquella vez, sino de cuando es un tercero que sin autorización y en ocasiones con todo el respaldo legal, publica algo que a nosotros nos gustaría ocultar.

Este es precisamente el problema que refleja el reportaje que inspira esta entrada: que si sales retratado en el BOE por alguna sanción de cualquier tipo (como por ejemplo orinar en la calle), seas inocente o culpable, prepárate a que tus amigos, familiares, compañeros de trabajo, futuros jefes, o alumnos (como en este caso), sepan qué y cuando lo hiciste. La parte buena de todo este asunto es que la AEPD ha resuelto a favor del “demandante”, y exige a Google que elimine los datos de su buscador. La parte mala del asunto es que Google no entiende de exigencias, y aunque no ha dicho que no lo vaya a hacer, ya ha añadido que aunque los borren, volverán a aparecer; es decir, la típica política del buscador basada en la respuesta “me da igual lo que me digas, seas quien seas, aunque podemos hablar de ello, si te sientes mejor” a cualquier petición de cualquier tipo, sea legítima o no.

Pero no me gustaría enzarzarme con Google, que sin duda podría admitirse que comparte parte de la culpa, sino que prefiero apelar a la incapacidad de muchos organismos gubernamentales para entender cómo funciona Internet y en particular los motores de búsqueda. Seamos claros: Google no lo indexa todo, sino que como la mayor parte de los grandes buscadores, proporciona herramientas que evitan que ciertas partes de una web se indexen y se almacenen; para empezar, el fichero robots.txt y las etiquetas meta NOINDEX y NOARCHIVE. Aún así, aunque no entendiese de restricciones, y esto aplica a aquellos motores de búsqueda menos educados, existen innumerables medidas para que ficheros que deben ser electrónica y públicamente accesibles lo sean, sin que los buscadores los vean: a bote pronto, páginas protegidas por contraseña, captchas para acceder a repositorios documentales, o servir los documentos previa petición interactiva y distribución de éstos mediante URLs temporales. Entiendo que es complicado admitir que un gobierno soberano tenga que plegarse a las técnicas y funcionamiento de las grandes corporaciones, pero por una parte, lo hacen a diario con las eléctricas, financieras, fabricantes de automóviles, etc., y por otra, mientras no se alcance una solución, el deber de ese gobierno es velar por la protección de los datos de sus ciudadanos. Porque una cosa es que cualquiera pueda saber que tú orinaste en la calle buscando y leyéndose el BOE correspondiente, y otra que Google se lo diga en su primer resultado de búsqueda.

Para acabar, la moraleja de esta entrada está muy clara: no orinen en la calle, por lo que pueda pasar.

Actualización 13h: Me comenta Fernando Seco que no está completamente de acuerdo en que Google tenga que eliminar dichos datos de sus búsquedas, puesto que los BOE y otros documentos gubernamentales son accesibles públicamente. Además, añado yo que probablemente Google no almacena los datos del BOE, sino que sólo los indexa y organiza, por lo que de algún modo, podríamos decir que la responsabilidad de que éstos sean indexados por Google recae toda o casi toda en el organismo que los publica, y no en el gigante norteamericano. ¿Ustedes qué opinan?

(Por cierto, el pasado 19 de enero se publicó el nuevo Reglamento de la LOPD (PDF). Permítannos un tiempo para analizarlo y ya les comentaremos.)

La convergencia de Boeing

14 de enero de 2008 Por

Leía en El Mundo (elmundo.es) un peligroso ejemplo de convergencia (¿recuerdan que les hablamos de ello?). Parece ser, siempre teniendo en cuenta que las diferencias entre lo publicado en medios de propósito general y la realidad tecnológica suelen ser considerables, que a los señores ingenieros de Boeing no se les ha ocurrido más que unir, en ciertos puntos, las redes de datos y control de sus aviones con las redes de propósito general que dan acceso a Internet para los pasajeros durante el vuelo. Si simplemente hubiéramos visto la noticia en el periódico, seguramente lo habríamos achacado al sensacionalimo o desconocimiento de quien ha escrito el artículo, pero resulta que en el mismo hay un enlace a Cryptome.org (algo más serio en materias de seguridad) en el que se publica el supuesto informe de la FAA (Federal Aviation Administration) que hace referencia a este problema.

Teniendo en cuenta que el propio informe de la FAA indica que es necesario seguir analizando el problema para determinar el posible impacto del mismo, por lo que es posible que finalmente un potencial intruso simplemente pueda tener acceso a cosas irrelevantes para la seguridad del vuelo (consulta de la temperatura en cabina, lectura de parámetros de vuelo, captura pasiva del sistema de megafonía…), nos importa mucho el hecho en sí, como ejemplo de convergencia. Si un intruso ataca una red de datos desde su ordenador, podrá interferir generalmente en actividades de índole lógica, perjudicando la imagen de la víctima, la integridad de sus datos, la confidencialidad de su cartera de clientes, etc.; pero si esta red da acceso a sistemas de control, la cosa cambia. En este caso, pensemos en que el atacante podría distorsionar datos de vuelo o proporcionar datos falsos a los elementos de control; sin duda es aventurarse mucho, pero como ya adelantamos, este tipo de cosas —quizás, y esperemos que así sea, no en aviones, por las medidas de seguridad que se introducen en estos medios de transporte— acabará pasando. Cuando conectamos elementos de control físico con redes fácilmente atacables, nos exponemos a riesgos que tal vez no sean los esperados.

Por si acaso, yo trataré de volar lo menos posible. Eso sí, no por esta noticia, sino porque nunca me ha gustado el avión.

(N.d.E.) Actualización 10:00h: Leo a través de Barrapunto que al parecer, un hacker polaco ha materializado en el sistema ferroviario polaco una amenaza parecida [The Register, en inglés].

El justiciero que llevamos dentro

3 de diciembre de 2007 Por

A finales del pasado mes leí un artículo de Raúl Morales titulado “Proponen nodos suicidas para proteger las redes de los hackers”. En él se comentaba la propuesta de la Universidad de Cambridge para la protección de redes descentralizadas o distribuidas: permitir a cualquier nodo de una red terminar con un nodo considerado malo con la contrapartida de que el nodo “ejecutor” se vea obligado a “suicidarse” (desconectarse) como justificación al acto de “eliminación” de ese nodo malo (en pocas palabras, doy mi vida por el bien común).

Hay que remarcar que se trata de una propuesta, y claro, para eso estamos los “chicos” de Security Art Work, para sacarle punta a (casi) todo. Teniendo eso muy en cuenta, ¿qué soporte tiene esta propuesta? ¿No nos lleva a sacar al justiciero que llevamos dentro?

Puesto que los investigadores de Cambridge se basan en la naturaleza para establecer este mecanismo de autodefensa (las abejas atacan con su aguijón perdiendo con ello la vida), se puede establecer como hipótesis de trabajo el argumento contrario basado en la naturaleza humana, por ejemplo, los terroristas suicidas. Al otorgarse total derecho a eliminar nodos malignos sin otro fundamento legal que la obligación de desconectar nuestro propio nodo, esta medida podría utilizarse por parte de grupos criminales con gran capacidad para establecer nodos “nacidos para el suicidio”, de manera que, al amparo de esta propuesta, se dediquen a destruir con carta blanca nodos que realmente no tienen actividad sospechosa o delictiva.

Por otro lado, de sobra es conocida la existencia de mecanismos reguladores para la obtención de licencias de armas, en los que se deben pasar exámenes médicos y psicológicos que ratifiquen nuestra capacitación. Si la libertad de agredir a otro nodo está al alcance de la mano de cualquiera, por muy loable que sea el fin de esta acción, podremos llegar al caso de nodos de “gatillo fácil”, es decir, nodos que no estén lo suficientemente preparados o entrenados para distinguir patrones de ataques que en algunos casos puedan tratarse de falsos positivos (mi nodo pensó que el tuyo era maligno).

Tanto por el hecho de dejar una puerta a la impunidad, como por la capacidad de no estar lo suficientemente preparados para tomar la decisión correcta, considero que debe dejarse en manos de los profesionales la investigación y análisis de las actividades que puedan considerarse delictivas en el entorno de la red, y no delegarla en mecanismos semiautomáticos que pueden fallar o ser utilizados con fines poco dudusos. Porque para ello ya existen las Brigadas de Delitos Informáticos de los distintos Cuerpos de Seguridad del Estado.

En seguridad informática o en cualquier otro aspecto de la vida, más vale prevenir que curar.

¿Todo lo que no son cuentas son cuentos?

22 de noviembre de 2007 Por

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

¡¡Estaba totalmente equivocado!! El resultado se lo pueden ustedes imaginar…

Los asistentes al evento eran técnicos y directivos de grandes empresas, de la administración pública y de consultoras especializadas y, en mi opinión, de lo que hablaban y lo que querían escuchar eran cosas completamente distintas. Hablaban de gestión medioambiental, de recursos humanos o gestión del personal, de gestión financiera, de trasparencia, del código Conte, del número de mujeres que debían participar en los consejos de administración,… y ni una sola mención a la seguridad, a la monitorización de procesos —incluido el de gestión de la seguridad— ni a la gestión en tiempo real. ¡¡¡Vaya chasco!!! Estaba como pez fuera del agua, y el caso es que seguía convencido con el hecho que teníamos mucho que decir en ese contexto, pero la percepción es que estaba hablando en un idioma que ni podían ni querían entender. Un fallo de preparación, sin duda, y la Seguridad una grandísima ausente.

La vida sigue. La experiencia no fue positiva, pero de esto también se aprende. Creí por un momento que la convicción profunda que tenía sobre el hecho de que la RSC no podía relegar a un ámbito técnico o tecnológico los asuntos relacionados con la seguridad, con la gestión en tiempo real, con la monitorización de procesos, estaba infundada. En definitiva que el leit-motiv de nuestro proyecto empresarial, el de S2 Grupo, no convergería nunca con algo en lo que creía profundamente: “Las obligación que tienen las empresas de desarrollar su negocio de forma sostenible, cuidando la conciliación de la vida familiar y profesional, cuidando de su entorno y de la sociedad en la que viven, cuidando de la confianza que se deposita sobre ella, cuidando sus cuentas, cuidando de la información: la de carácter personal y la que no lo es, cuidando de sus resultados, de sus activos, de … TODO. Es una OBLIGACIÓN, no una opción”.

Una conversación con mi socio y amigo al respecto volvió a darme la confianza perdida por unas horas y el trabajo duro siguió.

Hace unas semanas me llegó la invitación del ISMS Forum, asociación española para el fomento de la seguridad de la información, de la que, como no podía ser de otra forma, S2 Grupo es miembro, a la II jornada internacional organizada en colaboración con INTECO y con el título: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”.

No se pueden imaginar ustedes la alegría que me lleve. Los tiempos han cambiado un poco. Las entidades con su SGSI certificado son ya muchas. Solo AENOR tiene ya más de 80 organizaciones certificadas según dato aportado por D. Avelino Brito en su intervención en la jornada, entre ellas S2 Grupo como la primera en la Comunidad Valenciana con la ISO 27001.

Me gustó el planteamiento inicial de la jornada y me ha gustado, en líneas generales, el contenido de la misma.

A pesar de que el plato fuerte de la jornada era, a priori, la intervención en directo de Bruce Schneier que como era de esperar estuvo francamente bien, yo quiero destacar el panel de expertos en el que un grupo de personas, no técnicas de la seguridad informática, disertaron durante un buen rato sobre las relaciones entre la Responsabilidad Social Corporativa —o como D. Javier López-Galiacho decía Responsabilidad Corporativa— y la Seguridad de la Información. Estuvo francamente bien.

D. Javier López-Galiacho, Director de Responsabilidad Corporativa de FCC, hizo una exposición brillante en mi opinión sobre los conceptos básicos de la Responsabilidad Corporativa, ya que según defiende esta responsabilidad no sólo es social, y le hizo los guiños justos a la Seguridad de la Información cuando pasó por encima del Buen Gobierno.

Y es que no puedo estar más de acuerdo con lo que dijeron los miembros del panel en este sentido. Sí, señores, ¿acaso no forma parte del buen gobierno gestionar, controlar y monitorizar que los accesos de nuestros sistemas de información son los que deben ser y no otros? ¿acaso no es un asunto de buen gobierno garantizar que la información de nuestros empleados está a buen recaudo y no en manos de un desaprensivo que quiera usarla para fines no lícitos? ¿acaso no es un asunto de buen gobierno gestionar correctamente los soportes con información confidencial y secreta que de nuestra organización circula por el mundo? Yo creo que sí y ayer se habló públicamente de esto. ¡¡Sí señor!! La Responsabilidad Social Corporativa debe tener en cuenta, en el lugar que le corresponde, la necesidad de gestionar la seguridad de la información, debe escuchar cuanto tenemos que decir los profesionales que nos dedicamos a esto.

Mientras las empresas que cotizan en la bolsa americana sudan la gota gorda para cumplir la SOX y en particular su sección 404 que habla de seguridad y de gestión en tiempo real entre otras cosas, nuestra sociedad, a este lado del atlántico, discute airadamente sobre el porcentaje de mujeres que debe haber en un consejo de administración de una empresa o si el código Conte es un código demasiado intrusivo o si debe o no debe el estado regular determinado tipo de situaciones. ¿No estará en el término medio la virtud?

En fin, como conclusión diré que 350 personas nos hemos sentado en torno a una mesa (¡¡enorme!!) para hablar de Seguridad y Responsabilidad Social Corporativa. ¡¡Será por algo!! Varias veces se dijo en tono irónico “todo lo que no son cuentas son cuentos” Pues no señores, hay muchas cosas que no son cuentas que tampoco son cuentos…

En definitiva, ¡¡enhorabuena a Gianluca y al resto de la junta por el éxito del evento!!

En todas partes…

21 de noviembre de 2007 Por

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: “Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar”…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”, por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.