Como les adelanté el pasado 28 de enero, nuestro compañero Antonio Villalón que debería prodigarse más por estos lares participó vía videoconferencia en el I Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. A continuación, y a la espera del video de la ponencia, tienen el documento de la presentación que realizó, que pueden bajarse si lo desean de su página personal (donde encontrarán material adicional), o de este enlace (PDF, 360Kb).
La convergencia de la seguridad (I)
6 de febrero de 2008 Por
Muy buena presentación Antonio,
Como bien comentas la Convergencia en la Seguridad es una tendencia que se convierte casi en necesidad. Mantener una visión holística de la organización como un todo a la hora de protegerla nos ayudará a crear una cadena sin eslabones débiles, o todos fuertes, o todos medianamente fuertes, pero sin altibajos.
Algo que añadiría a esta presentación (aunque quizás se salga del ámbito de la misma) es que esa visión holística debe extenderse a todos los departamentos. Por ejemplo, sacamos un nuevo producto o un nuevo servicio, hacemos nuestro análisis de riesgos, nuestro análisis de vulnerabilidades, hacemos nuestros informes y, ¿ahora que?, ¿Qué ocurre desde el punto de vista financiero? ¿Qué riesgos supone la inversión en este proyecto?, de igual forma, si se materializa un riesgo, ¿Cuál es el impacto en la imagen de nuestra organización?. Lo que trato de explicar es que si la seguridad física y lógica es convergente (que debe serlo), también deben serlo los análisis de riesgos, todas las áreas afectadas deben estimar los posibles problemas de ese proyecto, al igual que sus beneficios estimados, esto nos sube en la pirámide de los procedimientos a las normas, y de las normas a las políticas, donde nos encontramos con la alta dirección, que es la única que puede promover este tipo de ideas.
Ahí dejo el apunte.
Enhorabuena por el bloq.
Saludos ~~
Muy buena matización GigA,
cuando abordamos proyectos de continuidad de negocio percibimos que las organizaciones, que ya eran conscientes de la dependencia que sus procesos de negocio tienen del área TIC, empiezan a ser conscientes de que su Seguridad en su visión más holística -y los riesgos a los que está expuesta- ya no está relacionada exclusivamente con su vertiente física o lógica, sino que cada vez más intervienen aspectos organizativos.
Cuando un socio o proveedor -tecnológico o no- se integra con mi organización, su “cadena de seguridad” pasa a integrarse en la mía, para lo bueno y para lo malo. Si su cadena tiene eslabones débiles, también se integrarán. E insisto: no pensemos en debilidades exclusivamente relacionadas con la seguridad del acceso remoto por el que se conectan a mi red corporativa. Miremos más allá.
El riesgo asociado a la externalización, el riesgo asociado a la dependencia de terceros, el riesgo asociado a la gestión del personal, el riesgo asociado a la falta de control interno… en definitiva: el riesgo asociado a no tener en cuenta los riesgos.
Yo no me habría explicado mejor :-D