Ataque DoS de Microsoft

H650_1200oy tenía que sacar uno de esos informes que requieren una gran dosis de concentración y me disponía a hacerlo trabajando desde casa. Además, antes debía responder a un importante e-mail enviado por mi jefe la tarde anterior.

A las 06:30 ya estaba sentado delante del ordenador. Bueno, va: ya eran casi las 06:45. Lo encendí y mientras arrancaba puse la tetera al fuego. De entrada Windows me informó de una nueva actualización y yo, en un descuido imperdonable pese a las horas y la falta de cafeína y teína, elegí la opción de actualizar y reiniciar.

Inmediatamente apareció una pantalla azul. Instalando actualización 1 de 10.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (7)

Si recuerdan, la anterior entrada de la serie la dedicamos a las auditorías iniciales de selección de proveedores. En esta ocasión vamos a hablar acerca de las auditorías de evaluación de proveedores y seguimiento de su desempeño.

Como ya se indicó, el objetivo de las auditorías de evaluación de proveedores es el de verificar el grado de cumplimiento de todos los compromisos adquiridos por contrato, especialmente de todo aquello que tenga que ver con calidad y niveles de servicio, aspectos relacionados con la seguridad y cumplimientos de plazos.

El alcance de una auditoría de seguimiento de proveedores queda enmarcada dentro del objeto y alcance del contrato. Los criterios de auditoría los compondrán, por tanto, las disposiciones contenidas en la documentación de carácter contractual generada, es decir, en el contrato firmado por ambas partes (incluidos anexos y referencias) o en el tándem pliegos de contratación más propuesta ganadora, si se trata de una licitación abierta. También forman parte de los criterios de auditoría todas las disposiciones legales que resulten de aplicación en relación con el contrato y los bienes o servicios objetos de contratación. Ya dijimos que los requisitos legales deben formar parte de los criterios de auditoría de manera inexcusable y la evaluación de su cumplimiento debe abordarse sistemáticamente dentro del proceso de auditoría.

[Read more…]

Sistemas de Gestión Integrados: anexo SL (II)

En la anterior entrada explicábamos cómo nos lo montamos en S2 Grupo para integrar eficientemente en un único sistema de gestión requisitos de diversas normas que versan sobre temas bien diferentes. En otras empresas he tenido ocasión de comprobar otros enfoques similares. Resumiendo: diferentes normas desarrolladas sobre la base del ciclo PDCA son más o menos compatibles. Pero la compatibilidad se la tiene que montar uno mismo. Además diferentes requisitos compatibles son diferentes en alcance y redacción y, obviamente, al integrar dos o más normas de sistemas de gestión en un único Sistema de Gestión Integrado (SGI) hay que satisfacer el más exigente de todos ellos. En esta nueva entrada y en relación con este tema vamos a hablar sobre el anexo SL.

El anexo SL propone un marco genérico para cualquier sistema de gestión. La intención es que a partir de ahora toda norma ISO de sistema de gestión, tanto de nueva creación como tras su revisión, siga la estructura que se indica más adelante, con el objetivo de armonizar los requisitos comunes a todas las normas, como recursos humanos, control de documentos, objetivos y planificación o acciones correctivas, por poner algunos ejemplos. Además incorpora transversalmente algo novedoso y muy importante: la gestión de riesgos y oportunidades.

Resumiendo, la idea es que todas las normas converjan en una misma estructura común y con el mismo contenido (idéntica redacción de los requisitos normativos) salvo en su apartado 8.- Operación que será en el que, tras un primer apartado también común (8.1, de planificación y control operacional) cada norma desarrollará sus requisitos específicos (de seguridad, de continuidad, de gestión energética o de lo que sea).

A continuación se muestra el primer nivel de la estructura propuesta por el anexo SL junto con un breve comentario acerca de su contenido:

1.- Alcance, 2.- Referencias normativas y 3.- Términos y definiciones:

    sin comentarios. Y al que me diga que el auditor le ha auditado estos apartados, como he leído por ahí en algún foro, recomendarle encarecidamente que cambie de auditor y de entidad de certificación. Eso sí: interesante la iniciativa de armonizar algunas definiciones normativas.

4.- Contexto de la organización:

    alcance del sistema de gestión, partes interesadas, marco normativo.

5.- Liderazgo:

    compromiso de la dirección, política, funciones, responsabilidades y autoridad.

6.- Planificación:

    gestión de riesgos y oportunidades; objetivos y planificación. Se correspondería con la P del PDCA.

7.- Soporte:

    aquí entra todo lo que tiene que ver con recursos, formación, toma de conciencia y comunicación, así como todo lo relacionado con la gestión de la documentación del sistema de gestión.

8.- Operación:

    es en este apartado donde recaerán los requisitos específicos de cada norma. Sería la D del PDCA.

9.- Evaluación del desempeño:

    se correspondería con la C del PDCA e incluye seguimiento y medición, análisis de datos, auditoría interna y revisión por la dirección.

10.- Mejora:

    incluye no conformidades y acciones correctivas y mejora continua. Es la A que nos faltaba.

Buena pinta, ¿no?

A modo de ejemplo se muestra a continuación el índice de la norma ISO 22301 Societal security − Business continuity management systems − Requirements, la cual fue editada en mayo de 2012, ya con esta estructura:

Nótese que los requisitos específicos de continuidad de negocio son desarrollados en los apartados 8.2 a 8.5.

Sobre el papel parece todo muy lógico y coherente por lo que este nuevo enfoque parece adecuado por sí mismo. Pero especialmente va a facilitar la integración de diferentes sistemas de gestión, tanto para implantación como para auditoría. Ya era hora, ¿no?

Veremos si luego todos los actores involucrados son capaces de que se desarrolle e implante adecuadamente.

Más información en:

http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1621
http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-Guide-83/
http://www.aspectosprofesionales.info/2013/06/integrar-diferentes-normas-iso-gracias_20.html

Sistemas de Gestión Integrados: anexo SL (I)

Hace casi diez años, trabajando de auditor para mi anterior empresa (AENOR), me correspondió organizar conjuntamente con mi actual empresa (S2 Grupo) la primera de una serie de jornadas divulgativas acerca de seguridad y sistemas de gestión de la seguridad de la información, en concreto sobre la norma española UNE 71502, precursora en España de la norma ISO 27001 y por ésta derogada.

Por aquel entonces la certificación se limitaba prácticamente a sistemas de gestión de la calidad según ISO 9001 (y sus secuelas sectoriales ISO/TS para automoción, EN 9100 para aeronáutica y espacio) y a sistemas de gestión ambiental según ISO 14001. La mayoría de las empresas que disponían de ambas certificaciones mantenían ambos sistemas de gestión segregados, siendo prácticamente estancos e incluso dependiendo su operación, mantenimiento y auditoría de personas de distintas áreas dentro de la organización, a menudo con escasa relación entre ellas.

En aquella jornada de la que les hablaba, además de buena parte de su organización, me correspondió intervenir como ponente. Las ventajas y bondades de implantar un SGSI en la organización estaban muy claras pero las alarmas habían saltado y los empresarios y los responsables de la operación y mantenimiento de dichos sistemas veían en el SGSI un tercer sistema de gestión, independiente a su vez de los otros, con sus auditorías, sus revisiones, su documentación, sus indicadores, sus necesidades de formación, etc., además de sus particularidades intrínsecas y nada triviales tales como el análisis de riesgos, el plan de tratamiento de riesgos y la implantación de los numerosos controles de la norma ISO 27002 (antes ISO 17799). El enfoque pues era claro: había que lanzar un mensaje tranquilizador acerca de la posibilidad de integración de los diferentes sistemas de gestión pues, aunque a veces no lo parezca, todos ellos se basan en el ciclo de mejora continua de Deming y tienen en común los requisitos indicados más arriba y otros cuantos más. Cabe decir que los requisitos comunes a las normas, si bien son iguales en esencia, difieren de una norma a otra tanto en alcance como en redacción. En cualquier caso en aquella jornada, allá por el año 2004, los demás ponentes hablaron sobre seguridad y yo lo hice acerca de las posibilidades de integración de diferentes sistemas de gestión.

Ha llovido.

Actualmente en S2 Grupo me encargo de la dirección de la Oficina de Gestión, órgano al que corresponde la coordinación de todo lo que tenga que ver con gestión, especialmente a nivel interno pero con mucha presencia también en determinados proyectos de cliente. Como no podía ser de otra manera, la operación, auditoría y mantenimiento de buena parte de nuestro sistema de gestión integrado (SGI) recae sobre la Oficina de Gestión. Además de otras calificaciones y distintivos como el conseguido hace escaso un mes de Igualdad en la empresa, en S2 Grupo disponemos ahora mismo de un SGI que cumple con los requisitos de cinco normas diferentes de sistemas de gestión:

    − Seguridad de la información según ISO 27001
    − Calidad según ISO 9001
    − Servicios TI según ISO 20000-1
    − Gestión de la I+D+i según UNE 166002
    − Gestión ambiental según ISO 14001

Los cuatro primeros hace años que fueron certificados; la certificación del sistema de gestión ambiental se prevé a corto plazo y además hay previsión de ampliación con una certificación de sistema de gestión de la energía según ISO 50001.

Como ven en S2 Grupo somos unos convencidos de las normas de gestión. Y no es cosa mía: es cosa de la Dirección. Y el tema de los sellos está muy bien pero les puedo asegurar que, a diferencia de tantas organizaciones (personalmente tuve ocasión de conocer varios centenares durante mis años como auditor) las certificaciones para nosotros no son un fin en sí mismo; podríamos entender una empresa sin certificaciones externas pero nos parece inconcebible una empresa moderna, cambiante y en crecimiento sin el soporte de un buen sistema de gestión integrado que nos obligue a huir de la improvisación y a planificar, a supervisar, a documentar aunque sea mínimamente y a mejorar. Y además de manera ágil, pese a todo lo que se ha dicho y escrito sobre la ineficiencia de los sistemas de gestión.

Nótese que en ningún momento hablamos de cinco sistemas de gestión implantados si no de un único sistema de gestión integrado (SGI) que ahora mismo da respuesta a los requisitos de cinco normas diferentes y que está además preparado para dar cabida a otras normas que pudieran venir en el futuro.

¿Cuál es la estructura de nuestro SGI? Pues el sentido común nos llevó en su momento a crear una base PDCA en la que la P, la C y la A se diseñaron para ser la misma para todas las normas y desarrollándose aparte las Ds particulares para cada una de las normas.

Aunque cronológicamente la primera certificación de S2 Grupo fue la de su SGSI, a principios de 2006, (y yo fui el auditor :-) ) como base estructural del SGI se tomó la de la norma ISO 9001. Podríamos decir que la ISO 9001 constituye los cimientos y estructura del edificio que alberga nuestro SGI, además de ocupar una de sus plantas. A partir de ahí, hemos venido analizando los requisitos comunes de cada nuevo referencial a integrar (ISO 14001 el más reciente) contra los de nuestro SGI para comprobar posibles implicaciones sobre lo que ya teníamos y posteriormente hemos ido desarrollando los procesos y procedimientos necesarios, específicos de cada nueva norma a integrar.

Resultado: un SGI a medida, escalable, que nos ayuda a gestionar, a anticiparnos a posibles problemas, a detectarlos rápidamente si llegan a producirse y a dedicar los recursos y soluciones adecuados en cada caso. En definitiva, un sistema de gestión imprescindible para nosotros sin el cual no podríamos mejorar, ni siquiera funcionar de manera eficiente.

No obstante, y en relación a la integración de normas de sistemas de gestión, ya está aquí el anexo SL. Llegó hace unos meses y ha venido para quedarse. ¿Lo conocen? ¿Aún no? Si aún no conocen el anexo SL tengan por seguro que a partir de ahora oirán hablar mucho acerca de él (ya sea con éste u otro nombre). Sin ir más lejos en una próxima entrada que pronto dedicaremos al mismo.

Mi jefe me ha hackeado

Como lo oyes. Como lo lees. Mi jefe me ha hackeado.

Ocurrió la semana pasada. Llegaba yo tarde a una reunión en la que debía exponer. Como es habitual, el servidor de la sala ya estaba en marcha por lo que simplemente hice uso del mando a distancia del proyector instalado en el techo, lo conecté y esperé unos segundos a que se mostrase en pantalla la invitación a ingresar en el sistema.

Como tantas veces, como siempre, hice click en el botón de inicio sesión, cogí el teclado inalámbrico, tecleé mi contraseña y le di a intro. Como tantas veces, como siempre, lo hice mecánicamente, sin mirar a la pantalla. Entonces levanté la vista esperando ver cómo se iniciaba mi sesión. Pero no; seguía mostrándose exactamente la misma pantalla de inicio que unos segundos antes. Por un momento pensé que había elegido mal la contraseña de modo que probé con otra. Cosas de llevar docena y media de contraseñas en la cabeza. Pero nada.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (6)

(Véase primera parte, segunda parte, tercera parte, cuarta parte y quinta parte)

Tal como anticipamos en un anterior post de la serie podemos hablar de dos tipos de auditorías de segunda parte en función de su objetivo:

  • Por un lado y en primer lugar están las auditorías iniciales de selección proveedores, que se realizan previamente a la contratación y precisamente para la elección del más idóneo de entre un elenco de posibles candidatos.
  • En segundo lugar están las auditorías de seguimiento para la evaluación del desempeño del proveedor o subcontratista seleccionado. Estas auditorías se realizan periódicamente dentro del marco de una relación contractual ya establecida y tienen como objetivo principal el de verificar el cumplimiento de todos los extremos acordados por ambas partes, tanto en términos de calidad como de plazos y seguridad (al final podemos considerar todo calidad).

En esta entrada hablaremos de las auditorías iniciales de selección de proveedores dejando las de evaluación del desempeño para una próxima entrada.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (5)

(Véanse las partes anteriores de esta serie: primera parte, segunda parte y tercera parte)

En la anterior entrada comentamos la conveniencia, a la hora de seleccionar proveedores para servicios importantes, de no quedarnos en la superficie de los argumentos puramente comerciales ofrecidos por los posibles candidatos y no fijarnos únicamente en lo que nos quieran enseñar ya que resulta altamente recomendable bucear más a fondo y pedir que se nos muestren también otras informaciones altamente relevantes para los servicios objetos de contratación y que no se suelen enseñar (planificaciones, carga de recursos, medios de inspección, seguimiento y control, reclamaciones recibidas, tratamiento dado a las mismas, informes de satisfacción de clientes, experiencia aportada por los recursos, etc., etc.).

Determinada pues la importancia de un servicio subcontratado por su criticidad e impacto sobre el negocio y antes de adjudicar nada a ningún proveedor yo les insto pues a que visiten a los posibles candidatos, acuerden un marco de auditoría y los evalúen in situ, con tiempo y con rigor, solicitando informaciones relevantes para el servicio y, en defeinitiva, metiendo el dedo en la llaga. Garantizadas sorpresas tanto gratas como ingratas, derivadas de la gran cantidad de información relevante que se desprende de una auditoría de segunda parte bien desarrollada.

[Read more…]

Auditorías de segunda parte: Seguridad en las compras y contrataciones (4)

(Véanse las partes anteriores de esta serie: primera parte, segunda parte y tercera parte)

Las auditorías de segunda parte o auditorías de proveedor (o de cliente, según el foco) son las que realiza un cliente a un proveedor para su evaluación dentro del marco de una relación contractual existente o, precisamente, para la evaluación inicial previa a la contratación, como uno de los pasos más importantes (quizá el más importante) a realizar durante el proceso de selección de posibles proveedores o contratistas.

En esta entrada ofreceremos algunas consideraciones sobre las auditorías de segunda parte aunque en el último post de la serie ya las nombramos de pasada y, comparándolas con otros tipos de auditoría, llegábamos a algunas conclusiones importantes:

  • La auditoría de segunda parte es una herramienta potente y barata para la selección de proveedores idóneos y para el seguimiento de su desempeño.
  • Se trata de una técnica utilizada en general por grandes compañías con grandes volúmenes de compras; sin embargo la auditoría de segunda parte es menos conocida y está poco extendida en empresas de menor tamaño cuando sus ventajas y beneficios pueden fácilmente extrapolarse a empresas pequeñas y medianas sin más que hacer una regla de tres.
  • Las empresas que tradicionalmente venían haciendo auditorías de segunda parte a sus proveedores no han dejado en absoluto de hacerlas por el hecho de que éstos dispongan de una certificación del tipo que sea.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (3)

En entradas anteriores se ofreció una aproximación práctica al concepto de auditoría en general para después hablar sobre las auditorías internas o de primera parte. Demos ahora un salto, dejando las de segunda parte para un próximo post y vayamos directamente con las auditorías de tercera parte o de certificación.

Las auditorías de tercera parte son las que realizan las entidades de certificación a solicitud de una organización y su objetivo principal es el de demostrar el cumplimiento de los requisitos de un determinado referencial con la finalidad última de inscribir a la organización auditada en un registro de empresas certificadas. Tienen una frecuencia anual y, salvo algunas excepciones establecidas por determinadas disposiciones legales, cada organización, pública o privada, es muy libre de elegir pasar por un proceso de certificación o no.

Las auditorías externas tienen más en consideración la comprobación de la eficacia conforme indican las normas de gestión sin meterse, en general, con aspectos relacionados con la eficiencia y las asignaciones y consumos de recursos. En teoría en una auditoría externa se podría dar como buena la opción de reventar chinches a cañonazo limpio, muy a diferencia de lo que ocurriría en una auditoría interna, cuyos objetivos son como vimos bien diferentes.

Tal como indicamos en el primer post de la serie, para que una auditoría se realice con las debidas garantías son imprescindibles tres ingredientes:

  • Alto grado de preparación y entrenamiento en técnicas de auditoría junto con un buen conocimiento técnico de las actividades a auditar (aptitud).
  • Tiempo suficiente tanto previo al trabajo de campo para poder preparar la auditoría adecuadamente como in situ para llevarla a cabo en toda su extensión y, posteriormente, para documentar los resultados en un informe de auditoría completo y adecuado a los objetivos de la misma.
  • Prurito profesional (actitud).

Estos tres ingredientes son necesarios pero no suficientes por sí mismos y esto sirve tanto para las auditorías internas como para como para las de segunda y tercera parte. Con que falte uno sólo de ellos el resultado de la auditoría puede tener su valor limitado o llegar incluso a no servir para nada.

Desde el punto de vista del grado de preparación y experiencia de los auditores indicar que los procesos y criterios aplicados por las entidades de certificación para la calificación de auditores suelen ser en mi opinión excesivamente laxos, ya que no se requiere una gran experiencia previa para auditar una actividad específica. Desgraciadamente, es posible encontrar auditores que no son expertos en la materia auditada o que tienen un sesgo excesivo hacia aquellas normas que conocen en mayor profundidad. En el otro extremo, hay que destacar que existen también auditores con gran experiencia y conocimiento que hacen de las auditorías un proceso que puede ser muy aprovechable para la organización auditada.

Por otro lado, y como ya hemos comentado en anteriores ocasiones, las entidades de certificación se enfrentan al objetivo en cierto sentido contradictorio de conseguir nuevos clientes y mantener los que ya tienen, al tiempo que deben mantener cierto rigor en las auditorías, lo que puede hacerles perder clientes. Además, la situación actual de crisis ha conducido en muchos casos a una bajada en el precio (y consecuentemente en el número de jornadas teóricamente necesarias según las tablas de ENAC) por lo que los auditores suelen contar de manera casi generalizada con menos tiempo del necesario para llevar a cabo su trabajo.

Sobre auditorías mal dimensionadas (me atrevería a decir que, de manera casi generalizada, a los auditores les gustaría disponer de más tiempo del que les suelen dejar para hacer su trabajo) y sobre auditores que no auditan ya hablamos en este mismo blog hace algunos meses por lo que no nos vamos a extender más.

Para ir terminando, indicar que una de las bondades que se atribuyó en su momento a las auditorías de certificación era, precisamente, la de proporcionar confianza para sentar la base de una relación comercial sólida y mutuamente beneficiosa con proveedores certificados. De esta manera se ahorraría tanto a clientes como a proveedores las dedicaciones y costes asociados a las auditorías de segunda parte, ya que se suponía que una empresa certificada había tenido que pasar necesariamente por una auditoría como Dios manda. Objetivo no cumplido. No conozco a ni una sola organización que viniera haciendo previamente auditorías a sus proveedores que las haya dejado de hacer por el mero hecho de haber logrado éstos algún tipo de certificación. Es decir: en la práctica las auditorías de tercera parte no han conseguido reducir el número de auditorías de segunda parte, tal como cabía esperar.

Larga vida pues a las auditorías de segunda parte. Además, si bien esta potente técnica de selección y seguimiento del desempeño de proveedores estratégicos no es tan conocida ni se encuentra tan extendida (si exceptuamos las grandes corporaciones), la auditoría de segunda parte resulta de gran interés ya que está demostrado que puede reportar grandes beneficios en términos de mejora de los niveles de calidad y seguridad (y consecuentemente de costes).

La próxima entrada la dedicaremos pues a profundizar sobre esta interesante herramienta de gestión que son las auditorías de segunda parte.

Auditorías de segunda parte: seguridad en las compras y contrataciones (2)

Como continuación a la entrada sobre auditorías que publicamos hace algunos días, en esta entrada vamos a dar un repaso a los distintos tipos de auditoría que existen y después hablaremos sobre las auditorías internas. Tal como indicamos, más adelante profundizaremos en las auditorías de segunda parte y hablaremos sobre sus efectos en el incremento de la seguridad desde los procesos de compras y contratación.

Con independencia del marco normativo que pueda resultar de aplicación (ISO 27001, ISO 9001, ISO 20000-1 o la norma que sea, incluso una combinación de ellas) las auditorías se pueden clasificar en auditorías de primera, de segunda y de tercera parte en función de su origen y objetivos.

Además, desde el punto de vista de su programación podemos distinguir entre auditorías ordinarias o programadas y auditorías extraordinarias, las cuáles suelen llevarse a cabo entre dos auditorías ordinarias para realizar comprobaciones ulteriores, frecuentemente ligadas a la confirmación del cierre de problemas identificados en la auditoría ordinaria anterior. También pueden ser motivo de inicio de una auditoría extraordinaria la confirmación o sospecha de posibles problemas de cierta relevancia o impacto o la introducción de cambios importantes en los procesos de negocio (reingenierías de procesos, adquisición de nueva tecnología, cambios en CRMs y ERPs, fusiones, reformas, traslados, ampliaciones, implantaciones, etc.).

[Read more…]