Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Los primeros meses del año, después del maratón navideño y de la fiebre de la rebaja, son meses de moda. Las grandes firmas presentan sus colecciones para el siguiente otoño/invierno. A lo largo de febrero se suceden todas las semanas de la moda: la de Milán, la de París, la de Madrid… ¿Y que hace un planner hablando de moda en un blog sobre Seguridad de la Información? Pues retomar el tema que abrí hace unos cuantos meses sobre la Gestión de Crisis.

Entonces comentaba que las crisis se solucionan antes de que lleguen a estallar. La prevención es la mejor arma de gestión de crisis y el primer paso en esa estrategia de prevención es una auditoría de riesgos en toda regla. El ejemplo de la moda no es gratuito en este planteamiento porque en la mayoría de pasarelas los departamentos de comunicación de las marcas llevan años aplicando una estrategia de contención de riesgos. Uno de los puntos de conflicto en estos eventos es siempre el tema del tallaje y de la edad de las modelos así que las firmas preparan el terreno distribuyendo material informativo con referencias abundantes a la legislación y el compromiso que tienen los especialistas de la moda en la lucha contra la anorexia.

[Read more…]

Hoy martes traemos una entrada de Salvador Silvestre, de la firma Rocabert & Grau Abogados, bufete que ya ha colaborado anteriormente en Security Art Work.

Entre otras cosas, Salvador es postgrado en el Programa Superior en Derecho de las Telecomunicaciones, Sistemas Audiovisuales y Nuevas Tecnologías del Instituto de Empresa y experto en servicios de e-Administración acreditado por el Consejo General de la Abogacía Española. Asimismo, es Director del Departamento de Derecho Tecnológico, donde imparte cursos y conferencias sobre la materia en foros de relevancia como la Fundación de Estudios Bursátiles y Financieros, Puertos del Estado, universidades públicas, e importantes empresas multinacionales. Esperemos que les guste la entrada.

Cada vez utilizamos menos los documentos en soporte papel, de hecho, la mayoría de documentos en papel que utilizamos “nacen” primero en formato electrónico y luego los imprimimos y firmamos. Me pregunto si le daríamos validez a un documento en soporte papel que no estuviera firmado…

Vayamos ahora a un entorno electrónico. La validez de un documento electrónico, en general, dependerá de si va firmado con firma electrónica avanzada basada en certificado reconocido cumpliéndose los requisitos de la Ley de Firma Electrónica, de forma que no puedan impugnar su validez. Es decir, que sea auténtico, íntegro y esté disponible. Y ello porque con los documentos lo que se pretende es proporcionar pruebas de su contenido para exigir responsabilidades o cumplir con derechos.

[Read more…]

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat de la Comunidad Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico de CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

La semana pasada acudimos desde el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-cv) a la reunión de los grupos CSIRT.es, TF-CSIRT y FIRST que ha tenido lugar en Barcelona en CaixaForum. En distintas sesiones durante cuatro días, nos hemos reunido con grupos de respuesta a incidentes de nivel nacional, europeo e internacional. Estos foros suelen celebrarse periódicamente en distintas ciudades (incluso distintos continentes en el caso del FIRST), pero al coincidir todos en Barcerlona, era ineludible presentarnos al III Symposium FIRST.

Para aquellos que no nos conozcan, un CSIRT o CERT es un grupo que incluye técnicos especializados encargados principalmente de la respuesta a incidentes de seguridad informática que ocurran dentro de su ámbito de actuación; aunque no es este el único servicio que pueden ofrecer, es ineludible su acreditación para que se les considere un CSIRT/CERT.

[Read more…]

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

[Read more…]

Como primera entrada de esta semana un poco “rara”, tenemos una entrada de Rafael Rosell, que ya colaboró hace algunos días en el blog.

Rafael es Ingeniero Superior Industrial, Máster por el IESE y actualmente es Director Comercial del Instituto de Biomecánica de Valencia.

Los momentos que vivimos, desde un perspectiva economicista, afectan gravemente a las economías familiares. Esto nos lleva, como gestores de estas pequeñas economías, a tomar decisiones de reducción de costes importantes. Y ya que, evidentemente, no podemos despedir personal optamos por medidas mucho menos trascendentes ajustando gastos que a priori pueden ser superfluos; menos gastos para ocio, marcas blancas en los productos para la casa o evitar gastos como el ADSL, más si además tenemos accesible una red WIFI de algún vecino cercano.

[Read more…]

Para acabar la semana, tenemos una entrada de Rafael Rosell, que inicia su andadura como colaborador de este blog.

Rafael es Ingeniero Superior Industrial y Máster por el IESE. Asimismo, actualmente es Director Comercial del Instituto de Biomecánica de Valencia y es especialista en la dirección de equipos de ventas y estrategias comerciales, campo en el que lleva más de 15 años trabajando. Esperamos que la entrada les guste tanto como a nosotros.

Ha llegado a mis manos un artículo muy interesante de El Economista en el que se comentan los grandes avances tecnológicos que empresas como CISCO están obteniendo, y que sin duda puede revolucionar la forma en la que hacemos las cosas o nos relacionamos.

El artilugio en cuestión es digno de aparecer en escenas de “Matrix”: se trata de un sistema de telepresencia en 3D. Traducido al cristiano, esto significa que (una vez dicha tecnología llegue a su fase de comercialización), seremos capaces replicar en 3D con apariencia bastante real una imagen de una persona con el objetivo de, entre otras cosas, participar en reuniones a distancia, reproduciendo una imagen de mí como si en realidad estuviera presente en la citada reunión.

[Read more…]

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social governance. Esperamos que les guste.

Hoy me gustaría hablarles de una palabra que todo el mundo tiene últimamente en la boca: el governance. Y es que ésta es una de esas palabras que gustan… como que hace tilín. Desde Marketing hasta los más altos CEO’s, CTO’s, CIO’s, y otros tantos, hablan del governance aquí, allí, hoy y mañana. En estos últimos años he oído la palabra governance en todos los foros donde creía que podía salir y en otros tantos en que nunca me lo hubiera imaginado, y es que es pegadiza y suena bien, y de paso le da a uno esa imagen de cosmopolita que tanto gusta.

¿Que es el governance? Partamos de la base que el governance no es nada si no hay algo que gobernar. Partiendo de esta premisa, podemos aplicar governance a todo, y de hecho se aplica por defecto (ya sea bien o mal, eso es otra historia) a todas las facetas —voy a restringir el campo— de la informática empresarial (sí, empresarial): desde la metodología de desarrollo hasta la seguridad de los puestos de trabajo. Y es que el governance (yo lo entiendo así) es el ‘como se hacen las cosas’, y por eso hay que definirlo bien, ya que sino las cosas se nos irán de madre. ¿Y qué tiene esto que ver con la seguridad? ¿Qué hace el governance compartiendo espacio en este foro a veces técnico, a veces legal pero siempre interesante? Pues señores, el governance y la seguridad deben ir ligados como si fueran parte de la fórmula de la Coca-cola. Pero, ¿por qué la Coca-cola? Pues porque nadie conoce realmente como se fabrica (bueno, espero que alguien sí lo sepa), y porque el governance no es una metodología, no es tangible, no es medible (bueno, existen aproximaciones), pero es necesario conjugarlo bien en todos los puntos para que no nos salga gaseosa marrón.

El governance y la seguridad comienzan desde el momento que se define que es neceasario ‘gobernar’ la situación para que esto no se vaya de madre. Por ejemplo, en desarrollos de arquitecturas SOA (software) se habla de que la seguridad debe estar desde el nacimiento y esto es parte del governance —y mira que se habla de governance cuando alguien menciona SOA… En la gestion de CPD’s (no estoy muy ducho en este tema, francamente) podríamos hablar que el governance debe velar porque los aspectos de seguridad se tengan en cuenta, en la integración de los sistemas (no en un proyecto de integración sino en el uso de ESB, EAI o simples hubs made-in-house) el governance debe velar entre otras cosas por que las interfaces sigan estándares y la integración, monitorización, control y deploy sea correcto (disponibilidad de servicios aparte de su desarrollo, finalmente algo de seguridad), en infraestructura de redes podríamos hablar de tener en cuenta la alta disponibilidad de hardware, el caudal de datos, los procedimientos operativos…

En fin, el governance es una pieza fundamental de cómo hacer las cosas, de qué cosas hacer y de quién debe hacerlas. Para mí es como ver una pirámide a vista de pájaro. Es la única manera de ver realmente todas las caras, incluso la no visible, y de esa forma entender de forma clara la estructura. Es por eso que las pirámides deben verse desde el cielo, pero construirse desde la base. Así que si alguno de ustedes pretende cogerle el gusto al governance, no comiencen por alzar la vista mirando al techo (N.d.E. cosa que, se lo digo yo, no sirve de nada más que para acabar mal de las cervicales), evalúen las situaciones desde los mandos intermedios (generalmente mas operativos), definan los objetivos (con ellos) y aprovechen su conocimiento para llevar a cabo las acciones procedimentales/técnicas/organizativas que deben asegurar que se esta gobernando la situación.

Para hoy martes tenemos una entrada de Rafa García, amigo y antiguo colaborador de S2 Grupo que ya ha participado en el blog en alguna ocasión.

Rafa ha dedicado los últimos años de su carrera profesional a la gestión de datacenters, campo en el que posee extensos conocimientos (como demuestra la presente entrada), y es actualmente Director de NIXVAL, un proveedor de servicios de externalización de centros de datos para alojamiento de sistemas de misión crítica, parte del grupo CLEOP. Esperemos que la entrada les guste tanto como a nosotros.

Recientemente, trabajando en una ampliación bastante importante de nuestro centro de datos he podido constatar ya de forma generalizada que el mercado propone parámetros de diseño de salas técnicas con temperatura ambiente de 25º C y control de humedad de humedad relativa al 80%. Este post va de porqué, cómo y hasta dónde pueden realizarse estos cambios en una sala técnica existente —en este caso una de un centro de datos real— ya que con estos nuevos parámetros de diseño los centros de datos han dejado de ser como los conocíamos hasta la fecha.

El aumento de la temperatura de la entrada en aire a los servidores de 21º hasta 25º es un cambio que está operativo desde hace aproximadamente 1 año en una de las salas de nuestro centro de datos, que alberga aproximadamente 130 kW de sistemas. ¿Porqué este aumento? Para ahorrar energía, claro. ¿Y no causa problemas en los sistemas? No. Los equipos actuales soportan temperaturas operativas de hasta 35º garantizadas por el fabricante. Como muestra los parámetros operativos del equipo DELL Poweredge R210, uno de los mas baratos (369 €) y populares servidores:

[Read more…]

Para esta tarde de martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Se supone que en el Templo de Apolo de Delfos (y bajo la puerta del Oráculo en Matrix) había una inscripción que decía ‘Conócete a ti mismo’. Atribuida tradicionalmente a la poetisa Femonoé, para el poeta Juvenal es el primer paso hacia la auténtica sabiduría. Curiosamente en comunicación, conocerse a uno mismo es uno de los aspectos a los que menos atención se suele dedicar. Sin embargo en ese autoconocimiento se encuentra la clave para desarrollar una reputación a prueba de crisis.

Crisis es una palabra que, pese a llevar un par de años de moda, tiene un amplio recorrido tanto en gestión empresarial como en comunicación corporativa. La gestión de crisis es una disciplina y un arte que, pese a lo que muchos pudieran pensar, tiene más de prevención que de reacción. Y precisamente en esa actitud preventiva es donde juega un papel esencial la necesidad de conocerse a uno mismo (y a su marca, por supuesto).

[Read more…]

La entrada de hoy martes es una colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones. Para aquellos que no lo conozcan, Javier Cao es Ingeniero en Informática por la Universidad de Murcia, certificado CISA y posee los certificados de los cursos IRCA ISO 27001 e IRCA ISO 20000.

Esperamos que les guste la entrada.

En el momento actual de inicio y expansión de sistemas de gestión de la seguridad de la información (en adelante SGSI), la principal preocupación es naturalmente lograr la construcción y establecer bien los procesos que permitan lograr construir el ciclo de mejora continua y certificar el sistema.

Sin embargo, conforme vayan pasando los años estos sistemas deben ir madurando para lograr verdaderamente satisfacer los objetivos establecidos por la Dirección. Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables.

En este sentido, los criterios de gestión establecidos por la Dirección y que debieran estar referenciados en la Política de Seguridad de la Entidad, son el marco de trabajo para todas las personas involucradas de forma activa o pasiva, dentro de las actividades de operación, mantenimiento y supervisión del SGSI. Estas directrices generales son tanto el rumbo como las metas que el sistema de gestión debe lograr. Todo el esfuerzo de construcción y mantenimiento de un SGSI no se justifica si con ello no se logran determinados resultados; un SGSI tiene costes y por tanto, debe ser amortizado y rentabilizado lo máximo posible. Esto, dentro del ámbito de la seguridad, supone que las cosas deben funcionar con normalidad y los imprevistos, incidentes o accidentes deberán ser gestionados de forma correcta para minimizar los daños que pudieran producirse. Pero para lograr esto, es necesario justificar y demostrar con datos todo el esfuerzo que es necesario realizar para que las medidas de seguridad funcionen cuando hagan falta.

Partiendo de la célebre frase de Lord Kelvin (1824-1907), “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre“, un SGSI debe tener establecidos criterios de medición de la eficacia y la eficiencia como así establece la propia normativa en las cláusulas 4.2.2. Apartado e) y 4.2.3. Apartado b).

Para ilustrar esta faceta de la seguridad y como viene siendo tradicional dentro del blog “Security Art Work” voy a utilizar como símil de un buen modelo de seguridad la Fórmula 1 dado que creo se comparte un gran paralelismo en los enfoques de ambos mundos.

[Read more…]