Seguridad sectorial (I): banca

2 de junio de 2009 Por

dineroCon este post me gustaría comenzar una serie sobre seguridad (problemas, situación, etc.) en sectores específicos de negocio: telcos, museos, espectáculos deportivos… Para empezar, he elegido el sector financiero por varios motivos: en primer lugar, es un sector que creo conocer -más o menos- debido a diferentes proyectos en los que he participado, de problemáticas y tipos diversos (seguridad lógica, convergencia, consultoría…). En segundo lugar, considero que el sector bancario -y por tanto su seguridad- es algo que nos afecta a todos y cada uno de nosotros: el que no sea cliente de un banco o caja, vaya de vez en cuando a una sucursal, saque dinero de un cajero, o acceda a sus cuentas a través de internet, que tire la primera piedra.

El departamento de Seguridad de un banco o caja debe enfrentarse a una problemática muy diversa, que va desde la seguridad del papel moneda o la protección del efectivo a la seguridad en la documentación (cheques, órdenes de pago…), pasando por la seguridad informática, en nuevos canales, en medios de pago, la protección de edificios y personas o el blanqueo de capitales. El sector bancario está además fuertemente regulado en materias de seguridad; a diferencia de otros sectores, en banca es obligatoria, por ejemplo, la figura del Director de Seguridad en cada entidad con la responsabilidad, entre otras, de canalizar las relaciones de la entidad con FFCCSE. De la misma forma, son de obligado cumplimiento diferentes normas relativas a cajas de caudales, cámaras acorazadas o blanqueo de capitales que en otros sectores -con excepciones- ni siquiera nos planteamos.

Con el paso del tiempo, el panorama de la seguridad en banca ha cambiado de forma radical, seguramente más de lo que ha cambiado la seguridad en otros sectores. Hasta los años ochenta,el principal problema de las entidades eran los atracos, en una época dura a todos los niveles (salíamos de una transición, las actividades terroristas eran abundantes y virulentas…); con el tiempo -y el esfuerzo de mucha gente de los departamentos de seguridad de los bancos y cajas- este problema se ha minimizado, y hoy en día me atrevería a decir que un atraco, por supuesto siempre que no haya víctimas, no deja de ser uno más de los problemas de seguridad de la banca, pero no el principal. Bajo mi punto de vista, en la actualidad son mucho más preocupantes los delitos relacionados con blanqueo, medios de pago (skimming, lazos…) o nuevos canales (phishing, pharming…), entornos que pueden causar más perjuicios (tanto en dinero robado como en imagen) a cualquier entidad.

Tanto las amenazas e impactos a considerar en el sector, definiendo riesgos que de una forma u otra debemos mitigar y que afectan al negocio desde puntos muy diferentes, como la situación actual de la seguridad en bancos y cajas, motivan que nos encontremos ante un panorama que hace de la banca un sector en el que la seguridad debería converger por uebos. No obstante, esto no siempre se consigue, y solemos encontrarnos tres situaciones en cuanto a convergencia en las entidades españolas:

  1. Seguridad global, en la que se gestionan todos los ámbitos de la protección del negocio por igual, delegando evidentemente cada operativa particular en grupos de trabajo determinados.
  2. Seguridades aisladas, en las que diferentes grupos se preocupan únicamente por los problemas que les afectan de forma directa; dicho de otra forma, Nuevos Canales no considera que un atraco sea un problema para ellos, y Medios de Pago no quiere ni oir hablar de los problemas de la banca por Internet.
  3. Seguridades colaborativas: diferentes “áreas de seguridad” con responsables independientes, pero con un paraguas común a todas ellas, por ejemplo un subdirector general que es capaz de aglutinar a dichas áreas bajo su mando.

Sin duda, el primer punto es -IMHO- el deseable y al que todos tratamos o tratan de llegar; no obstante, las cosas no se suelen hacer de hoy para mañana y, como siempre que se habla de convergencia, nos encontramos barreras muchas veces insalvables: guerras de Taifas en la organización, sensaciones de pérdida de control, estructuras rígidas que no pueden ser modificadas… problemas que sin duda se acabarán resolviendo, pero que motivan que en banca muchas veces se hable de “miniseguridades” y no de Seguridad.

(Imagen original de Roby© en Flickr)

1er Consultorio LOPD

1 de junio de 2009 Por

Hasta el próximo viernes 5 de junio a las 15h, Security Art Work inicia el primer consultorio online sobre la LOPD y su Reglamento de Desarrollo, a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 12 de junio.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente. Pueden remitir las preguntas a openlopd@argopolis.es o indicarlas en los comentarios.

Temeridad, ignorancia o ambas cosas.

1 de junio de 2009 Por

monoEsta mañana, cuando he abierto el correo, tenía en el buzón personal una propaganda de KIA enviada desde la dirección “net@netaselot.com”. La imagen que contenía redireccionaba a la URL “http://www.netfilia.com/contenidos/ redirect.html?img=1& contenido=16986&web=40426&id=hiDsTT1z4FrUQ“, que redirecciona automáticamente a la página “http://www.pruebakia.es/?CAM=ANTEV3”. Es decir, KIA.

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Si no quiere recibir más información clic aquí

El tratamiento de los datos de carácter personal, así como el envío de boletines o comunicaciones comerciales realizadas por medios electrónicos, son conformes a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. de 14 de diciembre de 1999) y a la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de Información y de Comercio Electrónico (B.O.E. de 12 de julio de 2002).

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

Los enemigos de los parches

29 de mayo de 2009 Por

parchehuevoEl parcheado de los sistemas informáticos es una de las medidas mas importantes de seguridad que deben seguirse e implantarse en cualquier organización. Recientemente hemos podido ver como grandes organizaciones gubernamentales han sufrido incidentes de seguridad por propagación de gusanos, que podían haberse evitado en gran parte de una manera sencilla simplemente aplicando los parches. Si están pensando lo mismo que yo, se preguntarán cómo es posible que cualquier usuario domestico mantenga actualizado su equipo siempre que sale una vulnerabilidad y en estas organizaciones no apliquen el parcheado de manera correcta.

Francamente, no tengo la respuesta a la pregunta, pero en esta entrada pretendo hablar de cuáles son los problemas a los que los administradores TIC se deben enfrentar cuando tratan de implantar políticas de parcheado. A estos problemas los voy a llamar “Los enemigos de los parches”, que les detallo a continuación:

Ausencia de política de parcheado. Si una organización no se plantea de manera consciente que debe actualizar sus sistemas, es muy posible que no se actualicen, o se actualicen sólo las cosas que sean automáticas. E incluso en este último caso, las actualizaciones automáticas si no se controlan pueden dar lugar a problemas de funcionamiento, compatibilidad y reinicios no programados.

Solución: Instáurese una política de parcheado y actualización de los sistemas, que contemple horarios, personal, procedimiento, y que como siempre deberá de venir aprobada por dirección.

No disponer de herramienta de inventario. Obviamente, si no se sabe lo que se tiene es difícil mantenerlo actualizado.

Solución: Adquiera e instale un software de inventario automatizado, y no permita la instalación de nada que no se gestione con las actualizaciones automáticas del sistema (o que no venga autorizado por el Departamento de TI).

No disponer de herramienta de alerta por parches. Los actualizadores automáticos, como los de Microsoft, cada vez están mas implantados, pero no cubren todo el software. En estos casos, ¿quién esta al tanto de que no aparezca una nueva vulnerabilidad en la BBDD Oracle o PostreSQL? ¿O en el plugin de foros instalado en el portal?

Solución: Debe enlazarse el inventario de software con las alertas de los fabricantes, si no es posible de una manera automática, de una manera manual.

Software que no es base del sistema operativo. Todos los sistemas operativos disponen de un sistema de paquetes con los que es relativamente sencillo saber si hay actualizaciones, pero ¿qué pasa con otros productos instalados que no están en esa lista? ¿Alguien se preocupa por ellos?

Solución: Disponer de inventario automatizado de software, que incluya no sólo los paquetes del sistema, sino también otros paquetes adicionales. Asumo y reconozco que esto no siempre es sencillo, pero vale la pena hacer el esfuerzo; por ejemplo, piensen ustedes de como tener un inventario automatizado de BBDD Oracle en entorno Unix. Para entornos Microsoft, es especialmente recomendable utilizar WSUS (Windows Server Update Services), que facilita las actualizaciones distribuidas y la aplicación de políticas progresivas de instalación de parches.

Productos de terceros incompatibles con los parches o sin soporte. Dicho de otra forma: tengo que poner el Service Pack 2 en un servidor Windows que tiene ademas una aplicación crítica del Call Center de la cual no tengo ni soporte ni el contacto de la empresa, y que si actualizo igual deja de funcionar. Cosas terribles como “Ese equipo no lo parchees que lleva el SCADA”.

Solución: Es necesario disponer de un contrato de soporte con todos los aplicativos que tenga, no sólo por los parches sino por cualquier problema que pueda tener; este aspecto debería contemplarse contractualmente y formalmente en el momento de la compra. Esto puede implicar que debido a una actualización se deba contratar los servicios de productos de terceros.

Software hecho a medida. Este es un caso especial del anterior, pero que tiene más complejidad si cabe, ya que es relativamente sencillo contratar a una empresa para que te dé soporte de un producto comercial, pero es más complicado el disponer de soporte de desarrollos (si no se tienen en un primero momento).

Solución: Deben tenerse ese contacto, ya que si no es por el parcheado, en algún otro momento tambien lo necesitará. Esto obviamente tendrá un coste económico asociado, y debería contemplarse contractualmente y de manera formal en el momento de la compra.

Ausencia de entornos de preproducción. Por muy inocuo que te diga el fabricante que es un parche, lo mejor es probarlo antes de implantarlo en producción. El problema es que en muchas ocasiones este entorno de preproducción ni esta, ni se le espera. Después de todo, ¿quién tiene un entorno de preproducción del servidor de Call Center? ¿Y del SCADA?

Solución: Para aquellas aplicaciones críticas de negocio, defina y adquiera un entorno de preproducción, o utilice para la aplicación de parches aquellos sistemas menos críticos cuyo entorno es similar.

Equipos con escasa conectividad. Un problema frecuente a la hora de parchear son aquellos equipos que no disponen de una buena conectividad. Por ejemplo ¿cómo se parchean los equipos portátiles de los comerciales que solo se conectan por 3G y VPN? ¿O cómo se parchean los portátiles que nunca se usan porque están guardados siempre en un armario? ¿Y esos sistemas que carecen de salida a Internet?

Solución: La gestión de inventario y parches debe ser capaz de detectar equipos que no se hayan conectado y no estén actualizados, forzando la actualización, aunque sea acercándolos al servicio de soporte. Asimismo, en algunos casos puede ser necesario descargar los parches del fabricante desde una máquina con conectividad y aplicarlos manualmente.

Islas o Reinos de Taifas. Todos conocemos algún caso: “las políticas de parches se aplican en todos los equipos, menos en los del departamento de I+D, que se lo gestionan ellos mismos por su idiosincrasia particular”.

Solución: Implántese la política de manera que cubra todos los casos y excepciones posibles, dado que no hay que olvidar que un equipo infectado en el departamento de I+D puede afectar a toda la organización, y eso no será “culpa” de I+D.

Ausencia de administración centralizada. No va a ser posible gestionar los parches de equipos que no estén administrados de una manera centralizada. Esto parece de perogrullo, pero es uno de los principales problemas en entornos pequeños o medianos, o en organizaciones en las que tienen delegaciones pequeñas que son gestionadas de manera independiente por la ausencia de personal técnico especializado en cada una de ellas.

Solución: Deben implantarse herramientas de gestión centralizadas, inventario, distribución de software, acceso remoto, etc…

Estas y muchas otras cosas más deben de tenerse en cuenta cuando se implantan políticas de parcheado en las organizaciones, por lo que queda claro que, lejos de lo algunos puedan pensar no es una tarea estrictamente técnica, sino que viene apoyada por procedimientos, políticas y a veces, mucha mano izquierda.

(N.d.E.: La foto está sacada de Sociedadanonima.org, un extravagante blog donde estuve escribiendo un tiempo.)

Premio a Blog promotor de las TIC

28 de mayo de 2009 Por

valenciasiComo ya les he dicho alguna que otra vez, cualquier blog que se precie tiene derecho a una dosis periódica de autobombo, ombliguismo o como quieran llamarlo. Al fin y al cabo, los blogs, o las bitácoras si prefieren el término castellano, no serían lo mismo si no sirviesen para alimentar el ego de su autor. Si además sirven para algo más, tanto mejor. Y si hay una razón de peso para hablar de uno mismo, entonces es todavía mejor, porque no es necesario justificarse, algo que acostumbro a hacer a menudo. En breve verán cuál es esa razón de peso; sigan leyendo.

Comencé en esto de los blogs hace aproximadamente cinco años y medio, con un blog personal que aunque empezó tímidamente, en ciertas épocas tuvo una frecuencia de actualización más que decente. No obstante, Security Art Work, en la mitad de tiempo, blog del que soy editor y principal colaborador, ha conseguido muchos más lectores y suscriptores de los que yo aspiraba para el mio personal. Eso me hace sospechar que quizá algo o alguien me esté sugiriendo que lo que tengo que contar de mí no resulta tan interesante como lo que tengo que contar de mi trabajo, al menos para el resto del mundo. Por si los números no fueran evidencia suficiente, hoy hemos recibido el premio al Blog promotor de las TIC de la 11ª Noche de las Telecomunicaciones Valencianas 2009, lo que es la razón de peso de la que les hablaba al principio y algo que, como diría aquél, me llena de orgullo y satisfacción.

Este blog comenzó a gestarse a comienzos de 2007, cuando algunas personas de S2 Grupo empezamos a pensar que podría estar bien montar un blog corporativo que hablase de seguridad. Digamos que el nacimiento no fue coser y cantar, dado que como es bien sabido por cualquier blogger, los contenidos no surgen de la nada y requieren un esfuerzo nada despreciable, pero lo cierto es que el parto no fue particularmente doloroso, y no hizo falta ni siquiera tirar de epidural. Todo fue bastante suave, lo que no significa que fuese fácil; buscar tiempo para escribir entradas en una agenda ya de por sí bastante apretada no es fácil, y si no, que se lo pregunten a muchos de mis compañeros. No hubo lágrimas ni crujir de dientes, pero sí sudor.

Cabe decir, en honor a la verdad, que la dirección de S2 Grupo apoyó en todo momento una propuesta que, cómo negarlo, tiene un retorno de inversión extremadamente difícil de cuantificar, hasta el punto de que la publicación de un blog puede considerarse en la mayoría de los casos casi una tarea altruista. Por supuesto que cualquier blog que sea respaldado por una empresa tiene sin duda una componente clara de marketing, pero creo que evidente que siempre hemos intentado (y creemos que conseguido) que Security Art Work se mantenga libre de contenido publicitario y comercialmente independiente de la empresa que lo respalda con medios tecnológicos y humanos. Más allá de un puñado de menciones esporádicas y siempre pertinentes, casi podría decirse que, desde el punto de vista de una teórica finalidad comercial, Security Art Work no es más que el blog de un grupo de personas que trabajan para S2 Grupo, y en efecto, parte de las entradas son elaboradas por sus autores en su tiempo libre; porque no pensarán que los fines de semana estoy en la oficina, ¿verdad?

Security Art Work es, como bien indica su nombre, un blog sobre seguridad; qué les voy a contar a estas alturas de la película… Sobre seguridad entendida como convergencia de aspectos lógicos, físicos, organizativos, y legales, lo que ineludiblemente lo lleva más allá de lo que muchos consideran “Seguridad”, porque no sería lógico limitar el ámbito del blog a una única temática, a un único ámbito de la seguridad, siendo que la seguridad es, sin duda alguna, un “meta-ámbito” con presencia en prácticamente cualquier proceso que quieran pensar, en cualquier ámbito que se les ocurra. No es necesario mirar muy lejos para darse cuenta de que la seguridad, entendida como tener un conocimiento consciente de los riesgos de Internet, es un aspecto que es necesario fomentar en nuestra sociedad, donde cada vez más Internet tiene un lugar preferente.

No se trata de engañar a nadie; en aspectos técnicos, Security Art Work no pretende (ni puede) ser el último recurso informativo para una empresa que, por ejemplo, quiera virtualizar sus servidores corporativos; al respecto, existen infinidad de fuentes especializadas cuya información es mucho más precisa y detallada que la que nuestro blog podría contener. No obstante, eso no quita que podamos servir de punta de lanza, de “primer vistazo” a diferentes tecnologías que pueden no ser conocidas para el lector. Más allá de estos aspectos técnicos, es en las entradas de opinión y gestión donde consideramos que aportamos una información y visión que no es común en los blogs que existen sobre seguridad, aunque por supuesto, siempre hay excepciones (Javier Cao, entre otros, es una buena muestra de que las hay). Por ello, aunque la publicación en Security Art Work está, como en cualquier otro blog y por razones obvias, restringida al personal de S2 Grupo, contamos con la presencia periódica (aunque irregular y menos de la que me gustaría) de “artistas invitados”, que forman parte de la comunidad de interés común en Seguridad de la Información en la que S2 Grupo se desenvuelve. Hasta el momento, hemos contado con las colaboraciones de Dña. Ana Marzo, socio fundador del bufete de abogados que lleva su nombre, y de gran prestigio a escala nacional en el ámbito del derecho en nuevas tecnologías, D. José Ignacio Ruiz, IT Manager de Aviva Servicios Compartidos, y con amplia experiencia en la gestión TIC, o Francisco Benet, consultor técnico con amplia experiencia en el campo de las tecnologías.

Cuando Guardiola ganó ayer la Champions League, parecía que todos los años ganase una, e insiste una y otra vez en que el mérito no es suyo, sino del equipo; las malas lenguas dicen que es falsa modestia, pero francamente, yo no me lo creo. Por supuesto, afortunadamente para H&M, el Barcelona no gana todos los años la Champions League, y eso lo sé yo que soy culé. Nosotros tampoco ganamos todos los días premios por este blog, pero aun sabiendo que —y esta es mi pequeña galletita para el ego— este blog es lo que es en gran parte gracias a mí, lo cierto es que sin las personas que colaboran día tras día, tampoco sería posible. Y eso, de verdad, tampoco es falsa modestia.

No hay mucho más que contar. Lo que ven es lo que hay, y lo que hay es lo que ven. Si vienen de vez en cuando, ya nos conocen; y si no nos visitan, están invitados a hacerlo. Mañana, como no podría ser de otra manera, retomaremos la programación habitual.

(No se pierdan, si pueden, la charla de �?caro Moyano, uno de los fundadores de Tuenti. Ha sido absolutamente deliciosa.)

Seguridad en tiempos de crisis

27 de mayo de 2009 Por

En estos meses, en los que la crisis (o la desaceleración) planea sobre nuestras cabezas, y a diario vemos cómo empresas de todos los sectores realizan ajustes de plantilla, abren expedientes de regulación de empleo, o incluso echan el cierre, la seguridad juega un papel fundamental para garantizar que el negocio -o lo que quede de él- sobrevive a las vacas flacas… IMHO, la seguridad debe ser una de las cosas en las que el presupuesto de una organización no se reduzca, o se reduzca lo mínimo posible, para garantizar la protección del negocio; de todos es sabido que cuando las cosas van mal, la delincuencia aumenta, y por tanto debemos protegernos mejor. La probabilidad de que en esta época que corremos tengamos un empleado que nos roba información, a la competencia viéndonos como un enemigo a eliminar -en el sentido figurado-, o a una mafia tratando de hacernos un phishing, es muy alta, con lo cual no podemos descuidar nuestra seguridad; es más, yo trataría de incrementarla.

No obstante, cuando una empresa tiene que ajustar al máximo su presupuesto global, la partida destinada a seguridad tiende a reducirse a una mínima expresión. ¿Y qué es esa mínima expresión? Como siempre, depende… Volviendo al post de la Pirámide de Maslow de la Seguridad, la mínima expresión de la seguridad consistirá, posiblemente, en mantenerse en el nivel en el que nos encontrábamos con anterioridad. Nada de mejorar, nada de incrementar nuestros niveles… supervivencia pura y dura. Es más, en muchas ocasiones, si no retrocedemos en el nivel que teníamos, ya podemos estar contentos… Pero, ¿qué es preferible en estos tiempos, tratar de avanzar, o reforzar lo que hemos conseguido? Creo que depende de muchos factores, y en el equilibrio está la virtud… Bajo mi punto de vista, no tiene sentido tratar de avanzar si no podemos reforzar lo que vamos consiguiendo; así, la seguridad sería una especie de galería minera: mucho más importante que alargar el túnel es apuntalar lo que ya hemos avanzado, para evitar un derrumbe. Ojo, con esto no quiero decir -sigan leyendo- que no tratemos de mejorar permanentemente nuestra seguridad con la excusa de la crisis; simplemente que lo hagamos con cabeza (más de la habitual), sabiendo dónde invertimos nuestros recursos, y por supuesto -ahora más que nunca- sin dejar de mirar para atrás, garantizando que la galería está bien apuntalada. Innovemos y busquemos soluciones creativas a nuestros problemas.

Bajo mi punto de vista, uno de los principales errores que en tiempos de crisis todos tendemos a cometer, es limitarnos a aguantar el chaparrón… Si las cosas van mal, es posible que nuestro presupuesto -estemos o no de acuerdo- se reduzca, como el del resto de departamentos de la organización. Pero ese no suele ser el problema: en seguridad hay soluciones para casi todo, y es una obligación del Director de Seguridad obtener la mayor protección posible con el presupuesto del que dispone, innovando cuanto sea necesario, buscando siempre nuevas soluciones, incluso a los problemas de siempre, e identificando correctamente los riesgos asumidos. Hay un proverbio que viene a decir que cuando soplan huracanes, unos construyen refugios y otros construyen molinos. Apliquémoslo a la seguridad, y pensemos qué construimos ante la crisis… quizás nos demos cuenta que, con un presupuesto X en el bolsillo, tomamos unos caminos determinados (mejores o peores) simplemente porque son los habituales o los esperados por todos, sin llegar a plantearnos una alternativa. Para mí, esto es construir refugios, aguantar el chaparrón, y en este mundo si nos limitamos a eso, antes o después fracasaremos.

Finalmente, un apunte: si en nuestra organización estamos notando la crisis… ¿no es un riesgo que deberíamos haber considerado en nuestro último análisis? Llegar a una situación como la actual no es algo que suceda de la noche a la mañana, de forma imprevista, sino que es la consecuencia de múltiples factores económicos, sociales, organizativos…¿Teníamos esta posibilidad contemplada? ¿Teníamos planificado cómo actuar, o en estos momentos nos guiamos por intuición -y presupuesto-? Tengámoslo en cuenta, si no lo hemos hecho ya, para la próxima ocasión (y no duden que la habrá).

Personalidades enredadas

26 de mayo de 2009 Por

dimHasta hace poco, se preocupaban por su identidad pública sólo los personajes públicos: artistas, políticos, celebridades en general, disponen muchas veces de sus asesores de imagen, sus relaciones públicas, puestos cuya responsabilidad incluye cuidar de la imagen de sus clientes, asegurándose la construcción de un “personaje” que sirva a los fines económicos o al ego de la persona.

No tengo muy claro si, con la proliferación de famosos, el negocio de los asesores ha aumentado o simplemente se las arreglan por sí mismos, pero esto de la identidad pública sigue sin afectar a la mayoría de las personas “normales”, porque nos relacionamos con personas en nuestro entorno físico más próximo y controlamos bastante bien quién tiene acceso a qué información sobre nosotros y qué cara queremos poner ante diferentes personas y en diferentes entornos.

Pero el mundo digital es diferente. Poco a poco, nos estamos construyendo una identidad en la red. Participamos en redes sociales como Facebook, Linkedin o Xing, donde tenemos perfiles públicos y privados. Aparecemos en noticias en medios cuando participamos en algún evento, aunque solo sea en los sitios Web de la organización. Nuestras multas se publican en el boletín de nuestra provincia. ¿Pertenecemos a alguna asociación? ¿Hemos escrito algún artículo? ¿Participado en un foro de nuestra especialidad? Todo ello deja huella en la red y, una vez allí, es muy probable que permanezca durante años, aun en contra de nuestros deseos. Y las nuevas generaciones lo van a tener más crudo, ya que han empezado a tener presencia digital desde bien jóvenes.

Y no tenemos demasiado control sobre toda esa información. Ni planificamos el contenido, ni le prestamos demasiada atención, dejando aparte el puntito de narcisismo que nos hace “googlear” nuestro nombre de vez en cuando.

Sin embargo, esta información construye un perfil en la red que, cada vez más frecuentemente, es consultado por otras personas. Empieza a ser una práctica común buscar información sobre un candidato a un puesto de trabajo o una posible relación personal. ¿Deberíamos empezar a preocuparnos de ese perfil? ¿Qué impacto puede tener una información inapropiada sobre nuestra persona en nuestras relaciones profesionales o en la marcha de nuestro negocio? Puesto que, en mi opinión, es inevitable tener una identidad digital, ¿no debemos ser conscientes de ella y empezar a cuidarla?

(Al respecto, son interesantes los libros de Daniel J. Solove, publicados gratuitamente y que ya hemos mencionado en alguna otra ocasión: The digital person. Technology and privacy in the information age, y The future of reputation: gossip, rumor and privacy on the internet).

(Imagen por FredCavazza.net)

Gastos en seguridad 2009

25 de mayo de 2009 Por

Según un estudio de Forrester, publicado en el tercer trimestre de 2008, la previsión de gasto en seguridad para 2009 mostraba una tendencia claramente ascendente, aunque a raíz de la crisis económica mundial es posible que dicha previsión se aleje de la realidad más de lo esperado. A continuación les resumo brevemente las principales conclusiones del estudio, que pueden obtener, previo pago, en este enlace de Forrester.

i1De manera general, tal y como puede verse en la gráfica de la izquierda, entre 2007 y 2008 (sobre un muestreo de corte radicalmente diferente), la parte del presupuesto informático ligado a los gastos en seguridad progresó de una manera importante, pasando de 7,2% al 11,7%. Este aumento que puede interpretarse como la toma de conciencia por parte de las empresas de la necesidad de inversión en seguridad.

Según el informe, este crecimiento del gasto continuará durante 2009, un dato que probablemente puede sorprender, ya que tradicionalmente los presupuestos ligados a las inversiones en Tecnología de la Información son revisados a la baja en tiempos de crisis. Una de las posibles explicaciones para dicha previsión podría ser el hecho de que el estudio de Forrester fuese realizado en el transcurso del tercer trimestre del 2008, cuando se desconocía parcialmente la magnitud de la crisis económica (como evidencia de este hecho, en septiembre de 2008 la Fed tenía los tipos de interés oficiales en el 2%, y el BCE los mantenía en el 4,75%, cuando los valores actuales son del 0%-0.25% y 1% respectivamente).

Entre 2008 y 2009, la estimación es que la asignación de medios otorgada a la seguridad debería permanecer estable. Sin embargo, hay dos ramas de IT que se benefician de una ligera alza: Se trata de la Innovación (I+D+i) y los servicios externos, entendidos éstos como servicios gestionados, consultoría y outsourcing.

[Read more…]

Hasta siempre María Amelia

22 de mayo de 2009 Por

mariaameliaEl miércoles se nos fue la abuelita de Internet.

Y ustedes dirán: ¿Y qué tiene que ver esto con la seguridad, con los SGSIs, con las políticas de privacidad? Bueno, pues tenía un blog que le regaló su nieto, a lo mejor va por ahí el post…

Se llamaba María Amelia, y era de Muxía. “Mi nieto, que es muy cutre, me ha regalado un blog“, dijo. En estos días, en que parece que Internet es sólo una fuente de malware, de usos malintencionados, de tráfico ilegal de datos personales, de venta y compra de datos, de peligros para los jóvenes… creo que este es un ejemplo de que también puede ser algo positivo. Ese regalo supuso para María Amelia una puerta de salida a su soledad, una ventana de aire fresco, le trajo alegrías, conocer mucha gente, hacerse famosa, demostrar que una persona “mayor” e internet no son incompatibles… Pero sobre todo sirvió para demostrar al mundo que la alegría, las ganas de vivir, la fuerza de una persona no están en su cuerpo, están en su espíritu.

Hasta siempre, María Amelia.

P.D. No se pierdan los audios de su blog. Nos vemos el lunes, sean buenos.

Cosas a tener en cuenta en la implantación de un SGSI

21 de mayo de 2009 Por

rubik

Ya comentamos en otro post que, como empresa consultora que implanta SGSIs en sus clientes, hemos detectado que en muchas ocasiones el cliente tiene opiniones preconcebidas sobre el proceso de implantación que no se ajustan a la realidad. También es cierto que, además de esos conceptos previos, hay problemas con los que una se encuentra durante el proceso de implantación, y para los que hace falta cierta ‘mano izquierda’. A los lectores que hayan implantado o participado en la implantación de un Sistema de Gestión de Seguridad de la Información, bien en la parte de cliente, bien en la de consultoría, seguro que no les descubrimos demasiadas cosas nuevas (y en algunos casos es posible que se reconozcan en la entrada), pero al resto quizás les resulte de mayor utilidad. Dicho esto, pasemos a esos “problemillas”…

[Read more…]