Hola,
Una nota rápida para daros a conocer un nuevo blog sobre Seguridad y Tecnologías de la Información.
EDDASEC es un blog escrito por Edgard Ansola (si no me falla la memoria, tuve el gusto de conocerle en el curso de preparación para el CISSP el año pasado) y por Dani, al que no tengo el gusto de conocer.
El último artículo de EDDASEC se titula De la candidez a la segurcracia, una reflexión sobre los modelos de gestión de la seguridad. Sobre la segurcracia, tal y como la definen los autores, estoy de acuerdo en que la disponibilidad, integridad y confidencialidad son los pilares básicos de la seguridad, pero no conviene olvidar, o al menos eso es lo que creo, que conviene añadir al menos dos aspectos más: coste y alineamiento. Coste por motivos obvios, ya que no podemos invertir más en seguridad y protección de los activos que el resultante económico provocado por el impacto de un riesgo. Y alineamiento porque los procesos de seguridad tienen que ir de la mano de los procesos de gestión organizativos de mayor entidad.
Aunque suene a tópico, lo cual no me extraña porque es una sentencia que se repite sistemáticamente (y muchas veces sin clarificar) en cualquier manual de auditoría y seguridad, el alineamiento entre seguridad y core business es una realidad, ya que las unidades de una empresa tienen que hablar todas el mismo idioma, y ese idioma no es el idioma de la seguridad ni el de la tecnología, sino el idioma del negocio. Si no sabemos traducir un lenguaje a otro, a duras penas conseguiremos vender la necesidad de que haya gestión de la seguridad, con lo que adiós a las dotaciones (económicas principalmente) y la credibilidad que la alta dirección debe darnos para poder gestionar. Hago este comentario con relación a un fragmento del artículo donde se dice que:
En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.
Efectivamente, y por desgracia, así pasa en muchas organizaciones, pero es precisamente a colación de los factores coste y alineamiento donde la figura de un CIO/CISO es crucial, por ser el nexo de unión ideal entre la dirección del negocio y la dirección de tecnología. Por supuesto, el CIO/CISO debe velar por la disponibilidad, integridad y confidencialidad de la información, pero sin dejar de lado la difícil tarea que supone hacer llegar estos conceptos a los que deciden en última instancia.
Al consejo de administración ni les interesa ni les aporta nada saber si hay que invertir en consultoría específica para configurar un switch Brocade o si en vez del Brocade, hay que irse a uno de IBM. Lo que les interesa es saber, en su idioma, cuáles son los riesgos y probabilidades de que la información de su negocio acabe en los rotativos de un periódico o en manos de la competencia, porque alguno de esos switches esté mal configurado. Acto seguido, cuando hayan comprendido el problema, preguntarán ¿y cuánto vale esto? y cuando vean claramente que, además de mitigar un riesgo, el retorno de la inversión es positivo, darán el visto bueno a la inversión en lo que haga falta: consultoría, equipamiento, personal, etc.
En fin, que al final me acabo yendo por los cerros de Úbeda, y yo lo que quería era desearos suerte con el blog. Lo seguiré con atención. Bienvenidos ambos a la blogocosa :)
Un saludo,
Gracias, Sergio, por mencionar este interesante Weblog de Seguridad. Siempre es un tema apasionante, por lo amplio, complejo y a la vez desconocido por muchos de nosotros.
Pues me temo que te falla la memoria ja ja ja. Lamento tener que decir que no nos conocemos personalmente …. Virtualmente llevo ya mucho tiempo (años) leyéndote. Probablemente te suene mi nombre porque hace poco te invité a formar parte de mi red de contactos en linkedin y por algún comentario en tu estupendo blog.
Dejando de lado lo anterior agradecerte enormemente esta bienvenida a la «blogocosa» :-) Con nuestro correo de presentación no esperabamos tanto. Gracias otra vez.
En cuanto al artículo no es más que una reflexión sobre el futuro, como bien dices hay en día se valoran otros aspectos pero precisamente ese es el centro de la «paranoia». Llegará el día en que la seguridad estará por encima de todo? a cualquier coste? a costa de cambiar la forma de hacer «negocio»? es decir, estaremos algún día en un escenario tan oscuro (mezcla de Mad Max y Matrix) que estaremos obligados a considerar la seguridad como el primer y único criterio de decisión? En plan coloquial se trata de una simple «comida de tarro» para introducir el término «segurcracia». En una conversación que tuvimos (Dani y yo) surgió este concepto y nos hizo bastante gracia…… así de simple. Como también dices, de estos temas se ha hablado, se habla y se hablará largo y tendido sin llegar a tener muchas cosas claras. Saludos y nos seguimos leyendo….
ja ja ja ja menudo estreno como blogger !!! no se que he hecho al poner un link …….. help me !!!!!! :-)
Edgard,
Tienes razón. Me puse a investigarlo, y lo que me confundió fue que uno de esos asistentes del curso que comentaba también se apellidaba Ansola, pero se llama Eduardo :) Me di cuenta después de escribir el texto.
Una vez más, bienvenidos :)
Buenas Sergio.
Poco más que añadir a lo que te ha dicho Edgard, muchas gracias por este artículo, es un detallazo.
No nos conocemos personalmente, pero ya sabes que cuando vengas a barcelona o nosotros nos acerquemos a Madrid (seguramente 17-18 de Octubre, que vamos a por el CISSP), puedes contar con unas cervezas!!
Gracias, y sigue así!!
¿Realmente podemos hablar en Seguridad del retorno de la inversión (ROI)? No termino de ver el beneficio que reporta un sistema de seguridad a un negocio. La inversión en seguridad es necesaria para el negocio, pero eso no quiere decir que tenga que producir beneficios directamente.
Me parece más adecuado hablar de prevención de pérdidas, mejor que del ROI. Realmente las soluciones de seguridad no nos hacen mejorar los beneficios, sino reducir las posibles pérdidas relativas a la tecnología utilizada.
Si comparamos el gasto en seguridad con los gastos en seguros tradicionales, veremos que hay bastantes similitudes. No se contrata un seguro para tener beneficios, sino para reducir las pérdidas en caso de catástrofe.