jueves, 18 de diciembre de 2014

Cumplimiento: Principios y Políticas


Recientemente la Organización Internacional de Normalización (the International Organization for Standardization - ISO) publico la ISO 19600:2014, la cual  proporciona una  orientación para establecer, desarrollar, ejecutar, evaluar, mantener y mejorar un sistema eficaz y sensible de gestión de cumplimiento dentro de una organización.

Las directrices sobre los sistemas de gestión de cumplimiento son aplicables a todo tipo de organizaciones. El alcance de la aplicación de estas directrices depende del tamaño, la estructura, la naturaleza y complejidad de la organización. Esta norma internacional se basa en los principios de buena gobernanza, proporcionalidad, transparencia y sostenibilidad.

Los principios en los que se basa la gestión del Sistema de Gestión del Cumplimiento son los siguientes:
  • Compromiso de liderazgo de la dirección
  • Independencia de la función de Cumplimiento
  • Definición de Responsabilidades a todos los niveles y
  • Soporte de las funciones de negocio
La función de Cumplimiento se dedica a promover un alto nivel de integridad, ética y cumplimiento de la normativa en toda la organización.  Las Políticas de Cumplimiento de una compañía o grupo ayudan a promover una cultura basada en la  ética y la atención a los principios definidos y establecidos por la empresa o grupo.

Estas Políticas se deben articular con las normas de conducta para asegurar que llevar a cabo las actividades de negocio de acuerdo con los requerimientos legales y  profesionales, así como con los estándares éticos existentes.

El Sistema de Gestión del Cumplimiento planteado en la ISO19600, comprende los siguientes elementos:
  • Determinación del alcance del sistema de gestión del cumplimiento
    •  Identificar los factores internos y externos
    • Identificación de los requerimientos de las partes interesadas
    •  Principios de buenas prácticas de gobernanza
  • Establecimiento de la política
  • Identificación de las obligaciones de cumplimiento y evaluación de los riesgos de cumplimiento
  • Planificación para dirigir los riesgos de cumplimiento y lograr los objetivos
  • Definir el plan operacional y controles los riesgos de cumplimiento
  • Evaluación del desempeño y reporting del cumplimiento
  • Gestión de los no cumplimientos y mejora continua



Las políticas son aplicables y de cumplimiento obligatorio para todos los empleados de la empresa o grupo.

En consecuencia, todas las localidades, dependencias o sedes deben incorpora las directivas de Cumplimiento como un estándar obligatorio en el desempeño de las tareas de todos sus empleados.

Sin embargo, puede pasar que existan dentro del grupo compañías que debido a su actividad específica no requieran cumplir con todas las políticas de Cumplimiento. Estas compañías o entidades deberán recibir consideración especial, en lo relacionado a concienciación en el cumplimiento de las políticas.

Algunas políticas de Cumplimento de especial consideración son:
  • Gestión de los Registros (Records Retention)
  • Competencia Leal y Antitrust (Competition and anti-trust)
  • Protección, Seguridad y Confidencialidad de los Datos (Protection and Privacy of Employee Data)
  • Reporting Concerns
  • Conflictos de Intereses (Conflicts of Interest and)
  • Comuncación con determinados Externos (External Engagements)
  • Antosoborno, Anticorrupción (Anti bribery – anti corruption)
En particular, las normas internas relacionadas con la protección y privacidad de datos de empleados deben ser cuidadosamente cumplidas, siempre que el tratamiento de datos se realice en dicha compañía. Si se realiza un tratamiento de datos personales de empleados se requerirá el asesoramiento específico de las áreas de  Riesgos, Seguridad y Cumplimiento.

Las políticas de Cumplimiento deben ser publicadas bien en medios electrónicos o medios impresos como por ejemplo, intranets, correos electrónicos, posters, etc.

La concienciación continua de los empleados es muy importante para lograr el conocimiento y de las Políticas de Cumplimiento por lo que debe establecerse un calendario con las jornadas de  concienciación en el que se definan aspectos como regularidad, Política de Cumplimiento, medio de comunicación a utilizar (E-learning, Jornada presencial) para la concienciación. 

Por último es igualmente importante informar los mecanismos y cabales a través de los cuales los empleados pueden comunicar dudas relacionadas con las políticas de Cumplimiento.

viernes, 28 de noviembre de 2014

SAP y La Segregación de funciones

El pasado 12 de noviembre, Abast Systems organizó con éxito el evento “Gestión de Perfiles y Segregación de Funciones en Entornos SAP” en conjunto con @pliRH (empresa Española especializada en la consultoría técnica y funcional en SA).


Al evento asistieron y participaron directores, responsables y administradores de SAP de importantes empresas de los sectores servicios, juegos online y casinos y alimentación, entre otros.

En el evento se realizaron demostraciones de herramientas automatizadas que permiten al  negocio mejorar la gestión de los roles y autorizaciones minimizando los esfuerzos humanos.

La demostración de las herramientas fue complementada con la metodología a seguir para llevar con éxito un proyecto de segregación de funciones. 

  • SARC (GRC SAP) à Herramienta para la gestión de riesgos.
  • SFS à Solución en SAP de ayuda para la segregación de funciones.
  • SMU à Sistema de monitorización de usuarios, control de accesos de cada uno de los                     usuarios, configuraciones de alerta, etc.
  • SCMC à Herramienta de ayuda para la gestión del cambio.
  • AAM à solución SAP para la gestión automática de redes

Con participación de los asistentes, se realizaron múltiples ejemplos de cómo solucionar varias problemáticas relacionadas con la gestión de roles y autorizaciones en SAP:
  • Longevidad en las autorizaciones otorgadas a los perfiles / roles desde la instalación y personalización del sistema SAP.
  • Crecimiento de las operaciones de la compañía e incremento de autorizaciones añadidas a los perfiles / roles existentes para afrontar las tareas del día a día
  • Consultorías poco eficientes a la hora de la entrega de los resultados, hojas Excel con  los roles-transacciones-autorizaciones sobre objetos + usuarios-funciones y tareas.
Otro de los aspectos más relevantes del evento fue la demostración de la metodología para afrontar un proyecto de segregación de funciones:

1) Identificación de riesgos y adaptación de la empresa.  Es muy importante comenzar la implantación con una matriz estable.
2) Segmentar las estructuras en base a criterios:
  • Agrupación de usuarios homogéneos en actividad (empresarial y/o territorial).
  • Aprobación de la agrupación por el líder del área. 
    3) Monitorizar las transacciones que utilizan realmente los usuarios durante un periodo de tiempo. Construir el modelo de segregación (matriz de funciones y tareas) en simulación para cada modelo de manera independiente. 
      4) Definir y construir el modelo:
  • Asignar directamente los roles previstos al usuario en base a roles pre configurados.
  • Automatizar los roles desde la estructura organizativa OM estándar de SAP
5) Planificar la fecha de limitación de los roles.

En la mesa de opinión, los aspectos de más interés comentados por los asistentes al evento, fueron:
  • Afectación sobre el control de los usuarios SAP_ALL.
  • Gestión de alertas y tipos de alertas (asignación de transacciones incompatibles a roles de usuario)
  • Control de las transacciones “Z” (transacciones creadas para operativas específicas)
  • Creación de roles “Padre” y no funcionales (utilizados para copiar y crear nuevos roles)
  • Fomentar cambios a nivel organizativo para implementar las modificaciones de los roles

Aunque a priori pueda suponer la segregación de funciones un proyecto complejo, la implantación ofrece la oportunidad de mejorar la organización de la empresa, poniendo en marcha mecanismos de re-ingeniería de procesos ofreciendo múltiples beneficios.

Por tanto la segregación de funciones será una consecuencia directa de la implantación de sistemas de control de riegos (GRC) como sistema para prevenir y mitigar riesgos en la organización. 



viernes, 21 de noviembre de 2014

Propuesta Nuevo Reglamento LOPD – El DPO (Data Protection Officer)

En junio de 2014 se organizó una ponencia de trabajo en la que el Coordinador de Auditoria y Seguridad de la información en la Autoridad Catalana de Protección de Datos, expuso las novedades de la propuesta de Reglamento UE de Protección de Datos y anticipó los puntos que probablemente formarán parte de la nueva norma.

En este artículo se va a profundizar sobre uno de los principales puntos que serán susceptibles de aplicación para la mayoría de entidades, en el momento de la aprobación del reglamento de la Unión Europea de Protección de Datos.

El Reglamento será de aplicación directa a todos los Estados miembros. Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán aplicarlo, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

El objetivo del Reglamento es alcanzar un mayor nivel de protección de los datos de carácter personal, especialmente en el medio digital, alineando la gestión de la protección de datos con el resto de actividades ordinarias y cotidianas que conforman la estructura organizativa y las reglas de negocio de las empresas, a lo que se une la obligación de ofrecer una mayor transparencia respecto del tratamiento de datos que llevan a cabo, en base a informar más y mejor sobre las operaciones de tratamiento.

Este nuevo Reglamento está considerado por las instituciones europeas como uno de los pilares del mercado único digital europeo, que debería estar ultimado, al menos conceptualmente, en el 2015.


Aunque no será de cumplimiento obligatorio para todas las Organizaciones, unos de los mayores cambios es el de disponer de la figura del DPO. 

Se establece el perfil del DPO como un profesional conocedor de la materia (legislación y buenas prácticas) y capacitado para desarrollar todas las funciones que describe el Reglamento (ej. supervisión, información, asesoramiento, formación, comunicación al Comité de empresa sobre el tratamiento de datos de los empleados, auditorías, seguridad, etc.), aunque por el momento no se detalla la obligación de acreditar una formación determinada.

No obstante, muy probablemente se establecerán mecanismos de acreditación, ya sean a nivel europeo o local, respecto de la formación o capacitación requerida.

Entre las funciones que habrá de desarrollar las más destacadas serian:
  • El DPO deberá ser el punto de enlace entre la Autoridad de Control y el responsable o encargado tratamiento, aunque la responsabilidad por el incumplimiento de la normativa recaerá siempre sobre la empresa.
  • Ha de ser una persona física y su identidad y datos de contacto deberán ser comunicados a la Autoridad competente y al público en general. Podrá ser interno (el mandato mínimo será de 4 años) o externo (el mandato mínimo será de 2 años), En cualquier caso el DPO deberá contar con los recursos humanos y materiales necesarios para desarrollar sus funciones de forma adecuada.
  • El cargo de DPO no reviste exclusividad por lo que el profesional podrá desarrollar otras funciones y competencias, siempre que le permitan garantizar los principios de independencia (no parece por tanto que esta función pueda ser asignada, por ejemplo, al Responsable de Seguridad) y deber de secreto que rigen su actividad. Se deberán considerar los aspectos legales pertinentes en el contrato al momento de externalizar esta función.
  • Deberá estar presente en la toma de decisiones sobre los procesos que vayan a implicar el tratamiento de datos personales, y disponer de una interlocución directa con la Dirección Ejecutiva, si bien no es necesario que pertenezca a ella.

Se expone la figura del DPO por estar calificado como uno de los cambios más sustanciales de la normativa, pero no será de aplicación para todas las entidades que traten datos de carácter personal.

Los supuestos en que se determina la obligatoriedad del DPO son:
  • Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.
  • Tratamiento de categorías especiales de datos (ej. Hospitales).
  • Tratamiento de datos de localización (ej. geolocalización).
  •  Tratamiento que consista en la monitorización del interesado (ej. navegación).
  • Tratamiento de datos de menores y empleados a gran escala.
  • Administraciones Públicas.

lunes, 17 de noviembre de 2014

El Plan de Gestión de Crisis, punto de partida de la continuidad de negocio

El último precedente acontecido de la crisis del Ébola y la deficiente gestión que los Estados del “primer mundo” afectados han hecho de la misma, ha provocado que muchas organizaciones hagan autocrítica y se planteen si realmente disponen de niveles de madurez  suficientes en materia de continuidad de negocio que les permitan gestionar cierto tipo de incidentes tan graves como inesperados. La actualidad habla del ébola, pero los expertos en continuidad de negocio hace tiempo que hablamos de la Pandemia como un escenario de riesgo al que las organizaciones deben enfrentarse, protegiendo en primer lugar la salud de sus empleados y en segundo lugar a sus procesos de negocio (indisponibilidad simultánea de empleados que ponga en peligro la operativa de la compañía).

A pesar de que el riesgo de un caso de ébola en España existe desde hace tiempo y era factible, ha quedado evidenciado que no se disponía ni de los procedimientos / protocolos adecuados ni de las medidas de seguridad necesarias. En el caso del Estado esto no es de recibo, sin embargo también opino que las organizaciones no son responsables de no estar preparadas para un escenario tan específico como este, si bien si deberían estar trabajando escenarios genéricos como “Indisponibilidad Personal / Pandemia”. Todo lo acontecido (decisiones que aumentan el riesgo de contagio de la población, ausencia de comunicación formal…) es un ejemplo claro de que cuando ocurre una crisis, o un escenario de desastre es vital gestionar correctamente la situación desde el inicio, desde la “toma de decisiones”, ya que son estas las que van a minimizar o magnificar la crisis en función de lo acertadas que sean. Está claro que la clave es decidir correctamente, pero para ello  las organizaciones deben preocuparse en primer lugar por definir un Plan de Gestión de Crisis adecuado, el cual sea interiorizado, comunicado y simulado en la organización y que permita gestionar la crisis acontecida desde la capa estratégica.

Determinar y poner en marcha una respuesta es un elemento clave para el éxito o fracaso de un programa de gestión de la Continuidad y el punto de partida para definir esta respuesta es el Plan de Gestión de Crisis, el cual ofrece un marco de acción que permite a una Organización  que la toma de decisiones y las directrices a ejecutar (planes operativos o estrategias de recuperación que deben activarse)  permitan conseguir una reacción eficiente ante cualquier contingencia. Este Plan establece el flujo de notificación y escalado de los incidentes hasta los niveles en los que existe “poder de decisión” y establece el momento y el papel  que debe jugar cada rol.



La estructura organizativa del Plan de Gestión de Crisis se define en tres ámbitos principales de actuación:
  •  Un nivel ejecutivo de valoración y toma de decisiones.
  •   Un nivel táctico de procedimientos, protocolos,  asignación de funciones, responsabilidades y grado de autoridad.
  •     Un nivel operativo de gestión de la emergencia y evaluación de la gravedad de la situación.


Por tanto, es muy importante tener en cuenta que una vez que se haya definido e interiorizado el Plan de Gestión de Crisis en la compañía, será cuando esta estará preparada para definir los Planes Operativos que incluyan protocolos específicos para abordar escenarios detallados de pandemia, de indisponibilidad de tecnología,  de indisponibilidad de proveedores… o incluso la activación de un Protocolo Corporativo ante Enfermedades Infecciosas.

viernes, 31 de octubre de 2014

Tu Otra Identidad - Identidad 2.0

Afirmar que las redes sociales hayan llegado para quedarse es hoy en día indiscutible. Las propias cifras lo demuestran claramente: 700 millones de usuarios en Facebook, 200 millones en Twitter y más de 7 millones para la española Tuenti hacen que el no estar en una red social sea cada vez más la excepción a la regla. Esta irrupción de las redes sociales en nuestras vidas presenta nuevos e importantes retos desde el punto de vista de la privacidad o la protección de datos y la seguridad en general.

La Identidad 2.0 o también conocida como identidad digital, es el nuevo concepto de identidad. Por definición es el rastro que cada usuario de internet deja en la red como resultado de su interrelación con otros usuarios o con la generación de contenidos en portales web y redes sociales. Es decir, estamos hablando de una consecuencia directa de la evolución tecnológica y de comunicación, concretamente del término bautizado como comunicación 2.0.


Los elementos que integran la identidad digital, y que por tanto permiten a las personas diferenciarse frente a otras en ámbitos concretos, son los rasgos de identidad o atributos informativos. Forman parte de estos datos tu nombre y apellidos, la dirección de correo electrónico, los datos de contacto, las fotografías o vídeos, tu información laboral, aficiones o incluso preferencias políticas, religiosas o sexuales. En definitiva, es un rasgo de identidad cualquier pieza de información personal que forme  parte del puzle de la identidad online.  

En general, hay dos categorías principales que componen tu identidad digital:
  • Categoría Profesional – es tu huella profesional  y es fácil de entender, se refiere a tu trabajo, tu profesión, tu puesto, y es información que compartes en lugares como LinkedIn, tu blog o el sitio web de tu empresa. 
  • Categoría Personal – en este caso es un poco más complicado de identificar, cuando pensamos ‘personal’ lo relacionamos tal vez con privado,. Sin embargo redes sociales como Facebook y Google+, hacen que el concepto de   vida privada lo sea un poco menos, aun sin ser conscientes de los riesgos que esto conlleva desde el punto de vista de la seguridad y el tratamiento de nuestros datos.
Por tanto es muy importante  tener en cuenta que tu identidad digital la vas definiendo tú mismo con lo que compartes, tu presencia e interacción en las diferentes redes sociales, blogs, foros, sitios web, etc. El quién eres, es una pregunta que vas contestando incluso en ocasiones sin darte cuenta, realmente al final del camino somos nosotros como usuarios quien determinamos a través de la información que publicamos que tanto de privacidad queremos tener en la red.

Hoy en día ya es todo un habito “Googlear” el nombre de alguien para conocer quién es, por eso es importante cuidar tu identidad online.

Es de lógica entonces que nuestra identidad digital también conlleve una reputación digital, que nos va a ser difícil separar de nuestro yo. Los problemas se pueden agravar aún más por la propia persistencia de la información en Internet. Todo lo que se hace, bueno o malo, queda grabado casi para siempre. Y, asumiendo que Internet se extiende cada vez más a todos los ámbitos, sin duda este será otro de los aspectos que provoque que el “derecho al olvido” vaya a ser uno de los caballos de batalla de la privacidad en Internet durante la próxima década.

Gestionar este término conocido también como Reputación 2.0 para una persona física ya se ha visto que puede ser complicado, pero si hablamos de una entidad u organización empresarial el tema se complica en exceso.

Una entidad jurídica tiene, por descontado, su propia identidad en la red y con ello su consecuente reputación, pero ¿hasta qué punto está reputación se puede ver afectada por la reputación de un usuario que en su categoría profesional tenga indicaciones de la entidad para la que trabaja?

Es algo difícil de evaluar y actualmente también prácticamente imposible de gestionar sin un adecuado marco de gobierno. Todo lo expuesto invita a reflexionar en la inminente necesidad de crear procedimientos para gestión de la identidad digital en el ámbito corporativo con a finalidad de garantizar la protección de la imagen o reputación. 

La solución pasa por controlar mediante la aplicación de políticas corporativas el uso que los empleados puedan hacer de su identidad en el ámbito laboral dentro de las redes sociales, para evitar con ello problemas de imagen sobre la empresa para la cual una persona física presta sus servicios.

Por eso se debe tener en mente que lo que se comparta online y firmes con tu persona, tarde o temprano puede ser visto por cualquiera. Así hay que procurar no compartir nada que realmente no se quiera compartir con TODO el mundo y que por tanto desde ese momento  sea de dominio público.


Se puede afirmar que aprender a interactuar con terceros y manejar aspectos básicos de personal  o construcción de una marca personal puede convertirse en algo esencial para el desarrollo de la personalidad y el futuro social y profesional.

Sin duda la conclusión que mejor se adapta al mensaje que se quiere transmitir es una frase de Julio Alonso, fundador y Director General de Weblogs SL, una de las principales empresas españolas de contenidos especializados en Internet donde dice: “Dedicar esfuerzo a construir tu propia identidad digital ya no es opcional. Es un acto de pura responsabilidad”.


lunes, 20 de octubre de 2014

Seguridad en las redes sociales del negocio



“Social Media" se define como el uso de aplicaciones basadas en Internet o las capacidades de difusión para difundir y / o colaborar en la información.

... Cualquier persona con un dispositivo conectado a Internet puede, con (casi) un anonimato y sin responsabilidad, participar en la compartición de información pública o privada o inclusive en la  desinformación, en función de los privilegios de acceso a un sitio web de Social Media.

Perspectiva general de la gestión de las redes sociales en el negocio



Riesgos claves

  1. Divulgación de información sensible (privilegiada) accesible a personas no autorizadas.
  2. Incumplimiento de requisitos legales y reglamentarios.
  3. Pérdida de la ventaja competitiva.
  4. Pérdida de confianza de los clientes.
  5. Pérdida de la reputación.
  6. Difusión de información falsa o fraudulenta.
  7. Uso inapropiado o no autorizado de la propiedad intelectual de la compañía, como logotipos o material de marca registrada.

Gestión de las redes sociales



Gobierno
  • Realizar un análisis de riesgos antes de iniciar el proyecto de social media.
  • Re-ejecutar el análisis de riesgos cuando los recursos o infraestructura  social media sean modificados.
  • Incluir la información de social media en el esquema de clasificación de la información de la compañía.

Políticas y procedimientos
  • La dirección debe definir políticas claras para social media que cubran áreas como:
    • Empleados: Uso de social media para fines de negocio.
    • Procedimientos de gestión para las cuentas social media de la compañía.
    • Uso de dispositivos móviles de la compañía para acceder a los canales social media.
  • Revisiones legales de los acuerdos de usuario de programas de social media.

Personas
  • Incluir aspectos relacionados a social media en los programas de formación y concienciación de seguridad.
  • Definir la responsabilidad de RRHH para ejecutar políticas relacionadas con social media.
  • RRHH debe establecer y distribuir las consecuencias definidas para la violación de las políticas de social media.

Tecnología
  • Antimalware y el software antivirus debe utilizarse para proteger a la organización, incluyendo los procedentes de sitios de social media comprometidos.
  • Respuesta a incidentes de riesgos  de social media deben ser incluidos en el plan de respuesta de seguridad de la información.
  • Implementar herramientas de filtrado de contenidos y de monitorización y revisarlas periódicamente.
  • Monitorizar la infraestructura de social media.


martes, 9 de septiembre de 2014

Planes de Continuidad. 10 aspectos clave



Ya sea que hablemos de la continuidad de los procesos de negocio en general o de la continuidad de los servicios de TI en particular (equivalentes a los planes de contingencia de TI), hay una serie de aspectos clave a la hora de abordar estos proyectos que es necesario tener en cuenta para garantizar su éxito:




Mapa de procesos y/o catálogo de servicios de TI
Conseguir disponer de un mapa de procesos de negocio y/o un catálogo de servicios de TI suficientemente detallado.

Participación de la Dirección
Conseguir la participación y/o involucración de la Dirección en el proyecto. En caso de abordar un Plan de Continuidad de Negocio la participación debe quedar plasmada en el compromiso de involucrarse de forma continua y participativa en la ejecución del proyecto. Dicha participación es clave, por no decir absolutamente imprescindible. Un Plan de continuidad de Negocio es un proyecto estratégico para la organización.

Análisis de Impacto en el Negocio (BIA)
Conseguir que la Dirección y los interlocutores se ubiquen dentro del alcance de este tipo de proyectos y tengan claro la diferencia entre una incidencia y un desastre. Para ello es muy importante explicar el concepto de análisis de impacto en el negocio  (BIA). El BIA introduce en el análisis la variable temporal que permite evaluar, precisamente, cuando un incidente puede llegar a convertirse en un desastre si no se soluciona a tiempo.

Valoración tangible vs intangible
Poder valorar de forma tangible – económicamente - el impacto asociado a la no disponibilidad de un proceso crítico de negocio (PCN) o de un servicio de TI (PCTI).

Análisis de Riegos
Disponer de un análisis de riesgos creado con criterios homogéneos a lo largo de toda la organización. Esto puede ser complicado cuando la organización decide abordar este tipo de proyectos de forma interna y no dispone o designa a un responsable del proyecto que marque las pautas.

Plan de Tratamiento de Riesgos
Establecer el Plan de Tratamiento de Riesgos como un entregable básico del proyecto. En realidad no nos gustaría llegar a tener que activar nuestro Plan.

Estrategias de Recuperación
Conseguir que quede clara la diferencia entre lo que son las medidas de reducción, eliminación del riesgo (o del impacto asociado) con respecto a lo que son las estrategias de recuperación a implementar para conseguir cumplir con los requisitos de continuidad del negocio (RTOs).

Riesgo vs Coste
Valorar económicamente, con el nivel de detalle necesario, las medidas de reducción del riesgo y estrategias de recuperación planteadas. Los análisis de riesgo vs coste y RTO vs coste permitirán a la Dirección decidir en base a criterios de negocio. La experiencia demuestra que casi siempre, para algunos procesos de negocio o servicios de TI, la primera valoración de los RTO es demasiado restrictiva. Suele ser necesario un segundo análisis.

Escenarios de Indisponibilidad
Agrupar los riesgos residuales inaceptables para la organización en una serie de escenarios de indisponibilidad que se puedan tratar a posteriori con planes operativos de recuperación específicos para cada escenario (planes de recuperación ante desastres).

Oficina de Continuidad
La definición e implementación de una Oficina de Continuidad constituida por una estructura de roles y responsabilidades que velen en la organización por la continuidad y sean asumidas por personal capacitado (definiendo la estructura y seleccionando a las personas adecuadas para ejercer cada rol). Roles que pueden ser internos, externos o una mezcla de ambos.

jueves, 24 de julio de 2014

Cómo el CISO y el CEO pueden hablar el mismo idioma


Desde hace 10 años el CEO (Chief Executive Officer) ha comenzado a entender como la seguridad TI y los responsables de seguridad pueden convertirse en habilitadores de negocio.

Esto se debe a que los responsables de la seguridad TI han conseguido el camino para traducir los problemas de seguridad a un lenguaje de negocio que el CEO puede entender.

Tradicionalmente el negocio cuida la caída de la línea de producción (ensamblado de coches, empaquetado de productos, procesamiento de materia prima) y no cuida la caída de TI.

Es importante hacer ver al negocio que detrás de las operaciones de producción del negocio hay una serie de elementos de TI que necesitan ser reparados, cambiados y configurados de forma segura.
Los responsables de seguridad deben ser capaces de conectar el impacto actual de la caída del  negocio con los fallos de seguridad que impacten en la caída del negocio. En este punto se unen la línea de protección del negocio y la de reducción del riesgo del negocio.



El CEO debe tener claro que 1 hora de caída de TI tiene como resultado 40 coches menos ensamblados por caída de la línea de ensamblado. El problema está cuando el CEO reporta en su inventario 40 coches menos y no una caída de TI, en esta caso el CEO está preocupado por la producción del coche y no por los servicios TI.

En todo caso si se reporta una perdida en el inventario estamos hablando de un problema de negocio. Si hay un problema de negocio,  el área de TI y de seguridad deben informar las cosas que necesitan ser corregidas cada uno desde su ámbito. Al equiparar el problema de negocio con los elementos TI y de seguridad necesarios y que impactan en el problema estamos habilitando a la empresa a ser más eficiente, aumentar la producción y, como consecuencia, aumentar los beneficios.

Hay que eliminar la cultura de desconectar, que consiste en que la seguridad es un problema técnico que puede ser resuelto por TI, los problemas técnicos deben ser resueltos por los administradores u operadores de TI y los de seguridad deben ser resueltos por los responsables de seguridad TI.

Hay que direccionar dentro de la gestión del riesgo la seguridad TI, se estima que sólo el 30% por ciento de las organizaciones adoptan un enfoque basado en riesgos para la seguridad TI. En lugar de ser los defensores de la organización, los administradores de seguridad de TI están interesados ​​en ser facilitadores de ese equilibrio entre la necesidad de proteger y las necesidades para ejecutar el negocio.



Un responsable de seguridad no se preocupa de si un hacker hará un ataque a la página de la compañía, un responsable de seguridad se preocupa de preparar la compañía para afrontar riesgos mediante la implementación de medidas y prácticas.


La seguridad no es una persona al lado de un firewall, la seguridad es desarrollar programas de riesgos alineados con las necesidades del negocio.

martes, 1 de julio de 2014

“Indisponibilidad Personal Crítico” Un Escenario de Continuidad en Desarrollo

Desde hace años los profesionales de la continuidad llevamos tiempo tratando escenarios de desastre de todo tipo en las diferentes organizaciones: indisponibilidad sede, indisponibilidad sistemas TI, indisponibilidad proveedores… De todos estos escenarios y en base a la experiencia y al trabajo realizado, se ha conseguido establecer  un know how  que permite a las organizaciones no partir de cero, siendo el escenario más contemplado y trabajado en las empresas el Plan de Recuperación frente a Desastres (que aborda la indisponibilidad de los sistemas TI).


Sin embargo en relación con el personal clave de las empresas no hay mucho trabajo realizado. Son numerosos los países que en los últimos años han sufrido algún tipo de pandemia, o países en los cuales hay revueltas importantes que implican huelgas severas con duraciones prolongadas. Las personas son activos muy importantes en las empresas y en algunos casos la indisponibilidad de ciertos roles críticos puede suponer la interrupción de actividades vitales para el negocio o la pérdida de know how para la organización.


Actualmente muchas organizaciones disponen de Planes de Sucesiones en los cuales se tiene identificado el personal clave de cada departamento y donde para cada uno de ellos se ha definido un sucesor de emergencia (para bajas de hasta 6 meses) y un sucesor primario (para bajas más prolongadas en el tiempo). En estos planes de sucesión se analiza:

§  si a nivel individual se tienen identificadas las competencias que cada empleado necesita desarrollar para ejecutar el trabajo y asegurar una carrera a largo plazo
§  Si a nivel de negocio se tiene identificadas las competencias  y el diseño organizacional  para soportar los procesos requeridos por el negocio
§  Los aspectos de formación necesarios para desempeñar futuras tareas de determinados roles/cargos (críticos)
§  Identificación de las áreas con conocimiento compartido y multidisciplinar (entre roles de la misma área y entre diferentes áreas)

Sin duda este Plan de Sucesión es un gran primer paso  que permite a la organización disponer de una estrategia de recuperación formalizada ante bajas puntuales de personal clave. Sin embargo este plan no cubre el escenario de una indisponibilidad de personal más generalizada  como por ejemplo la baja simultánea de varias personas clave en una misma área o en varias, o la indisponibilidad de un departamento entero… Las causas pudieran ser variopintas, una pandemia, una huelga generalizada, una sucesión de casuísticas, un accidente en un viaje corporativo… Para estos escenarios es imprescindible disponer de políticas y de controles que permitan mitigar estos riesgos (políticas sanitarias, políticas de viajes, etcétera…) pero el siguiente reto que la organización debe abordar es la elaboración de un Plan de Indisponibilidad Generalizada de Personal Crítico que garantice la existencia de una estrategia clara para un escenario de este tipo (poco probable pero con consecuencias que pudieran ser muy importantes). Debido a la alta dependencia que las organizaciones desarrollan del personal, no es sencillo definir estrategias robustas que permitan cubrir este escenario, pero en base a nuestra experiencia, los pilares sobre los que se sustenta este plan y que permiten alcanzar la resiliencia en el capital humano de una organización son:

§  Políticas y Comunicaciones: Definición de políticas específicas como baja por enfermedad, política de viajes y formalizarlas a fin de establecer canales de comunicación en caso de desastre
§ Educación de los empleados y soporte: Formar y capacitar a los empleados en la continuidad de negocio y en los planes existente que abordan escenarios.
§  Infraestructura Virtual / Teletrabajo: Establecer vías alternativas de trabajo remoto.
§  Formación Profesional: Redundar el know-how y preparar al personal para asumir roles de más responsabilidad.
§  Gestión del Talento: Plan de Sucesiones a corto y largo plazo.
§  Sistema de RRHH: preparar al departamento de RRHH para dar soporte durante una crisis y activar los procesos críticos del área, pago de nóminas, subcontratación durante la crisis…
§ Cultura de Organización: Involucrar a los empleados en la cultura de continuidad de negocio, dándoles las herramientas a los empleados para que vean que en caso de desastre es su responsabilidad ejecutar en modo degradado su trabajo. 


Sin duda, este es un escenario muy importante a contemplar y en el que todavía nos queda un largo camino que recorrer a muchas organizaciones, pero la implantación de estos pilares nos debe hacer dar un paso más hacia la resiliencia.


lunes, 23 de junio de 2014

TrueCrypt - Tus archivos podrían no estar seguros


TrueCrypt se ha convertido en la herramienta de cifrado de datos a nivel local que más usuarios y empresas ha utilizado hasta la fecha. No obstante, en los últimos meses esta herramienta se ha visto envuelta en una nube de conspiraciones que han acabado con el proyecto. Si hoy en día entramos en su página web, veremos un cartel que nos anuncia:
"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues"

Seguido de una guía para migrar todo el contenido que tengamos en nuestro TrueCrypt hacia la plataforma de cifrado de Microsoft, BitLocker. La teoría de su caída que más peso ha tomado hasta la fecha es la existencia de backdoors en su código producidos por la N.S.A. y la auditoría realizada a dicha herramienta.

La Unidad de Auditoría y Consultoría de Seguridad TI de Abast Systems ha realizado una prueba de concepto para determinar hasta qué punto es posible acceder a datos encriptados en un ordenador ajeno. Para ello necesitaremos un ordenador en caliente (hibernado, suspendido, en funcionamiento) o una captura de la memoria ram, en caso de que el ordenador se haya apagado. Esta prueba no es posible realizarla si el ordenador se encuentra completamente apagado.

Con un análisis exhaustivo de una captura de RAM es posible detectar programas en funcionamiento, sesiones abiertas a memoria, conexiones establecidas y otro tipo de información que puede complementar o ayudar a detectar nuevas evidencias. Una de las herramientas más potentes para realizar esta tarea es el framework Volatility.

Figura 1 - Volatility descubre un TrueCrypt en uso

Figura 2 - Devicetree de Volatility muestra el contenedor

En las imágenes superiores se puede apreciar la existencia de la herramienta de encriptación de unidades TrueCryp. El alto nivel de seguridad que conlleva esta herramienta está reconocido internacionalmente. No obstante, el hecho de tener una captura de la memoria RAM puede ayudar a descifrar o, al menos identificar qué unidad es la que se encuentra cifrada.

Con el módulo volshell de Volatility abre una consola y se miran las propiedades del Device_object situado en la dirección de memoria 0x856f37a0, que es la que se ha devuelto en la imagen anterior.

Figura 3 - Propiedades del objeto situado en 0x856f37a0

Con estos datos ahora es posible mostrar todo lo que hay en esta parte de la memoria. Se mostrará 1416 (size) unidades de memoria, a partir del offset 0x856f37a0.

Figura 4 - Obtención del "container"/archivo encriptado: Mine

Ahora se intentará obtener la clave de desencriptación del archivo. El próximo paso necesitará de la ayuda del Driver_object del TrueCrypt, mostrado previamente a la imagen de las propiedades del Device_object.

Figura 5 - Información del driver_object

Para realizar esta tarea expulsaremos toda la memoria que hay desde la posición DriverStart hasta DriverStart + DriverSize. El problema de esto es que nos devuelve un trozo demasiado grande como para hacer búsquedas manualmente. Así que, automatizar el proceso restante usando herramientas como CryptoScan (con Volatily1.3), aeskeyfind o alguna más "user-friendly" como Elcomsoft Forensic Disk Decryptor.

Figura 6 - Ejemplo de extracción de keys AES

Con estas claves se permite descifrar el archivo previamente comentado (mine) y montarlo. De esta manera se puede acceder a su interior, y ver toda la información que creíamos tener guardada de manera segura.

jueves, 12 de junio de 2014

Cómo resolver el problema de la ejecución


Uno de los grandes problemas de los CIOs, sino el más importante, consiste en ser capaces de generar cambios en el comportamiento y forma de trabajar de su equipo. Muchas veces, la Dirección de TI se encuentra con la necesidad o el objetivo de implementar metodologías, mejores prácticas que “profesionalicen” el funcionamiento del departamento y permitan hacer un uso más eficaz y eficiente de los recursos de TI.


Estamos hablando, por ejemplo, de proyectos encaminados a mejorar el gobierno y gestión de los servicios de TI que soporta y ofrece el Departamento de TI, o de proyectos asociados a la mejora, también, del gobierno y gestión de la seguridad de TI tanto en el ámbito de riesgos como en el de cumplimiento.

Algunas veces la escasez de personal, otras la exigente operativa diaria y muchas veces la propia resistencia al cambio de las organizaciones, hacen muy difícil la puesta en marcha de estos proyectos de mejora. En estos casos el reto está en la ejecución, es decir, en cómo ejecutar estos proyectos de manera que puedan convivir con el día a día y obtener, a su vez, los resultados esperados.

Al ser este un problema más común de lo habitual he querido compartir con vosotros una aproximación que descubrí hace tiempo y que recuperé últimamente. Se trata de “The 4 Disciplines of Execution” (4DX) de Chris McChesney, Sean Covey y Jim Huling. Al final os dejo un par de enlaces donde podréis encontrar información.

Básicamente 4DX trata de explicar cómo conseguir alcanzar objetivos importantes efectuando el cambio necesario en el comportamiento del personal que permita su consecución. Las 4 disciplinas son:
  1. Focalizarse en lo realmente importante.
  2. Actuar sobre los indicadores de rendimiento (KPIs).
  3. Utilizar un cuadro de mando que garantice el compromiso contínuo.
  4. Crear una cadencia de rendición de cuentas.

http://www.franklincovey.com/tc/solutions/business-execution-solutions

miércoles, 28 de mayo de 2014

Análisis de Riesgo TIC


La provisión de servicios TIC pasa por el correcto funcionamiento de una serie de activos, cada uno de ellos con su función específica. Si alguno de estos activos se ve comprometido por la materialización de una determinada amenaza, el propio servicio se verá afectado. Para determinar el nivel de riesgo real de una entidad hay que realizar un análisis de riesgo.

La primera actividad a realizar en un análisis de riesgos es identificar cuáles son los activos que soportan los sistemas de información de la organización.


Un activo es cualquier elemento que tenga valor para la entidad, desde un PC concreto, a un recurso de red o una persona física necesaria para el desarrollo de una actividad.

Con el objetivo de estructurar la información de forma coherente, los activos han de estar clasificados en función de su naturaleza, intentado usar un modelo por capas. Esto permitirá clasificar los sistemas diferenciando la funcionalidad de los activos entre sí, y además facilitará próximos pasos, como definir sus dependencias.

El análisis puede empezar a estructurarse según necesidades específicas, los activos pueden ser des del tipo proceso de negocio, pasando por el personal que trabaja y hasta una ubicación física. Por ejemplo, en el siguiente grafico se representa cada tipo de activo según su tipo y funcionalidad:

Se ha de desglosar el análisis bajando hasta los niveles más básico de la estructura, es decir dentro de Sistemas de Información en el apartado de Comunicaciones se debería profundizar mucho más, por ejemplo separando los activos de hardware necesario para soportar el sistema de comunicaciones, de los propios servicios de redes que puedan existir en la entidad.

Con la creación de dichas dependencias el cálculo del nivel de ruido tendrá en consideración que en el caso de materializarse una amenaza sobre un determinado activo, todos los elementos que dependan de él también sufrirán sus consecuencias.

Un ejemplo de dependencias de un proceso genérico podría ser el siguiente:

De esta forma se introducen una a una todas las dependencias entre los elementos que soportan los sistemas de información, obteniendo como resultado una base de datos de configuración de tipo relacional de los servicios TIC de la entidad.

A nivel conceptual es fácilmente apreciable que no todos los elementos son igual de críticos. No supondrá el mismo impacto la indisponibilidad de un servicio crítico para la actividad diaria que la de un entorno de pruebas, por ejemplo.

La anterior lógica se aplica a todas las dimensiones de un mismo servicio. La indisponibilidad temporal de un servicio puede no tener consecuencias graves, y sin embargo, un escape de la información que se trata pudiera suponer un impacto enorme para la organización.

Cuando se habla de valorar los activos, intuitivamente se piensa en el coste de sustitución de un determinado elemento físico, pero esta es solo una de las variables que se han de considerar cuando se han de valorar los activos informáticos, y normalmente no acostumbra a ser más significativa. En este sentido la valoración de activos trata de mostrar cual sería el impacto global en una organización en caso de que alguna de las dimensiones de seguridad se viera comprometida. 

Un ejemplo sería, si un servicio automatizado no se encuentra disponible para la operativa diaria, en este caso se tendrá que valorar cual es el impacta económico que genera la paralización (tiempo de parada del personal, esfuerzo necesario para recuperar el tiempo perdido, posible pérdida de producto generada por la incapacidad logística, penalizaciones debidas a incumplimientos de compromisos contractuales…) pero también hay que medir aspectos intangibles, como por ejemplo los daños en la imagen de la organización. La suma de todas estas variables da como resultado la valoración del activo en cuestión.

Utilizando estos criterios para valorar los activos identificados, el resultado es una matriz con todos los servicios de la organización y una valoración de estos para cada una de las dimensiones de seguridad.
  • D: Disponibilidad
  • I: Integridad
  • C: Confidencialidad
  • A: Autenticidad
  • T: Trazabilidad

Una vez identificados y valorados los activos, el siguiente paso es identificar cuáles son las amenazas que, es caso de materializarse, pudieran comprometer la seguridad.

Bajo este concepto está el análisis de las particularidades de la organización, es decir, quienes pueden ser los posibles atacantes y su interés, como trabajan los usuarios, cual es el entorno físico y lógico donde se encuentran los sistemas, etc. Con esta información será posible identificar como es de probable que una determinada amenaza acabe materializándose sobre un servicio.

Algunos ejemplos de amenazas que pueden afectar a  un CPD o componente electrónico son:
Una vez analizados todos estos aspectos es el momento de analizar qué protecciones hay aplicadas de cara a reducir el riesgo potencial existente. Estas  medidas de protección son las conocidas como salvaguardas.
En términos generales, las salvaguardas se caracterizan, además de por su existencia, por su eficacia delante del riesgo que han de mitigar. De manera ideal, la salvaguarda es 100% eficaz, ya que combina dos factores:

·         Des del punto de vista técnico:
ü  Es técnicamente idónea para afrontar el riesgo que protege.
ü  Se utiliza siempre.

·         Des del punto de vista de operación de salvaguarda:
ü  Esta perfectamente desplegada, configurada i mantenida.
ü  Existen procedimientos de uso normal.
ü  Los usuarios están formados y concienciados
ü  Existen controles de aviso para posibles fallos.

Identificadas todas las salvaguardas que resultan de aplicación en función del tipo de activos existentes, es el momento de valorar qué medidas de protección se encuentran implementadas  i que nivel de madurez tienen.

Para realizar este último proceso de medidas de protección es recomendable valorar los controles de la ISO 27002.

La norma incluye 114 controles divididos en  35 objetivos de control y en 14 dominios. Lo que se pretende es obtener el nivel de madurez  de la organización con respecto a cada uno de los dominios de seguridad. Entre ellos, por ejemplo, el de políticas de seguridad establecidas, o la organización de la seguridad de la información en la compañía, la protección de los recursos humanos, también sobre  continuidad de negocio o el  cumplimiento normativo, entre otros aspectos.



Una vez analizados todos los puntos expuestos ya se puede extraer como conclusión el valor de riesgo real al que la organización está expuesta. Este siempre es mitigable con unas buenas estrategias de recuperación en caso de desastre.