jueves, 24 de abril de 2014

El Departamento de TI: Eficiencia y Eficacia

No es objeto de esta entrada discutir sobre lo que estas palabras significan y su interpretación en diferentes ámbitos. Partiré, de cara a la posterior “discusión” de la siguiente definición:
La eficiencia es hacer las cosas bien, la eficacia es hacer las cosas correctas” – Peter Drucker considerado el padre del management como disciplina y el mayor filósofo de la administración en el siglo XX (Wikipedia).

Aceptando esta definición, la primera conclusión a la que llegamos es obvia: la eficacia precede a la eficiencia. No tiene sentido hacer las cosas bien si lo que estamos haciendo no es lo correcto, es decir, no nos lleva a nuestros objetivos. Podemos incluso decir que ser eficaz equivaldría a responder al ¿Qué he de hacer? mientras que ser eficiente equivaldría a responder al ¿Cómo he de hacerlo de manera que maximice el valor de lo que hago, o lo que es lo mismo, obtenga el  máximo provecho con los mínimos recursos?

Simplificando, podríamos incluso llegar a decir, desde el punto de vista del departamento de TI, que cumplir con los requerimientos del negocio nos hace ser eficaces. Por otro lado, proporcionar al negocio nuevas formas de trabajar o trabajar mejor en base al uso de nuevas tecnologías y sistemas de información o en base al uso diferente de las ya existentes, les hace a ellos (el negocio) ser más eficientes.

Si intentamos responder a la pregunta de la eficacia dentro del ámbito de un departamento de TI (¿Qué hemos de hacer?), las respuestas podrían ser las siguientes:

En el ámbito de la seguridad de la información, el qué, se obtiene de los riesgos del negocio y de las obligaciones legales, regulatorias y contractuales a las que éste debe hacer frente. Si las medidas técnicas, organizativas y procedimentales que implementemos en nuestra organización no provienen de dar cumplimiento a estos dos requerimientos, simplemente no seremos eficaces.

En el ámbito más general de los servicios de TI que dan soporte a los procesos de negocio, el qué, se obtiene de la utilidad y garantía esperada por el negocio y del equilibrio existente entre ambas. La utilidad viene de cumplir con las necesidades específicas del negocio y la garantía de asegurar que dicho servicio estará disponible cuando el negocio lo necesite. No conocer o presuponer estas necesidades y niveles de servicio requeridos o presuponer cómo darles cumplimiento, de nuevo, nos puede hacer ser ineficaces.

martes, 22 de abril de 2014

La Oficina de Continuidad “La estructura clave en el camino hacia la resiliencia”

Hoy en día, como consecuencia de la creciente preocupación en las organizaciones por garantizar la continuidad de las operaciones críticas del negocio, cada vez más empresas (y en algunos sectores la gran mayoría: banca, seguros…) disponen de planes de continuidad o incluso sistemas de gestión que tienen como objetivo dotar a las organizaciones de una respuesta que les permita recuperarse eficazmente en caso del acontecimiento de un desastre.

En este camino hacia la “continuidad” en el que se encuentran inmersas las organizaciones, es necesario evolucionar gradualmente gestionando la transición por los diferentes niveles de madurez. Inicialmente se realiza una gestión reactiva de los riesgos, donde se gestiona la crisis con un alto nivel de improvisación, posteriormente, y una vez implementado un sistema de gestión de continuidad, se alcanza la gestión proactiva de los mismos, donde se realizan tareas planificadas enfocadas hacia la continuidad, y finalmente con el mantenimiento y optimización de este sistema de gestión, se consigue que la continuidad esté embebida en los procesos de negocio, llegando al ideal de la continuidad, la denominada resiliencia.




La evolución de una gestión reactiva de los la continuidad hacia una proactiva requiere de un importantísimo esfuerzo por parte de la organización, que incluye el análisis del impacto al negocio, el análisis de riesgos, la definición e implementación de roles y responsabilidades,  de estrategias de recuperación, de planes operativos…  Este es sin duda un paso importante que supondrá el nacimiento del concepto continuidad en la organización, pero es justo en ese preciso momento en el que es vital instaurar la piedra angular que permita mantenerla, mejorarla y optimizarla, acercándonos poco a poco al concepto resiliencia: la Oficina de Continuidad.

Esta Oficina se encargará de garantizar la vigencia, adecuación y eficacia de los planes de continuidad existentes gracias a un proceso continuado de mantenimiento y revisión que debe incluir:

1 Mantenimiento del Sistema de Gestión
  •  Coordinar y realizar el seguimiento de las tareas planificadas anualmente
  •  Revisión periódica de los procesos de negocio y el análisis de impacto
  •  Actualizar la valoración de riesgos vigente y las estrategias definidas
  •  Validar los planes a través de los resultados de las simulaciones o cambios internos o de estrategias.
  •  Definir nuevos planes en base a los riesgos
  •  Gestionar la capacitación del personal implicado (equipos de recuperación)
  •  Mantener indicadores de Seguimiento (Evolución del Sistema)

2 Gestión de la  Continuidad
  •  Participar y liderar las simulaciones de los planes
  •  Coordinar las tareas dentro de un escenario de desastre (apoyo al Responsable de Continuidad)




Para que la organización alcance los niveles de madurez deseados será necesario establecer correctamente el “modus operandi” de esta Oficina y dotarla de los recursos idóneos. En base a nuestra experiencia recomendamos que la Oficina de Continuidad esté conformada por un representante de cada área de negocio, que liderará la actualización y soporte de los riesgos, procesos críticos, estrategias y planes que se desarrollen para su área y a su vez planifique conjuntamente con el resto de miembros las pruebas y simulaciones de los planes desarrollados. Esta Oficina realizará las tareas definidas anualmente por el Responsable de Continuidad y le reportará periódicamente, estableciendo una estructura sólida que velará por la mejora continua en materia de continuidad de negocio.

En la actualidad muchas organizaciones debido a las dificultades iniciales que acontecen cuando una organización arranca una oficina de este tipo,  están optando por rodear a los miembros de la oficina de “consultores expertos” que les guíen inicialmente en sus tareas y les permitan evolucionar en el camino hacia la excelencia/resiliencia.

lunes, 14 de abril de 2014

5 aspectos destacables del Reglamento Europeo de Protección de Datos




El 12 de marzo de 2014 es aprobada la propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).

Visión general del contenido del reglamento:
Objetivos del Reglamento:
  • Adaptar la protección de datos a las nuevas demandas del mundo digital.
  • Evitar las actuales divergencias en la aplicación de las normas (de 1995) por parte de los diferentes Estados miembros y velar por los derechos fundamentales a la protección de datos personales y la aplicación de manera uniforme en todos los ámbitos de las actividades de la Unión.
  • Aumentar la confianza del consumidor en los servicios en línea facilitando una mejor información con respecto a los derechos y a la protección de datos mediante la introducción del derecho a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición.
  • Impulsar el mercado único digital reduciendo la fragmentación actual y las cargas administrativas.

Aspectos destacables del reglamento:

1. Los negocios que manejen datos personales de más de 5000 usuarios, deberán efectuar evaluaciones de impacto sobre la privacidad con carácter obligatorio para cualquier operación de procesamiento de datos que entrañe riesgo, considerándose procesamiento arriesgado el efectuado con datos personales de 5000 o más individuos.

2. Sanciones desproporcionadas. La autoridad de control correspondiente impondrá al menos una de las siguientes sanciones:
  • (i) un aviso por escrito en casos de primer incumplimiento no deliberado;
  • (ii) auditorías regulares del sistema de protección de datos;
  • (iii) Las sanciones administrativas oscilarán entre1.000.000€ o el 2% del volumen de negocios total de la empresa, hasta 100.000.000 € o el 5% del volumen de negocios global, prevaleciendo la cantidad que resulte superior.

3. Figura del “Data Protection Officer” (DPO): Se modifican los casos en que será obligatoria la designación del DPO. Ahora será obligatoria para: una autoridad u organismo públicos, si el tratamiento lo lleva a cabo una persona jurídica con respecto a más de 5 000 interesados durante un periodo consecutivo de 12 meses, cuando las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados y cuando las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento de categorías especiales de datos con arreglo al artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala.

4. Obligaciones del Responsable del tratamiento: El Responsable del tratamiento estará obligado a enfrentarse a responsabilidades muy específicas tales como la obligación de elaborar y aplicar políticas internas de protección de datos que den cumplimiento a los principios del “Privacy by design” y el “Privacy by default” y las cuales deberán ir mucho más allá del mero hecho de disponer de un documento de seguridad.

Puesto que el Reglamento tiene como objetivo la protección de los datos personales de los ciudadanos europeos, las mejoras más destacables son las siguientes:

1. Dificultad para las transferencias de datos a terceros países, sobre todo en casos de transferencias requeridas por tribunales o autoridades administrativas de países terceros. Si un país tercero solicita a una empresa (por ejemplo, una red social o un buscador) información personal procesada en la UE, dicha empresa deberá obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información.

2. Derecho de supresión (que sustituye al derecho al olvido),  por el que cualquier persona podría solicitar que se borren sus datos sí;
  • (i) no se cumplen las normas de la UE,
  • (ii) los datos ya no son necesarios o
  • (iii) la persona retira o no da su consentimiento al almacenamiento de esa información. La invocación de este derecho quedará limitada cuando los datos en cuestión hayan sido recabados con fines estadísticos, para la investigación histórica o científica, por motivos de salud pública o para ejercer la libertad de expresión.
3. Datos que revelen creencias filosóficas, orientación o identidad sexual, sanciones administrativas, fallos judiciales y presuntos delitos no serán susceptibles de ser tratados.

4. Consentimiento explícito y lenguaje claro, será entendido como una “manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa”. Esto impediría, por ejemplo, prácticas como la de mantener marcada la casilla de “aceptar” en las políticas de privacidad.

5. Reforzamiento de los derechos individuales del titular de los datos. Esto es así a través de la definición del derecho al olvido, el derecho a la portabilidad (de extraordinaria relevancia en el sector de las redes sociales) y el principio de rendición de cuentas (Accountability), aspectos analizados en profundidad en nuestra formación, con vistas al impacto que tendrá en las empresas una vez que entre en vigor la norma.

miércoles, 9 de abril de 2014

Heartbleed – Vulnerabilidad crítica en OpenSSL (CVE-2014-0160)

En las últimas horas se ha hecho pública una vulnerabilidad que afecta a las conexiones consideradas seguras de tipo HTTPS. En concreto todas aquellas conexiones que usen OpenSSL como librería criptográfica. Se estima que aproximadamente dos tercios de las páginas web que existen en el mundo usan actualmente alguna de las versiones afectadas.

No obstante, la criticidad del esta vulnerabilidad se encuentra en el número de versiones a las cuales afecta: la vulnerabilidad se remonta a la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 y afecta también a la versión 1.0.1f (versión actual hasta el 7 de Abril del 2014). Por tanto, estamos hablando de un problema de seguridad en las conexiones HTTPS que existe desde hace 2 años. Aprovechando esta vulnerabilidad es posible acceder a los datos de sesión de los lugares considerados seguros que usen esta versión de OpenSSL.

Mark Loman, analista de software y malware, haciendo eco de la vulnerabilidad.

Los grandes portales de internet ya han confirmado que han actualizado sus librerías criptográficas. Google, Facebook, Twitter y Amazon son algunos de los grandes que se habían visto afectados.

Se recomienda a todas las empresas que utilicen esta librería en sus portales web que actualicen a la versión 1.0.1G. Por otra parte, a los particulares, la recomendación es cambiar en los próximos días las contraseñas de las cuentas que creamos que hayan podido ser vulneradas (dos años dan para mucho).