18 junio 2008

Empleado descontento

Hace unos días día leía una noticia sobre un ex-empleado que borró la información de su antigua compañía, al parecer furioso con su organización por hacer recibido un informe laboral desfavorable.

Más allá de los típicos comentarios que se puedan hacer al respecto, de los cuales tenemos una buena representación asociados al propio artículo, creo que es necesario prestar atención a algunos aspectos que creo que pueden ser significativos:
  • La persona en cuestión parece que tenía problemas de relación inter-personal. Si el hecho ya estaba en conocimiento de RR.HH., como parece, vamos a la segunda derivada. ¿Se habían analizado las posibles consecuencias más allá de el propio hecho? ¿Existía una especial atención al comportamiento de esta persona desde otros puntos de vista, como podría ser el de seguridad de la información?
  • Estamos ante una persona con importantes privilegios dentro de la organización, ya que se trata del director de servicios técnicos. Alguien que de hecho tenía que poder realizar las acciones que desarrolló si hubiera seguido formando parte de la organización. ¿Cuál era la estructura de control interno de la compañía? ¿Cómo se supervisaba o auditaba la actividad de las personas con mayores privilegios, que son precisamente las que tienen el mayor riesgo potencial asociado?
  • Tras su dimisión se pudo conectar a los sistemas para llevar a cabo las acciones ilegales. ¿Por qué no funcionó el procedimiento de bajas? ¿No hubiera sido necesaria una especial atención dado el perfil del sujeto, de altos privlegios, y las condiciones de la baja, en forma de "dimisión airada"?

El hecho que quiero destacar es que, en este caso, no es que se produjera un fallo concreto en un elemento específico de la organización, sino que la pérdida de casi medio millón de dólares estuvo producida por la concurrencia de fallos de seguridad en distintos ámbitos (seguridad ligada al personal, monitorización, procedimiento de bajas, ...). Es un claro ejemplo no sólo de que los mayores riesgos de seguridad están dentro de casa, sino de que sin una estrategia que trate la seguridad de forma global es probable que aparezcan casos en los que una conjunción de factores de riesgo sean capaces de desencadenar graves pérdidas para la organización. ¿Hubiera sido posible evitar el incidente con un buen SGSI? Yo creo que sí...

11 junio 2008

Guia basica de adecuacion a la LOPD

Esta semana me he encontrado con un artículo muy sencillo de entender para todo aquél que quiera adecuarse al cumplimiento de la LOPD. El artículo en cuestión se titula LOPD: ¿Una necesidad o una obligación?, y describe de forma secuencial y muy fácil de entender cuales son los pasos que tiene que dar una empresa que vaya a iniciar un proyecto de adecuación a la LOPD. Seguro que no aporta gran cosa a la mayor parte de los lectores de este blog, pero también es seguro que es de gran ayuda para todas aquellas empresas que, con esto del nuevo reglamento, se hayan dado cuenta de que tienen que cumplir la LOPD y no tienen muy claro qué es lo que tienen que hacer en realidad. Sobre todo desde el punto de vista práctico.

La única pega que le puedo poner al artículo es el excesivo tinte comercial que tiene el artículo al final. Estoy de acuerdo en que siempre es mejor contar con una asesoría especializada, sobre todo si la empresa no tiene a nadie con formación específica en estos temas (y me temo que es el caso de muchas PYMEs), pero no estoy de acuerdo con el tinte de exigencia que parece cobrar en el artículo el hecho de contar con una buena consultora como respaldo.

Y al hilo de los párrafos finales del artículo, en los que se señala que la empresa que se quiera adecuar a la LOPD debería exigir una cualificación mínima a la empresa consultora, me gustaría plantear algunos interrogantes. Las exigencias en relación a las auditorías externas que planteaban algunos borradores del nuevo reglamento acabaron desapareciendo del texto final. A día de hoy no existe ningún tipo de requisito ni certificación cuyo cumplimiento sea obligatorio para realizar auditorías de LOPD. ¿Creeis que sería necesario establecer algún tipo de requisito para los auditores de LOPD y/o para las empresas que realizan este tipo de auditorías? ¿Cuál es el nivel de compromiso que se puede exigir a estas empresas? ¿Creeis que estas empresas deberían responder de algún modo por los resultados de dichas auditorías, desde un punto de vista jurídico? ¿Se debería exigir algún tipo de responsabilidad por la "firma" de una auditoría de LOPD, de un modo similar, por ejemplo, al de los arquitectos o ingenieros que firman un proyecto? Seguro que teneis muchas opiniones al respecto, tanto personales como jurídicas. ¿Os animais a contestar? Espero vuestros comentarios...

09 junio 2008

Publicada ISO/IEC 27005:2008

La semana pasada se publicó la norma ISO/IEC 27005:2008, bajo el título Information technology - Security techniques - Information security risk management. Como dice su nombre, esta norma supone una guía para la gestión de riesgos de seguridad de la información, de acuerdo con los principios ya definidos en otras normas de la serie 27000. Sustituye (y actualiza) a las partes 3 y 4 de la norma ISO TR 13335 (Técnicas para la gestión de la seguridad IT y Selección de salvaguardas, respectivamente), y se convierte en la guía principal para el desarrollo de las actividades de análisis y tratamiento de riesgos en el contexto de un SGSI. Constituye, por tanto, una ampliación del apartado 4.2.1 de la norma ISO 27001, en el que se presenta el análisis de riesgos como la piedra angular de un SGSI, y supone una excelente ayuda para todo aquél que quiera profundizar en el desarrollo práctico de un proceso de gestión de riesgos de seguridad de la información.