29 septiembre 2009

Matices de ISO 20000

En el último post prometía explicar la fórmula que sirve para entender la ISO 20000, o al menos aclarar los importantes matices que tiene. La fórmula en cuestión es la siguiente:
  • ISO 20000 = ISO 9001 + ITIL + Desarrollo de los servicios
La primera parte, comentada en el citado artículo, es ver las analogías entre la ISO 20000 y la ISO 9001. El elemento común es, como ya se ha comentado en este blog en más de una ocasión, el núcleo del sistema de gestión: la filosofía PDCA que subyace en ambas y los requisitos mínimos que se plantean en torno a dicha filosofía para montar un sistema de gestión certificable (responsabilidades de la dirección, gestión documental, formación, revisión por la dirección, auditoría, mejora contínua, etc.). A partir de ahí las diferencias radican en el espíritu de cada norma: mientras que la ISO 9001 fue concebida pensando en la gestión de la calidad de los productos, y generalizando dichas ideas para ser aplicables a servicios de manera genérica, la ISO 20000 fue concebida específicamente para la gestión de la calidad de los servicios TI. Es por éso que el planteamiento de la primera es mucho más lineal, más "clásico". No obstante, hay un punto en el que ambas se solapan, y es en lo referente a la gestión aplicada a los interfaces externos de la organización (clientes por un lado y proveedores por otro), mientras que en los apartados más referidos al ámbito "productivo" es donde más difieren. También tienen otros aspectos en común, como la orientación a procesos, pero como vamos a ver en el siguiente párrafo es un apartado en el que la ISO 20000 está mucho más trabajada.

El segundo elemento de la ecuación son los procesos. La ISO 20000 plantea 13 procesos divididos en 5 grupos de procesos, que nosotros podríamos "reagrupar" en 3: procesos de provisión del servicio, procesos de relación y procesos de soporte al servicio (agrupando los de resolución, control y entrega). De este modo es fácil identificar la analogía con ITIL v2, ya que en gran medida la definición de procesos en ambos casos es solapable. No obstante, hay ciertas diferencias: ISO 20000 introduce la gestión de la seguridad dentro de los procesos de provisión (en ITILv2 es independiente), agrupa la gestión de la continuidad y la disponibilidad (en ITILv2 son procesos separados) e introduce como proceso la gestión de informes (en ITIL no existe), dando un mayor peso específico a la monitorización y reporte de información. Con algunos otros matices de menor importancia, podemos decir que en el resto de los aspectos ambas referencias son solapables, si obviamos el hecho de que la ISO 20000 habla de requisitos mínimos e ITIL de "referencias máximas".

Las diferencias más profundas entre ISO 20000 e ITIL vienen provocadas, principalmente, por su fecha de publicación. Mientras que ITIL v2 data de 2001, ISO 20000 fue publicada en 2005, e ITIL v3 lo fue en 2007. Esto hace que dicha evolución se pueda ver como un modelo incremental en el que se van incorporando evoluciones conceptuales, cuyo mayor exponente es el ciclo de vida del servicio. Mientras que ITIL v2 es un modelo "estático" ISO 20000 esboza dicho concepto en su apartado 5, mientras que ITIL v3 lo desarrolla completamente en su nuevo modelo de procesos.

Efectivamente, el tercero de los elementos que incorpora ISO 20000 es el desarrollo de los servicios, o más específicamente la planificación e implementación de los servicios. En realidad no es un concepto nuevo, dado que ya venía recogido en el olvidado libro de ITIL v2 Planing to implement service management. No obstante, ISO 20000 tiene el mérito de recuperar su esencia, muy en línea con conceptos tan de moda actualmente como el de Gobierno TI, e introducirlo como elemento imprescindible de un Sistema de Gestión de Servicios TI. Es en realidad uno de los aspectos más importantes de la ISO 20000, y el elemento diferencial para las organizaciones que, pese a haber adoptado un "modelo ITIL" para sus procesos, sienten que les falta alguna pieza... Y por último, también es un guiño para todos aquellos entusiastas de la ISO 9001 que, pese a todo, se hayan quedado con la sensación de que hay partes de esa norma que no quedan suficientemente cubiertas por la ISO 20000.

21 septiembre 2009

Cuidado con confundir ISO 9001 e ISO 20000

Es cierto que cada vez se oye hablar más de ISO 20000, que poco a poco se está popularizando como un estándar reconocido para la gestión de la calidad de los servicios TI. Pero eso no quiere decir, en ningún caso, que la ISO 20000 sea una ISO 9001 para empresas TIC, como parece que algunos intentan que pensemos. Es como comparar un utilitario con un camión frigorífico: tienen cosas en común, y la filosofía de este último parte del primero, pero si queremos profesionalizar el transporte de alimentos perecederos a grandes distancias no nos sirve con un simple utilitario de propósito general... Así que es muy importante que, a la hora de leer los titulares de algunos reportajes sobre ambas normas, tengamos conocimiento suficiente como para poder ponerlos en perspectiva y no llevarnos impresiones equivocadas.

Simplificando mucho y sin entrar en (importantes) matizaciones, podríamos llegar a decir lo siguiente:
  • ISO 20000 = ISO 9001 + ITIL (v2) + Desarrollo de los servicios
Por tanto, es fácil ver cómo, con sólo una ISO 9001, no es suficiente, por mucho que la empresa sea del sector TIC... Nos faltan 2 de las 3 partes de la ecuación: los procesos de gestión de servicios TI que define ITILv2 y las actividades de planificación e implementación de los servicios que define de manera autónoma la propia ISO 20000. Obviamente hay elementos comunes entre ambas normas, y si tenemos una ISO 9001 la transición a la ISO 20000 será más sencilla, ya que el núcleo del sistema de gestión será el mismo, pero esto no quiere decir que sean intercambiables... y si no que se lo pregunten al cliente que recibe los alimentos perecederos transportados en automóvil.

Quizás otro día dedique un post a explicar las matizaciones de la fórmula de más arriba, pero creo que, por hoy, con esto es suficiente. El mensaje ha quedado claro, verdad? Así que tened cuidado, y no os dejéis engañar...

17 septiembre 2009

Datos personales al descubierto?

El pasado lunes bajaba del avión leyendo un artículo interesante, en prensa generalista, hablando de que la descoordinación de las empresas al ocultar los números de cuenta bancaria del cliente en sus facturas permite averiguarla fácilmente, con sólo combinar las de varias empresas que oculten números complementarios.

Aunque el trashing no sea una técnica tan habitual por estas latitudes como lo es en las películas (supongo que algo tendrá que ver que tampoco las viviendas unifamiliares con cubo de basura propio lo sean), la verdad es que es muy sencillo recabar información "sensible" en los cubos de reciclaje de papel. Y no pensemos que es algo propio de películas de hollywood, porque hasta tenemos (¿leyendas urbanas?) noticias que hablan del uso oficial de esa técnica en algunos países para multar a quien tira la basura fuera del horario establecido...

De todos modos, y volviendo al artículo en cuestión, el problema de fondo radica en saber si el número de cuenta, más allá de estar parcialmente anonimizado, es pertinente en las facturas. El artículo afirma que parece excesivo, pero esa afirmación desde mi punto de vista no está tan clara. Al fin y al cabo, puede considerarse pertinente que la empresa indique el número de cuenta sobre el que se ha realizado o va a realizar el cargo que está siendo comunicado, o al menos proporcione una cantidad de dígitos suficiente como para que se pueda identificar dicha cuenta. La finalidad asociada al fichero no la podemos obviar...

En el fondo, el problema está en la consideración de dato "sensible" que hace la LOPD y la que hace cualquier persona. Porque claro, el número de cuenta no revela prácticamente nada sobre la intimidad del afectado, pero sin embargo muchas personas pensarán que ese dato debería ser más privado que otros como la filiación sindical, por ejemplo... Y es que, como se suele decir, con el dinero no se juega. Pero sin embargo para la LOPD a este dato sólo es necesario aplicarle las medidas de seguridad de nivel bajo, lo mismo que haríamos con el nombre, los apellidos o la dirección de la persona. Así que me temo que legalmente no hay mucho que decir...

Después de todo lo dicho, y para que los defensores acérrimos de la privacidad no se ofendan, también es necesario recordar que cualquier ley tiene carácter de mínimos exigibles, y que a partir de ella la responsabilidad social de cualquier empresa es la encargada de poner en práctica cualquier tipo de norma o forma de actuar que considere que va a ser beneficiosa para sus clientes. Por tanto, no estaría de más apelar a esa RSC que en algunos sectores está tan de moda para abogar por una mayor cohesión entre las prácticas de ofuscación de datos personales de este tipo de organizaciones, con el objeto de que sea realmente cierto, y no sólo aparente, el beneficio social que este tipo de actuaciones quieren conseguir.

11 septiembre 2009

Avances en el Esquema Nacional de Seguridad

Lento pero seguro. Así suele ser el avance de los temas legislativos, más allá de las peleas políticas que les afectan. Es cierto que hace mucho tiempo que no hablaba del tema, pero en los últimos 2 años el Esquema Nacional de Seguridad ha seguido su avance, poco a poco. Hasta el punto de que, en la página referenciada, ya tenemos una primera propuesta para el Esquema Nacional de Seguridad. ¿Qué os parece? ¿Cuáles son vuestras primeras sensaciones al leerlo? Espero vuestros comentarios.

Amenazas, lo que viene (III): Amenazas del futuro

Esta es la tercera y última parte del artículo de Jose Miguel Sobrón "¿Está el mundo preparado para la nueva clase de amenazas que llegan?". Tras haber analizado los límites de la habitual gestión de riesgos y haberlos contrastado con el amplio universo de las amenazas, en esta tercera parte el autor introduce la variable tiempo para recordarnos que la labor de la gestión de riesgos no sólo debe tener en cuenta el presenta, sino mirar al futuro e intentar anticiparse a lo que, por propia definición, no es previsible.

Nos hace falta un concepto más, que regula imperativamente el desarrollo de cualquier teoría, al menos hoy. Este factor que define la componente tridimensional del estudio de las amenazas, es el tiempo: la escala de tiempo como conocida hasta ahora (no entraré en dimensiones superiores para evitar perdernos sin haber siquiera comenzado, pero hay sin duda otras dimensiones intervinientes). El tiempo hace que valores determinados permuten sus sectores de pertenencia. Es importante recordar que toda amenaza “nueva” acaba integrándose en la colección de amenazas convencionales, es solo una cuestión de tiempo. Y también es importante recordar que no siempre lo desconocido se podía haber previsto solo por conocer su existencia.

El tiempo hace que nuestro universo de amenazas se amplíe como si de un cono se tratara, no solamente lo probable y conocido aumenta, cada vez que lo hace aumenta en la misma proporción el resto de sectores. Efectivamente la dimensión de aumento no es lineal, no se trata de un cono perfecto sino de una aproximación teórica para intentar aproximarnos a la comprensión del fenómeno.



Todo aquello que simplemente todavía no existe o no ha sucedido es futuro tal y como lo conocemos ahora. Eso significa que los cuatro sectores que hemos definido anteriormente adquieren una dimensión mucho mayor con el paso del tiempo. El crecimiento en la línea temporal aumenta exponencialmente ya que hoy somos incapaces de regular o controlar el devenir de los acontecimientos en la línea del tiempo, no se puede parar. Probablemente llegara el día en el que sí que sea más factible andar por esa línea de tiempo, pero no lo hemos podido demostrar aún en el terreno de lo práctico. Por mucho que nos empeñemos la función que define la relación entre el paso del tiempo y el crecimiento de cada sector nos es desconocida, no sabemos de su magnitud. Si algún día llegamos a ser capaces de demostrar que efectivamente hay funciones que definen estas áreas de conocimiento, seguramente no serán funciones simples, pero eso esta todavía por ver.

Es importante no olvidar que lo que presento es un constructo teórico, se trata simplemente de un modelo visual que nos ayuda a comprender el concepto, es decir la realidad no tiene porque ser de esta manera y evidentemente puede ser absolutamente asimétrica (palabra mágica que define áreas de reducido / limitado conocimiento). En este punto defino la asimetría como matemáticamente se hace asimetría: que no es exactamente igual en dos partes presupuestas idénticas. No soy capaz de definir el nivel cuantificado de asimetría, eso está todavía lejos de mi capacidad de análisis y predicción. Lo importante de esta asimetría no es la cantidad sino la capacidad que nos da de dejar el espacio entreabierto a nuevas opciones, ese es el verdadero valor de la asimetría, nos permite asumir otros constructos sin tener que permanentemente asumir errores en la verificación de nuestras hipótesis. Básicamente es una pequeña trampa para ganar tiempo.

Hasta ahora nada nuevo bajo la capa celeste. Bueno lo nuevo es que somos capaces de no aturullarnos entre tanto concepto y que hemos intentado simplificar o limitar la presentación de las amenazas de una forma un poco mas visual. ¿Cual es la motivación para organizar las amenazas de esta manera?, primero comprenderlas mejor aunque las desconozcamos inicialmente y segundo ser capaces de preparar una reacción más normalizada con un plan mucho mas abierto a impensables y que no se deje intimidar por la situación.

Después de haber definido someramente cuales sin las diferencias básicas entre las amenazas actuales- recordar que se trata exclusivamente de un modelo de comprensión- el siguiente par de pasos pueden ser como siguen: Catalogar cada sector (y merece la pena el esfuerzo compilatorio) y desarrollar las técnicas básicas que nos conduzcan a una mejor solución de los problemas que se nos plantean. Verdaderamente necesitaremos un grupo de expertos que sean capaces de destripar en detalle cada sector. Las tareas compilatorias son de por si aburridas y tediosas, salvo que el equipo sea lo suficientemente polifacético como para poder combinar diferentes puntos de vista.

Nueva York, Enero de 2009

08 septiembre 2009

Amenazas, lo que viene (II): El universo de las amenazas

En este post voy a publicar la segunda parte del artículo de Jose Miguel Sobrón titulado "¿Está el mundo preparado para la nueva clase de amenazas que llegan?". Me he permitido la licencia de adaptar los títulos con el fin de que cuadren con las divisiones que he hecho. Espero que sirvan de ayuda...

Vamos a explorar el universo real de una forma sencilla. Definamos solo dos dimensiones básicas: Conocido / Desconocido y Probable / Improbable.


Esto automáticamente define cuatro sectores como refleja la figura. Este es el primer momento de acercamiento al problema ya que de todas las posibles opciones vamos a identificar aquellas que son previsibles. Este será el concepto nexo fundamental que siempre marca nuestra tarea, la capacidad de predecir acontecimientos. A posteriori veremos que lo fundamental no es sólo predecir sino combinar la capacidad de predicción con la capacidad de reacción. Analicemos pues sobre estas dos dimensiones las posibilidades de predecir (con éxito claro está).

  • Sector 1: Probable y conocido. Este es nuestro mayor campo de actuación y el que definimos tradicionalmente como “convencional”. No entrare en este momento en el análisis detallado de este sector sino en una mera explicación de las características del mismo para evitar perdernos en el detalle. Incluso siendo el sector más ampliamente conocido de los que vamos a definir, no es ni mucho menos conocido al 100%. Tenemos una idea bastante detallada de su funcionamiento y la mayor parte de sus amenazas se podrían describir como lineales sin cambios de dirección significativos por lo general, hasta 1991, después todo se ha complicado bastante. A partir definitivamente de la caída del muro de Berlín se inicia una serie de procesos cuya tendencia inmediatamente posterior es simplemente incalculable que no impredecible. Desconocemos su dirección y magnitud porque desconocemos lo que podrá controlarlo, la capacidad de reacción. Lo que más nos sorprende de estos fenómenos es su carácter vectorial, su cambio de dirección una vez iniciados por salirse precisamente del área de expectativas previstas no porque nos sean desconocidos sino por la trayectoria inusual o sorprendente.

  • Sector 2: Improbable y conocido. Este es el área en la que los fenómenos que se suceden, por la falta de costumbre, nos sorprenden. No hay una ausencia de casos reales simplemente no les habíamos prestado atención o era irrelevantes para nuestro análisis Los conocemos pero hemos llevado a cabo lo que podríamos denominar una análisis de economía de medios y hemos decidido aparcarlos en al área de puede que pero no creo o si yo lo creo no tengo la suficiente base para explicar mi intuición. Es aquí donde empieza a tomar forma la teoría del shock. Ya entraremos en detalle mas tarde en que consiste esa teoría o teorías Aquí podemos encapsular todo aquello que los clásicos denominan Ciencia ficción: Todo aquello que es imaginable por nosotros (por ende es posible, conocido e improbable) pero que nuestro sentido común o experiencia (raya que define hasta donde puedo llegar defendiendo una opción sin caer en el descrédito social de la comunidad) nos definen como improbable. No siempre son realmente improbables sino inaceptables dentro de los niveles de aceptación general por lo que es más sencillo definirlos así. Aquí somos nosotros mismos quienes decidimos limitar nuestra capacidad de predicción por razones prácticas o simplemente sociales.

  • Sector 3: Probable y desconocido. Esta opción demuestra claramente que la capacidad de predicción del ser humano es bastante limitada. No tenemos el control sobre la capacidad de imaginar o no, simplemente no lo podemos conocer. Esto no es realmente cierto en realidad. Seria mejor decir que la mayor parte de nosotros es incapaz de verlo o siquiera imaginarlo. Sí que hay individuos que han traspasado ese nivel y que son realmente capaces de tener una idea aproximada del concepto. Aquí entra la osadía del individuo en juego para ser capaz de romper la barrera del conocimiento actual y ponerlo a disposición del resto, es lo que se viene conociendo comunmente como “descubrimientos”. Es en este sector donde encontramos los visionarios o privilegiados que son capaces de ir mas allá del resto de todos nosotros para presentarnos sus teorías. Para evitar malentendidos, sirva este ejemplo para marcar la diferencia entre los visionarios innovadores (presenta un trocito del área desconocida a los demás) y los literatos de lo improbable (los que hablan de áreas ya conocidas pero generalmente descartadas por la experiencia o no probadas como válidas). Ambos tienen un mérito incalculable, pero evidentemente diferente en su concepción. No pretendo en absoluto compararlos simplemente definir su área de actuación.

  • Sector 4: Desconocido e Improbable. Todo aquello que pasa al lado de nuestra existencia sin siquiera percibirlo y que además la probabilidad de que suceda a pesar de nuestro desconocimiento es mínima. Este es nuestro mayor agujero en materia de seguridad porque sin lugar a duda será el que provoque estupefacción en los que tengan que reaccionar a la amenaza y se trata de minimizar el tiempo de shock, no seremos capaces de eliminarlo pero si de reducirlo. A diario millones de pequeñas cosas nos sorprenden, pero dado que tenemos una capacidad limitada de procesamiento, nuestro cerebro, consciente e inconscientemente la mayor parte del tiempo, se encarga de aparcarlos para poder ser capaz de mantenernos concentrados en tareas bastante mas básicas de supervivencia, como por ejemplo ser capaces de llegar a tiempo al trabajo sin detenerme en cada sorpresa que me encuentro, pragmático ¿no?.

Hasta aquí lo que el Secretario de Estado Robert Gates define estupendamente con sencillas palabras. Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé. Impactante y sencilla visión, e impactante el coraje de decirlo a pesar de que no es tan obvio como parece.

07 septiembre 2009

Amenazas, lo que viene (I): ¿Donde están los limites?

A diferencia de otras ocasiones, hoy no voy a publicar un post de mi autoría, sino un artículo escrito por Jose Miguel Sobrón, un experto en seguridad, gestión de crisis y continuidad de negocio que trabaja en una organización internacional en apoyo a la gestión de crisis. Como es un poco extenso, lo publicaré en varias partes. Espero que os guste.

Hace ya unos cuantos años que muchos especialistas se enfrentan al reto de actualizar el inagotable arsenal de “nuevos” riesgos a los que nos enfrentamos. Tarea harto difícil por no decir imposible en un momento de cambio como este. La realidad mundial dista bastante de parar de crecer cuando ni menos estabilizarse.

La pregunta del analista y a veces del directivo o gestor es: ¿Cómo se puede hacer frente a algo que sencillamente desconocemos? Es difícil Y lo es básicamente porque esta cambiando el set de reglas básicas. Hace ya un tiempo que para marcar esta diferencia se han acuñado términos como convencional y no convencional. Estas definiciones a veces son más confusas que clarificadoras y es porque claro, al cabo de pocos meses lo que llamábamos no convencional se ha transformado en algo convencional debido a que se ha integrado perfectamente en nuestra respuesta cotidiana.

El quid de la teoría es reconocer que la seguridad está evolucionando a una velocidad que es difícil de ser asimilada por el común de los mortales que nos vemos sobrepasados por tanto cambio conceptual y variada denominación. La realidad cambiante (jamás encontré un termino tan exacto para una situación como la seguridad actual) hace tambalear la mayor parte de todas las teorías concebidas en los últimos decenios. En realidad solo unas pocas son capaces de sobrevivir por lo evidentemente adelantadas a la realidad diaria. Sucede, que algunos de los que han conseguido interpretar de alguna manera esas lecturas han descubierto a la vez que es más rentable entrar en la nomina de los aspirantes a Nostradamus que en la de los simples teóricos de la seguridad. En un mundo tan atado a reglas y procedimientos es fácil caer en la tentación de buscar alternativas a una falta de atención escandalosa sobre las nuevas amenazas que nos rodean y que sin duda van a formar parte de las próximas complicaciones. Es, sin lugar a dudas más simple llamar la atención del editor si lo que cuento entra de lado en la conexión con lo paranormal o suena a ciencia ficción imposible, que si se basa exclusivamente en una interpretación concienzuda y a la vez artística del arte de la guerra, eso desgraciadamente no vende. Reconoceré que siempre llamará más la atención del público en general un titular de libro que conecte la sapiencia de Nostradamus con nuestros egos voraces de saber el futuro, que uno que sencillamente mencione el trabajo de un investigador que se ha dedicado a profundizar en el análisis.

Ahí esta el reto de la mayor parte de los nuevos teóricos de la seguridad ser capaces de innovar y convencer a la vez. La seguridad no es una ciencia perfecta sino mas bien un arte y como buen artista, la vida desde el completo anonimato hasta el reconocimiento es dura y plagada de desagravios abonados de incomprensión y mediocridad. Como no soy teórico, quedo libre de la vida del artista y me limitaré simplemente a intentar explicar qué es lo que esta cambiando en materia de seguridad y defensa que deja perplejos a gran número de dirigentes y lideres en su aproximación a la comprensión del fenómeno actual.

Sucede por un lado que debemos de dejar de buscar explicaciones a lo que ya hace bastante tiempo es un hecho constatable: la seguridad de hoy no tiene nada que ver con la de hace quince años. El camino comienza por intentar seriamente ser más abiertos y dar un paso más valiente en la comprensión de esta nueva realidad. Siempre me ha hecho sonreír este concepto tan anglosajón de “thinking out of the box”. El problema es que por definición no hay “box” desde hace bastante tiempo y algunos todavía ni se han enterado, luego es ya hora de articular otro término que sirva de verdad a nuestros propósitos con más eficacia. A mi me gusta el de piensa en 360 porque básicamente no limita o el más sencillo de abre tu mente. Bueno sin más me intentaré adentrar en la definición de nuestro universo de amenazas para poder vagamente mediante una clasificación por eliminación entender donde nos encontramos.

El analista de seguridad, que normalmente es una persona absolutamente práctica, evita a toda costa perderse en el batiburrillo de lo intangible por dos razones: la primera ganará tiempo al evitar conjeturar en exceso y la segunda evitará ser despedido porque su tremendamente experimentado jefe no quiere tener que estar explicando conceptos que sabe de antemano que su Jefe Ejecutivo no va a comprender o no podrá justificar delante del Consejo Directivo. Somos pues los propios expertos los que empequeñecemos sobremanera la visión de lo que nosotros vemos porque reducimos ex profeso el abanico de lo que presentamos, por lo intangible de lo desconocido o difícil de explicar. Eso hace que la mayor parte de los neófitos acaben convenciéndose del limitado universo en el que nos movemos, lo que se conoce hasta ahora me refiero.

03 septiembre 2009

Empresas y gripe A

Lo siento, no me he podido resistir. Hay temas sobre los que, si no escribes, parece que no estás al día... Aunque claro, si lo que escribes va contra corriente, quizás estés cometiendo un suicidio social... Bueno, me voy a arriesgar.

A estas alturas seguro que todos hemos oído hablar de la Gripe A, así que no me voy a entretener mucho con ella. No obstante, sí que me gustaría analizar sus efectos desde el punto de vista de la seguridad (de la información), porque tengo la sensación de que estamos perdiendo un poco el norte con este tema.

Vayamos por partes. En primer lugar, ¿qué efectos puede tener la gripe A sobre las empresas? Sencillamente, que el personal afectado no vaya a trabajar por estar sufriendo la enfermedad. Es decir, que desde el punto de vista de la seguridad la gripe A es una amenaza que puede provocar efectos sobre la disponibilidad y continuidad de las personas, y por tanto sobre los servicios que estas personas desarrollen.

El hecho de que sean los "servicios profesionales" los que se vean directamente afectados es un factor a tener en cuenta. Servicios TI puros o empresas productivas cuya cadena de producción esté completamente automatizada no se van a ver afectados de forma directa, sino sólo indirecta (por los servicios de mantenimiento que presten las personas sobre las máquinas correspondientes).

Ahora pasemos a analizar el factor de riesgo de esta amenaza. Por una parte, tendremos que analizar la probabilidad de ocurrencia de esta amenaza. En este caso estamos frente a una pandemia (sencillamente, una enfermedad infecciosa de alcance mundial, o mejor dicho, extendida por varias regiones geográficas extensas de varios continentes) de nivel 6 (la enfermedad se propaga geográficamente de persona a persona de manera exitosa, ya que aparecen brotes comunitarios en al menos 3 países de 2 regiones distintas). Por tanto, podemos decir que la probabilidad de ocurrencia aparentemente es alta. Pero... cómo de alta? Hay noticias que hablan de una tasa actual de ocurrencia de casi 54 casos por 100000 habitantes, y si vemos los datos de otros países europeos ninguno alcanza los 100. ¿Podemos considerar un 0,054% una tasa alta de ocurrencia? Si lo comparamos con el histórico de incidencia de la gripe estacional en España, vemos que el año pasado tuvimos una incidencia máxima de 200 casos semanales, y el máximo histórico alcanzado en 2005 fue de 542. Si extrapolamos este dato a uno mensual, podemos hablar de un umbral máximo histórico de ocurrencia del 2,17%. Si hacemos unas pequeñas suposiciones, como que la incidencia geográfica y temporal es homogénea, podríamos decir que la probabilidad mensual de contagio que tiene cada persona es, redondeando al alza, de un 2,2%. En realidad deberíamos considerar la probabilidad anual para poder mantener los cálculos que figuran a continuación, y aunque jamás van a llegar ni con creces a una tasa mantenida a lo largo del año, vamos a suponer que es así y que la probabilidad anual, acumulativa, es del 26,4% (como veis, estoy dejando muuuucho margen de error, y siempre estimando el caso peor).

El segundo factor para analizar el impacto de la amenaza es valorar sus efectos. En este caso, por separado para la disponibilidad y para la continuidad. Para el segundo, el fatídico, hay que considerar la tasa de mortalidad de la enfermedad, que sería lo que provocaría efectos sobre la continuidad. Para esta enfermedad a día de hoy tenemos una tasa de mortalidad del 0,018% en España, aunque algunas noticias que podemos encontrar en la red han llegado a dar una tasa mundial de 0,78%. Aparentemente no es una probabilidad alta, y tampoco parece serlo comparada con la de la gripe común, que según algunas fuentes sería hasta del triple que la primera.

Para el caso de la disponibilidad es necesario analizar el tiempo medio que una persona está de baja debido a la infección por gripe A. Según algunas fuentes, el dato de referencia varía entre los 2-4 y los 10 días, así que para nuestro cálculo tomaremos el límite superior, por si acaso. Esto supone una indisponibilidad del personal del 2,8% del tiempo anual, aproximadamente, si no consideramos periodos especiales. En términos coloquiales, una baja de semana y media.

En principio, con estos datos ya podríamos hacer una estimación del factor de riesgo. Para la disponibilidad, tendríamos que estimar que la gripe A va a provocar una baja de semana y media de duración en el 2,2% del personal cada mes. ¿Es correcta esta afirmación? Pues me temo que no. En este caso hay un factor que debemos tener muy en cuenta: la tasa de propagación del virus. La probabilidad de infección de una persona concreta sí que sería del 2,2%, pero la probabilidad de que esta persona infecte a compañeros de trabajo durante la semana y media de duración de la enfermedad depende de este dato. Y la verdad es que no he sido capaz de encontrar un dato específico al respecto, salvo que todas las fuentes hablan de una tasa mayor que la correspondiente a la gripe común y algunas afirman que llega a ser del triple. Como no he podido obtener ningún dato numérico, no me ha quedado más opción que recurrir a noticias menos argumentadas, que hablan de un 50% de afección en las empresas. Personalmente me parece un dato inflado, pero ya que es el único que he podido encontrar es el que voy a utilizar.

En definitiva, la afección por gripe A podría llegar a ocasionar como máximo en una empresa la baja del 50% de las personas durante el 2,8% del año con una probabilidad de ocurrencia del 26,4%, es decir, un impacto del 1,4% sobre la disponibilidad con una probabilidad de ocurrencia del 26,4%, de modo que el lucro cesante que debería asociar una empresa a la gripe A serían del 0,37% del valor que generen los servicios profesionales desarrollados por las personas afectadas, que en una empresa de servicios podríamos asimilar a su facturación. Sin olvidar que este es un valor asintótico con mucho margen...

Para estimar el impacto real de la gripe A en cualquier organización me gustaría comparar este dato con uno de referencia muy habitual: las vacaciones. Desde el punto de vista de la disponibilidad tienen un efecto idéntico al de una baja, salvo que son planificadas. En este caso, las vacaciones habitualmente las coge el 100% del personal (pongamos el 90%, por si acaso) con una probabilidad de al menos el 90% de certeza de que lo hagan y una duración de referencia de 3 semanas, así que en este caso hablaríamos de un impacto del 5,18% con una probabilidad de ocurrencia del 90%, es decir, un lucro cesante del 4,7%. ¿No os parece llamativa la comparación?

En definitiva, mi conclusión es que, aun en el peor de los casos, la gripe A no debe ser especial motivo de preocupación para las empresas. Todas asumen que sus empleados se van de vacaciones, y aunque se planifique para que coincida con periodos de menor actividad, la afección por la gripe A también coincidiría, si atendemos a los factores de propagación del virus, con periodos de menor actividad de los clientes, ya que se verían sujetos a las mismas olas. Y de todos modos hay que considerar el elevado diferencial de impacto entre ambos casos... Vamos, que en la práctica muchas empresas seguro que tienen mejores motivos por los que preocuparse que por los efectos de la gripe A. No vaya a ser que en medidas de prevención acaben gastándose más dinero que el lucro cesante que puede llegar a provocar la enfermedad...

01 septiembre 2009

Modelos para la gestion de incidentes de seguridad

A raíz de unos comentarios en relación al último post sobre incidentes de seguridad se me ha ocurrido extender un poco más mi respuesta en forma de post. La idea es, sencillamente, presentar un par de modelos que pueden ser utilizados para la gestión de incidentes de seguridad.

El primero de ellos, como sugieren en los citados comentarios, es seguir el modelo de gestión de problemas de ITIL para llevar a cabo la gestión de incidentes de seguridad. En dicho modelo se habla de monitorizar y ejecutar revisiones preventivas en busca de problemas, que en el ámbito de los incidentes de seguridad se podrían asimilar a las auditorías (técnicas de seguridad y la monitorización de los sistemas de seguridad, pudiendo llegar a considerar incluso las consolas SIM. Por otra parte, ya dentro de la gestión reactiva, la gestión de problemas en sí misma habla de registrar los problemas, diagnosticarlos, identificar las causas del mismo (convirtiendo el problema en un error conocido), definir la solución más apropiada y generar la RFC (petición de cambio) correspondiente. Si sustituimos el término problema por el de incidente de seguridad, el modelo de gestión es perfectamente válido.

El segundo de los modelos que se suele utilizar para la gestión de incidentes de seguridad es el correspondiente a la gestión de no conformidades y acciones correctivas asociadas. Podemos sustituir el incumplimiento de las normas y/o procedimientos establecidos (la no conformidad) por la ruptura de las condiciones de seguridad establecidas (el incidente de seguridad), y a partir de ahí seguir la sistemática de registro y análisis estándar para las no conformidades aplicada al mismo. A partir de la no conformidad se definirán alas cciones correctivas necesarias para resolver la no conformidad, que en nuestro caso supondría identificar las acciones a acometer para solucionar la causa del incidente de seguridad.

Como se puede ver, ambos modelos son equivalentes, y perfectamente válidos para la gestión de incidentes de seguridad. No obstante, tienen algunos matices que no está de más tener en cuenta, por si las moscas.

En primer lugar, la gestión de problemas según ITIL tiene un carácter técnico. Esto supone que los incidentes de seguridad asociados a las personas (y muchos del ámbito de la confidencialidad lo son) van a tener dificultades para ajustarse al modelo. Por otra parte, también es necesario tener en cuenta que la gestión de problemas requiere de la gestión de incidentes y la gestión de cambios y versiones para completar el ciclo de gestión, ya que los incidentes de seguridad requieren tanto de la corrección instantánea de la situación que provoca el incidente (gestión de incidentes) como de la aplicación efectiva de la corrección (gestión de cambios y versiones) para poder considerar que el incidente de seguridad está cerrado. Y por último es necesario considerar, dentro de la gestión de cambios, que el carácter eminentemente operativo que subyace en este proceso puede ser insuficiente para tratar determinados incidentes de seguridad cuyas causas y/o consecuencias puedan llegar a ser de carácter estratégico.

El segundo modelo es complementario al anterior. Es un modelo de caracter más estratégico, de modo que tienen mayor cabida situaciones de carácter menos técnico u operativo, pero al mismo tiempo es un modelo mucho más vago y menos detallado. Tiene la ventaja de que, al exigir la participación activa de la dirección, las decisiones que se adopten van a contar con su "bendición", lo que desde el punto de vista de recursos y prioridades puede ser importante. No obstante, si restringimos el modelo a la gestión de no conformidades y acciones correctivas también sería un modelo incompleto, y para terminar de completarlo deberíamos considerar también ltanto a gestión de acciones preventivas (en relación a las debilidades de seguridad) como la realización de auditorías y el seguimiento de indicadores y cuadros de mando que exige cualquier sistema de gestión normalizado, de modo que también queden contemplado en el modelo el apartado preventivo de la gestión de incidentes de seguridad.

En definitiva, lo importante es que cada organización desarrolle su propia sistemática de gestión de incidentes de seguridad y que, independientemente del modelo que elija (alguno de estos dos o cualquier otro) sea un modelo completo, que contemple todos los apartados necesarios para una gestión efectiva de los incidentes de seguirdad.