29 enero 2010

Publicado el Esquema Nacional de Seguridad

En el Boletín Oficial del Estado de 29 de Enero de 2009 se ha publicado el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Con el honor, además, de ser el primer BOE que se publica en color (gracias al Anexo II de este Real Decreto). Por tanto, a partir de mañana mismo entra en vigor, de modo que según el propio Real Decreto los sistemas existentes se deberán adecuar a sus exigencias (con matizaciones) antes del 29 de Enero de 2010, debiendo "nacer" adecuados todos aquellos que se implanten a partir de ahora. ¿Habrán tenido en cuenta este factor todas las administraciones públicas que están en estos momentos implantando sus servicios de e-Administración? ¿Qué pasará a partir de ahora con la seguridad de los servicios públicos prestados electrónicamente? En próximas ediciones seguiremos hablando de estos temas... ;-)

Por cierto, en el mismo BOE también se ha publicado el Esquema Nacional de Interoperabilidad.

21 enero 2010

Continuidad y Disponibilidad práctica

Hoy no tenía previsto postear nada, pero no me he podido resistir. Después de leer el post sobre continuidad y disponibilidad sin despeinarse en el blog de Joaquín Báñez, no me queda otra que recomendar su lectura a todo aquél que busque una visión práctica, sencilla y útil de la gestión de continuidad y disponibilidad. Disfrutadla.

20 enero 2010

Recortes en TI

Acabo de terminar de leer un artículo que, bajo el título de "La mitad de los centros de datos están faltos de personal", muestra en tres partes (I, II y III) una realidad cada vez más afianzada: los departamentos de TI sufren importantes recortes, principalmente en personal, mientras que las inversiones se centran básicamente en tecnologías. El mensaje se podría interpretar sencillamente como una búsqueda de la eficiencia, pero creo que es necesario hacer un análisis más detallado de las implicaciones que se deducen en el artículo.

Creo que es importante tener en cuenta el papel de ambos recursos: la tecnología presta por sí misma una serie de servicios de soporte a la actividad corporativa, mientras que el personal de TI se centra en el desarrollo, mantenimiento y evolución de dichos servicios. Servicios que, sin analizar si realmente evolucionan en su propio cometido, lo que está claro es que evolucionan en complejidad, lo que obviamente dificulta la labor del personal de TI. ¿Cuál es la consecuencia previsible a medio-largo plazo de mantenerse la tendencia? No sólo personal insuficiente en cantidad sino probablemente también en calidad, en lo referente a su formación. Sin embargo, ¿cuáles son las líneas en las que se centra el futuro de los centros de datos, según el artículo? Básicamente, la continuidad de los servicios prestados por la tecnología. ¿Por qué las organizaciones que piensan en la continuidad de sus negocios n0 sólo dejan de lado la continuidad del personal sino que por otra parte siguen unas estrategias que la hace peligrar todavía más?

Yo creo que el problema de fondo está en una sencilla realidad: la tecnología, en general, funciona sola. Sí, las labores de mantenimiento son necesarias, pero sólo puntualmente. Lo que el negocio ve funcionar a diario son las máquinas, las aplicaciones, mientras que el personal de TI no realiza un trabajo visible desde su punto de vista o sólo de manera puntual, en caso de incidencias. Y si un servicio aparentemente no se requiere de manera continuada es más prescindible que otro que sí es necesario continuamente...

Además, tenemos otro problema, inherente a las TI. Las TI fallan: cuelgues, avisos de error, funcionamientos incorrectos... Y esto es un problema, aunque alguien pueda pensar lo contrario, ya que fallan tanto si tienen mantenimiento como si no. Desde la visión de negocio a nadie se le ocurre pensar que tener un buen departamento de TI garantice la ausencia de fallos. Y si vamos a tener fallos... ¿No es asumible tener unos pocos más, si a cambio me ahorro algunos sueldos?

Evidentemente, esta situación no se puede mantener en el tiempo. Llegará un momento en que la degradación del servicio que pueda ofrecer el departamento de TI sea tal que sea imposible mantener el servicio ofrecido por las máquinas. Pero... ¿Es posible desarrollar un modelo cuantitativo para "demostrar" este hecho al negocio? ¿Y sin ese modelo, qué argumentos tangibles tenemos para tratar de revertir esta situación?

En definitiva, creo que estamos en un punto preocupante. Sobre todo porque tengo la sensación de que, pese a que la tendencia se ha agravado con motivo de la crisis, sus causas subyacen más allá de la coyuntura económica actual y suponen un importante riesgo para cualquier organización, mayor cuanto más grande sea su dependencia tecnológica. De modo que creo que este debe ser el momento de analizar en profundidad cómo hemos llegado a este punto y tratar de establecer unas bases sólidas para revertir la situación, sobre todo ahora que todavía podremos utilizar el tirón de salida de la crisis para impulsar el nuevo crecimiento del sector TIC. ¿Alguien se anima a comenzar con ese trabajo?

19 enero 2010

Pero tu... A que te dedicas?

Quizás a alguno le parezca conocida esta pregunta. La verdad es que no es fácil explicar a una persona normal, a un "profano" en la materia, en qué consiste la gestión de la seguridad de la información de una empresa. Se puede hablar de virus, de hackers... Pero hablar de gestión o de análisis de riesgos con un colega del instituto puede ser bastante complicado. ¿Será que la seguridad de la información, por mucho que nos creamos, todavía no ha trascendido al mundo real? ¿Es en realidad un coto exclusivo del ámbito empresarial y público? No lo tengo nada claro...

Después de la reflexión anterior cualquiera pensaría que dentro del propio entorno corporativo las dudas anteriores ya están disipadas, pero me temo que tampoco es tan sencillo. ¿Cuántos responsables de informática tienen claro qué hacen "de verdad" los nuevos productos de seguridad que salen al mercado? ¿Cuántos directores de sistemas saben exactamente qué pueden esperar de los servicios que les está vendiendo la consultora de turno? El marketing ha inundado el mercado de tantas "suites", "global services", "advanced security solutions" y demás términos abstractos y rimbombantes que eso de saber qué es lo que puedes esperar exactamente de tus proveedores en materia de seguridad se ha comvertido en poco menos que una utopía. Por eso me gusta tanto la nueva taxonomía de soluciones de seguridad TIC que ha sacado INTECO, ya que supone una clasificación clara y fácil de entender de los distintos productos y servicios de seguridad que se pueden encontrar en el mercado. Una buena ayuda para traducir la jerga comercial de nuestros proveedores a un lenguaje más claro y sobre todo más uniforme, que nos permita conocer en qué ámbito trabajan las soluciones que nos ofrecen y nos sirva de ayuda a todos los que pertenecemos al mundillo de la seguridad para contar un poco mejor a qué nos dedicamos, que en el fondo es lo que prima en las comidas familiares...

11 enero 2010

Aprobado el Esquema Nacional de Seguridad

El pasado viernes 8 de Enero el consejo de ministros aprobó el Esquema Nacional de Seguridad, cuya publicación definitiva la veremos los próximos días en el BOE. Una gran noticia para todo el sector, como ya he comentado en algunas ocasiones.

07 enero 2010

Año nuevo, misma vida

Pues sí, ya estoy de vuelta. Entre un final de año estresante y las vacaciones de por medio, la verdad es que he tenido el blog bastante desatendido. Así que, teniendo en cuenta que para el año entrante toca hacer buenos propósitos, el mío va a ser el de publicar más a menudo. Que vistos los pobres procedentes, puede que no sea muy complicado, todo hay que decirlo...

Más allá de estos propósitos de año nuevo, la verdad es que nuestro mundo no tiene pinta de haber cambiado mucho por el cambio de década. "La vida sigue igual", que diría la canción. Aunque la verdad es que parece que el año nuevo promete traer más noticias de seguridad de las habituales, al menos si miramos la fecha y analizamos las que han surgido en estos días. Entre el ataque a la web de la presidencia española de la unión europea, el efecto 2010 y el clásico debate entre seguridad y privacidad llevado al mundo físico, la verdad es que parece que en 2010 vamos a seguir teniendo noticias de las que hablar. ¿Alguien se apunta?

Feliz año nuevo!