Auditorias, Informes, ISO…


Parece que esta semana viene fuerte y con muchas cosas que hacer como viene siendo costumbre.
Pues bien, en mi empresa ya me auditan la FASE II, de la ISO 27001. El camino ha sido corto pero muy intenso. Implantar todas las medidas de seguridad necesarias acordes a la politica de seguridad por una lado. Por otro documentar todas las acciones de mejora y preventivas que vamos a implantar para disminuir nuestro nivel de riesgos, algo correspondiente a nuestro análisis y gestión de riesgos. Y por otro documentar todo lo habido y por haber. Documentación y formalización de multitud de documentos.
Espero no tener sorpresas y después de todo el gran trabajo realizado salir airosos del trance.

Tendremos reunión las personas del alcance , la dirección, asi como el CSI ( comité seguridad de la información ) para afrontar la auditoria externa con la mejor garantía. Y a todo esto unimos otros trabajos diarios del día a día como son 8 consultorias y 2 auditorías de LOPD que estoy realizando simultaneamente.

Y a destacar para el fin de la semana ( Viernes tardes y sabado mañana ) un curso que organiza la ALI en Madrid de “Peritajes y dictámenes Informáticos”, así como pautas de análisis forense al que creo que no podía faltar. Aunque los horarios no acompañan la verdad. Es un curso de 32H que me va a traer de cabeza durante más de un mes.

Desde aquí tirar de las orejas algun informatico ( ese Alberto…) conocido que no se ha atrevido finalmente a apuntarse por falta de tiempo y estar desarrollando una aplicación que lo trae de cabeza.

Para más información entra en la web de la ALI.

Ver temario aquí

Anuncios

Bueno, ante todo decir que ultimamente he posteado en el blog, entre otras cosas por la implantación de un SGSI ( Sistema de Gestión de Seguridad de la Información ) en mi empresa actual.

Hace algún tiempo ( mucho más corto de lo que imagináis ) fui la persona escogida para lidera el proyecto de diseño , implantación y puesta en marcha de un SGSI. El Objetivo de este SGSI es certificarlo bajo la norma ISO 27001.

Deciros, que estos proyectos suelen ir de tiempo bastante mal, sobre todo porque siempre surgen prisas, las fechas no cuadran y hay que dedicar un tiempo mucho menor del que se debería.

Estamos terminando de aprobar distintos documentos asociados a las normas, así como la definición de procedimientos técnicos y operativos adscritos a cada norma. Por fortuna , nuestras instalaciones y concienciación así como la sensibilidad con la seguridad ha agilizado muchos procesos. El problema viene en la documentación y las metodologías unido a la disponibilidad y tiempo a emplear.

Muchas cosas se hacen de palabra, porque se conocen , porque siempre se ha hecho así, porque Pepito lo dice… en fin.

Estas cosas cuando uno va a certificar su sistema no sirve. Hay que documentar el detalle, hay que optimizar, diseñar y esto implica un gran esfuerzo y dedicación por parte de todos. Sobre todo para los miembros del CSI ( Comite de Seguridad de la INformación)., al que pertenezco como Responsable de Seguridad y de la Información.

Con el tiempo iré detallando algunas de las partes que he pasado para implantar el SGSI, como son el inventario de activos , el analisis de riesgos y su gestión, las normas de inventariado, uso de activos, y sobre todo el plan de contigencias y planes de pruebas.

Pasada la auditoria explicaremos en que hicieron foco, que pruebas se hicieron y al nivel de detalle que se llegó para la obtención de la certificación….

ardiendo

Parece que más allá de la redundancia están los planes de contigencias. Dentro del entorno empresarial (pyme) se adquieren servidores con disco duros en raid, fuentes de alimentacion redundantes, bases de datos replicadas en distintos servidores, replicaciones entre servidores, clusters y diversas tecnologías para ofrecer continuidad.

Realmente estamos “acostubrados” a un fallo de disco , un servidor, una placa base rota, incluyendo una base de datos corrupta e incluso un fichero de una maquina virtual corrupta ( esto ya es menos habitual, pero pasa..). A todo esto añadir los posibles riesgos de ataques, robos de datos, etc.. Lo que quiero decir es que estamos ante una problematica con la cual tenemos que luchar, pero al igual que en el campo de la seguridad , hay que tener en cuenta todos los frentes. Como el agua, siempre se encuentra un resquicio por el cual se acaba colando.

La verdadera continuidad no se consigue con redundancia sino con un diseño y elaboración de un plan de contingencias. Para asegurar una continuidad de nuestros sistemas de información debemos estudiar todos los posibles riesgos, analizarlos, cualificarlos y cuantificarlos.
En la mayoria de las ocasiones se estudian los riesgos, pero no se analizan los tiempos de parada, la evaluación de los daños, el coste y el daño a la imagen de la empresa. A su vez en pocas ocasiones es analizan los tiempos minimos para reanudar el negocio de nuevo. Todo esto debemos intentar delimitarlo en tiempo y forma para tener un “plan B”.

Cierto es que muchas veces se habla de entornos de pruebas, pero todos sabemos que el campo de batalla esto es muy dificil de llevar a cabo, porque entre otras cosas, no podemos poner en marcha una infraestructura global paralela como la que tenemos en la actualidad.
Comprendería maquinas, software, comunicaciones, bases de datos, personal necesario y un complicado puzzle del cual debemos tener todas las piezas para poder componerlo.

Definir, crear y mantener planes de contingencias en la Pyme será comprendido como algo indispensable en el entorno empresarial. Desastres, robos de información, perdidas de datos, averías Hw y “Sw” y un largo analisis de riesgos previo nos llevará a contemplar la eleboración de un plan de contingencias asumible y real de forma operativa en tiempo y costes.

La implantacion de las ISO de la familia 27000 nos ayudarán en gran medida ante el reto que se presenta cada día. Asegurar el servicio y la continuidad.

huella
En mi dia a dia me encuentro distintas empresas en las cuales me explican que ya les hicieron en su día la adaptación de su empresa para cumplir ley de protección de datos. Pues bien, la verdad es que uno se encuentra de todo. Desde empresas de auditores , abogados, consulting , informática, hasta empresas que lo hacen por ellas mismas lo cual es muy respetable.
No deja uno de ver adaptaciones muy pobres y en muchas ocasiones muy caras. Dentro de la ley se muestra una parte legislativa, una parte jurídica y una parte técnica.

Lo que si ha aprendido “todo el mundo” es a realizar el alta de los ficheros de datos de la Agencia de protección de datos y a realizar un documento de seguridad ( a cada cual peor…). Pero lo que no todo el mundo parece tener muy claro es una parte jurídica que a mi juicio es igual ó mas importante que la parte legislativa y que además puede ser nuestra salvación ante denuncias de terceros.
El deber de información a empleados, clientes, clausulas y contratos con terceros, encargados de tratamiento, cesiones autorizadas y una extendida problemática a la cual parece no darse ninguna importancia.
Caso a parte es la implantación de las medidas de seguridad acordes al nivel de clasificación de nuestros ficheros ( bajo, medio , alto).
Rara vez se explican, se detallan, y mucho menos se implantan. Cierto es que muchas son dificiles de cumplir en determinados entornos, pero no menos cierto es que es triste ver como en gestorias y asesorías cirulan nuestros datos en papeles de una mesa a otra, o cualquier becario puede acceder a software y bases de datos sin ningun tipo de restricción y control.

La verdad es que esto de la LOPD se está convirtiendo en un mercadillo, ·” Oiga yo le hago la LOPD por X … €uros !! , ” pues yo se la hago por Y €uros oiga y además online!!… En fin, lo que mas me impresiona son las adaptaciones mediante internet a traves de tristes formularios, sin conocer empresas del grupo, cesiones, marketing, comunicaciones, sistemas de control de presencia, videovigilancia, y una largo etc..

Aunque parece que todo vale con tal de facturar al cliente y vender, aunque se venda muy mal. Trites y pobres adaptaciones a la LOPD… , en fin, parece que es lo que hay.

costes

Estamos en el 2009 y como en tantas facetas de las empresas, un gran desconocido es la impresión.
Sí, claro sabemos lo que es una impresora, una multifuncional, monocromo – color…. si si , todo controlado…

Pensemos por un segundo:

– Dentro de nuestro parque de impresoras y multifuncionales ó copiadoras muchas empresas instalan una multifuncional con empresas que venían de la reprografía ( Canon, Ricoh, Kyocera, Konica Minolta….) y consiguen fijar un coste por copia / página tanto en negro como en color. Aquí la empresa pelea precio y ya está , tenemos controlados los costes… Nada más lejos de la realidad.

– Aquí tendriamos que ser conscientes y analizar:
* Todo el parque dispone de un coste por copia?
* Tenemos un control de acceso a las maquinas de color ?, contadores por usuario, control de impresión?
* Tenemos herramientas de integracion con nuestra infraestructura informática.
* Tenemos un software incorporado en las maquinas multifuncionales?. ( integracion con Active Directory, LDAP, etc..)
* Hemos estudiado los tiempos de respuesta fijados por el S.A.T ?, tenemos disponibilidad de piezas en averías?
* Hemos analizado costes ocultos de piezas ó servicios que no entran en los mantenimientos ?. ( rotura pieza plástico, fusores que se consideran consumibles, botes de toner residual….)
* tenemos fijada una politica de gestion de residuos en toner, consumibles ó esto tiene otro coste asociado?
* Las impresoras , fax, multifuncionales y todos los dispositivos de impresión cuentan con un mantenimiento y centralizado en un proveedor?
* Estudiamos y tenemos herramientas para analizar el % de cobertura de nuestras impresiones?. Tal vez nos condicione el precio del mantenimiento, consumibles ? . Esto puede influir muy directamente en nuestro coste por página.
* Se planifica un plan renove de nuestras máquinas?
* Se ha evaluado el consumo eléctrico en la compra de estas máquinas ?.
* Stockamos consumibles ? . Evaluamos este coste ?
* Nos facturan el uso del escáner aparte?

Como véis hay multitud de preguntas y estoy seguro que pocas respuestas son afirmativas. La realidad es que muy pocas empresas controlan sus costes de impresión y muchas de ellas que creen que lo controlan desconocen los costes ocultos y tecnologias que hay en el mercado . La principal respuesta de los clientes es : No tengo tiempo para esto.

En fin, espero que os haga reflexionar el artículo y estudies en vuestras empresas , una olvidada, la impresión…

Cuando haces una auditoría de impresión, siempre hay grandes sorpresas.

Y bueno, para otro día, hablamos de Gestión Documental asociada a estos dispositivos.

iso

Ultimamente he leido distintos informes avalando el gran aumento de las empresas españolas que han implantado la iso 27001 correspondiente al Sistema de Gestion de Seguridad de la Información. En concreto tenemos 93 empresas en comparacion con Alemania, con un nivel de 135.

La verdad es que en mi opinión llegaremos a un número X de empresas y nos costará mucho sobrepasarlo. Nuestro tejido empresarial de autónomos , micropymes y pymes actualmente tienen una madurez en tecnologías de informacion que deja mucho que desear. Cada día veo como muchas empresas que aún apenas hacen copias de seguridad, no tienen clave en sus pcs, no saben lo que es un servidor y un largo etc..

Es cierto ,que muchas (cada vez muchas mas) , sobre todo pymes utilizan un ERP ó software de gestion específico, con su informacion centralizada, backups y demás. Pero, hay un control de acceso a la informacion real?, hay una minima preocupacion por la seguridad y salvaguardia de los datos?, alguien se ha sentado ” 2 minutos ” a diseñar un plan de contingencias ante desastres, tenemos estudiado y planificado un plan de desastres y puesta en marcha?, auditamos nuestros sistemas y aplicaciones de gestion/produccion?, estamos protegidos de ataques internos? Ciertamente , NO.

Estamos ante un mercado y tejido empresarial que actua poco ó muy poco por salvaguardar sus sistemas de información. Eso sí, si preguntas a alguien sobre, ¿Que politicas de copias de seguridad sigue la empresa ?, ¿ hay un metodo de restauracion definido tanto en proceso, tiempo y forma? , el acceso a los backups es restringido, protegido, encriptado?, . Cuando hablamos de estas cosas empiezan las sorpresas.

De ahí que esta implantaciond de la iso 27001 se de en multinacionales , gran empresas y mercado maduro. Pero la realidad de la mayoría está lejos de estos pensamientos, lo cual es triste.

Espero que entre todos los que trabajamos en I.T podamos hacer ver el verdadero valor de los Sistemas de Seguridad de la Información y realmente protegan el verdadero activo de la empresa: LA INFORMACIÓN.

ladron-robando
Actualmente he leido la siguiente noticia:
” Ha habido otra brecha de seguridad en Monster.com. Lo sorprendente es que todavía guarden contraseñas sin cifrar en una base de datos después del último ataque, así como la decisión de no enviar un email a los usuarios (supuestamente para que no haya quejas). “Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (…) ”

Leer noticia completa

Aquí me pregunto realmente para que sirve realmente la legislacion actual en protección de datos. Hoy por hoy definimos un responsable de ficheros de datos , un encargado del tratamiento e incluso un responsable de seguridad ( que ante un fallo de la seguridad, el responsable ultimo sigue siendo el responsable del fichero) . Me pregunto si todo esto sirve para algo cuando se vulnera la seguridad, se explota un “bug” de una base de datos, etc.. Ante algo tan clamoroso como dejarse robar una base de datos ( todo puede pasar en hacking… ) , lo increible es que nadie obligue y por supuesto analice y compruebe que los datos y las copias de seguridad no tengan encriptación y control de acceso. Porque hoy por hoy el acceso a la informacion de forma encriptada ( ojo , el acceso no la informacion ) debe hacerse en ficheros con seguridad alta. Por supuesto, no los datos de miles de candidatos a un puesto de trabajo.
Triste pero cierto, la verdad es que parece que la indefension de los usuarios , cada vez es más patente , eso sí las revisiones ( hace unos meses ) de la Ley Orgánica de Protección de Datos creo que de pocon van a valer. Eso sí , puntualizan y aclaran puntos sobre la ley anterior.
Lo peor es que veremos muchos más casos como estos y más graves, eso sí , siempre encontraremos a un responsable de un fichero al que “cortar la cabeza” aunque los datos ya estén vendidos, tratados, traspasados…..

Página siguiente »