Gobierno TI – InfoSecMan Blog http://blog.infosecman.com Aquello que no te mata... debería hacerte más fuerte ;) Fri, 07 Jun 2013 23:15:59 +0000 en-US hourly 1 https://wordpress.org/?v=4.5.3 Nace el Centro de Ciberseguridad Industrial (CCI) http://blog.infosecman.com/2013/03/05/nace-el-centro-de-ciberseguridad-industrial-cci/ http://blog.infosecman.com/2013/03/05/nace-el-centro-de-ciberseguridad-industrial-cci/#respond Mon, 04 Mar 2013 23:23:49 +0000 http://blog.infosecman.com/?p=3115
Muchos sois los que durante estos últimos años me habéis oído “predicar” una y otra vez sobre la necesidad de impulsar la Ciberseguridad Industrial; el camino que otros países (principalmente de habla inglesa) ya habían recorrido por delante de nosotros, los hispanohablantes; la necesidad de iniciativas de formación, concienciación y divulgación específicas en este ámbito para que todos los actores de la industria, usuarios finales, fabricantes, ingenierías, consultoras, asociaciones y como no, la propia administración, den la importancia necesaria a este campo de la Ciberseguridad que tanto afecta a nuestras infraestructuras, a nuestros servicios esenciales y por tanto a nosotros, los ciudadanos, a nuestra sociedad.
Durante todo este tiempo hemos tenido valiosos compañeros de viaje en el estudio de lo que sobre este tema se hacía no ya en nuestro país y en el ámbito iberoamericano, sino a nivel internacional. Aquí, el primer y mayor agradecimiento debe ir sin lugar a dudas para Intermark, que fueron los primeros en creer en nuestras preocupaciones y en apoyarnos en este camino de “descubrimiento” y que, como todos sabéis, es quien nos ha “pagado la nómina” todos los meses de los últimos 5 años (para tranquilidad de nuestras familias :)).
Además, también hemos tenido otros colegas que han aportado mucho a nuestro avance con su apoyo y sus ánimos de distinto tipo desde otras asociaciones y organismos: ISA España, PESI, ISACA, ISMS Forum,  INTECO, CNPIC, CDTI, EnergySec, NESCO, CPNI.NL, ICS-ISAC y muchos más que nos dejamos en el tintero.
No podemos olvidarnos de algunos de nuestros clientes, que más que clientes han sido socios, compañeros y amigos, como las ingenierías Técnicas Reunidas, TSK, Initec o Sener, entre otros y sin lugar a dudas, todos nuestros alumnos de los Cursos de Ciberseguridad Industrial y Protección de Infraestructuras CríticasAmper, ATI Sistemas, CEPSA, Empre, Enagas, Endesa, Services Global Energy Services, S21sec, Iberdrola, Applus+, Nuclenor, Repsol, Tecnatom, Técnicas Reunidas, Yokogawa, Tenocom, GMV, CLH, Siemens, Initec, Ineco, Serem, AENA, Metro de Madrid, Thyssenkrupp, Industrial Química del Nalón, Los Alamos, TSK… y muchos más (seguro que se me olvida alguno, os debo una cerveza ;)).
Otros de nuestros grandes “aprendizajes” tuvieron lugar el 10 de Octubre pasado (día de mi Santo, por cierto) en el que, conjuntamente con Logitek, otros buenos amigos, organizamos el 1er Congreso Español de Ciberseguridad Industrial (vaya desde aquí el agradecimiento a los más de 130 asistentes), y en Septiembre y Noviembre pasado cuando fui invitado y tuve oportunidad de impartir ponencias, workshops y actuar como chairman en los eventos Cybersecurity for Energy & Utilities Qatar 2012  y el Oil & Gas Cybersecurity Summit en Londres, respectivamente.
Finalmente, el mayor agradecimiento y principales pilares para presentaros lo que a continuación viene, no son otros que mi familia: mi mujer Yuly, mis 2 preciosidades de hijas y por supuesto mis padres (por si lo leen, voy a incluir también a mis suegros ;)). Todos ellos/as han soportado muchas noches, fines de semana y fiestas de trabajo que, como una semilla que se planta y ahora comienza a brotar, espero que conviertan en algo positivo para todos nosotros.
Como veis hablo en primera persona del plural: Nosotros. Esto es porque realmente, lo que viene a continuación es obra de un gran equipo trabajo, pero sobre todos unos grandes amigos: Nacho Paredes, José Valiente y el que escribe. Profesionalmente, mi mayor agradecimiento va para ellos. Cuando el brote de la semilla haya crecido y se haya convertido en un árbol frondoso y saludable que ofrezca una sombra agradable, esto habrá sido obra de los tres. Siempre hay algunos que aparecemos más en los medios, o somos más extravertidos, o se nos conoce más, pero sin uno solo de nosotros, esto no habría sido posible. Aquí estamos amigos. El día D ha llegado 🙂
Al tema!
Es obvio que llevamos mucho tiempo inmersos en el mercado de la Ciberseguridad Industrial y hemos estado analizando en detalle los distintos actores en este ámbito, cuáles son las necesidades en nuestro país para conseguir que se vaya avanzando, y distintos casos de éxito (y fracaso) en otros países de Europa y en Estados Unidos.

Tras todo este tiempo, hemos llegado a la conclusión de que es totalmente necesario un nuevo actor en nuestro entorno: una organización realmente independiente y sin ánimo de lucro que se encargue de impulsar la Ciberseguridad Industrial en español.

Por ello, hemos (Jose Valiente, Nacho Paredes y yo) creado el Centro de Ciberseguridad Industrial: CCI. Un centro independiente (aprovecho para anunciar que, evidentemente, para que sea así, nos desvinculamos totalmente de Intermark en las próximas semanas) y sin ánimo de lucro, con la misión de impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica, desarrollando actividades de análisis, desarrollo de estudios e intercambio de información que permita dinamizar y acelerar el mercado de la ciberseguridad industrial de verdad.
En estos momentos está comenzando a crecer y el próximo 1 de Junio comenzará su actividad al 100% de rendimiento.

Es el primer centro de estas características que nace desde la industria y sin subvenciones por delante. Por ello hemos desarrollado un modelo basado en miembros y patrocinadores.

Ya hemos presentado el centro a algunos usuarios finales, consultoras, fabricantes e ingenierías cercanas, además de por supuesto a algunos organismos relevantes en este ámbito del gobierno español y contamos con todo su apoyo.

Creemos que es la única forma de dinamizar el mercado de forma adecuada, y nos gustaría contar con la mayor representatividad del mercado, por lo que desde ya estáis todos invitados a inscribiros como miembros en el mismo.
Para ello, planteamos varias categorías de membresía: para los “Miembros Básicos” (incluimos aquí también los miembros individuales), será gratuita, favoreciendo la máxima representatividad de la industria en el CCI y la “universalidad” del mismo. Otra opción es la de los “Miembros Activos”, que tendrán una cuota anual, dependiendo su carácter de: usuarios finales (400 euros), proveedores (500 euros) y ámbito académico (300 euros) y la opción de “Subscripción Anual” (2000 euros), que permitirá a los “Miembros Activos” recibir todos los documentos y entregables que se generen sin coste adicional además de acceder sin coste a todos los eventos que organice el Centro (incluyendo el Congreso Iberoamericano anual).
Generaremos 5 documentos en 2013 que distribuiremos en formato borrador para su revisión, modificación, propuesta de cambios, incorporaciones, etc. a todos los miembros activos: “Mapa de Ruta de la Ciberseguridad Industrial en España”, “La Protección de Infraestructuras Críticas”, “Estado de la Ciberseguridad Industrial en España”, “Plantilla de Procedimiento de Incorporación de Sistemas Industriales a la Organización” y  “Requisitos de Ciberseguridad para Proveedores de Servicios”.

Organizaremos 5 eventos en 2013: 4 eventos de “La Voz de la Industria” en los meses de Junio, Septiembre, Noviembre y Diciembre y el “Congreso Iberoamericano de Ciberseguridad Industrial” que tendrá lugar en Octubre de este año.

El Centro de Ciberseguridad Industrial (www.cci-es.org) aspira a convertirse en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito. Para ello, crearemos Grupos de trabajo sectoriales y temáticos, centrados en los aspectos de ciberseguridad de una área industrial determinada o en una cuestión concreta. Previsiblemente, comenzaremos con los sectores de Energía, Químico, Agua y Transporte, siempre supeditado a la demanda de los miembros.
Todos aquellos miembros y patrocinadores que se subscriban antes del 31 de mayo, serán considerados patrocinadores y miembros fundadores y podrán utilizar esta denominación en todos sus materiales.
En todo caso, amigos y amigas, el éxito de esta iniciativa depende principalmente de vosotros. Por nuestra parte, los que nos conocéis sabéis que lo que podemos aseguraros es que pondremos todo nuestro conocimiento, tiempo, experiencia y alma en conseguir que el Centro salga adelante y sea lo que estamos predicando (por nuestro propio bien, por otra parte, puesto que pasamos a dedicarnos al 100% al mismo arriesgando nuestra carrera y reputación profesional, y también personal… en confianza, y con perdón, estamos poniendo “los huevos encima de la mesa”… esperemos que nadie nos los “machaque” :-P).
Tras este “testamento”, no me queda ya más que agradeceros de forma adelantada vuestro apoyo al CCI y emplazaros a que nos sigáis a través de nuestra cuenta twitter @info_cci, descarguéis más información sobre la iniciativa desde su web provisional www.cci-es.org (hasta que publiquemos la definitiva con espacios de colaboración el próximo 1 de Junio, etc.) y por supuesto, nos hagáis llegar todos vuestros comentarios, críticas, felicitaciones y sobre todo, subscripciones a info@cci-es.org 😉
Como dice mi amiga Annemarie Zielstra, es momento de liderar desde el ejemplo (“leading by doing”) y es lo que tenemos la oportunidad de hacer todos nosotros. En lugar de quedar esperando a que algo cambie, cambiémoslo. 
Nosotros hemos puesto la semilla, la cuidaremos, regaremos y trataremos con mimo, pero necesitamos vuestra agua, vuestro sol y vuestro calor para que crezca y se convierta en ese árbol saludable y frondoso. Gracias desde ya por vuestra ayuda!
]]>
http://blog.infosecman.com/2013/03/05/nace-el-centro-de-ciberseguridad-industrial-cci/feed/ 0
Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas http://blog.infosecman.com/2011/12/13/primer-curso-de-ciberseguridad-en-entornos-industriales-y-proteccion-de-infraestructuras-criticas/ http://blog.infosecman.com/2011/12/13/primer-curso-de-ciberseguridad-en-entornos-industriales-y-proteccion-de-infraestructuras-criticas/#respond Tue, 13 Dec 2011 17:54:21 +0000 http://blog.infosecman.com/?p=420 Llevaba ya tiempo intentando coordinar un curso en el que poder tratar los temas que tanto me interesan desde hace tiempo y que en el pasado reciente, han comenzado a interesar y aparecer hasta en los medios generalistas: Stuxnet, los ataques a Infraestructuras Críticas, la Ciberseguridad de los Sistemas de Control Industrial, etc.

Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

Día 1

 

9:00-9:30

 Bienvenida, presentaciones individuales, etc.

9:30-9:50

 Introducción

9:50-10:20

 Términos y Conceptos Generales

10:20-11:20

 Estado del Arte Internacional

11:20-11:45

 Descanso/café

11:20-12:20

 Relación entre Protección de Infraestructuras Críticas y Ciberseguridad Entornos Industriales

12:20-12:40

 Trabajo en Grupo/Discusión: aplicación Stuxnet otros entornos (uno por sector)

12:40-13:40

 Aproximación a los Sistemas de Control Industrial

13:40-14:00

 Trabajo en Grupo: Identificación Sistemas Control Industrial

14:00-15:30

 Comida

15:30-16:30

 Vulnerabilidades y Amenazas de los Sistemas de Control Industrial

16:30-17:00

 Trabajo en Grupo: Análisis de un Caso Práctico (Identificación Vulnerabilidades, contramedidas, etc.)

17:00-18:00

 Situación Actual de la Ciberseguridad en los Entornos Industriales

Día 2

9:00-9:15

 Bienvenida y resumen día anterior

9:15-9:45

 Aspectos Organizacionales y de Gestión

9:45-10:15

 Diatnóstico de la Ciberseguridad en los Entornos Industriales

10:15-10:30

 Trabajo en Grupo: Discusión sobre el diagnóstico presentado

10:30-11:00

 Descanso/café

11:00-12:30

 Estándares Aplicables

12:30-14:00

 Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Ciberseguridad

14:00-15:30

 Comida

15:30-16:30

 Trabajo en Grupo: Caso Práctico y Desarrollo y Presentación por equipo del Esquema Plan de Seguridad

16:30-16:45

 Café y preparación presentaciones

16:45-17:45

 Presentación por equipos (10 minutos por equipo) del Programa de Ciberseguridad o Protección y Discusión pública

17:45-18:00

 Presentación Hands-On Lab a desarrollar al día siguiente

Día 3

 

9:00-9:30

 Bienvenida y Presentación Taller Práctico HOL (Hands On Lab)

9:30-11:00

 Taller y Actividades Prácticas

11:00-11:30

 Descanso/café

11:30-14:00

 Taller y Actividades Prácticas

14:00-15:30

 Comida

15:30-17:00

 Taller y Actividades Práctica

17:00-17:30

 Conclusiones y Cierre del Curso

 

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

 

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

]]>
http://blog.infosecman.com/2011/12/13/primer-curso-de-ciberseguridad-en-entornos-industriales-y-proteccion-de-infraestructuras-criticas/feed/ 0
¿Y el Factor Humano?: Plan de Conciencia(ción) en Seguridad http://blog.infosecman.com/2010/11/15/%c2%bfy-el-factor-humano-plan-de-concienciacion-en-seguridad/ http://blog.infosecman.com/2010/11/15/%c2%bfy-el-factor-humano-plan-de-concienciacion-en-seguridad/#comments Mon, 15 Nov 2010 20:51:52 +0000 http://blog.infosecman.com/?p=308 Creo que ya he repetido hasta la saciedad aquí, a mis amigos, a mis clientes, en mis ponencias, etc. que los mayores problemas que siempre me he encontrado y me encuentro en cualquier proyecto (y en los de seguridad especialmente) están siempre localizados “entre el teclado y la silla”. Las personas son siempre el eslabón más débil de esa cadena que es la seguridad y de la que todos los que nos dedicamos a esto intentamos tirar incesantemente.

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo 😉 ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:

  • – Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
  • – La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
  • – ¡Comunica, comunica y comunica!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

 

 

 

]]>
http://blog.infosecman.com/2010/11/15/%c2%bfy-el-factor-humano-plan-de-concienciacion-en-seguridad/feed/ 1
El Comité de Asturias de itSMF España comienza su andadura http://blog.infosecman.com/2010/11/12/el-comite-de-asturias-de-itsmf-espana-comienza-su-andadura/ http://blog.infosecman.com/2010/11/12/el-comite-de-asturias-de-itsmf-espana-comienza-su-andadura/#respond Fri, 12 Nov 2010 08:53:58 +0000 http://blog.infosecman.com/?p=311 Por razones obvias, permitidme que me haga eco de la noticia e incluya la nota de prensa asociada. Sois todos (y todas) bienvenidos/as, evidentemente! 🙂

Por iniciativa de cuatro empresas asturianas, despegará el proceso de constitución del comité regional de itSMF España, comunidad mundial de referencia para compartir prácticas en el gobierno y gestión de servicios de las Tecnologías de la Información (TI). Este comité asturiano nace con varios objetivos: ser la referencia local en la gestión de servicios de TI, difundir conocimientos especializados en la región y conectar Asturias con los líderes mundiales en gestión informática.

Las empresas asturianas promotoras de esta iniciativa son ProactivaNET®, única herramienta española de gestión integral de servicios de TI, Intermark Tecnologías, especializada en consultoría en gobierno de TI y dos compañías punteras en la gestión de TI: Central  Lechera Asturiana (CAPSA) y Duro Felguera.

Uno de los primeros objetivos de este comité será incorporar nuevos participantes. Están invitadas a participar especialmente, aquellas organizaciones que quieran extender el concepto de excelencia empresarial al ámbito de las nuevas tecnologías y además incorporar las nuevas prácticas recomendadas por los expertos internacionales de itSMF. Alejandro Castro, coordinador del grupo de interés y futuro comité regional de itSMF España afirma: “este comité aspira a ser la referencia local en el gobierno y gestión de las TIC a través de un foro especializado en el que poder compartir información, experiencias, mejores prácticas y casos prácticos con las empresas de referencia a nivel internacional”. Con la creación de este comité se pretende también proporcionar más recursos a los profesionales de la región para mejorar su capacitación, acercando a Asturias todo tipo de actividades de formación o de intercambio de conocimiento relacionadas con la gestión de servicios de TI. Asimismo, podrán formar parte activamente en los foros y mesas de debate organizados por itSMF España con profesionales que están liderando la evolución internacional de las TI.

La presentación oficial del grupo de interés y el lanzamiento de la constitución del comité tendrá lugar en el V Congreso Nacional itSMF España los días 15 y 16 de noviembre en Madrid, donde se presentará el proyecto y las actividades planificadas para el año 2011.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

]]>
http://blog.infosecman.com/2010/11/12/el-comite-de-asturias-de-itsmf-espana-comienza-su-andadura/feed/ 0
El CISO: Algunas Recomendaciones http://blog.infosecman.com/2010/10/29/el-ciso-algunas-recomendaciones/ http://blog.infosecman.com/2010/10/29/el-ciso-algunas-recomendaciones/#respond Fri, 29 Oct 2010 08:35:14 +0000 http://blog.infosecman.com/?p=296 Y finalizo ya esta serie dedicada al CISO con algunas recomendaciones y hábitos que el CISO debería tener muy en cuenta … para su supervivencia 😉

– Aprovechar sus puntos fuertes
– Entender sus limitaciones
– Rodearse y relacionarse de gente de alto nivel
– Tener siempre el equilibrio entre el éxito del equipo y las pérdidas personales
– Crear y mantener una visibilidad importante dentro de la organización
– Hacer las cosas importantes primero
– Entender los canales de comunicación de su organización
– ¡Disfrutar de su trabajo!
– Mantener una “lucha” continua por la causa
– Nunca darse por vencido
– Lograr el apoyo de la dirección considerando el impacto de los planes de seguridad. Orientarse a la estrategia, en lugar de a la operación.
– Personalizar la seguridad orientándose a la necesidad de toda la organización acomodando los modelos, procesos y arquitecturas de forma segura.
– Definir las responsabilidades de cada información, cada servicio, cada proceso y cada sistema.
– Establecer modelos de decisión, donde se definan claramente los roles y responsabilidades de cada integrante del modelo.
– Proporcionar alternativas de solución.
– La seguridad debe tener en cuenta mucho a las personas de la organización, colaboradores y clientes, debería intervenir en los procesos de contratación de recursos humanos, su capacitación y conciencia permanente.
– Contemplar la seguridad como un proceso de mejora continua.

Y vosotros CISO, ¿cuál de todas estas cualidades creeis que es la más importante?

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

]]>
http://blog.infosecman.com/2010/10/29/el-ciso-algunas-recomendaciones/feed/ 0
El CISO: Atributos http://blog.infosecman.com/2010/10/22/el-ciso-atributos/ http://blog.infosecman.com/2010/10/22/el-ciso-atributos/#respond Fri, 22 Oct 2010 11:08:32 +0000 http://blog.infosecman.com/?p=293 Continuando con la serie sobre el CISO, hoy os incluyo algunos atributos que bajo mi punto de vista debe tener un CISO y que en buena parte he sacado de una presentación que se impartió hace un par de años en ISMS Forum.

He aquí sus atributos (mm… suena un poco extraño, aunque de esos también tiene que tener ;)):

Honesto Integro Comunicativo
Apasionado Jugador de Equipo Político
Con Sentido del Humbor Líder Negociador
Intérprete Agente para el cambio Gestor de Proyectos
Integrador Estratega Tenaz
Futurista Evangelista Gestor de la Tecnología
Buen Burócrata Excelente Creador de Políticas Policía
Experto Legal Persona del Negocio …e incluso, Ingeniero de Seguridad

La próxima y última entrega contendrá algunas recomendaciones para los CISOs … 🙂

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

]]>
http://blog.infosecman.com/2010/10/22/el-ciso-atributos/feed/ 0
El CISO: Responsabilidades y Funciones http://blog.infosecman.com/2010/10/16/el-ciso-responsabilidades-y-funciones/ http://blog.infosecman.com/2010/10/16/el-ciso-responsabilidades-y-funciones/#comments Sat, 16 Oct 2010 14:22:57 +0000 http://blog.infosecman.com/?p=290 Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.

El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.

El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.

Responsabilidades y Funciones

– Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.
– Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo.
– Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.
– Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.
– Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.
– Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.
– Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.
– Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.
– Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.
– Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.
– Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.
Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación. (Actualización: errata de “copy & paste”, ver comentarios más abajo 🙂 )
– Desarrollar el plan operativo anual del área de seguridad.
– Formular el presupuesto anual de la unidad y evaluar su ejecución.
– Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.
– Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios.
– Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.
– Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.
– Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.
– Supervisar los incidentes relativos a la seguridad.
– Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio.
– Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

El próximo día, los Atributos de un CISO…

… por cierto, me he incorporado al mundo “tweety” 🙂 Si os apetece seguirme: http://twitter.com/infosecmanblog

]]>
http://blog.infosecman.com/2010/10/16/el-ciso-responsabilidades-y-funciones/feed/ 3
Negocio y TI (II) http://blog.infosecman.com/2010/07/09/negocio-y-ti-ii/ http://blog.infosecman.com/2010/07/09/negocio-y-ti-ii/#respond Fri, 09 Jul 2010 12:43:14 +0000 http://blog.infosecman.com/?p=278 Continuando con lo que comentaba en el último post, os incluyo a continuación algunos enlaces que me parecen interesantes para complementar el tema:

  1. El primero, es una discusión en el grupo “Gestión de Valor de las Inversiones TI” que trata este tema y en la que bajo mi punto de vista se comentan temas muy interesantes. Echas un vistazo aquí.
  2. El segundo, un post en el Blog de Mónica Mistretta en el que detalla los resultados de una sesión de alto desempeño con 8 CIOs de importantes empresas mexicanas con algunas conclusiones interesantes.
  3. En tercer lugar, una “captura de discusión twittera” entre amigos mostrada por Antonio Valle en su Blog “Gobierno de las TIC”. El mismo problema visto casi casi tomándose unas cañitas, pero con temas de fondo también interesantes.
  4. Y finalmente, el cuarto, un estudio publicado por KPMG: “From cost to value: 2010 global suvey on the CIO agenda” con conclusiones y datos muy interesantes, entre ellos: las TI ya no van a ir más sobre reducción de costes, sino sobre la creación de valor. Imprescindible el “Management Summary” de una página (página 5).

Seguiremos informando 🙂 Buen fin de semana!!

]]>
http://blog.infosecman.com/2010/07/09/negocio-y-ti-ii/feed/ 0
Negocio y TI http://blog.infosecman.com/2010/07/01/negocio-y-ti/ http://blog.infosecman.com/2010/07/01/negocio-y-ti/#respond Thu, 01 Jul 2010 11:01:48 +0000 http://blog.infosecman.com/?p=273 Comentaba hace un par de semanas a mi llegada de la International Conference de ISACA que la orientación al negocio de las TI es uno de los puntos clave en la gestión y gobierno de las mismas. Sin duda es probablemente uno de los principales principios de todo el modelo de ISACA y algo sobre lo que se predica, estudia, analiza y persigue desde hace ya tiempo.

Comentaba también que esa ausencia de orientación al negocio y alineación con el mismo es una de las principales causas por las que, en general, los Directores de TI no están en el mismo nivel o considerados de igual forma que otros Directores de áreas tradicionalmente más “cercanas” al negocio como puedan ser la Financiera o la Comercial, por ejemplo.

Y es que, aunque generalizar no siempre es bueno, la alta dirección pocas veces tiene la conciencia y conocimiento de la dependencia del negocio de las Tecnologías de la Información cuando cada vez más, esa dependencia es más fuerte y cercana a las áreas tradicionales comentadas.

Tocaría analizar cuáles son las causas de que esa relación entre Alta Dirección y Dirección de TI no sea todo lo cercana y de comprensión mutua que nos gustaría. Como suele decirse en los problemas de pareja, pocas veces una de las partes es la única culpable, por lo que es muy posible que aquí hay aque aplicar lo mismo.

Desde la Dirección de TI creo que todos estaremos de acuerdo que se ha avanzado mucho en los marcos y métodos de alineación y acercamiento de las TI al negocio. ISACA tiene mucho que decir aquí y ha realizado y realiza una labor encomiable como propulsor de esta alineación al publicar sus marcos de referencia que incluyen de facto esa alineación tan buscada. Pero un método o marco no es suficiente, y debemos buscar también en muchos casos la causa de ese problema de alineación en nosostros mismos, los profesionales.

En muchos casos la formación y carrera profesional de los Directores de TI tiene una base eminentemente técnica y si analizásemos un buen grupo de estos profesionales (desconozco si existe un estudio de ese tipo) seguro que en un alto porcentaje descubriríamos que se trata de personas brillantes técnicamente que a base de mayor capacitación y acumulación de experiencia han ido creciendo en sus carreras y compañías hasta llegar al puesto “techo” que en general un profesional de este tipo puede tener: la Dirección de TI. Sin embargo, en general, su formación y capacitación carece de unas bases de negocio, financieras, comerciales, de relación, claves para entender por una parte las necesidades y requisitos del negocio que son necesarias y por otra parte para transmitir la importancia clave de las tecnologías de la inforamción  en esos objetivos estratégicos que el negocio se está planteando o está persiguiendo. Simplificando mucho, unos hablan de Euros cuando los otros hablan de Bits y Bytes (como diría el amigo Jeimy Cano ;)).

Pero como decía antes, en los problemas de una relación habitualmente no existe un “único culpable”. Si ahora miramos hacia los excelentes profesionales de la Alta Dirección, nos encontraremos probablemente en el caso opuesto. Nuevamente serán profesionales brillantes, con unas carreras excelentes, una formación y capacitación del más alto nivel en gestión de empresas, financiera, comercial, pero… ¿qué hay del factor tecnologías de la información? En muchos casos el conocimiento que existe (necesario desde su perspectiva, no estoy hablando de conocimiento técnico) de las nuevas tecnologías y las tecnologías de la información es escaso, si no inexistente. Salvo en los casos de la formación de más alto nivel (formación Executive, los distintos MBAs, etc.) que seamos realistas, no todos los altos directivos tienen, las tecnologías de la información son inexistentes en temarios y formación.

Aún así, si buscamos un poco más entre los temarios de la formación Executive disponible para esos perfiles, los distintos MBAs y escuelas de negocios (lo he hecho), nos daremos cuenta que ya empiezan a aparecer las Tecnologías de la Información (en muchos casos les llaman Sistemas de Información, o incluso Informática aplicada a la Gestión… ya es un indicador de algo, verdad?) como punto a tratar en los mismos aunque si rascamos un poquito veremos que el contenido en muchos casos (salvo honrosas excepciones) se basa más en un baño “tecnológico” y podríamos decir de “producto” que en uno estratégico, etc. es decir, se centran más en explicar qué es un ERP o similar y qué puede aportar al negocio, que en desarrollar algo más en la línea de otras disciplinas como la financiera, etc. adoptando métodos y técnicas de seguimiento, indicadores, etc.

Me gustaría escribir bastante más sobre esto (quizás lo haga más adelante) pero por resumir, simplificando y nuevamente desde la GENERALIDAD (habréis visto que durante todo el post no dejo de decir, “en general”, “generalmente”, etc.) tenemos 3 aspectos clave como puntos de mejora:

– Perfil, Formación y Capacitación de los Directores de TI: falta el “aspecto negocio”

– Marcos y Métodos de Alineación Negocio/TI: ya existen, falta la adopción de los mismos.

– Formación y Capacitación de Alta Dirección: falta el “aspecto tecnológico”

¿Cuál de estos 3 aspectos estáis abordando vosotros? Bueno… ¿cuál de los 2 primeros? 😉 (el tercero intuyo que irá solventándose con las nuevas “hornadas” de altos directivos, verdad?) 🙂

[Actualización 2 de Julio: Acabo de encontrarme con un post de Antonio Valle muy relacionado con lo que estaba tratando aquí. Echadle un vistazo]

]]>
http://blog.infosecman.com/2010/07/01/negocio-y-ti/feed/ 0
ISACA International Conference (Cancún, México) http://blog.infosecman.com/2010/06/12/isaca-international-conference-cancun-mexico/ http://blog.infosecman.com/2010/06/12/isaca-international-conference-cancun-mexico/#respond Sat, 12 Jun 2010 01:53:56 +0000 http://blog.infosecman.com/?p=263 Durante los últimos días he tenido la oportunidad de compartir experiencias, impresiones, aproximaciones (y alguna que otra copa 😉 ) con algunos de los mayores expertos a nivel internacional en el Gobierno y Gestión de las TI en el marco de la ISACA International Conference que este año, tras haberse fusionado con LatinCACS, se ha celebrado en Cancún (México).

Han sido unos días estupendos en compañía de buenos amigos y compañeros ya conocidos desde hace tiempo y otras nuevas amistades surgidas en estas “convivencias” que tanto en lo personal como en lo profesional estoy seguro que seguirán desarrollándose (especial mención a mis amigas/os Nallely, Alejandro, Carlos, Orestes y Patrón de México; Pilar, Elizabeth y Jeimy de Colombi;, Lisseth de Venezuela y Gabriel, Daniel , Jorge  y Marcelo de Argentina).

Vuelvo cargado de buenos recuerdos de una cantidad importante de notas, ideas, reflexiones profesionales, etc. que ahora toca continuar desarrollando y comentando en otros foros. No incluiré aquí  las más de 12 hojas de One Note que me llevo para meditar, aunque sí me gustaría compartir con todos vosotros algunos puntos que creo que resumen bastante bien los principales temas que han sido eje de las conferencias y que muy probablemente iré desarrollando las próximas semanas de forma independiente. 

  1. La orientación al negocio de las TI es sin duda la gran lucha y el gran reto que tenemos por delante ya desde hace años. Realmente este  probablemente sea el eje principal no ya de las conferencias, sino del trabajo de ISACA en los últimos años y es una de las razones (la ausencia de orientación y alineamiento con el negocio) por las que los Directores de TI de las organizaciones, en general, no están igual de considerados que el resto de sus compañeros (Directores Financieros, Comerciales, de Operaciones…)
  2. COBIT no se implementa, se adopta. COBIT NO es un estándar, es un marco, y como tal no debemos ser “integristas” (yo conozco unos cuantos) sino que debemos utilizar lo mejor de COBIT para adaptarlo y modificarlo si es necesario para ajustarlo a la organización (gracias Jorge Medin por el excelente taller de Implementación de Balance Scorecard de TI 🙂 ).
  3. Los próximos 5 años van a ir de información sobre procesos: deberemos centrarnos más en la gestión de la información que en la tecnología. Esto no es si no, una consecuencia de esa orientación al negocio que comentábamos al principio. Ya desarrollaremos esto más en próximas entradas.
  4. Cloud is here to stay, o como yo digo, la nube ha surgido y nadie sabe como ha sido 🙂 Nos guste o no, vamos a ver nubes durante los próximos tiempos, lo que no estoy seguro es si llegaremos a ver la luz entre ellas, pero nubes va a haber, así que toca prepararse. Como  dice el gran Jeimy Cano, “cloud computing es una decisión: o te montas o no te montas en la nube”.
  5. COBIT 5 llegará muy probablemente en la primavera de 2011 y con ello, esperamos contar con un modelo que integre ya tanto COBIT actual, como Val IT y Risk IT, consiguiendo (volvemos a lo mismo) una orientación y alineación total al negocio. A prepararse toca!
  6. “No reinventemos ruedas”. Si tenemos que desarrollar arquitecturas, servicios de TI, seguridad, desarrollo de software, etc. ¿por qué inventar cosas nuevas si las hay excelentes que podemos adaptar y utilizar como nos venga mejor para que se ajusten a nuestra organización? Utilicemos modelos como marcos de referencia: TOGAF, FEA, CWM, ITIL, ISO 27000, ISO 20000, BS 25999, CMMI, COBIT, ValIT, RiskIT…
  7. Estándares vs Modelos/Marcos o Europa vs América. Me ha resultado muy revelador el hecho de que en toda América, en general, hay un nivel madurez mucho mayor en los temas de gobierno y gestión de TI y concretamente en la utilización e implantación de COBIT que en Europa. Sin embargo, el uso de estándares (y su correspondiente certificación) aún está poco extendido. No he conocido ninguna empresa de las que estaban allí (y he hablado y conocido muchas) que estuviesen certificados por ejemplo en ISO 27001. Curioso, ¿verdad? En Europa tenemos justo la situación inversa, mucha menos penetración de COBIT y otros modelos y mucha mayor de estándares como ISO 27001 o ISO 20000…

 Seguiremos informando 😉

]]>
http://blog.infosecman.com/2010/06/12/isaca-international-conference-cancun-mexico/feed/ 0