InfoSecMan Blog

Hoy comienza en Oostende (Bélgica) la Security Research Conference 2010 (www.src10.be) y se celebrará durante los días 22, 23 y 24 de septiembre (miércoles a viernes). Esta es la Conferencia sobre Investigación en Seguridad más importante a nivel europeo y en la que se tratarán algunos de los temas principales incluidos en el Tema 10 (Seguridad) del Programa de Cooperación de VII Programa Marco, tales como la protección de infraestructuras críticas, la seguridad integral, el control de pasos fronterizos o la seguridad en la cadena de suministro, entre otros.

Durante la conferencia tendrá lugar un “brokerage event” orientado a la búsqueda de socios para la 4ª convocatoria de Seguridad del VII Programa Marco que se cierra el próximo día 2 de Diciembre en el que tendré la oportunidad de presentar alguna de las ideas que desde hace tiempo me viene rondando la cabeza para ponerla en común con otros profesionales y organizaciones y contrastar sus opiniones sobre la misma.

Si alguno/a vais a estar por aquí no dejéis de enviarme un email que con total seguridad podremos tomarnos algo juntos. Nos vemos allí (espero).

Continuando con lo que comentaba en el último post, os incluyo a continuación algunos enlaces que me parecen interesantes para complementar el tema:

1. El primero, es una discusión en el grupo “Gestión de Valor de las Inversiones TI” que trata este tema y en la que bajo mi punto de vista se comentan temas muy interesantes. Echas un vistazo aquí.
2. El segundo, un post en el Blog de Mónica Mistretta en el que detalla los resultados de una sesión de alto desempeño con 8 CIOs de importantes empresas mexicanas con algunas conclusiones interesantes.
3. En tercer lugar, una “captura de discusión twittera” entre amigos mostrada por Antonio Valle en su Blog “Gobierno de las TIC”. El mismo problema visto casi casi tomándose unas cañitas, pero con temas de fondo también interesantes.
4. Y finalmente, el cuarto, un estudio publicado por KPMG: “From cost to value: 2010 global suvey on the CIO agenda” con conclusiones y datos muy interesantes, entre ellos: las TI ya no van a ir más sobre reducción de costes, sino sobre la creación de valor. Imprescindible el “Management Summary” de una página (página 5).

Seguiremos informando 🙂 Buen fin de semana!!

Comentaba hace un par de semanas a mi llegada de la International Conference de ISACA que la orientación al negocio de las TI es uno de los puntos clave en la gestión y gobierno de las mismas. Sin duda es probablemente uno de los principales principios de todo el modelo de ISACA y algo sobre lo que se predica, estudia, analiza y persigue desde hace ya tiempo.

Comentaba también que esa ausencia de orientación al negocio y alineación con el mismo es una de las principales causas por las que, en general, los Directores de TI no están en el mismo nivel o considerados de igual forma que otros Directores de áreas tradicionalmente más “cercanas” al negocio como puedan ser la Financiera o la Comercial, por ejemplo.

Y es que, aunque generalizar no siempre es bueno, la alta dirección pocas veces tiene la conciencia y conocimiento de la dependencia del negocio de las Tecnologías de la Información cuando cada vez más, esa dependencia es más fuerte y cercana a las áreas tradicionales comentadas.

Tocaría analizar cuáles son las causas de que esa relación entre Alta Dirección y Dirección de TI no sea todo lo cercana y de comprensión mutua que nos gustaría. Como suele decirse en los problemas de pareja, pocas veces una de las partes es la única culpable, por lo que es muy posible que aquí hay aque aplicar lo mismo.

Desde la Dirección de TI creo que todos estaremos de acuerdo que se ha avanzado mucho en los marcos y métodos de alineación y acercamiento de las TI al negocio. ISACA tiene mucho que decir aquí y ha realizado y realiza una labor encomiable como propulsor de esta alineación al publicar sus marcos de referencia que incluyen de facto esa alineación tan buscada. Pero un método o marco no es suficiente, y debemos buscar también en muchos casos la causa de ese problema de alineación en nosostros mismos, los profesionales.

En muchos casos la formación y carrera profesional de los Directores de TI tiene una base eminentemente técnica y si analizásemos un buen grupo de estos profesionales (desconozco si existe un estudio de ese tipo) seguro que en un alto porcentaje descubriríamos que se trata de personas brillantes técnicamente que a base de mayor capacitación y acumulación de experiencia han ido creciendo en sus carreras y compañías hasta llegar al puesto “techo” que en general un profesional de este tipo puede tener: la Dirección de TI. Sin embargo, en general, su formación y capacitación carece de unas bases de negocio, financieras, comerciales, de relación, claves para entender por una parte las necesidades y requisitos del negocio que son necesarias y por otra parte para transmitir la importancia clave de las tecnologías de la inforamción  en esos objetivos estratégicos que el negocio se está planteando o está persiguiendo. Simplificando mucho, unos hablan de Euros cuando los otros hablan de Bits y Bytes (como diría el amigo Jeimy Cano ;)).

Pero como decía antes, en los problemas de una relación habitualmente no existe un “único culpable”. Si ahora miramos hacia los excelentes profesionales de la Alta Dirección, nos encontraremos probablemente en el caso opuesto. Nuevamente serán profesionales brillantes, con unas carreras excelentes, una formación y capacitación del más alto nivel en gestión de empresas, financiera, comercial, pero… ¿qué hay del factor tecnologías de la información? En muchos casos el conocimiento que existe (necesario desde su perspectiva, no estoy hablando de conocimiento técnico) de las nuevas tecnologías y las tecnologías de la información es escaso, si no inexistente. Salvo en los casos de la formación de más alto nivel (formación Executive, los distintos MBAs, etc.) que seamos realistas, no todos los altos directivos tienen, las tecnologías de la información son inexistentes en temarios y formación.

Aún así, si buscamos un poco más entre los temarios de la formación Executive disponible para esos perfiles, los distintos MBAs y escuelas de negocios (lo he hecho), nos daremos cuenta que ya empiezan a aparecer las Tecnologías de la Información (en muchos casos les llaman Sistemas de Información, o incluso Informática aplicada a la Gestión… ya es un indicador de algo, verdad?) como punto a tratar en los mismos aunque si rascamos un poquito veremos que el contenido en muchos casos (salvo honrosas excepciones) se basa más en un baño “tecnológico” y podríamos decir de “producto” que en uno estratégico, etc. es decir, se centran más en explicar qué es un ERP o similar y qué puede aportar al negocio, que en desarrollar algo más en la línea de otras disciplinas como la financiera, etc. adoptando métodos y técnicas de seguimiento, indicadores, etc.

Me gustaría escribir bastante más sobre esto (quizás lo haga más adelante) pero por resumir, simplificando y nuevamente desde la GENERALIDAD (habréis visto que durante todo el post no dejo de decir, “en general”, “generalmente”, etc.) tenemos 3 aspectos clave como puntos de mejora:

– Perfil, Formación y Capacitación de los Directores de TI: falta el “aspecto negocio”

– Marcos y Métodos de Alineación Negocio/TI: ya existen, falta la adopción de los mismos.

– Formación y Capacitación de Alta Dirección: falta el “aspecto tecnológico”

¿Cuál de estos 3 aspectos estáis abordando vosotros? Bueno… ¿cuál de los 2 primeros? 😉 (el tercero intuyo que irá solventándose con las nuevas “hornadas” de altos directivos, verdad?) 🙂

[Actualización 2 de Julio: Acabo de encontrarme con un post de Antonio Valle muy relacionado con lo que estaba tratando aquí. Echadle un vistazo]

Decía en uno de mis últimos post que “la nube ha surgido y nadie sabe como ha sido”. Cada vez comienza a hablarse más de ello, existen servicios y proveedores aparentemente de alta calidad con soluciones en la nube, todos los grandes firmas de TI tienen una estrategia más o menos clara de Cloud Computing y ya comienzan a surgir contratos importantes de organizaciones que llevan muchos de sus servicios a ese nuevo paradigma de computación. 

Un ejemplo es el Ayuntamiento de los Ángeles y su decisión de  externalizar los servicios de correo electrónico de los servicios municipales (más de 30.000 empleados municipales, entre los que se encuentra la policía, bomberos, etc.) a Google, convirtiéndose así en la primera ciudad del mundo en trasladar los servicios de su administración a la “nube”. Otras ciudades estadounidenses (Seattle, por ejemplo) están esperando a ver cuál es la experiencia de Los Ángeles para implementarlo en sus ciudades. 

Pues bien, en un comentario de pasillo en la última International Conference de ISACA me comentaron que el contrato entre el Ayuntamiento y Google había sido más que problemático y bastante comentado. Como esto pareció de mucho interés se lo comenté a mi amigo y compañero Paco Uría, responsable de los servicios de cumplimiento legal de Intermark Tecnologías quien ha revisado este tema y ha tenido a bien compartir conmigo (y con vosotros) su análisis que incluyo a continuación con su consentimiento (gracias Paco!). Espero que os sea de tanto interés como me ha sido a mí. 

“En el Contrato se establecieron algunas cautelas, como el condicionamiento de la efectividad del contrato a la demostración práctica de su seguridad, pero fue firmado en espera de una enmienda que exigiría a Google indemnizar al Ayuntamiento  en caso de que el sistema de Google sea violado y los datos expuestos o robados, ya que en el Contrato no existe ninguna cláusula al respecto. La inexistencia de una clausula de responsabilidad por si no se realiza el servicio a satisfacción del Ayuntamiento, es especialmente delicado en lo que respecta a las fuerzas de seguridad que proporcionan, por ejemplo, información potencialmente sensible y confidencial al Departamento de Justicia. 

El Contrato recoge que los datos se almacenarán en instalaciones específicas dentro de los Estados Unidos y que serán administrados por personas sujetas a autorizaciones de seguridad de alto nivel. Pero sería deseable que Google ofreciera un sistema de verificación de antecedentes de las personas que puedan acceder a la información ya que, por ejemplo, datos sensibles de las investigaciones policiales pueden verse comprometidos si fueran expuestos por alguna de las personas encargadas de la administración del sistema. 

Es paradójico que Google, en su mandato 10-Q para la Comisión de Bolsa y Valores del 4 de agosto 2009, reconozca que el riesgo de este tipo de sistemas podría perjudicar gravemente a su negocio, riesgo que reconocen, es probable que aumente a medida que amplían el número de productos y servicios web que ofrecen, así como el número de países en donde operan. Además, en el mismo mandato reconocen que sus sistemas son vulnerables a los daños o la interrupción producidos por terremotos, atentados terroristas, inundaciones, incendios, pérdida de potencia, fallos de las telecomunicaciones, virus informáticos, la denegación de servicios, u otros intentos para dañar sus sistemas: “(As) nearly all of our products and services are web based, the amount of data we store for our users on our servers (including personal information) has been increasing. Any systems failure or compromise of our security that results in the release of our users’ data could seriously limit the adoption of our products and services as well as harm our reputation and brand and, therefore, our business. We may also need to expend significant resources to protect against security breaches. The risk that these types of events could seriously harm our business is likely to increase as we expand the number of web based products and services we offer as well as increase the number of countries where we operate. […] These products and services are subject to attack by viruses, worms, and other malicious software programs, which could jeopardize the security of information stored in a user’s computer or in our computer systems and networks.” 

Google ha anunciado su intención de crear una nube de “gobierno” para órganos estatales o federales y locales que cumpla con las normas de protección más elevadas, pero ésta aún no existe. 

Las clausulas controvertidas más destacadas del Contrato entre Google y el Ayuntamiento de Los Ángeles son las siguientes: 

• – En realidad existen dos contratos, uno con Google y otro con Computer Sciences Corporation (CSC) para implementar, migrar e implementar el software de Google como servicio (SaaS) de correo electrónico y colaboración del sistema. 
• – Google se compromete a cumplir con las leyes federales relativas al aviso previo en caso de fallo o violación de la seguridad. En el caso de que se produjera una de estas situaciones, Google podría decir que es un proveedor de servicios (en lugar de un licenciatario o el titular de los datos personales) y que, por tanto, su única obligación es avisar al Ayuntamiento de Los Ángeles que se ha producido un fallo de seguridad, siendo el Ayuntamiento el que debe posteriormente dar aviso a las personas afectadas. 
• – En este sentido, Google deberá notificar al Ayuntamiento de Los Ángeles el fallo de seguridad tras su descubrimiento, sin causar demoras innecesarias y después de tomar las medidas necesarias para determinar el alcance de la infracción y restaurar la integridad del sistema. Esta clausula ofrece una gran flexibilidad para que Google pueda notificar al Ayuntamiento con retraso  la violación de la seguridad diciendo, por ejemplo, que ha estado adoptando las medidas necesarias para determinar el alcance de la violación. Dado que las obligaciones de respuesta a incidentes pueden ser cruciales para mitigar los daños causados por un fallo de seguridad que afecten a los datos del Ayuntamiento, lo más lógico sería imponer un período de tiempo determinado para notificar la violación o el fallo de seguridad. 
• – En el Contrato se requiere al Ayuntamiento de Los Ángeles para que cumpla con las regulaciones aplicables de privacidad, pero no se requiere a Google en el mismo sentido y eso que es Google la parte que realmente realiza el almacenamiento y procesamiento de los datos personales. En este sentido, Google adopta la posición de que es responsabilidad del Ayuntamiento de Los Ángeles, como propietario de los datos, el que debe asegurarse que Google cumpla con las leyes aplicables al titular de los datos. Si Google pretende dar un servicio al Ayuntamiento de Los Ángeles sabiendo que es el titular de los datos personales no es razonable que Google no se obligue al cumplimiento de la normativa de privacidad aplicable. 
• – El objeto del Contrato es bastante ambiguo. El Contrato no es muy claro en el sentido de si el propósito del mismo es establecer unas medidas de protección que proporcionen los recursos necesarios para el supuesto de que haya un fallo o violación de la seguridad que permita la recuperación potencial de los datos después de que suceda la incidencia, o si es el objeto del contrato es prevenir a priori una violación de la seguridad de la información. La diferencia es sustancial. 
• – Según el Contrato, el Ayuntamiento de Los Ángeles no tiene derecho a realizar una auditoría del programa de seguridad de Google, no exigiendo que Google deba poner en práctica todos los controles que sean necesarios para hacer frente a los problemas de seguridad.  Se señala que si el Ayuntamiento detectara deficiencias que fueran una seria amenaza para sus recursos podría rescindir el Contrato por incumplimiento del mismo, pero al no poder auditar la seguridad, en la práctica, no tiene un derecho explícito a rescindir el contrato. 
• – El Contrato recoge el reconocimiento por el Ayuntamiento que los controles implementados por Google en el momento de la ejecución del contrato se ajustan a los “estándares de la industria.” Ello permitiría reducir la indemnización a la que Google debería hacer frente si no implementa y mantiene una seguridad razonable durante toda la vigencia del contrato. 
• – No hay ninguna clausula en el Contrato que obligue a Google a cifrar los datos del Ayuntamiento de Los Ángeles. 
• – Google se compromete a no revelar información confidencial de una manera muy peculiar: se compromete a proteger la información confidencial del Ayuntamiento de Los Ángeles con el mismo nivel de cuidado que utiliza para proteger su propia información confidencial, pero en ningún caso menos de un cuidado razonable.”

Durante los últimos días he tenido la oportunidad de compartir experiencias, impresiones, aproximaciones (y alguna que otra copa 😉 ) con algunos de los mayores expertos a nivel internacional en el Gobierno y Gestión de las TI en el marco de la ISACA International Conference que este año, tras haberse fusionado con LatinCACS, se ha celebrado en Cancún (México).

Han sido unos días estupendos en compañía de buenos amigos y compañeros ya conocidos desde hace tiempo y otras nuevas amistades surgidas en estas “convivencias” que tanto en lo personal como en lo profesional estoy seguro que seguirán desarrollándose (especial mención a mis amigas/os Nallely, Alejandro, Carlos, Orestes y Patrón de México; Pilar, Elizabeth y Jeimy de Colombi;, Lisseth de Venezuela y Gabriel, Daniel , Jorge  y Marcelo de Argentina).

Vuelvo cargado de buenos recuerdos de una cantidad importante de notas, ideas, reflexiones profesionales, etc. que ahora toca continuar desarrollando y comentando en otros foros. No incluiré aquí  las más de 12 hojas de One Note que me llevo para meditar, aunque sí me gustaría compartir con todos vosotros algunos puntos que creo que resumen bastante bien los principales temas que han sido eje de las conferencias y que muy probablemente iré desarrollando las próximas semanas de forma independiente. 

1. La orientación al negocio de las TI es sin duda la gran lucha y el gran reto que tenemos por delante ya desde hace años. Realmente este  probablemente sea el eje principal no ya de las conferencias, sino del trabajo de ISACA en los últimos años y es una de las razones (la ausencia de orientación y alineamiento con el negocio) por las que los Directores de TI de las organizaciones, en general, no están igual de considerados que el resto de sus compañeros (Directores Financieros, Comerciales, de Operaciones…)
2. COBIT no se implementa, se adopta. COBIT NO es un estándar, es un marco, y como tal no debemos ser “integristas” (yo conozco unos cuantos) sino que debemos utilizar lo mejor de COBIT para adaptarlo y modificarlo si es necesario para ajustarlo a la organización (gracias Jorge Medin por el excelente taller de Implementación de Balance Scorecard de TI 🙂 ).
3. Los próximos 5 años van a ir de información sobre procesos: deberemos centrarnos más en la gestión de la información que en la tecnología. Esto no es si no, una consecuencia de esa orientación al negocio que comentábamos al principio. Ya desarrollaremos esto más en próximas entradas.
4. Cloud is here to stay, o como yo digo, la nube ha surgido y nadie sabe como ha sido 🙂 Nos guste o no, vamos a ver nubes durante los próximos tiempos, lo que no estoy seguro es si llegaremos a ver la luz entre ellas, pero nubes va a haber, así que toca prepararse. Como  dice el gran Jeimy Cano, “cloud computing es una decisión: o te montas o no te montas en la nube”.
5. COBIT 5 llegará muy probablemente en la primavera de 2011 y con ello, esperamos contar con un modelo que integre ya tanto COBIT actual, como Val IT y Risk IT, consiguiendo (volvemos a lo mismo) una orientación y alineación total al negocio. A prepararse toca!
6. “No reinventemos ruedas”. Si tenemos que desarrollar arquitecturas, servicios de TI, seguridad, desarrollo de software, etc. ¿por qué inventar cosas nuevas si las hay excelentes que podemos adaptar y utilizar como nos venga mejor para que se ajusten a nuestra organización? Utilicemos modelos como marcos de referencia: TOGAF, FEA, CWM, ITIL, ISO 27000, ISO 20000, BS 25999, CMMI, COBIT, ValIT, RiskIT…
7. Estándares vs Modelos/Marcos o Europa vs América. Me ha resultado muy revelador el hecho de que en toda América, en general, hay un nivel madurez mucho mayor en los temas de gobierno y gestión de TI y concretamente en la utilización e implantación de COBIT que en Europa. Sin embargo, el uso de estándares (y su correspondiente certificación) aún está poco extendido. No he conocido ninguna empresa de las que estaban allí (y he hablado y conocido muchas) que estuviesen certificados por ejemplo en ISO 27001. Curioso, ¿verdad? En Europa tenemos justo la situación inversa, mucha menos penetración de COBIT y otros modelos y mucha mayor de estándares como ISO 27001 o ISO 20000…

 Seguiremos informando 😉

El próximo jueves 15 de Abril, fecha en la que se celebran las II Conferencias ISSA España, participaré como ponente sobre el tema “Seguridad en Entornos Industriales e Infraestructuras Críticas” y tendré la suerte de estar acompañado de excelentes profesionales como Rob Kloots o Gonzalo Álvarez (CSIC, www.elartedepresentar.com). La conferencia se celebrará en el edificio del Instituto de Física Aplicada del CSIC.

A continuación tenéis más detalles sobre el programa, ubicación, inscripción, etc.:

Los horarios son orientativos.
 

Fecha:
15 de Abril a las 18:00

Localización:
El Instituto está en la Calle Serrano, 144.

Cómo Llegar:
En el enlace www.ifa.csic.es/Contacto.aspx se pueden consultar medios de transporte público.

Inscripción:
Para poder inscribirse, sólo es necesario introducir el nombre de pila y la dirección de correo electrónico en el formulario de inscripción.

¡Nos vemos allí!

Desde la web del CNPIC tenemos disponible ya para pública descarga el borrador del Real Decreto sobre Protección de Infraestructuras Críticas que se pone a disposición de los interesados en virtud del art. 24 de la Ley 50/1997 de 27 de noviembre, del Gobierno. Las observaciones al proyecto se podrán remitir hasta el día 30 de abril de 2010 a la atención del CNPIC mediante correo postal a C/Amador de los Ríos 2 o bien mediante fax al número 91.319.12.28.

La publicación del posterior Real Decreto que salga de este borrador debería suponer un antes y un después en la protección de las infraestructuras críticas de nuestro país y por tanto de la asunción de la seguridad como un requisito inexclusable en el diseño e implementación de las soluciones que sustentan esas infraestructuras.

Ya tenemos lectura para nuestro “descanso” de Semana Santa. Al regreso habrá que comentarlo, ¿no? 😉 Seguro que esto dará mucho pero que mucho que hablar…

Hace casi un año que no actualizo el Blog. En ese tiempo algunos de vosotros os habéis puesto en contacto conmigo y os he ido indicando las razones por las que había dejado “congelado” este espacio: principalmente falta de tiempo y otras prioridades personales/profesionales.

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses 😉 … (y ya 8 dientes!) 🙂

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando 🙂

Vuelvo a hacer referencia en este medio a mi buen amigo Miguel García, autor del Blog Gobernanza de TI quien, una vez más, nos obsequia con un excelente artículo  en el que describe claramente los principales conceptos de la Gobernanza de TI, y la aproximación que mediante COBIT puede hacerse a la misma.

Como le indicaba hace unos minutos en un comentario al artículo, creo que uno de los grandes retos que tenemos por delante que a la vez es una cuestión común en determinados clientes, es el de intentar acercar el concepto de Gobernanza de TI a organizaciones en los que realmente no existe un Gobierno como tal (clamor de multitudes! ;)), o al menos no uno con el nivel de madurez (no personal, sino organizativa y “metodológica”) suficiente para asumir un concepto tan interesante (y tan importante para ellos, … aunque no lo sepan).

Para ello crear una aproximación entendible, medible y efectiva es muy importante. Probablemente el top 10 de las empresas de cada país tengan el nivel para entender y asumir estos marcos organizativos, pero para el resto es necesario trabajar esa aproximación adecuadamente.

A esto debe añadirse el factor humano (como siempre):

• ¿Cómo le dice un “asesor joven e inexperto” (a los ojos del Gobierno) a un “Gobernador” (20 o 30 años mayor que el Gendarme y con mucho más conocimiento y experiencia que él… o al menos eso cree) que no está gobernando adecuadamente su “país”?
• ¿Cómo le dice un “asesor experto” a un “Alcalde” que el control que tiene sobre su ciudad, donde hace y deshace tranquilamente porque su “Gobernador” no ejerce el control como tal sobre la plaza “confiando” en su buen criterio (o directamente no teniéndola en cuenta por creer que es una ciudad o villa sin importancia), no debería ser tal, y debería crearse una cadena de valor en la que, probablemente parte de su capacidad de decisión se vea mermada?

Dicho así suena un poco… ¿feo?, pero realmente es posible que si no transmitimos las cosas de forma adecuada, nuestros interlocutores finalmente oigan/entiendan eso. Tenemos trabajo por delante (interesante, eso sí!).

Habréis notado que hace un par de semanas que no aparezco por este medio. La causa no puede ser mejor: he sido padre nuevamente y las prioridades son las que son, por lo que este espacio ha quedado algo desatendido 🙂

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?… 😛

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ;)) ¿Existe alguna medida de obligado cumplimiento en ese sentido?