Páginas

sábado, 29 de noviembre de 2014

En busca de los objetivos de la empresa

Estamos en una época de pocas inversiones y grandes amenazas para las organizaciones, sean del tipo y tamaño que sean.

Desde los departamentos de Informática podemos ofrecer soluciones para reducir o mitigar tales amenazas pero ¿como hacemos frente a ellas si la organización no invierte en el departamento?


En la mayoría de las organizaciones la importancia de la seguridad de la información se ve como una capacidad resolutiva de forma reactiva. En estos casos el daño ya ha sido realizado y posiblemente se inicio hace varios meses.. Ese lapso de tiempo en el que hemos sido vulnerables, ha sido empleado para robar, modificar o destruir información. Con las consecuencias pertinentes y una mala solución ya, para las posibles demandas venideras.

Desde nuestros departamentos debemos ser capaces, a día de hoy, de hacer ver a la organización, que podemos ser de gran ayuda a conseguir los objetivos empresariales y evitar las amenazas a la vez. Aprovechar sus objetivos priorizando nuestros proyectos de TI con indicadores que aumentarán los objetivos de negocio.
 
La alineación de las TI con el negocio, debe ser un objetivo interno del departamento, para que desde la empresa se crea en nuestra misión y se nos considere como ayuda preventiva y pro activa.
Un departamento de TI fuertemente vinculado a la dirección organizativa ayudará a la organización en frentes como:
  • Expansión rápida y segura del negocio.
  • Confianza del cliente.
  • Aumento en las ventas y satisfacción del cliente.
  • Reducción de gastos, consiguiendo reducir los productos caducables o perecederos.
  • Información en tiempo real de valor para el negocio. 
  • Toma de decisiones ágil y rápida para reducir gastos o control de inversiones.
  • Mejora del rendimiento del personal.
  • Aumentando la productividad.
  • Mejora de la imagen publica de la compañía.
Estos son algunos objetivos del negocio, que no de TI. Aunque casi todos nuestros proyectos permitirán favorecer estos indicadores. Por ese motivo desde TI, debemos enfocar la meta de nuestro proyecto a conseguir los objetivos que la organización se haya marcado y así conseguir mejorar los ingresos departamentales.


A día de hoy seguimos teniendo menos presupuesto en seguridad informática que en seguridad física, pese a tener mayores focos de amenazas virtuales. Frente a otros departamentos como publicidad los números son peores, la visión de la organización es vender y TI se ve como gasto no como mejora del proceso de ventas o garantizar el proceso.
Publicado por en 2 comentarios:
Etiquetas: , , ,

jueves, 11 de septiembre de 2014

Si todo va bien, todo va mal

Habitualmente, las empresas confían en el estado perfecto de las medidas de seguridad implementadas en su organización, sobre todo cuando van a recibir la auditoría o cuando reciben a una consultora ofreciendo mejorar el estado de seguridad de la organización.

Al realizar la auditoria es muy habitual encontrarte con registros que están perfectos, que no hay ningún error. Por ejemplo, podemos estar analizando el registro de entrada a la organización por los empleados y podríamos llegar a observar que todos ellos entran y salen a la misma hora, sin hacer horas extra ni existir bajas por enfermedad. Increíble, ¿no?, esta situación es un indicador claro de falsedad documental que debería hacer que profundicemos más y revisemos el origen u otros registros para comprobar la situación real.



¿A qué se debe esta situación? ¿Porque las empresas indican que cumplen o tienen implementadas todas las mejores prácticas de seguridad?

Básicamente, existen dos razones:
La primera, por el rechazo a cualquier oferta que suponga un gasto inicial económico. Sin preocuparse de la reducción de posibles gastos mayores por no implementar esas medidas, ya sea por multas, por impacto negativos en prensa o pérdida de clientes y valor en bolsa por ejemplo, que podría ser evitado o al menos reducir la probabilidad de suceso al mejorar el estado de seguridad.


La segunda, por la creencia que sigue existiendo que el estado de seguridad es perpetuo. Una vez implantadas las medidas de seguridad aun hay quien cree que ya no tiene nada más que hacer y que así seguirá por siglos. Las medidas de seguridad como bien sabemos tienen validez para casos concretos y en ocasiones para un tiempo determinado, además de la continua detección de nuevas brechas de seguridad y aparición de amenazas para los activos de la organización.


Esta situación produce la necesidad de revisar de forma periódica el estado de la seguridad en la organización. Análisis de Riesgos, actualización del inventario de activos de la organización y el valor que estos tienen para la organización. Que vulnerabilidades y amenazas existen y en consecuencia cuales son los riesgos que existen en la organización y su priorización para la organización.

La realidad del día a día de las organizaciones es que se sufran incidencias. La incidencia no es significado de una mala implementación de las mejores prácticas. De hecho, la existencia de un registro de incidencias que es empleado de forma habitual, es decir, que en el registro de incidencias comprobamos que aparecen incidencias de forma periódica, es un buen indicador. ¿Por qué? Pues es un buen indicador porque demuestra que el usuario está capacitado y es conocedor de que es una incidencia, porque esta concienciado en la seguridad de la información y todo lo relativo y por esa razón registra las incidencias por el método habitual. Y las empresas que tienen las mejores prácticas implementadas, por supuesto, lo que hacen es revisar ese registro y actuar de acuerdo a la importancia que tiene esa incidencia. De forma que el auditor, cuando pregunta por cualquier tipo de las incidencias registradas, la organización o el responsable de su revisión sabe perfectamente, o al menos tiene documentado, al menos el por qué ha sucedido, que se ha realizado para corregirlo y que se ha realizado para prevenir que vuelva a suceder.

En conclusión y a mi modo de ver, según mi experiencia, cuando vemos un registro de incidentes perfecto, es decir, sin incidencias, mejor revisar más a fondo, porque a punta a estar maquillado.
Publicado por en No hay comentarios:
Etiquetas: , , , ,

miércoles, 27 de agosto de 2014

Y tras las vacaciones ... el sufrido e-mail

Algunos ya hemos regresado de las vacaciones, y nos encontramos con un sin fin de correos electrónicos en nuestra bandeja de entrada, con asuntos personales, profesionales, corporativos, publicidad o de cualquier otro tipo. ¿Debemos leerlos todos? ¿Cuanto tiempo tenemos para ello?

Esta situación nos ocurre todos los años al menos una vez, en ocasiones dependiendo de nuestra actividad puede ser habitual en el día a día, y debemos de establecer mecanismos para que nos ayuden a facilitar la tarea de leer lo que debemos leer y actuar en consecuencia.

En principio podemos establecer reglas básicas en nuestro correo según el origen o el asunto. Por ejemplo si nuestra dirección viene en el CC en lugar de en el Para, o si la dirección de origen es del estilo publicidad@EMPRESA.COM o incluso si el correo proviene de redes sociales estilo notify@twitter.com. Según estas reglas básicas podríamos hacer una primera criba del correo enviando dichos correos a las carpetas de Seguimiento, publicidad o redes_sociales por ejemplo.

Pero, ¿qué hacemos con esos correos que provienen de direcciones habituales, que suelen contener correos importantes sobre los que debemos tomar una acción casi inmediata?

Aquí nos enfrentamos a varios casos.
  • Cuando se requiere una actuación muy urgente o inmediata. Es decir en las próximas dos horas.
    • ¿Es un proceso habitual? por ejemplo, todos los lunes. Debería valer un correo informativo (FYI / PTI) y nosotros tener un aviso en la agenda.
    • ¿Es un proceso puntual urgente?, el caso anterior no tiene efecto, y podría suceder que el correo tampoco debido a posibles reuniones, viajes, vacaciones o cualquier otra tarea que impida nuestro seguimiento al correo electrónico. Por lo que deberíamos también utilizar llamadas telefónicas.
  • Correos que requieren una actuación, pero provienen de cuentas que nos envían tanto información, publicidad como en este caso correos con acciones a tomar
    • Para estas cuentas de origen (corporativas), deberían seguir reglas básicas que nos ayuden a no considerarlas SPAM o ponerlas en la carpeta de YA_TE_LEERE_ALGUN_DIA. Por lo que sería importante poner en el asunto como palabra de inicio: "PUBLICIDAD", "FYI",  "URGENTE" o "Para hacer" o "2Do". En estos casos si se va a seguir la medida pero en un solo caso cambiamos PUBLICIDAD por URGENTE sin sentido, la cuenta origen seguramente se convierta en cuenta basura.
    • Por lo tanto, estas cuentas cuando requieran de nuestra actuación deberían de incluir un "Para hacer" o "2Do" o similar al inicio del asunto del correo electrónico.
  • Correos que nos piden tener una reunión o actuación en una fecha concreta. Para estos casos es mucho más sencillo el uso de la agenda y convocar reunión, indicando si somos clave para la reunión, opcionales o interesados en el asunto a tratar y por supuesto en las notas incluir aquellos puntos que se van a tratar y aquellos que debemos de llevar preparados o debemos informar previamente.
Por último sobre el uso del Para, CC y CCO, aunque creo que ya todos sabemos el uso al respecto, aun hay alguno que no lo recuerda.
  • Para, destinatario de la información del correo o persona que debe realizar acciones sobre el asunto indicado.
  • CC, destinatario que debe conocer que se ha enviado dicha información, porque nos pregunto sobre el tema haciendo referencia a otra persona o porque simplemente debe conocer todo lo referente a dicho asunto. Cuidado con poner en CC en abierto a todos o muchos de nuestros contactos personales.
  • CCO, destinatario al que queremos hacer saber que hemos enviado un correo, pero que la persona a la que se le envía el correo (PARA) no sepa que esa persona lo sabe. Aquí cuidado también con los correos corporativos de incluir en CCO en lugar de en CC. Al final todo se sabe, si pones en copia un compañero o jefe común ponlo en CC y no en CCO.

Siguiendo estas básicas reglas entre todos, al menos a nivel corporativo, se facilita mucho el trabajo del día a día, incluso las urgencias no previstas. A nivel personal, pues también nos hará fácil leer los asuntos importantes o los chistes en el momento correcto.

¿Me dejo algo?, seguro que si, espero tu opinión

Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

viernes, 15 de agosto de 2014

Referencia de Buenas Prácticas en Informes de Proyecto. #COBIT

Durante el ciclo de vida de un proyecto son innumerables los informes a realizar. Para que dichos informes cobren mayor relevancia es de vital importancia la realización de referencias a las buenas practicas existentes relacionadas en nuestro proyecto.

En un proyecto de Sistemas de la Información (seguramente también en el resto de proyectos) son varias las características imprescindibles para llegar al objetivo marcado:

  • Efectividad, tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.
  • Eficiencia, consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.
  • Confidencialidad, se refiere a la protección de información sensitiva contra revelación no autorizada.
  • Integridad, está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.
  • Disponibilidad, se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.
  • Cumplimiento, tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.
  • Confiabilidad, se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.


Para conseguir alinear nuestras recomendaciones, realizadas sobre las evidencias detectadas durante el proyecto, con dichas características el uso de las buenas practicas es sencillo y recomendado.

En el caso COBIT de ISACA, la alineación de nuestras recomendaciones con los procesos de COBIT, permitirá mejorar estas características y a su vez apoyar nuestro informe con acciones a realizar por los diferentes participantes en el proyecto. Desde el Gobierno de la organización, Gerencia, Proveedores y los diferentes empleados.

Como ejemplo, comento un caso que puede ser bastante común, donde muy brevemente indico alguno de los beneficios del uso de COBIT en los informes de proyecto.

Supongamos el caso de un proyecto de desarrollo de una nueva aplicación para una organización. Ya Al realizar el cambio surgen habitualmente incidencias. Revisando el proceso de COBIT 5 sobre Gestión de Cambios (BAI06), nos encontramos con cuatro sub procesos:

  1. Evaluar, priorizar y autorizar peticiones de cambio
  2. Gestionar cambios de emergencia
  3. Hacer seguimiento e informar de cambios de estado
  4. Cerrar y documentar los cambios

Al revisar las incidencias que se han producido, comparando con lo que COBIT nos indica que debería realizarse como buena practica, observamos que los cambios realizados no han sido notificados al usuario, por lo que el usuario desconocía como proceder y eso producían las incidencias recibidas. Dentro del BAI06 la practica de gestión BAI06.04 Cerrar y documentar los cambios, nos indica tres actividades importantes a realizar

  • Incluir los cambios en la documentación
  • Definir periodo apropiado de conservación de la documentación del cambio.
  • Someter a la documentación a la misma revisión que el cambio en si mismo.
Una de las metas de este proceso es conseguir que las principales partes interesadas están informadas sobre todos los aspectos del cambio.

De esta forma la recomendación podría incluir la creación del proceso de información a los usuarios previo a realizar el cambio, de forma que cuando este se produzca, fecha previamente acordada, conozcan como les afectará y sabrán actuar en consecuencia.

El uso de las mejores practicas, sobre todo de COBIT por su alineación con el Gobierno, en la realización de informes de proyecto, lo considero imprescindible. Donde sobre las evidencias encontradas iremos aportando mejoras basadas en las mejores practicas, que nos ayudaran a dar una percepción a la organización sobre las áreas donde deberían mejorar sus procesos.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , , , ,

jueves, 24 de julio de 2014

Mejores Prácticas y Nuevas Necesidades #COBIT



Año tras año, por una razón o por otra, debemos aplicar medidas de seguridad a la información. Ya fue en su día la ley orgánica de protección de datos, la ISO 17999 y 27001 muy solicitadas tras el 11S,  la ley de administración electrónica, el esquema nacional de seguridad, infraestructuras críticas, medidas necesarias para el Cloud,…






Aunque las ISO son parte de las mejores prácticas reconocidas, las indico por su fuerte acogida tras los casos del 11S.

Estas mejores prácticas (ISO, ITIL, COBIT,…) implantadas en muchas organizaciones total o parcialmente, según las prioridades de la organización, se enfrentan de forma continua a amenazas o cambios legislativos, y supuestamente las organizaciones siguen teniéndolas implantadas con plenas garantías.

Recientemente recibí una solicitud de apoyo a una empresa para enfrentarse a los cyber ataques, su introducción fue que ya tenían las mejores prácticas implementadas. ¿?. ¿Todas?,  ¿con qué grado? Son preguntas sin respuesta, por lo general las organizaciones tienen implantado todo y quieren algo nuevo, pero en la mayor parte de los casos, la vigencia de esas buenas prácticas está disponible y no siempre implantada o implantada con garantías para los servicios prioritarios de la organización.

De forma práctica  y hablando de “mi libro” de cabecera para los informes de recomendaciones, os muestro algunos de los ejemplos de COBIT con las necesidades de las legislaciones indicadas.

Comparando los procesos de COBIT con la LOPD, sin entrar en los referentes a la política y gobierno de la información, por lo vagos que son los descritos en la LOPD en comparación con COBIT, por ejemplo si vemos la clasificación de la información en la LOPD tenemos los artículos 92, 101 y mas genéricos del 84 al 114, donde se trata solo la clasificación de información y soportes con datos personales. En COBIT tenemos los procesos:

  • APO01.06 - Definir la propiedad de la información (datos) y del sistema
  • BAI08.02 - Identificar y clasificar las fuentes de información.
  • BAI08.03 - Organizar y contextualizar la información, transformándola en conocimiento
Entre estos procesos encontramos objetivos de TI y objetivos de la organización, tabla RACI, procesos de entrada y salida relacionados, actividades a realizar y otras guías o buenas prácticas relacionadas.
Entre esas actividades además de definir de forma abierta la clasificación de la información con vista a la organización, y definir los responsables de la información ya encontramos medidas indicando la necesidad del cifrado según la clasificación de la organización. En la ISO 27002 podríamos hablar del Proceso 6. Organización de la Seguridad de la Información.

En la Administración electrónica, donde algunas de las prioridades es autenticación, confiabilidad, en este caso COBIT 4.1 en todos sus procesos nos indicaba como afianzar cada una de estas características de la información.

El esquema nacional de seguridad (ENS), es una legislación muy similar a la ISO 27002, del que ya conocemos los mapeos existentes entre:
•    ISO 17799 y COBIT 4. http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Mapping-ISO-IEC-17799-2005-With-COBIT-4_res_Eng_0106.pdf
•    Alineación de COBIT 4.1, ITIL v3 y la ISO 27002: Aligning COBIT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit
Por otro lado, en ocasión anterior hice charla comparando COBIT 4.1 con ENS http://www.slideshare.net/rsoriano/isaca-habla-del-ens

Infraestructuras críticas, donde recientemente se está hablando que España es uno de los países más preparados al respecto. En mi opinión más que preparados debería indicar REGULADOS, que no preparados, algunas de las infraestructuras críticas aun no conocen si lo son, y digo algunas por no decir todas. Dentro de COBIT 4.1 en cuanto a seguridad física encontramos el DS12 Administración del Ambiente Físico o en COBIT 5 DSS01.04 Gestionar el entorno, DSS01.05 Gestionar las instalaciones, DSS05.05 Gestionar el acceso físico a los activos de TI.

Cloud
Respecto al CLOUD ISACA ya presento el documento Controls and Assurance in the Cloud Using COBIT 5. Donde podemos encontrar los procesos relacionados, arboles de decisión, RACI, tablas de mitigación de amenazas enlazadas con los procesos de COBIT 5 for Information Security y mucho más. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx
 
Y sin olvidar el común de todos, la formación a los usuarios, para garantizar su concienciación y evitar que el usuario caiga en las amenazas existentes, por ejemplo en COBIT 4.1 el P06. Comunicar las Aspiraciones y la Dirección de la Gerencia o en COBIT 5 el APO01 Gestionar el Marco de Gestión de TI

Recientemente  SC Magazine en un artículo sobre un estudio de ISACA acerca del APT (http:// ow.ly/yXwCL), indicaban que los controles tradicionales seguían siendo usados contra las amenazas no tradicionales.

Seguiremos legislando, y las mejores prácticas se seguirán actualizando, pero la seguridad de la organización se seguirá midiendo por su punto de seguridad más débil.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

lunes, 21 de julio de 2014

Informes de Auditoría. Previsiones económicas de corrección o sanción

Tanto en las revisiones de cumplimiento de aspectos legales como de la certificación de las mejores prácticas, empleamos los informes de auditoría.

El equipo de auditoría prepara los puntos de control de la auditoría a realizar obtenidos de los puntos de revisión de la materia. Con esto obtienen un listado de puntos a comprobar o checklist. Este checklist servirá como línea base de los mínimos / máximos de revisión y permitirá que el equipo de auditoría marque por cada punto al menos los siguientes estados:
  • Cumple. La organización tiene cubierto el control indicado sin problemas.
  • No Cumple. La organización no tiene cubierto el control indicado.
Otros estados posibles y recomendables serian:
  • No aplica. Este control no es aplicable a la organización
  • No cumple plenamente. Aunque en un principio tiene controles establecidos para garantizar que se cumple este punto se encuentran evidencias que indican que no siempre es así.


Sobre los resultados obtenidos, al menos sobre el estado de No Cumple y No Cumple Plenamente, se deben indicar consecuencias o conclusiones del incumplimiento, es decir, que podría suceder si se sigue sin tener un control establecido que garantice el cumplimiento de ese control. Por supuesto, no es necesario en un principio indicar para los controles legales indicar que podría ser sancionado ya que se sobre entiende para todos ellos. Pero si otras consecuencias, por ejemplo supongamos el caso siguiente:

"Por normativa interna, se exige la revisión semanal de los registros de acceso a las instalaciones, donde se creara un informe, que se reportará a la gerencia, indicando las personas externas a la organizacion que entran, durante cuanto tiempo estan en la organzizacion, con que finalizad y de que empresa provienen".
Revisando los informes generados y enviados a la gerencia, se observa que si incluye la información indicada pero se detecta que el 15% de los informes analizados no fue enviado a la gerencia. Por lo que se indica en este caso que no cumple plenamente.

Junto a las consecuencias, se debe indicar, para cada grupo de evidencias detectadas sobre uno de los  controles establecidos, la recomendación a seguir, que básicamente es el establecimiento del control definido.

Estas recomendaciones suelen poder agruparse en proyectos que sobre un área determinada permiten implantar diferentes controles y por tanto mejorar con un único esfuerzo la situación existente. Cada grupo o proyecto, podría contener una estimación de tiempos para completarse, coste asociado para llevarlo a cabo y un índice que muestre como mejoraría el nivel existente, debido a cuantos controles mejora y en qué nivel, ya sea total o parcial. Además en este caso, también podría unirse la indicación para las revisiones legales del importe de la sanción por no tener cada uno de los controles indicados en este punto.


Con estas recomendaciones finales agrupadas por proyecto y con los tres indicadores anteriores indicados, tiempo, importe (implantar / sanción) y mejora prevista, se permite a la organización priorizar de forma eficiente los proyectos a realizar a corto, medio y largo plazo.

De esta forma sobre esa tabla de recomendaciones final, la organización podrá indicar, para cada uno de los proyectos:
  • Si lo va a realizar
    • Corto plazo
    • Medio plazo
    • Largo plazo
  • No lo va a realizar y la razón por la que no lo realiza:
    • Coste
    • Complejidad
    • Otros


Si a todo esto unimos la frecuencia con que una organización se enfrenta a revisiones de cumplimiento o certificación, es recomendable que el equipo de auditoría se prepare los checklist permitiendo realizar la revisión sobre el máximo número de leyes o normas, para fácilmente seleccionar cuales son los que se desean revisar. Así, además de reducir el tiempo en la revisión de los puntos de control, las recomendaciones para la organización tendrán mucho más valor al incorporar todas o casi todas las normas que les aplican, pudiendo priorizar con mejor visión los proyectos y riesgos asociados a las materias en cuestión.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

lunes, 9 de junio de 2014

Guías y Estándares de #ISACA

Tras varias tardes y noches traduciendo las nuevas guías de ISACA, por fin las termino. Durante el proceso de traducción me han venido a la cabeza muchas situaciones totalmente relacionadas con la materia, o algunas muy relacionadas, que quería comentar.


1. Guías de trabajo como documento accesible.


Ya sea en modo de procedimiento, norma, guía, estándar o como sea que se presente en la organización, tienen un fin común todos ellos. Que es el ser conocido por todos o parte de los siguientes:
•    Empleados
•    Clientes
•    Proveedores
•    Accionistas
•    Personal externo
•    Profesionales
Por ejemplo, ISACA ofrece sus Guías de Auditoría y Aseguramiento de SI a través de su web en [link]. Viéndolo desde el punto de vista de una empresa sería similar, la organización podría tener ciertos documentos públicos en la web y otros en la Intranet para que fueran accesibles dependiendo del destinatario interesado.



2. Definición de los procesos a realizar.


Muchas organizaciones, por no decir todas, tienen procesos definidos. No quiero indicar con eso que están documentados, simplemente que existe una forma definida en la organización de como se debe hacer, aunque se transmita de boca en boca. El inconveniente que existe al no estar documentado es evidente, esa comunicación del proceso no se realiza siempre completa y aunque así fuera, obliga a ser memorizada aun cuando la tarea a la que se refiera sea ocasional. Por lo que disponer de un documento electrónico facilita la difusión del proceso, no requiere ser memorizado y es fácil de consultar, actualizar y ver su fecha de vigencia.
Supongamos que existe un proceso interno para la solicitud de vacaciones, en el que el empleado interesado tiene que comunicar a su supervisor las fechas deseadas y el supervisor, tras validar internamente la factibilidad de esas fechas, le comunica la disponibilidad de sus vacaciones. Como el empleado no lo tiene documentado y solicita las vacaciones una vez al año, hace el comunicado de palabra su supervisor el da un ok provisional y el realiza su plan de vacaciones, que cuando llega el día no se puede ir de vacaciones porque no las solicito formalmente y su gerente olvido el comunicado de palabra por lo que no le reservo las fechas como vacaciones.


3. Mejora de la efectividad y eficiencia


Estos documentos tienen otra finalidad, que es ofrecer la eficiencia y efectividad deseada por la organización, en la labor de las funciones de cada uno para obtener un objetivo marcado.
Podemos encontrarnos con versiones iniciales del procedimiento que son mejorables, por supuesto, pero por el mismo motivo que existen y están documentados son más fáciles de mejorar. Al estar documentadas, toda persona involucrada tiene acceso a ella y puede sugerir modificaciones a realizar para mejorarla. También es cierto como sucede en ISACA, que se debe contar con expertos para su elaboración, de forma que sean lo más optimas posibles desde el primer momento. Aunque pueden realizarse cambios normalmente serán cambios menores.



4. Para los profesionales de Auditoría y Aseguramiento de SI.


Si desconocías la existencia de las guías y estándares de auditoría y aseguramiento de SI de ISACA, te recomiendo que accedas a ellos y los analices, es un muy buen trabajo de ISACA, que mejorara tus procedimientos de trabajo y seguramente te permita tener en cuenta ciertos elementos que hasta el momento no los habías considerado. Desde la elaboración del presupuesto o encargo, cuestiones profesionales como la independencia, que se espera del trabajo a realizar, el cuidado profesional, la profesionalidad, las afirmaciones del informe, los criterios, planificación del trabajo, riesgos, y otros tantos. Son documentos que seguro vas a utilizar como material de referencia aunque tu área de trabajo no sea la auditoría, porque su extensión a otras áreas es muy similar.


5. Necesarios para todas las partes.


Las guías de ISACA, como indicaba, ofrecen un asesoramiento al profesional a la hora de realizar su trabajo de Auditoría, que deben ser cumplidos por todos, tanto los asociados a ISACA como por los asociados. Pero además nuestro cliente debería también conocerlas para saber que aporta un certificado asociados a ISACA en su trabajo y exigirlas para que el trabajo se realice, al menos, con la calidad y entregables indicados por las guías de ISACA. Para aquellos que no pertenecen a ISACA, deberían también conocerla y adaptar su trabajo a lo que indica la guía. Siendo estas guías publicas y revisadas por expertos, son unas líneas de trabajo perfectas que no debemos evitar.


Espero que sean de interés para todos vosotros y que nos ayude a mejorar tanto a nosotros como a nuestros clientes y conocidos el uso de documentos definidos y accesibles.

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , ,

domingo, 18 de mayo de 2014

Actualización de software

Recientemente me encontré ante un grave error de aplicación tras una actualización (upgrade).
Leyendo lo tal cual, parece que no sigues los procedimientos de actualización. Poniéndonos en materia.


Es un desarrollo genérico, que contiene proceso automático de actualización y comprobación del mismo. Aun así antes de realizar la actualización en el entorno de producción realizamos pruebas en en una copia idéntica en un entorno de pruebas.
La actualización en el entorno de pruebas funciona correctamente, no da ningún error, y las baterías de pruebas se consiguen realizar sin encontrar ninguna incidencia.
El entorno de producción se actualiza y se realizan de nuevo pruebas confirmando que todo funciona correctamente. Por lo que se deja como versión estable para el resto de usuarios.

Al poco tiempo llego una notificación de incidencia por parte del usuario.
Se realizan las pruebas siguiendo los pasos indicados y se confirma que es una incidencia.
Se analiza con la opción interna del software que tanto el software como la base de datos son correctos.

Pasos siguientes:
  • Confirmar que no es un error de actualización.
    • Se revisa la web del producto y no indica nada.
    • Se instala una versión limpia del software y el error no se produce. Por lo que se confirma que es un error en nuestra actualización.
  • Para conocer el origen del error
    • Cambiamos en el entorno erróneo la base de datos asignada a la limpia. El error no se reproduce.
    • Cambiamos en el entorno limpio la base de datos limpia a la del entorno erróneo. El error se reproduce. Pues todo hace indicar que es un error en la base de datos.
  • Análisis de base de datos
    • Realizamos una comparación de bases de datos a través de una herramienta reconocida para eso mismo. El resultado devuelto es que no existen diferencias.
    • Solo nos queda a nivel de registros, pero eso ya implica diferencias entre entornos y configuraciones.
  • Solución:
    • Revisión de tabla a tabla de las diferencias.
      • Como indicaba los registros pueden ser muy diferentes pero correctos, debido a configuración o los datos reales de producción, que son validos.
      • Por lo que se realizo es una actualización de las tablas de la base de datos limpia, con los datos de producción, que no de configuración. Cada vez que se actualizaba una tabla se comprobaba que funcionaba correctamente.
      • En caso de error se analizaba la tabla y se procedía a realizar actualizaciones de tablas relacionadas.
Tras estos pasos la actualización volvió a estabilizarse.

Con todo esto, lo que se pretende indicar, es que el procedimiento de actualización debe:
  • Estar documentado
  • Revisar los errores conocidos del producto en su pagina y foros
  • Formar al usuario final, si fuera necesario, por los cambios que incorpore la nueva actualización.
  • Probado de forma intensa por sistemas
  • Tener copias antes de realizar la actualización y procedimiento para quitar la actualización (Downgrade) en caso necesario. 
  • Realizar pruebas en entorno lo mas similar posible al entorno de producción.
  • Posibles procedimientos de conversión de datos y sistemas. Documentado indicando cuando se pueden realizar, por quien y quien sera la persona que los autorice.
  • Prueba de cambios por el usuario.
  • Prueba de aceptación, aprobadas por parte del usuario / cliente. 
  • Cambio a producción.
  • Revisión en producción
  • Aceptación del cambio en producción.
  • Y aun así pueden suceder errores. Pero si no lo tenemos en un protocolo de actuación, seguramente sea un desastre.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

jueves, 15 de mayo de 2014

Persona habitual de restaurantes ejerce de profesor de cocina para expertos

Pues si, esas tenemos, es lo que nos encontramos más veces de las que deseamos, ya sea en cursos, seminarios o congresos. Personas como la que indica el título de este artículo que su única experiencia al respecto es ir a muchos restaurantes y se sienten lo suficientemente capacitadas como para dar un curso de cocina para expertos.

Por su puesto, no estamos en una situación que solo sucede en TI, y por una razón o por otra, nos podremos encontrar con casos similares en todos los sectores.


Podríamos pensar que la persona que asiste a estos eventos, lo ha decidido sin ser obligado y de propia voluntad con toda la información que le aportan. Podría haber asistido a otro evento de mayor calidad y/o condiciones si lo hubiera deseado.

Pero nos encontramos que incluso la información ofrecida por estos eventos, esta en muchos casos manipulada. Personas que aparecen con cargos de Director de Sistemas de la Administración Pública, que no han ostentado jamas, con titulaciones universitarias no terminadas, ya sea Ingeniero, Licenciado o Grado.

De esta forma el usuario que asiste, pasa de ser el responsable final a ser la presa de esa organización. Una organización que no tiene ningún miramiento y que debería ser denunciada por publicidad engañosa y manipulación de la información entre otros.

Tanto los colegios profesionales como la empresa en la que dicen ejercer sus cargos, podrían resolver esta situación siempre y cuando se les informe de estas actividades.

La situación aún es peor. Si el curso al que asistimos, además, tiene que ser evaluado para obtener una titulación, por alguna de estas personas que desconocen realmente la profesión. Si tu eres uno de esos alumnos que con experiencia profesional en el sector, necesitas confirmar tus aptitudes en un curso para expertos. Esta situación se te puede complicar. Cuando llegue al final del curso, no es el momento de indicar que el docente no esta capacitado para ese tipo de formación y tu podrías estar suspendido.


Si no quieres que jueguen con tu futuro, que tampoco jueguen con tu dinero.

PD: Este articulo, del que me encontraba muchas anécdotas en TI, lo escribí por un amigo que estuvo en un curso de cocina práctico, que suspendió la asignatura por no saber trabajar en equipo, pese a estar trabajando en varios restaurantes con reconocimientos en todos ellos.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,

lunes, 5 de mayo de 2014

Sin procedimiento no hay gobierno. Sin gobierno ....

El gobierno en una empresa no es solo el gestor o administrador. Es el interés del accionariado, objetivos, rumbo a seguir, lineas de trabajo para alcanzar esos objetivos.

Cuando hablamos de gobierno en las empresas, y por mi parte en las TI (Tecnologías de la Información) o SI (Sistemas de la Información), lo que estamos esperando es esas lineas de trabajo en TI para alcanzar los objetivos del accionariado de la empresa.

Independientemente de si la empresa es grande o una micro empresa, esas lineas deben de existir y deben de estar planteadas, aunque sea la empresa de un autónomo sin ningún contratado ni colaborador.

Las lineas de trabajo, pueden definirse en procedimientos, los cuales no necesariamente tienen que estar documentados. Aunque difícilmente sin estar documentados lleguen por igual a todos, cuando el numero de empleados o interesados en la organización sea grande.

Los procedimientos explican como se debe actuar, básicamente, pero debe ser recomendable incluir:
  • Objetivo que se persigue.
    • Que intereses del accionariado o de la empresa se consiguen o se ayudan a conseguir
    • Que logramos
    • Métricas o elementos que fácilmente van a poder ayudarnos a conocer si evoluciona según lo previsto.
  • Tareas. Si fuese necesario, tareas dentro del procedimiento y una descripción básica de lo que se pretende de cada una de ellas.
  • Relación con otros procedimientos.
  • Personal relacionado con cada una de las tareas y sus responsabilidades.
  • Nivel de progreso. Donde definimos el punto inicial y el objetivo a conseguir.
No contar con estos procedimientos en una organización, dejan que la organización funcione con el buen hacer de cada uno de los empleados, que cada uno de ellos realice su trabajo conforme crea en cada momento y ante cada situación.
¿Pero que hacemos si consideramos que el procedimiento esta mal planteado, caduco, no esta optimizado o cualquier otra razón que no permita mejorar o realizar de forma mas satisfactoria para la organización esta tarea?. El procedimiento se modificara siempre que se considere necesario. Se debe realizar un planteamiento, se analiza y si es optimo para los intereses de la organización se puede cambiar.

Este es uno de los mejores motivos por los que el procedimiento debe estar documentado y comunicado a todos los empleados e interesados. El estar documentado facilita la comunicación del procedimiento, facilita que sea conocido y aceptado por todos los empleados. Pero ademas tambien permite que sea mejorado, al ser conocido por todos ellos, conforme trabajen sobre el procedimiento seran capaces de mejorarlo.

Un procedimiento que no se siguen todos sus puntos, indica que no se esta siguiendo, podemos hacer más, pero nunca menos. Si se requieren menos pasos se debe modificar el procedimiento. Si se hacen más pasos, que son necesarios sería recomendable documentarlos para que siempre se realicen esos pasos. Todos los pasos incluidos en el procedimiento, son pasos necesarios para conseguir el objetivo marcado.

 Ahora ya hemos llegado a la explicación de arriba a abajo. Desde el interés de la empresa, definición de objetivos, comunicación de procedimientos y aceptación por los empleados. Ahora seguimos de abajo a arriba.

Los empleados siguen el procedimiento tal cual esta definido. Por lo que estas acciones ayudaran a obtener los valores necesarios de las métricas que hemos establecido y a alcanzar los objetivos que se persiguen. Por lo que todo empleado debe estar capacitado para proponer mejoras al procedimiento, y la empresa debe tener un método de análisis de esas mejoras propuestas.

La empresa nunca debe menos preciar las propuestas de mejora de los empleados, de hecho, seria recomendable que se promocionara la realizacion de mejoras, y una vez estudiadas por los responsables de los procedimientos de la empresa, se comentara con el empleado los pros y contras de su propuesta, el porque se acepta o no se acepta la propuesta, de forma que dicho empleado se sienta animado a seguir realizando propuestas y conozca el camino a seguir. El fin, debemos recordar que es la mejora de los intereses de la organización y eso repercute en todos los aspectos, accionistas, directivos, empleados, colaboradores, clientes y proveedores.

Estos pasos, deben ser seguidos de forma cíclica, provocando que podamos mejorar el nivel de progreso de la organización y las métricas perseguidas. Tras realizar por primera vez las tareas definidas, podemos tomar nota de los valores y tras observar esos valores tomaremos las acciones necesarias para continuar el plan o mejorarlo. Con esto conseguimos que los objetivos del accionariado se consigan y si no se consiguen según lo esperado se modifiquen las tareas para poder conseguirlo.

A modo de ejemplo. Queremos perder peso.
  • Decidimos hacer deporte y comer más ligero.
  • Cada semana tras realizar el ejercicio programado y la dieta indicada, nos pesamos.
  • Comprobamos si hemos perdido peso.
  • Si es así, podemos seguir el plan programado. Sino modificamos la dieta o los ejercicios para conseguir la perdida de peso prevista.

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , ,

lunes, 28 de abril de 2014

Precauciones ante robo del móvil

Desde que tenemos teléfonos inteligentes, debemos tratarlos como ordenadores.
No ya solo por los documentos que tenemos sino también por las aplicaciones que tenemos instaladas y su acceso a los diferentes sistemas.

El móvil es mucho mas fácil de perder o descuidarlo momentaneamente, por lo que toda la información que tenemos en ese dispositivo puede ser accedida por un usuario no legitimo.

Evitando el tema de que aplicaciones instalamos en nuestro teléfono, voy a hacer unas reflexiones que debemos tener todos en cuenta, y seguramente podamos mejorar.


Medidas habituales frente a rotura:
  • Realización de copias de seguridad
  • Cambios de contraseña periódicos
  • Antes de desinstalar una aplicación, dar de baja la cuenta y en la medida de lo posible todos los datos relacionados con la aplicación.
  • Mantener un listado de las aplicaciones instaladas.
Medidas frente a robo
  • Intentar acceder a través de aplicaciones de bloqueo y posicionamiento del móvil
  • Dar de baja la linea telefónica.
  • Denuncia a la policía
  • Cambiar todas las contraseñas de las aplicaciones. (Revisar la lista de aplicaciones instaladas)
  • Eliminar los datos en remoto del móvil. Si tenemos la opción habilitada.
Os recomendaría que hicierais la prueba. Suponer que os roban el teléfono y queréis desactivar el acceso a todas las aplicaciones que tenéis en el configuradas. Entre otras cosas porque si os roban el teléfono, una de las cosas que pueden hacer es cambiar el SIM y tener acceso a toda la información que el teléfono tiene, a no ser que lo tengáis protegido. Si realizáis el proceso comentado podéis comprobar que algunas de las aplicaciones no dependen de una contraseña y continúan funcionando con el nuevo SIM o a través de conexiones WIFI. Para estas aplicaciones deberíamos buscarles otros sistemas de seguridad.

Existen aplicaciones que permiten bloquear, ocultar o solicitar un código de acceso antes de abrir otra aplicación, por ejemplo Whatsapp, Telegram o similares. Os recomiendo que lo reviséis y lo activéis.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

lunes, 21 de abril de 2014

Aplicación de Contactos en Android

Posiblemente los contactos són una de esas aplicaciones que me han hecho decidir por una plataforma móvil u otra. La posibilidad de tener información de todos aquellos que conozco, organizada, lo más actualizada posible, con la mayor cantidad de información al respecto y en un único punto lo considero fundamental.



Android tiene una opción que no muchos conocen y por tanto no utilizan o no le sacan todo el jugo que tiene.

Los contactos de Android pueden estar vinculados en las diferentes redes sociales, de forma que la información que ese contacto ha realizado pública en cada una de las redes sociales en las que nosotros lo tenemos, al ser vinculada, forma parte de la información de nuestro único contacto en Android. Pongamos un ejemplo:

Tenemos a nuestro contacto Roberto Soriano Doménech en nuestra agenda personal, que resulta que en Facebook está dado de alta como ROSO, en Linkedin como Roberto Soriano CISA y en Twitter como rosodo. Si nuestro dispositivo Android no los ha unido automáticamente, cosa que es muy probable, podemos realizarlo nosotros. Pasando a tener en Roberto Soriano Doménech, la foto de facebook, linkedin y twitter, los correos electrónicos, teléfonos, empresa y cargo de esa persona que tenga publicados entre otros, más los que nosotros tenemos porque ya nos los ha dado previamente.

Para vincular los contactos, todo depende de la versión que dispongamos, pero básicamente:

Desde el contacto editar, agrupar, buscamos el contacto repetido en otra red social y al pulsarlo ya estarán unidos ambos.

Pero, os pongo mi caso, más de 3.000 contactos en la agenda, más de 1.000 en varias redes sociales, lo que hace muy complicado saber a quién tenemos en una, dos o tres redes sociales, por lo que en la versión que tengo en estos momentos de Android me obliga a filtrar los contactos a mostrar por cada una de las redes sociales, por ejemplo facebook, y revisar cada uno de los contactos viendo si está o no vinculado con el contacto de mi agenda de google, luego paso a la siguiente red por ejemplo linkedin, y así con todas y cada una de las redes sociales que tenga en el móvil.

Una vez hemos realizado esta tarea tenemos la agenda organizada con muchísima información integrada de los contactos que antes no disponíamos, en este caso lo mejor es realizar una copia de seguridad, pero por desgracia no todos los programas permiten realizar una copia de seguridad de la información de nuestros contactos como la tenemos en estos momentos. Os recomiendo CWT, que  permite realizar copias de seguridad completas del móvil y recuperar solo la parte de datos por ejemplo.

Pero llega un dia y recibies una actualización de firmware, casi seguro que te puedes olvidar de la copia de seguridad que tenias de tus contactos y seguramente tengamos que iniciar de nuevo el proceso de integración. Por lo que se debería mejorar la integración automática de los contactos.

Cuando realizas una instalación nueva, ves que tus contactos tienen información interna que no tenías anteriormente, del perfil de esa persona en las redes sociales, pero no se emplea para vincularlos de forma automática y esto sería muy útil. Otra opción que sería de gran ayuda , pero solo disponible en ciertas distros de Android, es que nos muestra de nuestro contacto con que perfiles ya esta vinculado, siendo también muy cómodo para revisar quien nos falta vincular y quien no, y por ultimo creo que la última opción que queda por tener disponible en todas las versiones de Android es la posibilidad de elegir para cada uno de nuestros contactos no solo la foto sino el nombre, ya que esta opción no está siempre disponible, asociando el nombre a veces de redes donde no podemos cambiar el nombre. Imaginaros que en el ejemplo anterior para nuestro contacto el dispositivo elige que nuestro contacto se llame ROSO, esto nos lo pondrá difícil a la hora de identificar de forma clara quien es.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)