20151007

SEGUROS DE GESTIÓN DE CRISIS (aka K&R ó Secuestro por Rescate)

Hoy 7 de octubre de 2015 he asistido al magnífico seminario organizado por ASIS Internacional España Chapter 143, versado sobre diversas componentes relacionadas con el riesgo de secuestro/extorsión: aspectos legales; prevención y respuesta; y pólizas de seguros.

Ha sido patrocinado por AIG (nominalmente la mayor aseguradora del mundo y uno de los mayores operadores de pólizas de K&R) y por NYA International, una de la dos consultoras líderes en la prevención y respuesta ante incidentes de crisis de esta naturaleza, y con la participación de la firma de abogacía especializada Holman Fenwick Willan.




Se han tratado los aspectos de prevención (asesoría legal, pólizas de seguro y consutoría preventiva) y aspectos operativos de respuesta (incluyendo negociación, preparación del rescate y logística del mismo), perfilándose que servicios externos pueden apoyar en cada aspecto.

Un excelente seminario tanto en temática, contenido, profundidad así como en los aspectos organizativos. Magníficos ponentes. Enhorabuena a ASIS España y en concreto a su Junta Directiva y especialmente a su Presidente actual, Juan Muñoz.

Presentación del Seminario - ASIS España - copia local por si el enlace apunta a un destino no operativo
Reseña previa de Securitecnia - copia local por si el enlace apunta a un destino no operative


_ _ _ _ _ _ _ _ _ _ _

Algunos términos/conceptos interesantes

- Deber de cuidado / Duty of care
- Is there reasonable cause to suspect?
- Confidential but not clandestine ...


Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk

20140324

La gobernanza de TI como facilitadora de ciberseguridad

La gobernanza de TI como facilitadora de ciberseguridad

Por invitación de la Agencia de Certificaciones de Ciberseguridad he tendido este pasado 20 de marzo de 2014, en el marco de los Jueves Tecnológicos de la ACC, la oportunidad de continuar con la difusión de mi hipótesis principal: mientras que las organizaciones no ejerzan una gobernanza de TI adecuada y eficaz, la protección de los activos será más accidental que sistemática.




 La presentación se estructura en cuatro secciones principales:

  • Situación
    • Apreciada en base a observaciones sobre la evolución del tratamiento de la información y las TIC, la gestión de proyectos en general y su alta tasa de fracaso, y muestras de incidentes de ciber(in)seguridad y sus repercusiones (impactos solo por ciberdelitos de más de 500€/cápita-año)
  • Preguntas
    • ¿Existen causas de fallo comunes que afectan a proyectos y ciberseguridad?
    • En tal caso, ¿cuáles son?
    • ¿Cómo se define el éxito en un proyecto y en la protección de la información y sistemas?
    • Complejidad, alto coste, tiempo ajustado, como factores agravantes
    • La cadena Gobernanza (organizativa/TI) -> Dirección (organizativa/TIC)->Gestión (organizativa/TIC) -> Recursos (organizativos/TIC) <-> Éxito/Fracaso
    • Accountability = Responder y rendir cuentas ¿Quién responde?
  • Hipótesis
    • Presentación previa del concepto de Gobernanza de TI
    • Sin Gobernanza no hay Éxito, o ... No. No es el remero el responsable de no ganar la regata sino los siete entrenadores que le dicen como debe remar ...
  • Soluciones
    • El Consejo de Administración debe responder de la Gobernanza organizativa (que incluye TI) - hace falta una modernización de los Códigos de Gobernanza (incluyendo aspectos de TI tal como lo hace el Código King III).
    • La Dirección debe responder de la Dirección organizativa (que incluye TI)
    • Los Gestores deben responder de la Gestión organizativa (que incluye TI)
En resumen, la seguridad tiene mucho margen de mejora porque las TIC tienen mucho margen de mejora porque la gobernanza tiene mucho margen de mejora por delante ...



Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk

20140306

Curso de Preparación al examen CGEIT de ISACA

CGEIT

CGEIT es una de las cuatro certificaciones de ISACA, reconocimiento de los conocimientos y experiencia en el área de gobernanza de TI de la persona certificada. Para obtener dicho reconocimiento es necesario, además de demostrar una experiencia profesional en gobernanza de TI superior a los cinco años, superar un examen de 150 preguntas en cuatro horas, basado todo ello en el perfil de conocimientos y habilidades definidos por ISACA. La información detallada sobre los requisitos actuales para recibir dicho reconocimiento pueden consultarse aquí.

CGEIT es la certificación más exigente de ISACA en términos de nivel y profundidad de conocimientos y experiencia, además en zonas típicamente alejadas de la zona de confort profesional de quienes se inician en los asuntos de gestión, auditoría y control de I/TIC.


Curso de Preparación

Resultado de la misión, visión y valores del Capítulo de Madrid de ISACA es la realización de cursos de preparación para la superación de los examenes asociados a las certificaciones, celebrados desde los más remotos inicios del capítulo -incluso cuando era una asociación aspirante a capítulo. Inicialmente un curso de preparación a CISA que paulatinamente se amplió a CISM, CRISC y CGEIT.

El capítulo de Madrid, a través de sus Juntas Directivas, ha confiado en mi designándome coordinador del curso de preparación al examen de CGEIT, de lo que me siento muy agradecido. Ejercer la enseñanza y formación es una veta fundamental de mi vocación profesional.



 

Curso CGEIT de 2014


El curso de 2014 se ha presentado el 6 de marzo, en el contexto de los Jueves de ISACA, en el preámbulo de la ponencia del Director General de INTECO, D. Miguel Rego.




La presentación recorre el sustrato conceptual de la Gobernanza TI (según ISACA) y su interrelación con COBIT (5) para entroncar con los objetivos y estructura del curso.

El curso cuenta con un plantel de profesores de amplia e indudable experiencia en GEIT, con un número elevado reconocidos CGEIT.


La presentación se puede ver aquí.

Nota: la propiedad intelectual de las diversas imágenes es, directa o indirectamente, de ISACA. Además del empleo de elementos tomados de COBIT 5, se han incluido algunos aspectos de presentaciones y weminars tomadas del web de ISACA, así como de la presentación de las novedades de COBIT 5 del Capítulo de Madrid.




Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk

20131215

Apuntes rápidos - "The Economist" del 30 de noviembre de 2013: sobre Gobernanza y sobre TI

Un par de apuntes

Incluye la edición de la fecha de "The Economist" un par de asuntos interesantes, uno sobre Gobernanza (en su jugosa sección regular con cabecera "Schumpeter") y otro sobre TI, cubriendo aspectos de seguridad desempeño y coste del almacenamiento a largo plazo de información.

Memento mori


La sección Schumpeter incluye, con el título "Going off the rails - Companies need to keep an eye on their bosses for signs of destructive behaviour", la actualidad sobre casos recurrentes de  comportamiento megalómano y desviado del "hombre fuerte de la organización", que proporciona un recordatorio sobre las conocidas consecuencias de los excesos del poder, ya identificadas en la época del imperio romano, reflejado en la máxima "memento mori";  asunto recurrente, como podemos ver en éste artículo de 2004; parece que continuamos sin mecanismos adecuados para evitar este riesgo.


Almacenamiento de información a largo plazo


Apunta en su sección "Monitor" que la cinta magnética como medio de almacenamiento vuelve camino de un segundo resplandor.

Se aducen las siguientes razones:


  • velocidad de lectura: la de cinta es cuatro veces superior a la de disco - por supuesto sin descontar el tiempo de montado y de posicionamiento ...
  • modo típicos de fallo: si se rompe la cinta, se pierden "escasos" cientos megabytes; si casca el disco, se pierde entero - ¿varios Teras? En el CERN se pierden por roturas de su repositorio de cintas varios cientos de megas al año de su repositorio de 100 Petas. De su repositorio de 50 Petas en disco, pierden varios cientos de Teras al año ...
  • energía: las cintas no la necesitan; apagar y encender los discos aumenta las probabilidades de que fallen.
  • seguridad: un delincuente o un error puede borrar 50Petas en disco en varios minutos, lo que en cinta magnética llevaría ... años.
  • coste: menor en la cinta (cuatro céntimos de dólar frente a 10 en disco, por giga)
  • durabilidad: una cinta puede leerse con fiabilidad treinta años más tarde frente a cinco años en el caso de discos


Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk

20131203

Encuentro con Melissa Hathaway en el Real Instituto Elcano

Visiones sobre ciberseguridad

Este pasado 2 de Diciembre he tenido la oportunidad de participar en un encuentro, en el Real Instituto Elcano bajo la regla de la casa Chatham, con Melissa Hathaway, y escuchar de primera mano alguna de sus visiones sobre ciberseguridad, ya reflejadas anteriormente en diversas instancias. Ésta visita de Ms. Hathaway es parte de su periplo para la presentación y lanzamiento de su Cyber Readiness Index, visita semejante a la de su lanzamiento en Australia.

Ideas-fuerza

Entre sus ideas-fuerza (autorizó explicitamente a citarla, frente a la regla base, ya que se estan difundidas) se encuentran:
  • Su apreciación sobre la exposición actual al riesgo, que ya revela el abstract de su ponencia del ICCS -agosto de 2013-: "Targeted attacks are increasing and our defensive posture remains weak" -esto es, los ataques dirigidos van en aumento y nuestra situación defensiva permanece débil; y su explícito subtitulo en el Belfer Center - "No country is cyber ready". ¡Vaya! Common Knowledge.
  • Su reflexión sobre separar los asuntos de seguridad nacional de los asuntos delincuenciales; que al tender a juntarse todo en el mismo saco, el asunto bascula hacia la jurisdicción militar, las prioridades se descentran de los aspectos delincuenciales y los desafíos empresariales se eclipsan. Ya en el European Forum Alpbach indicó que "...sometimes we’re talking about political activism, sometimes cyber crime, other times we’re talking about espionage, ..."
  • La consideración de que la economía global descansa sobre Internet y en medir su influencia en términos de GDP; asunto que ya apunta en su publicación en el web de CIGI - Centre for International Gobernance Innovation
  • Su visión sobre la medición de la situación de seguridad mediante un índice objetivo -más información algo más adelante.
Ms. Hathaway destaca que no se hace correctamente el "business case" para Internet: se cuantifican los beneficios que aporta Internet en términos de GDP pero que no se cuantifican los pasivos (tales como daños delincuenciales). Al no medirse que los daños en muchos casos superan los beneficios (o se comen un porcentaje importante) no se realizan las inversiones necesarias en seguridad. Puede verse su presentación aquí.


Índice de ciber-disposición (readiness)

Propone Ms. Hathaway un índice para medir el nivel de preparación/madurez en ciber-seguridad de cada país. Índice cuya composición se describe hasta un cierto detalle aquí. No dando información detallada, no dejo de preguntarme si el índice proporciona un valor real de disposición ya que parece estructurado para medir los aspectos más formales que los sustantivos, podría devenir en un índice de cumplo y miento ...

Un análisis calmado del índice me ha provocado la pregunta ¿cómo vincula Ms. Hathaway la situación que proclama de no preparación con los resultados proporcionados por el índice? (la valoración cuantitativa, que esta basada solo en los aspectos formales da resultados, casi totalmente positivos ...).


Turno de preguntas

Siguió a la ponencia un turno de preguntas, que se centró no en el aspectos relacionados con el íncide sino en el estado de la situación y las vías de mejora.

A la pregunta de que haría ella de estar sentada mñana en la obamasilla, contestó que instauraría un programa de incentivos económicos a las industrías para medidas de seguridad, tal como hay para cambios en aislamiento térmico u otros asuntos de medio ambiente.

Interesante el apunte de un asistente (no name, Chatham rule) de que su organización se siente sola ante la ciber-delincuencia, o sea, que no hay nada entre ellos y los delincuentes. Lo que me recordó una parte del contenido del Threads Horizon 2015 del ISF:

"The role of government must not be misunderstood.
Governments and regulators won’t do it for you. Governments have a key role to play in securing cyberspace, from coordination on to raising public awareness and sharing threat information. But they have no intention of leading cyber security efforts. They expect organisations to manage risks in cyberspace, and to prevent information and systems from being compromised. Organisations that depend on governments to lead or secure cyberspace will suffer, as will those who focus only on complying with regulation."


Reflexiones

Sorprende que a estas alturas sigamos sin tener claro quien debe responder (o sea, es accountable) por estos asuntos, las organizaciones privadas claman por las públicas; defensa vs seguridad ciudadana; la responsabilidad de las empresas; la preocupación de una catástrofe económica por comportamiento empresarial irresponsable (si Enron ya pasó hace unos cuantos años ...).

Tambien me sorprende la fuerte apuesta por la prevención, sin un sustrato científico. Me explico. Bajo la hipótesis de que todas las repercusiones fueran exclusivamente económicas ¿es mejor sufrir los costes de los desastres o gastar dinero en prevención y respuesta? Sé que el "saber convencional" apunta indubitadamente a la prevención, y que es anatémico siquiera apuntar lo contrario. Pero ... ¿hemos estudiado científicamente el asunto? Tenía un supervisor que decía que no estaba claro si era más barato pagar al ejercito que te protege o al pirata que te aborde. Veamos, si entre todas las empresas gastan al año en prevención más dinero que las pérdidas que se producen ... a nivel país perdemos dinero. Pensemos en los seguros; a nivel individual, el empleo de seguros económicos depende del "apetito por el riesgo" de cada uno. A nivel general, la mutualización del riesgo a nivel país debe generar resultados positivos, a la vista de que la industria de seguros gana buenos volumenes de beneficios. Según algunos estudios los costes asociados a cumplir con las obligaciones de Sarbanes-Oxley superan ampliamente las pérdidas incurridas por el caso Enron ... O sea, que es más eficiente afrontar alguna pérdida ocasional que gastar en prevención ...

Finalmente, es clamor del sector que las inversiones y gastos en seguridad son muy inferiores a lo necesario, y se acaba acusando de miopía a las Gerencias. ¿No será que el negocio entiende mucho mejor la relación riesgo/beneficio, y que miden mejor la relación entre gastar dinero cierto ahora para prevenir posibles impactos futuros y los beneficios alcanzados?

Ello enlaza, finalmente, con la pregunta de si los análisis de riesgo valen para algo ... pero eso, es otra entrada del blog.



Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk

20131202


"European Business Review" y "The European Business Review"


Primero, un caveat emptor: hay dos revistas con título tan parecido ...

Lector asiduo de "Harvard Business Review", que lo soy desde hace años, tenía pendiente aproximarme a una revista de temática digamos que equivalente enfocada en Europa. Finalmente estos días pasados he estado estudiando los artículos contenidos en la edición de noviembre/diciembre de 2013 de "The European Business Review" (ISSN 1754 5501) y cuya dirección web curiosamente no lleva el "the" http://www.europeanbusinessreview.com; revista radicada en UK, me ha sorprendido la coincidencia de nombre con la revista del grupo Emerald "European Business Review" (ISSN 0955 534X), que no tiene web propio pero cuyas tablas de contenido se pueden ver en http://www.emeraldinsight.com/products/journals/journals.htm?id=ebr , tambien radicada en UK e indexada. Estos galos ... digo estos bretones romanos ...




Bueno, al tajo. Al hilo de dicho estudio quería compartir mi opinión sobre la revista ("The", la otra veré si puede ser otro día).




El contenido se estructura en seis interesantes apartados: liderazgo, estrategia, tecnología, innovación, organización y marketing, contando la publicación de noviembre/diciembre con 16 artículos, entre ellos uno de Kotter y otro de Goleman (además cuenta con publicidad institucional de entidades educativas serias, como por ejemplo el IE, Drucker y diversas otras universidades). Algunos de los artículos son extractos reimpresos de Harvard Business Review con indicación del permiso de publicación.




Continuaré ...










Carlos Bachmaier www.linkedin.com/in/carlosbachmaier

Mis ideas y experiencias: excelente.tk

20131116

Jornadas Técnicas 2013 - ISACA Madrid - ¿Realmente sirven para algo los análisis de riesgo?

Compartí el pasado 14 de noviembre, en las Jornadas Técnicas 2013 del Capítulo de Madrid de ISACA, algunas reflexiones sobre la gestión de riesgo en la mesa redonda "¿Realmente sirven para algo los análisis de riesgo?" a la que gentilmente había sido invitado.

Podéis ver una instantánea, mientras que dure, en este tuit

Creo que entre los tres ponentes presentamos todas las alternativas de respuesta posibles (sí valen, no valen, ni sí ni no ...). Todo hay que decir que la pregunta tiene mucho de trampa, ya que todos pensamos que ciertos análisis de riesgo son útiles mientras que otros no, y también compartimos que hay un elevado porcentaje de análisis de riesgo al uso que son inútiles. Creo que también compartimos que es imprescindible un proceso estructurado que permita conocer el entorno y la organización (el conócete a ti mismo), sin que hubiera un acuerdo muy unánime de que el análisis de riesgo "clásico" sea la mejor aproximación ... o sobre la existencia de un mecanismo científico, artístico o falaz de "predecir/proyectar" el futuro ...

Podríamos haber debatido durante horas si las hubiera habido ... Yo aproveché esta invitación para revisar mi marco conceptual, y he reflejado algunos pensamientos aquí

Carlos Bachmaier www.linkedin.com/in/carlosbachmaier
Mis ideas y experiencias: excelente.tk