Responsabilidad estatal en materia de seguridad (II)

febrero 7, 2007 § Deja un comentario

Hoy recupero el tema de un post anterior, una vez que ha surgido algún que otro comentario al respecto. Como esperaba, es un tema que despierta controversia, aunque en este caso creo que no está correctamente interpretado.

La responsabilidad estatal, al menos desde mi punto de vista (creo que el autor del artículo se puede aproximar a él, pero prefiero no posicionarle y que lo haga él mismo si es que tiene conocimiento de este post y lo considera oportuno), pasa por establecer unas condiciones mínimas de funcionamiento. De hecho, no es algo nuevo, ya que estas condiciones mínimas son, sencillamente, las leyes (junto con el resto de ordenación y regulación, evidentemente). Si lo traducimos a términos relacionados con la seguridad de la información, y usamos un ejemplo tan conocido como puede ser la LOPD, creo que es sencillo de entender. Las leyes (en este caso, la propia Ley Orgánica de Protección de Datos) serían las políticas de seguridad, a las que entiendo que se refiere el artículo. Y el procedimiento correspondiente, que regula cómo se debe aplicar la política, no sería otro que el Reglamento de Medidas de Seguridad.

En este caso, el papel del estado pasa por definir cuáles son las medidas mínimas que se deben respetar en relación al tratamiento de datos personales, sobre todo en materia de confidencialidad. Pero si nos centramos en otra de las dimensiones de la seguridad, la disponibilidad, creo que podemos ver claramente las repercusiones que en este ámbito tienen ciertas infraestructuras críticas como pueden ser las líneas de comunicaciones o las de transporte de electricidad.

Desde mi punto de vista, el estado debe garantizar unas mínimas políticas de seguridad a sus clientes, los ciudadanos. A partir de ahí, serán las empresas y los propios usuarios los que decidan si prestan o exigen mejores condiciones. Pero si no se definen unos mínimos exigibles… ¿Cómo se puede garantizar que se alcanza el nivel de servicio necesario?
En aspectos como la seguridad de la información, dejar todas estas condiciones en manos exclusivas del mercado (con los vicios inherentes que conlleva) creo que es demasiado arriesgado. Volviendo al ejemplo de la LOPD, me parece correcto que el estado, dentro de su responsabilidad en materia de seguridad, defina unos requisitos mínimos tanto a nivel de políticas como de procedimientos, que tanto empresas como administraciones deban cumplir. Y el propio mercado ya provocará que algunas de ellas mejoren esas condiciones y decidan incluso llegar a implantar un SGSI para mejorar dicha seguridad. Pero, mientras tanto, el tratamiento de los datos personales de los ciudadanos será mínimamente seguro.

Fuente: http://secugest.blogspot.com/2006/10/responsabilidad-estatal-en-materia-de_19.html

Responsabilidad estatal en materia de seguridad (II)

febrero 7, 2007 § Deja un comentario

Hoy recupero el tema de un post anterior, una vez que ha surgido algún que otro comentario al respecto. Como esperaba, es un tema que despierta controversia, aunque en este caso creo que no está correctamente interpretado.

La responsabilidad estatal, al menos desde mi punto de vista (creo que el autor del artículo se puede aproximar a él, pero prefiero no posicionarle y que lo haga él mismo si es que tiene conocimiento de este post y lo considera oportuno), pasa por establecer unas condiciones mínimas de funcionamiento. De hecho, no es algo nuevo, ya que estas condiciones mínimas son, sencillamente, las leyes (junto con el resto de ordenación y regulación, evidentemente). Si lo traducimos a términos relacionados con la seguridad de la información, y usamos un ejemplo tan conocido como puede ser la LOPD, creo que es sencillo de entender. Las leyes (en este caso, la propia Ley Orgánica de Protección de Datos) serían las políticas de seguridad, a las que entiendo que se refiere el artículo. Y el procedimiento correspondiente, que regula cómo se debe aplicar la política, no sería otro que el Reglamento de Medidas de Seguridad.

En este caso, el papel del estado pasa por definir cuáles son las medidas mínimas que se deben respetar en relación al tratamiento de datos personales, sobre todo en materia de confidencialidad. Pero si nos centramos en otra de las dimensiones de la seguridad, la disponibilidad, creo que podemos ver claramente las repercusiones que en este ámbito tienen ciertas infraestructuras críticas como pueden ser las líneas de comunicaciones o las de transporte de electricidad.

Desde mi punto de vista, el estado debe garantizar unas mínimas políticas de seguridad a sus clientes, los ciudadanos. A partir de ahí, serán las empresas y los propios usuarios los que decidan si prestan o exigen mejores condiciones. Pero si no se definen unos mínimos exigibles… ¿Cómo se puede garantizar que se alcanza el nivel de servicio necesario?
En aspectos como la seguridad de la información, dejar todas estas condiciones en manos exclusivas del mercado (con los vicios inherentes que conlleva) creo que es demasiado arriesgado. Volviendo al ejemplo de la LOPD, me parece correcto que el estado, dentro de su responsabilidad en materia de seguridad, defina unos requisitos mínimos tanto a nivel de políticas como de procedimientos, que tanto empresas como administraciones deban cumplir. Y el propio mercado ya provocará que algunas de ellas mejoren esas condiciones y decidan incluso llegar a implantar un SGSI para mejorar dicha seguridad. Pero, mientras tanto, el tratamiento de los datos personales de los ciudadanos será mínimamente seguro.

Fuente: http://secugest.blogspot.com/2006/10/responsabilidad-estatal-en-materia-de_19.html

Responsabilidad estatal en materia de seguridad de las infraestructuras críticas

febrero 7, 2007 § Deja un comentario

Hoy he estado releyendo un artículo de editorial de la revista Auditoría+Seguridad. En él, Ricardo Cañizares hace referencia, en un solo párrafo, a un tema de tanta trascendencia como es la responsabilidad estatal en materia de seguridad. El director de la revista afirma lo siguiente:

El estado debe asumir la responsabilidad de garantizar la seguridad de las Infraestructuras Críticas, legislando, implantando políticas y procedimientos, y coordinando los esfuerzos de todas las organizaciones involucradas en el despliegue y gestión de las Infraestructuras Críticas.

Este breve comentario es suficiente como para abrir un interesante debate. ¿En qué medida el estado debe intervenir de cara al aseguramiento de las infraestructuras críticas? ¿Cuál es el grado de responsabilidad estatal, frente al que corresponde a las organizaciones que despliegan dichas infraestructuras? ¿Qué grado de regulación es aceptable? Son muchas las preguntas que surgen alrededor de un tema escabroso, en el que se entremezclan intereses de muy diversa índole, como los económicos, los políticos o incluso los geo-estratégicos. Porque… ¿No es precisamente este uno de los principales argumentos que se esgrimieron durante la polémica surgida en torno a la famosa OPA de E.On? ¿Hasta qué punto es sincero el interés de los estados en proteger las infraestructuras críticas? Son temas delicados…

Como no quiero condicionar ninguna postura, prefiero deternerme aquí e invitar a todos los lectores a que dejen aquí su opinión. Seguro que todas sirven para enriquecer la propia …

Fuente: http://secugest.blogspot.com/2006/10/responsabilidad-estatal-en-materia-de.html

Responsabilidad estatal en materia de seguridad (II)

febrero 7, 2007 § Deja un comentario

Hoy recupero el tema de un post anterior, una vez que ha surgido algún que otro comentario al respecto. Como esperaba, es un tema que despierta controversia, aunque en este caso creo que no está correctamente interpretado.

La responsabilidad estatal, al menos desde mi punto de vista (creo que el autor del artículo se puede aproximar a él, pero prefiero no posicionarle y que lo haga él mismo si es que tiene conocimiento de este post y lo considera oportuno), pasa por establecer unas condiciones mínimas de funcionamiento. De hecho, no es algo nuevo, ya que estas condiciones mínimas son, sencillamente, las leyes (junto con el resto de ordenación y regulación, evidentemente). Si lo traducimos a términos relacionados con la seguridad de la información, y usamos un ejemplo tan conocido como puede ser la LOPD, creo que es sencillo de entender. Las leyes (en este caso, la propia Ley Orgánica de Protección de Datos) serían las políticas de seguridad, a las que entiendo que se refiere el artículo. Y el procedimiento correspondiente, que regula cómo se debe aplicar la política, no sería otro que el Reglamento de Medidas de Seguridad.

En este caso, el papel del estado pasa por definir cuáles son las medidas mínimas que se deben respetar en relación al tratamiento de datos personales, sobre todo en materia de confidencialidad. Pero si nos centramos en otra de las dimensiones de la seguridad, la disponibilidad, creo que podemos ver claramente las repercusiones que en este ámbito tienen ciertas infraestructuras críticas como pueden ser las líneas de comunicaciones o las de transporte de electricidad.

Desde mi punto de vista, el estado debe garantizar unas mínimas políticas de seguridad a sus clientes, los ciudadanos. A partir de ahí, serán las empresas y los propios usuarios los que decidan si prestan o exigen mejores condiciones. Pero si no se definen unos mínimos exigibles… ¿Cómo se puede garantizar que se alcanza el nivel de servicio necesario?
En aspectos como la seguridad de la información, dejar todas estas condiciones en manos exclusivas del mercado (con los vicios inherentes que conlleva) creo que es demasiado arriesgado. Volviendo al ejemplo de la LOPD, me parece correcto que el estado, dentro de su responsabilidad en materia de seguridad, defina unos requisitos mínimos tanto a nivel de políticas como de procedimientos, que tanto empresas como administraciones deban cumplir. Y el propio mercado ya provocará que algunas de ellas mejoren esas condiciones y decidan incluso llegar a implantar un SGSI para mejorar dicha seguridad. Pero, mientras tanto, el tratamiento de los datos personales de los ciudadanos será mínimamente seguro.

Fuente: http://secugest.blogspot.com/2006/10/responsabilidad-estatal-en-materia-de_19.html

¿Qué es ITIL?

febrero 5, 2007 § Deja un comentario

Por: Antonio Valle

ITIL, ¿Y eso qué es?

Bueno, para poder responder a esta pregunta nos tendríamos que remontar allá a finales de los 80, cuando el gobierno británico se planteó la necesidad de externalizar algunas de las áreas de informática de algunas de las organizaciones gubernamentales. De repente se dieron cuenta de que no había nada que permitiera expresar claramente qué era lo que querían externalizar (no las horas/hombre, las máquinas, el soporte… querían externalizar el servicio) y cómo querían que se organizara esa provisión de servicios y la relación entre los proveedores, los responsables del gobierno y los usuarios de los servicios.

Seguir leyendo ¿Qué es ITIL?
Qué nos da ITIL
Roadmap de Implementación de ITIL

¿Qué es ITIL?

febrero 5, 2007 § Deja un comentario

Por: Antonio Valle

ITIL, ¿Y eso qué es?

Bueno, para poder responder a esta pregunta nos tendríamos que remontar allá a finales de los 80, cuando el gobierno británico se planteó la necesidad de externalizar algunas de las áreas de informática de algunas de las organizaciones gubernamentales. De repente se dieron cuenta de que no había nada que permitiera expresar claramente qué era lo que querían externalizar (no las horas/hombre, las máquinas, el soporte… querían externalizar el servicio) y cómo querían que se organizara esa provisión de servicios y la relación entre los proveedores, los responsables del gobierno y los usuarios de los servicios.

Seguir leyendo ¿Qué es ITIL?
Qué nos da ITIL
Roadmap de Implementación de ITIL

Modelo de Madurez de Microsoft

febrero 4, 2007 § Deja un comentario

Microsoft Latinoamérica a publicado un modelo de madurez que al ser sencillo y básico puede ser aplicado por cualquier organización sin contratar terceros.

El modelo se encuentra aquí

Según se expone en el primer gráfico, el modelo de madurez planteado va en la siguiente linea:

- Básico a Estandarizado
- Estandarizado a Racionalizado
- Racionalizado a Dinámico

Teniendo que pasar por la Gestion de identidades y control de acceso, la Administracion de escritorios, dispositivos y servidores, la Seguridad y Red, la Proteccion y recuperacion de datos, los Procesos de administracion basados en ITIL/Cobit y los Procesos de seguridad.

Además se puede medir en qué estadío está tu empresa

Fuente: ISSA – Argentina BA

Modelo de Madurez de Microsoft

febrero 4, 2007 § Deja un comentario

Microsoft Latinoamérica a publicado un modelo de madurez que al ser sencillo y básico puede ser aplicado por cualquier organización sin contratar terceros.

El modelo se encuentra aquí

Según se expone en el primer gráfico, el modelo de madurez planteado va en la siguiente linea:
Básico a Estandarizado
Estandarizado a Racionalizado
Racionalizado a Dinámico

Teniendo que pasar por la Gestion de identidades y control de acceso, la Administracion de escritorios, dispositivos y servidores, la Seguridad y Red, la Proteccion y recuperacion de datos, los Procesos de administracion basados en ITIL/Cobit y los Procesos de seguridad.

Además se puede medir en qué estadío está tu empresa

Fuente: ISSA – Argentina BA

¿Qué es ITIL?

febrero 4, 2007 § Deja un comentario

Por: Antonio Valle

ITIL, ¿Y eso qué es?

Bueno, para poder responder a esta pregunta nos tendríamos que remontar allá a finales de los 80, cuando el gobierno británico se planteó la necesidad de externalizar algunas de las áreas de informática de algunas de las organizaciones gubernamentales. De repente se dieron cuenta de que no había nada que permitiera expresar claramente qué era lo que querían externalizar (no las horas/hombre, las máquinas, el soporte… querían externalizar el servicio) y cómo querían que se organizara esa provisión de servicios y la relación entre los proveedores, los responsables del gobierno y los usuarios de los servicios.

Seguir leyendo ¿Qué es ITIL?
Qué nos da ITIL
Roadmap de Implementación de ITIL

Modelo de Madurez de Microsoft

febrero 4, 2007 § Deja un comentario

Microsoft Latinoamérica a publicado un modelo de madurez que al ser sencillo y básico puede ser aplicado por cualquier organización sin contratar terceros.

El modelo se encuentra aquí

Según se expone en el primer gráfico, el modelo de madurez planteado va en la siguiente linea:

- Básico a Estandarizado
- Estandarizado a Racionalizado
- Racionalizado a Dinámico

Teniendo que pasar por la Gestion de identidades y control de acceso, la Administracion de escritorios, dispositivos y servidores, la Seguridad y Red, la Proteccion y recuperacion de datos, los Procesos de administracion basados en ITIL/Cobit y los Procesos de seguridad.

Además se puede medir en qué estadío está tu empresa

Fuente: ISSA – Argentina BA

¿Dónde estoy?

Actualmente estás explorando la categoría politicas en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores