Disponibilidad y/o Integridad y/o Confidencialidad

Según la RAE, el verbo sacrificar vendría a significar (para el caso planteado) lo siguiente:
3. tr. Poner a alguien o algo en algún riesgo o trabajo, abandonarlo a muerte, destrucción o daño, en provecho de un fin o interés que se estima de mayor importancia.

Desde hace mucho tiempo me llama la atención la permanente y perfecta simbiosis que al parecer existe entre los tres pilares fundamentales de la seguridad de la información, Como ya sabéis, estoy hablando de la Disponibilidad, la Integridad y la Confidencialidad. Habitualmente son tratados como un pack indivisible y apenas se contemplan de forma separada. En pocas lecturas, por no decir ninguna, he visto que estos tres factores sean tratados de forma independiente. Dado mi carácter poco conformista, me apetece efectuar la presente disertación con objeto de exponer situaciones en las que no hay más remedio que prescindir de alguno de los 3 factores.

El caso clásico, y que se da con más frecuencia, es la indisponibilidad deliberada de un sistema debido a que la integridad y/o la confidencialidad han sido comprometidas. Un ejemplo real, que viví en primera persona, fue la parada total de la operativa online de valores de una entidad financiera, tanto en oficinas como a través de la web, motivada por un descuadre de las posiciones de las diversas cuentas. En esa situación, aún habría sido más desastroso haber permitido operar en cualquiera de los mercados con datos totalmente corruptos. Como podéis comprobar en este ejemplo, hay ocasiones en que se debe romper con los cánones establecidos y no se puede ni debe garantizar tanto la disponibilidad como la integridad y la confidencialidad de la información.

Otro ejemplo similar que puede ocasionar (de hecho hay casos) la no disponibilidad de forma controlada de un sistema, es la más que probable vulneración de la confidencialidad de la información como consecuencia de una amenaza recientemente descubierta. Hasta el momento en que se aplica el parche correspondiente, se modifica un error en el software, se actualiza la versión de determinado componente, etc. es posible que determinado servicio, sistema, etc. pase a un estado de indisponibilidad.

En cuanto a la disponibilidad de la información dejando de lado la integridad y/o la confidencialidad de la misma me temo que es algo totalmente injustificable, o al menos yo no he encontrado ningún motivo razonable.

Conocéis algún caso en que así sea? La interpretación que yo hago es que si algo está disponible debe estarlo en perfecto estado. Por otro lado, si algo no está en condiciones siempre queda la alternativa de no ponerlo a disposición de nadie.

CITA DEL DÍA: "La seguridad es un puzzle en el que siempre falta una pieza"

Hacia atrás, ni para coger impulso

Ayer nos sorprendió mucho una noticia, la de la nueva política de Facebook, mediante la cual, se apropiaban de todo lo contenido en su portal. La estuvimos comentando Edgard y yo, pero no publicamos nada, ya que no somos muy partidarios de colgar temas que hemos visto en 10 entradas de nuestro lector de feeds. Por otro lado, no acostumbramos a comentar nada acerca de las redes sociales ya que entendemos que el uso de éstas es incompatible con la privacidad/seguridad de datos.

Hoy hemos visto que Facebook ha dado marcha atrás en su política, y siguiendo nuestra regla antes mencionada, tampoco vamos a publicar nada acerca de esta marcha atrás, pero si que nos da pie a comentar la "jugada".

Cuando una empresa toma tal iniciativa, ¿no puede imaginar que va a ser el centro de las críticas más airadas? ¿qué pretendían con esta medida? Estas dos medidas, que sólo distan 1 día entre ellas nos hacen creer que han tomado una medida demasiado a la ligera. Personalmente la vuelta atrás no ha hecho más que desacreditarlos en mayor o menor medida, e incluso, sembrar un cierto "miedo" en algunos de sus usuarios. En resumen, dan a entender que para ellos la privacidad / confidencialidad de los datos no es más que un juego.

Si esta noticia la publicaramos en un diario, seguramente la acompañaríamos de esta imagen:


No obstante, debemos reconocer que facebook está en su pleno derecho de estipular las condiciones que se le antoje. Sinceramente, si el "cliente" las acepta no vemos donde está el problema.


CITA DEL DIA: "Los logs ponen a todos en su sitio"

La AEAT y la eleopede

Casualmente ha llegado a mis manos el modelo 145 de la AEAT (comunicación de datos al pagador). Por deformación profesional me he puesto a leer la advertencia que incorpora en materia de protección de datos. La verdad es que en primera instancia me ha sorprendido bastante. Aquí la tenéis:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el perceptor tendrá derecho a ser informado previamente de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos.

Ya sé que es prácticamente inviable redactar una advertencia completamente genérica y que cumpla exactamente con los requisitos de la LOPD (en concreto el artículo 5). Ahora bien, de ese extremo a lo que en esta advertencia se dice hay un trecho. Bajo mi particular criterio se ha adoptado la postura de sacarse el marrón de encima como diciendo que se ocupe otro ........

De forma breve y sin entrar en mucho detalle jurídico, por no aburrir y porqué tampoco es mi fuerte, se podría llegar a aplicar la excepción del artículo 5.3 de la LOPD por lo que únicamente se debería informar (artículo 5.1 LOPD) de los puntos a y e:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De todos modos, si se tuviera que informar del resto de puntos tampoco habría excesivo problema al no tratarse de información demasiado específica del pagador en cuestión (quizás el punto d, relativo al ejercicio de derechos debería quedar reflejado pero tengo serias dudas).

Dicho todo esto yo hubiera sido partidario de incluir esta otra advertencia o similar:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la empresa o entidad pagadora (identificada en el punto 7) le informa de la existencia de un fichero o tratamiento de datos de carácter personal cuya finalidad es la aplicación de la correspondiente retención sobre la renta de las Personas Físicas. Esta información únicamente será comunicada a los organismos públicos competentes de acuerdo a la legislación vigente. Ud. tiene la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos dirigiéndose a la empresa o entidad pagadora.

Obviamente, el redactado es mejorable pero creo que jugando un poco con el contenido del apartado “7 Acuse de recibo” se puede llegar a identificar claramente al Responsable del Fichero y por tanto cumplir con lo estipulado en el artículo 5. La verdad es que cualquier cosa sirve antes de tener que, por ejemplo, informar con otro documento adicional.

Por pura y simple curiosidad me ha dado por comprobar otros formularios similares (para nada de forma exhaustiva). A modo de ejemplo aquí tenéis otros modelos en los que no hay ningún problema puesto que directamente no incorporan ninguna advertencia de ningún tipo ...... Sinceramente no sé si es mejor o peor, o todo lo contrario ...............

Rendimientos del trabajo y de actividades económicas, premios y determinadas ganancias patrimoniales e imputaciones de renta

Deducciones por Maternidad y por Nacimiento o Adopción Solicitud del abono anticipado

Nacimiento o Adopción de Hijo Solicitud del Pago Único

Comunicación del desplazamiento a territorio español efectuada por trabajadores por cuenta ajena

En estos casos entiendo que el Responsable es la propia AEAT (al pie aparece “Ejemplar para la Administración”) por lo que no hay excusa alguna para que NO figure la pertinente advertencia legal. Como ya comenté en esta otra entrada una buena forma de fomentar el cumplimiento de la LOPD es aplicarse el cuento (ver punto Dar ejemplo).
Para finalizar, espero que estas observaciones, totalmente constructivas, no sean objeto de ninguna inspección por parte de nuestra querida AEAT..... :-)

CITA DEL DÍA: “La seguridad de la contraseña radica en el propio usuario”

BUSCAMOS VOLUNTARIO

Buenas.
Estamos buscando a una persona con diversas cualidades técnicas, alto nivel de sacrificio, proactivo (esto siempre hay que pedirlo), etc...
Le ofrecemos 125.000$ de forma inmediata.
Lugar de trabajo: Guantanamo o cerca...
Si nos pasa sus datos, formará parte de este proceso de selección.


Pandemia: Continuidad de negocio

Comentar brevemente que hoy hemos asistido a este evento:


Francamente ha sido muy interesante. En cuanto a la continuidad del negocio estrictamente hablando, no hay mucho que destacar puesto que desde hace tiempo vengo contemplando este tipo de situaciones en los BIA que realizo. No la amenaza concreta de una pandemia sino la ausencia de personal motivada por distintas y diversas causas.
Aprovechamos también para dejaros este documento que recientemente ha llegado a nuestras manos desde talkingbusinesscontinuity. Casualmente también está relacionado con pandemias.
Por último simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ? Aún así, yo soy de los que cree que por estos lares no nos impactará de lleno, o si??.
CITA DEL DÍA: “Los límites de la privacidad los establece cada uno”

Hablando de ..................

En la edición que acaba de publicarse de la revista SIC podéis encontrar un artículo nuestro (por motivos de fuerza mayor únicamente podía ser firmado por uno de nosotros).

El artículo propone un modelo de gestión de la seguridad que se basa en la observación del comportamiento del usuario adecuar el grado de "vigilancia" a este comportamiento. No obstante, más que un modelo de monitorización o similar no es más que una forma de concienciar a los usuarios. Hemos querido plasmar algunas ideas que llevaban tiempo dando vueltas por nuestra cabeza. La revista SIC leyó nuestro artículo, les gustó y decidieron publicarlo. Desde aquí queremos agradecer públicamente a la revista SIC su publicación.

Para acceder al artículo pulsar AQUÍ.

CITA DEL DÍA: "¿Concienciar o imponer?, esa es la cuestión"

Nosotros (en cifras)

Como consecuencia de esta entrada y de esta otra entrada, recalcar que son dos estupendos blogs amigos, también hemos decidido someternos a una sesión de "autopsicoanálisis". Para ello utilizaremos la siguiente información (en noviembre nos registramos en Google Analytics), os advertimos que mucha de ella no sabemos ni que significa ni como interpretarla :-):




A la vista de tan abrumadores resultados, tanto en suscriptores, páginas, lectores, etc., por cierto, aunque no lo indiquemos las cifras están expresadas en miles de millones ;-), os exponemos nuestras conclusiones:

  • Hemos recibido reiterados avisos del proveedor de hosting advirtiéndonos de la saturación de tráfico que le provocamos.
  • Mirando hacia el futuro estamos ultimando la adquisición de uno de éstos como hosting para el blog (seguramente me cabe en un rincón del garaje ......)
  • Puede que haya alguien que no conozca el blog, pero vamos, viendo el número de visitas lo dudamos.
  • Desde estas líneas nos gustaría saludar al visitante que tenemos en Polonia. Está claro que este blog ha llegado a todos los rincones del mundo.

Para finalizar, bromas aparte, nos gustaría comentar que el "éxito" del blog nos ha sorprendido. La verdad es que cuando iniciamos esta aventura, allá por el mes de septiembre, no confiabamos demasiado en comernos los turrones con el blog en marcha. Por otro lado, no nos dejamos influenciar por tener más o menos visitas (de hecho investigando para esta entrada es cuando hemos analizado "en detalle" estos datos). Sólo pensar que a 50 y pico "suscriptores" les interesa por un motivo u otro lo que plasmamos aquí nos llena de honda y profunda satisfacción. Es a estos "fieles seguidores" a los que nos debemos, a los que están por llegar no hay nada que decirles.

CITA DEL DÍA : "Si tu sigues ahí, nosotros seguiremos aquí."

Ubicación Seguridad de la Información

Aprovecho esta entrada para dar respuesta a la petición de Gianluca, presidente del ISMS Forum Spain, que ha realizado en el grupo de linkedin. La verdad es que me ha parecido una reflexión muy interesante y como Gianluca comenta, pocas disertaciones existen al respecto. Este es el tema planteado:
"Estimados amigos y socios del ISMS, Aprovechando este grupo de Linkedin me gustaría emplazaros a participar en un debate sobre la eterna cuestión de donde ubicar estratégicamente la función de Seguridad de la información. ¿Dentro o fuera de IT? Razones, ventajas y/o inconvenientes de las dos opciones. Personalmente creo que es una cuestión todavía poco debatida y analizada. Sin embargo es de crucial relevancia a la hora de planificar estrategias y objetivos. Os advierto que utilizaré vuestros argumentos, reflexiones y análisis (referenciados en la medida de lo posible) para redactar un editorial que será publicado en un medio de comunicación del sector. Gracias a todos de antemano por vuestras participación, Gianluca"
Pues de entrada diría que DEPENDE ..... cada organización tiene su propia idiosincrasia, cultura, política interna, etc. que con absoluta seguridad condicionan la ubicación de tan "sagrada" función. Me temo que no hay una formula universal. No obstante, en términos generales se podrían establecer las siguientes consideraciones con objeto de facilitar el posicionamiento de esta "unidad de negocio":
Estratégicamente: debería ser omnipresente. En cualquier proceso de negocio de cualquier área, departamento, dirección, etc. debe existir la óptica de la seguridad. Es obvio que SIEMPRE, en un soporte u otro, en un formato u otro, en una cantidad u otra, con una criticidad u otra, ..... hay información por medio, desde el diseño del último producto que saldrá al mercado hasta el email de un cliente al que se le envía un boletín de noticias. Todo es información, hasta las charlas espontáneas mientras se toma un café....... Se debe aplicar el habitual tópico de siempre: la Dirección debe estar implicada por completo.
Jerárquica/organizativamente: Creo que es un aspecto secundario. También influye mucho si hablamos de una pyme de 10 empleados o una megacorporación de 100.000 empleados. Es más debería ser un "ente" multidisciplinar, transversal a toda la organización y con suficiente "poder". Cuanta más cercanía y línea directa con la cúpula mucho mejor. En nuestro caso particular tenemos constituido un comité de seguridad para consensuar y acordar de forma global (distintas ópticas/implicaciones) los temas de cierta relevancia. La aplicación de las grandes decisiones y el día a día es otra historia.....
Tecnológicamente: Dependerá del grado de dependencia de la tecnología y de la propia infraestructura tecnológica (hablamos de un servidor de datos o de 2 cpds replicados con sus Hosts, sistemas críticos 24x7, SANs, cluster de servidores, entornos virtualizados, comunicaciones con miles de delegaciones, etc....), aunque en cualquier caso creo que la visión estratégica debería estar fuera de TI. Sólo mencionar que hay sectores en que la información más crítica e importante no está soportada en medios tecnológicos. En este punto también comentar que existen interesantes tendencias que apuntan hacia una gestión global de la seguridad, además de los aspectos de TI hay que contemplar la seguridad de las instalaciones, de las personas, de la imagen, de la reputación, etc. Por tanto, esa asociación tan directa a TI empieza a disolverse un poco.
Funcionalmente: también se deberían observar cuáles son las actividades que se realizan desde la función de Seguridad de la Información. Estas pueden pasar por la definición de normas y procedimientos corporativos, supervisión/revisión de su cumplimiento e implantación, concienciación, formación, monitorización, informes, métricas, LOPD, SGSI, PCN, etc. En ocasiones son aspectos muy relacionados pero su aplicación se gestiona desde puntos totalmente separados de la organización. En determinados escenarios es casi obligado segregar o especializar partes de la función de seguridad en unidades independientes, en cualquier caso todas ellas dependerían de un órgano único central (léase comité, staff, ......).
Operativamente: otro punto a considerar es la forma de llevar a cabo esta función. Recursos internos, externos (permanentes/eventuales) presencialmente, externalización, mix de todo, ..... en función de la tipología y la magnitud de la estructura necesaria para el desarrollo de las actividades relacionadas con la seguridad de la información dependerá su ubicación/dependencia.
Un inciso final, personalmente creo que bajo ningún concepto puede contemplarse la posibilidad de que la función "estratégica" de Seguridad de la Información sea depositada en terceros, ya sea asesores consultores, gurús, expertos o afines (por muy buenos, eficientes, fieles, independientes, etc. que sean o parezcan).
En resumen, recapitulando creo que la solución es ............ ni dentro ni fuera sino todo lo contrario :-) Hay muchos y diversos factores intrínsecos a toda organización que intervienen en esta "decisión". No obstante, más que dónde estoy ubicado me preocupa mucho más cómo alcanzar los objetivos de inculcar, concienciar, implantar, etc. la seguridad de forma eficiente y global en una organización.
Lo siento pero no puedo aportar referencias de nada, para bien o para mal, todo es de cosecha propia.... soy muy poco dado a utilizar normas, estándares, etc. como dogma de fe. Son muy útiles como modelos de referencia pero son muy teóricos, ambiguos, generalistas, etc. que no son aplicables en todos los casos, siempre hay particularidades específicas. Hay tanta literatura referente a estos temas (COBIT, ITIL, BS, ISO, SANS, etc.) que es fácil encontrar referencias a lo comentado, o no ! :-)
CITA DEL DÍA: "La puerta de la cocina sólo debe abrirse desde dentro ........"

Jugando a Pádel

Está claro que la LOPD es bastante desconocida para "la gente de a pie", pero hay que reconocer que cada día más gente empieza a oír hablar de ella, que se interesa e incluso se plantea dudas.

En el club deportivo al que pertenezco, el personal de administración sabe a qué me dedico y muchas veces me ha caído alguna que otra pregunta. Habitualmente de ofimática, usabilidad de windows e incluso como descargar más rápido de redes P2P (está claro que si trabajas con un ordenador tienes que ser el que sepa acelerar las descargas y bajarte los estrenos de cine antes que nadie).

Pues el otro día la pregunta me sorprendió, no os voy a engañar, hasta se me caía la lagrimilla y todo... y fue la siguiente:

"Dani, una cosa. Mira, estamos organizando un torneo de paddel, y nos gustaría poner en la web los participantes, con su foto, su posición en el ranking y su nombre, ¿habría algún problema ?"
La respuesta no os la voy a exponer porque de sobras sabéis que hay que hacer en estos casos, lo destacable de la historia es ver como una persona ajena por completo a estos temas de privacidad, confidencialidad, etc... ha llegado a preocuparse por un tema que la LOPD toca de lleno. Por supuesto que desconocía la Ley, pero algo en su interior le dijo que a lo mejor no estaba actuando del todo bien.

¿Estará cambiando algo o me pilló con la defensa baja?

CITA DEL DIA: "Cuidado con lo que te entra por detrás, en informática también"

¡ Vendo leña barata !

Por fin he dejado de ser un paria social (desde ayer vuelvo a tener acceso a la red) ...... :-). Tras la disrupción vivida creo que se puede dar por finalizada la fase de recuperación/restablecimiento de mi particular PCN.

Con relación a la entrada de Samuel en su blog quisiera compartir con todos vosotros y vosotras los daños que la brisa de estos últimos días ha causado en mi humilde morada (sólo el muro exterior y el suelo destrozado ya que el pino fue arrancado literalmente de raíz). Haciendo referencia a la continuidad de las infraestructuras críticas simplemente indicar que en situaciones como la vivida poco o nada se puede hacer. Como se puede ver en la fotografía el poste que sostiene el tendido eléctrico también murió en acto de servicio.
Por "suerte" estamos acostumbrados ya que no es el primer pino ni el último que cae (el último fue por el peso de la nieve.......). Un poste no es gran cosa pero cuando hablamos de unos cuantos postes en cada calle e incluso torres de alta tensión totalmente retorcidas me temo que no hay PCN que valga. A pie del campo de batalla las cosas no son tan fáciles. Pinos y más pinos bloqueando calles, se precisan grúas, cortar un pino de más de 50cm de diámetro y más de 20m de alto os aseguro que no es nada fácil, ..... En fin, sólo decir que en el momento en que la infraestructura física más básica (cables, postes, etc.) está completamente aniquilada no hay más que tener paciencia.
Desconozco cual es el contenido de los "PCN" de las partes implicadas pero me atrevería a decir que es bastante más sencillo de lo que podemos pensar. Me temo que la fase de recuperación en concreto debe ser algo así como: "a ponerse las pilas y a currar como poseídos para volver a la normalidad cuanto antes". En definitiva, improvisación.
Desde aquí agradecer a las brigadas del suministro eléctrico, Parcs i Jardins, Telefónica, etc. el curro que se han pegado (los primeros días estaban 24 horas dando el callo).
CITA DEL DÍA: "La seguridad es como un iceberg, la mayor parte no se ve pero está ahí"

ESEGESEI INTECO

El pasado miércoles asistí, en calidad de indirecto beneficiario, a la reunión de lanzamiento de un proyecto de implantación+certificación de un ESEGESEI subvencionado por INTECO. Para ser sincero os expondré mi opinión del tema desde dos perspectivas, lo que pensé 2 minutos después de acabar la reunión y lo que pienso mientras escribo (estando más sosegado).

Nada más salir de la reunión tuve una gran decepción, más o menos esperada dadas las bases de la convocatoria. En varios foros, por ejemplo el grupo ISO 27001-SGSI Spanish Group de linkedin.com (creado por Javier Cao), ya se había comentado que el límite de las 20 semanas para desarrollar el proyecto es muy pero que muy justo (obviamente hay diversidad de opiniones). Mi inicial desencanto está basado en los siguientes aspectos:

  • El enfoque es puramente de mínimos. Análisis de riesgos reducido a la mínima expresión, se habló de un objetivo (sin tener el ámbito definido) de 25-30 activos y 2-3 amenazas por cada uno. Supongo que es un cálculo rápido de las magnitudes más o menos asumibles. No me considero ningún experto en análisis de riesgos pero alguno que otro he hecho por lo que personalmente me resulta escaso (y más conociendo de cerca el entorno objeto de certificación).
  • Mucha dependencia de los procedimientos existentes. Si la empresa está más o menos madura en términos de seguridad de la información es un factor que facilitará las cosas (aunque me temo que la revisión de los protocolos existentes será bastante reducida). En caso contrario supondrá dedicar mucho del poco tiempo a la documentación de procedimientos.
  • Se dejó entrever que los procedimientos serán bastante genéricos por no decir "estándar" (me gustaría ver el resultado final de 3-4 empresas, me aventuro a decir que visto uno vistos todos).- También tuve la sensación de que muchos controles se caerían argumentando, rozando el límite, la no aplicabilidad en el flujo de negocio en concreto.
  • Muy orientado a la certificación pura y dura. En realidad es el objetivo final pero durante el camino apenas se profundizará en muchos puntos fundamentales (formación, cultura de esegesei, etc.). Focalizado al cumplimiento de los puntos que el certificador verificará.
  • Si a todo eso le sumamos que el equipo de trabajo (1 persona para el trabajo de campo) del implantador debe multiplexarse en n proyectos en paralelo (así expuesto por su parte) pues la verdad es que la dedicación por parte de los que saben la anticipo como escasa.

Resumiendo y haciendo un símil con el mundo del ladrillo, me temo que la "constructora elegida" se encargará del esqueleto de la vivienda pero las paredes, instalación eléctrica, puertas, ventanas, etc. hasta la completa decoración de la casa irá a cargo del "comprador". Esperemos que no se asemeje a la infinidad de casas que en la vida real se han quedado a medias...........

En ningún caso se puede reprochar nada a nadie, ni a las empresas implantadoras en particular ni a INTECO en general. El tiempo y el trabajo a realizar es el que hay, para bien o para mal, y poco se puede hacer al respecto. A pesar de que lo anteriormente expuesto sigue siendo, bajo mi criterio, aplicable, quiero decir que aún estando más sosegado pienso igual ;-).

Para finalizar, me atrevería a decir que este interesante y positivo proyecto podría ser articulado de distinta forma, ni mejor ni peor, sólo diferente. A tal efecto, y de cara a sucesivas convocatorias, que espero se produzcan, propondría lo siguiente:


  • El famoso plazo de 20 semanas debería ser algo más extenso y/o adaptable a cada caso. Aún certificando el mismo proceso de negocio NO es lo mismo una compañía de 50 empleados, con un negocio muy vertical claramente candidato a "securizar" y con una infraestructura "simple" (servidor en red), que una empresa de más de 200 empleados, diversidad de "líneas de negocio" certificables tanto verticales como transversales, infraestructura "compleja" (2 CPD's, desarrollo, sistemas, explotación, comunicaciones, etc.). Cuanto mayor sea la empresa hay mayores implicaciones organizativas, operativas, funcionales, etc. y el flujo de negocio a certificar no se puede aislar del resto tan fácilmente. Y a la inversa también ocurre, habrán empresas que con 20 semanas tendrán de sobra.
  • Personalmente creo que el éxito del esegesei radica en la interiorización y aplicación de todo lo que en él se haya definido. No me cuadra que la certificación tenga que ser inmediatamente posterior a la “implantación”. ¿Qué valor tiene certificar algo que en el mejor de los casos tendrá 4-5 semanas de vida? Quizás el periodo entre implantación y auditoría de certificación deba ser mayor para que el esegesei realmente funcione.
  • La participación de implantadores en n proyectos simultáneamente debería estar limitada/controlada de alguna forma. Se corre el riesgo de que las grandes consultoras/empresas de servicios acaparen el mercado (por razones obvias) y no tengan capacidad suficiente para prestar un buen servicio (como ya he dicho antes, este punto fue expuesto abiertamente por parte del implantador).

En definitiva, quizás mi opinión sea un poco precipitada pero de entrada me ha parecido algo bastante descafeinado .......................... ojalá tenga que retractarme de mis palabras :-)

CITA DEL DÍA: "La seguridad es directamente proporcional a los incidentes sufridos"