ESEGESEI INTECO

El pasado miércoles asistí, en calidad de indirecto beneficiario, a la reunión de lanzamiento de un proyecto de implantación+certificación de un ESEGESEI subvencionado por INTECO. Para ser sincero os expondré mi opinión del tema desde dos perspectivas, lo que pensé 2 minutos después de acabar la reunión y lo que pienso mientras escribo (estando más sosegado).

Nada más salir de la reunión tuve una gran decepción, más o menos esperada dadas las bases de la convocatoria. En varios foros, por ejemplo el grupo ISO 27001-SGSI Spanish Group de linkedin.com (creado por Javier Cao), ya se había comentado que el límite de las 20 semanas para desarrollar el proyecto es muy pero que muy justo (obviamente hay diversidad de opiniones). Mi inicial desencanto está basado en los siguientes aspectos:

  • El enfoque es puramente de mínimos. Análisis de riesgos reducido a la mínima expresión, se habló de un objetivo (sin tener el ámbito definido) de 25-30 activos y 2-3 amenazas por cada uno. Supongo que es un cálculo rápido de las magnitudes más o menos asumibles. No me considero ningún experto en análisis de riesgos pero alguno que otro he hecho por lo que personalmente me resulta escaso (y más conociendo de cerca el entorno objeto de certificación).
  • Mucha dependencia de los procedimientos existentes. Si la empresa está más o menos madura en términos de seguridad de la información es un factor que facilitará las cosas (aunque me temo que la revisión de los protocolos existentes será bastante reducida). En caso contrario supondrá dedicar mucho del poco tiempo a la documentación de procedimientos.
  • Se dejó entrever que los procedimientos serán bastante genéricos por no decir "estándar" (me gustaría ver el resultado final de 3-4 empresas, me aventuro a decir que visto uno vistos todos).- También tuve la sensación de que muchos controles se caerían argumentando, rozando el límite, la no aplicabilidad en el flujo de negocio en concreto.
  • Muy orientado a la certificación pura y dura. En realidad es el objetivo final pero durante el camino apenas se profundizará en muchos puntos fundamentales (formación, cultura de esegesei, etc.). Focalizado al cumplimiento de los puntos que el certificador verificará.
  • Si a todo eso le sumamos que el equipo de trabajo (1 persona para el trabajo de campo) del implantador debe multiplexarse en n proyectos en paralelo (así expuesto por su parte) pues la verdad es que la dedicación por parte de los que saben la anticipo como escasa.

Resumiendo y haciendo un símil con el mundo del ladrillo, me temo que la "constructora elegida" se encargará del esqueleto de la vivienda pero las paredes, instalación eléctrica, puertas, ventanas, etc. hasta la completa decoración de la casa irá a cargo del "comprador". Esperemos que no se asemeje a la infinidad de casas que en la vida real se han quedado a medias...........

En ningún caso se puede reprochar nada a nadie, ni a las empresas implantadoras en particular ni a INTECO en general. El tiempo y el trabajo a realizar es el que hay, para bien o para mal, y poco se puede hacer al respecto. A pesar de que lo anteriormente expuesto sigue siendo, bajo mi criterio, aplicable, quiero decir que aún estando más sosegado pienso igual ;-).

Para finalizar, me atrevería a decir que este interesante y positivo proyecto podría ser articulado de distinta forma, ni mejor ni peor, sólo diferente. A tal efecto, y de cara a sucesivas convocatorias, que espero se produzcan, propondría lo siguiente:


  • El famoso plazo de 20 semanas debería ser algo más extenso y/o adaptable a cada caso. Aún certificando el mismo proceso de negocio NO es lo mismo una compañía de 50 empleados, con un negocio muy vertical claramente candidato a "securizar" y con una infraestructura "simple" (servidor en red), que una empresa de más de 200 empleados, diversidad de "líneas de negocio" certificables tanto verticales como transversales, infraestructura "compleja" (2 CPD's, desarrollo, sistemas, explotación, comunicaciones, etc.). Cuanto mayor sea la empresa hay mayores implicaciones organizativas, operativas, funcionales, etc. y el flujo de negocio a certificar no se puede aislar del resto tan fácilmente. Y a la inversa también ocurre, habrán empresas que con 20 semanas tendrán de sobra.
  • Personalmente creo que el éxito del esegesei radica en la interiorización y aplicación de todo lo que en él se haya definido. No me cuadra que la certificación tenga que ser inmediatamente posterior a la “implantación”. ¿Qué valor tiene certificar algo que en el mejor de los casos tendrá 4-5 semanas de vida? Quizás el periodo entre implantación y auditoría de certificación deba ser mayor para que el esegesei realmente funcione.
  • La participación de implantadores en n proyectos simultáneamente debería estar limitada/controlada de alguna forma. Se corre el riesgo de que las grandes consultoras/empresas de servicios acaparen el mercado (por razones obvias) y no tengan capacidad suficiente para prestar un buen servicio (como ya he dicho antes, este punto fue expuesto abiertamente por parte del implantador).

En definitiva, quizás mi opinión sea un poco precipitada pero de entrada me ha parecido algo bastante descafeinado .......................... ojalá tenga que retractarme de mis palabras :-)

CITA DEL DÍA: "La seguridad es directamente proporcional a los incidentes sufridos"

2 comentarios:

Joseba Enjuto dijo...

Sin estar inmerso en ningún proyecto del programa de Inteco, sí que quería hacer algunos comentarios.

En principio, la base del proyecto, según creo recordar, es que sea para pymes "muy pymes". Hablo de memoria, pero creo que las empresas de 200 empleados no podían entrar. Esto hace que el alcance, en la práctica, sea bastante reducido, de modo que una buena modelización de activos sí que puede quedar en "unos pocos" activos (cada entorno es un mundo, pero 25-30 activos no me parece irrealizable).

Contemplar 2-3 amenazas por activo me parece algo muy difícil a priori. ¿Sólo va a haber 2 ó 3 elementos capaces de dañar a cada activo? Con esas limitaciones tengo la sensación de que el análisis de riesgos se va a quedar un poco "cojo"...

Si el plazo de 5 meses es del proyecto completo (desde la reunión en la que conoces al consultor hasta la reunión en la que generas el PAC de la auditoría interna) la verdad es que me parece muy justo (entiendo que la certificación queda fuera del plazo). Entiendo que deba haber límites temporales al proyecto, pero del mismo modo que deba haberlos por exceso también debería haberlos por defecto. De hecho, hay auditoras que exigen un periodo mínimo de "madurez" en el SGSI, lo cual me parece muy necesario...

Y no obstante, sí que estoy de acuerdo en que el objetivo principal de ese tipo de proyectos sea el "esqueleto" del SGSI. Si los recursos se limitan al máximo, no queda más remedio que "saltarse" ciertas florituras. Otro problema es qué se considera el "esqueleto" del SGSI, y hasta dónde se puede "descafeinar" sin poner en riesgo la validez del SGSI (y no hablo de la certificación a propósito). ¿La formación debe formar parte de ese esqueleto? Yo creo que sí. ¿Más elementos? Bastantes más, pero definir ese esqueleto lo dejo para otros debates...

Edgard dijo...

Hola Joseba, gracias por participar.

No recuerdo las bases exactamente pero el límite eran Pymes "medianas" de hasta 250 empleados. Lo que si se limita es que el flujo de negocio a certificar englobe a un máximo de 45 empleados. Aún con este precepto, idéntico a todas las pymes, hay otras implicaciones/consideraciones colaterales que no tienen nada que ver en una pyme de 50 frente a una de 250, ni en una infraestructura de 1 servidor en red o en una instalación con 2 cpd's replicados con sus respectivos mainframes y más de 400 servidores de soporte, etc....

Efectivamente, la sensación que tengo es que el análisis de riesgos va a ser bastante "simple". Ojalá hubieran sido así los que he tenido que hacer con anterioridad ......... :-)

Correcto, otro punto clave es la madurez que mencionas, certificar algo que apenas ha empezado a mover la cola no tengo muy claro que sentido tiene. Pensando mal, el cumplimiento para la certificación será meramente circunstancial y "ficticio".

Queda claro, con los plazos existentes y la estrategia planteada no es más que un primer esbozo que debe evolucionar y mucho.