Tras el deseado y a la vez espléndido refrigerio servido, la sesión vespertina ha comenzado con cierto retraso con la ponencia de Pablo Pérez, gerente del Observatorio de la Seguridad de la Información de INTECO. Su turno ha sido casi monopolizado por la preocupación que se tiene hacia las PYMES, su casi nulo cumplimiento de la LOPD, y, de forma más general, el gran desconocimiento de las Tecnologías de la Información por parte de muchas de ellas.
Dentro de las PYMES se ha focalizado bastante en las microempresas, todas aquellas con menos de 10 trabajadores, la gran mayoría son incluso empresas de 1 trabajador. Este tipo de empresas suelen disponer de menos de 5 ordenadores, su conexión a la red se basa en una línea ADSL "corriente", la cuál suele ser la única inversión en TI.
Ante este panorama es muy difícil plantearse una implantación exhaustiva de normativas de seguridad. La solución habitual pasa por mantener un anti virus/troyanos/spyware activado y actualizado. Referente a este punto, muchas de las incidencias (un 85%) se habrían resuelto teniendo los programas actualizados, ésto deja patente la poca preocupación que muestran los empresarios en el tema de la seguridad TI.
Pablo ha propuesto diversas medidas que ayudarían a mejorar el panorama de la seguridad en las PYMES, entre las cuales se encontraba, como no, el importe económico, haciendo referencia a las actuales subvenciones que proporciona el Gobierno mediante el Plan Avanza. También remarcar que la industria de la seguridad al completo debe amoldar sus productos, servicios y precios a las particularidades de las PYMES.
Acto seguido, y modificando el orden previsto, hemos "disfrutado" de la ponencia de Guido Stein, profesor del IESE. No conocía a Guido, y la verdad es que me ha sorprendido muchísimo, es un orador nato, consigue lo que todo el mundo busca, "enganchar" al oyente, y mantenerlo atento hasta el final. Sus armas: don de palabra fluido, diapositivas/peliculas muy gráficas, sencillas y perfectamente entendibles.
Guido ha titulado su presentación "De la información a la comunicación pasando por la confianza". Tal vez la relación de esta ponencia con el hilo conductor de la jornada estaba cogida por los pelos, pero no por eso ha dejado de ser interesante. Guido nos explicaba como la comunicación, o la falta de ella, puede generar comportamientos muy diversos. Mediante una matriz (formato no muy del agrado de Guido) nos dejaba claro la relación entre una buena y mala actitud enfrentada a una buena y mala aptitud, y de que manera afectan a la confianza.
Otro aspecto a remarcar de esta ponencia ha sido la entrega de una hoja, en la que debíamos ir apuntando los frenos y motores que creíamos que tenía la confianza en nuestras empresas y medidas que podrían revertir esas situaciones.
La jornada ha terminado con otra mesa redonda, compuesta por:
- Tomás Roy: Director de Calidad, Seguridad y relaciones con proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya.
- Andreu Bravo: Responsable de Seguridad de la Información del Grupo Gas Natural.
- Cristina Segura: Directora de Sistemas de Información Corporativos, ASERCO (Grupo Agbar).
- Xavier Serrano: Director de Seguridad Tecnológica del Grupo Banco Sabadell.
Y como moderador de la mesa, Albert Lladó Palau, Presidente del capítulo de Barcelona de ISACA.
El título del debate fue: "Las políticas internas: generación de actitudes proactivas y contramedidas a las amenazas". La mesa se basó principalmente en el comportamiento de los trabajadores, comentando muchos de ellos anécdotas vividas, como la comentada por Cristina, en la que un directivo de su empresa se quejó de la recepción de un correo electrónico en el que le pedían el cambio de domiciliación de los recibos. Tras este grave incidente de "seguridad", se investigó hasta encontrar que la dirección de correo del directivo se encontraba en infinidad de presentaciones realizadas por él mismo y que se encuentran colgadas por la red. Otra prueba más de la importancia que tienen los datos y de cómo muchas veces los "entregamos" sin tener mucha consciencia de ello.
Andreu nos comentó que eventualmente ofrece charlas de concienciación en colegios, a los tres colectivos, alumnos, profesores y padres de alumnos, y constata como, de entrada, nadie considera tener información importante en el PC, pero conforme van desgranando la conversación, llegan a la conclusión que si contiene datos personales y de gran valor, por ejemplo, tarjetas de crédito, facturas, declaración de renta, etc. Destacar que el control que cuesta menos, y a la vez más valioso, es el propio usuario, lo cual lleva a la obligación de concienciar, concienciar y concienciar.
Por Tomás Roy siento una especial debilidad (profesional claro), ya que ameniza mucho sus charlas, las convierte casi en "informales", añadiendo puntos de humor, lo cual hace distendir el ambiente. Tomás, desde su posición de Responsable del CTiTI, nos comentó varias anécdotas "sufridas" por la Generalitat, como por ejemplo los problemas que sufren cuando aparecen las direcciones gencat.cat y gencat.net en listas negras de correo, la saturación de los servidores de correo, el intento de extorsión por los propietarios de las listas (qué somos un gobierno y tenemos policia ja ja ja).
Al finalizar esta mesa, se dio por cerrada la IV Jornada Internacional del ISMS Forum, y al salir al hall, nos esperaba un regalo, el libro "Patrolling Cybersapce, Lessons Learned from a lifetime in Data Security" de Howard A. Schmidt, el cual ya está en mi mesita de noche para empezarlo hoy mismo. Además tiene 5 créditos CPE para el CISSP..........
Dentro de las PYMES se ha focalizado bastante en las microempresas, todas aquellas con menos de 10 trabajadores, la gran mayoría son incluso empresas de 1 trabajador. Este tipo de empresas suelen disponer de menos de 5 ordenadores, su conexión a la red se basa en una línea ADSL "corriente", la cuál suele ser la única inversión en TI.
Ante este panorama es muy difícil plantearse una implantación exhaustiva de normativas de seguridad. La solución habitual pasa por mantener un anti virus/troyanos/spyware activado y actualizado. Referente a este punto, muchas de las incidencias (un 85%) se habrían resuelto teniendo los programas actualizados, ésto deja patente la poca preocupación que muestran los empresarios en el tema de la seguridad TI.
Pablo ha propuesto diversas medidas que ayudarían a mejorar el panorama de la seguridad en las PYMES, entre las cuales se encontraba, como no, el importe económico, haciendo referencia a las actuales subvenciones que proporciona el Gobierno mediante el Plan Avanza. También remarcar que la industria de la seguridad al completo debe amoldar sus productos, servicios y precios a las particularidades de las PYMES.
Acto seguido, y modificando el orden previsto, hemos "disfrutado" de la ponencia de Guido Stein, profesor del IESE. No conocía a Guido, y la verdad es que me ha sorprendido muchísimo, es un orador nato, consigue lo que todo el mundo busca, "enganchar" al oyente, y mantenerlo atento hasta el final. Sus armas: don de palabra fluido, diapositivas/peliculas muy gráficas, sencillas y perfectamente entendibles.
Guido ha titulado su presentación "De la información a la comunicación pasando por la confianza". Tal vez la relación de esta ponencia con el hilo conductor de la jornada estaba cogida por los pelos, pero no por eso ha dejado de ser interesante. Guido nos explicaba como la comunicación, o la falta de ella, puede generar comportamientos muy diversos. Mediante una matriz (formato no muy del agrado de Guido) nos dejaba claro la relación entre una buena y mala actitud enfrentada a una buena y mala aptitud, y de que manera afectan a la confianza.
Otro aspecto a remarcar de esta ponencia ha sido la entrega de una hoja, en la que debíamos ir apuntando los frenos y motores que creíamos que tenía la confianza en nuestras empresas y medidas que podrían revertir esas situaciones.
La jornada ha terminado con otra mesa redonda, compuesta por:
- Tomás Roy: Director de Calidad, Seguridad y relaciones con proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya.
- Andreu Bravo: Responsable de Seguridad de la Información del Grupo Gas Natural.
- Cristina Segura: Directora de Sistemas de Información Corporativos, ASERCO (Grupo Agbar).
- Xavier Serrano: Director de Seguridad Tecnológica del Grupo Banco Sabadell.
Y como moderador de la mesa, Albert Lladó Palau, Presidente del capítulo de Barcelona de ISACA.
El título del debate fue: "Las políticas internas: generación de actitudes proactivas y contramedidas a las amenazas". La mesa se basó principalmente en el comportamiento de los trabajadores, comentando muchos de ellos anécdotas vividas, como la comentada por Cristina, en la que un directivo de su empresa se quejó de la recepción de un correo electrónico en el que le pedían el cambio de domiciliación de los recibos. Tras este grave incidente de "seguridad", se investigó hasta encontrar que la dirección de correo del directivo se encontraba en infinidad de presentaciones realizadas por él mismo y que se encuentran colgadas por la red. Otra prueba más de la importancia que tienen los datos y de cómo muchas veces los "entregamos" sin tener mucha consciencia de ello.
Andreu nos comentó que eventualmente ofrece charlas de concienciación en colegios, a los tres colectivos, alumnos, profesores y padres de alumnos, y constata como, de entrada, nadie considera tener información importante en el PC, pero conforme van desgranando la conversación, llegan a la conclusión que si contiene datos personales y de gran valor, por ejemplo, tarjetas de crédito, facturas, declaración de renta, etc. Destacar que el control que cuesta menos, y a la vez más valioso, es el propio usuario, lo cual lleva a la obligación de concienciar, concienciar y concienciar.
Por Tomás Roy siento una especial debilidad (profesional claro), ya que ameniza mucho sus charlas, las convierte casi en "informales", añadiendo puntos de humor, lo cual hace distendir el ambiente. Tomás, desde su posición de Responsable del CTiTI, nos comentó varias anécdotas "sufridas" por la Generalitat, como por ejemplo los problemas que sufren cuando aparecen las direcciones gencat.cat y gencat.net en listas negras de correo, la saturación de los servidores de correo, el intento de extorsión por los propietarios de las listas (qué somos un gobierno y tenemos policia ja ja ja).
Al finalizar esta mesa, se dio por cerrada la IV Jornada Internacional del ISMS Forum, y al salir al hall, nos esperaba un regalo, el libro "Patrolling Cybersapce, Lessons Learned from a lifetime in Data Security" de Howard A. Schmidt, el cual ya está en mi mesita de noche para empezarlo hoy mismo. Además tiene 5 créditos CPE para el CISSP..........
Ahora, desde la comodidad de mi casa, me gustaría exponer unos detalles sobre la jornada:
a) En la antesala del auditorio habían espacios reservados para posters promocionales de diversos partners. Nos llamó la atención los numerosos espacios vacíos que estaban reservados a empresas concretas y de renombre. Omitiremos sus nombres. No tiene más importancia pero provocaba un poco de daño a la vista, no por el aspecto visual sino por la reputación de las empresas que no tenían nada puesto.
b) Respeto de horarios, personalmente me resulta una falta de respeto, educación y consideración enorme por parte de los asistentes el hecho de llegar tarde. Hubo un momento que sentí vergüenza ajena puesto que Gianluca estaba empezando la jornada de la tarde y había tanta gente de pie charlando a viva voz que ni siquera se le escuchaba. En fin, me temo que en estos temas aún estamos más lejos de algunos de los aspectos de la seguridad de la información a mejorar.
c) Dar las gracias y recuerdos a sus familiares a la gente que acude a estos eventos para charlar con su compañero de asiento, haciendo muy difícil oir las ponencias a la gente de su alrededor.
Nuestras más sinceras felicitaciones a isms por la invitación, a todos los participantes y colaboradores en la organización del evento, a los ponentes y a todos los asistentes ya que sin ellos (nosotros) nada de lo relacionado con la seguridad de la información tendría sentido.
No hay comentarios:
Publicar un comentario