sábado, 31 de mayo de 2008

ISO 27001:2005, Primera Reunión de Intercambio de Experiencias en Monterrey

"La Seguridad no es un producto; la Seguridad es un proceso".

La frase anterior es el mantra que todos los gurús profesionales en seguridad repiten una y otra vez (¿repetimos?). Esto es una gran realidad, pues en la actualidad muchas empresas no han entendido que la seguridad no es algo que se compre en caja, ni un proyecto que tenga una fecha de inicio y una fecha de conclusión, o algo que sea responsabilidad exclusiva de TI, sino que es un proceso de mejora continua, en el que todo el personal de la compañía debe estar involucrado.

Con esto en mente, ALAPSI Noreste organizó el 29 de mayo la Primera Reunión Cumbre de Intercambio de Experiencias con Sistemas ISO 27001:2005 Certificados, que tuvo como finalidad juntar a representantes de algunas empresas de México que han obtenido la certificación en Sistemas de Gestión de Seguridad de Información ISO27001:2005, para que platicaran sus experiencias en torno a la certificación, los beneficios obtenidos, las recomendaciones para aquellos que estén planeando iniciar el proceso de certificación, los retos que enfrentaron, etc. Entre los panelistas tuvimos a Patricia Molina de Elcoteq, a Carlos Rincón de Laboratorios Armstrong, a Daniel Aldrete de Hispanic Teleservices y a Ricardo Morales de Alestra. Todos ellos coincidieron en algo: la certificación ISO 27001:2005 les trajo beneficios a sus respectivas organizaciones, tales como mayor confianza por parte de sus clientes, estandarización y mejora de sus proceso internos, ahorros significativos, entre otros más.

ISO 27001:2005 es un estándar para la seguridad de información basado en la norma británica BS 7799, y que define lo nececesario para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de Información, de acuerdo al Ciclo de Deming (o Plan, Do, Check, Act). Aunque la seguridad en sí no es un producto ni un proyecto, como ya lo mencioné anteriormente, la implantación de este estándar en una empresa con miras a la certificación sí requiere que se maneje como un proyecto, con su propio presupuesto. En general la implantación de ISO 27001 puede durar entre 6 meses y un año, según el alcance requerido y qué grado de madurez tienen los procesos en la organización. Aunque algunas empresas requieren el apoyo de consultores externos, es importante considerar dos cosas: primero, que tengan la experiencia suficiente en implementaciones anteriores, no que vengan a aprender con la empresa; y segundo, que su participación se limite a guiar al personal estratégico en cómo hacer las cosas, y no a hacer él sólo todo el trabajo desde lo básico (créanme, un consultor puede resultar muy caro). Una vez que el sistema está implementado y se tienen al menos unos 3 meses de evidencia documentada, ya se puede invitar a un organismo certificador (externo a la empresa) para que revise los procesos, la evidencia documental y se cerciore de que se cumple con lo establecido en el estándar. Por lo que escuchamos por parte de los que ya han recorrido este camino, no es fácil, pero vale la pena.

Esta reunión fue organizada por ALAPSI Noreste, que es la Asociación Latinoamericana de Profesionales en Seguridad Informática, de la cuál formo parte. Nuestra misión es crear conciencia y capacitar a organizaciones e individuos en el área de Seguridad de Información, por medio de cursos, seminarios, conferencias, artículos en publicaciones relacionadas con seguridad, etc., y promover prácticas que aseguren la confidencialidad, integridad y disponibilidad de los recursos informáticos de las organizaciones.

En resumen, espero que con eventos como éste cada vez más empresas se sientan comprometidas con la seguridad de la información, y comiencen a establecer las bases necesarias para que sus organizaciones mantengan los niveles de seguridad que se requieren en esta era de la información.

:wq!

martes, 27 de mayo de 2008

Lo nuevo en Sun Tech Days 2008, México

Otro año más y no he podido ir al JavaOne. Ni modo. Pero esta ocasión estuve nuevamente en el Sun Tech Days 2008, en la Ciudad de México, que sigue siendo una buena (y barata) opción para actualizarse en temas de Java y Solaris. El evento lo organiza Sun Microsystems y es algo así como un "world tour". Ahora no escuché a Sang Shin, pero estuve en varias conferencias con Raghavan "Rags" Srinivas (el del sombrero vaquero), por ejemplo, y nuevamente con Fabiola Gallegos. Mi objetivo principal en este viaje fue el de actualizarme en temas como SOA (Service Oriented Architecture), seguridad en Web Services y, por supuesto, en Mobile Applications.

Como un plus, estuve en una demo de Sun SPOT (Small Programmable Object Technology), que es una tecnología (aún experimental) de Sun Labs para la programación de dispositivos inalámbricos, equipados con sensores de luz y temperatura, acelerómetros, y un transmisor de radiofrecuencia de 2.4GHz, entre otras cosas (sin olvidar que corre con una implementación especial de virtual machine llamada Sqwawk, que corre directamente en la flash del dispositivo, hace la función de sistema operativo e implementa Java ME). La sesión se enfocó en demostrar la programación del dispositivo para transmitir la información recolectada por los sensores, o la incorporación de un dispositivo electrónico externo (en ese caso, una brújula electrónica) que transmitió la orientación hacia el basestation, y fue representada gráficamente en una aplicación de escritorio con Swing; fue sencilla, pero bastante ilustrativa. Lo malo es que en México aún no pueden conseguirse los kits de Sun SPOT, porque tienen que cumplirse ciertas regulaciones antes, pero un día de éstos conseguiré mi propio kit para jugar un rato.

Referente a Java ME, las demostraciones de Fabiola en este año se enfocaron a ejemplificar la ejecución de programas Java en dispositivos ejecutando Windows (como Pocket PC) y en BlackBerry. Fue todo un show, porque ejecutar una aplicación de Java ME en una Pocket PC requiere primero la instalación de una JVM específica para esa plataforma, y luego ya la instalación de la aplicación Java, que no es nada sencillo, sin embargo es posible. Para el caso de BlackBerry es más sencillo, pero aún así no es tan directo como en la mayoría de los teléfonos celulares habilitados con Java.

Y para terminar, las sesiones de SOA fueron bastante extensas y muy ricas en contenido. Como lo mencioné, mi principal preocupación era escuchar sobre los temas referentes a seguridad, y no me decepcionaron. Esto es particularmente importante por tratarse de una arquitectura que pretende integrar múltiples servicios a través de Web Services independientes de lenguaje, BPEL para coordinar u orquestar las transacciones que deban hacer uso de múltiples Web Services, y que permite la integración de tecnologías de seguridad que protegen la integridad y confidencialidad de los datos a través de todas las operaciones entre todas las entidades, y no sólo entre dos servidores. Sobre este tema escribiré en otra ocasión más ampliamente.

Bueno, así fue la semana anterior: "100% Pure Java".

:wq!