Seguridad y políticas comerciales

Antes de comenzar quiero reconocer algunas cosas, primero soy un desastre con las cuentas bancarias, segundo, que soy abonado de Digital Plus y tengo un recibo pendiente de pago, tercero, soy un poco paranoide con la seguridad de la información y cuarto, me molestan profundamente las malas políticas comerciales.

Ahora, me explico.

Ejerciendo su derecho a reclamarme lo que le debo Digital Plus (bueno, un call center subcontratado que trabaja desde fuera de España por su horario) me llama a decirme que tengo un recibo pendiente de pago porque mi banco lo ha devuelto (cosas que pasan por tener la nómina en un banco y los recibos en la cuenta que me hice a los 23 años). Esto es perfecto, no entiendo porque no usan mi correo electrónico (que también tienen) pero el método de contacto es libre. No me quejo de que me interrumpan en el peor momento siempre (tiene un don)

El problema es la gestión del pago, porque me piden mi tarjeta de crédito por teléfono, y no creo que sea una buena política darsela en este caso porque no tengo constancia de quien me llama, son ellos los que inician la llamada y no puedo verificar su identidad más que a posteriori ya que lo único que me ofrecen es darme un código de pago para que lo verifique en mi extracto.

He intentado todos los medios, no me dejan pagar por transferencia, no me quieren enviar de nuevo el recibo y no puedo iniciar yo la llamada, ni comprobar su número. Es decir, o me fío de que es Digital Plus quien me llama o no me cobran. Me ha pasado el mismo problema con la Cruz Roja hace poco o en su momento con la fundación Josep Carreras, me llamaron para darme de alta como socio y pretendían darme de alta con mis datos bancarios, ¿alguien da sus datos bancarios a una llamada no verificada?

La política de relación con el cliente de Digital Plus es dantesca, sé que son ellos, ese no es el problema, el problema es que generan malas costumbres en los usuarios. Si nadie pidiera tus datos bancarios de este modo habría mucho menos fraude porque la gente estaría acostumbrada.

Ante esta misma situación (si, soy un desastre, ya lo decía antes) Vodafone da hasta tres medios de pago alternativos, puedes darle tu tarjeta, te dan un código de transferencia o te reenvían el recibo, lo más rápido (inmediato de hecho) es dar la tarjeta de crédito pero no te obligan a hacerlo al menos. En el caso de Digital Plus el problema seguramente es que la subcontrata está interesada en realizar el cobro directamente para que le “cuente” como servicio, de hecho ese es el problema de Cruz Roja porque es una empresa de marketing la que realiza la captación de clientes.

Digital Plus debería darme una web de verificación y medio de pago donde introducir mi tarjeta (tengo un usuario y clave de acceso) o debería al menos permitirme iniciar yo la llamada a un número que pueda comprobar en su web de modo que sepa a quien le doy mis datos.

En las crisis más riesgo y menos seguridad

En las crisis hay que hacer recortes, y este resultado es tan previsible como ilógico, los últimos datos muestran que la seguridad TI no es tan prioritaria como para incrementar la inversión/gasto en ella durante este período de crisis.

Según las previsiones de Gartner las empresas gastarán alrededor del 5% de sus presupuestos de TI en seguridad en estos próximos doce meses.

Es ligeramente inferior al gato de un 6% que se estaba produciendo hasta ahora.

“In some ways, companies had to sort of coast a little bit during the economic slowdown and run the risk of leaving themselves vulnerable,” Vic Wheatman, Gartner Managing Vice President.

En las épocas de crisis todos recortamos los gastos de donde se puede, y lamentablemente la seguridad de TI sigue siendo vista como un gasto y por eso se recorta (no se suelen recortar una inversión que se considera rentable salvo falta de liquidez). En realidad en seguridad se invierte y los retornos de la inversión son la disminución de las pérdidas debidas a incidencias de seguridad, aunque no conseguimos (directivos de TI y proveedores) que esto se vea de este modo.

¿Por qué ocurre esto? Porque no sabemos demostrar el coste económico de los incidentes de seguridad, y no sabemos hacerlo porque ni siquiera los gestionamos correctamente, no se identifican, no se cualifican ni se cuantifica su coste. Y el motivo es que no disponemos de SGSI (Sistemas de gestión de la seguridad de la información) y no disponemos de ellos porque no invertimos en seguridad. Ya tenemos a la pescadilla mordiéndose la cola… ¿verdad?

Se requiere más esfuerzo de concienciación, primero de los directivos de TI, por responsabilidad con sus compañías deben empujar la implantación de los SGSI y la ISO 27000, porque es la mejor herramienta para justificar inversiones en seguridad. Pero sobre todo, se requiere que la dirección general sea consciente de que los negocios en el siglo XXI no sobreviven sin sistemas de información y estos no pueden ni deben ser vulnerables.

Tendencias

Por otro lado, dentro de las soluciones más dominantes parece que la gestión de identidades es la tecnología más prioritaria, he podido vivir varias implantaciones de estas soluciones (en concreto de IBM Identity Manager) y estoy de acuerdo en su preeminencia, las organizaciones de tamaño medio-alto no deberían prescindir de alguna solución de este tipo.

Las ventajas de estas soluciones son enormes, desde impedir accesos de antiguos empleados a disminuir el riesgo de accesos ilícitos, también mejoran muchos procesos de recursos humanos y de operativa de TI, por otro lado, la verdad es que las soluciones aún son complejas de implantar y requieren proyectos de cierto peso económico y tiempo.

Más información en:

¿Es culpable el fabricante de armas de los muertos?

facebook

La privacidad, ¿es una prestación de la herramienta o una sensación del usuario?

No estoy de acuerdo con el planteamiento de Enrique Dans sobre el tema, sostiene que la privacidad de los datos en Facebook es una decisión del usuario que los pone allí porque lo desea, hay dos temas muy básicos al respecto que niegan ese punto de vista:

  1. Hay usuarios no conscientes de las posibles consecuencias de los datos que proporcionan. El ejemplo de las aldeas es impreciso, que los ochenta habitantes del pueblo de mi padre me vean desnudo bañándome en el río (por ejemplo) un día no es lo mismo que me vea cualquier persona que busque mi nombre en la red durante los próximos 100 años. El alcance de los errores es descomunalmente mayor, por tanto el propio sistema debe aportar defensas al usuario.
  2. Hay una legislación que limita la difusión de datos personales a las empresas que los custodian, precisamente porque al recibirlos se hacen responsables de los mismos. De modo que hay “alguien” que ya ha dejado definido que el responsable de la privacidad es el depositario de la información y no el propietario como explica Dans.

Estos dos temas son en si mismos motivo suficiente para que Facebook deba responsabilizarse de la privacidad de la información que recoge, pero no son los únicos.

Es cierto que yo puedo prestar mis datos personales a una red social porque me interesa, pero mi interés es para algo concreto, puedo dar mi fecha de nacimiento para que mis amigos sepan cuando cumplo años y me llamen, pero no quiero que una empresa de regalos les inunde a Spam la semana de antes proponiéndoles regalos, que yo quiera prestarle la información a Facebook no es que lo haga “para cualquier cosa”. La red social debe implantar mecanismos que intenten limitar el acceso a los datos de un modo controlado independientemente de que el usuario sea o no consciente de lo que está exponiendo.

Las redes sociales se fundamentan en recibir información de los usuarios, unirla, referenciarla, darles opciones en base a ella, por tanto para existir debemos darles esa información, pero en ningún momento a fondo perdido. Una cosa es que LinkedIn difunda mis datos profesionales y permita contactar conmigo a ex-compañeros de estudios o trabajo, y otra que cualquier persona que estuvo en Tanzania en 2007 pueda enviarme cadenas de poemas por Facebook porque coincidió conmigo en el mismo país el mismo año. LinkedIn además tiene una política de control a los abusos que restringe los malos comportamientos, mejor no hablamos de los usuarios de Facebook o Twitter que se dedican a coleccionar “amigos” o enviar destructores de tiempo.

Facebook debe restringir el uso de la información que proporcionamos y poner toda la vigilancia posible en la privacidad de los datos, son 400 millones de personas, es demasiada gente como para cometer un error estúpido con todos ellos, por el bien de Facebook y de sus usuarios.

Si es el usuario el que debe controlar su privacidad, respecto a Facebook yo solo tengo una recomendación, no tener perfil con datos reales…

Respecto del título, no creo que el fabricante de los Magnum 357 sea responsable de las muertes causadas, pero Facebook por ejemplo es como si Magnum enviase un arma a cada casa del planeta con un “disclaimer” en el sobre que dijera “no lo use si no conoce las consecuencias”. Si una empresa pone armas en las manos de los usuarios de modo indiscriminado es responsable del mal uso que hagan de ellas. Y las redes sociales son armas de destrucción masiva de la privacidad y la reputación de una persona.

Ya saben porque no tengo enlace a mi perfil en Facebook, ¿no? 🙂

Cuando falla un servicio fundamental de modo inesperado

Europa está en caos, los aeropuertos cerrados y todas las empresas se han visto afectadas, en nuestro caso tenemos gente que no ha vuelto de un viaje, personal que no ha podido asistir a un cliente y los planes en el alero, y eso que debemos ser de los que menos impacto hayan tenido.

Es un gran ejemplo de como la supresión de un servicio (la interconexión por avión) provoca un impacto brutal e inesperado, y casi nunca se ha gestionado el riesgo, ¿quién tiene controlado que personal viaja cada fin de semana y  donde ha ido o como planea volver? Muy pocos tenemos ese nivel de prevención.

Un volcán entra en erupción en Islandia el jueves y entonces el lunes puede que dos personas críticas en su organización se hayan quedado incomunicadas en Roma, Londres o Paris. Suponga que son sus administradores de los sistemas de almacenamiento y que ha ocurrido un imprevisto, todas las aplicaciones de negocio se paralizan y su empresa se detiene.

La probabilidad de que ocurra esto, es evidentemente muy baja, ¿un 0,1% o un 0,01% de probabilidad de que las dos personas que necesita estén de viaje en el extranjero el mismo fin de semana? Multiplicado por el número de empresas que hay en España me dice que hoy varias compañías están en el alero.

Desde luego este tipo de situaciones son extremas, y gestionar pensando en ellas es exagerado, pero demuestra la vulnerabilidad latente no gestionada en las organizaciones.

Por cierto, viendo las consecuencias de si cierra el espacio aéreo, ¿han pensado en lo que ocurrirá el día que falle Internet a nivel europeo?

¿Imposible? ¿improbable? No, ustedes y yo sabemos que ocurrirá algún día porque ya nos lo dijo Murphy… 🙂

PD: La foto es de una erupción en Tonga, no he encontrado una de Islandia sin copyright

La Agencia de protección de datos inspecciona más de 600 centros en España

Según esta nota de prensa la AEPD está realizando una evaluación en hospitales de toda España del cumplimiento de la ley respecto de la protección de los datos, la nota es (en mi opinión) extremadamente dura.

  • Ha requerido a 654 centros sanitarios para que remitan a la AEPD un informe antes del 31 de mayo.
  • La finalidad es comprobar si cumplen con las garantías de protección de datos, especialmente con las medidas de seguridad y confidencialidad de la información sanitaria.
  • Existe una preocupación creciente de la AEPD por el impacto del incumplimiento de la normativa de protección de datos por parte de centros hospitalarios.
  • En los últimos años la AEPD ha detectado alarmantes casos relacionados con la difusión de datos de pacientes a través de redes P2P, como e-Mule, así como datos de salud abandonados en la vía pública.
  • Se analizará asimismo como son atendidos los derechos de acceso de los pacientes a las historia clínica.

En España no hay una clara conciencia respecto de la seguridad de los datos, sobre todo de terceros, y la política de gestión es difusa (o lo que es lo mismo, cada día diferente según el tiempo y recursos disponibles).

Es lógico que se comience por atender este tipo de acciones en áreas como la médica donde la información es muy sensible, pero creo que va siendo hora de que se le de un empujón a este tema desde un organismo o por ley incluso.

Simplemente la exigencia de la ISO 27000 para contratar con el estado (yo añadiría la exigencia al sector financiero y sus proveedores) podría ser suficiente para impulsar estas políticas, al menos exigir que se realice una gestión de las mismas y no se las deje de la mano de dios. Pero me temo que esto solo llegará desde el ámbito de la UE en algún momento.

Hasta el caso de moda, el juicio de Gürtel deja en evidencia la situación, ¿la información sobre cajas B, sobornos, delitos se guarda en un Pen Drive con nombres de ficheros tan descriptivos? No existe una conciencia de la seguridad informática, creemos que nuestros PC están seguros..

¿Puede la ISO 27001 llegar a ser de obligado cumplimiento?

Uno de los temas de los que quiero hablar en el futuro es de la norma de seguridad ISO 27000 y su aplicación, para mi gusto una de las áreas que más puede aportar a las compañías en el futuro por el tremendo margen de mejora que hay en los conceptos de seguridad y gestión del riesgo (en tecnología pero sobre todo a nivel corporativo) que su aplicación aporta.

Hemos tenido múltiples ejemplos en el pasado reciente de empresas que han gestionado mal el riesgo y cuyas consecuencias son enormes (Lehman Brothers, Bear Stearns, Martinsa) aunque lo más comúnmente comentado es una mala gestión empresarial (que posiblemente la hubo) sobre todo para mi hay una pésima gestión del riesgo asumido por las compañías debido a malos procedimientos y a una mal control de la información.

Este artículo (que he encontrado viendo el portal  http://www.iso27000.es/ comenta los pasos que se están dando en algunos países hacia convertir la ISO 27001 en una norma de obligado cumplimiento, además da un dato que a mi me parece notablemente interesante (por la cuenta que me trae el uso de la tecnología)

Las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.

Yo no veo que a corto plazo la ISO 27000 se convierta en norma legal en la Unión Europea salvo para el sector público (que no le iría nada mal), pero desde luego creo que si tu empresa quiere sobrevivir y competir a medio plazo necesita dos cosas: Un uso intensivo de tecnologías de la información y una adecuada gestión del riesgo y la seguridad.

Tal vez las TI y la ISO 27000 no sean obligatorias, pero desde luego son tremendamente recomendables, ya sabemos que las inversiones se están recortando porque los beneficios están más ajustados, los riesgos son elevados, pero si las TI mejoran los beneficios y la seguridad es primordial para sobrevivir, ¿a que espera para dar los pasos que mejoren su cuenta de resultados y disminuya sus riesgos?