LeetSecurity

Archivo de la categoría ‘Blog’

Hoy ha tenido lugar la entrega de llaves de nuestras nuevas oficinas en el Vivero de Empresas del Parque Tecnológico de Móstoles situado en la calle Federico Cantero Villamil (cómo llegar). La entrega ha sido realizada por el propio Alcalde de la ciudad, D. Daniel Ortiz (@danielortizesp), a nuestro CEO, Antonio Ramos.

La adjudicación de este espacio en el Vivero (realizada por concurso público) supone para nosotros un gran apoyo a nuestro proyecto por parte de los principales promotores de esta iniciativa, el Ayuntamiento de Móstoles (a través de EMPESA – Empresa Municipal de Promoción Económica) y la Universidad Rey Juan Carlos como gestora del centro.

A partir de este lunes, ya sabéis dónde podéis encontrarnos…

Os dejamos con una foto de Antonio Ramos en su nuevo despacho del centro:

Puedes seguirnos en twitter.com/leet_security

Todos aquellos familiarizados con la protección de datos personales, saben que la subcontratación de servicios no es algo trivial. Y es que las tareas se pueden delegar, pero no así la responsabilidad: La responsabilidad no se puede delegar. Y para los que tuvieran alguna duda, el artículo 20.2 del Reglamento de desarrollo de la LOPD (pdf) no deja lugar a dudas:

“Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”

De esta forma, no queda lugar a dudas de que, en caso de subcontratar, el responsable del tratamiento debe realizar una adecuada selección del proveedor para que se garantice el cumplimiento de las medidas de seguridad y no, solamente en el momento de la contratación, sino durante toda la duración de la prestación de servicios.

En este aspecto, la calificación de servicios puede ayudar a esos responsables de tratamientos de diversas maneras:

• En primer lugar, la calificación del servicio nos ayuda a identificar qué servicios son aptos para ser subcontratados, en función del tipo de datos tratados ya que el esquema de calificación otorgará una ‘D‘ a aquellos servicios aptos para realizar tratamientos de nivel básico, una ‘C‘ para los de nivel medio y una ‘B‘ para los de nivel alto (los que tengan una ‘A‘, obviamente, son aptos para cualquiera de los anteriores).
• En segundo lugar, para que, durante la duración del servicio podamos comprobar que el servicio prestado sigue siendo apto para el tratamiento realizado, puesto que la calificación tiene una validez de un año y, además, existe procedimientos de vigilancia establecidos por la propia agencia para identificar desviaciones de la calificación en vigor.

En definitiva, la calificación se convierte en otra herramienta más en manos de los responsables de ficheros para cumplir con sus obligaciones en materia de protección de datos de carácter personal.

Puedes seguirnos en twitter.com/leet_security

ISACA acaba de publicar el libro “IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud” (pdf solo para socios, el resto tendrá que comprarlo) en el que analiza como utilizar los materiales ya publicados previamente (COBIT, RiskIT, ValIT y BMIS) de modo específico a la problemática de la computación en la nube.

Nos gustaría resaltar algunos aspectos del documento que tienen relación con nuestra actividad como agencia de calificación de servicios.

En primer lugar, al analizar los retos de la computación en la nube, se mencionan algunos en los que la utilización de la calificación de los servicios podría tener un efecto muy positivo. Nos referimos concretamente a:

• La transparencia de los procedimientos / políticas de seguridad – La utilización de la calificación es, sobre todo, un mecanismo de transparencia, por tanto, su aplicación a los servicios de TI y, en particular, a los prestados en la nube, ayudará a clarificar la postura de seguridad, no solo de cada proveedor, sino de cada servicio (un proveedor puede ofrecer distintas modalidades de un servicio fundamental con diferentes grados de seguridad).
• La viabilidad de negocio del proveedor – La calificación del servicio que realiza leet security toma en consideración no solo aspectos “técnicos” de seguridad, sino que también incorpora elementos como la estrategia, la política de gestión de personas o la situación financiera del proveedor, ayudando al cliente a formarse una opinión de dicha viabilidad.

En segundo lugar, al hablar del modelo de gobierno en la nube, existe un apartado dedicado (como no) a la due diligence del proceso de selección del proveedor. Para ISACA, “realizar una investigación sobre los antecedentes del potencial proveedor de servicios en la nube es una faceta crítica del proceso GRC de la nube, aunque sea oneroso“. Según el documento, habría cuatro aspectos que cubrir: Conocer a tu proveedor, derecho a auditar, evaluación de la continuidad y transparencia de la política / proceso de seguridad. En este apartado habría que resaltar que la aportación del sistema de calificación sería hacer este proceso de una manera mucho más eficiente y económica.

Finalmente, en el capítulo dedicado a dar garantías sobre la computación en la nube, encontramos múltiples referencias a la necesidad de crear un marco que simplifique esta tarea para la que, tanto proveedores como clientes, tienen incentivos para desarrollar. Hasta el momento existen múltiples estándares y documentos que intentan acercarse a la computación en la nube con un enfoque parcial (en el documento se recogen hasta 11), pero ninguno desde la perspectiva de ofrecer una visión al cliente sobre la resiliencia del servicio, que es el enfoque que hemos adoptado en nuestro sistema de calificación.

Por todos estos motivos, te animamos a enviarnos un correo a info@leetsecurity.com con dudas o cualquier otro tipo de información sobre el servicio de calificación.

Puedes seguirnos en twitter.com/leet_security

En estos tiempos que corren y después del protagonismo que han tenido las agencias de calificación de riesgo de crédito en la situación financiera actual, muchos se preguntan si la calificación continúa siendo un método adecuado para introducir transparencia en los mercados.

La opinión de leet es que no debemos confundir los errores que se hayan podido producir en la implantación del mecanismo con la validez del propio mecanismo. Digamos que sería como decir que los bancos ya no son una forma adecuada de canalizar las inversiones en el sistema financiero, más bien, habría que decir que hay que cambiar los mecanismos de incentivos y las reglas de los mercados.

En este sentido nos ha parecido interesante recuperar el paper elaborado por los profesores Zach Z. Zhou y M. Eric Johnson del Center for Digital Strategies de la Tuck School of Business presentado en el Whorkshop on Economics of Information Security de 2009, titulado “El Impacto de la Calificación de la Seguridad de la Información sobre la competencia entre proveedores”. El objetivo de su investigación era comprobar el efecto que tendría un sistema como el que estamos hablando sobre los proveedores de servicio, sobre los consumidores de dichos servicios y, finalmente, sobre el bienestar social general.

Las conclusiones a las que llegaron mediante el desarrollo de un modelo analítico sencillo fueron las siguientes:

1. La calificación no siempre beneficia exclusivamente al proveedor con mejores niveles de seguridad sino que puede afectar a todo tipo de proveedor. Esto ocurre porque la calificación introduce transparencia en los mercados y hace que el proveedor que no tiene seguridad tenga que bajar el precio de sus servicios y el que sí la tiene tenga que demostrar que realmente tiene mejores niveles de seguridad. La otra cara de esta moneda es que también hay situaciones en las que ambos salen beneficiados: Si los consumidores no son muy distintos, la diferenciación en seguridad de los servicios evita la competición en precios exclusivamente y aumenta los beneficios de ambos.
2. La diferenciación de la oferta hace que los proveedores puedan poner un precio mayor a los servicios con un mayor nivel de seguridad y esto podría afectar al precio que tuvieran que pagar los consumidores, siempre que no hubiera suficientes proveedores con buenos niveles de seguridad (es decir, en situación de monopolio u oligopolios – es decir, ningún o pocos competidores que ofrezcan el mismo servicio).
3. Aunque, como hemos visto, la calificación tiene efectos sobre todos los actores del mercado (proveedores y consumidores) de formas diversas, en todos los casos el bienestar social aumenta por la introducción de los mecanismos de calificación.

Nos gustaría resaltar esta última conclusión. Según los profesores Zhou y Johnson se deberían introducir políticas públicas que hicieran utilizar este tipo de  sistemas porque siempre que se introducen mecanismos de calificación, el conjunto de la sociedad sale ganando. Este resultado es lógico, puesto que sabemos que la introducción de transparencia en los mercados (y sino, que nos lo pregunten a los usuarios de Internet) hace que la sociedad gane en términos de eficiencia y eficacia (os recomiendo la lectura de Wikinomics para encontrar múltiples ejemplos de esto). Esto no significa que todos los actores estén mejor después de la introducción de dichos mecanismos, de hecho, algunos estarán peor, pero en general, la sociedad en su conjunto estará mejor.

Puedes seguirnos en twitter.com/leet_security

Vídeo de la charla en la pasada rooted con en la que se explica en qué consiste el sistema de calificación aplicado a la contratación de servicios TIC:

Antonio Ramos – La asimetría en el mercado de la seguridad (Rooted CON 2011)

Síguenos en twitter.com/leet_security