Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Adrian Davis, Senior Research Consultant de Information Security Forum

“Más importante que una certificación es responder a los riesgos de manera profesional”

01/09/2011 - Ángel Gallego
Es posible hallar paralelismos entre ISF y el Club Bilderberg, que reúne cada año a las 140 personalidades más influyentes de la sociedad occidental. Information Security Forum (ISF) cuenta entre sus miembros con 300 organizaciones de la elite empresarial, que cada 12 meses analizan la problemática de la Seguridad de la Información al más alto nivel. La gran diferencia es que sus conclusiones no son secretas y su trabajo va más allá de un congreso, tal y como desvela Adrian Davis, cabeza visible y 'visionaria' de la asociación.

¿Cuál es el principal compromiso de ISF con sus miembros?

ISF es una organización global sin ánimo de lucro que impulsa el liderazgo en Seguridad de la Información e Information Risk. Nuestros miembros son unas 300 de las compañías más grandes de la lista Fortune 500 y es importante señalar que no se puede pertenecer a ISF como individuo independiente porque el miembro es la organización.

Usted habla a menudo en sus ponencias sobre los 'Siete pecados capitales de cloud computing. ¿Cuál es la lección que los CISO deberían extraer?

La clave es conocer qué está sucediendo en el negocio, hablar con la gente y decidir para qué se va a usar la nube exactamente. Después, es necesario hacerlo de forma efectiva y garantizar su seguridad, que es lo más difícil y a su vez lo más necesario. Cuando hablamos de estos siete pecados, nos referimos precisamente a la ignorancia, la ambigüedad, la duda, la ilegalidad, el desorden, la vanidad y la complacencia.

¿Quiere decir con esto que conviene incorporar la Seguridad por defecto en cualquier proyecto cloud?

Depende, en algunos contratos bastaría con algunas cláusulas por escrito, mientras que si fuese un gran proyecto de data center en la nube sí se debería contemplar más allá de un documento, en forma de equipo profesional involucrado en Seguridad.

¿Es cloud muy distinto al outsourcing tradicional en cuanto a exigencias a terceros?

Es diferente, pero también muy similar. Me explico. Facetas propias del outsourcing como contratos, due dilligences, evaluaciones... se mantienen en la nube, pero hay que tener presente que es un modelo muy distinto, donde la auditoría es clave.

Un acuerdo de nivel de servicios (SLA por sus siglas en inglés) se controla en régimen de outsourcing al 99,9 por ciento, mientras que en la nube compras un servicio que el proveedor tratará de prestarte en las mejores condiciones y si falla, tendrás que analizar el porqué a través de una 'caja negra'.

¿Cuáles son las principales ventajas de CAMM (Common Assurance Maturity Model), el estándar que promueve su asociación?

Su principal valor es que se trata de una extraordinaria medida para controlar y medir la prestación de servicios de proveedores externos con una perspectiva global y, lo más importante, que no está impulsada por un fabricante, sino por especialistas en Seguridad de todas las partes del mundo y que trabajan en todos los sectores.

Al mismo tiempo, significa un paso adelante para adoptar otros estándares internacionales como PCI (Payment Card Industry), proporcionando una única visión a todos los proveedores.

¿Existen miembros de ISF que lo hayan adoptado?

Ahora mismo está en proyecto piloto, pero algunas compañías que están redefiniendo sus métodos de control lo están estudiando seriamente.

En términos de adopción de estándares, ¿aprecia grandes diferencias entre los países latinos y los anglosajones?

Sí que hay diferencias, sobre todo en cuanto a la importancia de la Seguridad en las organizaciones de cada país. Por ejemplo, en 2001, Japón concentraba la mayoría (unos dos tercios) de las certificaciones ISO 27001 y 27002 en el mundo.

Las certificaciones son importantes, pero lo es más conocer tus riesgos y responder a las amenazas de una manera profesional. Si controlas esto día a día, consigues cualquier certificado.

¿Cuál es el reto de las organizaciones para adaptarse a las políticas de Seguridad y protección de datos en un escenario donde ha irrumpido la 'consumerización'?

El reto es cambiar el modo de actuar y pasar de decir no a decir sí y de centrarse sólo en TI, dedicarse más a la Seguridad. Hay que tener claro qué políticas se alinean con el negocio y las cosas que podemos hacer para conseguirlo, creando marcos que faciliten la toma de decisiones.

Quiero decir que puedes tener un iPad o no, pero si lo tienes, has de cumplir con el marco establecido por la organización y recibirás una formación para saber qué está permitido y qué no. Así que el reto reside en decir sí a estos dispositivos, pero aplicando políticas claras. Aunque no es fácil, es un trabajo duro.

"La principal ventaja de pertenecer a ISF es que cuentas con la fuerza de 300 organizaciones, no de una sola"

Muchos piensan que ni con buenas políticas es posible acabar con la pérdida o fuga de datos...

Sí, es posible que las tengas porque no sabes con quién vas a trabajar en un futuro y cómo va a actuar, por esto es necesario un buen plan.

Si no tienes una fuga de información, no pasa nada, pero si la tienes, debes actuar rápido y mitigar el daño que pueda causarle al negocio. Este plan implica también un buen departamento de relaciones públicas, que comunique correctamente ante empleados, medios o accionistas.

Volviendo a ISF, ¿qué tal fue su último evento celebrado en Mónaco?

Se celebró del 7 al 9 de noviembre y reunimos a 650 profesionales, que se sentaron para hablar de sus problemas de Seguridad y compartieron sus experiencias.

Mi evaluación sobre este tipo de congresos es fabulosa porque entiendo que es muy útil para que ellos apliquen las distintas experiencias a su negocio y compartan sus inquietudes.

Aquí logran aprender y mejorar, así como comunicarse mejor dentro de su compañía. El próximo tendrá lugar en Berlín del 18 al 20 de septiembre.

¿Por dónde ha de iniciarse el cambio de mentalidad que ustedes promulgan?

Lo principal es alcanzar unas bases sólidas a partir de sistemas de parches, antivirus, firewall, etc. Sólo así se pueden construir unos cimientos sólidos. Una vez conseguido esto, se puede empezar a hablar del negocio y pensar en el futuro.

Fíjate en que esto es un proceso largo y no se consigue de un día para otro y la compañía tiene que dedicar tiempo a infundir la cultura de la Seguridad entre los empleados.

Después de esta labor inicial es más fácil avanzar, como ha hecho un amigo mío que es CISO y ha cursado un MBA, que le permite tener una visión de negocio con la Seguridad muy presente.

¿Qué le parece la idea de crear un documento de identidad digital para acceder a Internet?

Creo que puede ser un buen punto de partida porque facilitaría algunas cuestiones, pero no es la solución. Hay que intentar aportar alternativas y si no funciona, tratar de arreglar los fallos, pues es el camino más óptimo para aprender. Probar es mejor que no hacer nada.

¿Qué opina sobre España? ¿Se van a incorporar nuevos miembros a ISF?

El principal problema de España es su complicada situación económica, pero está cumpliendo con las directivas europeas sobre Seguridad y los miembros de ISF son muy activos, como BBVA, que se beneficia del principal poder que tenemos en la asociación, que es la fuerza de 300, no la de una sola.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual