EN 50600 EN LA REGULACION DE IT

Llegamos a fin de año...Este 2018 se nos ha ido en un suspiro peleando por cumplir numerosas Directivas, Regulaciones, y legislaciones que afectan a nuestra infraestructura de IT...Además, hemos entrado de lleno en términos como la Economía Digital, la Industria 4.0, por no hablar del cumplimiento del Reglamento Europeo de Protección de Datos. que nos hace ser conscientes de que aunque tengamos nuestras aplicaciones en un móvil, estas al final acceden a unos determinados servicios que están alojados en un sitio físico. Este sitio físico se ha llamado, se llama y creo que se llamará, CPD...

Desde 2002, los CPDs salieron del ámbito de los fabricantes y empezaron a evaluarse por terceros, como puede ser UpTime o como ha hecho TÜViT, ambos con un Esquema de evaluación propio.
La respuesta de Europa no llegó hasta 2016 cuando se publicó el primer Esquema europeo para Centros de Procesos de Datos, EN 50600.

En este año, con la Directiva NIS ya teniendo que estar transpuesta a los distintos estados miembro, la hace más relevante por las siguientes razones:

1. Afecta a organizaciones ofreciendo "servicios esenciales" a sus clientes. Estos servicios esenciales son: alimentación, sector financiero y tributario, Administración Pública, espacio, industria nuclear, agua, energía, salud, entorno IT, y servicios digitales.
2. Establecer CSIRTs en los propios estados miembro. Estas organizaciones son las responsables de gestionar los incidentes de seguridad cuando estos ocurren y de darles la respuesta oportuna, por lo que la dependencia de estas entidades de las áreas de IT son enormes.
3. Los proveedores de servicios esenciales deben demostrar:
a) Que evalúan sistemáticamente los riesgos asociados con su infraestructura de IT.
b) Que toman las "medidas adecuadas" para prevenir estos riesgos.
c) Que establecen las adecuadas estrategias de respuesta ante incidentes de ciberseguridad

4. Estas medidas afectan tanto a la organización como a sus proveedores.
Los beneficios, por tanto de establecer, auditar y certificar la organización conforme a EN 50600 son, entre otros:

1. Tener una identificación clara de las áreas de riesgo de IT
2. Definir las medidas adecuadas para la operación del CPD, evitando por lo tanto sobre o infradimensionar  la instalación (KPIs).
3. Integrar las actividades de mantenimiento en la propia operativa del CPD.
4. Disponer de recursos humanos formados, capaces y entrenados para hacer frente a las contingencias que puedan surgir.
5. Garantizar la seguridad de la instalación y del personal involucrado en su operación.

Por todas estas razones, 2019 va a ser un año interesante, y altamente tecnológico. Por todo esto, ¡feliz 2019!

Centrales Receptoras de Alarma. Seguridad Física con Garantía Tecnológica (EN 50518:x)

Los servicios críticos y esenciales de la Sociedad, y sin duda la Seguridad lo es, dependen cada vez más de la fiabilidad, disponibilidad e integridad de la información que recibe, emite y almacena estos servicios. Las Centrales Receptoras de Alarma (CRA) son un sector en sí mismo exigente y con un nivel de responsabilidad muy alto ya que de alguna manera garantizan la inviolabilidad de la propiedad privada, como pueden ser los entornos residenciales y personales, como los servicios de interés público tales como hospitales, edificios públicos, Bancos, etc. 

Ya hemos dicho en ocasiones anteriores que uno de los elementos esenciales de la Seguridad es la estandarización, es decir, la implementación de normas y hábitos comunes que permitan de alguna manera prevenir incidentes o reaccionar rápidamente cuando estos ocurran.

En 2010, estos requisitos respecto al ámbito de Centrales Receptoras de Alarma se recogieron en el Estándar EN 50518:10 que con sus tres partes (Parte I. Diseños mínimos de Diseño, Construcción y Operación; Parte II.  Requisitos Técnicos de la Central Receptora de Alarmas. Parte III. Requisitos de Operación) han sentado las bases  para proteger estas importantes infraestructuras. El Estándar ha seguido evolucionando ya que este sector tiene una alta dependencia del sector tecnológico tanto para garantizar la integridad de los elementos instalados como la fiabilidad de las aplicaciones que utiliza y de los medios de transmisión, así como de la información almacenada por lo que en la última versión actualmente lista para votación (Fpr EN-50518) da un importante peso a los elementos tecnológicos y a la integridad del entorno IT ya que es un sector altamente dependiente de esta infraestructura.

Sabemos por otro lado, que el sector IT tiene sus propias normas y regulaciones que obligan también a que cualquier incidente que afecte a la información que tramita se tenga que comunicar en un plazo entre 48 y 72 horas, dependiendo de la normativa, y sector.

Nada de esto es posible sin procedimientos claramente estructurados, conocidos e implementados que permitan una reacción rápida ante un determinado acontecimiento. 

Nuestra recomendación es por tanto, utilizar la norma como base para la construcción de una infraestructura sólida y de un servicio de altísimo nivel, ya que en Seguridad no puede haber rebajas...

(*) Imagen "Presentation SP-IoT Domotics del ISO/IECJTC1/SC27/WG4, Security Controls & Services", Luxemburgo, 16/10/2018

¿Puede Entenderse Europa sin Santiago?

Un año más celebramos en España a nuestro Patrón, Santiago...Debemos de ser de los pocos países del mundo en el que este día no es festivo en todo el territorio...Yo sin ir más lejos estoy trabajando...Ironías de la economía global y civilizada...Sin embargo, no se puede mirar a Santiago de Compostela sin mirar a Europa, ni entender Europa sin el peso creado por una cultura católica...¿A qué contribuyó este Camino archiconocido y que últimamente se ha puesto nuevamente de moda?

Primero hay que retrotraerse al siglo XI, tres siglos después del descubrimiento del enterramiento del Apóstol ya constatado por el Beato de Liébana, en el siglo VII. Es en este momento y hasta el siglo XIII en el que la visita a la tumba del Apóstol favorito de Jesús crea una rica ruta de intercambio de bienes, arte y cultura entre la Europa conocida hasta entonces.

¿Qué debemos a esta ruta? Los primeros beneficios, casi como en cualquier iniciativa religiosa católica, son beneficios más bien civiles; es decir, la restauración de las vías romanas, ya bastante deterioradas, para permitir la ida y venida de peregrinos, el establecimiento de albergues y hospitales para cobijarlos,  curarles y darles digna sepultura, ya que el camino no estaba exento de riesgos y enfermedades,  y el establecimiento de núcleos de población con fueros especiales que han llegado hasta nuestros días.

Los beneficios religiosos fueron también grandes, con la expansión del románico cuya muestra podemos encontrar a lo largo de todo el camino, con distintas innovaciones, el cambio del ritual de la Misa y otras celebraciones religiosas, y sobre todo la prueba de celebración en la unidad con gentes procedentes de toda Europa.

Quizá fue la primera ayuda "a la globalización" de la mano de órdenes como la de Cluny, que al establecer sus Monasterios a lo largo del camino copiaron, tradujeron y preservaron aquellos escritos generados en la entonces remota Península Ibérica, no solo procedentes de fuentes cristianas si no de la cultura musulmana imbricada en nuestro territorio.

Desde este blog, dedicado sobre todo a la Tecnología, me gustaría invitaros a echar una mirada a lo alto, ya que sin esta mirada no puede entenderse nada de lo que la Tecnología nos aporta si la apartamos de lo que somos como personas y que tan bien entendió Santiago. En este día de Santiago Aposto, ¡Ultreia!

¿Seguridad y Privacidad? ¿Estamos preparados?

Desde hace más de un año se lleva hablando de la implantación del Reglamento Europeo de Protección de Datos y sus implicaciones...Sin embargo, su puesta en vigor prevista para el próximo 25 de Mayo  está abriendo un nuevo entorno al que las empresas van a tener que hacer frente...Hasta ahora, hemos tenido múltiples noticias de ataques cibernéticos a niveles cada vez más profundos y con diversos objetivos (extorsión, Denegación de Nivel de Servicio, fuga de datos, etc.).

Este último objetivo del ataque, es decir, la difusión incontrolada de datos personales y las responsabilidades de los controladores de estos datos, hace que el nuevo Reglamento añada requisitos muy rigurosos referentes a la ciberseguridad (i.e. notificación de brechas de seguridad, seguridad por defecto y por diseño, etc.), lo que está cambiando radicalmente las medidas de Seguridad de las organizaciones.

Además,  a este Reglamento de obligado cumplimiento para los Estados Miembros y para todos los operadores de datos que tengan relación con la Unión Europea, se hace referencia en multitud de normas (i.e. Ley de Protección Privada, Ley de Servicios de la Sociedad de la Información, Directiva NIS, Norma EN 50518 para Centrales Receptoras de Alarma, etc.).  A esta situación se añade la presencia diaria de dispositivos capaces de recoger nuestros datos, almacenarlos y procesarlos, como demuestra la figura adjunta.

En esta situación, ¿que deben hacer las empresas?  A mi modo de ver, hay tres actividades relativamente sencillas que deben hacerse sin más tardar:

1. Formación sobre el Reglamento y sus obligaciones técnicas. Hay mucha formación legal pero es necesario incluir los requisitos técnicos a los que obliga GDPR.
2. Valoración de la situación actual, cumpliendo uno de los requisitos de GDPR, como es la Evaluación de Impacto de la Privacidad (PIA en sus siglas en inglés).
3. Certificación de la instalación y de las aplicaciones utilizadas, ya que en este caso es la prueba objetiva de que la instalación es fiable y se han puesto las medidas adecuadas para salvaguardar el servicio y la organización.

Desgraciadamente, el "el riesgo 0" no existe, pero con estas medidas es posible minimizarlo...
Recomiendo, además el Libro Blanco publicado por INCIBE, Red.es y Haiwei sobre un entorno IoT seguro...¡Utilísimo teniendo en cuenta la omnipresencia de dispositivos en nuestra vida diaria!

La Agilidad de IT empieza por el CPD

CPD Modular para el Entorno educativo





Nos llega una época de grandes cambios, con la entrada en vigor del Reglamento Europeo de Protección de Datos, y la transposición de la Directiva NIS entre otros....Además sigue en una situación creciente la demanda de recursos de IT para soportar todas las iniciativas sociales y empresariales que están teniendo lugar. En este contexto se hace imprescindible renovar de una forma ágil (y económica) la infraestructura que lo sostiene, es decir, el CPD...En este contexto los Centros de Datos modulares pueden ser una gran solución porque en un breve tiempo se tiene el servicio completo; si además ofrece la garantía que da la certificación, mejor que mejor...En esta línea, me gustaría compartir con vosotros este vídeo sobre el uso de Centros de Datos modulares en el entorno educativo que está llevando a cabo una de las empresas punteras en este entorno, Schneider Electric. Valga esta muestra para demostrar que los CPDs modulares han venido a quedarse y a transformar desde la base nuestra forma de abordar los negocios digitales.