lunes, 28 de septiembre de 2009 2 comentarios

Los retos de seguridad de la e-Adminstración

Ultimamente llevo publicando bastantes artículos y reflexiones sobre la Administración Electrónica. Estamos en un momento clave para el Estado, donde por primera vez se plantea el reto de utilizar eficientemente las tecnologías de la información para lograr productividad, agilidad, transparencia, ahorro económico y otras muchas ventajas más pero tengo la sensación de que estamos dejando pasar un tren que pagaremos muy caro en el siglo XXI. Este tipo de situaciones son únicas y hablar de la adecuada adaptación del Estado al uso de las tecnologías de la información tiene varios aspectos ineludibles que debieran plantearse y que quedaron reflejados en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

El problema es que la política no debe solamente preocuparse en recoger en la legislación unos preceptos sino también proporcionar recursos para que se hagan realidad. Todos los ciudadanos estamos cansados de leyes que se incumplen sistemáticamente o regulaciones que son sólo un brindis al sol. El examen real de la acción política debe ser la transformación de la realidad tras el establecimiento de la legislación. Tenemos claros ejemplos de éxito en las cifras de los accidentes de tráfico de estos últimos años. La legislación no se ha quedado en texto, ha logrado cumplir objetivos y las estadísticas (como medidoras de la realidad) demuestran con hechos la eficacia del regulador.

Leyendo el blog de Julián Valero y una noticia que me llegaba hoy por correo sobre la "inseguridad del DNI-E" se me acumulan reflexiones sobre el camino que lleva esto de la Administración electrónica.

Es curioso también ver como gremios no relacionados, como informáticos y juristas, empezamos a coincidir en el diagnóstico, cada uno desde su orilla.
  • Los jurístas están preocupados porque la transición a lo digital no pierda la seguridad jurídica del proceso tradicional. Ningún juez tiene problemas a la hora de entender y valorar que ha podido pasar en un caso relacionado con la tramitación en soporte papel.

  • Los informáticos estamos preocupados porque la transición a lo digital garantice la corrección en el procesamiento de los datos y la seguridad de la información.


Sin embargo tenemos síntomas de que esto no está siendo así en muchos casos. A ello se suma la complejidad de todo este mundo interconectado, donde por primera vez se requieren conocimientos de disciplinas muy distintas trabajando de forma conjunta para entre todos aportar una solución holística al problema.

El análisis desde la perspectiva del diseño de procesos que debe hacerse de la seguridad de la información requiere de un enfoque peculiar. Como ya comenté en su día en el post "Dentro de la Mente Torcida del Profesional de Seguridad" Bruce Schneier lo expresa muy claramente: "la seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad."

Y con esta forma de razonar, estoy sinceramente preocupado como profesional por la situación que plantea la e-Adminsitración. Quizás por venir asesorando al sector banca puedo decir que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar". Es ingenuo pensar que una vez que los procesos administrativos se canalicen por Internet no vaya a haber problemas. El ánimo de lucro es una poderosa motivación y el fraude será el origen de los males que acechen a la Administración electrónica, como ya lo es de los problemas que sufre la Administración tradicional.
¿Acaso no hay fraude en el IVA, la Renta, las subvenciones, en general en las gestiones administrativas habituales?

La Administración Electrónica puede contribuir en mucho a poner freno a estas situaciones pero tengo la sensación de que realmente parece que no queremos aprovechar estas ventajas. Es como si supieramos que estas medidas serán eficaces y que al sistema no le interese tanta efectividad. Sólo hay que ver, como prueba del éxito de los radares de tráfico cómo éstos han acabado siendo boicoteados. ¿Por qué? Porque son infalibles para el objetivo para el que han sido diseñados y por tanto, lo único que queda por hacer para vulnerar su seguridad es intentar destruirlos.

Internet no cambia los problemas, solamente los medios necesarios para causarlos.
Los técnicos que sabemos de esto nos vemos entre la espada y la pared: por un lado no queremos transmitir miedo porque si las cosas se hacen bien no tiene que haber problemas pero por otro, odiamos el absurdo juego político de vender humo cuando detrás realmente no hay ni por asomo la seguridad que se intenta vender.
De esta primera situación ya tenemos la primera víctima, el DNI-e. Aparece cuestionado como "inseguro" cuando esa afirmación no es del todo exacta.
Confundimos el todo por la parte y el mecanismo por la utilización que se hace de él.
El "USO del DNI-E" supone la relación de tres piezas: [soporte electrónico]<->[aplicación]<->[ciudadano]. Los fallos de seguridad por ahora vienen de las interacciones soporte<->aplicación y aplicación<->ciudadano. En sí mismo, la tarjeta electrónica del DNI-e si es segura, tal como demuestra la certificación ISO 15408 otorgada por el CCN. Lo que no es seguro es cómo las aplicaciones usan el DNI-e. Ya hace un par de años se hacían demostraciones técnicas de estos hechos. El tema es muy sencillo: la firma electrónica no es para nada un proceso similar a la firma manuscrita. Cuando firmamos algo, el usuario lo único que hace es indicar un pin que da acceso al sistema operativo a la clave privada del certificado para que la aplicación firme unos datos. Si la aplicación da el cambiazo a los datos, el ciudadano ni se entera.
¿Solución?
Siguiendo el principio del eslabón más debil, la seguridad debe ser igual de consistente en las tres piezas que forman parte de este proceso. En ello se trabaja desde hace tiempo.
Lo primero que se hizo es garantizar que el soporte electrónico donde se iban a guardar los datos de firma electrónica sea seguro. Pero esto es solo garantizar el buen funcionamiento de una de las piezas. Lo siguiente es ahora garantizar que deben ser seguras son las aplicaciones y el transito de información con la tarjeta electrónica. Por ello el esfuerzo del INTECO por publicar los Perfiles de protección en castellano.
Todo esto fue objeto de una explicación más extensa en los dos post ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones Parte I y Parte II. Sin embargo, ¿Quién entonces se va a molestar en garantizar que su aplicación usará bien el DNI-e?

El último de los problemas se planteará cuando siendo las aplicaciones sean seguras y el soporte también. Entonces la picaresca pondrá su objetivo en el ciudadano que no ha sido debidamente informado y formado sobre la utilización de estos medios. ¿Por qué desde el principio no se repartieron los folletos indicando en qué consiste el DNI-e?

Llevamos tanto tiempo haciendo las cosas mal que ahora va a ser muy complicado cambiar la forma de trabajar. Ni siquiera el Esquema Nacional de Seguridad puede que lo consiga. A nivel teórico es perfecto y propone un buen modelo de seguridad pero la realidad es que no dejará de ser más que un brindis al sol, como lo es actualmente el R.D. 1720/2007 en el titulo VIII de medidas de seguridad. ¿Qué consecuencias tendrá para una Administración Pública el incumplimiento del Esquema Nacional de Seguridad? ¿No tiene también consecuencias el incumplimiento de la Ley de Protección de Datos y a pesar de ello sigue sin cumplirse?

Es frustrante ver cómo si las cosas se hacen bien desde el diseño se evitan los problemas pero las miras cortoplacistas de la política no entienden estas premisas y van a apagar fuegos siempre, arreglando las cosas sobre la marcha cuando los daños ya se han sufrido.
domingo, 27 de septiembre de 2009 5 comentarios

El click que llevó a las hijas de ZP a Internet

Este fin de semana la polémica política de turno tiene por origen una foto de los Obama y la Familia ZP. Sin entrar en el debate político centrado más en las formas o la pertinencia de dicha foto, quiero reflexionar sobre el origen, la causa que da pie a estos hechos.

Quizás lo cotidiano de algunas acciones hace que no reflexionemos sobre su trascendencia, importancia y responsabilidad. Cuando vamos conduciendo por ejemplo, damos por hecho que mantenemos con pulso firme el volante, sin ser conscientes que si en algún momento dejamos de hacerlo o realizamos un movimiento no adecuado a cierta velocidad podría producirnos la muerte. Es un riesgo constante y continuo que nuestra conciencia trata de mitigar para que el miedo no se apodere de lo cotidiano. Ello no afecta ni altera para nada la existencia de esa amenaza, simplemente es la manera que tiene el ser humano de convivir con ella. Los ciudadanos de San Francisco están expuestos a terremotos pero sus vidas no se ven condicionadas por estos hechos, hasta que se tengan que enfrentar a ellos si alguna vez sucede algo.

Todo esto viene a colación de la siguiente reflexión: "Todos los clicks de ratón no son iguales". Cuando uno se dedica a la seguridad de la información tiene como axioma la protección de tres propiedades fundamentales: disponibilidad, confidencialidad e integridad. Sin embargo, cada una de ellas platea problemáticas diferentes por la esencia de su naturaleza.
  • La disponibilidad nos lleva a pensar en qué ocurre si hay una ausencia de servicios o datos y cómo lograr volver a la normalidad en el menor tiempo posible.

  • La integridad nos plantea la fragilidad de lo electrónico y cómo es necesario medidas de precintado de la información para detectar la alteración.

  • La confidencialidad siempre ha sido la propiedad estrella de la seguridad, tanto que muchas veces cuando se nombra la seguridad sólo se piensa en la confidencialidad. Ello se debe a que esta es una propiedad sin marcha atrás. Una vez rota no tiene reparación posible. A mi gusta en cursos, para ser más gráfico y didáctico, comparar la confidencialidad con la virginidad, una vez que la pierdes ya no volverás a tenerla jamás.


El origen de la polémica de este fin de semana tiene unos responsables claros. Las personas encargadas de la Web de la administración americana que decidieron maquetar la noticia y anexar la foto de los Obama junto a los Zapatero sin considerar que las hijas, como menores, tienen en la legislación española una protección especial para evitar dañar su intimidad. Como comentaba al principio, al pulsar el botón sobre "Publicar" estas personas no eran conscientes que estaban lanzando al aire "millones de folios" que nunca sabrán donde habrán caído. Si tras ese click descubre un error, podrás lanzar esos millones de hojas de nuevo, pero los que ya estaban en el aire del lanzamiento anterior no podrán ser recogidos. Es por ello que ya circulan por la red las fotos sin proteger de las hijas del Presidente del Gobierno. Esas caras ya no están pixeladas y no podrán pixelarse porque no se puede conocer quién tiene la foto sin proteger y sobre todo, qué uso a partir de ahora hará de ella. Toca ahora luchar contra los buscadores, las cachés, y todo usuario que tenga en su disco duro la dichosa foto, o sea, una misión imposible como ya demuestra la Red.



Y enganchando con mi primer apunte sobre la cotidianidad y la disminución de la sensación del riesgo, quiero hacer otro comentario. Hay profesiones que conviven con situaciones parecidas y por ello no relajan sus mecanismos de protección. Todos tenemos en mente por ejemplo, los protocolos de actuación en un hospital para hacer diagnósticos o cómo cuando un piloto de un avión comercial se sienta en su puesto, recoge un checklist y metódicamente empieza una por una a realizar las comprobaciones necesarias para saber que está todo bajo control. De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merece.

Ello da pie a otro de los debates del siglo XXI sobre si Internet es o no un medio de comunicación y qué responsabilidades deben tener los autores que suben información a la Web. Yo tengo claro que a nivel de internauta, poco se puede exigir mientras no se viole el Código Penal. Sin embargo, cuando hablamos de Webs Oficiales, que representan a una Entidad las cosas sí deberían cambiar. Si quieren vender confianza y que los clientes o ciudadanos nos fiemos de lo que una Web publica, deben de formalizarse los requisitos para no poder repudiar una información publicada y prohibir ciertas actuaciones que supongan pasarse de la raya o jugar con la fiabilidad o credibilidad de una Web institucional, algo que ya ocurrió en mi comunidad autónoma como pude comentar en "Jugar con los medios de comunicación como campaña turística"

En este caso, el responsable de la publicación Web (que debería sobre todo ser conocedor de la transcendencia del contenido más que de su forma) debería verificar antes de pulsar el boton "publicar" cosas como:
Checklist previo a la publicación online de contenidos:
  • Limpieza de comentarios y revisiones.

  • Limpieza de metadatos

  • Creación de la versión no manipulable y firma digital del contenido

De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Leyendo el Esquema Nacional de Seguridad he encontrado que estos hechos se toman en serio y que las medidas de seguridad son claras y pertinentes según el nivel de protección de la información a tratar. Pero al menos aparecen cosas como:
  • Firmar digitalmente la información, siendo el signatario la parte que se hace responsable de la misma.

  • Obligación de disponer de una Política de Firma Electrónica que establezca el rango de potestades.

  • Sello de tiempo para aquella información que pudiera ser considerada una evidencia electrónica en el futuro(Obligado solo para el máximo nivel de seguridad)

  • Limpieza de documentos antes de la publicación, la eliminación de los famosos metadatos, comentarios, revisiones y otros datos que han sido causa ya de algunos incidentes notorios por violaciones de la confidencialidad. El propio esquema insiste en que esto será especialmente relevante cuando el documento vaya a ser difundido en un servidor Web público o cualquier otro repositorio de libre acceso.



Si todo esto empieza a formar parte de nuestra nueva cultura del manejo de información y lo incorporamos a las rutinas del día a día, serán medidas que veamos como habituales y por tanto, no sean más que una de las acciones del trabajo de dar difusión a la información a través de la Web. El mismo hábito que colocarse el cinturón de seguridad al sentarse en el coche. Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merecen.
lunes, 14 de septiembre de 2009 6 comentarios

Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia

Hace un par de meses escribía un largo post sobre la ausencia de estrategia en materia de seguridad que podéis leer en el post titulado "La ciberseguridad española, sin orden ni concierto".

En aquel momento Joseba Enjuto vía comentarios ya avanzaba algo sobre la redacción del Esquema Nacional de Seguridad y en mis investigaciones posteriores pude hacerme con un borrador que andaba circulando.

Esta semana Joseba Enjuto de nuevo nos anuncia la publicación del borrador de Real Decreto donde se define, ni más ni menos que el Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad?
  • Desarrolla el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos donde se habla de la seguridad en la utilización de medios electrónicos en esto de la Administración Electrónica.

  • Será una reglamentación de obligado cumplimiento dentro de las Administraciones Públicas para garantizar la seguridad informática de los tramites online, y por ende, la seguridad jurídica. Dado que la validez jurídica y robustez de los procesos administrativos recae en la informática, ahora es necesario garantizar que no habrá problemas jurídicos cuando todo se base en la tecnología




El cumplimiento de este reglamento evitará situaciones como las alguna vez denunciadas en este mismo blog.

¿Para qué servirá el Esquema Nacional de Seguridad?
  • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información y aporta un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información de las mismas a la industria.


¿Qué tiene de nuevo?
  • Por lo que he podido leer, este Real Decreto son unos muy buenos cimientos para establecer una gestión de la seguridad dentro del ámbito de las AA.PP. Se basa en unos principios esenciales como son:

    1)Seguridad entendida como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

    2)Análisis y gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de diseño de la seguridad que deberá mantenerse permanentemente actualizado. La gestión garantizará el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

    3)Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a la información que maneja, o los servicios que se prestan.

    4)Reevaluación periódica: Auditoría cada dos años del funcionamiento de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.


¿Qué estructura tiene?
  • El desarrollo trata de establecer por Real Decreto una serie de requisitos mínimos que las Administraciones Públicas han de garantizar en todo lo relacionado con la e-Administración. Para ello, se han basado en las normas existentes y establecen vía reglamento unos criterios únicos y mínimos con idéntica filosofía a lo que hace el R.D. 1720/2007 en relación al cumplimiento de las medidas de seguridad vinculadas a los datos de carácter personal.

  • El documento establece unos principios básicos de gestión y luego desarrolla un catálogo de medidas de seguridad que serán exigidas de forma proporcional a los distintos organismos atendiendo a un criterio de clasificación bajo, medio o alto según la valoración de la información.

  • Las medidas se organizan en base a áreas que tienen a su vez apartados y dentro se concretan las medidas. Al igual que en la norma ISO 27002, podemos hablar de bloque, objetivo de control y controles solo que este Real Decreto establece mínimos necesarios y auditables.


¿Cómo se definen las medidas de seguridad?
  • El Real Decreto establece un principio de proporcionalidad donde a mayores requisitos de garantizar seguridad mayores requisitos exigidos como medidas de seguridad.
    Para ello, las medidas se organizan en base a los siguientes aspectos:

    3 MARCO ORGANIZATIVO
    3.1 POLÍTICA DE SEGURIDAD
    3.2 NORMATIVA DE SEGURIDAD
    3.3 PROCEDIMIENTOS DE SEGURIDAD
    3.4 PROCESO DE AUTORIZACIÓN
    3.5 AUDITORÍAS DE SEGURIDAD

    4 MARCO OPERACIONAL
    4.1 PLANIFICACIÓN
    4.2 CONTROL DE ACCESO.
    4.3 EXPLOTACIÓN
    4.4 SERVICIOS EXTERNOS
    4.5 CONTINUIDAD DEL SERVICIO
    4.6 MONITORIZACIÓN DEL SISTEMA

    5 MEDIDAS DE PROTECCIÓN
    5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
    5.2 GESTIÓN DEL PERSONAL
    5.3 PROTECCIÓN DE LOS EQUIPOS
    5.4 PROTECCIÓN DE LAS COMUNICACIONES
    5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
    5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
    5.7 PROTECCIÓN DE LA INFORMACIÓN
    5.8 PROTECCIÓN DE LOS SERVICIOS


  • Cada organismo deberá elaborar una declaración de aplicabilidad y detallar la situación en la que se encuentra cada medida atendiendo a sus niveles de seguridad definidos.


¿Donde puedo obtenerlo?
viernes, 4 de septiembre de 2009 0 comentarios

(In)Secure Magazine 22

Ya se ha publicado el Número 22 de la Revista Insecure Magazine.


Los contenidos de este ejemplar son:
  • Using real-time events to drive your network scans

  • The Nmap project: Open source with style

  • A look at geolocation, URL shortening and top Twitter threats

  • Review: Data Locker

  • Making clouds secure

  • Top 5 myths about wireless protection

  • Securing the foundation of IT systems

  • Is your data recovery provider a data security problem?

  • Security for multi-enterprise applications

  • In mashups we trust?

Podéis descargar la revista en este enlace.
jueves, 3 de septiembre de 2009 1 comentarios

Gripe A y continuidad de negocio

Ya se acabaron las vacaciones y toca de nuevo salir a la palestra a comentar las cosas del día a día. Como podéis ver, este verano he podido tener un hueco para mejorar la estética del Blog y poderlo hacer algo más agradable.

En relación a la saturación mediática referente a la gripe A, ya hablé antes de vacaciones de cómo una pandemia es una situación que puede poner a prueba un buen plan de continuidad de negocio. Como ya he comentado alguna vez, en el artículo "The Psychology of Security" Bruce Schneier explica que la seguridad es una realidad y una sensación.
Como realidad objetiva, la seguridad es matemáticamente mensurable: se puede estimar la probabilidad del acaecimiento de un riesgo y la efectividad de las posibles medidas de defensa.
Pero como sentimiento, la seguridad es subjetiva y se basa en nuestra reacción psicológica frente al peligro, el miedo y a los medios disponibles de protección. Ambas facetas son independientes: puedo estar objetivamente seguro aunque me sienta inseguro y viceversa. La mayoría de las veces cuando “la percepción de la seguridad” no se ajusta a “la realidad de la seguridad” es porque la percepción del riesgo no es pareja con la realidad del riesgo. Nos preocupamos por las cosas equivocadas prestando demasiada atención a riesgos menores y poca atención a los mayores riesgos. También profundiza en estas reflexiones Bruce Schneier en su libro "Beyond fear". En él se enumeran cinco situaciones donde el miedo influye en la estimación del riesgo:
  • La gente exagera los riesgos espectaculares y puntuales y minimiza los riesgos comunes

  • La gente tiene problemas estimando el riesgo de algo que se salga de su situación habitual.

  • Los riesgos personificados son percibidos como mayores que los anónimos.

  • La gente menos valora los riesgos que asumen voluntariamente y sobre valoran los riesgos de las situaciones que no controlan.
  • La gente sobre valora los riesgos de los que se habla y son expuestos públicamente.

Esto es lo que puede estar pasando con la gripe A. Sin embargo, toda adversidad es también una oportunidad para la mejora continua. Las organizaciones deben reflexionar sobre cómo están de preparadas frente a este tipo de contingencias. Cuando una amenaza se tiene identificada, se estiman las consecuencias y como de posible es que ocurra, en cierta forma se tiene algo más de control sobre la situación. Si además, existe un plan para poder reaccionar por si a pesar de todo las cosas suceden, ese riesgo está identificado, cuantificado y gestionado y por tanto, es dificil dejarse llevar por el miedo.

Quien no tiene claras las respuestas a las cinco preguntas básicas de todo plan de continuidad de negocio y no sabe cómo puede afectarle esta amenaza si puede tener suficientes motivos para estar asustado y por tanto, dejarse llevar por la psicosis que se pude estar generando en los medios con este tema.

Para quién quiera profundizar en este tema y enfrentarse a sus miedos, quiero recordar que ISMS Forum Spain ha traducido y editado por primera vez en castellano el Manual de Buenas Prácticas del Business Continuity Institute (BCI).

Se trata de una completa guía de gestión, actualizada en 2007, para instaurar Buenas Prácticas Globales en Gestión de Continuidad de Negocio (GCN) y entender sus principios de forma integral. Este manual ofrece una visión general del ciclo de vida de la Gestión de Continuidad de Negocio y está accesible en la sección de descargas de la Web de ISMS Forum Spain a la que llegáis a través de este enlace.
 
;