Colegas, tentador como pueda parecerlo el tema de seguridad informática en el análisis de riesgos de ICANN, y seguros como pudiésemos identificarnos de que se establecerá entre los cinco riesgos de más significativo impacto a nivel general, me permitiré postular la posibilidad de que no sea el área en la que más eficazmente contribuyamos en la presente ronda de análisis. Añado que en el análisis que hicimos en el SSR-RT y en trabajos posteriores he tenido oportunidad de constatar que la operación de IT en ICANN es de clase mundial. Respecto a las certificaciones que ha mencionado Alberto, ICANN opera dentro del marco de una estrategia deliberada que juzgamos positivamente en su oportunidad. El costo - en tiempo del personal, costo de oportunidad, etc. - de las certificaciones es alto y no siempre proporcional a su beneficio; por ello ICANN avanza gradualmente en ellas. Si bien los incidentes reportados son dignos de atención, dudo que podamos hacer crecer entre nosotros un análisis superior a lo que podemos hacer dentro de los campos de dominio de nuestros miembros. Estimo plausible que en un breve plazo evaluemos los riesgos que hemos señalado en otras áreas, y propongo que nos movilicemos con agilidad para ello. Como Aída lo ha señalado pertinentemente, algunos miembros pudieran preferir una ampliación de explicaciones sobre los motivos para señlar dichos riesgos, a lo que me ofrezco con gusto. Roosevelt, ¿qué opinas? ¿qué nos diría al respecto la voz del Caribe y las Antillas? Alejandro Pisanty - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . . ________________________________________ Desde: lac-discuss-es-bounces@atlarge-lists.icann.org [lac-discuss-es-bounces@atlarge-lists.icann.org] en nombre de Aida Noblia [aidanoblia@gmail.com] Enviado el: martes, 20 de enero de 2015 17:25 Hasta: Alberto Soto CC: <lac-discuss-es@atlarge-lists.icann.org> Asunto: Re: [lac-discuss-es] Fwd: RV: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks Entiendo tu preocupación y la comparto Alberto, de lo poco que se respecto a sistemas informáticos, uno de los elementos importantes es la prevención de desastres o eventos desfavorables al funcionamiento del sistema. De lo contrario lo que queda es el back up , o sea la actuación a posteriori de esos eventos, que muchas veces es más costosa y de consecuencias más desfavorables. Creo que el cambio es bastante complejo para no tener esto en cuenta, pero como dices es tema técnico informático, sería interesante escuchar opiniones de los especialistas, de no existir, creo importante que se pueda solicitar de algún modo una respuesta a este tema. La seguridad de la información incluye también otros elementos respecto a la gestión documental misma, lo que circula en la red, los datos: su creación, conservación y trasmisión..para lo cual también existen normas técnicas , de lo que yo se la familia ISO 30.300.. se supone que se tendrá en cuenta, aunque el problema que ocurrió que mencionas tiene que ver con esto, que especialmente afectaría a WHOIS, aunque puede relacionarse a conflictos con nombres de dominios dado su incremento con los nuevos.. Hay un tema respecto a los distintos permisos de acceso a los datos, según los tipos de usuarios, y las consecuentes responsabilidades, que es importante tener en cuenta. Creo que el tema riesgos es muy amplio, también abarca los que mencionó Vanda . El tema de tener reglas de procedimiento para distintas cuestiones por ejemplo para realizar declaraciones me parece una manera de evitar riesgos de conflictos . Habiendo un procedimiento aceptado, seguir el procedimiento apareja seguridad respecto a cuestionamientos posibles. Por esa razón por ejemplo es que ayer me pareció mejor que se realice el procedimiento electoral previsto en el reglamento. Hay que cumplir el procedimiento para que sea incuestionable. Siempre habrá casos límites en los cuales habrá que ponderar otras cuestiones, pero serán la excepción (urgencias u otros problemas graves) Saludos El 20 de enero de 2015, 14:35, Alberto Soto <asoto@ibero-americano.org> escribió:
Gracias por tu colaboración Aída. El tema de seguridad de la información en los sistemas de ICANN, ha tenido algún problema últimamente. Pero estimo que al menos tendrán un sistema de Gestión de Seguridad de la Información, tal como está previsto en la Serie ISO 27000. Considero que con el cumplimiento de esa serie es suficiente. Pero en estos momentos no hay tiempo para un análisis de nuestra parte. Sí voy a escribir personalmente sobre este tema: En una de las reuniones del grupo ad-hoc de ALAC sobre IANA Transition, cuando se hablaba de la duración de los posibles nuevos contratos (3 ó 5 años) para los probables nuevos organismos que asumirían las actuales tareas de la IANA, pregunté si se tenían en cuenta en esos plazos el cambio físico de los servidores raíz, o los de la Zona Horaria, por ejemplo. El cambio de proveedor de estas funciones, podría darse al vencimiento del contrato y cambiarse por otro que ofreciera algo mejor, o por incumplimiento de contrato. La contestación fue que solo debíamos tener en cuenta los plazos legales. Sucede que en cualquier empresa que pueda tener probabilidad de un cambio de proveedor (cambio de Data Center), se trabaja en esta planificación con el área técnica informática también, por la complejidad de la mudanza de los sistemas. Ahora doy un ejemplo. Si en cualquiera de esas funciones hay incumplimiento de contrato y debe cambiarse de proveedor: en ese momento se hará el análisis del tiempo necesario para la migración de los sistemas? No habrá ningún problema en la funcionalidad? El sistema prevé que los servidores alternativos pueden cumplir con la función de los principales durante la migración. Es netamente técnico pero no está expresado en ningún lado.
Saludos cordiales
Alberto Soto
-----Mensaje original----- De: lac-discuss-es-bounces@atlarge-lists.icann.org [mailto: lac-discuss-es-bounces@atlarge-lists.icann.org] En nombre de Aida Noblia Enviado el: lunes, 19 de enero de 2015 12:32 p.m. Para: <lac-discuss-es@atlarge-lists.icann.org> Asunto: [lac-discuss-es] Fwd: RV: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks
---------- Mensaje reenviado ---------- De: Aida Noblia <aidanoblia@gmail.com> Fecha: 19 de enero de 2015, 13:20 Asunto: Re: [lac-discuss-es] RV: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks Para: Alberto Soto <asoto@ibero-americano.org>
Sufrí un riesgo: se me escapó un mail sin terminar.. No se si esto es de interés pues de esto saben mucho más los informáticos. Todo lo anterior sería lo relativo a seguridad tecnológica que es vital al sistema de nombre de dominio. También se puede ver desde el punto de vista de la seguridad de los datos: en especial de los datos personales del WHOIS, como ya hay un equipo estudiando este tema.
Otros aspectos fueron mencionados por Vanda y estoy de acuerdo en que pueden ser útiles y también Alejandro mencionó un tema especial respecto a las reglas en cuanto a declaraciones por consenso o por mayorías. No tengo claro este tema en cuanto a los posibles riesgos, pero tal vez sería interesante analizarlos, dado que refiere a decisiones y declaraciones.
Saludos
El 19 de enero de 2015, 13:14, Aida Noblia <aidanoblia@gmail.com> escribió:
tEstoy de acuerdo en que estudiar el tema de los riesgos es importante para
el trabajo que realizan las ALS y su partiipación en el desarrollo de políticas. Hay muchos aspectos a los que se pueden referir los riesgos y cada uno tiene sus requisitos. El riesgo implica la posibilidad de situaciones desfavorables para el funcionamiento de un sistema, y esto es el ecosistema de Internet. Tiene muchas derivaciones y hay mucho tipo de riesgos, teniendo en cuenta las múltiples componentes y situaciones del ecosistema de internet, Alberto mencionó la seguridad tecnológica, y la base de Internet es el buen funcionamiento del sistema informático, con lo cual la palabra autorizada de los informáticos nos podrá decir que existen normas técnicas que refieren a los distintos aspectos de los sistemas informáticos. (ISO, AENOR, NIST, etc..) De lo poco que se hay distintas familias de normas para distintos aspectos de un sistema informático. O sea, para las distintas partes que componen el sistema informático: a) parte física: locales, máquinas, cables, redes, periféricos de entrada y de salida de información ( teclado, mouse, pantalla, etc) b) parte lógica: software: de base y aplicativos , todo lo relativo a los programas y a la seguridad de los datos contenidos en el sistema , c) la documentación desde lo que yo se también es considerada una parte del sistema informático (instrucciones de uso de máquinas, de funcionamiento de software, programas, etc) d) el usuario: que es un importante elemento a considerar dentro de ese sistema, y puede ser usuario externo o interno, es decir, empleados o funcionarios y usuarios externos a la empresa. Ellos deben tener diferentes permisos para acceso a diferentes partes del sistema, según sus competencias y necesidades. Todo esto
El 18 de enero de 2015, 13:20, Alberto Soto <asoto@ibero-americano.org> escribió:
Olvidé un punto en la clasificación de riesgos, que sintéticamente es la
siguiente:
1. Créditos
2. Legal
3. Marketing/precios
4. Estrategia
5. Reputación
Saludos!
Alberto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: domingo, 18 de enero de 2015 03:39 a.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] RV: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks
Alberto,
gracias por tomar esta iniciativa, productiva y concreta.
Pienso que el tema que mejor podemos desarrollar es el del riesgo de cambio en el modelo de gobernanza que señalas alrededor del cambio en las reglas de toma de decisiones del GAC; pasaría del consenso a la votación y se "contagiaría" al Board.
Como elemento aislado y puntual es importante, pero lo es mucho más si se asocia a un cambio de cultura que produzca un alejamiento del consenso más general.
¿Como ordenarían otros/as representantes de organizaciones en LACRALO los riesgos que hemos señalado hasta ahora? ¿Cómo los compararían con los de otros órdenes (financiero, seguridad informática, etc.) que ha señalado Alberto?
Alejandro Pisanty
2015-01-17 22:35 GMT-06:00 Alberto Soto <asoto@ibero-americano.org>:
Alejandro y todos. Siempre es beneficioso llevar a discusión estos temas. Yo no sé si podría invocar riesgo sistémico, muy particular de los temas financieros, aunque reconozco que quizás podríamos llegar a determinar un riesgo que produzca un efecto cascada dentro de la organización.
Pero podemos proponer riesgos.
Para que podamos entender y quizás rápidamente proponer algo, cito parcialmente el chárter del Board Risk Committee tal como fuera definido en el 2009:
“A: Supervisión de la gestión de riesgo de la ICANN como organización, incluyendo las siguientes actividades:
1. Revisar y asesorar sobre ICANN políticas, planes y programas relacionados con la gestión de riesgos;
2. Seguimiento de la eficacia de los programas de gestión de riesgos, incluida la gestión y control del riesgo operacional;
3. La supervisión de la exposición al riesgo no financiero significativo para la ICANN y las medidas adoptadas para supervisar y controlar dicha exposición;
4. Mantenerse informado sobre la ICANN condiciones y la obtención de la familiaridad con la ICANN procesos con el fin de identificar los posibles riesgos futuros y asesorar sobre los planes para hacer frente a estos riesgos, según proceda; y
5. Revisión de otras áreas de concentración del riesgo adecuada.
B: Supervisión de actividades operacionales, como la revisión de la información y el seguimiento de la eficacia de la gestión de las actividades operacionales tales como:
1. La eficacia de la tecnología utilizada por ICANN ;
2. La adecuación de la ICANN políticas de continuidad de negocios; y
3. Enfrentar los cambios en el entorno empresarial que pueda ser importante para ICANN operaciones.”
Además de este chárter, tenemos que tener en cuenta que la temática de riesgos ha sido dividida en:
- Créditos
- Legal
- Marketing/precios
- Reputación
Con esto quizás podríamos enfocarnos en A.3 y en B. en sus tres puntos.
Y sugeriría como riesgos:
- Seguridad en los sistemas de ICANN: El hackeo de hace poco tiempo en los sistemas de Whois – wiki – CZDS. Qué tecnología están utilizando? Hirió mucho la reputación de ICANN.
- Cambio en el sistema de votación del Board para asimilarlo a los del GAC. Tiene relación con el B.2. pero sus resultados van en contra del sistema de múltiples partes interesadas. Si el fundamento es que el GAC se reúne menos veces, ya hasta hoy fue más efectivo el sistema del Board de ICANN, que el GAC se reuna una vez más al año y se asimile a ICANN.
- Cuando se creó el ICG se tuvo en cuenta solo a determinados componentes del modelo de múltiples partes interesadas. En lo que a nosotros respecta, no estaba previsto que ALAC enviara un informe participativo. El usuario individual al cual representamos no está dentro de la continuidad de negocios de ICANN, ante la transición IANA?
Espero que haya participación, y aunque no podamos hacer un informe formal de LACRALO, quizás podamos enviar sugerencias individualmente. Digo que no podamos hacerlos formalmente no solo por el tiempo, sino porque hay quienes entienden que no hay necesidad de que LACRALO haga proposiciones. Se está discutiendo un procedimiento al respecto.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com <mailto: apisanty@gmail.com> ] Enviado el: sábado, 17 de enero de 2015 10:01 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] RV: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks
Alberto,
quedan dos semanas. ¿No sería un tema apto para discusión en LACRALO? Aunque no produzcamos una expresión colectiva la discusión podría alimentar los puntos de vista individuales.
Yo provocaría su inicio proponiendo como un riesgo digno de inclusión "expansión ilimitada de At Large sin rendición de cuentas ni medidas de efectividad"... (hay otros, pero éste puede ser uno que permita calibrar la forma de entrar a discutirlos).
¿Tú cuál consideras que sea el riesgo sistémico de mayor importancia sobre el cual pudiéramos discutir de manera constructiva y eficaz?
Saludos cordiales.
Alejandro Pisanty
On Sat, Jan 17, 2015 at 2:55 PM, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > wrote:
Estimados, les pido por favor que si tienen alguna sugerencia sobre este tema, la envíen directamente al mail indicado. Queda poco tiempo. Gracias y saludos cordiales
Alberto Soto
-----Mensaje original----- De: alac-bounces@atlarge-lists.icann.org <mailto: alac-bounces@atlarge-lists.icann.org> [mailto:alac-bounces@atlarge-lists.icann.org <mailto: alac-bounces@atlarge-lists.icann.org> ] En nombre de Alan Greenberg Enviado el: sábado, 17 de enero de 2015 01:03 p.m. Para: ALAC Asunto: Re: [ALAC] Board Risk Committee Request for Feedback on Top 5 ICANN Enterprise Risks
If anyone has any thoughts on this, please forward and I will collate them and send them in.
Alan
At 17/01/2015 10:10 AM, David Olive wrote:
Below is a note from the ICANN Board Risk Committee Co-Chairs.
---------------------------------------------
Dear SO/AC/SG:
The Board Risk Committee (BRC) is tasked to provide oversight and guidance into enterprise risk identification and remediation for ICANN. ICANN has developed a risk management framework and methodology that is used to identify, mitigate and monitor risks.
The purpose of this email is to reach out to you, the SO/AC/SG Leadership, to ask your group to identify what it believes are the top five enterprise-wide risks to ICANN. This feedback process allows us to calibrate and evaluate risks identified internally with those identified by the community.
We envision a response as an enumerated list of the top five enterprise risks that your SO or AC group believes ought to be ICANN’s top priorities.
We ask to provide a written response via email by 5 February 2015. We anticipate discussion on these identified risks in the SO/AC Constituency meetings with the Board during ICANN 52 in Singapore. Please send all written responses directly to <mailto:Enterprise-Risk@ICANN.Org <mailto:Enterprise-Risk@ICANN.Org> Enterprise-Risk@ICANN.Org <mailto:Enterprise-Risk@ICANN.Org> .
We understand that you may not have the time to develop a formal response from your SO or AC group. In that case, we would appreciate you providing us with your own personal views or those of a small sub-set of your SO or AC group, but please let us know if you have done so. We will iterate the process to improve it and comments on possible improvements are most welcome.
Again, thank you in advance and we look forward to your input.
Regards, Mike Silber & Ram Mohan ICANN Board Risk Committee Co-Chairs
David A. Olive Vice President, Policy Development Support General Manager, ICANN Regional Headquarters –Istanbul Hakki Yeten Cad. Selenium Plaza No:10/C K:10 34349 Fulya, Besiktas, Istanbul Internet Corporation for Assigned Names and Numbers (ICANN)
Direct Line: +90.212.999.6212 Mobile: + 1. 202.341.3611 Mobile: +90.533.341.6550 Email: <mailto:david.olive@icann.org <mailto:david.olive@icann.org>
david.olive@icann.org <mailto:david.olive@icann.org> www.icann.org <http://www.icann.org>
_______________________________________________ ALAC mailing list ALAC@atlarge-lists.icann.org <mailto:ALAC@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/alac
At-Large Online: http://www.atlarge.icann.org ALAC Working Wiki:
https://community.icann.org/display/atlarge/At-Large+Advisory+Committ ee+(ALA C)
--- El software de antivirus Avast ha analizado este correo electrónico en busca de virus. http://www.avast.com
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
--
- - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_____
<http://www.avast.com/> El software de antivirus Avast ha analizado este correo electrónico en busca de virus. www.avast.com
<http://www.avast.com/> - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
--- El software de antivirus Avast ha analizado este correo electrónico en busca de virus. http://www.avast.com _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia
-- Aida Noblia
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
--- El software de antivirus Avast ha analizado este correo electrónico en busca de virus. http://www.avast.com
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org