|
|
|
| Asunto: | [informativos] Informativos.ws #47 | | Fecha: | Domingo, 27 de Febrero, 2005 21:20:56 (+0100) | | Autor: | Prensa Informativos <prensa @...........tv>
|
|
|
|
Boletín
#47 |
Informativos.ws - Lectura selectiva en 30
minutos |
Periodicidad
semanal. Sale los domingos.
Gratuito. | |
|
EDITORIAL:
LA HOGUERA DE LAS VANIDADES
|
Un semestre más. Aquí estoy en el
encuentro presencial para mostrar las asignaturas de la
carrera de Ingeniería de Sistemas. Me encuentro sentado como
alumno en el aula donde se detallará todo lo referente a la
asignatura de administración de redes y sistemas
operativos.
Aparece uno de los consultores.
Se presenta como fulano de tal, doctor de no sé qué y miembro
de la Unidad de Delitos Informáticos de la policía autonómica.
Me quedo de piedra. No es que me moleste que sea policía, sino
que ya es el segundo profesor que tiene esta doble profesión
que veo en la universidad. Y no sólo eso, hace unos días volví
a ver al sargento de la Unidad de Delitos Informáticos de la
policía autonómica en una conferencia, ya que este hombre se
ha convertido en una especie de estrella que se dedica a
realizar "tours" o "bolos", cual ídolo del rock.
Y yo me pregunto ¿no existe una
ley española llamada "ley de incompatibilidades del
personal al servicio de las Administraciones públicas"?
Creo que sí; de modo que repasemos lo que dice esta
ley:
"Artículo 3. 1. El personal comprendido en el
ámbito de aplicación de esta Ley sólo podrá desempeñar un
segundo puesto de trabajo o actividad en el sector público en
los supuestos previstos en la misma para las funciones docente
y sanitaria, en los casos a que se refieren los artículos 5º.
y 6º. y en los que, por razón de interés público, se
determinen por el Consejo de Ministros, mediante Real Decreto,
u órgano de gobierno de la Comunidad Autónoma, en el ámbito de
sus respectivas competencias; en este último supuesto la
actividad sólo podrá prestarse en régimen laboral, a tiempo
parcial y con duración determinada, en las condiciones
establecidas por la legislación laboral. Para el ejercicio de
la segunda actividad será indispensable la previa y expresa
autorización de compatibilidad, que no supondrá modificación
de jornada de trabajo y horario de los dos puestos y que se
condiciona a su estricto cumplimiento en ambos. En todo caso
la autorización de compatibilidad se efectuará en razón del
interés público."
No soy ningún jurista, pero tengo
entendido que hay mucho más al respecto. Y ahí es donde
comienzo a cabrearme. Veamos, porque los defensores del orden
y la ley, esos mismos que ahora les gusta aparecer en
televisión o ruedas de prensa explicando que han capturado a
importantes hackers en operaciones policiales, cuando todos
sabemos que se trata de pringados imberbes, cuyo único peligro
para la sociedad radica en haber elaborado una mutación de un
virus informático que sirve para dar trabajo a los antivirus y
que estos se vendan más.
Hay ocasiones en los que la ley
se aplica rigurosamente, no digo que no. ¿Pero es necesario
aparecer en televisión, colgándose la medalla de haber
capturado a un delincuente informático? ¿Es necesario dar ese
espectáculo como si de la detención de un criminal se
tratara?
Cada uno puede pensar en lo que
quiera. Pero si la ley se aplica para unos, todos deberíamos
medirnos por el mismo rasero. Entonces, ¿por qué los
defensores de la ley y el orden se pasan éstas por el forro de
los cojones y tienen dobles empleos? Y encima tan orgullosos
se encuentran de ello, que no dudan en incluir esta doble vida
en las firmas de los libros de texto de la
universidad.
Decía Jacinto Benavente
que:"La vanidad hace siempre traición a nuestra prudencia y
aún a nuestro interés". ¿Vanidad o hipocresía?
Por cierto, antes de terminar
este editorial, queremos hacer señalar que a partir de esta
semana incluiremos en el boletín noticias que no pueden
localizarse online, sino que se encuentran en los principales
diarios. Para que el lector no tenga que buscar noticias de
seguridad informática comprándose todos los periódicos durante
la semana, he aquí que nosotros vamos a realizar esta labor,
merced a un acuerdo alcanzado con Reuters.
Autor: Carlos
Mesa | | |
|
|
- La VoIP, en el punto
de mira de los ciberpiratas
- Mercado español de
software de segurida empresarial crece un 20.1%'
- Todo un experto, 'la
mayor parte de los productos de seguridad son de
juguete'
- Microsoft desvincula
el navegador Internet Explorer del nuevo Windows
- Clientes y
competidores evalúan sanciones de UE a Microsoft
- Las empresas ahorran
hasta un 50% de costes con el uso de software libre
- Las empresas no
logran reducir su vulnerabilidad en Internet
- La dirección General
no se 'moja' para evitar la pérdida de información
- Noticias de la
semana aparecidas en
Seguridad0.com
| |
 |
LA VOIP, EN EL PUNTO DE MIRA DE LOS
CIBERPIRATAS |
| |
|
Avances tecnológicos
Los problemas de seguridad pueden ser un
freno para el desarrollo de esta tecnología. Una de las formas de proteger
la conversaciones es encriptar las llamadas.
Seguridad Pocos ataques
Algunos expertos señalan que los servicios de
voz sobre IP han sufrido pocos ataques, porque el número de usuarios
-cinco millones en el mundo, según un informe de Point Topic- es todavía
reducido.
Estas ventajas podrían convencer a 26
millones de usuarios en 2008, según la Asociación de Industrias de
Telecomunicaciones. En la misma línea, Gartner espera que en el 2007, un
97% de los sistemas de telefonía que se instalen en Estados Unidos serán
VoIP o híbridos.
Estos problemas de seguridad no sólo
comprometen el contenido de una conversación, sino también la información
sobre la propia llamada. Estos datos podrían ser interceptados y
registrados por terceros para conocer las llamadas entrantes y salientes
de un terminal, configurar y dirigir llamadas sin consentimiento del
propietario o grabar los datos de todos sus contactos para "bombardear"
sus buzones de voz IP con spit (Spam over Internet Telephony), técnica
bautizada como bombing o Vbombing. Otro riesgo es que los paquetes de
datos sean interceptados para alterar los parámetros de una llamada,
escuchar una conversación o retransmitirla íntegramente. Las llamadas
también están expuestas al riesgo del "secuestro" por parte de hackers, lo
que abre una serie de posibilidades maliciosas, que van desde el
redireccionamiento hasta el robo de identidad, también conocido como
spoofin.
Una de las formas de proteger las
comunicaciones basadas en voz sobre IP es la "encriptación", tanto de la
señal de la llamada (para que las direcciones de teléfono no aparezcan con
claridad), como de los paquetes de datos (lo que prácticamente impide
insertar palabras en una conversación). Esto implica perder ancho de
banda, algo que se solucionaría, según los expertos, cambiando a la última
versión del Protocolo de Internet (IPv6).
Además, es importante proteger periódicamente
de hackers y spammers los elementos que componen la red VoIP (terminales,
gatekeepers, gateways, enrutadores, conmutadores, etcétera) con las
actualizaciones y parches oportunos. Estructurar la red separando voz y
datos para llevar una gestión paralela puede ser de ayuda también a la
hora de garantizar una mayor seguridad y calidad del servicio.
Mientras, la Comisión Federal de
Comunicaciones (FCC) de EEUU ha propuesto que las conversaciones por
Internet estén sujetas a la vigilancia de la policía y los servicios de
espionaje, previa autorización judicial. Paralelamente, Bruselas ha
instado a sus reguladores a crear un entorno legal propicio al desarrollo
de los servicios de VoIP que les permita competir con las redes
tradicionales.
Pero lo cierto es que ni los riesgos que
comporta usar el protocolo VoIP son muy distintos de los que amenazan al
resto de redes IP, ni los agujeros de seguridad de su software son más
grandes que los de otros programas que utilizamos. En realidad, los
problemas asociados a la voz por IP son los propios de una tecnología
incipiente que debe perfeccionarse con su uso, pero también con el abuso
que se dará, como ya ha sucedido con innovaciones como el e-mail.
La cada vez más popular VoIP -telefonía por
Internet- parece llamada a revolucionar el panorama de las
telecomunicaciones. No en vano, esta tecnología permitirá a las empresas
mantener comunicaciones a través de Internet con tarifas más económicas.
También simplifica la estructura de redes, evita el doble cableado de
oficinas y rebaja los costes de mantenimiento (voz y datos comparten la
misma red).
Pero a medida que crece su popularidad
aumentan las preocupaciones por la seguridad de las comunicaciones vía
VoIP.
Conscientes de los retos de seguridad que
plantea la VoIP, una veintena de firmas de seguridad y redes, como 3Com,
Siemens y Symantec, han constituido la VoIP Security Alliance (VOIPSA). Su
objetivo, contrarrestar los potenciales riesgos de seguridad que amenazan
el despliegue masivo de la voz sobre IP, investigando e informando a los
usuarios sobre formas de proteger sus comunicaciones. Por su parte, el
National Institute of Standards and Technology (NIST) de Estados Unidos ha
alertado sobre las "vulnerabilidades inherentes" al protocolo VoIP, que
atribuye, ante todo, a que las redes de datos están mucho más expuestas al
abuso por parte de terceros que las redes telefónicas tradicionales.
Hay que proteger de 'hackers' y 'spammers'
los elementos de la red de VoIP.
Una veintena de fabricantes se han aliado
para luchar contra las amenazas existentes.
{Fuente: Gemma Tonijuan / Expansión
} |
|
MERCADO ESPAÑOL EN SOFTWARE DE
SEGURIDAD EMPRESARIAL CRECE UN 20,1% |
| |
|
El mercado español del software de seguridad
para empresas crecerá este año el 20,1 por ciento, hasta alcanzar una
cifra de negocio de 89,5 millones de euros, según previsiones de la
consultora IDC publicadas hoy por la empresa Sophos.
Este crecimiento será algo menor al
registrado por este segmento de negocio durante el año 2004, en el que
aumentó su facturación el 25,5 por ciento, hasta los 74,5 millones de
euros.
Para este año, IDC prevé que el software
antivirus para empresas facturará 76,8 millones de euros, el 18,8 por
ciento más, mientras que el volumen de negocio de las soluciones contra el
"spam", o correo basura, aumentará el 5,7 por ciento, hasta 5,7 millones,
y el del software de filtrado de Internet se incrementará el 26,6 por
ciento, hasta 7 millones.
La empresa británica de seguridad informática
Sophos, especializada en este tipo de soluciones, espera cerrar su
ejercicio fiscal 2004-2005, que finalizará el próximo 31 de marzo, con un
aumento de su facturación mundial del 36 por ciento, hasta 111,5 millones
de euros.
Este aumento de las ventas de se reflejará en
la plantilla de Sophos, que previsiblemente cerrará el ejercicio con 1.000
empleados, frente a los 737 trabajares de un año antes.
Sophos, que en España cuenta con una cuota de
mercado del 5 por ciento, tiene 35 millones de usuarios, tanto empresas de
todos los tamaños como administraciones públicas, en 150
países.
{Fuente: Agencia EFE }
|
|
LA MAYOR PARTE DE LOS PRODUCTOS DE
SEGURIDAD SON DE JUGUETE' |
| |
|
Carlos Jiménez, presidente de secureware.
Este emprendedor, uno de los mayores expertos españoles en la materia,
cree que las empresas deben planear sus defensas como si estuvieran en
guerra permanente.
Blindar el PC
Carlos Jiménez cree que es imprescindible
afrontar la seguridad de una forma activa, y no reactiva. Por eso, no
basta con soluciones que detectan o previenen posibles ataques del
exterior. En su opinión, es imprescindible blindar el PC.
Los ordenadores personales de los empleados
de Telefónica Móviles, Iberdrola, la Agencia Tributaria, el Ministerio del
Interior o Presidencia ya están protegidos con esta solución. "Es
imposible que alguien acceda a información confidencial, aunque robe el
equipo, o extraiga el disco duro", explica Carlos Jiménez. Además, el
usuario sólo puede ejecutar las aplicaciones que esté autorizado a emplear
para su trabajo, lo que garantiza la seguridad frente a la entrada de
amenazas como virus o troyanos.
Carlos Jiménez es un firme defensor de las
ventajas del DNI electrónico, en cuyo proyecto ha participado.
"Identificar a la gente en el mundo digital es imprescindible. Ahora,
navegamos por Internet como si fuéramos cubiertos con pasamontañas. No hay
ninguna forma de asegurar que una persona es quién dice ser", apunta.
"Técnicamente, el DNI electrónico es perfecto", dice.
Estamos en guerra. En un bando, la empresa.
En el otro, un ejército de atacantes formado por piratas informáticos,
empleados desleales, competidores sin escrúpulos o incluso terroristas
internacionales.
Según Carlos Jiménez, uno de los mayores
expertos españoles en seguridad informática, y presidente de la empresa
española Secuware, las compañías deberían plantearse su seguridad en estos
términos. La hipótesis de guerra también debería guiar el desarrollo de
tecnologías en la industria para ofrecer soluciones que blinden las
defensas de la empresa. "Hoy, la mayor parte de los productos de seguridad
que existen en el mercado son de juguete", opina Carlos Jiménez.
En su opinión, las empresas no son
conscientes de que viven en guerra continua. "Al conectarse a Internet, se
abrió la caja de Pandora. Antes los atacantes estaban limitados a
empleados que no tenían grandes conocimientos técnicos. Con Internet,
cualquiera puede acceder fácilmente a información que explica cómo atacar
una empresa. Además, se multiplican las amenazas que llegan del exterior",
resume.
"Me parece impensable que el ordeandor se
estropee. Es algo nefasto que los negocios dependan de máquinas que se
puedan romper", dice. Por ello, cree que es fundamental que las empresas
doten a sus empleados de PC totalmente seguros, aunque ello exija limitar
las funcionalidades del equipo. "Igual que una consola sólo sirve para
jugar, un empleado debería tener un ordenador que sólo permitiera trabajar
con los programas que verdaderamente le hacen falta ", expone.
Siguiendo esta filosofía, Secureware ha
desarrollado un sistema operativo de seguridad llamado SSF, que permite
administrar la seguridad de los ordenadores corporativos basados en
Windows. Esta solución blinda el PC contra códigos dañiños, evita la
instalación de software no autorizado, protege contra la desconfiguración
del sistema operativo, y evita que se pueda robar información
confidencial. El avance que supone este producto es que se carga
antes que el sistema operativo. Así, el usuario se autentica antes de que
éste pueda realizar cualquier operación que pueda comprometer la
información contenida en el equipo. Además, mediante el cifrado se evita
que la información corporativa salga de la empresa sin ser protegida.
Carlos Jiménez asegura que Secuware se ha
colocado con este producto tres o cuatro años por delante de la industria.
"No hay nada similar en todo el mundo", dice Jiménez.
Y aunque Microsoft es el primer interesado en
hacer invulnerable su sistema operativo, lleva años de retraso. Así,
Carlos Jiménez cuenta que, en 1998, Steve Ballmer, de Microsoft, le dijo
que no le interesaba afrontar temas de seguridad. "Pero las circunstancias
le obligaron a cambiar de idea, hasta el punto de que hoy la seguridad es
prioritaria para Microsoft", dice.
"Es algo nefasto que los negocios dependan de
máquinas que se pueden romper"
"En Secuware vamos tres o cuatro años por
delante de la industria en materia de seguridad"
{Fuente: Miriam prieto / Expansión
} |
|
MICROSOFT DESVINCULA INTERNET
EXPLORER DEL NUEVO WINDOWS |
| |
|
Cambio de estrategia. Microsoft desvincula
navegador y sistema operativo. El anuncio fue realizado por Bill Gates,
presidente de la compañía, en el congreso de seguridad informática RSA
2005, celebrado en San Francisco. En verano llegará la versión de prueba
del nuevo Internet Explorer, una beta con herramientas para combatir los
programas espías (spyware) y los que monitorizan la navegación del
internauta, aunque sólo estará disponible para usuarios de XP que tengan
instalado el paquete de seguridad Service Pack2.
La versión definitiva (7) del navegador aún
no tiene fecha de lanzamiento pero no coincidirá con la presentación de su
nuevo sistema operativo Longhorn, retrasado a 2006.
El cambio de estrategia responde a los graves
problemas de seguridad, talón de Aquiles del mayor fabricante de software
del mundo, que acechan a Internet Explorer. Por primera vez desde su
nacimiento, el navegador pierde cuota de mercado frente a Firefox, una
aplicación basada en software libre menos vulnerable a los ataques de
virus, gusanos y programas espías desarrollada por la fundación Mozilla,
que en 100 días ha superado los 100 millones de descargas, 25.000 diarias,
desde que se presentó la última versión del navegador en noviembre.
{Fuente: CIBERPAIS }
|
|
CLIENTES Y COMPETIDORES
EVALUAN SANCIONES DE UE A MICROSOFT |
| |
|
Los clientes y los competidores de Microsoft
(MSFT.O) dirán dentro de 10 días a la Comisión Europea si la última oferta
del gigante del software para cumplir con las sanciones es aceptable para
ellos, anunció el viernes un portavoz de ese órgano.
"La Comisión decidirá si considera que las
propuestas de Microsoft son satisfactorias o no a la luz de las reacciones
en el mercado", explicó a periodistas el vocero Jonathan Todd.
Hace aproximadamente un año la Comisión
Europea estableció que Microsoft violaba leyes antimonopolio y le aplicó
una multa de 497 millones de euros.
El órgano ejecutivo de la Unión Europea
también instó a la firma tecnológica estadounidense a ofrecer una versión
de Windows sin software audiovisual y a proveer información acerca de los
protocolos básicos, para que los fabricantes rivales puedan competir con
Microsoft.
Un juez rechazó el año pasado un intento de
la empresa de software para congelar las sanciones. La Comisión argumentó
que un retraso permitiría a Microsoft capturar nuevos mercados y volver
irrelevantes las reparaciones.
Mientras la firma estadounidense discute con
la Comisión sobre las reparaciones, continúa progresando en el mercado.
Nokia (NOK1V.HE), por ejemplo, fue miembro de
un grupo que se oponía a Microsoft en la justicia y fue históricamente un
cliente de RealNetworks (RNWK.O), rival de la compañía estadounidense.
Pero el 14 de febrero Nokia alcanzó un acuerdo con Microsoft que abarca la
descarga de música desde teléfonos móviles.
Por su parte, Microsoft argumenta que está
haciendo todo lo que puede. "Estamos completamente comprometidos con
la decisión de la Comisión", dijo Dirk Delmaratino, portavoz de la
empresa.
"Cumplimos con la decisión. Los protocolos
están disponibles y nosotros hicimos una nueva versión disponible para
OEMs (fabricantes de equipos originales de computadoras)", añadió
Delmaratino.
"Mientras seguimos adelante sería bueno que
la Comisión buscara la reacción de la industria. Nosotros recibimos con
agrado su aporte", afirmó el vocero.
La reacción de la industria ayudó a hundir la
anterior oferta de Microsoft y a Samba, cuyo software corre en el sistema
operativo Linux y es el principal competidor de Microsoft en los
servidores.
Samba es distribuido mayormente de manera
gratuita y no hay forma de averiguar la cantidad de copias que se hacen,
pero Microsoft dijo que quería regalías por cada copia individual. Samba
argumentó que eso la excluiría del mercado antes que ayudarla.
La Comisión tiene el poder de multar a
Microsoft con hasta un 5 por ciento de su facturación diaria promedio en
todo el mundo por no cumplir con la normativa de la Unión Europea.
{Fuente: REUTERS }
|
|
LAS EMPRESAS SE AHORRAN HASTA UN 50%
DE COSTES CON EL USO DE SOFTWARE LIBRE |
| |
|
El software libre, impulsado por la comunidad
de usuarios de Linux, se puede descargar gratis desde internet.
El software libre es la alternativa al
sistema operativo dominante de Microsoft (Windows) y durante muchos años
ha sido utilizado casi en exclusiva por los iniciados en el mundo de la
informática. Sin embargo, usuarios de Windows comienzan a emigrar a este
software, construido alrededor del sistema operativo Linux.
También lo han hecho la Junta de Extremadura,
la Junta de Andalucía, la Agencia Tributaria, la Fábrica Nacional de
Moneda y Timbre, etcétera. La empresa donostiarra Webalianza celebró ayer
una jornada divulgativa sobre este software en el parque tecnológico de
Miramón.
- ¿Qué es software libre?
- Es un programa informático que se
distingue por cuatro libertades respecto al software propietario: acceso
al código fuente para modificar, copiar y distribuir los programas;
libertad para conocer cómo funciona y adaptarlo a las necesidades propias;
libertad para usar el programa con cualquier propósito, y por último,
posibilidad de mejorar el programa y liberarlo para que cualquiera pueda
beneficiarse. Nada de esto se puede hacer con el software propietario, que
además está sometido a licencias de pago.
- ¿Libre pero no gratuito?
- Todos los cambios y mejoras que
acabo de mencionar son gratuitos, pero un usuario normal no tiene por qué
saber hacerlos. Eso lo hacen programadores, informáticos y empresas, que
pueden personalizarte los programas. Ahora bien, cualquiera puede
descargarse gratis de internet programas y aplicaciones de software libre.
En el software libre las empresas no ganan dinero vendiendo licencias,
sino con el mantenimiento, la auditoría, etcétera.
- Si un usuario no experto compra un
software libre adaptado a sus necesidades, ¿puede luego repartir
copias entre sus amigos? - Es legal y se hace; se distribuye,
se descarga de internet y hay programas en CD de distribución gratuita.
- ¿Por qué si es menos costoso y ofrece
más posibilidades no está más extendido entre los usuarios? -
Microsoft empezó en un nivel en el que todos nos pudiéramos ir acoplando
desde cero. Por el contrario, el software Linux fue fruto de programadores
especializados que buscaban una alternativa; funcionaba con comandos en el
ordenador y ahora lo que están haciendo es adaptarlo para que su uso sea
sencillo.
- ¿Linux es seguro? ¿Existen antivirus?
¿Quién los actualiza? - Es mucho más seguro que Windows. A día de hoy
no conocemos virus que ataquen Linux.
- ¿Cualquiera puede migrar al software
libre? - Sí. Muchos usuarios no cambian porque se sienten cómodos con
lo que tienen. Además ha habido una cierta desconfianza hacia Linux,
porque se pensaba que era complicado, poco accesible. Hoy ya no es así. -
La Junta de Extremadura fue la primera comunidad autónoma que impulsó
Linux.
- ¿Y el Gobierno Vasco? - Según los
últimos informes, el 98% de las administraciones públicas están estudiando
hacer una migración a Linux, porque se ahorrarán, sólo en programas,
muchos millones de euros. Aquí en Euskadi hay ciertos proyectos, por
ejemplo, la sociedad foral Izfe va a realizar una distribución de
terminales de usuarios. El Gobierno Vasco también quiere hacer cosas en
este campo. La SPRI va a crear el programa KZlankidetza, que subvencionará
al 100% las aplicaciones para pequeñas y medianas empresas que estén
basadas en Linux. - Hay muchas empresas que están migrando de Windows a
Linux.
- ¿Cuál es el ahorro de costes? - El
ahorro promediado es del 40-50%, pero dependiendo de los casos y las
necesidades, el ahorro puede ser mayor. En el caso de los usuarios
particulares, el coste sería cero euros.
- ¿El software libre promueve un ideario
basado en socializar los beneficios de la informática? - Hay que
romper el monopolio de Microsoft y que cuando alguien adquiera un programa
pueda hacer lo que quiera con él, y con Windows no puedes hacerlo. Con el
software libre sí puedes hacer lo que quieras.
{Fuente: Iñigo Urrutia / El Diario
Vasco } |
|
LAS EMPRESAS NO LOGRAN
REDUCIR SU VULNERABILIDAD EN INTERNET |
| |
|
CONCLUSIONES DEL CURSO SOBRE SEGURIDAD EN
LA RED
Los hackers (piratas informáticos)
evolucionan con mayor rapidez que los sistemas para protegerse. Es una de
las conclusiones que el presidente del comité organizador del curso
extraordinario Avances en Seguridad en Internet, Juan M. Corchado, ha
obtenido tras la realización de esta actividad, que se clausuró ayer en la
Facultad de Ciencias de la Universidad de Salamanca. "Hay un problema muy
grave de vulnerabilidad", declaró, "y existe mucha demanda de expertos en
este campo". Como ponentes han acudido representantes de las principales
firmas de seguridad en la red: Acotec, Panda, Dycec, Audea y Flag, entre
otras.
Prueba del interés que despierta esta materia
son los 420 matriculados de 22 países diferentes inscritos en el curso.
Entre 250 y 300 alumnos han seguido las ponencias de modo presencial y el
resto lo ha hecho on line mediante la web. Corchado señaló que los alumnos
del máster en Comercio Electrónico, en el que está incluido el curso
extraordinario, rápidamente encuentran trabajo en esta materia y que
numerosas empresas envían habitualmente sus formularios para contratar
técnicos que garanticen, al menos en parte, la seguridad en la red.
Han participado 420 alumnos, más de un
centenar 'on line'
{Fuente: El Adelanto de Salamanca
} |
|
LA DIRECCION GENERAL NO SE 'MOJA'
PARA EVITAR LA PERDIDA DE INFORMACION |
| |
|
Sistemas de Gestión de la seguridad
El incendio del edificio Windsor y el temor a
la pérdida de información ha animado el debate sobre la necesidad de
mejorar los sistemas de gestión de la seguridad. Evitar los riesgos que
corre la organización es un problema que afecta a todas las áreas de la
empresa.
Gestión de seguridad Planes madurosResponder
a desastres Elementos clave Análisis del riesgo Importancia de los SGSI.
La madurez de los sistemas de gestión de las
tecnologías de la información también ha llegado al campo de la seguridad.
Resguardar las organizaciones y su información no es un problema
exclusivamente técnico, sino que afecta a todas las áreas de la empresa.
Con respecto a la preparación de las
organizaciones frente a un desastre, así como a las pruebas periódicas de
los planes de contingencia, se pusieron de relieve los siguientes
aspectos: en general las organizaciones están parcialmente cubiertas, si
bien existe una mayor preparación en general en las grandes empresas y en
ciertos sectores específicos.
Los análisis de riesgos son uno de los
elementos clave necesarios para implantar un SGSI. Ante la obligada
necesidad de interactuar con las áreas de negocio como fuente de
requerimientos de seguridad, los expertos reunidos en el foro analizaron
las diferentes metodologías más empleadas por las organizaciones para
realizar un análisis de riesgo. José Antonio Castro, responsable de
seguridad del Grupo Santander, opina que "todas las metodologías en sí
mismas pueden ser adecuadas, pero deben adaptarse al negocio y a la
organización particular de cada entidad".
Sobre este aspecto se estableció un posible
orden de importancia de la seguridad y disponibilidad de la información en
ciertos sectores básicos como la salud, control aéreo o emergencias, ya
que de ellos depende la vida humana. En un segundo lugar, se podrían
enumerar las empresas que ofrecen servicios de los que dependen el resto
de actividades, como distribución eléctrica, gas o logística. Finalmente,
y como sector totalmente diferenciado, se pueden identificar las entidades
financieras, de las que depende el funcionamiento de la economía.
De este modo y tal y como la actualidad se
encarga de recordarnos cada cierto tiempo, cualquier empresa puede sufrir
un incidente imprevisto y de gran relevancia que le puede hacer perder su
información más valiosa. Entre las diferencias encontradas entre las
metodologías, se identificó el grado de compromiso requerido a la entidad,
la orientación tecnológica o de negocio de cada una de ellas y los costes
asociados para llevar a cabo los análisis.
Todas estas cuestiones apoyan la opinión
general de la necesidad de adaptar la metodología seleccionada a la
organización y al proyecto particular de cada organización, para mejorar
la seguridad. Como ejemplo más relevante de este proceso de adaptación,
Santiago Moral, del BBVA, destacó la necesidad de contemplar el fraude
dentro de las medidas de análisis de riesgo, tanto por su impacto directo
en los resultados como por la regulación del sector financiero. Para
establecer una correcta gestión de la seguridad y de las amenazas
asociadas a los sistemas de información, los expertos mencionaron la
importancia de la correcta valoración de los riesgos, debido a la
dependencia que las organizaciones tienen de la información.
Estos tres tipos de empresas deben prestar
una especial atención a la seguridad. Por este motivo y, según la opinión
de los participantes del foro, la mejor manera de que estas organizaciones
garanticen un nivel de seguridad y disponibilidad en sus servicios es la
utilización de un sistema de gestión de seguridad de la información que
defina su nivel de seguridad según las necesidades que plantee el negocio
al que se dedican.
Francesc Muñoz, director de sistemas de
Cuatrecasas,, añadía además otros "elementos regulatorios, como la Ley de
Protección de Datos y organismos reguladores de los mercados de la energía
y las telecomunicaciones", ya que también imponen condicionantes que
definen y garantizan la seguridad de los servicios sociales.
El día 16 de febrero se celebró la tercera
edición del Foro de Seguridad organizado por EXPANSIÓN y Ernst &
Young, que reúne a los responsables de seguridad de las entidades más
relevantes del mercado español. En esta ocasión, la agenda de trabajo se
centró en los sistemas de gestión de seguridad de la información, haciendo
también mención especial a los planes de continuidad de negocio, debido a
la actualidad que ha tomado este aspecto, como consecuencia de los últimos
acontecimientos. Las aportaciones de estos expertos ofrecieron un punto de
vista sobre las tendencias en gestión de seguridad, que permiten anticipar
las dificultades con las que pueden encontrarse las entidades en su
proceso de mejora continuo.
El primer tema abordado en el foro fue la
utilización de los sistemas de gestión de la seguridad de la información
(SGSI), como modelo para organizar la seguridad informática en las
empresas. Del mismo modo que las normas de calidad ISO-9000 permitieron
utilizar un esquema común para implantar y verificar la calidad de los
procesos en las organizaciones, en la actualidad se han planteado diversos
modelos que permiten tener una guía o esquema de referencia sobre los
elementos necesarios para diseñar, organizar y comprobar la correcta
gestión de la seguridad dentro de las organizaciones.
Una de las cuestiones más debatidas se centró
en esclarecer qué instancia de la organización debe interesarse y
potenciar el proceso de adopción de un SGSI: dirección general, dirección
de tecnología o dirección de seguridad. Sobre esta cuestión hubo diversas
opiniones. Pero los expertos coincidieron a la hora de identificar que la
relevancia de la seguridad de la información es cada vez mayor y puede
llegar a implicar a la dirección general. En este sentido, Miguel Ángel
Navarrete, de Caja Madrid, puso de relieve que en grandes organizaciones
"la involucración de la dirección general y los distintos niveles de la
organización son necesarios para llegar al éxito en la implantación de un
SGSI".
Las opiniones también fueron unánimes al
señalar que el departamento que debe liderar este proceso es la dirección
de seguridad. Aunque, en ciertos sectores, pueden existir otras figuras
que se pudieran encargar de su puesta en marcha, como direcciones
generales de riesgo -cuya responsabilidad es contemplar riesgos de
negocio, tanto financieros como incidentes-.
Para alcanzar un nivel óptimo de seguridad en
la organización, es necesario contar con un sistema informático con un
elevado grado de procedimientos probados y que exista buena comunicación
entre los distintos grupos de negocio y la tecnología. Por este motivo, es
imprescindible definir los pasos que cualquier empresa debe establecer
para disponer de una adecuada gestión de seguridad.
Otro de los elementos más importantes es
realizar un análisis de riesgos, con mayor o menor énfasis en cada una de
sus partes. Realizar un correcto inventario de los activos de la
organización e identificar cuál es su relación con los procesos clave del
negocio es otro aspecto fundamental. "Simplemente haciendo un análisis de
los procesos de la organización ya es posible obtener resultados
relevantes acerca del estado en el que se encuentra una entidad respecto a
la seguridad", comentó Christian Palomino, responsable de seguridad de la
cadena hotelera Sol Meliá.
Otros de los expertos hicieron hincapie en
que, independientemente de los procesos de gestión de seguridad, el
compromiso de la dirección y unas políticas de seguridad básicas deberían
ser el primer elemento del análisis de riesgos, ya que, de otro modo, el
ejercicio de diseñar un SGSI para una organización podría llegar a ser
incompleto.
¿Qué respuesta dan las corporaciones a los
grandes incidentes y al impacto en las organizaciones y sus sistemas de
información? Los expertos incidieron en que no siempre es necesario un
gran incidente para poner en peligro la organización, ya que esto puede
ocurrir si no se ha establecido y valorado una respuesta a las
contingencias.
Lo que deben hacer las compañías para
afrontar un gran incidente es contar con planes de pruebas, actualización
de procedimientos y mantenimiento de los planes de continuidad del
negocio. Aunque los expertos coincidieron en que es bastante difícil
conseguir que estas pruebas abarquen toda la extensión prevista, siendo
más habitual realizar pruebas específicas de los componentes técnicos del
plan frente a la dificultad de participación de toda la organización en el
simulacro de las operaciones en situación de emergencia.
Como elemento clave se menciona la diferencia
entre los planes de continuidad de negocio (BCP) y los planes de
recuperación de desastres (DRP). Los DRP, como parte de la responsabilidad
de las áreas tecnológicas, suelen estar más desarrollados, aunque
desalineados con la estrategia de negocio. De igual modo, un plan de
continuidad del negocio, como elemento completo, están actualmente menos
resueltos.
Juan Carlos Yustas, director de seguridad de
Repsol YPF, explicó que "un plan de continuidad del negocio es actualmente
el seguro del negocio". Es decir, cualquier organización que pretenda
garantizar su existencia debe ser consciente de que tiene que encontrar
una forma de cubrir los diferentes riesgos que amenazan su actividad a
corto plazo.
Como conclusión general se comentó que es
estéril llevar a cabo un plan de seguridad sin contar con las diversas
áreas de negocio, ya que son ellas las que conocen sus necesidades de
seguridad. Igualmente, debe ser la dirección general quien establezca los
recursos necesarios y controle los riesgos de la organización. Con
respecto al SGSI se indicó su relevancia para gestionar la seguridad, pero
también su supeditación a las áreas de la organización que no dependen de
la seguridad de la información.
Las organizaciones deben cubrir los riesgos
que amenazan su actividad a corto plazo.
El análisis de riesgos es un elemento clave
para hacer más eficaz la gestión de la seguridad.
La relevancia de la seguridad de la
información puede llegar a involucrar a la dirección general.
Los planes de seguridad deben estar
relacionados con todas las áreas de la empresa.
{Fuente: Rafa Martín / Expansión
} |
|
NOTICIAS DE LA SEMANA
APARECIDAS EN SEGURIDAD0.COM |
| |
|
|
|
Enlaces de
interés |
| |
|
Suscríbete a Informativos.ws y recibe cada semana
gratuitamente las mejores noticias de TIC, seguridad informática
y protesta social en tu correo electrónico y sin
publicidad
Darse de baja del boletín
Seguridad0
Seguridad0.com - Magazine de seguridad
informática
Seguridad0.net - Cursos gratuitos -
Plataforma e-learning
Seguridad0.info - Lista de
distribución seguridad informática
Motivados
Motivados web
Listas de distribución Motivados
Otra Democracia Es Posible
Asistente a la participación ciudadana en
ODP |
|
|
|
|
|
|
| |
[Adjunto no mostrado:
application/octet-stream
]
[Adjunto no mostrado:
application/octet-stream
]
|
|
Informativos.ws #4
Responder a este mensaje