Guía CSIRT-CV: Sistemas de mensajería instantánea seguros

Enmarcada en su labor de formación y divulgación de la seguridad de la información, CSIRT-CV ha publicado una guía de herramientas seguras de mensajería instantánea destinadas a usuarios u organizaciones que necesiten altos niveles de privacidad y confidencialidad.

Las herramientas analizadas y descritas responden a las siguientes premisas:

  • Utilización de cifrado robusto para evitar la captura de información, especialmente cuando las conversaciones sean entre diferentes sedes conectadas por Internet
  • Posibilidad de ejecutar los clientes en diversas plataformas, especialmente Windows, Linux y Mac
  • Posibilidad de crear chats o salas de discusión
  • Evitar que las comunicaciones pasen por un proveedor externo que pueda acceder, almacenar o modificar las conversaciones. Para ello solo se han seleccionado herramientas que permitan instalarse en infraestructura propia y ser explotadas mediante el personal propio
  • Garantizar la transparencia del software utilizado, seleccionando solo herramientas de código abierto

[Read more…]

Me van a auditar de 27001/ENS/LOPD o similares, ¿cómo será? ¿Qué debo saber?

La palabra auditoría da miedo. Todos hemos hecho cientos de exámenes desde el colegio, pero algo tiene la palabra auditoría que genera mucho más estrés que cualquier otra prueba.

Los que alguna vez hayan sido auditados saben que no es tan horrible como suena (incluso puede llegar a ser algo rutinario), pero quienes se enfrentan a una auditoría por primera vez acostumbran a tener infinidad de dudas sobre el “cómo será”: ¿se pueden preguntar cosas? ¿Qué van a mirar? ¿Interesa perder el tiempo para que auditen menos cosas? ¿Se puede consultar la norma/ley o apuntes durante la auditoría? ¿Se puede salir al baño? ¿Es obligatoria la corbata? ¿Y si me quedo en blanco? Algunas pueden parecer tonterías, pero seguro que más de uno agradecerá estas líneas si le llega el día de ser auditado.
[Read more…]

Certificación del ENS para empresas y administraciones públicas

En diciembre el CCN publicó la guía 809 sobre Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento.

Se trata de una guía que por un lado define un marco de auditoría y revisión de la conformidad con el Esquema Nacional de Seguridad (en adelante ENS), y por otro incluye explícitamente en el alcance a organizaciones del sector privado que participen en la prestación de servicios afectados por el ENS.

Es cierto que hasta ahora los sistemas dentro del alcance del ENS debían ser auditados cada dos años, pero los requisitos de esta auditoría no habían sido definidos. Además, si la administración pública contrataba servicios TI afectados por el ENS, era de esperar que durante su auditoría se auditase también a sus proveedores, de modo que la nueva guía parece no incluir demasiados cambios.

[Read more…]

La cada vez más complicada Revisión Anual de Todo

¿Cuántos amigos tienen la clave de tu WiFi? ¿Con cuántos contactos de Facebook no interactúas desde hace años? ¿Haces copias de seguridad de tus datos? ¿De cuándo es la última actualización de tu Linkedin?

Yo hace tiempo me marqué el inicio del año como el momento de poner al día mi vida digital y año tras año la lista de cosas a revisar no ha hecho más que crecer. Sí, ya sé que estamos a 1 de Febrero pero el mes de Enero no cuenta. Entre que te recuperas de la navidad y las rebajas, ya se te ha pasado el mes.

Algunos recordareis que en 2012 y 2013 ya plantee que tomásemos el inicio del año como el momento de la “revisión anual de todo”, así que aprovechando el empuje del año nuevo, os invito a empuñar este post como checklist actualizado de todo aquello que deberíais revisar al menos una vez al año (remarcamos mucho el “al menos”) y os pongáis conmigo manos a la obra.

[Read more…]

Informes de transparencia de Google: más información de lo que a priori suponemos

En  2010, Google lanzó una publicación periódica llamada “Informes de transparencia de Google donde se hacía eco principalmente de las peticiones de retirada de contenido de sus servicios por parte de gobiernos y organizaciones. Con el paso del tiempo, estos informes  han evolucionado a una plataforma en la que se pueden consultar diferentes datos, tanto de las peticiones servidas por sus servicios como del uso que se hace de estos.

ac0

[Read more…]

¿Necesito un SGSI? ¿Y un plan de continuidad? ¿Y un pentest? Lo que necesitas es un Plan Director de Seguridad

En ocasiones cuando una organización decide mejorar la seguridad de su información se lanza de cabeza a por un SGSI, al cumplimiento de la LOPD, o directamente a implantar controles sobre sus activos, sin plantearse previamente qué es exactamente lo que necesita.

Los profesionales del mundo de la seguridad de la información insistimos en que la seguridad debe estar alineada con los objetivos del negocio, y esto es precisamente lo que un Plan Director de Seguridad (o PDS) se encarga de hacer: decidir lo que nuestra organización necesita en materia de seguridad.

¿Qué es un PDS?

[Read more…]

Estado de adecuación al ENS en la Administración Pública española

Como ya se comentó en el anterior post, el ENS tendría que estar implantado al 100% en las diferentes administraciones públicas y proveedores:

  • Hace 5 años de su publicación.
  • Hace 4 años desde que todo nuevo proyecto debía “nacer” adecuado al ENS.
  • Hace 4 años desde que se debía empezar con los planes de adecuación.
  • Hace 1 año desde que todo plazo de adecuación acabó y por tanto la implantación debía estar realizada.

3 años parecían tiempo suficiente para llevar a buen puerto las adecuaciones, así que una vez pasado un cuarto año de cortesía, toca medir cómo ha ido esta adecuación. Vamos a verlo.

[Read more…]

El discutible artículo 30 del ENS ¿hasta dónde adecuar?

En teoría este post llega 5 años tarde: hace ya 5 años que se publicó el Esquema Nacional de Seguridad (a partir de ahora ENS) y por lo tanto han pasado 5 años desde que cada organización debía empezar su adecuación estableciendo el alcance sus sistemas afectados por el ENS.

La realidad es que, como ya trataremos en el próximo post, existen muchísimas administraciones públicas que aún no han abordado un plan de adecuación, o que incluso siguen desarrollando o contratando servicios que no cumplen con las medidas del ENS. Por ello vamos a arrojar algo de luz sobre la definición del alcance que tantas dudas causa.

El ENS establece en su artículo 3 su ámbito de aplicación:

El ámbito de aplicación del presente real decreto será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio.

Recordemos que el ENS existe para proteger la seguridad de la información afectada por la Ley 11/2007 (de acceso electrónico de los ciudadanos a los servicios públicos), por lo que tiene todo el sentido del mundo que su alcance sea el mismo que el de la “Ley 11”.

[Read more…]

Seguridad para todos en la sociedad de la información

Como muchos de vosotros sabéis -y para los que no, os lo contamos ahora-, desde S2 Grupo tenemos en marcha diferentes líneas de trabajo relativas a la concienciación, a la consolidación de una cultura de seguridad que, a todos los niveles, trate de introducir la seguridad en nuestro día a día, más allá del ámbito profesional en el que todos nos movemos: colectivos especialmente desprotegidos, ciudadanos, etc.

Por este motivo, es para nosotros un placer anunciar que ayer el Honorable Sr. D. Juan Carlos Moragues, Conseller de Hacienda y Administración Pública de la Generalitat Valenciana, junto con la Directora General de Tecnologías de la Información de Generalitat Valenciana, Dña. Sofía Bellés y D. Juan Pablo Peñarrubia, Presidente del Colegio Oficial de Ingenieros en Informática de la Comunidad Valenciana, presentó con motivo del próximo día de Internet el libro “Seguridad para todos en la Sociedad de la Información”.

El contenido de dicho libro ha sido creado por el Centro de Seguridad TIC de la Comunidad Valenciana junto con la colaboración de S2 Grupo, y editado por el colegio de Ingenieros Informáticos, para ser puesto de forma gratuita al alcance de toda la comunidad internauta.

Se trata de un libro destinado al gran público en el cual se tratan todos aquellos temas relacionados con la seguridad de la información en el ámbito personal, abarcando temas tan dispares y amplios como los siguientes:

  • Seguridad global de la información
  • Malware
  • Navegación segura
  • Correo electrónico
  • Compras online
  • Redes sociales y mensajería instantánea
  • Equipos portátiles
  • Seguridad inalámbrica
  • Teléfonos inteligentes
  • Los menores en Internet
  • Redes P2P
  • Juegos online
  • Delitos tecnológicos

La publicación del libro tiene por finalidad crear una cultura de seguridad que ayude a los ciudadanos a identificar las posibles amenazas a las que se ven expuestos, así como aprender a protegerse y reaccionar adecuadamente ante las mismas, todo ello enmarcado dentro de las acciones de la Agenda Digital de la Comunitat Valenciana que en breve se publicará. Además al final del libro se incluye un cuestionario donde el lector podrá poner a prueba los conocimientos adquiridos.

Por supuesto, es necesario reconocer el trabajo de todo el equipo del área de Seguridad de S2 Grupo, en especial el de las personas que están o han estado destinadas a CSIRT-cv (Alberto, Raúl, Adrián, Maite… y los que se me olvidan) y el del equipo de la propia Generalitat Valenciana, tanto del Servicio de Seguridad de la Información como, específicamente, el de CSIRT-cv, con especial mención a Carmen, Lourdes y Xavi, por el esfuerzo que todos hemos realizado para que esta publicación vea la luz. Sin olvidar, obviamente, el trabajo del Colegio Oficial de Ingenieros en Informática, con Juan Pablo y Héctor a la cabeza, en la coordinación y maquetación de esta publicación.

El libro puede ser descargado tanto desde la web de S2 Grupo, como desde la web de recursos de CSIRT-cv.

Migrar hacia la nueva ISO/IEC 27001:2013


Como muchos ya sabéis se ha publicado la nueva versión de la ISO/IEC 27001:2005 bajo el nombre ISO/IEC 27001:2013.

En esta revisión la norma ha sufrido grandes cambios destacando por ejemplo la flexibilidad a la hora de elegir metodologías de análisis de riesgos o mejora continua, la estructura de documentación, nuevos controles, nuevos conceptos, etc. pero sobre todo en su estructura pasando a utilizar el modelo del “anexo SL” del que ya habló nuestro compañero Alberto Olmos en estas entradas: Sistemas de Gestión Integrados: anexo SL (I), Sistemas de Gestión Integrados: anexo SL (II).

Una vez publicada la nueva norma, se ha abierto un periodo (presumiblemente de dos años) durante el cual las organizaciones que deseen seguir certificadas deberán adecuar sus SGSI a la nueva versión. Esta “actualización” podrá consolidarse durante una auditoría de seguimiento, de recertificación, o incluso mediante una auditoría extraordinaria si se considera oportuno.

Muchos se preguntan qué va a suponer este proceso de actualización y si van a tener que rehacer todo el sistema de gestión. La respuesta no es sencilla: depende (si no esté post no sería tan largo). Si bien a nivel técnico no parece que la actualización vaya a suponer ningún trauma, en lo que respecta a la organización del SGSI sí que existen muchas consideraciones a tener en cuenta por lo que analicémoslo por partes.

[Read more…]