Green IT

A estas alturas de la película todos somos conscientes del encarecimiento del Kw; sin entrar en discusiones sobre la bondad de las renovables, el mantenimiento de Garoña y disquisiciones de carácter político, el coste energético asociado a IT no es algo a infravalorar. Aunque este no es un tema específicamente relacionado con la Seguridad de la Información, voy a hacer una pequeña “parada” en la temática habitual para hablar, cómo no, de Green IT. ... Leer Más

Incumplimiento del deber de secreto

Hace unos días leí una noticia que me llamo la atención; por lo visto, algún trabajador de Google había filtrado a la prensa un comunicado interno (el cual indicaba expresamente que era confidencial) donde se informaba sobre un aumento del 10% del sueldo a todo la plantilla de Google y la recepción de una paga extra de 1000 $ (yo pensé mira que majos :) ). Un día más tarde al hilo de esta noticia aparecía una nueva, en la cual se informaba acerca del despido de la persona que había filtrado la información, que ya no podría disfrutar de ese aumento de sueldo.... Leer Más

El débil eslabon (El cinturón de seguridad II)

(N.d.E. Nada más volver del pasado verano hicimos una analogía entre la función de la norma ISO 27001 en seguridad de la información y el cinturón de seguridad en seguridad del automóvil. En ella “prometíamos” hacer un repaso a los “anclajes” de ISO 27001, en especial al Anexo A de ISO 27002. Recuperamos dicha serie con esta primera entrada de Antonio Huerta, que habla del Dominio de Control 8: Seguridad relacionada con Recursos Humanos)

Estimados lectores, muy frecuentemente el primer pensamiento por parte de las empresas a la hora de afrontar la seguridad viene marcado por fuertes inversiones, como pueden ser costosas soluciones en infraestructura de red (IDS, Firewall), la compra de antivirus centralizados, suites de ServiceDesk, o laboriosos proyectos de consultoría. Si bien acometer dichas proyectos o compras de este tipo es un requisito para la consecución de cierto grado de seguridad empresarial, no resulta ser la panacea a la totalidad de los problemas de seguridad.

Cuántas veces han visto ustedes o incluso han empleado en presentaciones la frase: la cadena es tan fuerte como su eslabón más débil. Todos a estas alturas sabemos cuál es el activo que genera mayor riesgos a una empresa y que a menudo no contemplamos en nuestros análisis de riesgos: el empleado. De poco sirve que tengamos las medidas más sofisticadas, si mediante un simple correo electrónico cualquier empleado puede enviar informes clínicos a cualquier persona, no es consciente del problema de tirar los curricula de los candidatos descartados a un contenedor de basura cualquiera o se instala un programa P2P y comparte por descuido el contenido total del equipo. Dejando de lado problemas más graves que involucran a personal responsable o con privilegios de administración a los equipos.

[Read more…]

Servidores Proxy cache – Optimizando la red

Apreciados lectores, me voy a alejar un poco de la temática de mis anteriores publicaciones, más enfocadas a aspectos organizativos de la seguridad, y en esta publicación hablaré sobre el uso de sistemas proxy cache para optimizar el uso del ancho de banda de red. Como introducción a los proxys, decir que básicamente se trata de un servidor que hace de intermediario en la conexión entre un cliente e Internet. Los proxys se emplean en distintos ámbitos y con distintas funcionalidades como puede ser seguridad (filtrado) o mejora de las prestaciones de las comunicaciones, entre algunas otras. Este artículo se centrará en los servidores Proxy Cache que permiten optimizar el uso de ancho de banda, reducir latencias y por lo general hacer un uso más racional de los recursos disponibles. ... Leer Más

GOTO V: ¿Quién se ha llevado mi queso?

Aún recuerdo cuando empecé a introducirme en el mundo de la auditoría y seguridad allá por el año 2001, en una asignatura de la universidad, con un profesor que daba una asignatura enfocada a la gestión de empresas, y pensé este hombre habla de cosas interesantes y no de teoremas y algoritmos que probablemente no emplearé en esta vida. A partir de ese momento comencé a asistir a charlas en las que me dejaba impresionar por la corbata y la dialéctica de los ponentes y asistentes que disponían de sabiduría sobre todos los campos de la materia. Ya sabéis: corbatas, trajes, y retórica (nada nuevo bajo el sol).... Leer Más

Subvenciones de Seguridad

Con el fin de promover las nuevas tecnologías y dar impulso a aspectos como la seguridad de la información dentro de este ámbito, se han establecido una serie de ayudas y subvenciones tanto de carácter autonómico como nacional aplicables a la implantación de la norma ISO 27001, que probablemente muchos de ustedes conozcan, independientemente si se trata de consultoras o de clientes. A continuación les muestro un breve resumen de las distintas ayudas y organismos gestores, aunque no tengo constancia de que haya alguna convocatoria abierta en estos momentos.

[Read more…]

BS 25999 ¿Qué es eso?

En esta mi primera entrada, voy a introducir la norma BS 25999, la cual seguramente sea el tema de mi tesina de máster. Probablemente el término BS 25999 pueda resultar poco conocido, pero si hablamos de plan de continuidad de negocio seguro que el concepto les suena más. Lo que propone esta norma es tratar la continuidad de negocio como un sistema de gestión de la continuidad de negocio (SGCN), ofreciendo la posibilidad de algo que está de “moda”: CERTIFICARSE.

A pesar de lo poco extendida que está, esta norma no es nueva, puesto que fue publicada en 2006 y 2007 respectivamente. Consta de dos partes:

  • BS 25999-1, propone un código de buenas prácticas para la gestión de la continuidad de negocio
  • BS 25999-2, propone especificaciones para la implantación SGCN

Grosso modo esta norma ofrece un marco de trabajo para desarrollar la continuidad de negocio, marcando una serie de pautas que nos permiten definir unos planes de continuidad. Estos estarán basados en estrategias de continuidad que se han seleccionado en base a la criticidad de los servicios corporativos como resultado del BIA (Business Analysis Impact). Podríamos empezar a hablar de términos como RPO y RTO, pero llenaríamos demasiadas páginas y habrá otras ocasiones mejores.

[Read more…]