Ataque DoS de Microsoft

H650_1200oy tenía que sacar uno de esos informes que requieren una gran dosis de concentración y me disponía a hacerlo trabajando desde casa. Además, antes debía responder a un importante e-mail enviado por mi jefe la tarde anterior.

A las 06:30 ya estaba sentado delante del ordenador. Bueno, va: ya eran casi las 06:45. Lo encendí y mientras arrancaba puse la tetera al fuego. De entrada Windows me informó de una nueva actualización y yo, en un descuido imperdonable pese a las horas y la falta de cafeína y teína, elegí la opción de actualizar y reiniciar.

Inmediatamente apareció una pantalla azul. Instalando actualización 1 de 10.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (7)

Si recuerdan, la anterior entrada de la serie la dedicamos a las auditorías iniciales de selección de proveedores. En esta ocasión vamos a hablar acerca de las auditorías de evaluación de proveedores y seguimiento de su desempeño.

Como ya se indicó, el objetivo de las auditorías de evaluación de proveedores es el de verificar el grado de cumplimiento de todos los compromisos adquiridos por contrato, especialmente de todo aquello que tenga que ver con calidad y niveles de servicio, aspectos relacionados con la seguridad y cumplimientos de plazos.

El alcance de una auditoría de seguimiento de proveedores queda enmarcada dentro del objeto y alcance del contrato. Los criterios de auditoría los compondrán, por tanto, las disposiciones contenidas en la documentación de carácter contractual generada, es decir, en el contrato firmado por ambas partes (incluidos anexos y referencias) o en el tándem pliegos de contratación más propuesta ganadora, si se trata de una licitación abierta. También forman parte de los criterios de auditoría todas las disposiciones legales que resulten de aplicación en relación con el contrato y los bienes o servicios objetos de contratación. Ya dijimos que los requisitos legales deben formar parte de los criterios de auditoría de manera inexcusable y la evaluación de su cumplimiento debe abordarse sistemáticamente dentro del proceso de auditoría.

[Read more…]

Sistemas de Gestión Integrados: anexo SL (II)

En la anterior entrada explicábamos cómo nos lo montamos en S2 Grupo para integrar eficientemente en un único sistema de gestión requisitos de diversas normas que versan sobre temas bien diferentes. En otras empresas he tenido ocasión de comprobar otros enfoques similares. Resumiendo: diferentes normas desarrolladas sobre la base del ciclo PDCA son más o menos compatibles. Pero la compatibilidad se la tiene que montar uno mismo. Además diferentes requisitos compatibles son diferentes en alcance y redacción y, obviamente, al integrar dos o más normas de sistemas de gestión en un único Sistema de Gestión Integrado (SGI) hay que satisfacer el más exigente de todos ellos. En esta nueva entrada y en relación con este tema vamos a hablar sobre el anexo SL.... Leer Más

Sistemas de Gestión Integrados: anexo SL (I)

Hace casi diez años, trabajando de auditor para mi anterior empresa (AENOR), me correspondió organizar conjuntamente con mi actual empresa (S2 Grupo) la primera de una serie de jornadas divulgativas acerca de seguridad y sistemas de gestión de la seguridad de la información, en concreto sobre la norma española UNE 71502, precursora en España de la norma ISO 27001 y por ésta derogada.... Leer Más

Mi jefe me ha hackeado

Como lo oyes. Como lo lees. Mi jefe me ha hackeado.

Ocurrió la semana pasada. Llegaba yo tarde a una reunión en la que debía exponer. Como es habitual, el servidor de la sala ya estaba en marcha por lo que simplemente hice uso del mando a distancia del proyector instalado en el techo, lo conecté y esperé unos segundos a que se mostrase en pantalla la invitación a ingresar en el sistema.

Como tantas veces, como siempre, hice click en el botón de inicio sesión, cogí el teclado inalámbrico, tecleé mi contraseña y le di a intro. Como tantas veces, como siempre, lo hice mecánicamente, sin mirar a la pantalla. Entonces levanté la vista esperando ver cómo se iniciaba mi sesión. Pero no; seguía mostrándose exactamente la misma pantalla de inicio que unos segundos antes. Por un momento pensé que había elegido mal la contraseña de modo que probé con otra. Cosas de llevar docena y media de contraseñas en la cabeza. Pero nada.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (6)

(Véase primera parte, segunda parte, tercera parte, cuarta parte y quinta parte)

Tal como anticipamos en un anterior post de la serie podemos hablar de dos tipos de auditorías de segunda parte en función de su objetivo:

  • Por un lado y en primer lugar están las auditorías iniciales de selección proveedores, que se realizan previamente a la contratación y precisamente para la elección del más idóneo de entre un elenco de posibles candidatos.
  • En segundo lugar están las auditorías de seguimiento para la evaluación del desempeño del proveedor o subcontratista seleccionado. Estas auditorías se realizan periódicamente dentro del marco de una relación contractual ya establecida y tienen como objetivo principal el de verificar el cumplimiento de todos los extremos acordados por ambas partes, tanto en términos de calidad como de plazos y seguridad (al final podemos considerar todo calidad).

En esta entrada hablaremos de las auditorías iniciales de selección de proveedores dejando las de evaluación del desempeño para una próxima entrada.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (5)

(Véanse las partes anteriores de esta serie: primera parte, segunda parte y tercera parte)

En la anterior entrada comentamos la conveniencia, a la hora de seleccionar proveedores para servicios importantes, de no quedarnos en la superficie de los argumentos puramente comerciales ofrecidos por los posibles candidatos y no fijarnos únicamente en lo que nos quieran enseñar ya que resulta altamente recomendable bucear más a fondo y pedir que se nos muestren también otras informaciones altamente relevantes para los servicios objetos de contratación y que no se suelen enseñar (planificaciones, carga de recursos, medios de inspección, seguimiento y control, reclamaciones recibidas, tratamiento dado a las mismas, informes de satisfacción de clientes, experiencia aportada por los recursos, etc., etc.).

Determinada pues la importancia de un servicio subcontratado por su criticidad e impacto sobre el negocio y antes de adjudicar nada a ningún proveedor yo les insto pues a que visiten a los posibles candidatos, acuerden un marco de auditoría y los evalúen in situ, con tiempo y con rigor, solicitando informaciones relevantes para el servicio y, en defeinitiva, metiendo el dedo en la llaga. Garantizadas sorpresas tanto gratas como ingratas, derivadas de la gran cantidad de información relevante que se desprende de una auditoría de segunda parte bien desarrollada.

[Read more…]

Auditorías de segunda parte: Seguridad en las compras y contrataciones (4)

(Véanse las partes anteriores de esta serie: primera parte, segunda parte y tercera parte)

Las auditorías de segunda parte o auditorías de proveedor (o de cliente, según el foco) son las que realiza un cliente a un proveedor para su evaluación dentro del marco de una relación contractual existente o, precisamente, para la evaluación inicial previa a la contratación, como uno de los pasos más importantes (quizá el más importante) a realizar durante el proceso de selección de posibles proveedores o contratistas.

En esta entrada ofreceremos algunas consideraciones sobre las auditorías de segunda parte aunque en el último post de la serie ya las nombramos de pasada y, comparándolas con otros tipos de auditoría, llegábamos a algunas conclusiones importantes:

  • La auditoría de segunda parte es una herramienta potente y barata para la selección de proveedores idóneos y para el seguimiento de su desempeño.
  • Se trata de una técnica utilizada en general por grandes compañías con grandes volúmenes de compras; sin embargo la auditoría de segunda parte es menos conocida y está poco extendida en empresas de menor tamaño cuando sus ventajas y beneficios pueden fácilmente extrapolarse a empresas pequeñas y medianas sin más que hacer una regla de tres.
  • Las empresas que tradicionalmente venían haciendo auditorías de segunda parte a sus proveedores no han dejado en absoluto de hacerlas por el hecho de que éstos dispongan de una certificación del tipo que sea.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (3)

En entradas anteriores se ofreció una aproximación práctica al concepto de auditoría en general para después hablar sobre las auditorías internas o de primera parte. Demos ahora un salto, dejando las de segunda parte para un próximo post y vayamos directamente con las auditorías de tercera parte o de certificación.... Leer Más

Auditorías de segunda parte: seguridad en las compras y contrataciones (2)

Como continuación a la entrada sobre auditorías que publicamos hace algunos días, en esta entrada vamos a dar un repaso a los distintos tipos de auditoría que existen y después hablaremos sobre las auditorías internas. Tal como indicamos, más adelante profundizaremos en las auditorías de segunda parte y hablaremos sobre sus efectos en el incremento de la seguridad desde los procesos de compras y contratación.

Con independencia del marco normativo que pueda resultar de aplicación (ISO 27001, ISO 9001, ISO 20000-1 o la norma que sea, incluso una combinación de ellas) las auditorías se pueden clasificar en auditorías de primera, de segunda y de tercera parte en función de su origen y objetivos.

Además, desde el punto de vista de su programación podemos distinguir entre auditorías ordinarias o programadas y auditorías extraordinarias, las cuáles suelen llevarse a cabo entre dos auditorías ordinarias para realizar comprobaciones ulteriores, frecuentemente ligadas a la confirmación del cierre de problemas identificados en la auditoría ordinaria anterior. También pueden ser motivo de inicio de una auditoría extraordinaria la confirmación o sospecha de posibles problemas de cierta relevancia o impacto o la introducción de cambios importantes en los procesos de negocio (reingenierías de procesos, adquisición de nueva tecnología, cambios en CRMs y ERPs, fusiones, reformas, traslados, ampliaciones, implantaciones, etc.).

[Read more…]