Sobre la validez legal del documento electrónico administrativo

Hoy martes traemos una entrada de Salvador Silvestre, de la firma Rocabert & Grau Abogados, bufete que ya ha colaborado anteriormente en Security Art Work.

Entre otras cosas, Salvador es postgrado en el Programa Superior en Derecho de las Telecomunicaciones, Sistemas Audiovisuales y Nuevas Tecnologías del Instituto de Empresa y experto en servicios de e-Administración acreditado por el Consejo General de la Abogacía Española. Asimismo, es Director del Departamento de Derecho Tecnológico, donde imparte cursos y conferencias sobre la materia en foros de relevancia como la Fundación de Estudios Bursátiles y Financieros, Puertos del Estado, universidades públicas, e importantes empresas multinacionales. Esperemos que les guste la entrada.

Cada vez utilizamos menos los documentos en soporte papel, de hecho, la mayoría de documentos en papel que utilizamos “nacen” primero en formato electrónico y luego los imprimimos y firmamos. Me pregunto si le daríamos validez a un documento en soporte papel que no estuviera firmado…

Vayamos ahora a un entorno electrónico. La validez de un documento electrónico, en general, dependerá de si va firmado con firma electrónica avanzada basada en certificado reconocido cumpliéndose los requisitos de la Ley de Firma Electrónica, de forma que no puedan impugnar su validez. Es decir, que sea auténtico, íntegro y esté disponible. Y ello porque con los documentos lo que se pretende es proporcionar pruebas de su contenido para exigir responsabilidades o cumplir con derechos.

[Read more…]

III Symposium FIRST

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat de la Comunidad Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico de CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

La semana pasada acudimos desde el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-cv) a la reunión de los grupos CSIRT.es, TF-CSIRT y FIRST que ha tenido lugar en Barcelona en CaixaForum. En distintas sesiones durante cuatro días, nos hemos reunido con grupos de respuesta a incidentes de nivel nacional, europeo e internacional. Estos foros suelen celebrarse periódicamente en distintas ciudades (incluso distintos continentes en el caso del FIRST), pero al coincidir todos en Barcerlona, era ineludible presentarnos al III Symposium FIRST.

Para aquellos que no nos conozcan, un CSIRT o CERT es un grupo que incluye técnicos especializados encargados principalmente de la respuesta a incidentes de seguridad informática que ocurran dentro de su ámbito de actuación; aunque no es este el único servicio que pueden ofrecer, es ineludible su acreditación para que se les considere un CSIRT/CERT.

[Read more…]

Medición de un SGSI: diseñando el cuadro de mandos

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

[Read more…]

Seguridad doméstica

Como primera entrada de esta semana un poco «rara», tenemos una entrada de Rafael Rosell, que ya colaboró hace algunos días en el blog.

Rafael es Ingeniero Superior Industrial, Máster por el IESE y actualmente es Director Comercial del Instituto de Biomecánica de Valencia.

Los momentos que vivimos, desde un perspectiva economicista, afectan gravemente a las economías familiares. Esto nos lleva, como gestores de estas pequeñas economías, a tomar decisiones de reducción de costes importantes. Y ya que, evidentemente, no podemos despedir personal optamos por medidas mucho menos trascendentes ajustando gastos que a priori pueden ser superfluos; menos gastos para ocio, marcas blancas en los productos para la casa o evitar gastos como el ADSL, más si además tenemos accesible una red WIFI de algún vecino cercano.

[Read more…]

El riesgo de los avances tecnológicos

Para acabar la semana, tenemos una entrada de Rafael Rosell, que inicia su andadura como colaborador de este blog.

Rafael es Ingeniero Superior Industrial y Máster por el IESE. Asimismo, actualmente es Director Comercial del Instituto de Biomecánica de Valencia y es especialista en la dirección de equipos de ventas y estrategias comerciales, campo en el que lleva más de 15 años trabajando. Esperamos que la entrada les guste tanto como a nosotros.

Ha llegado a mis manos un artículo muy interesante de El Economista en el que se comentan los grandes avances tecnológicos que empresas como CISCO están obteniendo, y que sin duda puede revolucionar la forma en la que hacemos las cosas o nos relacionamos.

El artilugio en cuestión es digno de aparecer en escenas de “Matrix”: se trata de un sistema de telepresencia en 3D. Traducido al cristiano, esto significa que (una vez dicha tecnología llegue a su fase de comercialización), seremos capaces replicar en 3D con apariencia bastante real una imagen de una persona con el objetivo de, entre otras cosas, participar en reuniones a distancia, reproduciendo una imagen de mí como si en realidad estuviera presente en la citada reunión.

[Read more…]

Esa cosa llamada «Governance»

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social governance. Esperamos que les guste.... Leer Más

Subiendo la temperatura en el datacenter y ¿descontrolando la humedad? (I)

Para hoy martes tenemos una entrada de Rafa García, amigo y antiguo colaborador de S2 Grupo que ya ha participado en el blog en alguna ocasión.

Rafa ha dedicado los últimos años de su carrera profesional a la gestión de datacenters, campo en el que posee extensos conocimientos (como demuestra la presente entrada), y es actualmente Director de NIXVAL, un proveedor de servicios de externalización de centros de datos para alojamiento de sistemas de misión crítica, parte del grupo CLEOP. Esperemos que la entrada les guste tanto como a nosotros.

Recientemente, trabajando en una ampliación bastante importante de nuestro centro de datos he podido constatar ya de forma generalizada que el mercado propone parámetros de diseño de salas técnicas con temperatura ambiente de 25º C y control de humedad de humedad relativa al 80%. Este post va de porqué, cómo y hasta dónde pueden realizarse estos cambios en una sala técnica existente —en este caso una de un centro de datos real— ya que con estos nuevos parámetros de diseño los centros de datos han dejado de ser como los conocíamos hasta la fecha.

El aumento de la temperatura de la entrada en aire a los servidores de 21º hasta 25º es un cambio que está operativo desde hace aproximadamente 1 año en una de las salas de nuestro centro de datos, que alberga aproximadamente 130 kW de sistemas. ¿Porqué este aumento? Para ahorrar energía, claro. ¿Y no causa problemas en los sistemas? No. Los equipos actuales soportan temperaturas operativas de hasta 35º garantizadas por el fabricante. Como muestra los parámetros operativos del equipo DELL Poweredge R210, uno de los mas baratos (369 €) y populares servidores:

Temperature: Operating: 10° to 35°C with a maximum temperature gradation of 10°C per hour. Relative Humidity: Operating: 20% to 80% (non-condensing) with a maximum humidity gradation of 10% per hour

[Read more…]

Conócete a ti mismo

Para esta tarde de martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Se supone que en el Templo de Apolo de Delfos (y bajo la puerta del Oráculo en Matrix) había una inscripción que decía ‘Conócete a ti mismo’. Atribuida tradicionalmente a la poetisa Femonoé, para el poeta Juvenal es el primer paso hacia la auténtica sabiduría. Curiosamente en comunicación, conocerse a uno mismo es uno de los aspectos a los que menos atención se suele dedicar. Sin embargo en ese autoconocimiento se encuentra la clave para desarrollar una reputación a prueba de crisis.

Crisis es una palabra que, pese a llevar un par de años de moda, tiene un amplio recorrido tanto en gestión empresarial como en comunicación corporativa. La gestión de crisis es una disciplina y un arte que, pese a lo que muchos pudieran pensar, tiene más de prevención que de reacción. Y precisamente en esa actitud preventiva es donde juega un papel esencial la necesidad de conocerse a uno mismo (y a su marca, por supuesto).

[Read more…]

Seguridad de la Información y Fórmula 1: fiabilidad y resultados

La entrada de hoy martes es una colaboración de Javier Cao, un «clásico» del sector que no requiere demasiadas presentaciones. Para aquellos que no lo conozcan, Javier Cao es Ingeniero en Informática por la Universidad de Murcia, certificado CISA y posee los certificados de los cursos IRCA ISO 27001 e IRCA ISO 20000.

Su carrera profesional se ha desarrollado en torno a la gestión de la seguridad de la información desde sus comienzos, participando en diferentes proyectos relacionados en la norma ISO 27002, la continuidad de negocio y la protección de datos, tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de la empresa Firma, Proyectos y Formación dirigiendo diversos proyectos en el ámbito de la Administración Pública relacionados con el análisis de riesgos, la seguridad de la información y la continuidad de negocio. Asimismo, participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Esperamos que les guste la entrada.

En el momento actual de inicio y expansión de sistemas de gestión de la seguridad de la información (en adelante SGSI), la principal preocupación es naturalmente lograr la construcción y establecer bien los procesos que permitan lograr construir el ciclo de mejora continua y certificar el sistema.

Sin embargo, conforme vayan pasando los años estos sistemas deben ir madurando para lograr verdaderamente satisfacer los objetivos establecidos por la Dirección. Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables.

En este sentido, los criterios de gestión establecidos por la Dirección y que debieran estar referenciados en la Política de Seguridad de la Entidad, son el marco de trabajo para todas las personas involucradas de forma activa o pasiva, dentro de las actividades de operación, mantenimiento y supervisión del SGSI. Estas directrices generales son tanto el rumbo como las metas que el sistema de gestión debe lograr. Todo el esfuerzo de construcción y mantenimiento de un SGSI no se justifica si con ello no se logran determinados resultados; un SGSI tiene costes y por tanto, debe ser amortizado y rentabilizado lo máximo posible. Esto, dentro del ámbito de la seguridad, supone que las cosas deben funcionar con normalidad y los imprevistos, incidentes o accidentes deberán ser gestionados de forma correcta para minimizar los daños que pudieran producirse. Pero para lograr esto, es necesario justificar y demostrar con datos todo el esfuerzo que es necesario realizar para que las medidas de seguridad funcionen cuando hagan falta.

Partiendo de la célebre frase de Lord Kelvin (1824-1907), «Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre«, un SGSI debe tener establecidos criterios de medición de la eficacia y la eficiencia como así establece la propia normativa en las cláusulas 4.2.2. Apartado e) y 4.2.3. Apartado b).

Para ilustrar esta faceta de la seguridad y como viene siendo tradicional dentro del blog “Security Art Work” voy a utilizar como símil de un buen modelo de seguridad la Fórmula 1 dado que creo se comparte un gran paralelismo en los enfoques de ambos mundos.

[Read more…]

Asegurando la marca: la huella online de la empresa

Para el último día de la semana, tenemos una entrada de Marcos García, Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Sirva esta entrada además para iniciar una nueva línea del blog, orientada específicamente a esa vertiente de la seguridad cada vez más importante, dedicada a velar por uno de los activos más importantes de la empresa: la reputación online.

La reputación de cualquier empresa es uno de sus activos más importantes. En un DAFO debería estar siempre entre las fortalezas de la marca y, sin embargo, lo más habitual es que no sea así. ¿Por una mala gestión de crisis? ¿por una imagen deteriorada? ¿por una campaña de desprestigio? En la mayoría de los casos, por ninguna de las tres. La mayor parte de empresas no cuentan con una reputación favorable simplemente porque no se han preocupado nunca de construirla ya que la reputación corporativa es, hoy más que nunca, una cuestión de disponibilidad de la información.

[Read more…]