El Esquema Nacional de Seguridad, el desarrollo seguro de software y otras hierbas aromáticas

Noticia de hoy, calentita: un fallo en la web del Ministerio de Vivienda daba acceso a datos personales de solicitantes de la renta de emancipación, permitiendo al parecer acceder incluso a información fiscal de otros solicitantes (datos de nivel medio). Pero no, no voy a entrar en la desgastada discusión de que si esto pasa o no pasa porque las administraciones públicas no tienen una especial sensibilidad ni concienciación en cuanto a sus responsabilidades en el tratamiento de los datos de carácter personal, de si esto pasa porque no están sujetas al régimen sancionador de la LOPD, etc.... Leer Más

I Encuentro Internacional CIIP: Taller de Continuidad

En esta entrada me voy a atrever a darles mi visión personal de las conclusiones que se extrajeron del taller “Gestión de Continuidad: Planes de Contingencia, Gestión de Crisis” del I Encuentro Internacional de Ciberseguridad y Protección de Infraestructuras Críticas, taller que dirigió con mucha habilidad y dinamismo Miguel Rego, Director de Seguridad Corporativa de ONO, y que resultó muy participativo.... Leer Más

Seguridad organizativa. Un caso práctico.

No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.

La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).

La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.

Y por último yo diría que en España la aparición de la LOPD —a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes— y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.

[Read more…]

Titanic

En este blog normalmente abordamos la gestión de la seguridad desde el punto de vista TIC, desde el punto de la seguridad de la información, de los procesos de negocio, etc. Pero hay otras seguridades, como ha estado presentando Toni Villalón en sus últimos posts. Hoy quería dar unas pinceladas de cómo se gestiona la seguridad en un ámbito totalmente diferente y muy complejo: el de la navegación marítima. No es algo caprichoso; algunos integrantes de S2 Grupo estamos asistiendo a un curso de Seguridad Portuaria, en el marco de un proyecto I+D+i en el que estamos participando.... Leer Más

Las hijas de «ZP»

No sé cómo se habrán sentido ustedes tras observar la polémica suscitada por la publicación de la famosa fotografía de las hijas del presidente del gobierno en el Metropolitan de Nueva York, y observar —cada vez me sorprende más lo desocupados y aburridos que pueden llegar a estar mis congéneres— esa especie de “variaciones sobre el mismo tema» en que se ha convertido la generación de fotografías de las menores cambiando el escenario, los rostros y los aderezos de los retratados.... Leer Más

Paralelismos

Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.

[Read more…]

Delitos informáticos

cybercrimeLa semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados» por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

[Read more…]

Una cuestión de resiliencia

muelleEn una charla a la que asistí hace unos meses sobre continuidad de negocio, uno de los ponentes clasificaba los métodos que existían a la hora de afrontar la materialización de un escenario de siniestro en los siguientes:

  • Método israelí: atajar el problema como sea (“enemigo muerto, trabajo bien hecho»).
  • Método americano: desplazar a un técnico al campo de trabajo y hacer un procedimiento. A partir de ese momento el procedimiento es sagrado.
  • Método británico: el que se desplaza es un segundo del técnico (vestigios del Imperio…).
  • Método español: Vamos y lo intentamos arreglar. Después, si podemos, haremos el informe, y el procedimiento….uff, eso ya veremos.

[Read more…]

Hasta siempre María Amelia

mariaameliaEl miércoles se nos fue la abuelita de Internet.... Leer Más

Ley Nokia

Hace ya unos días apareció en prensa una noticia que me parece interesante comentar. El titular es bastante efectista: “Los jefes podrán controlar el correo electrónico de los empleados (…)».... Leer Más