Seis más una medidas para la seguridad sin concienciación

Hace unos días, a propósito de la llamada de unos técnicos falsos de Microsoft, nuestro compañero Raúl advertía sobre la necesidad de concienciar a los usuarios, tanto personales como profesionales (cada uno tiene una cosa que perder) en los aspectos más de seguridad. Como este es, en general, un blog del ámbito profesional, me permitirá que abandone a los usuarios domésticos a su suerte o a la de su primo informático, y nosotros nos quedemos en el entorno corporativo, que es el que nos atañe. ... Leer Más

Muros digitales

Hace tiempo que se sabía que la NSA y algunas organizaciones de similar naturaleza tenían desplegados sistemas cuyo objetivo es velar por la seguridad y protegernos del maligno (Chema Alonso no, otro maligno). A pesar de ello, la NSA siempre prefirió mantenerse en secreto para no verse obligada a rechazar el premio Nobel de la Paz. Sin embargo, tras conocer los casos de Snowden, Manning, Assange y otros rebeldes, es evidente que la situación se ha vuelto insostenible y no les ha quedado otra que salir del armario. ... Leer Más

¡Vacaciones!

(Entrada escrita en colaboración con Eva López)

Algo raro lleva ocurriendo en la oficina desde hace unas semanas. Poco a poco me iba dando cuenta de que faltaban algunos compañeros y hoy han aumentando mis preocupaciones al ver que faltan algunos más. El misterio ha sido resuelto en el momento en el que me he fijado en el calendario: ¡ya estamos en agosto! Los compañeros “desaparecidos” están disfrutando de unas merecidas vacaciones. Y es que como todos los años por estas fechas, unos días arriba unos días abajo, llegan las deseadas vacaciones de verano y en Security Art Work también nos vamos a tomar nuestro merecido descanso.

Aunque nosotros nos vamos a ausentar treinta días que esperamos que se hagan eternos (no es por ustedes, es por lo de que sean vacaciones), si en algún momento nos echan de menos, este blog tiene ya más de 1100 entradas que pueden consultar cuando se aburran. Además, si en estos meses han estado de viaje por las nubes, durante el “último curso” hemos hablado de muchas cosas, pero una de las que más impacto tuvo fue el experimento de Damià en el que lanzó un ping a todas las direcciones de Internet.

[Read more…]

Renunciamos a la privacidad

(Artículo de opinión de Manuel Benet publicado en El Levante Mercantil Valenciano ayer 2 de julio de 2013)... Leer Más

10 medidas básicas para no descuidar tu seguridad digital en verano

Hace unos años las vacaciones de verano servían para “desconectar” de la rutina diaria: cambiar de aires o perder de vista a los amigos y el trabajo era lo que se conseguía en el periodo estival. Sin embargo, para bien o para mal, eso ha pasado a mejor vida. Casi nadie concibe ya dejarse en casa su smartphone y pasar un mes sin actualizar su Facebook, su Tuenti, su Foursquare o su Twitter. Tampoco faltan los que se llevan la tablet o incluso el portátil en algunos casos.... Leer Más

GOTO XI: Titulitis

(Volvemos a la carga con la undécima entrega de la serie GOTO, que teníamos algo olvidada. Como ya saben, basada en las polémicas instrucciones GOTO de programación. En anteriores ocasiones hablamos de I: Consultores de Seguridad, II: Consultores LOPD, III: Análisis de Riesgos, el IV: Open Source, V: ¿Quién se ha llevado mi queso?, VI: Auditores vs. Consultores, VII: Privacidad vs. todo lo demás , VIII: LOPD a “coste cero” (¿y?), IX: El negocio de la seguridad y X: Periodistas)

Para cualquiera que haya estudiado una carrera universitaria de informática o algún programa educativo similar es evidente que en sus contenidos no se tratan, en la mayor parte de los casos, las tecnologías específicas de fabricantes como Microsoft, CISCO, HP, EMC2 etc. Asimismo, por lo general la formación en materia de seguridad suele brillar por su ausencia, tanto en el ámbito de la gestión (SGSIs, Análisis de riesgos, etc.) como en la parte más técnica (pentesting, análisis forense, etc.). En definitiva, que una vez acabada la fase eminentemente académica y ya de pleno en el mundo laboral, puede ser interesante ampliar los conocimientos, algo que puede hacerse a través de la experiencia a lo largo de los años, autoformación y buenos profesionales en los que apoyarse, a través de formación reglada (esto ya lo vimos el otro día con Joel y hace bastante tiempo publicamos una entrada con certificaciones interesantes) o ambos.

Afortunadamente, para solventar este problema la informática cuenta con un abanico bastante amplio de certificaciones, dirigidas a aquellos profesionales con necesidades específicas en ésta o aquélla tecnología, en éste o aquél ámbito. He de confesar no obstante que yo nunca he sido un gran fan de la formación reglada y menos si es necesario hacer acto de presencia, algo que considero en general una absoluta pérdida de tiempo (evidentemente, no siempre). Lo cual incluye, todo sea dicho, la formación universitaria. Esa es, supongo, una de las razones entre otras de que únicamente disponga de una certificación CISA y una CRISC. La primera la saqué yendo al examen sin haber acabado de leer el temario y la segunda la tengo gracias al programa de grandfathering y evidentemente a mi experiencia en la realización de análisis de riesgos. Voy a serles sincero: no creo que ninguna de ellas me haya aportado absolutamente nada, pero bueno, ahí están; al fin y al cabo, cumplí con los requisitos necesarios para su obtención y tengo totalmente justificadas mis horas de formación.

[Read more…]

Presentamos tiké

Security Art Work comenzó hace poco más de seis años por iniciativa del que escribe estas palabras, lo que hace que le tenga un especial cariño. Como sabrán, una de las políticas no escritas de Security Art Work siempre ha sido la ausencia de publicidad propia o ajena; Security Art Work fue creado para compartir conocimiento, no como una plataforma para hacer publicidad.

Sin embargo, una vez al año —como mucho— utilizamos el blog como escaparate de algún hecho destacado relacionado con S2 Grupo, tras lo cual volvemos a la programación habitual. Hoy es uno de esos días, con una especial particularidad que ahora mismo entenderán.

Hace aproximadamente un año, comencé a trabajar en una herramienta que mejorase la implantación y mantenimiento de un SGSI y diese respuesta a diversos problemas a los que en el pasado me he tenido que enfrentar. Esta idea inicial creció y con esfuerzo ha acabado convirtiéndose en una realidad, lo que nos lleva de nuevo hasta el día de hoy. Me siento especialmente orgulloso de presentar tiké® en público: la herramienta de S2 Grupo para la gestión de referentes normativos y legales. No sólo por mi papel en su nacimiento o como responsable funcional, sino sobre todo por todo el trabajo que nos ha costado llegar hasta aquí y que no me cabe duda de que ha valido la pena.

No voy a entrar a detallar las funcionalidades de tiké®, que pueden consultar en la página web del producto. Pero sí que me gustaría comentar los pilares sobre los que descansa la aplicación, que soporta actualmente LOPD y SGSI, pero cuyo ámbito ya estamos ampliando al Esquema Nacional de Seguridad, la norma ISO 9001, la Ley de Protección de Infraestructuras Críticas y la norma ISO 22301 (continuidad de negocio):

  • Gestión integral. Algunos de los principales problemas que encontramos en muchas organizaciones que desean adaptarse a la LOPD o implantar un SGSI son la ausencia de herramientas para abordar determinados aspectos requeridos por el referente en cuestión, la falta de mecanismos de control sobre las iniciativas o la ausencia de trazabilidad al utilizar documentos ofimáticos. Para hacer frente a esto tiké® presenta un modelo integral en el que a través de una única herramienta es posible gestionar y llevar un control de todos los elementos necesarios: proyectos, tareas, catálogo de puestos, indicadores, sistema documental, suministradores, etc., con total trazabilidad de las modificaciones realizadas por cualquier usuario.
  • [Read more…]

Los 10 errores típicos de una PYME en materia de seguridad

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente.... Leer Más

Responsable del fichero vs. Responsable del tratamiento

Veamos tres definiciones muy simples de la LOPD:... Leer Más

Continuidad de Negocio: tipos de proyectos

En el pasado hemos hablado en diferentes ocasiones de Continuidad de Negocio. Concretamente, hemos tratado de los aspectos a tener en cuenta al abordar un proyecto de Continuidad de Negocio, de la valoración de tiempos en el Análisis de Impacto sobre el Negocio (I y II) y hemos comentado (y dejado a medias) por qué son necesarias las pruebas de continuidad de negocio. En general, siempre en el ámbito tecnológico, es decir en el marco de los Planes de Contingencia TIC.... Leer Más