Inicio > Mis eListas > informativos > Mensajes

 Índice de Mensajes 
 Mensajes 41 al 60 
AsuntoAutor
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #4 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 Prensa I
Informativos.ws #5 prensa
Informativos.ws #6 prensa
 << 20 ant. | 20 sig. >>
 
Informativos.ws
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 48     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[informativos] Informativos.ws #47
Fecha:Domingo, 27 de Febrero, 2005  21:20:56 (+0100)
Autor:Prensa Informativos <prensa @...........tv>

Si no puedes leer HTML consulta nuestros boletines en http://www.elistas.net/lista/informativos/archivo

4.408 suscriptores

Seguridad0. -
http://www.seguridad0.com
Con la colaboración de...
Motivados -
http://www.motivados.org

Boletín #47

Informativos.ws - Lectura selectiva en 30 minutos

Periodicidad semanal. Sale los domingos. Gratuito.


 EDITORIAL:  LA HOGUERA DE LAS VANIDADES

Un semestre más. Aquí estoy en el encuentro presencial para mostrar las asignaturas de la carrera de Ingeniería de Sistemas. Me encuentro sentado como alumno en el aula donde se detallará todo lo referente a la asignatura de administración de redes y sistemas operativos.

Aparece uno de los consultores. Se presenta como fulano de tal, doctor de no sé qué y miembro de la Unidad de Delitos Informáticos de la policía autonómica. Me quedo de piedra. No es que me moleste que sea policía, sino que ya es el segundo profesor que tiene esta doble profesión que veo en la universidad. Y no sólo eso, hace unos días volví a ver al sargento de la Unidad de Delitos Informáticos de la policía autonómica en una conferencia, ya que este hombre se ha convertido en una especie de estrella que se dedica a realizar "tours" o "bolos", cual ídolo del rock.

Y yo me pregunto ¿no existe una ley española llamada "ley de incompatibilidades del personal al servicio de las Administraciones públicas"? Creo que sí; de modo que repasemos lo que dice esta ley:

"Artículo 3. 1. El personal comprendido en el ámbito de aplicación de esta Ley sólo podrá desempeñar un segundo puesto de trabajo o actividad en el sector público en los supuestos previstos en la misma para las funciones docente y sanitaria, en los casos a que se refieren los artículos 5º. y 6º. y en los que, por razón de interés público, se determinen por el Consejo de Ministros, mediante Real Decreto, u órgano de gobierno de la Comunidad Autónoma, en el ámbito de sus respectivas competencias; en este último supuesto la actividad sólo podrá prestarse en régimen laboral, a tiempo parcial y con duración determinada, en las condiciones establecidas por la legislación laboral. Para el ejercicio de la segunda actividad será indispensable la previa y expresa autorización de compatibilidad, que no supondrá modificación de jornada de trabajo y horario de los dos puestos y que se condiciona a su estricto cumplimiento en ambos. En todo caso la autorización de compatibilidad se efectuará en razón del interés público."

No soy ningún jurista, pero tengo entendido que hay mucho más al respecto. Y ahí es donde comienzo a cabrearme. Veamos, porque los defensores del orden y la ley, esos mismos que ahora les gusta aparecer en televisión o ruedas de prensa explicando que han capturado a importantes hackers en operaciones policiales, cuando todos sabemos que se trata de pringados imberbes, cuyo único peligro para la sociedad radica en haber elaborado una mutación de un virus informático que sirve para dar trabajo a los antivirus y que estos se vendan más.

Hay ocasiones en los que la ley se aplica rigurosamente, no digo que no. ¿Pero es necesario aparecer en televisión, colgándose la medalla de haber capturado a un delincuente informático? ¿Es necesario dar ese espectáculo como si de la detención de un criminal se tratara?

Cada uno puede pensar en lo que quiera. Pero si la ley se aplica para unos, todos deberíamos medirnos por el mismo rasero. Entonces, ¿por qué los defensores de la ley y el orden se pasan éstas por el forro de los cojones y tienen dobles empleos? Y encima tan orgullosos se encuentran de ello, que no dudan en incluir esta doble vida en las firmas de los libros de texto de la universidad.

Decía Jacinto Benavente que:"La vanidad hace siempre traición a nuestra prudencia y aún a nuestro interés". ¿Vanidad o hipocresía?

 

Por cierto, antes de terminar este editorial, queremos hacer señalar que a partir de esta semana incluiremos en el boletín noticias que no pueden localizarse online, sino que se encuentran en los principales diarios. Para que el lector no tenga que buscar noticias de seguridad informática comprándose todos los periódicos durante la semana, he aquí que nosotros vamos a realizar esta labor, merced a un acuerdo alcanzado con Reuters.

Autor: Carlos Mesa

 
  • La VoIP, en el punto de mira de los ciberpiratas
  • Mercado español de software de segurida empresarial crece un 20.1%'
  • Todo un experto, 'la mayor parte de los productos de seguridad son de juguete'
  • Microsoft desvincula el navegador Internet Explorer del nuevo Windows
  • Clientes y competidores evalúan sanciones de UE a Microsoft
  • Las empresas ahorran hasta un 50% de costes con el uso de software libre
  • Las empresas no logran reducir su vulnerabilidad en Internet
  • La dirección General no se 'moja' para evitar la pérdida de información
  • Noticias de la semana aparecidas en Seguridad0.com
Flecha

LA VOIP, EN EL PUNTO DE MIRA DE LOS CIBERPIRATAS

 

Avances tecnológicos

Los problemas de seguridad pueden ser un freno para el desarrollo de esta tecnología. Una de las formas de proteger la conversaciones es encriptar las llamadas.

Seguridad Pocos ataques

Algunos expertos señalan que los servicios de voz sobre IP han sufrido pocos ataques, porque el número de usuarios -cinco millones en el mundo, según un informe de Point Topic- es todavía reducido.

Estas ventajas podrían convencer a 26 millones de usuarios en 2008, según la Asociación de Industrias de Telecomunicaciones. En la misma línea, Gartner espera que en el 2007, un 97% de los sistemas de telefonía que se instalen en Estados Unidos serán VoIP o híbridos.

Estos problemas de seguridad no sólo comprometen el contenido de una conversación, sino también la información sobre la propia llamada. Estos datos podrían ser interceptados y registrados por terceros para conocer las llamadas entrantes y salientes de un terminal, configurar y dirigir llamadas sin consentimiento del propietario o grabar los datos de todos sus contactos para "bombardear" sus buzones de voz IP con spit (Spam over Internet Telephony), técnica bautizada como bombing o Vbombing. Otro riesgo es que los paquetes de datos sean interceptados para alterar los parámetros de una llamada, escuchar una conversación o retransmitirla íntegramente. Las llamadas también están expuestas al riesgo del "secuestro" por parte de hackers, lo que abre una serie de posibilidades maliciosas, que van desde el redireccionamiento hasta el robo de identidad, también conocido como spoofin.

Una de las formas de proteger las comunicaciones basadas en voz sobre IP es la "encriptación", tanto de la señal de la llamada (para que las direcciones de teléfono no aparezcan con claridad), como de los paquetes de datos (lo que prácticamente impide insertar palabras en una conversación). Esto implica perder ancho de banda, algo que se solucionaría, según los expertos, cambiando a la última versión del Protocolo de Internet (IPv6).

Además, es importante proteger periódicamente de hackers y spammers los elementos que componen la red VoIP (terminales, gatekeepers, gateways, enrutadores, conmutadores, etcétera) con las actualizaciones y parches oportunos. Estructurar la red separando voz y datos para llevar una gestión paralela puede ser de ayuda también a la hora de garantizar una mayor seguridad y calidad del servicio.

Mientras, la Comisión Federal de Comunicaciones (FCC) de EEUU ha propuesto que las conversaciones por Internet estén sujetas a la vigilancia de la policía y los servicios de espionaje, previa autorización judicial. Paralelamente, Bruselas ha instado a sus reguladores a crear un entorno legal propicio al desarrollo de los servicios de VoIP que les permita competir con las redes tradicionales.

Pero lo cierto es que ni los riesgos que comporta usar el protocolo VoIP son muy distintos de los que amenazan al resto de redes IP, ni los agujeros de seguridad de su software son más grandes que los de otros programas que utilizamos. En realidad, los problemas asociados a la voz por IP son los propios de una tecnología incipiente que debe perfeccionarse con su uso, pero también con el abuso que se dará, como ya ha sucedido con innovaciones como el e-mail.

La cada vez más popular VoIP -telefonía por Internet- parece llamada a revolucionar el panorama de las telecomunicaciones. No en vano, esta tecnología permitirá a las empresas mantener comunicaciones a través de Internet con tarifas más económicas. También simplifica la estructura de redes, evita el doble cableado de oficinas y rebaja los costes de mantenimiento (voz y datos comparten la misma red).

Pero a medida que crece su popularidad aumentan las preocupaciones por la seguridad de las comunicaciones vía VoIP.

Conscientes de los retos de seguridad que plantea la VoIP, una veintena de firmas de seguridad y redes, como 3Com, Siemens y Symantec, han constituido la VoIP Security Alliance (VOIPSA). Su objetivo, contrarrestar los potenciales riesgos de seguridad que amenazan el despliegue masivo de la voz sobre IP, investigando e informando a los usuarios sobre formas de proteger sus comunicaciones. Por su parte, el National Institute of Standards and Technology (NIST) de Estados Unidos ha alertado sobre las "vulnerabilidades inherentes" al protocolo VoIP, que atribuye, ante todo, a que las redes de datos están mucho más expuestas al abuso por parte de terceros que las redes telefónicas tradicionales.

Hay que proteger de 'hackers' y 'spammers' los elementos de la red de VoIP.

Una veintena de fabricantes se han aliado para luchar contra las amenazas existentes.

{Fuente: Gemma Tonijuan / Expansión }

Flecha

MERCADO ESPAÑOL EN SOFTWARE DE SEGURIDAD EMPRESARIAL CRECE UN 20,1%

 

El mercado español del software de seguridad para empresas crecerá este año el 20,1 por ciento, hasta alcanzar una cifra de negocio de 89,5 millones de euros, según previsiones de la consultora IDC publicadas hoy por la empresa Sophos.

Este crecimiento será algo menor al registrado por este segmento de negocio durante el año 2004, en el que aumentó su facturación el 25,5 por ciento, hasta los 74,5 millones de euros.

Para este año, IDC prevé que el software antivirus para empresas facturará 76,8 millones de euros, el 18,8 por ciento más, mientras que el volumen de negocio de las soluciones contra el "spam", o correo basura, aumentará el 5,7 por ciento, hasta 5,7 millones, y el del software de filtrado de Internet se incrementará el 26,6 por ciento, hasta 7 millones.

La empresa británica de seguridad informática Sophos, especializada en este tipo de soluciones, espera cerrar su ejercicio fiscal 2004-2005, que finalizará el próximo 31 de marzo, con un aumento de su facturación mundial del 36 por ciento, hasta 111,5 millones de euros.

Este aumento de las ventas de se reflejará en la plantilla de Sophos, que previsiblemente cerrará el ejercicio con 1.000 empleados, frente a los 737 trabajares de un año antes.

Sophos, que en España cuenta con una cuota de mercado del 5 por ciento, tiene 35 millones de usuarios, tanto empresas de todos los tamaños como administraciones públicas, en 150 países.

{Fuente: Agencia EFE }

Flecha

LA MAYOR PARTE DE LOS PRODUCTOS DE SEGURIDAD SON DE JUGUETE'

 

Carlos Jiménez, presidente de secureware. Este emprendedor, uno de los mayores expertos españoles en la materia, cree que las empresas deben planear sus defensas como si estuvieran en guerra permanente.

Blindar el PC

Carlos Jiménez cree que es imprescindible afrontar la seguridad de una forma activa, y no reactiva. Por eso, no basta con soluciones que detectan o previenen posibles ataques del exterior. En su opinión, es imprescindible blindar el PC.

Los ordenadores personales de los empleados de Telefónica Móviles, Iberdrola, la Agencia Tributaria, el Ministerio del Interior o Presidencia ya están protegidos con esta solución. "Es imposible que alguien acceda a información confidencial, aunque robe el equipo, o extraiga el disco duro", explica Carlos Jiménez. Además, el usuario sólo puede ejecutar las aplicaciones que esté autorizado a emplear para su trabajo, lo que garantiza la seguridad frente a la entrada de amenazas como virus o troyanos.

Carlos Jiménez es un firme defensor de las ventajas del DNI electrónico, en cuyo proyecto ha participado. "Identificar a la gente en el mundo digital es imprescindible. Ahora, navegamos por Internet como si fuéramos cubiertos con pasamontañas. No hay ninguna forma de asegurar que una persona es quién dice ser", apunta. "Técnicamente, el DNI electrónico es perfecto", dice.

Estamos en guerra. En un bando, la empresa. En el otro, un ejército de atacantes formado por piratas informáticos, empleados desleales, competidores sin escrúpulos o incluso terroristas internacionales.

Según Carlos Jiménez, uno de los mayores expertos españoles en seguridad informática, y presidente de la empresa española Secuware, las compañías deberían plantearse su seguridad en estos términos. La hipótesis de guerra también debería guiar el desarrollo de tecnologías en la industria para ofrecer soluciones que blinden las defensas de la empresa. "Hoy, la mayor parte de los productos de seguridad que existen en el mercado son de juguete", opina Carlos Jiménez.

En su opinión, las empresas no son conscientes de que viven en guerra continua. "Al conectarse a Internet, se abrió la caja de Pandora. Antes los atacantes estaban limitados a empleados que no tenían grandes conocimientos técnicos. Con Internet, cualquiera puede acceder fácilmente a información que explica cómo atacar una empresa. Además, se multiplican las amenazas que llegan del exterior", resume.

"Me parece impensable que el ordeandor se estropee. Es algo nefasto que los negocios dependan de máquinas que se puedan romper", dice. Por ello, cree que es fundamental que las empresas doten a sus empleados de PC totalmente seguros, aunque ello exija limitar las funcionalidades del equipo. "Igual que una consola sólo sirve para jugar, un empleado debería tener un ordenador que sólo permitiera trabajar con los programas que verdaderamente le hacen falta ", expone.

Siguiendo esta filosofía, Secureware ha desarrollado un sistema operativo de seguridad llamado SSF, que permite administrar la seguridad de los ordenadores corporativos basados en Windows. Esta solución blinda el PC contra códigos dañiños, evita la instalación de software no autorizado, protege contra la desconfiguración del sistema operativo, y evita que se pueda robar información confidencial.  El avance que supone este producto es que se carga antes que el sistema operativo. Así, el usuario se autentica antes de que éste pueda realizar cualquier operación que pueda comprometer la información contenida en el equipo. Además, mediante el cifrado se evita que la información corporativa salga de la empresa sin ser protegida.

Carlos Jiménez asegura que Secuware se ha colocado con este producto tres o cuatro años por delante de la industria. "No hay nada similar en todo el mundo", dice Jiménez.

Y aunque Microsoft es el primer interesado en hacer invulnerable su sistema operativo, lleva años de retraso. Así, Carlos Jiménez cuenta que, en 1998, Steve Ballmer, de Microsoft, le dijo que no le interesaba afrontar temas de seguridad. "Pero las circunstancias le obligaron a cambiar de idea, hasta el punto de que hoy la seguridad es prioritaria para Microsoft", dice.

"Es algo nefasto que los negocios dependan de máquinas que se pueden romper"

"En Secuware vamos tres o cuatro años por delante de la industria en materia de seguridad"

{Fuente: Miriam prieto / Expansión }

Flecha

MICROSOFT DESVINCULA INTERNET EXPLORER DEL NUEVO WINDOWS

 

Cambio de estrategia. Microsoft desvincula navegador y sistema operativo. El anuncio fue realizado por Bill Gates, presidente de la compañía, en el congreso de seguridad informática RSA 2005, celebrado en San Francisco. En verano llegará la versión de prueba del nuevo Internet Explorer, una beta con herramientas para combatir los programas espías (spyware) y los que monitorizan la navegación del internauta, aunque sólo estará disponible para usuarios de XP que tengan instalado el paquete de seguridad Service Pack2.

La versión definitiva (7) del navegador aún no tiene fecha de lanzamiento pero no coincidirá con la presentación de su nuevo sistema operativo Longhorn, retrasado a 2006.

El cambio de estrategia responde a los graves problemas de seguridad, talón de Aquiles del mayor fabricante de software del mundo, que acechan a Internet Explorer. Por primera vez desde su nacimiento, el navegador pierde cuota de mercado frente a Firefox, una aplicación basada en software libre menos vulnerable a los ataques de virus, gusanos y programas espías desarrollada por la fundación Mozilla, que en 100 días ha superado los 100 millones de descargas, 25.000 diarias, desde que se presentó la última versión del navegador en noviembre.

{Fuente: CIBERPAIS }

Flecha

CLIENTES Y COMPETIDORES EVALUAN SANCIONES DE UE A MICROSOFT

 

Los clientes y los competidores de Microsoft (MSFT.O) dirán dentro de 10 días a la Comisión Europea si la última oferta del gigante del software para cumplir con las sanciones es aceptable para ellos, anunció el viernes un portavoz de ese órgano.

"La Comisión decidirá si considera que las propuestas de Microsoft son satisfactorias o no a la luz de las reacciones en el mercado", explicó a periodistas el vocero Jonathan Todd.

Hace aproximadamente un año la Comisión Europea estableció que Microsoft violaba leyes antimonopolio y le aplicó una multa de 497 millones de euros.

El órgano ejecutivo de la Unión Europea también instó a la firma tecnológica estadounidense a ofrecer una versión de Windows sin software audiovisual y a proveer información acerca de los protocolos básicos, para que los fabricantes rivales puedan competir con Microsoft.

Un juez rechazó el año pasado un intento de la empresa de software para congelar las sanciones. La Comisión argumentó que un retraso permitiría a Microsoft capturar nuevos mercados y volver irrelevantes las reparaciones.

Mientras la firma estadounidense discute con la Comisión sobre las reparaciones, continúa progresando en el mercado.

Nokia (NOK1V.HE), por ejemplo, fue miembro de un grupo que se oponía a Microsoft en la justicia y fue históricamente un cliente de RealNetworks (RNWK.O), rival de la compañía estadounidense. Pero el 14 de febrero Nokia alcanzó un acuerdo con Microsoft que abarca la descarga de música desde teléfonos móviles.

Por su parte, Microsoft argumenta que está haciendo todo lo que puede.  "Estamos completamente comprometidos con la decisión de la Comisión", dijo Dirk Delmaratino, portavoz de la empresa.

"Cumplimos con la decisión. Los protocolos están disponibles y nosotros hicimos una nueva versión disponible para OEMs (fabricantes de equipos originales de computadoras)", añadió Delmaratino.

"Mientras seguimos adelante sería bueno que la Comisión buscara la reacción de la industria. Nosotros recibimos con agrado su aporte", afirmó el vocero.

La reacción de la industria ayudó a hundir la anterior oferta de Microsoft y a Samba, cuyo software corre en el sistema operativo Linux y es el principal competidor de Microsoft en los servidores.

Samba es distribuido mayormente de manera gratuita y no hay forma de averiguar la cantidad de copias que se hacen, pero Microsoft dijo que quería regalías por cada copia individual. Samba argumentó que eso la excluiría del mercado antes que ayudarla.

La Comisión tiene el poder de multar a Microsoft con hasta un 5 por ciento de su facturación diaria promedio en todo el mundo por no cumplir con la normativa de la Unión Europea.

{Fuente: REUTERS }

Flecha

LAS EMPRESAS SE AHORRAN HASTA UN 50% DE COSTES CON EL USO DE SOFTWARE LIBRE

 

El software libre, impulsado por la comunidad de usuarios de Linux, se puede descargar gratis desde internet.

El software libre es la alternativa al sistema operativo dominante de Microsoft (Windows) y durante muchos años ha sido utilizado casi en exclusiva por los iniciados en el mundo de la informática. Sin embargo, usuarios de Windows comienzan a emigrar a este software, construido alrededor del sistema operativo Linux.

También lo han hecho la Junta de Extremadura, la Junta de Andalucía, la Agencia Tributaria, la Fábrica Nacional de Moneda y Timbre, etcétera. La empresa donostiarra Webalianza celebró ayer una jornada divulgativa sobre este software en el parque tecnológico de Miramón.

- ¿Qué es software libre? - Es un programa informático que se distingue por cuatro libertades respecto al software propietario: acceso al código fuente para modificar, copiar y distribuir los programas; libertad para conocer cómo funciona y adaptarlo a las necesidades propias; libertad para usar el programa con cualquier propósito, y por último, posibilidad de mejorar el programa y liberarlo para que cualquiera pueda beneficiarse. Nada de esto se puede hacer con el software propietario, que además está sometido a licencias de pago.

- ¿Libre pero no gratuito? - Todos los cambios y mejoras que acabo de mencionar son gratuitos, pero un usuario normal no tiene por qué saber hacerlos. Eso lo hacen programadores, informáticos y empresas, que pueden personalizarte los programas. Ahora bien, cualquiera puede descargarse gratis de internet programas y aplicaciones de software libre. En el software libre las empresas no ganan dinero vendiendo licencias, sino con el mantenimiento, la auditoría, etcétera.

- Si un usuario no experto compra un software libre adaptado a sus necesidades, ¿puede luego repartir copias entre sus amigos? - Es legal y se hace; se distribuye, se descarga de internet y hay programas en CD de distribución gratuita.

- ¿Por qué si es menos costoso y ofrece más posibilidades no está más extendido entre los usuarios? - Microsoft empezó en un nivel en el que todos nos pudiéramos ir acoplando desde cero. Por el contrario, el software Linux fue fruto de programadores especializados que buscaban una alternativa; funcionaba con comandos en el ordenador y ahora lo que están haciendo es adaptarlo para que su uso sea sencillo.

- ¿Linux es seguro? ¿Existen antivirus? ¿Quién los actualiza? - Es mucho más seguro que Windows. A día de hoy no conocemos virus que ataquen Linux.

- ¿Cualquiera puede migrar al software libre? - Sí. Muchos usuarios no cambian porque se sienten cómodos con lo que tienen. Además ha habido una cierta desconfianza hacia Linux, porque se pensaba que era complicado, poco accesible. Hoy ya no es así. - La Junta de Extremadura fue la primera comunidad autónoma que impulsó Linux.

- ¿Y el Gobierno Vasco? - Según los últimos informes, el 98% de las administraciones públicas están estudiando hacer una migración a Linux, porque se ahorrarán, sólo en programas, muchos millones de euros. Aquí en Euskadi hay ciertos proyectos, por ejemplo, la sociedad foral Izfe va a realizar una distribución de terminales de usuarios. El Gobierno Vasco también quiere hacer cosas en este campo. La SPRI va a crear el programa KZlankidetza, que subvencionará al 100% las aplicaciones para pequeñas y medianas empresas que estén basadas en Linux. - Hay muchas empresas que están migrando de Windows a Linux.

- ¿Cuál es el ahorro de costes? - El ahorro promediado es del 40-50%, pero dependiendo de los casos y las necesidades, el ahorro puede ser mayor. En el caso de los usuarios particulares, el coste sería cero euros.

- ¿El software libre promueve un ideario basado en socializar los beneficios de la informática? - Hay que romper el monopolio de Microsoft y que cuando alguien adquiera un programa pueda hacer lo que quiera con él, y con Windows no puedes hacerlo. Con el software libre sí puedes hacer lo que quieras.

{Fuente: Iñigo Urrutia / El Diario Vasco }

Flecha

LAS EMPRESAS NO LOGRAN REDUCIR SU VULNERABILIDAD EN INTERNET

 

CONCLUSIONES DEL CURSO SOBRE SEGURIDAD EN LA RED

Los hackers (piratas informáticos) evolucionan con mayor rapidez que los sistemas para protegerse. Es una de las conclusiones que el presidente del comité organizador del curso extraordinario Avances en Seguridad en Internet, Juan M. Corchado, ha obtenido tras la realización de esta actividad, que se clausuró ayer en la Facultad de Ciencias de la Universidad de Salamanca. "Hay un problema muy grave de vulnerabilidad", declaró, "y existe mucha demanda de expertos en este campo". Como ponentes han acudido representantes de las principales firmas de seguridad en la red: Acotec, Panda, Dycec, Audea y Flag, entre otras.

Prueba del interés que despierta esta materia son los 420 matriculados de 22 países diferentes inscritos en el curso. Entre 250 y 300 alumnos han seguido las ponencias de modo presencial y el resto lo ha hecho on line mediante la web. Corchado señaló que los alumnos del máster en Comercio Electrónico, en el que está incluido el curso extraordinario, rápidamente encuentran trabajo en esta materia y que numerosas empresas envían habitualmente sus formularios para contratar técnicos que garanticen, al menos en parte, la seguridad en la red.

Han participado 420 alumnos, más de un centenar 'on line'

{Fuente: El Adelanto de Salamanca }

Flecha

LA DIRECCION GENERAL NO SE 'MOJA' PARA EVITAR LA PERDIDA DE INFORMACION

 

Sistemas de Gestión de la seguridad

El incendio del edificio Windsor y el temor a la pérdida de información ha animado el debate sobre la necesidad de mejorar los sistemas de gestión de la seguridad. Evitar los riesgos que corre la organización es un problema que afecta a todas las áreas de la empresa.

Gestión de seguridad Planes madurosResponder a desastres Elementos clave Análisis del riesgo Importancia de los SGSI.

La madurez de los sistemas de gestión de las tecnologías de la información también ha llegado al campo de la seguridad. Resguardar las organizaciones y su información no es un problema exclusivamente técnico, sino que afecta a todas las áreas de la empresa.

Con respecto a la preparación de las organizaciones frente a un desastre, así como a las pruebas periódicas de los planes de contingencia, se pusieron de relieve los siguientes aspectos: en general las organizaciones están parcialmente cubiertas, si bien existe una mayor preparación en general en las grandes empresas y en ciertos sectores específicos.

Los análisis de riesgos son uno de los elementos clave necesarios para implantar un SGSI. Ante la obligada necesidad de interactuar con las áreas de negocio como fuente de requerimientos de seguridad, los expertos reunidos en el foro analizaron las diferentes metodologías más empleadas por las organizaciones para realizar un análisis de riesgo. José Antonio Castro, responsable de seguridad del Grupo Santander, opina que "todas las metodologías en sí mismas pueden ser adecuadas, pero deben adaptarse al negocio y a la organización particular de cada entidad".

Sobre este aspecto se estableció un posible orden de importancia de la seguridad y disponibilidad de la información en ciertos sectores básicos como la salud, control aéreo o emergencias, ya que de ellos depende la vida humana. En un segundo lugar, se podrían enumerar las empresas que ofrecen servicios de los que dependen el resto de actividades, como distribución eléctrica, gas o logística. Finalmente, y como sector totalmente diferenciado, se pueden identificar las entidades financieras, de las que depende el funcionamiento de la economía.

De este modo y tal y como la actualidad se encarga de recordarnos cada cierto tiempo, cualquier empresa puede sufrir un incidente imprevisto y de gran relevancia que le puede hacer perder su información más valiosa.  Entre las diferencias encontradas entre las metodologías, se identificó el grado de compromiso requerido a la entidad, la orientación tecnológica o de negocio de cada una de ellas y los costes asociados para llevar a cabo los análisis.

Todas estas cuestiones apoyan la opinión general de la necesidad de adaptar la metodología seleccionada a la organización y al proyecto particular de cada organización, para mejorar la seguridad. Como ejemplo más relevante de este proceso de adaptación, Santiago Moral, del BBVA, destacó la necesidad de contemplar el fraude dentro de las medidas de análisis de riesgo, tanto por su impacto directo en los resultados como por la regulación del sector financiero. Para establecer una correcta gestión de la seguridad y de las amenazas asociadas a los sistemas de información, los expertos mencionaron la importancia de la correcta valoración de los riesgos, debido a la dependencia que las organizaciones tienen de la información.

Estos tres tipos de empresas deben prestar una especial atención a la seguridad. Por este motivo y, según la opinión de los participantes del foro, la mejor manera de que estas organizaciones garanticen un nivel de seguridad y disponibilidad en sus servicios es la utilización de un sistema de gestión de seguridad de la información que defina su nivel de seguridad según las necesidades que plantee el negocio al que se dedican.

Francesc Muñoz, director de sistemas de Cuatrecasas,, añadía además otros "elementos regulatorios, como la Ley de Protección de Datos y organismos reguladores de los mercados de la energía y las telecomunicaciones", ya que también imponen condicionantes que definen y garantizan la seguridad de los servicios sociales.

El día 16 de febrero se celebró la tercera edición del Foro de Seguridad organizado por EXPANSIÓN y Ernst & Young, que reúne a los responsables de seguridad de las entidades más relevantes del mercado español. En esta ocasión, la agenda de trabajo se centró en los sistemas de gestión de seguridad de la información, haciendo también mención especial a los planes de continuidad de negocio, debido a la actualidad que ha tomado este aspecto, como consecuencia de los últimos acontecimientos. Las aportaciones de estos expertos ofrecieron un punto de vista sobre las tendencias en gestión de seguridad, que permiten anticipar las dificultades con las que pueden encontrarse las entidades en su proceso de mejora continuo.

El primer tema abordado en el foro fue la utilización de los sistemas de gestión de la seguridad de la información (SGSI), como modelo para organizar la seguridad informática en las empresas. Del mismo modo que las normas de calidad ISO-9000 permitieron utilizar un esquema común para implantar y verificar la calidad de los procesos en las organizaciones, en la actualidad se han planteado diversos modelos que permiten tener una guía o esquema de referencia sobre los elementos necesarios para diseñar, organizar y comprobar la correcta gestión de la seguridad dentro de las organizaciones.

Una de las cuestiones más debatidas se centró en esclarecer qué instancia de la organización debe interesarse y potenciar el proceso de adopción de un SGSI: dirección general, dirección de tecnología o dirección de seguridad. Sobre esta cuestión hubo diversas opiniones. Pero los expertos coincidieron a la hora de identificar que la relevancia de la seguridad de la información es cada vez mayor y puede llegar a implicar a la dirección general. En este sentido, Miguel Ángel Navarrete, de Caja Madrid, puso de relieve que en grandes organizaciones "la involucración de la dirección general y los distintos niveles de la organización son necesarios para llegar al éxito en la implantación de un SGSI".

Las opiniones también fueron unánimes al señalar que el departamento que debe liderar este proceso es la dirección de seguridad. Aunque, en ciertos sectores, pueden existir otras figuras que se pudieran encargar de su puesta en marcha, como direcciones generales de riesgo -cuya responsabilidad es contemplar riesgos de negocio, tanto financieros como incidentes-.

Para alcanzar un nivel óptimo de seguridad en la organización, es necesario contar con un sistema informático con un elevado grado de procedimientos probados y que exista buena comunicación entre los distintos grupos de negocio y la tecnología. Por este motivo, es imprescindible definir los pasos que cualquier empresa debe establecer para disponer de una adecuada gestión de seguridad.

Otro de los elementos más importantes es realizar un análisis de riesgos, con mayor o menor énfasis en cada una de sus partes. Realizar un correcto inventario de los activos de la organización e identificar cuál es su relación con los procesos clave del negocio es otro aspecto fundamental. "Simplemente haciendo un análisis de los procesos de la organización ya es posible obtener resultados relevantes acerca del estado en el que se encuentra una entidad respecto a la seguridad", comentó Christian Palomino, responsable de seguridad de la cadena hotelera Sol Meliá.

Otros de los expertos hicieron hincapie en que, independientemente de los procesos de gestión de seguridad, el compromiso de la dirección y unas políticas de seguridad básicas deberían ser el primer elemento del análisis de riesgos, ya que, de otro modo, el ejercicio de diseñar un SGSI para una organización podría llegar a ser incompleto.

¿Qué respuesta dan las corporaciones a los grandes incidentes y al impacto en las organizaciones y sus sistemas de información? Los expertos incidieron en que no siempre es necesario un gran incidente para poner en peligro la organización, ya que esto puede ocurrir si no se ha establecido y valorado una respuesta a las contingencias.

Lo que deben hacer las compañías para afrontar un gran incidente es contar con planes de pruebas, actualización de procedimientos y mantenimiento de los planes de continuidad del negocio. Aunque los expertos coincidieron en que es bastante difícil conseguir que estas pruebas abarquen toda la extensión prevista, siendo más habitual realizar pruebas específicas de los componentes técnicos del plan frente a la dificultad de participación de toda la organización en el simulacro de las operaciones en situación de emergencia.

Como elemento clave se menciona la diferencia entre los planes de continuidad de negocio (BCP) y los planes de recuperación de desastres (DRP). Los DRP, como parte de la responsabilidad de las áreas tecnológicas, suelen estar más desarrollados, aunque desalineados con la estrategia de negocio. De igual modo, un plan de continuidad del negocio, como elemento completo, están actualmente menos resueltos.

Juan Carlos Yustas, director de seguridad de Repsol YPF, explicó que "un plan de continuidad del negocio es actualmente el seguro del negocio". Es decir, cualquier organización que pretenda garantizar su existencia debe ser consciente de que tiene que encontrar una forma de cubrir los diferentes riesgos que amenazan su actividad a corto plazo.

Como conclusión general se comentó que es estéril llevar a cabo un plan de seguridad sin contar con las diversas áreas de negocio, ya que son ellas las que conocen sus necesidades de seguridad. Igualmente, debe ser la dirección general quien establezca los recursos necesarios y controle los riesgos de la organización. Con respecto al SGSI se indicó su relevancia para gestionar la seguridad, pero también su supeditación a las áreas de la organización que no dependen de la seguridad de la información.

Las organizaciones deben cubrir los riesgos que amenazan su actividad a corto plazo.

El análisis de riesgos es un elemento clave para hacer más eficaz la gestión de la seguridad.

La relevancia de la seguridad de la información puede llegar a involucrar a la dirección general.

Los planes de seguridad deben estar relacionados con todas las áreas de la empresa.

{Fuente: Rafa Martín / Expansión }

Flecha

NOTICIAS DE LA SEMANA APARECIDAS EN SEGURIDAD0.COM

 

Flecha Enlaces de interés

 


Suscríbete a Informativos.ws y recibe cada semana gratuitamente las mejores noticias de TIC, seguridad informática y protesta social en tu correo electrónico y sin publicidad

Darse de baja del boletín

Seguridad0
Seguridad0.com - Magazine de seguridad informática
Seguridad0.net - Cursos gratuitos - Plataforma e-learning
Seguridad0.info - Lista de distribución seguridad informática

Motivados
Motivados web
Listas de distribución Motivados
Otra Democracia Es Posible
Asistente a la participación ciudadana en ODP 

 

Versión Palm (*): http://www.elistas.net/lista/informativos/ficheros/1/verFichero/3/
 (*) Si cuentas con un Palm o PDA, añade la anterior dirección a tu servicio Avantgo
 (
https://my.avantgo.com/home/)
Para sindicación de contenidos con lector RSS.
http://www.eListas.net//lista/informativos/rss.xml

Escrito por Seguridad0 con la colaboración de Motivados. Los materiales publicados en Informativos.ws se encuentran protegidos por una licencia libre de Creative Commons que permite copiar, redistribuir, modificar y hacer trabajos derivados, simplemente con mencionar la fuente y la URL.

Para envío de noticias cibernéticas:
prensa@periodistas.tv. Para envío de noticias de sociedad: prensa@motivados.org.

Redactado por Seguridad0
www.seguridad0.com y Motivados ww.motivados.org


[Adjunto no mostrado: application/octet-stream ]
[Adjunto no mostrado: application/octet-stream ]