Archive for the ‘Riesgos y Tecnología’ Category

4
Jan

JORNADA Catedra Gestión de Riesgos

Written on January 4, 2008 by José Esteves in Riesgos y Tecnología

JORNADA FINAL DE LA PRIMERA EDICION DE LA
CATEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN
RESULTADOS DE LOS ESTUDIOS DE LA CATEDRA Y PRESENTACIÓN DEL REGLAMENTO DE DESARROLLO DE LA LEY ORGANICA DE PROTECCIÓN DE DATOS (LOPD)
DIA: 31 DE ENERO
HORARIO: DE 9.30 A 14.30 HRS.
LUGAR: AULA MAGNA, INSTITUTO DE EMPRESA
C/MARIA DE MOLINA, 11
1 Introducción
Una vez transcurrido un año desde el inicio de las actividades de la Cátedra, es tiempo para compartir con todos nuestros invitados los resultados de los estudios que durante el año 2007 se han venido desarrollando en nuestro marco de actuación, la gestión de los riesgos en sistemas de información.
La observación de los resultados deja patente el camino por recorrer para que los estamentos directivos identifiquen la gestión de los riesgos de su información como una materia de su estricta competencia, al mismo tiempo que despeja algunas dudas sobre ámbitos concretos de la seguridad de la información.
Asimismo, en la Jornada contaremos con la presencia de un representante del Instituto Nacional de Tecnologías de la Comunicación (INTECO), institución pública de referencia obligada en el ámbito que nos ocupa, aportando su visión en relación a la situación actual de seguridad de la información en el ámbito de las pequeñas y medianas empresas españolas.
Entre otros aspectos, se expondrá la tipología, frecuencia y efectos de los incidentes de seguridad sufridos por estas empresas, su percepción y respuesta ante fenómenos como el fraude online o el correo no deseado (spam), así como su grado de cumplimiento normativo respecto de la gestión de los datos de carácter personal.
A este respecto, y como demuestran los diversos estudios realizados, la preocupación por el cumplimiento de la normativa de protección de datos personales representa uno de los principales catalizadores para la adopción de una razonable cultura de la gestión de riesgos de seguridad. La aprobación el pasado 21 de Diciembre del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (LOPD), introduce nuevos retos e incertidumbres en la implantación efectiva de las medidas legales, organizativas y técnicas que exige la normativa.
Durante la Jornada, diversos representantes de la Agencia Española de Protección de Datos desgranarán los cambios existentes en los ámbitos legal y técnico, así como las posibles implicaciones prácticas en las organizaciones españolas. El formato elegido favorece la exposición de problemas particulares de sectores diversos y el intercambio de experiencias entre los distintos responsables del fichero.
2 Programa
9.15 hrs. Recepción de los asistentes.
9.30 hrs – 9.50 hrs. Introducción al Reglamento de Protección de Datos.
Intervención de Artemi Rallo, Director de la Agencia Española de Protección de Datos.
9.50 – 10.10 hrs . Presentación de resultados de la Cátedra de Gestión de Riesgos en Sistemas de Información: barómetro de la seguridad de la información, análisis de riesgos y continuidad de negocio.
Intervención de Fernando Aparicio, Director de la Cátedra de Gestión de Riesgos en Sistemas de Información
10.10 – 10.30 hrs. Diagnóstico de las incidencias, percepción y necesidades de seguridad de la información en las pymes españolas.
Intervención de Pablo Pérez, Gerente del Observatorio de Seguridad de la Información, Instituto Nacional de Tecnologías de Comunicación (Inteco)
Coffee-break. 10.30 – 11hrs.
11 hrs- 12.30 hrs Presentación detallada de las novedades más destacadas del Reglamento de Protección de Datos en los ámbitos legal y técnico.
Intervención de representantes de la Agencia Española de Protección de Datos
12.30 – 14.30 hrs. Turno de preguntas. Al objeto de cubrir el espectro de dudas particulares más amplio posible, se planteará, en formato de mesa redonda, un debate abierto entre ponentes y asistentes sobre aspectos controvertidos en la aplicación práctica del reglamento de protección de datos en los diversos sectores.
La asistencia es gratuita, previa inscripción enviando un email a la siguiente dirección: catedra.riesgos@ie.edu . Plazas limitadas.

5
Nov

Hacking for dummies (II)

Written on November 5, 2007 by faparicio in Riesgos y Tecnología

En la entrada hacking for dummies (I), se describía el proceso evolutivo de democratización progresiva de la tecnología que ha propiciado un mercado floreciente de malware-kits accesible a todos los niveles de conocimiento y profundidades de bolsillo.
Claro que tampoco necesitamos mucho esfuerzo intelectual para, vía denuncia ante la Agencia Española de Protección de Datos , poner en aprietos a más de un Responsable de Seguridad por el transparente e irreprochable motivo de defensa de mis derechos. A más de una entidad financiera se le ha negociado una bajada de hipoteca con el argumento de “o eso o te denuncio por incumplimiento de los artículos, X, G e Y de la normativa”; las cartas conminatorias exigiendo una “compensación satisfactoria” en estos mismos supuestos son ya una realidad que se convertirá en pandemia en cuanto la Agencia se dé un poco más a conocer mediante, por ejemplo, un par de campañitas de televisión.
Menos mal que el desconocimiento de la normativa no es patrimonio exclusivo de las organizaciones (más de un 90% plantean graves insuficiencias en el cumplimiento de la misma) y que el probo ciudadano no es consciente del arma arrojadiza que, malintencionadamente o no, puede blandir ante bancos, telcos, aseguradoras, etc.
Para cerrar el círculo de prevención, sólo nos queda llamar “hacking por dummies (III)” a una entrada anterior, para involucrar de manera definitiva y pertinaz a los guardianes de la seguridad física.
Perpetradores múltiples a mí….

5
Nov

Ocean’s 14 or Hacking for dummies (III)

Written on November 5, 2007 by faparicio in Riesgos y Tecnología

Via Slashdot we learn about and armed robbery in a Chicago-based datacenter, in a long-expected fear about this type of action being committed…The funny thing is that it was the fourth time in two years!
The “hacking tools” were a power saw and a blunt instrument to strike the night manager…..As usual, the colocation company took longer than desired to give a convincing explanation to their customers, taking several days to admit the breach and being “router failues” the official excuse.
Does someone still doubt the main goal was the information itself ? Maybe the thugs are selling the mainframes in any grey market but most probably the information will be for sale right away.
Reality beats fiction once again. Danny Ocean’s got more food for thought for the following sequels, hopefully focused on information robbery?

More about it in The Register

19
Oct

Ciberfiscalía

Written on October 19, 2007 by faparicio in Riesgos y Tecnología

Buena noticia la aparecida ayer con respecto a la creación del Servicio de Criminalidad Informática de la Fiscalía del Estado, con el objetivo de combatir un delito que ha crecido desde 51 delitos en 2005 a 135 en 2006, según la propia Memoria de la Fiscalía.
Este incremento se basa en la facilidad para cometer delitos como la pornografía infantil, las infecciones de troyanos, phishing y demás malware, etc. Para abrir boca, en la operación “Santiago”, publicitada ayer, se ha detenido a 30 personas, de las cuales se ha pedido prisión para 15, y se ha imputado a 43, todas ellas implicadas en delitos consistentes en descargar e intercambiar imágenes de pornografía explícita de menores (y en algunos casos de producir estas imágenes), por lo que se enfrentan a penas de entre 4 y 8 años de cárcel.
La idea de la fiscalidad es llegar al medio centenar de fiscales, lo que deberá llevar aparejado un movimiento simliar por parte de la Judicatura, siguiente eslabón por remendar. Veremos cómo se las apañan para perseguir los crimenes cometidos desde servidores siberianos, por ejemplo.
No queda sino desearlos la mejor de las suertes, fuerza, coraje y los conjuros que hagan falta, ya que los van a necesitar. En cualquier caso, sin duda un paso en la dirección adecuada.

18
Oct

Hacking for dummies (I)

Written on October 18, 2007 by faparicio in Riesgos y Tecnología

Muchas de los términos de la jerga hacker como script kiddies o lamers hacen referencia a la descripción de actividades altamente peligrosas para la seguridad de individuos y organizaciones sin necesidad de altos conocimientos de programación. En realidad, están proliferando en los últimos años, con máxima intensidad en los últimos meses, kits de hacking (provenientes en su mayoría de Rusia) que hacen de la actividad de intrusión en sistemas ajenos un pasatiempo de fin de semana. Herramientas como Mpack o Shark 2 están detrás de múltiples incidentes de seguridad ocurridos recientemente, como el ataque al Banco de la India, por ejemplo.
Hay dos asuntos especialmente preocupantes al respecto: el primero es la confirmación de que los señores del malware se han dado cuenta de que es más rentable vender empaquetado su software que arriesgarse a acabar en alguna cárcel de Minnesota por actividades ilícitas. Impunidad legal y pingües beneficios mediante el aprovechamiento de su conocimiento.
El otro asunto es la responsabilidad de las webs infectadas, al ser los servidores de la web atacada la correa de transmisión de, por ejemplo, troyanos bancarios. En este caso, ya no hablamos de que, mediante ataques de phishing o pharming, el usuario insensible a estos asuntos cometa un error (bien por morder el anzuelo del phisher o bien por no disponer de una suite de seguridad que impida la actividad del pharmer), sino de que páginas de confianza sufran ataques y se conviertan en foco de infección.
Y que sean los bancos los principales “afectados” es pura ironía plagada de coherencia. Por supuesto, se enfrentan, por tanto, a un problema de confianza difícilmente recuperable entre los verdaderos afectados, sus incautos clientes.

10
Oct

Laptop week link

Written on October 10, 2007 by faparicio in Riesgos y Tecnología

Once again, a recent piece of news hit the headlines with another laptop mishap: an unnamed contractor is being blamed for a data breach at Gap that has compromised the data of about 800 000 people who applied for jobs with the US clothing retailer.
Gap said the data had been stored on two laptop computers that were stolen from the contractor’s offices. The laptops had information on people who applied for positions at Gap stores, including Banana Republic and Old Navy, between July 2006 and June 2007. This information was supposed to be encrypted but it was not.
The response to the incident, from a PR point of view, has been quick; GAP has set up a Web site to assist those who may have been affected by the breach. Victims are being offered one year of credit monitoring and fraud resolution assistance.
The main conclusion of this ever-growing type of incident is that boundaries of my security perimeter spread the moment I outsource any business functions, (e.g, data processing). Consequently, my security strategy needs to follow suit and be really effective. Otherwise my customers will always claim against my company, no matter which other companies are really involved in the process. Another reason to demand, legally and technically speaking, more safeguards to our outsourcers.
Another conclusion is the convergence between logical and physical security. Which responsible is to blame in this case? The answer is both. Any internal laptop or outsourcers’ need to safeguard its information (by encryption and synchronization with central systems prone to be backed up) and physical security should control and register any media coming in or going out of our company.
We’ll see many more of these incidentes, for sure.

6
Oct

Estrategias de continuidad de negocio

Written on October 6, 2007 by faparicio in Riesgos y Tecnología

La jornada celebrada el pasado jueves en el marco de la Cátedra de Gestión de Riesgos en Sistemas de Información , sobre Estrategias de Continuidad de Negocio, demostró, a juzgar por el número de inscritos como de asistentes, el creciente interés por parte tanto de directivos IT como de directivos de negocio.
El heterogéneo perfil de los asistentes demuestra, por tanto, que esto del alineamiento entre tecnología y negocioo empieza a ser una realidad palpable en situaciones, como por ejemplo, qué hacer en caso de desastre (incendios, epidemias, terremotos, inundaciones, etc) . Las experiencias prácticas mostradas en la Jornada demuestran que los casos son tanto más exitosos cuanto más involucrado ha estado la Dirección General, no sólo en la supervisión del proyecto sino en su propia elaboración, al incluir a todos los departamentos de la empresa.
Se debatió la respuesta que se ha dado en casos concretos a preguntas como las siguientes:
¿Dónde se presentarán a trabajar los empleados en caso de desastre?
¿Cómo se recibirán las órdenes mientras los sistemas se restablecen?
¿A qué directivo de la organización debo contactar primero?
¿A qué proveedores debo llamar para restablecer el servicio de
suministro?
¿Debe detallar la organización a la prensa lo sucedido?
¿Cuándo una incidencia se convierte en un desastre?
¿Qué coste puede suponer las diferentes alternativas y cual sería el coste de la no-estrategia?
Tanto las presentaciones como los videos de la intervención de los ponentes serán colgados en breve dentro de la web de la Cátedra

6
Oct

Email management

Written on October 6, 2007 by faparicio in Riesgos y Tecnología

The same old story says how often legal problems regarding email mismanagement end up in court. However we tend to forget than issuing corporate rules about email management and storage is a legally-binding requirement under Spanish law, for instance.
The revolving conclusion is about General Management non-involvement in tech issues. As managers, we shouldn not care about the specific tool to filter non-authorized outgoing mails, ingoing spam or web navigation but to issue rules for all the organization users about whether the corporate mail can be monitored, for instance. Once again, it is not an IT department competence but a general management’s.
Another collateral problem is the trouble to state whether an email has been sent for its user legitimate user, given the extreme easyness to spoof an email address. Any court gets into trouble to judge these facts and to extrat general conclusions, as many contradictory sentences prove.
The progressive use of electronic signature will mitigate this risk in most cases. Although it is not a silver bullet for all identity incidents, at least is the only technology backed by default by a legal framework, which is an obvious advantage.
Where and how long are we storing our email files ? No answer from most companies.

3
Oct

Privacy thin line

Written on October 3, 2007 by faparicio in Riesgos y Tecnología

Just ask Google about it….the privacy issues raise the most concern in online strategies where an unidentified crowd is involved. The thin line between consent in a private circle falls apart when a picture can be endlessly registered all over the world. This case appeared in Dallas shows how easy is to damage the 15-year-old student image by misusing a casual photograph taken by a friend.
Many companies use unauthorized and copyrighted material more often that they should, which raises the risk of legal complaints and reputation damage. The internal control system should carefully review the images, software modules (such as javascripts, e.g), pictures, etc likely to be legally protected. By way of example, let’s think of the liberties taken by some web designers to polish up their web sites with “borrowed” material.
Another major control to be taken into account with due diligence.

12
Mar

DRM y su aplicación empresarial

Written on March 12, 2007 by faparicio in Riesgos y Tecnología

Aunque tradicionalmente el entorno DRM ha venido muy ligado al control de activos digitales en el mundo audiovisual (ITunes, IRM de Microsoft, etc), resulta muy interesante las posibilidades que ofrece para la protección de la información en el entorno corporativo.
Que, por ejemplo, un archivo digital multimedia sólo pueda escucharlo una vez, o sólo durante un tiempo determinado, o sólo desde un dispositivo determinado es el caballo de batalla de dicha industria, aunque es obvio el interés de su aplicación sobre, por ejemplo, el plan estratégico de la compañía, pergeñado en un simple word….
El artículo completo en: Cinco Días

We use both our own and third-party cookies to enhance our services and to offer you the content that most suits your preferences by analysing your browsing habits. Your continued use of the site means that you accept these cookies. You may change your settings and obtain more information here. Accept