Archivo de la categoría: Compliance

La VII Conferencia Internacional “Common Criteria”: 19, 20 y 21 de septiembre en Lanzarote

2 respuestas

7 conferencia Common CriteriaLa conferencia anual “Common Criteria” (ICCC, International Common Criteria Conference), que va por su séptima edición, es el punto de encuentro de los reguladores, laboratorios e industria interesados en la certificación de seguridad “Common Criteria” y se ha convertido en el vehículo fundamental de promoción internacional de los avances en la certificación de las tecnologías de la información.

Por primera vez, este evento se desarrolla en España, los días 19, 20 y 21 de septiembre, en el Hotel Princesa Yaiza, en el marco incomparable de Lanzarote.

En la ICCC se anuncian y publicitan los hitos del Arreglo Mutuo de Reconocimiento de Certificados (CCRA, Common Criteria Recognition Arrangement), tales como la incorporación de nuevos miembros consumidores de certificados, la aceptación de nuevos esquemas productores de certificados, la entrega y notificación de los certificados emitidos a lo largo del año, así como los avances técnicos en la norma, y la discusión y puesta en común de problemas y nuevas áreas tecnológicas.

logo Organismo de Certificación del CCNCon la celebración de la Conferencia en España se pretende, por un lado, dar a conocer a la industria y administración española e internacional la existencia del esquema español de evaluación y certificación de las tecnologías de la información, con plena capacidad operativa y reconocimiento internacional.

Por otro lado, también se busca fomentar la proyección internacional de la industria nacional de productos de seguridad de las tecnologías de la información, dándose a conocer al selecto grupo de asistentes a la conferencia, y estimulando su penetración en el mercado exterior a través de la certificación.

Este evento lo Impulsa el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), institución que se articula en el ámbito de actuación del Centro Criptológico Nacional (CCN).

logo Centro Criptológico Nacional (CCN)El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

La certificación en seguridad informática Common Criteria se otorga a un equipo o producto (no a una empresa). De los 23 países que reconocen esta certificación, sólo 12 están capacitados para emitirla, entre ellos España, donde el organismo emisor es el Centro Criptográfico Nacional (CCN). Existe un laboratorio certificador operativo del Instituto Nacional de Técnica Aerospacial (INTA), y otro en camino (APPLUS).

  • En el INTA se adscribe el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) , que evalúa la seguridad de las tecnologías de la información (TICs) de acuerdo a estándares internacionales reconocidos (ISO 15.408/Common Criteria, ITSEC y la ley española de firma electrónica) operando dentro del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TICs y del Centro Criptológico Nacional.
  • Applus es la marca comercial del LGAI Technological Center, el Laboratorio General de Ensayos e Investigaciones (en catalán Laboratori General d’Assaigs i Investigacions).Cuenta con 15 centros donde desarrolla tecnología punta en campos tan diversos como polímeros, química, medio ambiente, electromagnetismo, acústica, mecánica, telecomunicaciones, fuego, metrología o Laser y en los que sus técnicos cualificados pueden realizar ensayos, calibraciones, certificaciones, formación técnica e I+D, tanto a nivel nacional como internacional.

Siete compañías españolas, además de las dos que ya lo tienen, están en proceso de obtener esta certificación para alguno de sus productos y el DNI electrónico también contará con esta supervisión.

Entre las companías que cuentan con productos certificados están Safelayer y Microelectrónica Española.

Es importante que, con iniciativas como esta, España empiece a referenciarse en la Industria de la Seguridad, ya que, en mi opinión, es una potencia mundial en este mercado, por sus empresas y por la adopción de tecnologías de seguridad en el sector público y privado.

Fraude en las apuestas por Internet

28 respuestas

Aunque era de prever que sucediera, la noticia empieza a ser importante por la enorme expectativa que ha levantado el mundial de fútbol y las pasiones que desata.

Las casas de apuestas (empresas como Ladbrokes, William Hill, Coral, Paddy Power o Bet 365) pueden desarrollar actividades que son legales en un país e ilegales en otro. Y en ocasiones incumplen la normativa española de contratación a distancia, en particular en lo referido a sus cláusulas abusivas. La noticia la publica La Voz de Avilés-El Comercio y de ella entresaco la siguiente cita:

Entre otras situaciones de riesgo, la UCE explicó que al darse de alta en estas páginas, los usuarios se ven obligados a aceptar unas clausulas que permiten a su dirección modificar las reglas a su antojo, reglas que están sometidas a las leyes de Antigua y Barbuda, un paraíso fiscal al que es imposible realizar cualquier reclamación en caso de fraude o deficiencia en el servicio.

La UCE relató el caso de un usuario que, tras abrir una cuenta aportando una cantidad inicial, descubrió que su saldo estaba bloqueado y no podía recuperarlo sin que existiera una causa justificada. A pesar de que presentó numerosas reclamaciones a la dirección de correo electrónica facilitada, no obtuvo ningún tipo de respuesta.

Peritajes electrónicos (Computer Forensics)

5 respuestas

Aunque el proceso que describe el periodista no es ortogonal y está muy simplificado, es una primera aproximación para no expertos.
Se describe en http://www.elpais.es/articulo.html?d_date=&xref=20060119elpcibpor_4&type=Tes&anchor=elpcibpor

Estos son los pasos que se indican

  1. Toma de contacto. Conversación con los relacionados en el caso, con el objetivo de tener una idea clara de lo que ha ocurrido y planear la investigación. En este caso se sospechaba de un empleado que había accedido a una máquina de otro empleado para sustraer un documento.
  2. Copia del disco duro. Acompañado del representante de los trabajadores y de los directores, se requisa el ordenador del sospechoso para, delante de todos, realizar una copia íntegra, bit a bit, del disco duro. Esta copia servirá para la investigación, y el ordenador requisado será guardado para su custodia en la caja fuerte de la empresa. Si se dispone de otros medios de almacenamiento externo, como CD o discos USB, se requisan también para su posterior análisis.
  3. Análisis del disco duro. Se buscan indicios de virus, troyanos o gusanos, así como herramientas de ataque, con la idea de realizar una foto del ordenador y saber para qué se usa realmente, así como el nivel del usuario. A continuación se localiza y analiza la información que ha sido borrada. Seguidamente, se realiza una escala temporal lo más exacta y detallada posible. Es decir, conociendo aproximadamente la fecha del suceso, se reconstruye el escenario segundo a segundo: acceso a ficheros, creación o borrado de ficheros, ejecución de comandos, accesos a páginas de Internet, etcétera. Como se trata de un robo de información confidencial, se busca en todo el disco, tanto en archivos existentes, como en archivos borrados y espacio no utilizado.
  4. Análisis de logs. Revisión y análisis de todos los logs o huellas de actividad, de la máquina y de todos los elementos relacionados, tales como cortafuegos, IDS, impresoras y servidores.
  5. Cadena de custodia. Una vez que hemos obtenido las pruebas, es fundamental documentarlas y mantener lo que se denomina cadena de custodia, que garantiza el origen de las pruebas, imprescindible si hay juicio.
  6. Presentación de resultados.
  7. Acciones legales si fuera necesario.

En mi opinión, hay 2 grandes pasos:

  1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
  2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

Microsoft obtiene la certificación Common Criteria para algunos de sus productos

1 respuesta

Microsoft anunció en rueda de prensa a principios de 2006 que ha obtenido la certificación Common Criteria (CC) para varios productos basados en Windows XP y Windows Server 2003. Common Criteria es un estándar en seguridad (ISO 15408), que en España otorga el Centro Criptológico Nacional (CCN), dependiente del CNI, acrónimo del Centro Nacional de Inteligencia del Ministerio de Defensa español.

Sin dejar de ser importante que productos de Microsoft hayan recibido tan alto reconocimiento, un aspecto llamativo de la rueda de prensa fue el énfasis en la divulgación de los conceptos asociados a Common Criteria. Una de las principales conclusiones del evento es la extraordinaria evolución del sector de la seguridad español, que se presenta como uno de los más avanzados del mundo.

El marco de procedimientos para la evaluación de la seguridad se basa en parámetros aceptados en 22 países de todo el mundo, comenta Luis Jiménez, subdirector del Centro Criptológico Nacional. Además la extensión de las tecnologías de la información a la práctica totalidad de las actividades esenciales ha traído consigo cambios y es necesario generar confianza en los nuevos usos que se ofrezcan, tanto ‘hardware’ como ‘software’, por eso es necesario tener un tercer actor independiente, Common Criteria, que certifique las funciones de seguridad y el nivel.

En la actualidad los laboratorios españoles tienen capacidad para certificar productos conforme al exigente estándar EAL4 (nivel máximo de seguridad para un sistema operativo comercial). En la actualidad el INTA (Instituto Nacional de Técnica Aeroespacial) ya ha alcanzado este reconocimiento y LGAI (dentro de la estructura de Applus) será el próximo laboratorio en lograrlo. Coordinando todos estos esfuerzos, el MAP (Ministerio de Administraciones Públicas) y de forma destacada el CCN están logrando que España se sitúe, junto con Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón entre los países capaces de certificar productos.

En el momento actual, un certificado “Common Criteria” otorgado por uno de los países con capacidad de certificar es automáticamente reconocido por todos los demás participantes en el sistema. El CCN está a punto de finalizar las gestiones para que los certificados expedidos por los laboratorios españoles tengan este reconocimiento mundial, esto quiere decir tener el reconocimiento de los 22 países participantes en el esquema.

En el caso de Microsoft, la certificación se ha llevado a cabo en Estados Unidos, por la proximidad de los desarrolladores respecto a los laboratorios de certificación. Los productos certificados presentados por Microsoft son productos relacionados con la seguridad, como sistemas de base (plataformas de sistema operativo), firewalls, sistemas de correo electrónico y sistemas de certificación electrónica.

Proceso, el de la certificación, largo y caro, y que tiene poco sentido si no se enmarca en un compromiso global de los desarrolladores de la organización hacia la seguridad. Alguna de las conclusiones de los expertos inciden más en la importancia de la evolución estratégica de Microsoft que en el hecho de que algunos de los productos alcancen la certificación.

De hecho, un aspecto significativo, que destaca la prioridad de la seguridad real sobre su eventual efecto publicitario, es que el hecho de aplicar un service pack o un parche que mejore la seguridad de un producto implica que el producto parcheado ha perdido el nivel de certificación recibido, por la muy razonable conclusión de los expertos de que al aplicar un parche se pueden arreglar unas cosas y estropear otras.

Cuando se empleen configurados tal y como se señala en la documentación del sistema (cualquier otra configuración pierde los requisitos utilizados en la certificación) los sistemas son conformes con EAL4 y pueden ser considerados Dispositivos Seguros de Creación de Firma (en relación con la Ley 59/2003 de Firma Electrónica).

Entornos muy exigentes como los de Defensa, Banca y Administraciones Públicas de cualquier país comienzan a exigir certificaciones “Common Criteria“ de determinados niveles (no siempre EAL4) para los productos que adquieren, por lo que la disponibilidad de laboratorios españoles es crucial para la competitividad de nuestra industria nacional de seguridad que, siendo muy competitiva en tecnología y coste, se encontraba con grandes barreras por tener que certificar sus productos en laboratorios de otros paises.

Por último, otro aspecto que llama la atención es la extraordinaria transparencia del CCN dependiendo de un organismo tradicionalmente opaco como el CNI. Así, es público y se puede ver en el web del CNI, que se están certificando en España dispositivos como la tarjeta chip que se usará en el futuro DNI electrónico (ya existe una tarjeta de Microelectrónica certificada para su uso en sistemas de firma electrónica del Ministerio de Defensa) o software de certificación electrónica de SafeLayer, o de Secuware.

Voto electrónico en Juntas de Accionistas

4 respuestas

Después de referirme en el Post anterior a los prestadores de servicios de certificación y a Innovoto, he pensado que conviene comentar alguna cosa más sobre este tema, ya que recibo muchas consultas y percibo mucha desorientación.

Al organizar una Junta General, hay que prever el mecanismos para votar a distancia y delegar. Hay que pensar los medios con los que contarán los accionistas, y su procedencia (especialmente las empresas que cotizan en mercados internacionales).

El voto a distancia debe ser compatible con la celebración presencial de la Junta, lo que sigue siendo obligatorio (no se puede convocar una junta virtual: hay que indicar el lugar de la celebración).

Las reglas de limitación de voto, requisitos de quorum, número mínimo de votos en determinadas propuestas, implican considerar el voto a distancia como voto presente en la Junta.

Los votos recibidos pueden estar firmado con cualquier certificado, lo que implica ser capaces de verificar la validez de cualquier certificado, especialmente de los certificados "cualiicados" o "reconocidos".

Al coordinar con Iberclear y con las entidades depositarias es conveniente determinar el sistema de codificación de la tarjeta de asistencia, para permitir su empleo de forma electrónica.

En la convocatoria deben quedar claras las precedencias (voto-delegación, a distancia-presencial) así como los plazos de cada fase de gestión de la junta (convocatoria y definición inicial de puntos en el orden del día, petición por grupos de accionistas de introducción de puntos en el orden del día, publicación del orden del día definitivo, apertura de la urna virtual, cierre de la urna virtual, publicación de estadísticas de voto electrónico, consolidación del voto presencial y a distancia).

En caso de que se tenga constancia de que existen cadenas de representación fiduciaria (por ejemplo cuando las acciones se pueden contratar en diferentes paises, y los registros de Iberclear no reflejan al accionista final sino a alguno de los intermediarios), es conveniente disponer de sistemas que permitan asignar rangos de números de acciones del representante fiduciario, a favor de los representados fideicomitentes, de forma que estos puedan ejercer sus derechos de voto y delegación. El sistema también debe ser capaz de gestionar sistemas de gestión de representación para los accionistas que prefieran que sean especialistas los que en su nombre voten los puntos según sus intereses. 

Aunque el tema tiene cierta complejidad, a dia de hoy, la forma de organizar una junta que tenga en cuenta la participación a distancia de los accionistas está bastante clara. Por eso no se entienden esas convocatorias de juntas (copiadas unas de otras) que no saben ni identificar correctamente los tipos de certificados electrónicos que se pueden utilizar.

 Hay que reconocer que la conflictidad societaria (de los accionistas minoritarios) es muy baja en España, porque hay motivos de sobra para poder impugnar  algunas Juntas, según se aprecia de la redacción de las convocatoras.

 

 

 

 

Prestadores de Servicios de Certificación

7 respuestas

Ahora que el DNI electrónico está volviendo a poner de moda la firma electrónica y la certificación digital, merece la pena hacer un pequeño censo de prestadores de servicios de certificación. Así, pasados unos años, podremos valorar si la aparición del DNI electrónico fue positiva o negativa para el sector.

Respecto a Europa, la fuente principal de información es el repositorio de prestadores de servicios de certificación, regulado por el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica. Los paises que figuran a dia de hoy (los que han enviado información a la Comisión sobre el despliegue de la Directiva) son los siguientes:

  • Suercia
  • Finlandia
  • Bélgica
  • Reino Unido
  • Alemania
  • Austria
  • Dinamarca
  • Francia
  • Holanda
  • Italia
  • República Checa

De los paises mencionados, Italia es el que destaca por el número de PSC acreditados.

En España, la fuente principal es el Censo de Prestadores de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Comercio y Turismo. Este organismo mantiene la responsabilidad de supervisión del sector de la Certificación definida en la Ley 59/2003 de Firma Electrónica. En estos momentos, los PSC (Prestadores de Servicios de Certificación) que han presentado la documentación (y su revisión está finalizada o en curso) son los siguientes:

  • ANF-AC
  • CERES
  • CAMERFIRMA
  • FIRMAPROFESIONAL
  • ACCV
  • AC ABOGACÍA
  • CICCP
  • ANCERT- Agencia Notarial de Certificación
  • BANESTO
  • IZENPE
  • CATCERT
  • IPSCA
  • TELEFONICA DATA ESPAÑA S.A.
  • SERVICIO DE CERTIFICACIÓN DE LOS REGISTRADORES (SCR)

De estos prestadores, muy pocos están presentes en los principales navegadores.

Hay un completo análisis de prestadores de servicios de certificación que se incluyen en los navegadores en el sitio web de Innovoto.

Desde el punto de vista de Innovoto, es decir, del voto electrónico a distancia en Juntas Generales de Accionistas y otros órganos participativos, lo que importa es utilizar certificados reconocidos o cualificados, cuando el accionista sea español o esté en España, de forma que se dé cumplimiento a la Ley 59/2003, pero permitir de forma expresa que puedan utilizar certificados de otros prestadores que, aun no cumpliendo de forma expresa la Directiva 93/1999, permitan suponer una diligente actuación en la prestación de los servicios.

Además de todos estos listados de PSC, merece la pena referirse a dos más.

Como podeis ver, desde el punto de vista del titular, no es nada sencillo detectar qué PSC emiten los certificados más adecuados para una aplicación dada, pero podemos conjeturar que «cualquiera».

Desde el punto de vista del tercero que confía en el certificado, la entidad que desarrolla aplicaciones en las que se pueda usar la firma electrónica el dilema es más sencillo de resolver: hay que aceptar «todos». 

Actualización (18.10.2009)

He actualizado los enlaces porque los originales se han vuelto obsoletos:

Código Unificado de Buen Gobierno

Deja un comentario

Ayer acabó el plazo para presentar en la CNMV (Comisión Nacional del Mercado de Valores) los comentarios en referencia al nuevo código de buen gobierno, que ya tiene apellido. A los dos anteriores se les denominó «Código Olivencia» y «Código Aldama». A este ya se le empieza a llamar «Código Conthe».

Esto de los Códigos no es un asunto fácil. España es un país en el que prima el Derecho Positivo, es decir, el que define las obligaciones de forma expresa. Es así en la mayoría de países europeos, en los que se aplica el llamado «Derecho Romano» o «Germánico» o «Continental». Sin embargo, los países de ámbito anglosajón están exportando culturalmente su propio derecho, denominado «Common Law», y sus principios se están adoptando sin que nos demos cuenta, aunque a veces no encajen bien en nuestra propia cultura legal. Bajo la «Common Law» la Jurisprudencia en una DESTACADA fuente del Derecho y las recomendaciones se adoptan con entusiasmo, pese a la escasa capacidad punitiva asociada a esa forma de desarrollar normas.

Así que cuando las recomendaciones de buen gobierno corporativo se publican, aunque no sea más que en «borrador», las sociedades cotizadas analizan el articulado con detalle y llegan a la conclusión de que adminsitrar la pesada carga informativa y de gestión de las sociedades cotizadas va a ser todavía más duro los próximos años.

El asunto ha estado rodeado de polémica estos días, y yo no voy a entrar en ello, por ahora.

Sin embargo, sí quiero hacerme eco de la iniciativa del Foro de Buen Gobierno TIC (Tecnología de la información y de las Telecomunicaciones) que ha añadido un nuevo tema de reflexión a los que ya ocupan a los Consejeros de las Sociedades.

Se trata de la conveniencia de que entre los consejeros, ya sean independientes o dominicales, haya algunos con capacidad de valorar si la gestión de los sistemas de información de la sociedad se hace de forma que minimice los riegos de todo tipo y existan planes de contingencia al máximo nivel que garantice la supervivencia de la empresa ante una catástrofe que afecte a sus sistemas informáticos.

Si situaciones como la de Enron hacen necesario extremar los aspectos de Auditoría y diligente gestión económica, hechos como los acaecidos el 11S o, sin salir de España, el incendio de la torre Windsor, nos tienen que hacer reflexionar sobre la incidencia que las tecnologías tienen hoy en el funcionamiento de las empresas y la necesidad de que a nivel de consejo se puedan tener controladas las variables con las que se controla. Además de todos los innumerables sutiles detalles sobre los que deben de estar pendientes  los Consejos de las Sociedades Cotizadas.