Archivo de la categoría: Seguridad

ENISE (Encuentro Nacional de la Industria de la Seguridad en España)

1 respuesta

Estos dias, del 27 al 29 de octubre de 2009, se celebra en León el III Encuentro Nacional de la Industria de la Seguridad en España (ENISE) organizado por INTECO (Instituto Nacional de Tecnologías de la Comunicación).

De izquierda a derecha: Mercedes Gallizo, Francisco Fernández, Francisco Ros y Víctor Izquierdo. Foto de Carlos Campillo (El Mundo)

Con más de 500 asistentes y más de 100 ponentes, el evento se consolida como la principal cita anual del sector de la Seguridad de la Información, este año con una importante representación de áreas vinculadas con la Seguridad Física.

Mi intervención de esta tarde está enmarcada en la sección «T26 – Negocio y Firma Electrónica» y se titula «Documentos Digitales y su convivencia con los de papel«, con un planteamiento filosófico que permite enmarcar aspectos como la eAdministración o los sistemas de «Interlocución Telemática».

El Congreso está muy bien orientado, y mi principal crítica es respecto a la sistemática «multitrack», es decir, la forma de organizar eventos con varias sesiones simultáneas. Mi percepción es que me obliga a renunciar a unas ponencias por el interés de otras (y a veces a lamentar la decisión). Mi sugerencia para próximas convocatorias sería que no se organizaran más de 2 actos simultáneos, y procurar que sean de temáticas claramente desconectadas y con destinatarios diferenciados.

Esta tercera edición tiene como temática central la Innovación Tecnológica en Seguridad TIC. En cada una de las jornadas se analiza la innovación desde tres puntos de vista diferentes: Innovación en Seguridad en la Sociedad de la Información; Negocio e Innovación en Seguridad e Innovación en Servicios Electrónicos Seguros.

En el acto de inauguración oficial del encuentro, que tuvo lugar ayer, participaron el alcalde de León, Francisco Fernández; la secretaria general de Instituciones Penitenciarias, Mercedes Gallizo y el director general de INTECO, Víctor Izquierdo y el Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros.

Francisco Ros  destacó “la consolidación de INTECO como centro nacional de referencia en tecnologías de seguridad, accesibilidad y calidad del software, un logro obtenido gracias al esfuerzo de todas las instituciones participantes» y su espectativa de “que esta tercera edición de ENISE sirva para promover el uso de las TIC entre los ciudadanos y para proyectar los desarrollos y productos de las empresas españolas”. Asimismo, apuntó que un 33% de los ciudadanos tiene intención de utilizar mayores medidas de seguridad, como el DNIe, recordando que España es pionera a nivel mundial, siendo el país que tiene más instrumentos de firma electrónica en uso, con 12.800.000 documentos expedidos. También se anunció el inicio de una campaña para fomentar el uso del DNIe en la que se repartirán 800.000 lectores gratuitos de tarjeta chip y se ofrecerán explicaciones sobre su utilidad y uso, especialmente en los procedimientos de administración electrónica que las  Administraciones Públicas tienen que ofrecer desde principos de 2010 a disposición de los ciudadanos.

El director general de Red.es, Sebastián Muriel y el representante de la Comisión Europea, Gustav Kalbe, abrieron la primera de las jornadas de un foro de debate que plantea la idea de cómo la Administración, las empresas de los distintos sectores, los proveedores de servicios electrónicos y la industria de seguridad, en su papel de socio tecnológico, pueden contribuir de manera decisiva al aprovechamiento de estas oportunidades de innovación y dar soluciones para enfrentarse a las amenazas.

Cada jornada del evento está estructurada en sesiones plenarias, de alto nivel y carácter estratégico, que constituyen el preámbulo e introducción a la temática central del día. A continuación, se desarrollan los talleres tecnológicos, en los que se realizan exposiciones de carácter más técnico.

Dos sesiones plenarias simultáneas han abierto el encuentro: Innovación en Seguridad en la Sociedad de la Información y Seguridad tecnológica e innovación, con un enfoque de política pública, en las que se ha hablado de seguridad digital y electrónica para los ciudadanos, con aspectos como la seguridad en el ámbito penitenciario, ciberseguridad o el ciberterrorismo; las redes y las comunicaciones seguras; la administración electrónica y la identidad digital, sistemas biométricos e identidad federada.

El resto del día se completó con ocho talleres en los que se abordaron aspectos como las nuevas formas de delincuencia en la Sociedad de la Información; la seguridad en la Internet del futuro; redes sociales y privacidad; secreto y privacidad; infraestructuras estratégicas de la Sociedad de la Información y uso «nómada» seguro de las TIC; innovación tecnológica y formación y Justicia, Instituciones Penitenciarias y las nuevas tecnologías.

El programa de hoy se ha iniciado con la sesión plenaria Negocio e innovación en seguridad, en la que se ha tratado el tema combinando un punto de vista académico con una empresarial, con la pretensión de que  universidad y empresa formen  equipo: el canal de distribución y la innovación; innovación y competitividad en el mercado de la seguridad y orientación a servicio como pilar de la innovación en seguridad.

Los seis talleres complementarios, entre los que está el que ya he mencionado, estarán más centrados en el negocio: la gestión de la seguridad en las organizaciones; seguridad integral; banca electrónica y pago seguro; impacto de la falta de seguridad en el negocio; externalización de servicios seguros, y negocio y firma electrónica.

Mañana jueves se abordará la Innovación en Servicios Electrónicos Seguros, enfocada a hablar de proyectos europeos en el ámbito de la seguridad; legislación en seguridad; ciberterrorismo; identidad digital y privacidad, datos personales y ciudadanos, todo desde el punto de vista de servicios electrónicos. Los talleres del día se centrarán en el análisis de los Servicios seguros en la Administración electrónica basados en DNI electrónico; Tecnologías seguras en Defensa y Cuerpos de Seguridad y Administración electrónica segura en sanidad.

En esta tercera edición de ENISE se cuenta con una importante representación de carácter internacional. En el acto de apertura de ayer intervino el representante de la Comisión Europea y experto en confianza y seguridad, Gustav Kalbe, y en la jornada de mañana, enfocada a la innovación en la administración, se contará con la presencia del representante de la Agencia Europea de Seguridad de la Información (ENISA), Jeremy Beale.

Más información

Las Claves de la Supervivencia Digital

Deja un comentario

Los próximos 18 y 19 de noviembre tendrán lugar, respectivamente en Barcelona y Madrid  sendos seminarios sobre seguridad de la información en la empresa y en los organismos públicos, que patrocinamos desde Albalia Interactiva, junto con otras entidades. Se denomina «Las claves de la supervivencia digital» e interesa a entidades de la administración pública que estén trabajando activamente en la administración electrónica y en el cumplimiento con la Ley 11/2007 (Ley de Acceso) y cualquier entidad privada o pública que sigue en la digitalización de sus procesos de flujo de trabajo no sólo internamente, sino también con clientes, proveedores y ciudadanos, así como con el cumplimiento de las directivas europeas 1999/93/EC de la firma electrónica,  2001/115/CE de 20/12/2001 de la factura electrónica,  elos  estándares CAdES, XAdES y PAdES de ETSI, la Ley de Medidas de  Impulso de la Sociedad de la Información (LMISI), entidades que gestionan pagos con tarjeta (PCI-DSS ) y todas las adectadas por la normativa de protección de datos.

Para acceder al programa de la convocatoria e inscribirse haga clic aquí,  llame al 93 656 74 00 o envíe un correo electrónico a .  El espacio es limitado, por lo que es recomendable inscribirse con la mayor celeridad posible.

Sedes

Ponentes:

  • Pete Herzog  es el co-fundador de ISECOM, una organización internacional sin ánimo de lucro dedicada a la mejora de la seguridad  que certifica a miles de profesionales en todo el mundo cada año en OSSTMM (Open Source Security Testing Methodology Manual) siendo también su creador. Sus métodos se han convertido en el estándar para muchas corporaciones incluyendo el ejército Norteamericano, el CERN,  la NASA, la National Security Agency de los EE.UU, Walmart e incluso el Vaticano.
  • Roberto Boya, responsable de los productos servidor de Adobe Ibérica, compartirá su experiencia y conocimiento sobre el intercambio ágil y seguro de documentos con clientes y socios entre departamentos gubernamentales y empresas privadas, garantizando, bajo las normas actuales, la longevidad de los documentos digitales de manera segura, afianzando su integridad y confidencialidad.
  • Julián Inza, Presidente del Grupo Interactiva y uno de los principales expertos en España en procesos de negocio digital y firma electrónica, hablará sobre la necesidad de adoptar sistemas integrales de firma electrónica para cumplir con las normas nacionales y de la Unión Europea asegurando la interoperabilidad de los documentos digitalmente firmados a largo plazo.  
  • Raúl Saurez, consultor de seguridad informática de SafeNet, empresa líder en protección de datos  corporativos,  discutirá sobre la importancia de disponer de sistemas de protección de las claves de firma para garantizar la validez de todas las transacciones electrónicas dentro de entornos con  procesos heterogéneos del negocio electrónico.

ENISE

3 respuestas

La semana que viene se celebra ENISE en León, convocado por INTECO. Mi participción es el dia 28 aunque estaré por allí también el 27 y el 29

Me hubiera gustado estar también el 26 en el evento de eSec, pero me coincide con un seminario de administración electrónica en el INAP, en Madrid, en el que soy ponente.

Un tema que me parece interesante es la presentación de cajeros con DNI electrónico de Caixa Galicia:

Las aplicaciones del DNIe para realizar transacciones bancarias a través de internet empiezan a divulgarse, siendo cada vez más los bancos y cajas que ofrecen esta opción. Menos frecuente aunque ya en funcionamiento en algunas entidades es la realización de transacciones con el DNIe directamente en cajeros automáticos.

Como muestra de esta novedosa realidad en la Zona DNIe los asistentes al congreso tendrán a su disposición un cajero de Caixa Galicia que permite el acceso a sus servicios a través de DNIe.

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Nueva oleada de phishing

1 respuesta

phishing-AEATAprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes «pescadores» (de «phishing», juego de palabras con «password fishing» en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan «picando» es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase «la entidad XXX no le pedirá sus datos financieros o información confidencial por internet». Y la confusión creada es que los mensajes de los criminales no «piden» información: la «ofrecen». Por ejemplo diciendo: «acceda a su cuenta a través de este enlace y compruebe la información del sistema». Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.

Las tres redes españolas de tarjetas de crédito premiadas internacionalmente

Deja un comentario

Noticia del 6 de mayo de 2009.

Las redes de tarjetas españolas ServiRed, Sistema 4B y Euro 6000 recibieron el premio a la “Mejor Iniciativa sobre Riesgo/Seguridad” durante la reunión de miembros que Visa Europe organiza cada dos años y cuya edición más reciente se acaba de celebrar en Berlín

Las tres redes de tarjetas españolas han trabajado en estrecha colaboración para crear el SNCP (Sistema Nacional de Cifrado de Pistas), una innovadora solución técnica que permite a los comercios acometer a la vez el cumplimiento con la normativa PCI DSS y a la migración a chip EMV, con el consiguiente ahorro de costes.

La implantación de los requisitos de seguridad PCI-DSS en toda la infraestructura de pagos con tarjeta (que tiene el objetivo de asegurar la confidencialidad de los datos y de protegerlos de cualquier manipulación fraudulenta) puede suponer un doble desafío: no sólo a nivel de las tres redes de tarjetas (ServiRed, Sistema 4B y Euro 6000) y los tres centros procesadores (SERMEPA, REDY y CECA) sino también para aquellos comercios que son propietarios de sus sistemas de aceptación de tarjetas, que gestionan su propios terminales punto de venta.

La solución SNCP permite la encriptación de los datos desde su captura en el PIN-pad del punto de venta hasta que éstos son recibidos por el adquirente o procesador, con lo cual se asegura la encriptación “extremo a extremo” de todos los datos sensibles de la tarjeta, a excepción de los dígitos del BIN, que indican el número de identificación del banco. El adquirente o procesador es el que se encarga de descifrar los datos con claves criptográficas custodiadas exclusivamente por el propio adquirente o procesador, que son desconocidas para el comercio. La mayoría de los grandes establecimientos han completado el proceso de certificación y ya están empezando a desplegar la SNCP en sus puntos de venta.

Los ganadores de los premios de Visa Europe han sido anunciados en la reunión de miembros “Insights 09” organizada por Visa Europe en Berlín a finales de abril. Distintos participantes en la industria de los medios de pago de toda Europa presentaron más de 130 candidaturas a los citados premios.

Los Premios que concede Visa Europe en cada edición a las entidades financieras miembro de la asociación, se organizan en siete diferentes categorías. Bancos y cajas compiten tanto con proyectos desarrollados para el sector de los sistemas de pago, como con proyectos de patrocinio y responsabilidad social corporativa.

Stanley Skoglund, Vice Presidente Senior de Cumplimento de Normativas de Visa Europe, señala “Desde el principio confiamos en esta iniciativa y hemos apoyado a las tres redes españolas con el objetivo de certificar la solución SNCP. Visa Europe y las tres redes españolas ha considerado siempre como una prioridad este tipo de soluciones técnicas con el fin de garantizar la seguridad de las transacciones de tarjetas para los comercios, los consumidores y las entidades financieras.”

Declaración de Luis Furnells , Consejero Delegado, ServiRed

«Estamos muy satisfechos tanto con el reconocimiento de Visa Europa a nuestro trabajo y a nuestro valor añadido, como con el apoyo recibido de Visa durante todo el desarrollo del proyecto. Los tres sistemas de pago españoles, reconociendo los retos específicos del mercado español, unimos fuerzas para ayudar al sector del comercio y desarrollar una solución técnica de encriptación «extremo a extremo» que permite, al mismo tiempo y con ahorros significativos: i) reducir el riesgo de compromiso de datos de tarjeta, en el caso de ataques informáticos a los sistemas y a las bases de datos de los comercios y ii) migrar a EMV la infraestructura de aceptación de tarjetas que es propiedad de dichos comercios.»

Declaración de Alfonso de la Viuda – Director General, Sistema 4B

“Este premio es el resultado de una cooperación muy exitosa de los Group Members españoles de Visa y un afán por mejorar la seguridad en nuestra industria, en un compromiso compartido con nuestras entidades miembro y sus clientes comerciantes”

Declaración de Santiago Ballesteros, Director General, Euro 6000

«Estoy encantado con el reconocimiento de Visa Europe a nuestra SNCP. Espero que Visa promueva la utilización de SNCP como estándar mundial de «cifrado de extremo a extremo» que resuelva definitivamente los riesgos de fraude por compromiso de datos de tarjetas.»

Referencia en Inglés

ServiRed, Sistema 4B and Euro 6000, Spain SNCP (standardised solution to cipher track data) programme

Objective

The Spanish PCI DSS implementation programme (whereby sensitive account data is protected from potential compromise) faced a range of challenges: not only does the market comprise of three card networks (ServiRed, Sistema 4B and Euro 6000) and three processing centres, but the larger merchants (who own their own EPOS systems) are simultaneously connected to all three processors. The successful implementation of PCI DSS would therefore have to be a closely co-ordinated, multi-party endeavour which took full account of many different stakeholders – including merchants, processors, and the entire vendor community.

Outcome

The three card networks worked closely together to create the SNCP programme – an innovative technical solution which enables large merchants to simultaneously undertake both PCI DSS compliance and EMV chip migration, with significant cost savings. It represents an end-to-end encryption solution that can be implemented whenever a systems change needs to be undertaken. Once deployed it means that all account data other than the bank identification number (BIN) is fully encrypted across the entire transaction flow from the PIN-pad to the processor/acquirer, where it is decrypted with keys only known to the processor/acquirer. The majority of large merchants have completed the certification process and are starting to implement it across their outlets.

SeTI: Grupo de Seguridad de las Tecnologias de la Información y de las Comunicaciones

1 respuesta

Dirigidos por Arturo Ribagorda, en la Universidad Carlos III de Madrid, se trata de un Grupo Universitario que desarrolla lineas de investigación relacionadas con la seguridad y colabora con las empresas en proyectos concretos.

En Albalia ya hemos tenido ocasión de colaborar en el pasado y lo seguiremos haciendo.

Pon «Aa» (Avisar a..) en la agenda de tu móvil

7 respuestas

El Ministerio del Interior y la Cruz Roja han lanzado una campaña para concienciar a la población de que incluya en la agenda del móvil el contacto «Aa» (Avisar a..) con el teléfono de la persona a la que se debe contactar en caso de urgencia.

De esta manera, si sufrimos un percance, dejamos pistas para que los servicios de emergencia y los cuerpos de seguridad puedan avisar a la persona indicada con la mayor rapidez  ya que dicha entrada aparece en el primer lugar de la agenda de teléfonos.

«Lo primero que sucede es que hay que avisar a los familiares, algo que a veces tiene una importancia definitiva para tratar el supuesto, para ver cómo se aborda el problema», dijo el ministro del Interior, Alfredo Pérez Rubalcaba, en rueda de prensa en Madrid para presentar la iniciativa.

La campaña se enmarca dentro de la estrategia de prevención de accidentes de Cruz Roja «Prevenir es vivir» y contará con diversos materiales divulgativos como un anuncio de televisión, cuñas radiofónicas, carteles y marcapáginas para intentar concienciar a la población de la necesidad de incluir el contacto «Aa».

Más de tres millones de personas sufrieron algún tipo de emergencia en España como accidentes domésticos, laborales o de circulación, según datos del ministerio.

Además este contacto es  es util si perdemos el móvil, ya que quien lo encuentre tiene una pauta para contactar con alguien con interés en que recuperemos el móvil.

Actualización  17.07.2009

Al parecer esta noticia tiene su origen en otra más antigua, que he leído en Microsiervos: ICE: In Case of Emergency, el número para emergencias en teléfonos móviles

En diferentes blogs y noticieros se habla de la actual campaña del Ministerio del Interior y de la Cruz Roja  y los comentarios dan para todos los gustos. Una idea integradora, en mi opinión es la que he visto que proponen algunos comentaristas: Aa ICE 1 casa, Aa ICE 2 padres, …

En esta variante, se recoge el mensaje principal de la cruz roja, se coloca como una de las primeras posiciones el destinatario de la llamada Aa, se respeta el código internacional y además se aclara el tipo de destinatario de la llamada. Y se pueden poner más de uno.

EADTrust, en la Escuela Banespyme-Orange

1 respuesta

Banespyme - OrangeOrange, la Fundación Banesto Sociedad y Tecnología y el IE Business School están llevando a cabo la 8ª Edición del Concurso Escuela Banespyme-Orange.

EADTrust, la spin-off de Albalia Interactiva especializada en Servicios de Confianza de la Sociedad de la Información,  ha sido seleccionada en la primera fase.

El proceso del Concurso es el siguiente:

Selección inicial de las veinte mejores ideas de negocio para la puesta en marcha de aquellas iniciativas empresariales en el ámbito de las tecnologías Innovadoras, consistentes en acceso a una fase de formación y tutoría personalizada para el desarrollo de Planes de Negocio.

Posterior selección de los diez mejores proyectos de entre los veinte anteriormente preseleccionados que optan a una segunda fase de formación especializada y presentación ante un Panel de Inversores.

Selección final de dos proyectos ganadores de entre los diez que hayan superado la segunda fase y que pasarán a la fase final de incubación de sus proyectos.

Los servicios que prestará EADTrust vienen avalados por el modelo testado por Albalia Interactiva y se destinan a empresas de toda Europa.

El pasado 23 de mayo se desarrolló la primera sesión en el Instituto de Empresa (para los participantes de Madrid)

Boletín ENISA sobre eID

Deja un comentario

enisa_logo_RGBRecomiendo la lectura del boletín «ENISA Quarterly Review Vol. 4, No. 3, Jul-Sept 2008»

Algunos de los artículos interesantes:

  • Electronic Identity Cards and Citizens’ Portals
  • Common Criteria Protection Profiles for the Spanish eID-related Applications
  • eID Interoperability: the Key to  Success in Europe
  • Privacy and Capability Management for the European eIDM Framework
  • ENISA’s Activities on eID – an Update