Archivo de la categoría: Seguridad

Nueva Junta Directiva de Isaca Madrid

Deja un comentario

El pasado 17 de noviembre, los socios de la Asociación ISACA (Information System Audit and Control Association) Capítulo de Madrid eligieron en Asamblea ordinaria su Junta Directiva para el periodo 2016-18.

Por unanimidad se aprobó el nombramiento de:

  • Presidente: D. Ricardo Barrasa – CISA, CISM
  • Vicepresidente: D. Antonio Ramos – CISA, CISM, CRISC
  • Secretario: D. José Miguel Cardona Pastor – CISA, CISM, CRISC
  • Tesorero: D. Joaquín Castillón – CISA, CGEIT
  • Vocal 1º: Relación con los asociados: D. Óscar Martín – CISA, CISM, CGEIT, CRISC
  • Vocal 2º: Coordinador de Certificaciones y Formación: D. Vicente Chiva-Carbonell – CISA
  • Vocal 3º: Programas: D. Pablo Blanco – CISA, CISM
  • Vocal 4º: Relaciones académicas: D. José A. Rubio – CISA, CRISC
  • Vocal 5º: Webmaster: D. Israel Hernández – CISA, CISM, CGEIT
  • Vocal 6º: Comunicaciones y Marketing: D. Enrique Turrillo – CISA, CISM, CRISC
  • Vocal 7º: Director de Investigación: D. Erik de Pablo – CISA, CRISC

En la reunión se aprobaron las cuentas del ejercicio y el Plan de actividades para 2017.

La nueva Junta Directiva se plantea seguir manteniendo una Asociación fuerte y sólida que continúe promoviendo en la sociedad el reconocimiento de los profesionales de auditoría de sistemas, ciberseguridad, gestión de riesgos y gobierno de las tecnologías.

Se va a  fomentar el desarrollo de Grupos de Trabajo que ayuden al intercambio de experiencias y a la mejora de las prácticas de auditoría de TI

Las actividades formativas y eventos seguirán recibiendo la atención de los años anteriores en linea con las necesidades del mercado, y como oportunidades de networking.

ISACA Madrid quiere dar las gracias a los miembros de la Junta Directiva 2014-2016, en especial a: Dña. Nuria Domínguez y Dña. María José Carmona.
El Capítulo de Madrid de la Asociación internacional ISACA ( http://www.isacamadrid.es ), es una asociación sin ánimo de lucro con más de 1.100 asociados, profesionales del ámbito de la Seguridad de la Información, lo que supone que sea el colectivo más representativo en esta materia.

El Capítulo realiza actividades de difusión, concienciación y formación, mediante conferencias, congresos anuales, boletines para sus asociados y cursos de formación para contribuir a la misión de ISACA.
ISACA® ( http://www.isaca.org ) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase.  Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de140.000 profesionales en 180 países . ISACA también ofrece Cybersecurity Nexus™ (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa.
Adicionalmente, ISACA promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in risk and Information Systems Control™ (CRISC™).

La asociación ISACA tiene más de 200 capítulos en todo el mundo.

Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales

Deja un comentario

Se establece una nueva actividad sujeta a la opinión de expertos externos para evaluar las medidas de control utilizadas en los entornos de «video onboarding» de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el SEBPLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias).

video-conferenciaRecientemente se ha  publicado la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA que permite cumplir con los requisitos de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

El apartado 1 del artículo 21 del Real Decreto 304/2014 (Requisitos en las relaciones de negocio y operaciones no presenciales) indica:

1. Los sujetos obligados podrán establecer relaciones de negocio o ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos con clientes que no se encuentren físicamente presentes, siempre que concurra alguna de las siguientes circunstancias:

  • a) La identidad del cliente quede acreditada de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.
  • b) La identidad del cliente quede acreditada mediante copia del documento de identidad, de los establecidos en el artículo 6, que corresponda, siempre que dicha copia esté expedida por un fedatario público.
  • c) El primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.
  • d) La identidad del cliente quede acreditada mediante el empleo de otros procedimientos seguros de identificación de clientes en operaciones no presenciales, siempre que tales procedimientos hayan sido previamente autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (en adelante, Servicio Ejecutivo de la Comisión).

La Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

El Informe de experto externo contempla la evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

Minsait (Indra) incorpora a su portfolio las soluciones de Spamina

Deja un comentario

Spamina, empresa de seguridad en la nube para el correo electrónico, y Minsait, la unidad de negocio de Indra que da respuesta a los retos que plantea la transformación digital, han anunciado la formalización de un contrato de colaboración nacional.

Spamina entra a formar parte del portfolio de soluciones destinadas a minimizar los potenciales riesgos de los procesos digitales, en aspectos como ciberseguridad 360. «La integración de todos los niveles de seguridad para el correo que ofrece Spamina, así como la flexibilidad para la contratación y puesta en marcha, han sido los factores fundamentales para incluir al fabricante dentro de nuestro catálogo de soluciones» comenta, Alberto López, Responsable de Desarrollo de Negocio de Ciberseguridad para Minsait.

El acuerdo incluye el completo portfolio de soluciones para el correo de Spamina, filtrado, archivado, cifrado y prevención de fuga de datos; así como la oferta de Parla como solución de correo corporativo con todas las capas de seguridad integradas. «El compromiso y la colaboración por ambas partes ha sido ejemplar» comenta Eduardo Encinas, Director Comercial de Spamina quien asegura que «la eficacia de nuestras soluciones, unidos a la experiencia en la puesta en marcha de Minsait, va a suponer una oferta de gran valor para los clientes«.

La consultora ha dedicado parte de sus recursos a certificar a sus profesionales en las soluciones Spamina, que ya están trabajando en proyectos de gran envergadura.

Sobre Spamina:

Spamina es una compañía que desarrolla y ofrece soluciones innovadoras de E-mail Security, en entornos Public Cloud, Hybrid y Private Cloud. Las soluciones de Spamina están orientadas a todo tipo de empresas, así como MSP’s/ISP’s a los que proporciona soluciones de Firewall, Email, Instant Messaging, Archiving, Encryption & DLP (Data Lost Prevention) y Mobile Device Management (MDM) con el fin de garantizar a los administradores de sistemas y usuarios, la protección, gestión y el control total de su entorno de comunicación.

Spamina tiene su sede central en Madrid y cuenta con oficinas en Barcelona, Milán, México DF, Lima y Buenos Aires. Sus productos y servicios se distribuyen en más de 50 países a través de los principales partners autorizados.

Sobre Minsait:

Minsait es la unidad de negocio de Indra que da respuesta a los retos que la transformación digital plantea a empresas e instituciones, por medio de la oferta de resultados inmediatos y tangibles. Indra ha agrupado en Minsait su cartera de soluciones de tecnología y consultoría en el negocio digital, que le han convertido en una de las empresas líderes de este mercado en España. Y la ha impulsado con una metodología diferencial, una ampliada cartera de soluciones de negocio, un modelo propio y diferente de venta, entrega y soporte orientado a la generación de impacto, y una organización flexible basada en equipos multidisciplinares, formados por especialistas de perfiles muy concretos. Minsait completa la oferta del resto de verticales de alto valor de Indra, favoreciendo su orientación hacia los negocios clave de sus clientes, y con ello será un motor para acelerar el crecimiento de Indra.

RD 951/2015: Cambios en el ENS (Esquema Nacional de Seguridad), para el desarrollo de la Administración Electrónica

1 respuesta

El Consejo de Ministros del pasado viernes 23 de octubre de 2015 ha aprobado un Real Decreto 951/2015, de 23 de octubre que modifica el Real Decreto 3/2010 del 8 de enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. (actualización 04.11.2015, se indica ya el enlace al documento publicado en  el BOE)

El objeto de la modificación propuesta de la norma es reforzar la protección de las Administraciones Públicas frente a las «ciberamenazas» que deberán adaptarse a la rápida evolución de las tecnologías. La experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010 aconseja consolidar algunos aspectos y tratar de evolucionar otros adecuando la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en el Reglamento comunitario UE 910 / 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

En definitiva, se trata de mantener actualizado el Esquema Nacional de Seguridad adoptando en cada momento los mecanismos que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos utilizados en la Administración, en particular frente a  las ciberamenazas, y reforzando los servicios de confianza y la protección para las transacciones electrónicas.

Las administraciones públicas tendrán un un plazo de veinticuatro meses, para adecuar sus sistemas informáticos al nuevo marco regulatorio.

Estrategia de Ciberseguridad

El esfuerzo realizado para la actualización del Esquema Nacional de Seguridad responde al Objetivo I de la Estrategia de Ciberseguridad Nacional que se refiere a «Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia», así como a los principios generales previstos en la Ley 40/2015 de Régimen Jurídico del Sector Público, que se refieren a la seguridad como un elemento clave para la interacción de las Administraciones Públicas por el medio electrónico.

Medidas adicionales

Para ello, se introducen en el Esquema Nacional de Seguridad, entre otras, las siguientes medidas adicionales:

  • Introduce la gestión continuada de la seguridad en los servicios disponibles, por medios electrónicos veinticuatro horas al día.
  • Especifica la necesidad de utilizar productos que tengan certificada la funcionalidad de seguridad que se corresponda con la categoría y nivel de seguridad del sistema afectado.
  • Introduce los procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información precisando el concepto de incidente de seguridad.
  • Clarifica el papel del Centro Criptológico Nacional y del CCN-CERT, especificando que será necesaria la notificación a ellos de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
  • Explicita y relaciona las instrucciones técnicas de seguridad, que serán de obligado cumplimiento por las Administraciones Públicas y que regularán el estado de seguridad, la auditoría de seguridad, la gestión de incidentes, la criptología, la interconexión y los requisitos de seguridad en entornos externalizados, entre otras.

Diferencias del EJIS respecto al ENI y al ENS

Deja un comentario

Recientemente el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica) ha publicado las bases del Esquema Judicial de Interoperabilidad y Seguridad de 6 de julio de 2015.

El EJIS (Esquema Judicial de Interoperabilidad y Seguridad) se inspira en el Esquema Nacional de Interoperabilidad (ENI) y en el Esquema Nacional de Seguridad (ENS), con algunas diferencias determinadas por las leyes procesales y la Ley marco de la digitalización de la Justicia, la Ley 18/11, de 5 de julio, que singulariza para el ámbito de la Justicia algunas de las principales aportaciones de la Ley 11/2007.

Algunas de las diferencias más reseñables respecto al ENI (RD 4/2010) son las siguientes:

  • Catálogo de Estándares: EJIS presenta compatibilidad con los formatos utilizados en el marco de AGE (Administración General del Estado). Además, permite al CTEAJE definir el suyo si se diera el caso.
  • Interoperabilidad: La redacción del EJIS es aclaratoria de las dimensiones de la interoperabilidad del Esquema Nacional centrado en el ámbito de la Administración de justicia (AJ) ya que tiene en cuenta las peculiaridades del ámbito de justicia en sus tres ámbitos (con la Administración de Justicia, con los ciudadanos y profesionales y con el resto de Administraciones Públicas)
  • Inventarios de información Administrativa: En enfoque se realiza sobre el Test de Compatibilidad del CGPJ (Consejo general del Poder Judicial) dado que los procedimientos serán los que figuren en los inventarios de información judicial de acuerdo con las leyes procesales y el Test de Compatibilidad.
  • Activos Semánticos del Test de Compatibilidad del CGPJ, modelo de datos lógico para conseguir un intercambio de información entre sistemas (asuntos, recursos y exhortos).
  • Firma Electrónica:
    • Alineamiento con el Reglamento europeo UE 910/2014.
    • Política única de firma electrónica para toda la AJ (Administración de justicia).
    • Simplificación de certificados de firma y sello asociados a órganos judiciales.
    • Accesibilidad: admisión amplia de firmas de ciudadanos.
    • Diferencia la autenticación de la firma electrónica
    • Admisión de prestadores de cualquier país de la Unión Europea.
  • Digitalización Certificada: se contempla procedimiento de homologación. No existe el concepto en la AGE, sólo digitalización «que garantizará la imagen fiel», en justicia se permite certificar el software con el que se digitaliza.
  • Declaración de Conformidad: en la AGE es genérica dado que es una mera declaración; en la AJ hay un índice de aspectos de cumplimiento que permiten acreditarlo en mayor o menor medida.
  • Custodia Documental (Conservación): se indica la presunción de mantenimiento de integridad y autenticidad del EJE (Expediente Judicial Electrónico) y del DJE (Documento Judicial Electrónico), acompañadas de medidas de seguridad

Algunas de las diferencias más reseñables del EJIS respecto al ENS (RD 3/2010) son las siguientes:

  • Categorías de los Sistemas:
    • EJIS añade la dimensión de seguridad CONSERVACIÓN que viene contemplada en la propia Ley 18/2011. El concepto de archivo judicial se extiende a períodos de conservación que en el ámbito administrativo se considerarían prescritos y sin necesidad de conservación.
    • Se aclara la forma de determinar los niveles de las dimensiones y las categorías.
  • Auditoría: Se elimina la auditoria como requisito del EJIS, ya que es una competencia del CGPJ.
  • Medidas de Seguridad:
    • Se mantienen las medidas de seguridad como marco de requisitos a cumplir por los órganos judiciales.
    • Se refuerza la exigencia de algunas medidas, en especial en firma electrónica y en custodia de evidenciaselectrónicas.
  • Guía Técnica de Seguridad: se prevé la publicación de nueva norma específica para ampliar el detalle de la sección de seguridad del EJIS, que amplia la normativa de seguridad del Test de compatibilidad.
  • Coordinación: el CTEAJE coordinará la gestión de incidentes entre los órganos que los sufran y los servicios prestados por el Centro Criptológico Nacional

Se puede ampliar la información en esta interesante presentación sobre la Modernización de la Administración de Justicia

Se publican más borradores de las normas de ETSI sobre firma electrónica

Deja un comentario

Los pasados 16, 17 y 19 de febrero se han añadido en el servidor de ETSI un nuevo lote de documentos «drafts» (borradores) relativos al esfuerzo de normalización de la firma electrónica bajo el Mandato M460, necesario también para aplicar el Reglamento UE 910/2014.

El mapa descriptivo del nuevo modelo de normalización se describe en tr_119000v003-rationalised_framework_document_COMPLETE-draft.pdf

Están  abiertos a comentarios por parte de los especialistas, con la vista puesta en su mejora antes de que se publiquen como definitivos. Para enviar comentarios se puede usar la siguiente plantilla: Template-for-comments.doc

16 de febrero de 2015

17 de febrero de 2015

19 de febrero de 2015

La red temática Criptored cumple 15 años de vida, hoy 1 de diciembre

Deja un comentario

Un día como hoy hace quince años, el 1 de diciembre de 1999, comenzaba su andadura la primera red temática de habla hispana, Criptored, impulsada de forma incansable por su promotor Jorge Ramió.

Con tres lustros de existencia, su actividad y servicio ofrecido a la comunidad pueden resumirse en los siguientes datos, contrastables a fecha de hoy con un simple recorrido a través de su servidor web: 990 miembros de 255 universidades y empresas del sector de la seguridad TIC de 23 países, más de 1.600 visitas diarias con cerca de 1.500 documentos pdf y zip descargados cada día, más de 15.000 visualizaciones al mes de su documentación multimedia, 7 congresos de seguridad CIBSI y 2 Talleres de Enseñanza TIBETS organizados en Latinoamérica, así como la celebración de 5 congresos DISI con la Cátedra UPM Applus+ en Madrid.

En el apartado formación, un total de 209 alumnos han pasado por sus aulas virtuales en las 3 ediciones celebradas del curso Online de Seguridad Informática y Ciberdefensa, y casi medio millón de alumnos han participado en sus 4 cursos gratuitos del MOOC Crypt4you, pionero además en lengua hispana de esta modalidad de enseñanza abierta.

Los proyectos enciclopedia gráfica de la seguridad de la información Intypedia y píldoras formativas Thot, con centenas y decenas de miles -respectivamente- de visitas en el canal YouTube de la UPM, junto a otros vídeos producidos por Criptored como por ejemplo 46 de las 74 conferencias UPM TASSI, superan el millón de reproducciones y significan el 16,5% de todas las visualizaciones de dicho canal. Finalmente, este año 2014 ha visto la luz el proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información, cuya versión 2.0 se publicará próximamente.

Todo ello ha significado que ya en noviembre de 2014 se supere por primera vez la cifra de 1 Terabyte anual de información servida. Unos números en los que la participación de sus miembros, de sus colaboradores directos y la excelente acogida por parte de los medios de difusión de la seguridad TIC en Internet, han sido fundamentales.

Visita:
http://www.criptored.upm.es/

Let’s Encrypt – Cifremos

Deja un comentario

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), se ha constituido recientemente como entidad sin ánimo con el objetivo de impulsar la seguridad de Internet, especialmente a través de su iniciativa  ”Let’s Encrypt“Cifremos” que pretende distribuir gratuita y automáticamente certificados de servidor web basados en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS)ca todos los servidores del mundo.

En el Consejo del ISRG estarán representadas las entidades MozillaAkamai,Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación (CA) que prepare e instale los certificados gratuita y automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

La gran ventaja de una internet en la que todos los servidores web usan SSL/TLS es que las comunicaciones se cifran siempre, y por tanto sus contenidos no son accesibles ni para atacantes maliciosos ni para gobiernos con pretensiones de espiar o censurar a sus ciudadanos (o a ciudadanos de otros países).

Let’s Encrypt ya ha comenzado a desarrollar los protocolos y el software necesario.

La Autoridad de Certificación (CA) de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”). Ya existe un borrador de la especificación ACME. Se pretende promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de esta forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

COBIT 5

Deja un comentario

Gestionar las Tecnologías de la Información (TI) consiste en tomar decisiones operativas dentro del gobierno de las TI. La gestión de la TI se refiere a los aspectos operativos para el suministro de productos y servicios de TI en la forma más eficaz.

La gestión de la TI se lleva a cabo mediante la adopción de buenas prácticas, ampliamente usadas, que proceden de diversas fuentes como son:

  • Los estándares como ISO 9000, ISO 20000, ISO 27001, ISO 25999 e ISO 38500, que son un conjunto de criterios que ayudan a desplegar y comprobar operativas de gestión saludables en relación con alguna de las lineas de actividad de las empresas, en particular en el uso o comercialización de soluciones TIC. Estos estándares pueden estar basados en prácticas de la industria existentes, u originados por investigación (académica).
  • Las prácticas de la industria (ITIL®, COBIT®, CMMI®, eSCM-SP, PRINCE2TM, PMBOK®, M_o_R®, eTOM®, Six Sigma…) que son un conjunto de guías usadas en la industria.
  • La experiencia interna, también llamada conocimiento propietario.

COBIT-5-ISACAEl estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 estuvo disponible desde mayo de 2007. La última versión del estándar COBIT, versión 5, aparece en el año 2012.

Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

COBIT presenta un enfoque al negocio que radica en vincular las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

COBIT presenta, asimismo, un enfoque respecto a procesos de acuerdo a las fases del ciclo de Deming, ofreciendo una visión de extremo a extremo de la TI, ayudando a identificar los recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

La nueva versión del COBIT se basa en cinco principios clave:

  • Principio 1: Satisfacer las necesidades de las Partes Interesadas.
  • Principio 2: Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio.
  • Principio 3: La aplicación de un único marco de trabajo integrado.
  • Principio 4: Habilitación de un enfoque holístico. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
  • Principio 5: La separación la Gestión de Gobierno.

COBIT 5 ayuda a las empresas de todos los tamaños aportando una beneficios tales como:

  • Mantener la información de alta calidad para apoyar las decisiones de negocios.
  • Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI.
  • Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
  • Mantener los riesgos relacionados con TI a un nivel aceptable.
  • Optimizar los servicios el coste de las TI y la tecnología.
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

Segurinfo España 2014

1 respuesta

El próximo 27 de febrero de 2014 tiene lugar Segurinfo España 2014 (XXXIV Congreso y Feria Iberoamericana de Seguridad de la Información) en el Espacio Fundación Telefónica (Calle Gran Vía 28 – entrada por calle Fuencarral 3).

Lo organiza USUARIA – Asociación Argentina de Usuarios de la Informática y las Comunicaciones, y colaboramos varios especialistas en seguridad informática en el comité académico.

El evento se extiende desde las 8:00 de la mañana hasta las 14:00 y aunque estamos cerrando algunos detalles de la agenda los contenidos previstos son los siguientes:

09:00 APERTURA
Gobierno de España, Organización de Estados Americanos (OEA), Telefónica

09:20 Novedades legislativas. Lo que se nos viene encima
* Miguel Ángel Amutio (Ministerio de Hacienda y Administraciones Públicas)
* Aitor Cubo (Secretaría de Estado de Administraciones Públicas)

10:05 Esquema Nacional de Ciberseguridad
* Oscar Pastor Acosta (ISDEFE)

10:50 Un ciberespacio abierto, protegido y seguro
* Antonio Sepúlveda Carrero (Instituto Nacional de Tecnologías de la Comunicación – INTECO)

11:10 BREAK

11:30 Seguridad en redes SCADA para Infraestructuras Críticas
* Samuel Linares (Industrial Cybersecurity Center – CCI)
* Javier Yañez (Socio de Consultoría en AUREN Auditores y Asesores)
* Javier Diéguez (Indra)

12:15 Déficit de los especialistas en ciberseguridad
* Arturo Ribagorda Garnacho (Universidad Carlos III)
* Jorge Ramió (Universidad Politécnica de Madrid)
* Carlos Fragoso (One eSecurity)
* Juan Carlos Batanero (AMETIC)
* Juan Díaz-Andreu (Norman Broadbent)
Moderador: Jacinto Canales (CCII – Consejo General de Colegios Profesionales de Ingeniería Informática de España)

13:15 Responsabilidad de la Administración Pública frente a la Ciberseguridad
* Javier Candau (CCN-CNI)
* Oscar Pastor Acosta (ISDEFE)
Moderador: (Instituto Nacional de Tecnologías de la Comunicación – INTECO)

14:00 CIERRE

Espero veros en el evento.

Cuento con algunas invitaciones profesionales, por si alguien las necesita. Contactad conmigo con margen suficiente.