Prevención de fugas y pérdidas. La información, bajo control

Deja un comentario

Con 2 convocatorias (Madrid, 24 de junio de 2008 y Barcelona, 26 de junio de 2008), la Revista SIC, la más veterana de las especializadas en seguridad de la información, organiza el evento Respuestas SIC.

La estructura prevista de este VIII Respuestas SIC incluirá tres bloques. En el primero, conformado por dos ponencias, a cargo de las compañías PricewaterhouseCoopers y Davinci, se tratará de enfocar este creciente problema y vislumbrar una posible solución sistemática, que pasa por la realización de una clasificación de la información en función de su criticidad para el negocio, la actividad y frente al riesgo de incumplimiento de leyes y normas (en estos frentes, dicha clasificación suele atenerse preferentemente al criterio de confidencialidad), y al establecimiento de controles internos sobre la información, los usuarios y los posibles medios de fuga.

El segundo bloque consiste en mostrar cuáles son, hoy día, las aproximaciones tecnológicas de la industria para ayudar a que las organizaciones puedan controlar el correcto acceso, uso, tránsito y seguimiento de su información corporativa. Para ello siete compañías de referencia en la materia (Check Point, McAfee, RSA, Symantec, Trend Micro, Websense y Zitralia) mostrarán el estado del arte de sus catálogos especializados para atender este frente de protección, sea mediante soluciones globales, sea mediante soluciones orientadas a la red o a los puestos finales.

El tercer y último epígrafe lo conformará una mesa redonda en la que usuarios de organizaciones de nuestro país –en esta ocasión cualificados expertos del área de riesgos y seguridad de la información de Bankinter, Caja Madrid y Gas Natural– debatirán sobre su visión al respecto, tanto en lo concerniente a los límites de los escenarios actuales como a las necesidades futuras, que, a su entender, demandará el intercambio informativo y de actividad mercantil de las entidades públicas y privadas que operan con TIC, con un enfoque realista y moderno del uso autorizado de la información, y su pertinente seguimiento y control.

El evento es gratuito. pero es imprescindible inscribirse. Más información en el 915758324

Derogada la norma que impide transportar líquidos en los aviones

6 respuestas

Este es un titular que me gustaría que fuera verdad y por el que voy a apoyar todas las iniciativas que ayuden a conseguirlo.

Como la de David Raya que debe superar múltiples inconvenientes en cada viaje. Cuenta su odisea en el Aeropuerto de Berlín en su blog «Luchando por una Europa más justa«.

De su caso se ha hecho eco Avui, a través de una entrevista en la que se resume bastante bien de lo que va esta lucha por derogar la normativa que restringe los líquidos en los aviones.

Por mi parte ya dije lo que pensaba en mi artículo sobre el Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006, en el que hacía referencia a otra lucha en el mismo sentido desarrollada por Ignasi Guardans, diputado en el Parlamento Europeo.

eFactura en Santiago de Compostela

Deja un comentario

El evento de Santiago de Compostela del 14 de mayo de 2008 sobre factura electrónica en el que participo, se enmarca en la «vuelta a España» que está desarrollando ASIMELEC, junto con FENITEL  en colaboración con las organizaciones empresariales de cada provincia o comunidad autónoma y dentro de un Proyecto del Plan Avanza financiado por el Ministerio de Industria, Turismo y Comercio. La entidad encargada de organizarlo es Atenea Interactiva.

Se celebra en el Hotel Puerta del Camino 

En este momento hay más de 150 personas inscritas, entre las que se encuentran algunas de las que no pudieron acudir a las sesiones de La Coruña, Vigo y Pontevedra.

Se ha celebrado ya en varias ciudades

Hay información ampliada sobre el evento de Santiago de Compostela en el sitio de ASIMELEC

C/ Miguel Ferro Caaveiro s/n
15703 – Santiago de Compostela

Nuevo diseño en Faccil

Deja un comentario

Con el objetivo puesto en la sencillez de uso, estos dias hemos actualizado en servicio Faccil, de facturación electrónica.

Es un sistema que genera facturas electrónicas según el formato facturae 3.1 y firmas electrónicas según la norma TS 101 903, en la modalidad ES-X-L (con un certificado cualificado/reconocido específico de la plataforma emitido por ANCERT a nombre de Albalia Interactiva). Utiliza un dispositivo seguro de creación de firma (un HSM de Realsec), por lo que las firmas resultantes tienen el máximo valor legal previsto en la Ley 59/2003, y liberan al destinatario del esfuerzo de comprobación de la vigencia del certificado electrónico asociado a la firma, ya que todas las evidencias electrónicas de su validez están incluidas

Además el usuario no tiene que preocuparse de nada de lo relacionado con la tecnología y puede usarlo como un sistema de facturación convencional, dado que también permite generar facturas en papel.

No hay que instalar nada en el ordenador: se maneja con un navegador de internet. Y no hay que resolver ninguna incidencia relacionada con máquinas virtuales Java o con firmas electrónicas. Todo lo hace la plataforma de forma transparente.

Factura Electrónica y dispositivo seguro de creación de firma

1 respuesta

En el Blog «Lo que no se da… se pierde» hay un interesante artículo de junio de 2006 que no había visto, aunque me suena y con el que estoy muy de acuerdo. Aunque el blog no parece muy activo en tiempos recientes, parece muy interesante por el resto de sus artículos.

(por cierto, ya sé por qué me suena. Se trató en el Foro de las Evidencias Electrónicas http://www.evidenciaselectronicas.org/mailman/private/general/2006-June/000547.html y era un mail de Chema López que trajo también interesantes respuestas)

Lo transcribo:

Sin consideración especial a la factura electrónica, la Directiva 2001/115/CE dice que los estados no podran obligar a los emisores a firmar las facturas. Es decir, no es que las facturas en papel no se firman, es que no se deben firmar. Esto entra en contradicción con la normativa española que exige firma electrónica reconocida que, como sabemos, es equivalente a la firma manuscrita.

En cualquier caso, a pesar de que el RD 1496/2003 impone el uso de firma electrónica reconocida, la AEAT basa la aceptación de certificados no en el hecho que sean reconocidos, sino en el hecho que esten «aceptados» por la Orden HAC/1181/2003.

En el evento del año 2006 del CEN/ISSS eINVOICING WORKSHOP, se aportaban algunos argumentos interesantes:

  • En aquellos estados en que se requiera firma electrónica reconocida por la legislación nacional, esta no debe tener la consideración de acuerdo con el contenido de la factura electrónica. Sólo debe considerarse en este caso el propósito de garantia de autenticidad e integridad. Para los propositos de
    la Directiva el término «firma electrónica» debe tener el significado de «sello electrónico».
  • Dado que no debemos considerar que la firma significa acuerdo con el contenido, no hay ningún problema en que sean procesos batch los que firmen las facturas.

«derivaciones»:

1. Este tipo de prácticas generan la confusión de que la firma electrónica reconocida es algo que se puede conseguir con un certificado almacenado en un simple PC, cuando todos sabemos que la presunción legal exige el dispositivo seguro (aunque en mi opinión no es necesario que esté certificado: la certificación simplifica más la prueba, pero no resulta exigible para la firma reconocida).

2. Aunque en este Estado todos nos autosugestionemos para creer que la firma electrónica avanzada ha sido transmutada por arte de la AEAT en una firma electrónica reconocida, resulta que no lo es, y por  consiguiente tendremos  más problemas (de los que ya tenemos, quiero decir) para lograr la «libre
circulación de las firmas electrónicas».

3. Además, resulta que con esta práctica no ha liberado a las empresas de la obligación de cumplir la Ley 59/2003, por lo que el riesgo lo asumen ellas. Me explico:

  1. Una empresa quiere hacer factura telemática; ergo conforme RD 1496/2003 sabe que se encuentra obligada a emplear algo que legalmente sea «firma electrónica reconocida».
  2. Como dispone de un certificado gratuito de la FNMT-RCM, que está admitido por la AEAT, lo utiliza para facturar.
  3. En caso de duda jurídica sobre la firma electrónica producida, lo primero que encontrará es que ha elegido un instrumento que no era idóneo legalmente para cumplir la normativa, con lo cual habrá infringido la normativa tributaria.
  4. Por supuesto, la FNMT-RCM no resultará responsable, básicamente por no haberle prometido en ningún sitio que el producto suministrado era idóneo para producir firmas electrónicas reconocidas.
  5. Por fortuna, como la AEAT ha «admitido» el certificado, entonces difícilmente será sancionado por la propia AEAT, pero… ¿qué pasa si el problema legal NO es con la AEAT, sino en relación con un moroso que no paga?

¿No se puede encontrar con un juez que decida – con base suficiente, por cierto – que el instrumento no debe producir sus plenos efectos, dado que se emitió de forma incorrecta? Ciertamente es un vicio subsanable, pero seguro que podríamos haberlo hecho mejor.

SOBRETODO porque la Directiva 2001/115/CE NO exigía a los Estados Miembros imponer el requisito de la firma electrónica reconocida, porque – como todo el mundo sabe – las facturas en papel, NO SE FIRMAN.

CONCLUSIÓN: No parece haber sido una buena idea que el RD 1496/2003 imponga el uso de la firma electrónica reconocida, para después «saltarse» el requisito mediante una frase publicada en una página web, que por cierto, no tiene valor legal.

MI RECOMENDACIÓN: Emplear firma electrónica reconocida «de verdad», CON INDEPENDENCIA de lo que la AEAT considere dispositivo seguro.

4. Además, hace falta avanzar en la definición de normas y criterios en relación con los dispositivos seguros de creación de firma de funcionamiento automático en servidor (los llamados «servidores de firmas» o «portafirmas», por algunos), no sea que ahora necesitemos a los pobres humanos para introducir su PIN de firma constantemente.

De otra forma, podemos hasta conseguir lo contrario de lo perseguido con la normativa de firma electrónica; es decir, que NO SE USE.

Relacionado con la factura electrónica, me llama la atención una cosa que no sé si se ha discutido alguna vez con anterioridad. La cuestión es la siguiente:

  • En la orden HAC/1181/2003, disposición segunda, punto 1, 4o párrafo, se dice que las firmas de las facturas electrónicas deben realizarse con un «dispositivo seguro de creación de firma» (DSCF) según la legislación sobre firma electrónica: entiendo que la ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Esta ley define los requisitos de un DSCF en el artículo 24, punto 3. El artículo 27 viene a decir que es necesario pasar una certificación para que un dispositivo de creación de firma se considere DSCF y que las normas técnicas de referencia aparecerán en el diario oficial de la Unión Europea. Hasta donde yo sé, estos dispositivos deben cumplir la norma CWA-14169 (Official Journal of European Union, 15.7.2003) 
  • Hasta la fecha, que yo conozca, sólo algunos dispositivos hardware criptográficos (alguna tarjeta inteligente), cumple esta norma y desde luego, ningún módulo criptográfico sólo basada en software lo cumple.

Sin embargo, en la siguiente dirección, de la AEAT, aparece esta ‘innovadora’ definición de dispositivo seguro de creación de firma: » La AEAT aceptará dispositivos seguros de creación de firma consistentes en
aplicaciones informáticas de amplio uso, como módulos criptográficos normalizados contenidos en sistemas operativos u otro software».

Esto presenta los siguientes problemas:

  • Tenemos dos definiciones de DSCP, la que marca la ley y la que le conviene a la AEAT
  • La definición de la AEAT, en aras de facilitar la adopción de la factura-e, está perjudicando a:
    – fabricantes de tarjetas
    – prestadores de servicios de certificación posicionados en servicio de alta calidad y seguridad, cumpliendo la legislación vigente

La verdad es que no parece necesaria esta concesión que está haciendo la AEAT, pues ya existen en el mercado DSCF, cuyo coste,comparado con el ahorro que proporciona la e-factura es irrisorio.

Campaña «Ordenadores con Chipetera»

Deja un comentario

Quiero dar las gracias a Referenta por ayudarme en mi campaña «Todos los ordenadores con chipetera». He publicado en Referenta un artículo sobre la campaña: La «eñe» y la «chipetera».

Recordad la página sobre la chipetera  en la que recojo los modelos de oredenadores portátiles que incluyen lector de tarjeta chip.

 

Herramientas de interés forense

5 respuestas

He leido el artículo de Enrique Dans sobre las nuevas herramientas forenses de Microsoft, y en esta ocasión no puedo estar de acuerdo con él.

En todos los sistemas operativos se dejan rastros de actividad, en particular logs de diferentes tipos, y existen diferentes herramientas, en Windows, en Mac y en Linux para recuperar esa información que ayuda en la investigación de delitos (y, a veces en la recuperación de datos por el dueño legítimo de la máquina tras borrados accidentales).

El que haya una herramienta más no puede parecer mal a nadie. Y desde luego, no se trata de una puerta trasera.

Albalia Interactiva impulsa facturae

Deja un comentario

Albalia Interactiva, entidad especializada en soluciones de Firma y Facturación Electrónica, ha sido incluida por la Agencia Tributaria en su listado sobre desarrolladores de factura electrónica que ofrecen soporte al formato Facturae, adoptado por la Administración General del Estado (AGE) para la emisión y recepción de facturas electrónicas como estándar en todos los procedimientos administrativos.

Albalia Interactiva es uno de los ocho desarrolladores que recoge la Agencia Tributaria en su página web, por comercializar soluciones de software que permiten facturar electrónicamente utilizando Facturae. La compañía, creadora del Manual de la Factura Electrónica, es una de las principales impulsoras de la firma y la factura electrónica en España, y da soporte al formato facturae desde finales de 2007 en su plataforma Faccil.

El portfolio de productos de firma electrónica de Albalia Interactiva, en línea con las nuevas exigencias del mercado, incorpora plena compatibilidad con los estándares más recientes, como es el caso del propio Facturae y otros como UBL ,  pudiendo firmar en formatos  XAdES, CAdES y PDF. De esta manera, las herramientas de firma electrónica de Albalia Interactiva adquieren la máxima versatilidad, adaptándose a las necesidades específicas de cada organización.

“Empecé con la firma electrónica en 1991, cuando era asunto de publicaciones académicas, y llevo diecisiete años evangelizando y profetizando sobre su generalización. El pasado año 2007 ha sido verdaderamente fructífero desde el punto de vista de la producción normativa en relación con la firma electrónica, con varias leyes que obligan a su adopción generalizada. Sin embargo, merece la pena destacar el compromiso demostrado por la Administración Pública con la facturación electrónica, a través del formato Facturae, que impone la firma electrónica en formato  XAdES X-L con lo que sin duda contribuirá a la expansión de esta tecnología en España. El apoyo y fomento del Estado está ayudando a que cada vez más entidades se decidan a implantar tales sistemas, por lo que desde Albalia Interactiva, no hemos dudado en apoyar la iniciativa Facturae”, afirma Julián Inza, Presidente de Albalia Interactiva. “Hoy, con este reconocimiento por parte de la Agencia Tributaria, aspiramos a que se difundan aín más nuestras soluciones como las más avanzadas en relación con la firma y la factura electrónica, algo que ya percibimos en parte, por ser los autores del Manual de la Factura Electrónica publicado por ASIMELEC y  Red.es«.

Entre las aplicaciones del fabricante destacan las soluciones de firma electrónica Backtrust con soluciones de escritorio y de servidor tanto en java como en .net. Herramientas que se adaptan a diferentes volúmenes de documentos y que ya se utilizan en banca, pymes, grandes corporaciones y empresas de toda España. También destaca la solución SaaS (Software as a Service) Faccil que incluye soporte al formato facturae 3.1 y a la firma electrónica XAdES X-L.

Albalia Interactiva
Albalia Interactiva  es líder en consultoría de firma y factura electrónica y dispone de su propios productos de Firma Electrónica (Backtrust) y Facturación Electrónica (Faccil), además de ser la impulsora de los Servicios de Certificación, de Timestamping, Validación y Firma DSS EADTrust.  Las herramientas de Albalia  destacan por su eficiente diseño, su rápida puesta en marcha, y su elevada compatibilidad, testada en el marco de los laboratorios ETSI (XAdES Interoperability test).

Albalia participa activamente en todos los foros e iniciativas nacionales e internacionales relacionadas con la Factura Electrónica, la Certificación y la Firma Electrónica (tales como OASIS, UBL, CEN o ASIMELEC) y colabora con entidades como IBM, Microsoft,  Eurobits, DyR, Grabba, Tactel, C3PO, e Idoneum  entre otras.

Plataforma electrónica de Telefónica

1 respuesta

El lunes pasado Cinco Dias publicó un interesante artículo sobre los nuevos servicios de Telefónica.

Telefónica lanza una ofensiva para liderar el comercio electrónico de las empresas

El comercio electrónico es todavía limitado en España, pero el Gobierno ha resuelto impulsarlo con varias disposiciones normativas y Telefónica está decidida a liderar todos los procesos que afecten a grandes empresas y Administraciones públicas. La operadora ha invertido 400 millones en diseñar el primer sistema integral que permitirá validar y certificar los procesos y transacciones electrónicas.

I. Abril / MADRID (05-05-2008 )

Ha sido un año de trabajo en el equipo de servicios de seguridad para grandes clientes de Telefónica dedicado a crear un producto capaz de romper las barreras legales y de seguridad que lastran el comercio electrónico. De paso, también pretende ayudar a sus potenciales usuarios a cumplir con la legislación. Y es que el Gobierno ha impulsado varias normativas que fuerzan a las empresas de cierto tamaño y a las administraciones a poner a disposición de los clientes nuevos elementos como la factura electrónica, la contratación vía web o la creación de entornos de comercio online.

Para que eso sea posible, se necesita un desarrollo tecnológico, que en ocasiones queda lejos de las posibilidades de las afectadas. Telefónica ha detectado este nuevo nicho de mercado y acaba de finalizar una plataforma única y global que responde a las necesidades de todas las fases del proceso y que sirve para cualquier compañía o institución pública, al margen del tamaño, según aseguran fuentes de la compañía.

La inversión necesaria para llegar a este punto ha sido de 400 millones de euros y permitirá a Telefónica hacerse con un 25% del mercado en 2011, según las previsiones de la operadora.

Hay varias normativas que están intentando alentar desde el Gobierno una mayor interacción electrónica entre empresas y usuarios, pero es la Ley de Medidas de Impulso de la Sociedad de la Información, conocida como LISI, la que pone a las empresas contra las cuerdas.

Todas aquellas que tengan más de 100 trabajadores, un volumen de operaciones superior a los seis millones de euros y pertenezcan a sectores estratégicos -finanzas, agua, gas, electricidad, telecomunicaciones, grandes superficies, transportes…- están obligadas a permitir la contratación online de sus servicios o productos, a permitir la consulta de datos y a usar la factura electrónica en los contactos con el sector público, entre otros.

Lo que ha hecho Telefónica es adelantarse a sus competidores y lanzar el primer producto integral, accesible desde todo tipo de dispositivos, que permite a las empresas y administraciones adaptarse a la ley. Se trata de una plataforma que las compañías pueden incluso instalar por sí mismas en su sistema informático. Telefónica cobra una cuota por el alta, pero su verdadera fuente de ingresos será por uso, ya que facturará por cada transacción electrónica.

El sistema, denominado mediador de confianza, se ha desarrollado en colaboración con el despacho Écija Abogados, que ha actuado como socio jurídico de Telefónica para garantizar los aspectos legales que el proceso conlleva. En primer lugar, la plataforma permite identificar a los usuarios a través de cualquier certificación electrónica. El DNI electrónico es la principal, con 3,8 millones en la calle y la previsión de que se duplique el año que viene, pero hay otras. Además de identificar, el sistema da garantías de seguridad, ya que está en contacto con las distintas bases de datos, de forma que la empresa que contrata el producto puede saber si el usuario está introduciendo un número o una clave de un DNI robado, por ejemplo. Incluso puede hacer sus propias listas negras con los clientes de los que quiere estar prevenida.

En un segundo paso, la plataforma permite la firma electrónica de contratos o la contratación de productos y servicios online, de forma que bancos y aseguradoras, por ejemplo, ya no tendría que enviar al domicilio del cliente la documentación de la hipoteca, la apertura de una cuenta bancaria o el seguro para obtener su rúbrica en papel. La seguridad jurídica de la plataforma permite que, en este paso, se pida el concurso del tercero de confianza, una figura independiente que da fe del contrato y lo almacena en terreno neutral durante el plazo exigido, cinco años.

Por último, el sistema proporciona también el llamado sellado de tiempo, que garantiza tanto el momento en que se firmaron los documentos como su inalterabilidad.

España, pionera

España es uno de los países más avanzados de su entorno en identificación electrónica y en apoyo a través de leyes al comercio online. Por eso se prevé que sean varias las compañías tecnológicas y legales que sigan la estela de Telefónica con soluciones similares.

De la gran corporación a la máquina de tabaco

La plataforma que acaba de lanzar Telefónica está destinada a grandes empresas y administraciones públicas, pero nada impide su adaptación a otros campos de la vida. Eso sí, con algunos retoques.

Una de las opciones más evidentes es trasladar el sistema de identificación a las máquinas expendedoras de tabaco, por ejemplo. Telefónica todavía no tiene el producto, pero no descarta que exista en breve, ya que permitiría garantizar uno de los requisitos legales que envuelven la venta de cigarrillos.

Los dueños de los locales donde están estas máquinas están obligado a controlar la edad de los demandantes de tabaco, para evitar caiga en manos de menores. Pero esta labor es bastante complicada y podría evitarse si la máquina llevara incorporado un sistema para introducir el número de DNI electrónico y la clave. Una adaptación del sistema de Telefónica permitiría identificar al comprador y sabría inmediatamente su edad, de forma que cancelaría la venta de tabaco siempre que tuviera menos de 18 años.