Monthly Archives: noviembre 2007

Jornadas Seguridad de la Información ISO 27001

Posted by admin on noviembre 21, 2007 None comments

La Escuela Superior de Informática de Ciudad Real (UCLM) junto con la consultora Audisec y la certificadora SGS van a organizar el 12 de Diciembre una jornada de Seguridad de la información con el tí­tulo:

Éxito en la implantación y certificación de la norma ISO 27001 en PYMES

9.30: Bienvenida

9.45: Presentación de la jornada

10.00: Implantación ISO 27001:

- Implantación propia

- Servicio a otras empresas

10.45: Pausa “ café. Desayuno continental

11.00: Claves de éxito para la certificación acreditada

11.45: Coloquio y preguntas

12.30: Cierre

12.45: Vino español

Se trata de un evento muy interesante para todas aquellas empresas interesadas en acometer el proceso de certificación bajo la ISO 27001. Se expondrán las claves de implantación, ventajas para las pymes certificadas, etc…

Para cualquier duda sobre el evento, consulta o apuntarse (gratis) para asistir, mandar un correo a info@audisec.es

Formación y Concienciación en Seguridad de la Información

Posted by admin on noviembre 14, 2007 None comments

En los tiempos que corren no hay empresa (salvo casos particulares de pequeño comercio) que se precie que no use algún tipo de sistema de la información. Hemos sido “invadidos” por las nuevas tecnologías en cuestión de 10 años sin apenas darnos ni cuenta, imponiendo a muchas personas el uso de herramientas que desconocen. Me pongo en el ejemplo de un empleado de una oficina que antes usaba una máquina de escribir para hacer su trabajo y que luego guardaba todos sus documentos en papel en algún rincón de la oficina. Ahora su situación ha cambiado: tiene un ordenador con conexión a internet, tiene correo electrónico, navega por internet y guarda sus documentos más importantes dentro del disco duro del ordenador, pero nadie le ha contado qué es eso de los virus, los troyanos, las actualizaciones de seguridad, el spam, el phishing, la ingeniería social, etc etc etc…¿Problemas?, muchos:

  • Desconocimiento del usuario de las principales amenzas que “corren” por la red
  • Falta de formación en las nuevas tecnologías para hacer un correcto uso de las mismas
  • Falta de concienciación en seguridad de la información
  • Ignorancia de las consecuencias que puede tener para él y para su empresa la materialización de alguna de las amenazas
  • Desconocimiento del riesgo que se sufre internamente en las empresas y los problemas de seguridad que podría ocasionar: empleados descontentos, demasiada ambición por crecer en la empresa, problemas personales con otros empleados, envidias, …

Por todo esto se hace indispensable darle a nuestros empleados y usuarios de nuestros sistemas la formación necesaria para que cuando una de estas amenazas se materialice sepan cómo reaccionar.

El primer muro defensivo ante los nuevos riesgos tecnológicos somos nosotros mismos. Si conocemos el problema sabremos cómo solucionarlo, o al menos identificaremos que se trata de una amenaza y que tenemos que avisar al responsable de seguridad.

El otro factor importantísimo es la concienciación, que no es lo mismo que la formación: es más peligroso un usuario sin concienciación que un usuario sin formación. Ejemplo más vistoso: es más peligroso un conductor experto sin concienciación a la hora de llevar una conducción responsable ( y que ponga en peligro no sólo su vida si no las de los demás conductores) que un novato con la “L” que aunque no tiene mucha pericia al volante sabe de los riesgos que hay en la carretera y conduce de forma adecuada. En la informática pasa lo mismo: es más peligroso un usuario con conocimientos informáticos pero que no tiene ninguna prudencia en el uso de su equipo que un usuario sin conocimientos que es consciente de los peligros que acechan al otro lado del monitor.

Para poder acometer con garantías un plan de concienciación hay que tener en cuenta el público al que va dirigido, las circunstancias de la empresa en la que se va a implementar el plan, sucesos de seguridad anteriores que nos valdrán como ejemplo, hablar de medidas se seguridad básicas para usuarios, etc.

Hay muchas documentación al respecto en internet, por ejemplo un documento de ENISA sobre cómo elaborar planes de formación y concienciación, y del que ya hablamos aquí un día.

Ingenieros de Primera

Posted by admin on noviembre 9, 2007 None comments

Solo pedimos que nuestra profesión se regule, se evite el intrusismo, se reconozca nuestra titulación, y en definitiva, se nos trate como lo que somos, INGENIEROS.

Este año las matrículas en ingeniería informática han caído un 50% a nivel nacional debido sobretodo a los bajos sueldos y al poco reconocimiento social que obtenemos los ingenieros en informática. Si eres arquitecto eres una máquina, si eres ingeniero industrial eres un fiera, si eres ingeniero químico eres la leche, si eres ingeniero de teleco eres un hacha, …, pero si eres ingeniero informático lo único que sabes es abrir ordenadores y arreglarle el pc a tu amigo/primo/conocido, y de ingeniero nada, eres informático. Este es el problema, el poco reconocimiento social que tenemos y las consecuencias que ello conlleva. Y todo eso por no hablar del intrusismo laboral que sufrimos: yo aún no he visto a un albañil (con todos mis respetos) diseñando los planos de una casa, pero si he visto a informáticos (no ingenieros) diseñando los “planos” de un proyecto. Cierto es que hay gente sin la titulación que posee los conocimientos necesarios para ello, pero si no hay regulación cualquiera podrá hacer cosas para las que no está capacitado.

Pero no pasa nada, que las matrículas en ingeniería informática (todo lo que digo para ingenería informática vale para las ingenierías técnicas en informática) sigan cayendo, a ver si nos quedamos sin informáticos…

Gran post de Javier Cao

Page Rank de Google

Posted by admin on noviembre 7, 2007 None comments

Desde hace unos días el blog está recibiendo un gran número de visitas, y prueba de ello es que a día de hoy aparece con un valor 2 en el page rank de google. Gracias a todos los que habéis entrado :)


Desarrollo seguro de aplicaciones

Posted by admin on noviembre 5, 2007 None comments

Hace unos meses que publicaron en Kernelpanik labs (buen nombre donde los haya) un documento que a lo largo de 41 páginas nos cuenta cómo desarrollar aplicaciones de forma segura. (El enlace de descarga es a Kriptópolis, donde también hablaron sobre el tema. Gracias JMG) Desde luego es un punto de referencia para aquellos que estén interesados en el tema.

Más enlaces:

ISO 27001 y la ley de protección de datos

Posted by admin on noviembre 5, 2007 None comments

En el Anexo A de la norma encontramos la sección A.15.1 “Cumplimiento con requerimientos legales”…¿A qué se refiere con esto?, ni más ni menos que a cumplir con la ley orgánica de protección datos (LOPD) entre otras.

Hay más leyes que cumplir, como por ejemplo la LSSI, pero vamos a centrarnos en la LOPD, que poco a poco se va implantando en las empresas y por ello vamos a ver qué ventajas nos aporta de cara a la 27001 encontrarnos con una empresa adecuada a dicha ley.

Lo primero de todo es que ya tenemos un punto de la norma cubierto, y nos evitamos abordar nosotros el proceso. Veamos ahora ventajas “indirectas”:

  • Algunas medidas de seguridad ya habrán sido implantadas
    • Antivirus
    • Controles de acceso lógico
    • Cifrado (si fuese necesario)
    • Copias de seguridad
    • etc…
  • Veremos cierta concienciación entre los empleados
  • Tendremos registros del sistema
  • Adopción de medidas de seguridad organizativas
  • Saben de qué va el tema de la seguridad de la información, aunque sea en menor medidas que alguien que ya tiene la 27001

En general, el trabajo de implantación de la ISO 27001 será más fácil de sobrellevar si la empresa a la que le prestamos el servicio ya está adecuada a la LOPD.