lunes, 26 de noviembre de 2012

Los delitos informáticos en las Organizaciones

El pasado jueves, 22 de noviembre, ATI (Asociación de Técnicos de Informática) organizó un nuevo encuentro Picnic4Working contando, en esta ocasión, con la colaboración de la ACPJT (Asociación Catalana de Peritos Judiciales Tecnológicos).


La sesión, bajo el título "Los delitos informáticos en las organizaciones" contó con los siguientes ponentes:
Desde la perspectiva de la empresa, de un experto en seguridad, o de un perito judicial, cada uno de ellos aportó su visión sobre la seguridad y los delitos informáticos.

En su intervención, el abogado Juan Núñez destacó que la principal preocupación de un empresario es dar servicio a los clientes de una forma rápida y eficaz para obtener la máxima rentabilidad en su negocio.  Así, en la empresa actual, donde los procesos de negocio dependen de los sistemas informáticos, éstos son considerados como un "coste necesario".  Para un empresario, la seguridad debería ser algo intrínseco a la informática y sus preocupaciones en este sentido vienen por el temor a perder datos, a no tener acceso a los mismos, a la pérdida de confidencialidad, o a la manipulación indebida, lo que, en la mayoría de casos, le impediría prestar sus servicios a los clientes.

Si el abogado nos habló de lo que preocupa a la empresa, el experto en seguridad Miguel Santander, nos habló de lo que debería preocupar a la empresa.  Según sus palabras "Para una empresa el sistema de información representa su valor, es lo esencial que hay que proteger.  Si se compromete esto, la empresa estará comprometida".  El ponente hizo un muy buen resumen sobre conceptos clave en seguridad informática: tipos de amenazas, clasificación de incidentes informáticos, vulnerabilidades, errores comunes, medidas de prevención, etc. todo acompañado de interesantes ejemplos.  A modo de conclusión, destacar la idea de "entender la seguridad como un proceso".


Finalmente, el périto judicial Rafael López Rivera, aportó un punto de vista intermedio entre la empresa -que se preocupa por su negocio- y el que pretende obtener los datos de esa empresa.  Cuando se produce un incidente de seguridad, se genera un conflicto entre el empresario, que quiere continuar trabajando, sin para ningún equipo, y el Responsable de Seguridad que necesita hacerse cargo de la situación para recopilar las evidencias.

El papel del perito judicial es, precisamente, recoger las evidencias cuando se ha cometido una intrusión o un incidente de seguridad que requiera de un análisis forenseRafael López explicó con detalle las fases de una actuación pericial de campo, haciendo hincapié en mantener en todo momento la cadena de custodia, de principio a fin, empezando por "no tocar nada si no tengo autorización para ello" y siendo muy meticulosos en seguir adecuadamente todos los procedimientos.

Tras las intervenciones de los ponentes, se inició un interesante debate entre los asistentes en el que se destacó que en la mayoría de empresas no hay una "cultura de la seguridad".  Aunque, sin duda, es esencial formar y concienciar a los usuarios en cuestiones de seguridad, más importante es que esta concienciación empiece en los niveles más altos del organigrama de la compañía, de donde debería partir el compromiso por la seguridad de los sistemas de información.

Como todo Picnic4Working, el debate continuó en el refrigerio posterior, donde de una forma distendida pudimos comentar con los ponentes y aprovechar para realizar networking con el resto de asistentes.
 
Pulsa aquí para ver la agenda del encuentro: http://www.ati.es/spip.php?article2238

martes, 20 de noviembre de 2012

Opinión del Supervisor Europeo de Protección de Datos sobre Cloud Computing

El 27 de septiembre, la Comisión Europea publicó el Informe "Liberar el potencial  de la computación en la nube en Europa" [sic] (Unleashing the Potential of Cloud Computing in Europe) donde se expone la estrategia de la Comisión para acelerar e incrementar el uso del cloud computing en Europa.

Como respuesta a este informe el Supervisor Europeo de Protección de Datos (EDPS), por iniciativa propia, acaba de publicar una Opinión sobre la relación entre el cloud computing y la protección de datos personales, aunque no se limita exclusivamente al contenido del citado Informe.  Conviene recordar que la Comisión consultó "informalmente" al EDPS antes de publicar el Informe y que algunos de esos comentarios "informales" fueron tomados en consideración en el Informe final.
(Enlaces a los documentos al final del post)

La Opinión se centra en tres aspectos principales:
  • Destacar la importancia de la privacidad y la protección de datos en las iniciativas actuales de entornos en la nube (en particular, que el nivel de protección en la nube no debe ser inferior al que le correspondería en cualquier otro contexto de tratamiento de datos).
  • Los retos que derivan para determinar sin ambigüedades las responsabilidades que corresponden a cada una de las partes implicadas.
  • Identificar que acciones serán necesarias, por parte de los estamentos europeos, para dar apoyo al despliegue de los servicios en la nube en Europa (guías, estándares, certificaciones, modelos contractuales, etc).

jueves, 8 de noviembre de 2012

Mes Europeo de la Ciberseguridad



Durante este mes de octubre se ha llevado a cabo la campaña "Mes Europeo de la Seguridad Cibernética" organizada por la Comisión Europea, en sincronía con el National Cyber Security Awareness Month que desde 2004 se organiza cada octubre en Estados Unidos.

ENISA (European Network and Information Security Agency) ha puesto a disposición de los Estados Miembros y de los ciudadanos diverso material de apoyo con fines educativos y de concienciación: publicaciones, videoclips, posters, material gráfico, etc. disponible para su descarga gratuíta en la web: http://www.enisa.europa.eu/activities/cert/security-month/material

Con esta campaña se pretende que los ciudadanos tomen conciencia acerca de la importancia de la seguridad de la información, proporcionando unos simples consejos que les ayuden a proteger sus datos, ya sean personales, financieros o profesionales.  Concienciar y promover hábitos seguros han sido los principales objetivos de la campaña.


En España, INTECO (Instituto Nacional de Tecnologías de la Comunicación) es quien coordina los actos de esta campaña, que tuvo uno de sus grandes momentos en la celebración de la sexta edición de ENISE  (Encuentro Internacional de Seguridad de la Información) que, un año más, reunió a "profesionales del mundo de la seguridad, instituciones y administraciones públicas para debatir sobre los retos más importantes que afronta en la actualidad el sector de la ciberseguridad".