Sociedad de la Información

El próximo 20 de mayo se celebra en Madrid, el II Congreso de DNIe e Identidad digital de ASIMELEC. En él se repasará el estado el arte en la implantación del Dni electrónico. El Congreso se desarrollará a través de distintas ponencias, mesas redondas y talleres prácticos donde se podrán ver las múltiples funciones del DNIe, las nuevas oportunidades de negocio que se abren, los usos que pueden hacerse a nivel empresarial, las obligaciones legales que implica, etc.

El Congreso está enmarcado bajo un contenido técnico y comercial que se caracteriza por su alto nivel de representación del mundo empresarial y de la Administración Pública. Se realizarán dos talleres específicos que acercarán conocimientos sobre perfiles de protección, el desarrollo de aplicaciones basadas en el DNI-e o la homologación y certificación de seguridad de los productos.

Leer el resto de esta entrada »

Este blog, según el subtitulo de la cabecera pretende abarcar la áreas de la Sociedad de la Información, Telecomunicaciones e Internet, Nuevas Tecnologías y Seguridad de la Información. Pero parece ser, al número de entradas me remito, que son los dos primeros temas los que más están presentes en estas páginas. Y eso que mi actividad profesional, en los últimos meses esta mas volcada a Internet y a la Seguridad de la Información.

En esta ocasión voy a relacionar algunas novedades relativas a la Seguridad y que ido enterándome, en ocasiones, por la lectura de mis blogs favoritos, o revisando correos atrasados.

Leer el resto de esta entrada »

Con el objetivo de satisfacer las crecientes demandas del mundo empresarial relacionadas con la gobierno de las tecnologías de la información, promover una gestión de buenas prácticas en la gobierno de las TI y ofrecer un reconocimiento a los profesionales calificados en el gobierno de las TI, la Asociación para la Auditoría y Control de Sistemas de Información, ISACA, ha desarrollado una nueva certificación: el Certificado de gobierno de tecnología de la información empresarial, CGEIT.

Con el respaldo del Instituto de Administración de las Tecnologías de la Información, ITGI, y basándose en los conocimientos de expertos en la materia provenientes de todo el mundo, el certificado CGEIT se centra en las cinco áreas del conocimiento del gobierno TI: alineamiento estratégico, gestión de recursos, gestión de riesgos, medición del rendimiento y oferta de valor, así como en normas que respaldan el buen gobierno de las TI (COBIT e ITIL). El certificado fue diseñado para profesionales que desempeñen un importante rol en las áreas de gestión, asesoramiento o auditoría relacionado con el gobierno de las TI y que deseen ser reconocidos por sus conocimientos y experiencia en este campo.

Leer el resto de esta entrada »

El pasado mes de mayo, se publicó la versión 4.1 de COBIT^*1, Objetivos de Control para Tecnologías de la Información y Relacionadas, que es un conjunto de mejores prácticas para en la seguridad de la Información creado por la Asociación para la Auditoría y Control de Sistemas de Información. ISACA^*2, y el Instituto de Administración de las Tecnologías de la Información, ITGI^*3. Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.

COBIT 4.1 es una actualización significativa del marco que asegura que las TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versión COBIT 4.0 del estándar.

Leer el resto de esta entrada »

Leo en DiarioTI los resultados de una encuesta informal realizada por la compañía británica Cyber Ark Software, basada en entrevistas a 200 ejecutivos TI asistentes a la feria informática InfoSec de Londres. La conclusión: Uno de cada tres empleados TI espía ilegalmente el correo electrónico, documentos, información salarial y otros datos confidenciales de sus compañeros de trabajo.

Por tanto, los administradores TI abusan de su cargo para espiar a sus propios compañeros de trabajo. De aquí la necesidad de controlar al controlador, definir controles para monitorizar su actividad y realizar las correspondientes Auditorias para comprobar la labor de los responsables de las TIC en las organizaciones.

Leer el resto de esta entrada »

El próximo 24 de Abril se va a celebrar el I Congreso sobre DNI electrónico “Autenticación y firma electrónica con el DNI-e” de ASIMELEC y que cuenta con la colaboración de RED.es y el patrocinio de varias empresas. El objetivo principal de esta jornada es impulsar el desarrollo de aplicaciones para el uso del DNI-e en el sector privado. En este sentido, diferentes ponentes presentaran iniciativas sectoriales de desarrollo de servicios con la utilización del DNI-e y se desarrollaran talleres sobre Programación.

El Congreso contará con diferentes ponencias y mesas redondas, entre otras:

• El DNI electrónico: una oportunidad de futuro.
• El DNI-e como instrumento de identificación de las personas.
• Oportunidades en torno al lanzamiento del DNI electrónico.
• La identificación digital y la contratación digital. Retos y Oportunidades.
• Adecuación Sectorial al DNI electrónico.
• El DNI digital en el avance de la e-Administración.
• Experiencias practicas de e-administración y proyectos de adecuación al DNI-e.

En la página www.iso27000.es, vienen publicando una serie de podcast dedicados a la difusión de la certificación en Seguridad y la normativa. La última entrevista se la hacen a mi buena amiga y compañera, Laura Prats Abadía, Auditora jefe de Sistemas de Gestión de Seguridad de la Información (SGSI) y responsable de producto de certificación de Applus+.

Leer el resto de esta entrada »

Sergio Hernando está publicando una serie de entradas en su blog sobre Auditoría de Sistemas UNIX. Anuncia que abordará el estudio desde el punto de vista del gestor de TI interno, es decir, analizará las labores de auditoría necesarias para calibrar la seguridad de un UNIX, sin tener en cuenta los accesos externos. Las primeras entradas van desgranando diferentes aspectos de la auditoría de estos Sistemas, aportando conociminetos que aconsejo seguir a los que estén involucrados en la gestión y la auditoría de UNIX.

Hasta la fecha ha publicado las siguientes entradas, y ha anuncia más de treinta:

Parte 1. La piedra rosetta UNIX

Parte 2. Identificación del sistema

Parte 3. El nivel de parche

Parte 4. Los permisos de los ficheros del directorio

Parte 5. Procesos en ejecución

Parte 6. Compiladores en máquinas de producción

Parte 7. Autorizaciones cron
Parte 8. Variables de entorno
Parte 9. Ficheros ocultos

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.

Para aprovechar mejor los beneficios que proporciona su uso, en un escenario ideal debería iniciarse desde las primeras etapas del desarrollo y planificación de cualquier aplicación o sistema.

Leer el resto de esta entrada »

Hace unas semanas hice referencia de un trabajo de Alejandro Corletti Estrada, ISO 27001 - Los controles (I), ahora pública para todos la segunda parte de este trabajo. Este documento es la continuación del análisis de la norma ISO-27001.

En la primera parte, desarrollo los primeros cinco grupos de controles, dejando los seis restantes para este último texto, completa la totalidad de los once controles que propone este estándar. Este análisis desarrolla los conceptos generales de este nuevo estándar de seguridad de la información. Se describe su origen y posicionamiento, y hace un resumen de las consideraciones clave del mismo.

El documento se puede obtener en la web de Datoweb en el siguiente enlace.