El Esquema Nacional de Seguridad se publica en el BOE

Se ha publicado en el Boletín Oficial de Estado, BOE, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ver entrada anterior: El Consejo de Ministros aprueba los Esquemas nacionales de interoperabilidad y de seguridad para la administración electrónica.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Este real decreto establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio. Con ello, se logra un común denominador normativo, que no agota la regulación de más objetivos  de seguridad, aparte de estos básicos, por políticas legislativas que se adopten en el futuro a nivel territorial.

Sigue leyendo

Anuncios

Se convoca el II Congreso de DNIe e Identidad digital de ASIMELEC.

El próximo 20 de mayo se celebra en Madrid, el II Congreso de DNIe e Identidad digital de ASIMELEC. En él se repasará el estado el arte en la implantación del Dni electrónico. El Congreso se desarrollará a través de distintas ponencias, mesas redondas y talleres prácticos donde se podrán ver las múltiples funciones del DNIe, las nuevas oportunidades de negocio que se abren, los usos que pueden hacerse a nivel empresarial, las obligaciones legales que implica, etc.

El Congreso está enmarcado bajo un contenido técnico y comercial que se caracteriza por su alto nivel de representación del mundo empresarial y de la Administración Pública. Se realizarán dos talleres específicos que acercarán conocimientos sobre perfiles de protección, el desarrollo de aplicaciones basadas en el DNI-e o la homologación y certificación de seguridad de los productos.

Sigue leyendo

Documentos y novedades sobre Seguridad de la Información.

Este blog, según el subtitulo de la cabecera pretende abarcar la áreas de la Sociedad de la Información, Telecomunicaciones e Internet, Nuevas Tecnologías y Seguridad de la Información. Pero parece ser, al número de entradas me remito, que son los dos primeros temas los que más están presentes en estas páginas. Y eso que mi actividad profesional, en los últimos meses esta mas volcada a Internet y a la Seguridad de la Información.

En esta ocasión voy a relacionar algunas novedades relativas a la Seguridad y que ido enterándome, en ocasiones, por la lectura de mis blogs favoritos, o revisando correos atrasados.

Sigue leyendo

ISACA promueve una nueva certificación para los profesionales de la Seguridad.

Con el objetivo de satisfacer las crecientes demandas del mundo empresarial relacionadas con la gobierno de las tecnologías de la información, promover una gestión de buenas prácticas en la gobierno de las TI y ofrecer un reconocimiento a los profesionales calificados en el gobierno de las TI, la Asociación para la Auditoría y Control de Sistemas de Información, ISACA, ha desarrollado una nueva certificación: el Certificado de gobierno de tecnología de la información empresarial, CGEIT.

Con el respaldo del Instituto de Administración de las Tecnologías de la Información, ITGI, y basándose en los conocimientos de expertos en la materia provenientes de todo el mundo, el certificado CGEIT se centra en las cinco áreas del conocimiento del gobierno TI: alineamiento estratégico, gestión de recursos, gestión de riesgos, medición del rendimiento y oferta de valor, así como en normas que respaldan el buen gobierno de las TI (COBIT e ITIL). El certificado fue diseñado para profesionales que desempeñen un importante rol en las áreas de gestión, asesoramiento o auditoría relacionado con el gobierno de las TI y que deseen ser reconocidos por sus conocimientos y experiencia en este campo.

Sigue leyendo

El Marco de Trabajo de COBIT.

El pasado mes de mayo, se publicó la versión 4.1 de COBIT*1, Objetivos de Control para Tecnologías de la Información y Relacionadas, que es un conjunto de mejores prácticas para en la seguridad de la Información creado por la Asociación para la Auditoría y Control de Sistemas de Información. ISACA*2, y el Instituto de Administración de las Tecnologías de la Información, ITGI*3. Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.

COBIT 4.1 es una actualización significativa del marco que asegura que las TI estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versión COBIT 4.0 del estándar.

Sigue leyendo

¿Los empleados TI espían a sus compañeros de trabajo?

Leo en DiarioTI los resultados de una encuesta informal realizada por la compañía británica Cyber Ark Software, basada en entrevistas a 200 ejecutivos TI asistentes a la feria informática InfoSec de Londres. La conclusión: Uno de cada tres empleados TI espía ilegalmente el correo electrónico, documentos, información salarial y otros datos confidenciales de sus compañeros de trabajo.

Por tanto, los administradores TI abusan de su cargo para espiar a sus propios compañeros de trabajo. De aquí la necesidad de controlar al controlador, definir controles para monitorizar su actividad y realizar las correspondientes Auditorias para comprobar la labor de los responsables de las TIC en las organizaciones.

Sigue leyendo

Congreso sobre DNI electrónico de ASIMELEC.

El próximo 24 de Abril se va a celebrar el I Congreso sobre DNI electrónico “Autenticación y firma electrónica con el DNI-e” de ASIMELEC y que cuenta con la colaboración de RED.es y el patrocinio de varias empresas. El objetivo principal de esta jornada es impulsar el desarrollo de aplicaciones para el uso del DNI-e en el sector privado. En este sentido, diferentes ponentes presentaran iniciativas sectoriales de desarrollo de servicios con la utilización del DNI-e y se desarrollaran talleres sobre Programación.

El Congreso contará con diferentes ponencias y mesas redondas, entre otras:

  • El DNI electrónico: una oportunidad de futuro.
  • El DNI-e como instrumento de identificación de las personas.
  • Oportunidades en torno al lanzamiento del DNI electrónico.
  • La identificación digital y la contratación digital. Retos y Oportunidades.
  • Adecuación Sectorial al DNI electrónico.
  • El DNI digital en el avance de la e-Administración.
  • Experiencias practicas de e-administración y proyectos de adecuación al DNI-e.

Podcast sobre certificación de Seguridad.

En la página www.iso27000.es, vienen publicando una serie de podcast dedicados a la difusión de la certificación en Seguridad y la normativa. La última entrevista se la hacen a mi buena amiga y compañera, Laura Prats Abadía, Auditora jefe de Sistemas de Gestión de Seguridad de la Información (SGSI) y responsable de producto de certificación de Applus+.

Sigue leyendo