La auditoría de la consultora de seguridad Stroz Friedberg ha emitido un informe de auditoría sobre el servicio de Google Street View, en la que se afirma que los vehículos de toma de imágenes recogían y almacenaba datos de las redes wifi desprotegidas, “descartando automáticamente las redes encriptadas”.
En las conclusiones de la auditoría, la consultora de seguridad expresa sobre el programa empleado por Google en la generación de información por Street View, que se trata de un programa que “analiza todos los datos de encabezado de la trama y lo asocia con sus coordenadas GPS para facilitar el almacenamiento y el uso en la cartografía de lugares en la red. Los datos de la estructura corporal pasan a través de la memoria y se escriben en el disco, sin analizar si el marco se envía a través de una red inalámbrica sin cifrar, y se descarta si el marco se envía a través de una red encriptada”.
Desde Google se reconoce que hubo un error en la recolección de datos de las redes inalámbricas, y que la compañía permanece a disposición de las autoridades en sus peticiones de información.
Fuente: www.elpais.com
Los próximos 14, 15, 16 y 17 de Junio tendrá lugar en Santo Domingo un evento organizado por la Asociación de Bancos Comerciales de Republica Dominicana.
Se trata de un seminario dirigido al sector financiero para tratar temas relacionados con la seguridad de la información en dicho sector y la problemática con la que se encuentran en la actualidad.
El objetivo del mismo será analizar las amenazas y vulnerabilidades más usuales y las posibles soluciones de las que disponemos gracias a las tecnologías aplicadas a la seguridad informática, hablándose, entre otros aspectos, de los Sistemas de Gestión de la Seguridad de la Información (SGSI – ISO 27001).
Es en este aspecto dónde Áudea Seguridad de la Información, como empresa especializada en el sector, ha sido invitada por Phigitalia a formar parte del grupo de empresa que participarán en las ponencias para poner al alcance de los asistentes nuestro conocimiento y práctica en la materia como empresa especializada en el sector.
Desde Áudea agradecemos la oportunidad que se nos ha brindado de poder aportar nuestro conocimiento, fuera de nuestra frontera, en un evento de tan interesante e importante temática como es la seguridad de la información.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
Según un estudio del grupo CPP, empresa internacional en productos y servicios de asistencia, el 89% de los usuarios españoles encuestados conoce y se muestra preocupado por los delitos perpetrados en la Red, pero más de la mitad, el 56%, proporciona datos personales por teléfono o Internet sin garantías de seguridad. Un 7% reconoce que incluso facilita datos bancarios.
La normativa vigente en España protege el derecho al honor, a la intimidad personal y familiar y a la propia imagen del ciudadano, y extiende al ámbito digital los preceptos ideados para regular los peligros que afectan a la protección de los datos personales. Sin embargo, el ámbito de privacidad de cada ciudadano es un coto que debe proteger el propio interesado, quien debe estar alerta para evitar posibles daños, ya que él y sólo él decide lo que considera como su propia privacidad.
En este sentido, la normativa da respuesta a algunos tipos de peligros a los que se enfrenta el usuario de chats, foros, redes sociales y mensajería instantánea: peligros que afectan a la identidad de la persona (usurpación de identidad, acoso o ciberbullying, grooming por Internet con menores de edad), así como la protección de menores contra el posible acceso no deseable a determinados contenidos publicados en la Red. En este punto resultaría oportuno señalar la falta de una efectiva protección del usuario contra la posible adicción al uso de herramientas, redes sociales, foros, chats…, que desde luego, aunque no se pueda decir que se fomenta, tampoco se evita desde los propios ISP.
En definitiva, a una normativa correcta, para conseguir la eficacia en la protección de la esfera personal en Internet, se debe sumar la concienciación del usuario sobre la importancia de cada acto individual de comunicación de sus datos personales en el preciso momento en que los introduce en un formulario, chat, foro, blog, etc., y la responsabilidad de cada usuario en el seguimiento de las medidas con que se asegura en cada plataforma la privacidad elegida para la información que comunica en Internet. Una concienciación a la que tienden los esfuerzos tanto de la Agencia Española de Protección de Datos y asociaciones y profesionales de la Seguridad de la Información, como de Áudea desde su blog corporativo, y que sólo puede redundar en beneficio de la comunidad de usuarios de la Red en España.
María Teresa Nevado
Áudea, Seguridad de la Información
http://www.audea.com/
Hace unos días, Google hizo pública una nueva aplicación web diseñada específicamente para probar las habilidades de Hacking del usuario.
El objetivo de esta aplicación es que los desarrolladores web obtengan información sobre la forma de pensar que tienen los atacantes a la hora de elaborar y llevar a cabo sus técnicas de intrusión.
El nombre de la aplicación es Jarlsberg, y en ella se pueden practicar todo tipo de ataques de Hacking Web, como puede ser: inyección de código, Cross site Scripting, SQL injection…
Se puede acceder a la guía del instructor desde el siguiente enlace:
http://code.google.com/intl/es/edu/submissions/jarlsberg/Jarlsberg_Instructor_Guide.pdf
La aplicación puede descargarse de: http://jarlsberg.appspot.com/
Áudea Seguridad de la Información
http://www.audea.com/
José Francisco Lendínez Echeverría
El equipamiento UTM, instalado con la ayuda del integrador Áudea, logra reducir los riesgos de fuga de datos.
Con el fin de garantizar la protección de la información sensible de sus pacientes, la empresa de prevención de riesgos y salud laboral Medycsa ha elaborado un completo plan de seguridad dentro del cual ha seleccionado la tecnología UTM de Netasq. Con más de 39 sedes propias –cinco en Madrid y el resto repartidas por España–, 100 “corners” –clínicas en las que trabaja personal de Medycsa– y 800 usuarios internos, la compañía ofrece un completo porfolio de servicios, muchos de los cuáles se publican on-line, por lo que se requería una actualización de su infraestructura TI en cuanto a seguridad se refiere. “La solución tenía que conseguir optimizar el uso de los recursos de TI, monitorizando su empleo; limitar las responsabilidades de la compañía en lo referido al comportamiento de los usuarios (control de contenidos); y aumentar la productividad”, explica Julián Oliveros, director de desarrollo tecnológico de Medycsa.
Solución UTM
En este contexto, la firma optó por la implementación de la solución UTM Serie U 1100 de Netasq, para hacer más sencilla la problemática de integración de distintos entornos, reducir la complejidad global de la red, e incrementar el nivel de seguridad interna, reduciendo los riesgos de fugas de información. Asimismo, el objetivo estratégico para la compañía recaía en el cumplimiento de la legislación vigente, relativa a la Ley de Protección de Datos (LOPD) y a la norma ISO 27001 de gestión de la seguridad de la información.
Para Oliveros, las claves de la elección de la solución de Netasq fueron “el alto nivel de funcionalidad que ofrece en la gestión real de amenazas, además del valor, sin coste, de la integración con Citrix y VPN SSL”, entre otras ventajas.
Despliegue
El equipamiento instalado en Medycsa, en cuya implantación ha participado el integrador Áudea Seguridad de la Información, es un clúster de equipos Netasq Serie U 1100, ubicados en el centro de proceso de datos de su sede central. La solución forma parte de un proyecto integral de implantación de un Sistema Global de Seguridad de la Información (SGSI) en el que se requieren sistemas firewall, y dispositivos de detección de intrusiones, además de una estricta gestión de riesgos.
Por otro lado, Medycsa ha asegurado su servidor web gracias al motor ASQ de Netasq que implementa protección de día cero. Así, la compañía ha puesto en marcha la gestión de QoS (calidad de servicio) contra el uso indebido de ancho de banda, garantizando el rendimiento asignado a aplicaciones de misión crítica. Como antivirus ha confiado en ClamAV, opción integrada en todos los equipos Netasq. Por último, la empresa médica se ha beneficiado de una protección completa frente a vulnerabilidades a través del sistema de gestión de riesgo Netasq Seismo.
Beneficios
En cuanto a las ventajas derivadas del proyecto, Medycsa ha identificado un incremento en el nivel de protección de sus sistemas de TI en términos cualitativos. Al parecer del director de desarrollo tecnológico de la firma, “a lo satisfactorio que ha sido el despliegue de la nueva plataforma de seguridad –orientada a mejorar la protección de la compañía–, también puede sumarse la tranquilidad e implicación que ha supuesto para los usuarios. Todo esto, además de la mejora en las oportunidades derivadas de la aplicación de esta tecnología de vanguardia, permitirá a los pacientes acceder a su historial a través de aplicaciones específicas”, comenta Oliveros. En este sentido, el servicio ofrecido (técnico, soporte y formación) ha sido otro de los pilares del proyecto.
ANATOMÍA DE UNA SOLUCIÓN
- Problema: necesidad de proteger la información sensible de los pacientes y cumplir con la normativa vigente de LOPD.
- Solución: implantación de un sistema de seguridad que incrementa el nivel de protección interna reduciendo los riesgos de fuga de la información.
- Productos: UTM Serie U 1100.
- Partner: Áudea Seguridad de la Información.
Fuente: www.revistatcn.com
Charlas de nivel técnico, jurídico y de gestión, según el perfil de los ponentes, constituyen el contenido de las tres jornadas en que consistirá el Congreso de Seguridad Informática Rooted CON, que se celebrará en el Centro de Convenciones Mapfre de Madrid (Avda. General Perón, 40) los días 18 a 20 de este mes.
La organización del congreso de seguridad Rooted CON reúne a un grupo de profesionales con más de 10 años de experiencia en el sector de la Seguridad TIC, así como expertos de reconocido prestigio, ganadores y/o finalistas de concursos nacionales e internacionales de hacking, análisis forense e ingeniería inversa, además de ponentes habituales de conferencias de seguridad.
Entre los conferenciantes, figuras relevantes de la Seguridad de la Información en España, especialistas en delitos tecnológicos y responsables de la seguridad informática de grandes empresas, como Alberto Corsín, Carlos Almeida, Fermín J. Serna o Gianluca D’Antonio, hablarán de temas como el tratamiento de APTs (Advanced Persistent Threats) con herramientas Open Source, el fenómeno ‘hacker’, el crimen informático, o la importante pregunta: ¿están las empresas preparadas para los desafíos de la Sociedad de la Información?
Fuente: www.rootedcon.es
La Unión Europea ha decidido, tras escuchar a sus consultores sobre privacidad, restringir el almacenamiento de imágenes de Google para su servicio de Street View; asimismo la UE ha recomendado a Google reducir el tiempo de almacenamiento de las imágenes, de los actuales doce meses a seis.
No es la primera vez que la UE, mediante organismos como el G29 o la Agencia Europea de Protección de Datos, advierte a Google sobre los peligros de su toma de fotografías en la vía pública pueda generar no pocas violaciones a la intimidad, ya que las fotografías se toman desde un vehículo que circula con cámara anclada al techo, y captan la imagen, no sólo de la calle y los vehículos, sino también de los viandantes o conductores, sin su consentimiento expreso.
Por su parte, Google se ha comprometido a difuminar los rostros de los mismos y las matrículas de vehículos de las fotografías tomadas en las ciudades que aparecen en Street View, alrededor de cien. Distintos gobiernos han manifestado su preocupación por esta actividad de la compañía; en Suiza Google pactó con el gobierno helvético no desarrollar Street View hasta que un tribunal dictamine si el servicio viola la privacidad. Por su parte, Alemania estudia la posibilidad de imponer a Google la obligación pedir una licencia municipal para realizar fotografías en las calles y que los vecinos tengan derecho a exigir que se eliminen imágenes con informaciones que les hagan identificables.
Fuentes: ec.europa.eu; www.elpais.com
Hace pocos años gestionábamos una cuenta de correo que pedía una contraseña, la cual podíamos cambiar las veces que se quisiera. Hoy, la cantidad de servicios en Red que piden un acceso seguro a través de contraseña pueden contarse por decenas: varias cuentas de correo electrónico, blogs, foros, redes sociales, cuentas bancarias, viajes, comercios…
Lo seguro es tratar de no repetir contraseñas, debido especialmente a que cada sitio web puede tener diferentes niveles de vulnerabilidad de cara a que éstas sean hechas públicas y también por el simple hecho de la peligrosidad que existe en tener una llave que abra todas las puertas.
Por eso, la pregunta de varios expertos es cómo llegar a la contraseña perfecta. Hay varias opciones, según puede leerse en Livescience: un inicio de sesión universal para todos los servicios que empleemos, el uso del teléfono móvil para acceder a estos, passwords basados en características físicas de su dueño, tales como patrones del iris del ojo o la voz.
Para ser eficaz, hoy en día se nos piden dos cosas principalmente: por un lado, contraseñas que mezclen todo tipo de caracteres, y por otro, que esa clave sea modificada cada poco tiempo. De igual manera, se suelen estudiar las contraseñas más empleadas, a la vez que se ofrecen recomendaciones y generadores de éstas, para los menos creativos. El problema es que lo que nos hace más fuertes (contraseñas distintas para cada servicio) también se vuelve nuestro punto débil (recordarlas todas puede llegar a ser imposible).
Un único inicio de sesión
Alrededor de nueve millones de sitios web aceptan ya un inicio de sesión único llamado OpenID. Este tipo de acceso descentralizado es apoyado desde grandes de Internet como Google, Yahoo! y la red social Facebook.
“El usuario se autentica con un sólo proveedor, evitando la dispersión actual en Internet”, explica Brian Kissel, CEO de JanRain y presidente de la Fundación OpenID.
Existen críticos con este tipo de inicio de sesión, que argumentan que si un sitio es más vulnerable a un ataque puede provocar que la contraseña ‘universal’ caiga en manos de otras personas.
Con el teléfono móvil
Bob Bakley, del grupo de investigación Burton, ve el futuro de las contraseñas muy cerca de los móviles. Piensa que el inicio de sesión único se hará a través del teléfono móvil.
“Los móviles podrían actuar como claves para entrar en nuestro ordenador y a los servicios a los que nos conectemos, sin necesidad de otras contraseñas adicionales”, explicaba Bakley a TechNewsDaily recientemente, a la vez que añadía que el mismo dispositivo móvil detectaría si alguien ha accedido a nuestra clave.
Contraseñas biométricas
A través de características físicas propias del individuo, tales como rasgos del iris, huellas dactilares, patrones de voz…
Sus promotores la defienden del resto propuestas asegurando que su índice de error no supera el 1% en ningún caso (el reconocimiento de huellas dactilares en un portátil, por ejemplo), algo de lo que se aprovechan sus detractores, quienes argumentan que la identificación biométrica no es nunca una identificación 100% personal. También señalan que las condiciones que rodean (ambientales o de salud) al sujeto puede ofrecer problemas en este campo.
Fuente: www.20minutos.es
El Boletín Oficial del Estado del pasado Viernes 29 de Enero recoge la publicación del Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Esta norma surge por mandato del artículo 42 de la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Dicho artículo establecía la previsión de dos esquemas: por un lado, el Esquema Nacional de Interoperabilidad, y por otro, el que hoy comentamos: el esperado Esquema Nacional de Seguridad.
Como el propio artículo 42 de la citada Ley señalaba, el Esquema Nacional de Seguridad “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información”.
Estamos por tanto ante una regulación que resulta de obligado cumplimiento para las Administraciones Públicas y que supone una auténtica toma de conciencia en nuestro país acerca de la importancia que, también y en este caso para la Administración, tiene o debe tener la Seguridad de la Información.
Según recoge la exposición de motivos del Real Decreto que aprueba el Esquema Nacional de Seguridad, su articulación se ha visto inspirada por diversas normas en materia de administración electrónica y otras normativas, entre las que se encuentran la ya citada Ley 11/2007; la Ley 15/1999, de Protección de Datos de Carácter Personal; la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y la Ley 32/2007, sobre reutilización de la información del sector público.
Es de destacar asimismo que en la elaboración del Esquema Nacional de Seguridad también se han tenido muy presentes los Criterios de Seguridad, Normalización y Conservación, las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones, la Metodología y herramientas de análisis y gestión de riesgos o el comentado Esquema Nacional de Interoperabilidad.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
Por segundo año consecutivo, ISO Survey, la publicación de la International Organization for Standardization (ISO), recoge en su edición de 2007 las estadísticas relativas al número de certificados ISO/IEC 27001:2005 en todo el mundo.
Es de destacar que ISO Survey viene publicándose desde 1993, pero, como decimos, sólo desde hace dos años incluye datos sobre la certificación en ISO 27001:2005 Information technology – Security techniques – Information Security Management Systems – Requirements.
Esta inclusión no es más que el reflejo de un notable avance en grado de implantación a nivel mundial por parte del estándar que fija los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Es ya inestimable la importancia que para las Organizaciones tiene la certificación ISO 27001 tiene a la hora de mejorar sus procesos y resultados, y la ventaja competitiva que supone frente a las empresas que todavía no han dado el paso.
Tal avance no es comparable al de los dos “clásicos” del ISO Survey: ISO 9001 e ISO 14001, conocidos estándares de gestión de Calidad y Medio Ambiente, respectivamente. Si bien es frecuente encontrar sistemas de gestión de Calidad y Medio Ambiente conviviendo en un único Sistema de Gestión Integrado (SGI), no lo es tanto (aunque cada vez lo es más) ver un Sistema de Gestión de la Calidad integrado con un SGSI.
Y yendo aún más allá, ya hay empresas que, disponiendo de un Sistema de Gestión Integrado de Calidad y Medio Ambiente, se plantean lo que podríamos denominar “integración total”: un Sistema de Gestión Integrado de Calidad, Medio Ambiente y Seguridad de la Información.
Hoy no vamos a tratar la implantación integrada de los tres estándares en un único sistema, sino la extensión de un sistema existente de Gestión de la Calidad para su cumplimiento con ISO 27001, o en otras palabras, la creación de un Sistema de Gestión Integrado de Calidad y de Seguridad de la Información (en adelante, SGI).
Comenzaremos por decir, aunque es de sobra conocido, que la integración de ambos sistemas viene facilitada por el hecho de que tanto 9001 como 27001 se basan en el ciclo de Deming o modelo PDCA (Plan, Do, Check, Act) aplicado a los procesos del propio Sistema. Asimismo, ambas normas regulan los requisitos de un sistema que está orientado a los procesos de negocio de cada Organización.
La propia ISO/IEC 27001 nos aclara que si una organización tiene implantado 9001 ó 14001 “es preferible cumplir los requisitos de esta norma internacional dentro del sistema de gestión existente.”
Vamos a ver hasta que punto la recomendación de la Norma es cierta o no. A pesar de que puedan existir ciertas Organizaciones en las que por motivos específicos se prefiera llevar la gestión de la Calidad de forma separada a la gestión de la Seguridad de la Información, no hay duda de que seguir la citada recomendación nos puede aportar innumerables ventajas (y ahorrarnos algo de trabajo también). Entre esas ventajas, sin duda las más valoradas por las empresas son el evitar duplicidades innecesarias y la mejora de la eficiencia en toda la Organización, con el consiguiente ahorro de costes que supone.
Manos a la obra: una aproximación somera
De lo primero que nos daremos cuenta a la hora de comenzar a integrar ambos sistemas es de las enormes coincidencias en todo lo referido a lo que es el propio Sistema de Gestión en sí: requisitos generales, requisitos de documentación, responsabilidad de la Dirección, gestión de recursos, auditorías internas, revisión por la Dirección y mejora del Sistema.
1) El primer paso será, como no, modificar el documento de alcance de nuestro Sistema de Calidad, que ahora incluirá también aquellos procesos de negocio que queramos certificar bajo ISO 27001 por tener especial trascendencia en ellos la Seguridad de la Información. El nuevo alcance no tiene por qué coincidir con el ya establecido para Calidad, y lo normal es que no coincidan, si bien esto depende de cada Organización y fundamentalmente de la amplitud de su objeto social.
2) A continuación deberemos modificar nuestra Declaración de Política de Calidad, haciéndola extensiva a la Seguridad de la Información y a los objetivos concretos de seguridad que nos marquemos como Organización.
3) Lo siguiente será aprovechar la estructura organizativa de la que disponíamos en nuestro Sistema de Calidad, para que gestione también la Seguridad de la Información. Ya empieza a ser habitual que las Organizaciones se doten de Responsables y/o Comités de Calidad y Seguridad.
4) Por último, nos centraremos en aquellos procedimientos de Calidad cuyo objeto y alcance vamos a ampliar para cumplir de manera unificada con los requisitos que comparten 9001 y 27001:
Otras ventajas de la integración: gestión unificada del cumplimiento legal y regulatorio
No queremos terminar esta aproximación a los Sistemas Integrados de Calidad y Seguridad sin hacer mención a otra indiscutible ventaja que nos proporcionará nuestro SGI. No es otra que la de poder gestionar de manera centralizada los numerosos requisitos legales y regulatorios con los que tienen que cumplir las Organizaciones en la actualidad.
En concreto en España, el caso más claro es el de la Ley Orgánica de Protección de Datos y su “nuevo” Reglamento de Desarrollo, sin olvidarnos de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Cumplir con estos tres cuerpos normativos requiere la dotación de unos recursos y la implantación de una cierta estructura organizativa para poder llevar a buen término el cumplimiento, de manera constante y permanente. Sólo de esta forma estaremos a salvo de sorpresas desagradables, normalmente en forma de elevadas sanciones económicas. Más allá de las citadas normas, el SGI nos permitirá cumplir con normativas como Sarbanes Oxley, Basilea II, etc.
Y todo ello, desde un único Sistema de Gestión. Interesante ¿no?
Manuel Díaz Sampedro
Áudea Seguridad de la Información
