Microsoft ha lanzado un aviso importante sobre una vulnerabilidad que afecta a todos sus sistemas, y que podría permitir la ejecución de código arbitrario a través de aplicaciones desarrolladas por terceros que no carguen los archivos DLL de una forma segura.

El problema surge cuando uno de estos programas carga una DLL sin especificar su ruta completa, lo que permite a un atacante cargar un archivo malicioso modificando esa ruta.

Lo más grave de la vulnerabilidad, es que no puede ser solucionada en Windows porque si se establece una solución a nivel de Sistema Operativo, las aplicaciones que no carguen las librerías DLL de forma segura dejarían de funcionar, por lo que la solución correcta es que los desarrolladores actualicen sus programas para solventar la vulnerabilidad.

El número de programas que tienen el problema podría superar los 200, entre las cuales podrían estar incluidas aplicaciones desarrolladas por Microsoft, quien lo está investigando para poder solucionarlo lo más pronto posible.

Fuente: http://www.opensecurity.es/fallo-de-seguridad-permite-ejecutar-codigo-en-programas-de-windows/

Como cada segundo martes de cada mes, Microsoft ha publicado una serie de boletines que describen y dan solución a las vulnerabilidades encontradas en su gama de productos.

A continuación, se describen los boletines publicados en Junio:

MS10-033

Vulnerabilidades en la descompresión de medios podrían permitir la ejecución remota de código (979902)

Esta actualización de seguridad resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado o recibe contenido por secuencias especialmente diseñado de un sitio web o de cualquier aplicación que proporcione contenido web. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local.

Gravedad: Crítica

Solución:http://www.microsoft.com/spain/technet/security/bulletin/MS10-033.mspx

MS10-034

Actualización de seguridad acumulativa de bits de interrupción de ActiveX (980195)

Esta actualización de seguridad corrige dos vulnerabilidades que se consideran críticas para todas las ediciones compatibles de Microsoft Windows 2000, Windows XP, Windows Vista y Windows 7, y moderada para todas las ediciones compatibles de Windows Server 2003, Windows Server2008 y Windows Server 2008 R2.

Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada que ejecute un control ActiveX específico mediante Internet Explorer.

Gravedad: Crítica

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-034.mspx

MS10-035

Actualización de seguridad acumulativa para Internet Explorer (982381)

Esta actualización de seguridad resuelve cinco vulnerabilidades en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada.

Gravedad: Crítica

Solución: http://www.microsoft.com/spain/technet/security/bulletin/ms10-035.mspx

MS10-032

Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (979559)

Esta actualización de seguridad resuelve dos vulnerabilidades en los controladores en modo kernel de Windows. Las vulnerabilidades podrían permitir elevación de privilegios si un usuario consulta el contenido representado en una fuente TrueType especialmente diseñada.

Gravedad: Importante

Solución: http://www.microsoft.com/spain/technet/security/bulletin/ms10-032.mspx

MS10-036

Una vulnerabilidad en la validación COM en Microsoft Office podría permitir la ejecución remota de código (983235)

Esta actualización de seguridad crítica resuelve una vulnerabilidad en la validación COM en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Excel, Word, Visio, Publisher o PowerPoint especialmente diseñado con una versión afectada de Microsoft Office. La vulnerabilidad no puede aprovecharse automáticamente mediante el correo electrónico. Un usuario debe abrir un archivo adjunto a un mensaje de correo electrónico para que un ataque tenga éxito.

Gravedad: Importante

Solución: http://www.microsoft.com/spain/technet/security/bulletin/ms10-036.mspx

MS10-037

Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la elevación de privilegios (980218)

Esta actualización de seguridad resuelve una vulnerabilidad en el controlador OpenType CFF (Compact Font Format) de Windows. La vulnerabilidad podría permitir elevación de privilegios si un usuario consulta el contenido representado en una fuente CFF especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.

Gravedad: Importante

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-037.mspx

MS10-038

Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (2027452)

Esta actualización de seguridad resuelve catorce vulnerabilidades en Microsoft Office. Las siete vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local.

Gravedad: Importante

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-038.mspx

MS10-039

Varias Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios (2028554)

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft SharePoint. La vulnerabilidad más grave podría permitir la elevación de privilegios si un atacante convence a un usuario de un sitio de SharePoint atacado para hacer clic en un vínculo especialmente diseñado.

Gravedad: Importante

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-039.mspx

MS10-040

Una vulnerabilidad en Internet Information Services podría permitir la ejecución remota de código (982666)

Esta actualización de seguridad resuelve una vulnerabilidad en Internet Information Services (IIS). La vulnerabilidad podría permitir la ejecución remota de código si un usuario recibe una solicitud HTTP especialmente diseñada. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Criticidad: Importante

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-040.mspx

MS10-041

Una vulnerabilidad en Microsoft .NET Framework podría permitir la alteración de datos (981343)

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft .NET Framework. La vulnerabilidad podría permitir la alteración de datos en el contenido XML firmado sin que se detecte. En las aplicaciones personalizadas, la repercusión de seguridad depende del modo en que se usa el contenido firmado en la aplicación específica. Los escenarios en los que los mensajes XML firmados se transmiten a través de un canal seguro (como SSL) no están afectados por esta vulnerabilidad.

Criticidad: Importante:

Solución:http://www.microsoft.com/spain/technet/security/bulletin/ms10-041.mspx

Fuente: Microsoft Corporation

Todas las compañías aéreas incumplen algún aspecto de la normativa de contratación de vuelos a través de internet, según revela un estudio realizado por la Unión de Consumidores de España (UCE) que hoy ha presentado en Logroño su presidente, (…).

El estudio también denuncia otros incumplimientos como que la compañía no se identifique claramente o que no cumpla la Ley de Protección de Datos.

Este pretende ser un comentario crítico con las supuestas adaptaciones a la LOPD que realizan numerosas empresas (pequeñas y grandes corporaciones) Existe la creencia generalizada que con cumplir formalmente con la inscripción de ficheros y con la inclusión de cláusulas informativas, el responsable de los ficheros ya ha satisfecho el cumplimiento de la norma. Esto no es así. Es más, en algún caso hemos observado como el responsable del fichero “publicita” (página web, formularios, etc.) el cumplimiento de la LOPD y ni tan siquiera dispone del preceptivo Documento de Seguridad.

En sitios web, la situación puede llegar a resultar cómica. Por ejemplo, se han identificado titulares de sitios web que copian (literalmente) las políticas de privacidad de otros titulares y ni tan siquiera cambian los datos identificativos del responsable del fichero dónde ejercitar, por ejemplo, los derechos ARCO. Llegados a este punto, nos parece pertinente recordar que el cumplimiento de la LOPD no consiste en meras formalidades, cláusulas sin contenido (o con muchas previsiones que poco clarifican). El cumplimiento de esta norma gira en torno al consentimiento informado de los titulares de los datos (los ciudadanos) y de la transparencia de los cauces por los que “transitan” los datos personales. Estas cuestiones deben contemplarse con claridad y rigor en el Documento de Seguridad del responsable del fichero.

Áudea Seguridad de la Información

http://www.audea.com/

Los próximos 14, 15, 16 y 17 de Junio tendrá lugar en Santo Domingo un evento organizado por la Asociación de Bancos Comerciales de Republica Dominicana.

Se trata de un seminario dirigido al sector financiero para tratar temas relacionados con la seguridad de la información en dicho sector y la problemática con la que se encuentran en la actualidad.

El objetivo del mismo será analizar las amenazas y vulnerabilidades más usuales y las posibles soluciones de las que disponemos gracias a las tecnologías aplicadas a la seguridad informática, hablándose, entre otros aspectos, de los Sistemas de Gestión de la Seguridad de la Información (SGSI – ISO 27001).

Es en este aspecto dónde Áudea Seguridad de la Información, como empresa especializada en el sector, ha sido invitada por Phigitalia a formar parte del grupo de empresa que participarán en las ponencias para poner al alcance de los asistentes nuestro conocimiento y práctica en la materia como empresa especializada en el sector.

Desde Áudea agradecemos la oportunidad que se nos ha brindado de poder aportar nuestro conocimiento, fuera de nuestra frontera, en un evento de tan interesante e importante temática como es la seguridad de la información.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com

En los últimos días hemos visto como determinadas informaciones se han hecho accesibles al público con demasiada celeridad, causando en unas ocasiones estupor y en otras incluso cierta preocupación. Así, hemos asistido a la publicación de los galardonados con los premios Max, a la puesta en conocimiento público de los datos de la Encuesta de Población Activa y al dato de paro elaborado por el INE (que no era precisamente bueno). Al margen de interpretaciones más o menos preversas, como la de aquellos que aseguran que en estos “descuidos” hay siempre una mano negra con sus propios intereses en la revelación anticipada de la información, lo que debemos plantearnos es si existe el suficiente control en las organizaciones, ya sean públicas o privadas, sobre la información que se pone a disposición del público.

A la vista de los últimos acontecimientos, podría parecer que no, y lo  más probable es que así sea. Aunque pueda resultar bastante aventurado apostar, lo más probable es que las entidades que se han visto involucradas en estas últimas fechas en la publicación de información de forma imprevista, no hayan adoptado ningún estándar o marco de control sobre la información que manejan. Por ejemplo, el conocido estándar de Seguridad de la Información, ISO 27001, dispone, de entre sus 133 controles sobre la seguridad, de algunos orientados precisamente a evitar que ocurran hechos como los que comentamos. Y, fundamentalmente, se trata de algo tan sencillo como la creación de una cierta estructura organizativa y la formalización y aprobación de procedimientos que impidan la publicación “espontánea” de información sin haber pasado por las correspondientes autorizaciones. 

Manuel Díaz

Consultor de Seguridad

Áudea Seguridad de la Información

http://www.audea.com/

Se ha descubierto una vulnerabilidad que afecta a Windows SharePoint Services 3.0 y Office SharePoint 2007 que podría permitir una elevación de privilegios a través de la ejecución de una secuencia de comandos arbitraria.

La vulnerabilidad se aprovecha un parámetro que no se valida, pudiendo emplearse para introducir código malicioso mediante un ataque de Cross Site Scripting, obteniendo como resultado una URL manipulada que permite una elevación de privilegios y acceso al sitio SharePoint.

En estos momentos, Microsoft trabaja en un parche que solvente el problema.

Software afectado:

-Microsoft Office SharePoint Server 2007 Service Pack 1 and Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bit editions)

-Microsoft Office SharePoint Server 2007 Service Pack 1 and Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bit editions)

-Microsoft Windows SharePoint Services 3.0 Service Pack 1 and Microsoft Windows SharePoint Services 3.0 Service Pack 2 (32-bit editions)

-Microsoft Windows SharePoint Services 3.0 Service Pack 1 and Microsoft Windows SharePoint Services 3.0 Service Pack 2 (64-bit editions)

Más información en:

http://www.microsoft.com/technet/security/advisory/983438.mspx

Fuente: Microsoft Corporation.

El próximo 18 de Marzo de 2010, en el Salon de grados de EOI Escuela de Negocios, se celebrará la novena WhyFLOSS Conference, sobre software libre.

Tras la inauguración por Alejandro Sánchez Acosta, Director de Desarrollo de negocio en Neurowork, se analizará el fenómeno del software libre desde los puntos de vista de la Innovación Tecnológica, Empresa, Administración Pública y Negocio.

Eje Innovación Tecnológica: “Software Libre para un Sahara Libre” (Andrea Lapique, Vicepresidenta de Iniciativa Focus); “Mejoras de procesos con Open Source (ITIL)” (Victor Fernandez Gomez, Responsable del área de Almacenamiento de Grupo SIA / OpenSolaris).

Eje Empresa:”Financiación de Productos Open Source. Caso práctico: Open Licita”

(Guillermo Pastor García, CTO en Ándago Ingeniería); “Modelo de desarrollo de negocio de un producto basado en Software Libre” (José Ramón Palanco, Director de Drainware); “Minimiza TCO con Soluciones y Servicios de valor con Software Libre”(Alejandro Sánchez Acosta, Director de Desarrollo de negocio en Neurowork); “Integración y caso de éxito Alfresco y SAP” (Toni de la Fuente, Director de Sistemas en Intecna Soluciones).

Eje Administración Pública: “La Mancomunidad de la Axarquía sigue en el camino de la e-administración” (Ramón Ramón Sánchez, Responsable de administración pública en Emergya); “Migracion a Software Libre del Escritorio del Ayuntamiento de Zaragoza” (Eduardo Romero Moreno, Responsable Técnico del Ayuntamiento de Zaragoza); “Las administraciones locales ante los actuales retos tecnológicos. La visión de la Diputación de Málaga” (Fernando Marina, Jefe del Servicio de Informática en Diputación de Málaga)

Eje Negocio: “Continuidad de Negocio usando Software Libre”(José Manuel Ballester Fernández, Cátedra de Buen Gobierno Universidad Deusto); “Difusión de Software Libre mediante redes sociales” (Santiago Bonet Boldú, AIMME – Instituto Tecnológico Metalmecánico); “Modelos de negocio en torno al Software Libre. Casos prácticos en España” (Agustín Benito Bethencourt, Gerente de ASOLIF)

Fuente: www.whyfloss.com

Más de 13 millones de direcciones IP formaban parte de esta red de ordenadores infectados con un malware que los convertía en equipos “zombi”.

Los equipos “zombi” reciben órdenes por parte del atacante, pudiendo este utilizar todos los equipos de la Botnet para un propósito común (normalmente malicioso).

Los equipos infectados que formaban la Botnet se dedicaban a la obtención de datos confidenciales.

En el ordenador de uno de uno de los imputados se han encontrado datos confidenciales de unas 800.000 personas, lo que refleja la gravedad del asunto.

La Guardia Civil llevó a cabo una operación especial con ayuda de las compañías Panda y Defence Intelligence, desvelando que los imputados habían alquilado la red de equipos “zombis” a otros ciberdelincuentes. A esta red de “zombis” se la conoce con el nombre de “Mariposa”.

Las medidas contra este tipo de amenazas son las de siempre:

Prevenir la infección evitando visitar sitios web sospechosos, evitando la apertura de correos o archivos maliciosos, y estableciendo una barrera de protección software completa y actualizada en nuestros equipos informáticos.

José Francisco Lendínez

Áudea Seguridad de la Información

www.audea.com

Según el Director del FBI, Robert Mueller, algunos estados extranjeros y grupos extremistas y radicales suponen una amenaza cada vez mayor para la seguridad de los Estados Unidos. Como ejemplo, el Director del FBI citó a Al Qaeda, que si bien se vale fundamentalmente de Internet para sus labores de reclutamiento de miembros y planificación de atentados terroristas, no descarta en absoluto llevar a cabo ataques contra la red en si misma.

Según el FBI, estos grupos y estados demuestran un interés creciente por las posibilidades que brindan los conocimientos de hacking, por lo que o bien formaran sus propios miembros en técnicas de ataque avanzadas o simplemente recurrirán a los servicios de hackers a sueldo para atacar o espiar las redes gubernamentales.

Para el FBI, estos ciberataques suponen un riesgo similar al de un ataque militar convencional, y puede tener los mismos o incluso peores efectos sobre la seguridad del país.

Mueller considera asimismo que determinados gobiernos extranjeros pueden suponer una amenaza para la seguridad de la información del Gobierno de Estados Unidos, ya que estarían utilizando las posibilidades que ofrece Internet para dedicarse a labores de espionaje con fines políticos.

Manuel Díaz

Áudea Seguridad de la Información

www.audea.com

Este último semestre del año ha visto como nacía, con la participación de todas las Administraciones Públicas, el primer borrador del Esquema Nacional de Seguridad (en adelante, ENS). Lo ha hecho en forma de proyecto de Real Decreto, que será aprobado probablemente durante 2010, y cuya entrada en vigor supondrá la aparición definitiva de una normativa de obligatorio cumplimiento para todas las Administraciones Públicas en el ámbito de la Seguridad de la Información.

El Real Decreto nacerá para dar respuesta al artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, mediante el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información. Cabe destacar que el ENS está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

Respecto a su contenido, en el fondo no plantea novedades sustanciales, ya que su elaboración se ha realizado atendiendo a normativa nacional (Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica, Centro Criptológico Nacional, Sociedad de la Información), así como a la regulación de diferentes Instrumentos y Servicios de la Administración, las Directrices y Guías de la OCDE y disposiciones nacionales e internacionales sobre normalización.

Uno de los puntos más destacados del ENS es que obliga a abordar la seguridad de la información de una manera integral, en detrimento de acciones puntuales o coyunturales. Esta idea, defendida por otros estándares, como el ampliamente conocido y extendido ISO/IEC 27001, debe ser la base del cumplimiento del ENS. Tal y como podrá observar el lector conocedor de la materia, veremos durante este artículo bastantes similitudes entre este esquema y los empleados para implantar Sistemas de Gestión de Seguridad de la Información (SGSI) basados en las normas ISO/IEC 27001 e ISO/IEC 27002. Otro aspecto importante que introduce el ENS desde el punto de vista organizativo y que seguro planteará diversas dudas y discusiones en la Administraciones, será la necesidad de diferenciar las funciones “responsable del servicio” y “responsable de seguridad”, así como la formalización de un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, que será aprobado por el responsable del servicio.

El ENS está formado por cinco principios básicos:

- Seguridad Integral: La seguridad deberá tratarse como un proceso, teniendo en cuenta los recursos técnicos, humanos y organizativos, y donde se deberá hacer hincapié en la importancia de la concienciación de todos los intervinientes, tanto usuarios como responsables a todos los niveles.

- Gestión de Riesgos: El Análisis y Gestión de los Riesgos como tarea principal para el control de los mismos a través de la implantación de medidas eficaces y acordes a la naturaleza de los datos y los riesgos a los estén expuestos.

- Prevención, reacción y recuperación: Las medidas seleccionadas para tratar los riesgos, deben basarse en una combinación de medidas preventivas, detectivas y correctivas que disminuyan la posibilidad de que se materialicen las amenazas y/o minimicen los impactos una vez acontecido un incidente. Las medidas de recuperación estarán orientadas a la restauración de los servicios y la información asociada.

- Líneas de defensa: Las medidas de seguridad deben ser de naturaleza organizativa, física y lógica, lo que permitirá reforzar la seguridad para proteger cada activo.

- Reevaluación periódica: Será obligatoria la revisión de las medidas de seguridad implantadas así como su eficacia al menos con carácter bianual. Dicha revisión deberá incluir la evaluación de los riesgos.

- Función diferenciada: Se deberá garantizar la diferenciación entre el responsable del servicio y la responsabilidad de garantizar la seguridad de los sistemas de información, debiendo pertenecer a instancias separadas.

Implantación del ENS (Ciclo de Mejora Continua)

Lo primero que toda Administración deberá realizar, será la redacción de una Política de Seguridad (aprobada por el titular del órgano superior correspondiente) que contenga los cinco principios básicos, así como el compromiso de abordar la seguridad mediante al menos los siguientes requisitos mínimos:

- Organización e implantación del proceso de seguridad

- Análisis y gestión de los riesgos

- Gestión de personal

- Profesionalidad

- Autorización y control de los accesos

- Protección de las instalaciones

- Adquisición de productos

- Seguridad por defecto

- Integridad y actualización del sistema

- Protección de la información almacenada y en tránsito

- Prevención ante otros sistemas de información interconectados

- Registro de actividad

- Incidentes de seguridad

- Continuidad de la actividad

- Mejora continua del proceso de seguridad

Asimismo, cada Administración deberá justificar la aplicación o no de dichas medidas, en función de los riesgos detectados en la fase de análisis de riesgos posterior.

A continuación se deberá clasificar la información contenida en los distintos procesos administrativos, lo que permitirá establecer los criterios de clasificación y tratamiento adecuados. La clasificación de la información administrativa según el esquema es la siguiente:

- Información de Nivel Alto: Cuando el perjuicio causado sea muy grave o catastrófico.

- Información de Nivel Medio: Cuando el perjuicio ocasionado sea grave.

- Información de No Divulgable: En esta categoría se encuentra la información que no es clasificada, de nivel alto y medio, pero que tiene limitada su publicidad por disposición legal.

- Información Pública: Información transparente para todas las partes interesadas. Constituida por toda la información que no sea clasificada, dato de carácter personal o información administrativa,

A la información de carácter personal le será de aplicación, además de los requisitos según la legislación vigente, aquellos mínimos establecidos por el ENS según su clasificación administrativa.

El siguiente paso consistirá en la elaboración de un Análisis de Riesgos, teniendo en cuenta que se deberá emplear alguna metodología reconocida internacionalmente. Aunque dicha metodología en principio queda abierta, se puede comprobar que es claro el alineamiento de las medidas de seguridad (incluidas en el Anexo II) y de las dimensiones de seguridad aplicables, con las Metodologías MAGERIT / UNE 71504:2008, lo que hará que esta metodología ampliamente utilizada en la Administración Pública sea la seleccionada por la mayoría para el cumplimiento de este esquema.

Una vez evaluados los riesgos, se deberán seleccionar las medidas que los mitiguen de forma proporcionada. Para cada riesgo detectado se actuará de la siguiente forma:

- Se identificará el/los tipos de activos presentes.

- Se identificará la información manejada, su tipo y nivel.

- Se determinarán las dimensiones de seguridad relevantes (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad), según el Anexo I del ENS.

- Se determinará el nivel correspondiente a cada dimensión de seguridad según el Anexo I del ENS.

- Se determinará la categoría del sistema, como el máximo nivel de sus dimensiones de seguridad aplicables.

- Finalmente, se seleccionarán las medidas de seguridad apropiadas, según el Anexo II del ENS, que contiene el conjunto de medidas aplicables según las categorías afectadas y los niveles de seguridad de cada dimensión.

- La relación de las medidas seleccionadas se formalizará en un documento denominado “Declaración de Aplicabilidad”, que deberá ser firmado por el Responsable de Seguridad.

Las medidas de seguridad incluidas en el Anexo II del ENS están organizadas en tres grupos principales, donde cada una puede a su vez estar dividida en otras medidas más específicas:

Una vez justificadas y aplicadas las medidas de seguridad según el resultado de la evaluación de riesgos, se deberá auditar la seguridad de los sistemas de información, al menos cada dos años y comprobando los siguientes aspectos:

- Existencia de un Responsable de Seguridad con autoridad.

- Realización del Análisis de Riesgos, con su correspondiente revisión al menos anual.

- Cumplimiento de las medidas de seguridad recogidas en el Anexo II, según la Declaración de Aplicabilidad

- La existencia de un SGSI documentado y aprobado por la Dirección

La auditoría se realizará atendiendo a la categoría de cada sistema de información:

- Categoría BÁSICA: Será suficiente una autoevaluación propia o de terceros

- Categoría MEDIA o ALTA: Será necesaria la realización de una auditoría formal sobre los controles previstos en el ENS, identificando las deficiencias y proponiendo medias correctoras o complementarias necesarias. Las conclusiones del informe deberán estar basadas en hechos, datos y observaciones que deberán quedar debidamente documentados en el informe.

No cabe duda que este Real Decreto debe suponer el impulso definitivo para que las Administraciones Públicas, y por extensión Organizaciones tanto públicas como privadas, se tomen en serio la seguridad y la protección de la información, en una sociedad cada vez más dependiente de ésta y de los sistemas de información que la soportan. Es por ello que el éxito del ENS dependerá en gran parte de la exigencia y rigor que la propia Administración sea capaz de imponerse.

Antonio Martínez

Responsable Seguridad Tic

Áudea Seguridad de la Información

www.audea.com