Así pues, buscar aplicaciones en modo servicio para su ejecución en la nube, es ahora bastante más fácil. Cuando menos, ahroa disponemos de un lugar donde empezar a buscar y comparar entre las posibles opciones disponibles.

A día de hoy ya se han indexado 61 aplicaciones SaaS organizadas en 11 áreas funcionales, e.g. ERP, CRM, Contabilidad, Tienda Online, Gestión de Proyectos, Facturación, E-learning, Nóminas, Backup, Business Intelligence, etc.

Es interesante ver cómo hay desde aplicaciones bastante conocidas hasta otras incipientes, grauitas o con licencia de pago, etc. Estamos seguros de que el número de aplicaciones indexadas crecerá rápidamente y el SaaSómetro podría convertirse en una referencia a la hora de buscar una aplicación en la nube.

En este caso se trata de una web que recopila aplicaciones de software libre. Está realizada por la Junta de la Comunidad de Castilla-La Mancha, a través del Centro de Excelencia de Software Libre de Castilla la-Mancha (CESLCAM).

La web recopila unas treinta aplicaciones libres adecuadas para el uso por parte de pymes y autónomos clasificadas en secciones fácilmente comprensibles para el usuario final, incluyendo instrucciones de instalación, manuales, etc. La mayoría están disponibles para varias plataformas o funcionan bajo entorno web con lo que son independientes del sistema operativo.

Estas aplicaciones permiten a las empresas no gastar dinero en licencias de software, si bien eso no excluye que sea necesario recurrir a algún proveedor especializado en la implantación en algún caso.

Las webs que recopilan software libre no son novedad, así que cabe citar otros repositorios similares como el proyecto OpenPYME de la Universidad de la Laguna orientado a Pymes, o el repositorio de propósito general Freealts que recoge un buen catálogo de alternativas libres a aplicaciones con licencia comercial.

El objetivo es crear una web que dará a conocer las diferentes posibilidades que ofrece el mercado en aplicaciones software vía Internet (SaaS, Cloud, etc.) para la empresas. La idea surge debido a poca información disponible y sobretodo a que, la que hay, está muy dispersa.

El blog del EOI ofrece la posibilidad de registrar aplicaciones para su estudio y catalogación y, a juzgar por el detalle de los formularios disponibles para cada categoría, los resultados prometen. Actualmente las categorías que se están teniendo en cuenta incluyen por ejemplo: ERP, CRM, contabilidad, facturación, e-business, gestión de proyectos, copia de seguridad, etc.

Si bien ya existen otras iniciativas parecidas como www.portalsaas.com que indexan aplicaciones SaaS y pueden servir como catálogo , la inicitaiva del EOI aporta mucho más detalle que permitirá al usuario final desarrollar mejor su propio criterio de elección.

El estudio debería ver la luz en la primera quincena de abril, así que habrá que estar atentos.

El uso de las TIC es un factor clave en el proceso de mejora de la productividad y  competitividad y es evidente que para mejorar el valor añadido de los sectores industriales, es preciso potenciar un uso extensivo y universalizado de las TIC en todos los ámbitos. Con este objetivo, durante los últimos años se han dedicado muchos esfuerzos a concienciar a los diferentes agentes económicos de la relevancia del uso de las TIC como factor clave en el proceso de mejora de la competitividad de nuestro país, objetivo principal del plan PIMESTIC.

El plan cuenta con más de 800 agentes colaboradores repartidos por todo el territorio (pymes, patronales, asociaciones empresariales, empresas del sector TIC y administraciones públicas). Sobre un total de 9,5 M € dedicados a ayudas para la implementación de proyectos TIC, se ha generado una inversión de 66,5 M €. Respecto al servicio de orientación (que ha sido solicitado por cerca de 1200 empresas), con una inversión realizada de 400.000 €, se ha generado una inversión inducida de cerca de 5 M € en el conjunto de empresas que se han acogido, multiplicando así por más de 12 la inversión efectuada por el plan PIMESTIC.

El servicio de orientación PIMESTIC pone al alcance de las pymes catalanas, para asesorarlas en temáticas TIC, una red de 71 expertos homologados y distribuidos por todo el territorio. En este sentido, un dato muy positivo es que el 65% de las empresas orientadas ya han implementado o están implementando alguna de las actuaciones descritas en el informe de la orientación.

El plan PIMESTIC ha organizado 205 jornadas de sensibilización y formación, que han contado con una asistencia de más de 10.000 personas. Cabe destacar que, según las encuestas de satisfacción recogidas en las jornadas, un 91,5% de los asistentes afirman que la jornada les ha hecho darse cuenta de las posibilidades que ofrecen las TIC en la mejora de su empresa y el 43% de los casos aseguran que tienen pensado contratar un asesor PIMESTIC para profundizar en la temática.

Como conclusión general de la ejecución del plan PIMESTIC podemos destacar el gran número de pymes que están abordando nuevos proyectos de adopción de TIC dentro de sus procesos productivos gracias a las diferentes actuaciones del plan. Estos datos se confirman en la última encuesta sobre el uso de las TIC en las empresas (TIC-Empresas 2008-2009) del Instituto de Estadística de Cataluña (Idescat) y de la Fundación Observatri para la Sociedad de la Información de Cataluña (FOBSIC), que revela incrementos importantes respecto al año anterior.

Más información en la Web de PIMESTIC.

Tomando el mercado como referencia, esta nueva versión de la taxonomía recoge de una forma más simple y homogénea el conjunto de categorías de servicios y soluciones de seguridad de la información.

La taxonomía se completa con un amplio catálogo de fichas para las distintas soluciones y servicios, orientadas a proporcionar a las empresas información y criterio a la hora de realizar la compra de productos o la  contratación de servicios.

La misión del Plan es garantizar una sociedad de la información segura en Cataluña, con la ayuda del Centre de Seguretat de la Informació de Catalunya (CESICAT), como herramienta para la ejecución de las políticas públicas en seguridad TIC, y la generación de un tejido empresarial de soporte, aplicaciones y servicios de seguridad TIC que sea referente nacional e internacional.

El Plan (que puede consultarse aquí) se estructura alrededor de cuatro líneas estratégicas principales:

• Estableciendo una estrategia nacional de seguridad en las TIC  centrada en la concienciación del ciudadano en cuanto a las amenazas y vulnerabilidades de la seguridad en Internet.
• Apoyando a la protección de las infraestructuras críticas de telecomunicaciones (e.g. redes de comunicaciones electrónicas, centros de procesamiento de datos de las administraciones públicas, …), mediante actuaciones de análisis y apoyo dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que les dan soporte.
• Haciendo promoción de un tejido empresarial sólido en seguridad TIC, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. Se quiere crear una red de pymes para la prestación de servicios de seguridad y respuesta a incidentes.
• Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con mayores riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes.

Para la consecución de los objetivos del Plan, la Secretaria de Telecomunicacions i Societat de la Informació (STSI) ha impulsado la creación del CESICAT, que debe responsabilizarse del establecimiento y seguimiento de los programas de actuación correspondientes, bajo la dirección estratégica de la Direcció General de la Societat de la Informació, el apoyo del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), y con la participación directa en el Centro de los gobiernos locales de Cataluña, del sector privado y de la sociedad civil.

• Asegurarse de que se han implantado y se mantienen vigentes un conjunto esencial de controles de seguridad.
• Encontrar, tracear y analizar los datos de que se dispone.
• Recopilar y analizar logs de actividad de sistemas y aplicaciones de forma continua.
• Auditar periódicamente las credenciales y privilegios de los usuarios.
• Auditar (analizar vulnerabilidades, tests de penetración, etc.) en servicios y aplicaciones Web de forma periódica.

En teoría, la mejor defensa contra las violaciones de datos es bastante simple: no conservar los datos. Dado que esta aproximación al problema no es realista para muchas organizaciones, lo mejor que puede hacerse es mantener sólo aquellos datos estrictamente necesarios para el negocio, requeridos por motivos legales o de compliance; y saber con precisión dónde se almacenan y cómo se mueven por la organización. Ahora bien, llevar esto a la práctica no es tarea trivial. He aquí algunos enlaces al respecto: Data Loss Prevention Best Practices, Understanding and Selecting a Data Loss Prevention Solution, etc.

La mayoría de los incidentes siguen produciéndose debido a que no se habían implantado ni siquiera los controles básicos de seguridad (e.g. parches de seguridad en sistemas operativos y servidores), y los que estaban implantados no lo estaban globalmente. Así pues, quedan expuestas algunas vulnerabilidades bien conocidas, es muy probable que un atacante las encuentre y las explote. Sin embargo, es mucho menos probable que un atacante gaste su tiempo en detectar vulnerabilidades no evidentes.

En este sentido el informe mantiene su recomendación de 2008 al respecto de la eliminación de credenciales por defecto y de compartir credenciales, de la revisión de cuentas en busca de signos de abuso o anomalías, etc. También se mantiene de incorporar la seguridad desde el propio ciclo de desarrollo de las aplicaciones, incluyendo auditorías de código, para evitar vulnerabilidades habituales como la inyección de SQL, el Cross Site Scripting (XSS), etc.

¿Quién está detrás de los incidentes de seguridad?

Siguiendo con la tendencia del 2008, la mayor parte (74%) tienen su origen en fuentes externas, mientras que el 20% provienen exclusivamente del personal interno de la organización. En el 32% de los casos, los propios partners de negocio estaban implicados en los incidentes. Y en el 91% de los casos, detrás del incidente se hallaba alguna organización con fines delictivos.

¿Cómo ocurren los incidentes?

En los casos más graves el atacante aprovechó un error de la víctima (67% de los casos), se introdujo en su red (64% de los casos) e instaló malware para recoger datos (38% de los casos). Algunas de las vulnerabilidades más relevantes a que hace referencia el estudio incluyen: SQL injection a través de las aplicaciones Web, acceso no autorizado mediante credenciales por defecto usadas para el acceso remoto de terceros, privilegios de usuario mal utilizados, etc.

¿Qué tienen en común?

Sólo el 17% de los ataques se consideran de un nivel de dificultad alto, si bien corresponden al 95% del volumen de información comprometida. Esto parece indicar que, aunque los atacantes prefieren los objetivos fáciles, una buena motivación les permite atacar con éxito objetivos difíciles. Por otra parte, casi todos los incidentes tuvieron lugar en el entorno on-line (servicios y aplicaciones Web, servidores, redes, …). El 69% de los ataques fueron descubiertos por terceras partes, lo que seguramente conllevó perjuicios de imagen. Y el 87% de los ataques podrían haberse evitado con sencillos controles.

El documento está estructurado en tres partes. En primer lugar reflexiona en profundidad sobre la situación actual y futura de la protección de datos de carácter personal en diversos aspectos, como el grado de conocimiento de los ciudadanos al respecto de sus derechos y la normativa, las garantías de cumplimiento de la misma, el contexto internacional, etc.

Seguidamente ofrece algunas breves recomendaciones tanto normativas como ejecutivas, basadas en la experiencia acumulada por la Agencia. La recomendaciones se dirigen a los poderes públicos y a los agentes económicos y sociales, al objeto de que se promuevan iniciativas que fomenten la efectiva garantía del derecho a la protección de datos en ámbitos concretos.

Finalmente, el documento dedica más de la mitad de sus páginas a ofrecer un resumen de datos estadísticos sobre el funcionamiento de la Agencia (inspecciones, consultas, registro de ficheros, etc.) durante el año pasado.

Aquí van pues algunas de dichas cifras:

• Las reclamaciones ante la AEPD se incrementaron en más del 45% en 2008.
• Las denuncias ante la AEPD (junto con las investigaciones iniciadas de oficio) alcanzaron la cifra de 2.362.
• La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con una sanción.
• El importe de las sanciones impuestas ascendió a 22,6 millones de euros, lo que supone un incremento del 15% respecto a 2007.
• En 2008 se atendieron 1.229 tutelas de derechos, registrándose un incremento del 44% respecto a 2007.
• El número de consultas planteadas al Servicio de Atención al Ciudadano experimentó un incremento del 52,17% respecto a 2007.

Finalmente cabe resaltar que Internet, con especial énfasis en la redes sociales, y la video-vigilancia aparecen como los principales retos para la defensa de la privacidad de los ciudadanos. En este sentido destaca que el número de ficheros de video-vigilancia inscritos en el RGPD en 2008 han duplicado a los de 2007, por ejemplo.

La memoria es prolija en cifras así que los interesados en los detalles tienen en qué invertir su tiempo. En todo caso en Derecho de las TICs podemos encontrar un buen resumen.

• CMMI – Capability Maturity Model Integration, niveles 2 a 5.
• ISO 15504 – Tecnologías de la Información. Proceso de valoración del Software (SPICE – Software Process Improvement and Capability Determination), niveles 2 a 5.
• ISO 9001:2000 – Sistemas de gestión de la calidad.
• UNE-ISO 20000-1:2005 – Tecnologías de la Información. Gestión del Servicio TI.
• ISO 27001:2005 – Tecnologías de la Información. Gestión de la Seguridad de la Información.

El Plan Avanza 2, en su Subprograma Avanza I+D, contempla ayudas para proyectos de modernización de las PYMEs del sector TIC, destinadas a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información. El objetivo de las sesiones informativas es dar a conocer estas ayudas, así como el procedimiento para acceder a ellas.

AETIC agrupará empresas (mínimo 6 y máximo 20) que soliciten el mismo modelo de certificación, para pedir y gestionar conjuntamente las ayudas del Ministerio.

Calendario de las sesiones:

• 21 de abril AETIC, Barcelona.
• 22 de abril 22@Network, Barcelona.
• 30 de abril Foment del Treball, Barcelona.
• 30 de abril Aseitec, Barcelona.
• 6 de mayo Cambra de Comerç, Girona.

Para inscribirse en las sesiones u obtener información adicional contactar con AETIC.