Plan de seguridad de la información en Cataluña

11 08 2009

El Plan de seguridad de la información en Cataluña es una iniciativa de la Generalitat de Cataluña orientada al desarrollo de una estrategia global de seguridad de la información en el ámbito nacional y a la búsqueda de herramientas de concienciación de los ciudadanos en cuanto a las amenazas y vulnerabilidades de la seguridad en Internet.

La misión del Plan es garantizar una sociedad de la información segura en Cataluña, con la ayuda del Centre de Seguretat de la Informació de Catalunya (CESICAT), como herramienta para la ejecución de las políticas públicas en seguridad TIC, y la generación de un tejido empresarial de soporte, aplicaciones y servicios de seguridad TIC que sea referente nacional e internacional.

El Plan (que puede consultarse aquí) se estructura alrededor de cuatro líneas estratégicas principales:

  • Estableciendo una estrategia nacional de seguridad en las TIC  centrada en la concienciación del ciudadano en cuanto a las amenazas y vulnerabilidades de la seguridad en Internet.
  • Apoyando a la protección de las infraestructuras críticas de telecomunicaciones (e.g. redes de comunicaciones electrónicas, centros de procesamiento de datos de las administraciones públicas, …), mediante actuaciones de análisis y apoyo dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que les dan soporte.
  • Haciendo promoción de un tejido empresarial sólido en seguridad TIC, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. Se quiere crear una red de pymes para la prestación de servicios de seguridad y respuesta a incidentes.
  • Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con mayores riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes.

CESICAT

Para la consecución de los objetivos del Plan, la Secretaria de Telecomunicacions i Societat de la Informació (STSI) ha impulsado la creación del CESICAT, que debe responsabilizarse del establecimiento y seguimiento de los programas de actuación correspondientes, bajo la dirección estratégica de la Direcció General de la Societat de la Informació, el apoyo del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), y con la participación directa en el Centro de los gobiernos locales de Cataluña, del sector privado y de la sociedad civil.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Noticias, Seguridad de la información

2009 Data Breach Investigations Report (y II): sugerencias

8 05 2009

Hace unos días nos hacíamos eco de la publicación del “2009 Data Breach Investigations Report” a cargo del “Verizon Business RISK team”, y repasábamos algunos de los datos sobre el análisis de los incidentes de seguridad.

2009-dbir-cover_1

Pero el informe no sólo analiza la tipología y origen de los incidentes, si no que también ofrece pistas sobre cómo orientar los esfuerzos para mitigar los riesgos potenciales de sufrir uno de ellos. Las recomendaciones se resumen en cinco áreas:

  • Asegurarse de que se han implantado y se mantienen vigentes un conjunto esencial de controles de seguridad.
  • Encontrar, tracear y analizar los datos de que se dispone.
  • Recopilar y analizar logs de actividad de sistemas y aplicaciones de forma continua.
  • Auditar periódicamente las credenciales y privilegios de los usuarios.
  • Auditar (analizar vulnerabilidades, tests de penetración, etc.) en servicios y aplicaciones Web de forma periódica.

En teoría, la mejor defensa contra las violaciones de datos es bastante simple: no conservar los datos. Dado que esta aproximación al problema no es realista para muchas organizaciones, lo mejor que puede hacerse es mantener sólo aquellos datos estrictamente necesarios para el negocio, requeridos por motivos legales o de compliance; y saber con precisión dónde se almacenan y cómo se mueven por la organización. Ahora bien, llevar esto a la práctica no es tarea trivial. He aquí algunos enlaces al respecto: Data Loss Prevention Best Practices, Understanding and Selecting a Data Loss Prevention Solution, etc.

La mayoría de los incidentes siguen produciéndose debido a que no se habían implantado ni siquiera los controles básicos de seguridad (e.g. parches de seguridad en sistemas operativos y servidores), y los que estaban implantados no lo estaban globalmente. Así pues, quedan expuestas algunas vulnerabilidades bien conocidas, es muy probable que un atacante las encuentre y las explote. Sin embargo, es mucho menos probable que un atacante gaste su tiempo en detectar vulnerabilidades no evidentes.

En este sentido el informe mantiene su recomendación de 2008 al respecto de la eliminación de credenciales por defecto y de compartir credenciales, de la revisión de cuentas en busca de signos de abuso o anomalías, etc. También se mantiene de incorporar la seguridad desde el propio ciclo de desarrollo de las aplicaciones, incluyendo auditorías de código, para evitar vulnerabilidades habituales como la inyección de SQL, el Cross Site Scripting (XSS), etc.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Noticias, Seguridad de la información

2009 Data Breach Investigations Report (I): datos

4 05 2009

Hace unos días se publicó el “2009 Data Breach Investigations Report” a cargo del “Verizon Business RISK team”. Según este informe, 2008 será recordado probablemente como un año turbulento para las empresas y los consumidores desde el punto de vista de la seguridad de la información, ya que, a las noticias relativas a los problemas económicos globales, se le suman algunas de las mayores violaciones de datos de la historia.

2009-dbir-cover_1

A continuación se presentan algunos de los aspectos que destaca el informe.

¿Quién está detrás de los incidentes de seguridad?

Siguiendo con la tendencia del 2008, la mayor parte (74%) tienen su origen en fuentes externas, mientras que el 20% provienen exclusivamente del personal interno de la organización. En el 32% de los casos, los propios partners de negocio estaban implicados en los incidentes. Y en el 91% de los casos, detrás del incidente se hallaba alguna organización con fines delictivos.

¿Cómo ocurren los incidentes?

En los casos más graves el atacante aprovechó un error de la víctima (67% de los casos), se introdujo en su red (64% de los casos) e instaló malware para recoger datos (38% de los casos). Algunas de las vulnerabilidades más relevantes a que hace referencia el estudio incluyen: SQL injection a través de las aplicaciones Web, acceso no autorizado mediante credenciales por defecto usadas para el acceso remoto de terceros, privilegios de usuario mal utilizados, etc.

¿Qué tienen en común?

Sólo el 17% de los ataques se consideran de un nivel de dificultad alto, si bien corresponden al 95% del volumen de información comprometida. Esto parece indicar que, aunque los atacantes prefieren los objetivos fáciles, una buena motivación les permite atacar con éxito objetivos difíciles. Por otra parte, casi todos los incidentes tuvieron lugar en el entorno on-line (servicios y aplicaciones Web, servidores, redes, …). El 69% de los ataques fueron descubiertos por terceras partes, lo que seguramente conllevó perjuicios de imagen. Y el 87% de los ataques podrían haberse evitado con sencillos controles.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Noticias, Seguridad de la información

Memoria 2008 de la AEPD

27 04 2009

El pasado 15 de abril se presentó la Memoria 2008 de la Agencia Española de Protección de Datos (AEPD).

aepd

El documento está estructurado en tres partes. En primer lugar reflexiona en profundidad sobre la situación actual y futura de la protección de datos de carácter personal en diversos aspectos, como el grado de conocimiento de los ciudadanos al respecto de sus derechos y la normativa, las garantías de cumplimiento de la misma, el contexto internacional, etc.

Seguidamente ofrece algunas breves recomendaciones tanto normativas como ejecutivas, basadas en la experiencia acumulada por la Agencia. La recomendaciones se dirigen a los poderes públicos y a los agentes económicos y sociales, al objeto de que se promuevan iniciativas que fomenten la efectiva garantía del derecho a la protección de datos en ámbitos concretos.

Finalmente, el documento dedica más de la mitad de sus páginas a ofrecer un resumen de datos estadísticos sobre el funcionamiento de la Agencia (inspecciones, consultas, registro de ficheros, etc.) durante el año pasado.

Aquí van pues algunas de dichas cifras:

  • Las reclamaciones ante la AEPD se incrementaron en más del 45% en 2008.
  • Las denuncias ante la AEPD (junto con las investigaciones iniciadas de oficio) alcanzaron la cifra de 2.362.
  • La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con una sanción.
  • El importe de las sanciones impuestas ascendió a 22,6 millones de euros, lo que supone un incremento del 15% respecto a 2007.
  • En 2008 se atendieron 1.229 tutelas de derechos, registrándose un incremento del 44% respecto a 2007.
  • El número de consultas planteadas al Servicio de Atención al Ciudadano experimentó un incremento del 52,17% respecto a 2007.

Finalmente cabe resaltar que Internet, con especial énfasis en la redes sociales, y la video-vigilancia aparecen como los principales retos para la defensa de la privacidad de los ciudadanos. En este sentido destaca que el número de ficheros de video-vigilancia inscritos en el RGPD en 2008 han duplicado a los de 2007, por ejemplo.

La memoria es prolija en cifras así que los interesados en los detalles tienen en qué invertir su tiempo. En todo caso en Derecho de las TICs podemos encontrar un buen resumen.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Noticias, Protección de datos, Seguridad de la información

Avanza2: Sesiones informativas sobre certificaciones en el ámbito TIC

21 04 2009

La Asociación de Empresas de Tecnologías de la Información y Comunicaciones de España (AETIC), concretamente AETIC Cataluña, organiza junto a varias entidades una serie de sesiones informativas sobre las ayudas del Plan Avanza 2 para la obtención de los siguientes modelos de certificación:

  • CMMI – Capability Maturity Model Integration, niveles 2 a 5.
  • ISO 15504 – Tecnologías de la Información. Proceso de valoración del Software (SPICE – Software Process Improvement and Capability Determination), niveles 2 a 5.
  • ISO 9001:2000 – Sistemas de gestión de la calidad.
  • UNE-ISO 20000-1:2005 – Tecnologías de la Información. Gestión del Servicio TI.
  • ISO 27001:2005 – Tecnologías de la Información. Gestión de la Seguridad de la Información.

banner_avanza2separado2

El Plan Avanza 2, en su Subprograma Avanza I+D, contempla ayudas para proyectos de modernización de las PYMEs del sector TIC, destinadas a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información. El objetivo de las sesiones informativas es dar a conocer estas ayudas, así como el procedimiento para acceder a ellas.

logo_aeticAETIC agrupará empresas (mínimo 6 y máximo 20) que soliciten el mismo modelo de certificación, para pedir y gestionar conjuntamente las ayudas del Ministerio.

Calendario de las sesiones:

  • 21 de abril AETIC, Barcelona.
  • 22 de abril 22@Network, Barcelona.
  • 30 de abril Foment del Treball, Barcelona.
  • 30 de abril Aseitec, Barcelona.
  • 6 de mayo Cambra de Comerç, Girona.

Para inscribirse en las sesiones u obtener información adicional contactar con AETIC.


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Eventos, Normas y estándares, Noticias

« Entradas anteriores Entradas siguientes »


Seguir

Get every new post delivered to your Inbox.