ISMS la otorga a aquellos profesionales con un alto nivel de especialización en privacidad, especialmente en la normativa española en material de Protección de Datos de carácter personal (LOPD). La obtención del título obliga a superar un exámen y acreditar tres años de experiencia en el ámbito de la Privacidad y la Protección de datos. Hasta el pasado 31 de diciembre, se ha podido obtener alternativamente mediante la acreditación de méritos académicos y profesionales (grandfathering).

La certificación está dirigida a directores de seguridad, responsables de privacidad, gestores de protección de datos, consultores, abogados y técnicos de seguridad y de sistemas con responsabilidades en esta área de creciente importancia en todo tipo de organizaciones.

El portal pone a disposición de todos estas estadísticas a través de gráficas configurables en las dos categorias de virus y spam. En lo que a virus se refiere, ERSI muestra las incidencias de virus más detectados en un periodo de tiempo concreto (e.g. las últimas 24 horas) y un mapa por comunidades autónomas. Las gráficas de spam son aún más númerosas y nos permiten conocer el spam procesado por origen o método de detección, así como la evolución temporal del total de spam, el número de MTAs o la franja horaria. En la interpertación de los datos hay que tener en cuenta las consideraciones técnicas y estadísticas que se exponen en la sección correspondiente. COmo muestra del volumen de información de que se dispone, baste decir que  actualmente INTECO-CERT ya  supera los 10.000 códigos maliciosos documentados en su base de datos.

El portal contiene además información acerca del funcionamiento e historia de los sistemas de evaluación de virus y spam, vinculos a noticias y otras secciones de los diferentes portales de INTECO. http://cert.inteco.es también es el sitio donde informarse y adherirse a la Red de Sensores de INTECO-CERT. Las entidades colaboradoras de la red son administraciones públicas, universidades, empresas y organismos internacionales, entre otros.

Algunos datos relevantes que muestra el estudio son: el principal incidente de seguridad (16,3% de los sufridos en los últimos tres meses) es la falta de servicio por parte de proveedores, pero un 72% de las empresas no exigen ningún tipo de acuerdo que garantice la continuidad de los servicios de sus proveedores en caso de desastre.

También constata la confusión sobre la que hemos hablado anteriormente, ya que a pesar de que un 38,3% de las empresas realizan acciones para hacer frente a los riesgos de continuidad mediante un proceso optimizado, gestionado y abordado periódicamente, sólo un 16,7% reconocen estar plenamente familiarizadas con los conceptos de continuidad de negocio.

Para seguir aprendiendo sobre el escenario que muestra el estudio, os recomendamos consultar el excelente resumen ejecutivo aquí. El estudio completo puede leerse aquí.

En el prólogo aparece: “Un SGSI basado en ISO/IEC 27001:2005 puede potenciar a las pequeñas empresas para competir con éxito en los mercados globalizados de hoy. Este manual está destinado a proporcionar la llave para abrir la puerta.”

Los consejos que se dan se basan en la premisa de que la información es un activo que añade valor a una organización y por lo tanto debe ser protegida. La seguridad de la información protege ésta a fin de garantizar la continuidad del negocio, maximizar el retorno de las inversiones y generar oportunidades de negocio. Un SGSI proporciona un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo segura. Abarca las personas, procesos y sistemas de tecnología de la información.

ISO/IEC 27001:2005 especifica los procesos para permitir a una organización establecer, implementar, revisar y controlar, administrar y mantener un SGSI eficaz.

El manual puede obtenerse aquí.

El temario se estructura en torno a los siete dominios que componen el corpus de conocimiento de la certificación, a saber:

• Fundamentos de la protección de datos
• Marco general de la protección de datos en España
• Marco sectorial de la protección de datos en España
• Marco internacional y de la Unión Europea
• Protección de los activos de información
• Gestión y respuesta ante incidentes
• Control y auditoría de los sistemas de información

El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo.

Después de definir los contenidos y dominios de conocimiento, el comité de expertos está ultimando ahora los detalles del temario para el primer examen de esta certificación, que se celebrará el próximo 19 de junio de 2010.

Esta certificación, muy apropiada en un momento en el que la privacidad de datos plantea grandes retos a las empresas, tendrá un periodo de grandfathering, que durará hasta el 31 de diciembre de 2010.

Pueden encontrarse más detalles al respecto en esta presentación.

Tomando el mercado como referencia, esta nueva versión de la taxonomía recoge de una forma más simple y homogénea el conjunto de categorías de servicios y soluciones de seguridad de la información.

La taxonomía se completa con un amplio catálogo de fichas para las distintas soluciones y servicios, orientadas a proporcionar a las empresas información y criterio a la hora de realizar la compra de productos o la  contratación de servicios.

En la sesión, que contó con unos cincuenta asistentes, nuestra intervención se centró en cuatro aspectos:

• Concienciar sobre la necesidad de ir más allá de las medidas técnicas habituales en los proyectos de seguridad de la información e incorporar medidas organizativas y de procesos.
• Trasladar buenas prácticas para la implantación de un SGSI.
• Reflexionar sobre las fuentes de valor en los proyectos de seguridad de la información.
• Discutir sobre la forma de cuantificar adecuadamente dicho valor mediante un adecuado análisis de riesgos y el indicador ROSI.

Con ello tratamos de dotar a los orientadores de argumentos y herramientas que les permitiesen concienciar a los directivos y empresarios a los que asesoran, sobre los aspectos positivos de un proyecto de seguridad de la información en cuanto a la gestión del riesgo para el negocio, el impacto en la productividad y la competitividad, etc. Es decir, como una más que justificable inversión, pero que debe responder a unos objetivos de negocio concretos, adecuarse a la escala de la organización y cuyos beneficios puedan cuantificarse.

La misión del Plan es garantizar una sociedad de la información segura en Cataluña, con la ayuda del Centre de Seguretat de la Informació de Catalunya (CESICAT), como herramienta para la ejecución de las políticas públicas en seguridad TIC, y la generación de un tejido empresarial de soporte, aplicaciones y servicios de seguridad TIC que sea referente nacional e internacional.

El Plan (que puede consultarse aquí) se estructura alrededor de cuatro líneas estratégicas principales:

• Estableciendo una estrategia nacional de seguridad en las TIC  centrada en la concienciación del ciudadano en cuanto a las amenazas y vulnerabilidades de la seguridad en Internet.
• Apoyando a la protección de las infraestructuras críticas de telecomunicaciones (e.g. redes de comunicaciones electrónicas, centros de procesamiento de datos de las administraciones públicas, …), mediante actuaciones de análisis y apoyo dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que les dan soporte.
• Haciendo promoción de un tejido empresarial sólido en seguridad TIC, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. Se quiere crear una red de pymes para la prestación de servicios de seguridad y respuesta a incidentes.
• Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con mayores riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes.

Para la consecución de los objetivos del Plan, la Secretaria de Telecomunicacions i Societat de la Informació (STSI) ha impulsado la creación del CESICAT, que debe responsabilizarse del establecimiento y seguimiento de los programas de actuación correspondientes, bajo la dirección estratégica de la Direcció General de la Societat de la Informació, el apoyo del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), y con la participación directa en el Centro de los gobiernos locales de Cataluña, del sector privado y de la sociedad civil.

El Catálogo de Empresas y Soluciones de Seguridad TIC intenta recoger todas las empresas del ámbito de la Seguridad TIC, así como su oferta de Productos y Servicios. La actual edición incorpora un total de 553 empresas y 1.002 soluciones, de las cuales 396 son productos y 606 son servicios.

El catálogo representa un importante esfuerzo por reunir a todos los actores del mercado de la seguridad de la información, realizando un especial hincapié en las empresas con el objetivo de dar a conocer dicho mercado y acercarlo tanto al sector público y privado, así como a los ciudadanos. Es un instrumento fundamental para la dinamización e impulso de la industria de seguridad TIC, en el que se ofrece información pormenorizada del tipo de actividad de cada empresa, así como la oferta del mercado en forma de productos y servicios.

El catálogo incluye una taxonomía de los distintos productos y servicios de seguridad TIC, que facilita la búsqueda de productos y servicios, además de recomendaciones y buenas prácticas destinadas a la aplicación de las tecnologías de seguridad y de la implantación de servicios de seguridad para las empresas y usuarios.

La versión más actualizada del catalogo es su versión como aplicación web, que incorpora una herramienta de búsqueda on-line.