El temario se estructura en torno a los siete dominios que componen el corpus de conocimiento de la certificación, a saber:

• Fundamentos de la protección de datos
• Marco general de la protección de datos en España
• Marco sectorial de la protección de datos en España
• Marco internacional y de la Unión Europea
• Protección de los activos de información
• Gestión y respuesta ante incidentes
• Control y auditoría de los sistemas de información

El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo.

Después de definir los contenidos y dominios de conocimiento, el comité de expertos está ultimando ahora los detalles del temario para el primer examen de esta certificación, que se celebrará el próximo 19 de junio de 2010.

Esta certificación, muy apropiada en un momento en el que la privacidad de datos plantea grandes retos a las empresas, tendrá un periodo de grandfathering, que durará hasta el 31 de diciembre de 2010.

Pueden encontrarse más detalles al respecto en esta presentación.

Tomando el mercado como referencia, esta nueva versión de la taxonomía recoge de una forma más simple y homogénea el conjunto de categorías de servicios y soluciones de seguridad de la información.

La taxonomía se completa con un amplio catálogo de fichas para las distintas soluciones y servicios, orientadas a proporcionar a las empresas información y criterio a la hora de realizar la compra de productos o la  contratación de servicios.

En la sesión, que contó con unos cincuenta asistentes, nuestra intervención se centró en cuatro aspectos:

• Concienciar sobre la necesidad de ir más allá de las medidas técnicas habituales en los proyectos de seguridad de la información e incorporar medidas organizativas y de procesos.
• Trasladar buenas prácticas para la implantación de un SGSI.
• Reflexionar sobre las fuentes de valor en los proyectos de seguridad de la información.
• Discutir sobre la forma de cuantificar adecuadamente dicho valor mediante un adecuado análisis de riesgos y el indicador ROSI.

Con ello tratamos de dotar a los orientadores de argumentos y herramientas que les permitiesen concienciar a los directivos y empresarios a los que asesoran, sobre los aspectos positivos de un proyecto de seguridad de la información en cuanto a la gestión del riesgo para el negocio, el impacto en la productividad y la competitividad, etc. Es decir, como una más que justificable inversión, pero que debe responder a unos objetivos de negocio concretos, adecuarse a la escala de la organización y cuyos beneficios puedan cuantificarse.

La misión del Plan es garantizar una sociedad de la información segura en Cataluña, con la ayuda del Centre de Seguretat de la Informació de Catalunya (CESICAT), como herramienta para la ejecución de las políticas públicas en seguridad TIC, y la generación de un tejido empresarial de soporte, aplicaciones y servicios de seguridad TIC que sea referente nacional e internacional.

El Plan (que puede consultarse aquí) se estructura alrededor de cuatro líneas estratégicas principales:

• Estableciendo una estrategia nacional de seguridad en las TIC  centrada en la concienciación del ciudadano en cuanto a las amenazas y vulnerabilidades de la seguridad en Internet.
• Apoyando a la protección de las infraestructuras críticas de telecomunicaciones (e.g. redes de comunicaciones electrónicas, centros de procesamiento de datos de las administraciones públicas, …), mediante actuaciones de análisis y apoyo dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que les dan soporte.
• Haciendo promoción de un tejido empresarial sólido en seguridad TIC, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. Se quiere crear una red de pymes para la prestación de servicios de seguridad y respuesta a incidentes.
• Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con mayores riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes.

Para la consecución de los objetivos del Plan, la Secretaria de Telecomunicacions i Societat de la Informació (STSI) ha impulsado la creación del CESICAT, que debe responsabilizarse del establecimiento y seguimiento de los programas de actuación correspondientes, bajo la dirección estratégica de la Direcció General de la Societat de la Informació, el apoyo del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), y con la participación directa en el Centro de los gobiernos locales de Cataluña, del sector privado y de la sociedad civil.

El Catálogo de Empresas y Soluciones de Seguridad TIC intenta recoger todas las empresas del ámbito de la Seguridad TIC, así como su oferta de Productos y Servicios. La actual edición incorpora un total de 553 empresas y 1.002 soluciones, de las cuales 396 son productos y 606 son servicios.

El catálogo representa un importante esfuerzo por reunir a todos los actores del mercado de la seguridad de la información, realizando un especial hincapié en las empresas con el objetivo de dar a conocer dicho mercado y acercarlo tanto al sector público y privado, así como a los ciudadanos. Es un instrumento fundamental para la dinamización e impulso de la industria de seguridad TIC, en el que se ofrece información pormenorizada del tipo de actividad de cada empresa, así como la oferta del mercado en forma de productos y servicios.

El catálogo incluye una taxonomía de los distintos productos y servicios de seguridad TIC, que facilita la búsqueda de productos y servicios, además de recomendaciones y buenas prácticas destinadas a la aplicación de las tecnologías de seguridad y de la implantación de servicios de seguridad para las empresas y usuarios.

La versión más actualizada del catalogo es su versión como aplicación web, que incorpora una herramienta de búsqueda on-line.

• Asegurarse de que se han implantado y se mantienen vigentes un conjunto esencial de controles de seguridad.
• Encontrar, tracear y analizar los datos de que se dispone.
• Recopilar y analizar logs de actividad de sistemas y aplicaciones de forma continua.
• Auditar periódicamente las credenciales y privilegios de los usuarios.
• Auditar (analizar vulnerabilidades, tests de penetración, etc.) en servicios y aplicaciones Web de forma periódica.

En teoría, la mejor defensa contra las violaciones de datos es bastante simple: no conservar los datos. Dado que esta aproximación al problema no es realista para muchas organizaciones, lo mejor que puede hacerse es mantener sólo aquellos datos estrictamente necesarios para el negocio, requeridos por motivos legales o de compliance; y saber con precisión dónde se almacenan y cómo se mueven por la organización. Ahora bien, llevar esto a la práctica no es tarea trivial. He aquí algunos enlaces al respecto: Data Loss Prevention Best Practices, Understanding and Selecting a Data Loss Prevention Solution, etc.

La mayoría de los incidentes siguen produciéndose debido a que no se habían implantado ni siquiera los controles básicos de seguridad (e.g. parches de seguridad en sistemas operativos y servidores), y los que estaban implantados no lo estaban globalmente. Así pues, quedan expuestas algunas vulnerabilidades bien conocidas, es muy probable que un atacante las encuentre y las explote. Sin embargo, es mucho menos probable que un atacante gaste su tiempo en detectar vulnerabilidades no evidentes.

En este sentido el informe mantiene su recomendación de 2008 al respecto de la eliminación de credenciales por defecto y de compartir credenciales, de la revisión de cuentas en busca de signos de abuso o anomalías, etc. También se mantiene de incorporar la seguridad desde el propio ciclo de desarrollo de las aplicaciones, incluyendo auditorías de código, para evitar vulnerabilidades habituales como la inyección de SQL, el Cross Site Scripting (XSS), etc.

¿Quién está detrás de los incidentes de seguridad?

Siguiendo con la tendencia del 2008, la mayor parte (74%) tienen su origen en fuentes externas, mientras que el 20% provienen exclusivamente del personal interno de la organización. En el 32% de los casos, los propios partners de negocio estaban implicados en los incidentes. Y en el 91% de los casos, detrás del incidente se hallaba alguna organización con fines delictivos.

¿Cómo ocurren los incidentes?

En los casos más graves el atacante aprovechó un error de la víctima (67% de los casos), se introdujo en su red (64% de los casos) e instaló malware para recoger datos (38% de los casos). Algunas de las vulnerabilidades más relevantes a que hace referencia el estudio incluyen: SQL injection a través de las aplicaciones Web, acceso no autorizado mediante credenciales por defecto usadas para el acceso remoto de terceros, privilegios de usuario mal utilizados, etc.

¿Qué tienen en común?

Sólo el 17% de los ataques se consideran de un nivel de dificultad alto, si bien corresponden al 95% del volumen de información comprometida. Esto parece indicar que, aunque los atacantes prefieren los objetivos fáciles, una buena motivación les permite atacar con éxito objetivos difíciles. Por otra parte, casi todos los incidentes tuvieron lugar en el entorno on-line (servicios y aplicaciones Web, servidores, redes, …). El 69% de los ataques fueron descubiertos por terceras partes, lo que seguramente conllevó perjuicios de imagen. Y el 87% de los ataques podrían haberse evitado con sencillos controles.

El documento está estructurado en tres partes. En primer lugar reflexiona en profundidad sobre la situación actual y futura de la protección de datos de carácter personal en diversos aspectos, como el grado de conocimiento de los ciudadanos al respecto de sus derechos y la normativa, las garantías de cumplimiento de la misma, el contexto internacional, etc.

Seguidamente ofrece algunas breves recomendaciones tanto normativas como ejecutivas, basadas en la experiencia acumulada por la Agencia. La recomendaciones se dirigen a los poderes públicos y a los agentes económicos y sociales, al objeto de que se promuevan iniciativas que fomenten la efectiva garantía del derecho a la protección de datos en ámbitos concretos.

Finalmente, el documento dedica más de la mitad de sus páginas a ofrecer un resumen de datos estadísticos sobre el funcionamiento de la Agencia (inspecciones, consultas, registro de ficheros, etc.) durante el año pasado.

Aquí van pues algunas de dichas cifras:

• Las reclamaciones ante la AEPD se incrementaron en más del 45% en 2008.
• Las denuncias ante la AEPD (junto con las investigaciones iniciadas de oficio) alcanzaron la cifra de 2.362.
• La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con una sanción.
• El importe de las sanciones impuestas ascendió a 22,6 millones de euros, lo que supone un incremento del 15% respecto a 2007.
• En 2008 se atendieron 1.229 tutelas de derechos, registrándose un incremento del 44% respecto a 2007.
• El número de consultas planteadas al Servicio de Atención al Ciudadano experimentó un incremento del 52,17% respecto a 2007.

Finalmente cabe resaltar que Internet, con especial énfasis en la redes sociales, y la video-vigilancia aparecen como los principales retos para la defensa de la privacidad de los ciudadanos. En este sentido destaca que el número de ficheros de video-vigilancia inscritos en el RGPD en 2008 han duplicado a los de 2007, por ejemplo.

La memoria es prolija en cifras así que los interesados en los detalles tienen en qué invertir su tiempo. En todo caso en Derecho de las TICs podemos encontrar un buen resumen.

Si bien los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del RD 1720/2007 deben tener implantadas la totalidad de las medidas de seguridad que les correspondan, desde el momento de su creación, conviene recordar también para qué medidas de seguridad se ha agotado el plazo de implantación transitorio.
Los tipos de ficheros y las medidas de seguridad aplicables se encuentran perfectamente tipificados y documentados en el propio texto de la disposición transitoria (ver enlace).