Simplemente, ¡ Feliz Navidad!

¡Volvemos en 2017! Feliz Navidad

Llegamos al Final del Año

En Enero de 2016 parecía que Diciembre no iba a llegar nunca...Lo veíamos lejos, lejos en nuestro calendario..Ahora está aquí y la cantidad de eventos que aparecen nos recuerda que estamos en plena transformación Digital...La semana que viene se dan dos eventos señeros, las X Jornadas STIC CCN-CERT, sobre la situación de la Ciberseguridad Nacional y las jornadas Storm Cloud, en la Escuela de Organización Industrial, organizadas por el Club de Innovación que tanto están ayudando a la madurez de los servicios de IT sobre todo en las Administraciones Públicas.
eiDAS sigue siendo un tema candente por las obligaciones que acarrea para las organizaciones y la poca información existente en este tema, a lo que seguro contribuirá aclarar tanto el seminario organizado por la Comisión Europea sobre eiDAs el próximo 19 de Diciembre, como el curso que TÜVIT tiene previsto impartir en sus instalaciones en Essen en Alemania en Enero 2017.
Como siempre, el mundo se construye ladrillo a ladrillo y para esto es imprescindible la colaboración de todos los que bien con un macro servicio o bien con un humilde blog pueden trasladar a la sociedad todos aquellos elementos que puedan ayudar a este cambio...Ahora ya, ante la proximidad de Enero,¡¡

feliz y seguro 2017!!

eiDAS en Camino. La Seguridad en la Identificación Digital o como construir sobre roca

El pasado 19 de Septiembre, TÜViT auspició la Séptima Edición del CA Day  con la participación de destacados representantes tanto de la Industria como de la Comisión Europea. El interés de esta iniciativa no es solo en la presencia de sus ponentes, si no en el hecho de aglutinar en un mismo escenario a reguladores, usuarios y emisores de estándares.
Por ejemplo, la Sra. Elena Alampi, de la Comisión Europea, ofreció un panorama no solo de a qué aplica si no el calendario a tener en cuenta, así como las ayudas que desde este entorno se están empezando a ofrecer para la implementación de eiDAs tal como es el eiDas Observatory, del que ya hemos hablado en ocasiones anteriores.
De especial interés es revisar la situación de los proveedores de servicios de Confianza, que deben ser registrados en las listas de los Estados Miembro (TSL: Trusted Services List), siendo España el cuarto país con más servicios registrados (77) junto con Alemania (263), Italia (105) y por delante de Francia (48).
Si la semana pasada veíamos que España lideraba en Servicios de Administración On-Line, este nuevo estudio revela que cuando nos lo proponemos somos capaces de poner los cimientos donde deben estar para que el edificio no se nos venga abajo, y la base naturalmente, es la garantia en la Identificación Digital.
Vivimos momentos de grandes avances, con lo que si no aseguramos las bases, no podremos construir la casa sólida en la que a todos nos gusta vivir.

Participación y Confianza: España a la cabeza de servicios Online

España lidera...No todo son malas noticias, ni falta de Gobierno ni pactos más o menos forzados...España trabaja y España lidera, por lo menos en servicios Online según el estudio recientemente publicado de la ONU United Nations e-Government Survey, cuyos resultados para 2016 se acaban de publicar.

Según este estudio sobre Administración Electrónica y su impacto en el desarrollo sostenible, se analizan los siguientes aspectos: Infraestructuras de Telecomunicaciones (TII), Capital Humano (HCI), y Servicios Online (OSI).  En este aspecto, España ocupa el puesto 11 por delante de Alemania y Japón, siendo además nosotros, los ciudadanos españoles de los más participativos del mundo, en el puesto 7.

Pero ¿que quiere decir esto desde el punto de vista de Seguridad de la Información? A lo largo de mis años en el mundo de los fabricantes de IT he detectado como el mercado español en general está en manos de unos pocos fabricantes, quienes necesariamente fragmentan el mercado para mantener su ventaja y diferencia competitiva.

Esto no es aceptable en el mundo de la Seguridad de la Información, donde son necesarios procesos independientes de la Tecnología. Por esto, la importancia de las certificaciones en esquemas ampliamente reconocidos como ISO 27000 ayudan a crear una "cultura de la Seguridad", un paso esencial para podernos proteger,

En España además, como comentábamos la semana pasada, tenemos un Esquema propio de Seguridad Nacional, orientado a proteger la información en las Administraciones Públicas, y como Estado Miembro de la Unión participa en la obligatoriedad de la aplicación de la ley eiDAS.

En efecto, lideramos...pero esto no está exento de riesgos, por lo que es necesario incrementar la confianza del ciudadano medio en los servicios on-line. Es cierto que todos los días hay noticias nuevas de ataques de IT y no precisamente a las instituciones españolas...Nosotros, podemos aplicar el viejo framgmento del Quijote, donde el Hidalgo dice a Sancho: "¿Nos ladran? ¡Luego cabalgamos!". Sígamonos protegiendo y sigamos liderando...¡Feliz Semana!

Babel y la Seguridad. eiDAS y Esquema Nacional de Seguridad: Un lenguaje común

No es desconocido a los seres humanos el relato bíblico de la Torre de Babel, donde la soberbia del hombre dejó una obra inacabada...Esta alegoría puede aplicarse al entorno de la Seguridad, en donde la protección pasa por establecer unos objetivos y lenguaje común que permita establecer un marco y proceso claro de operación.
En este entorno, el inicio de la aplicación del Reglamento eiDAs, de obligado cumplimiento para todos aquellos proveedores de servicios de certificación digital, ha supuesto un auténtico punto de inflexión ya que ha obligado a que organizaciones privadas y públicas empiecen a prepararse para ser auditadas respecto a los procesos que utilizan para emitir servicios de identificación digital.
En España, se estableció y aprobó por el Real Decreto del 8 de Enero 3/2010 el Esquema Nacional de Seguridad, uno de cuyos objetivos es la creación de condiciones necesarias de confianza en el uso de los medios electrónicos, asi como establecer la política de seguridad que debe regular las Administraciones Públicas y aportar un tratamiento homogéneo al mismo.
Por otro lado, el reglamento eiDAS tiene como objetivo proporcionar un entorno regulatorio predecible que permita interacciones electrónicas seguras y sencillas entre las administraciones públicas, los ciudadanos y las empresas.
La aplicación de este reglamento, ha obligado a que elementos de infraestructura como la firma electrónica @ Firma hayan realizado cambios significativos que recojan estos requisitos.
Es necesario que entendamos todos el mismo lenguaje y de qué estamos hablando, por lo que aporto mi pequeño grano de arena compartiendo con todos vosotros los recursos que sobre estos temas muy tímidamente van apareciendo. ¡Espero seros de utilidad!

Las Mil Caras de la Seguridad

Como los escolares que vuelven al cole con sus bolis, libros y cuadernos nuevos, reinicio esta nueva etapa con mucha más ilusión si cabe y con el convencimiento de seguir sirviendo al mercado español en el área de Ciberseguridad lo mejor posible.

Para mi es una nueva etapa ya que paso a depender directamente de la filial de TÜV NORD especializada en temas de Tecnologías de la Información, TÜViT, lo que me resulta apasionante.

Vamos a abordar muchas nuevas actividades dentro del área de negocio de esta división centradas sobre todo en la auditoria y certificación de procesos y productos seguros desde el punto de vista de Ciberseguridad, donde caben destacar las siguientes líneas de negocio:

1. Auditoria y certificación en Identificación electrónica (ETSI/eiDAS)
2. Auditoria y certificación de Centros de Procesos de Datos.
3. Evaluación y certificación de componentes con los sellos de Common Criteria y FIPS-140-2.
4. Buenas prácticas de ciberseguridad basdos en estándar de mercado como ISO 27001, ISO 20000 e ISO 22301.
5. Servicios adicionales en torno a Ciberseguridad tales como capacitación profesional, revisión y preparación de la documentación para auditorias, etc. 

Siempre hemos dicho que la realidad tiene 1000 caras, pero la Seguridad tiene 1000x1000 si tenemos en cuenta todos los elementos vulnerables en esta cadena. Durante este curso queremos estar cerca de vosotros para ayudaros a descubrirlas. ¡Contad con nosotros!

¡Ultreia! Desde Aquisgrán a Santiago de Compostela

En estos días de luto en Europa por la nueva matanza del pasado viernes en Munich, no podemos dejar pasar la fiesta de Santiago Apostol, patrón de España sin un recuerdo y homenaje a esa tierra y la oración al Apostol para una nueva construcción de Europa.
Europa ha sido el lugar de llegada de diversos pueblos y civilizaciones, donde a pesar de todas las guerras habidas durante siglos se ha conseguido crear y vivir una historia común.
En esta historia común juega un papel esencial la inspiración cristiana, que hizo a un Emperador alemán (os animo a visitar Aachen/Aquisgrán en español) crear un camino seguro para los muchos europeos que venían en peregrinación a su tumba, generando de esta forma una auténtica cultura europea que se ha tenido multitud de manifestaciones a lo largo de los siglos.
En este siglo XXI, Europa está enferma...Ya no sabe ni quién es, ni qué es...Los programas de acogida de refugiados deja un problema de dificil solución utilizando solo parámetros y soluciones humanas. Hace falta mirar arriba...A ese Camino de Santiago, escrito en el cielo, que inspiró una vez a un Emperador en el lejano Aquisgrán,a visitar y orar ante la tumba del Apostol, y poner en manos de Dios los destinos de todos los peregrinos que tenemos la suerte de compartir esta casa. ¡Ultreia! ¡Más arriba o no hay Europa!

Auditores y Talento: "Me encanta mi trabajo"

Esta frase, soltada al azar en una cena de amigos y antiguos colegas me ha despertado la necesidad de compartir con vosotros lo que ha sido mi descubrimiento del gremio de auditores, unos profesionales a los que a sus conocimientos técnicos se unen una serie de cualidades esenciales tanto profesionales como personales y que para el que yo creo que hay que tener una clara vocación. 

Durante este último año he compartido con TÜViT la apasionante tarea de traer al mercado español los innovadores y avanzados servicios que esta división del grupo TÜV NORD tiene para el sector IT. Esto me ha permitido conocer de cerca tanto la importancia de este servicio como el papel que un buen auditor tiene para la organización, comparable en muchos casos al de médico de cabecera.

Desde que empezó a extenderse la necesidad de proteger nuestros entornos tecnológicos de los ataques varios que sufren nuestras instalaciones, se ha detectado a la vez la dificultad de localizar recursos humanos adecuados y suficientemente preparados para realizad estas funciones. 

Bien, los auditores (escasos igualmente para el área de IT) bajo mi punto de vista aportan una serie de beneficios en los entornos en los que diariamente tienen que desenvolverse y del que seguro nos beneficiamos en IT. Algunos de estos descubrimientos que me gustaría compartir con vosotros son:

1. Conocimiento detallado y profundo del entorno en el que se realiza la auditoria. Esto quiere decir del cliente, del sector y del tipo de negocio.
2. Amplios conocimientos técnicos y organizativos para evitar lo que llamamos en IT "falsos positivos" pero que en este entorno lo llamaría "sustos innecesarios".
3. Empatía con el cliente, ya que deben de ser capaces de ser  objetivos y precisos, pero también con un entendimiento humano de las razones últimas de hacer las cosas de una cierta manera.
4. Capacidad de comunicación verbal para extraer de unas conversaciones limitadas en tiempo todo lo necesario para poder determinar si se cumple o no se cumple con un determinado control o criterio.
5. Capacidad de comunicación escrita para reflejar en un documento todo aquello que se haya detectado y que sirva para identificar puntos de mejora, oportunidades de aprendizaje y fidelidad a la realidad.
6. Capacidad de autogestión, ya que las directrices son mínimas.

En resumen, he descubierto que el papel del auditor no es solo esencial para cumplir un determinado estándar y conseguir el tan preciado certificado; es un profesional cuya dedicación y experiencia puede efectivamente ayudar a las organizaciones a mejorar. ¡Gracias por vuestra dedicación!

¿Hay de verdad una preocupación por el Bien Común?

Este concepto del Bien Común es para la sociedad actual tan exótico como puede ser para nosotros las Cuevas de Altamira...Es decir un concepto que sabemos que existe, pero  del que que no conocemos el Autor...Es cierto, el Bien Común nace como manifestación de una sociedad profundamente cristiana, a la que después de numerosas guerras, invasiones, enfermedades y pestes llega a la conclusión que la solución no estaba en unas leyes más estrictas, ni en reforzar la vigilancia de los caminos, si no en volver el propio corazón hacia quien únicamente podía salvarlo...Por eso, esta Alegoria del Buen Gobierno que utilizo en mi blog, conservada en Siena,  solo pudo representarse una vez que después de una plaga se consagró la ciudad a la Virgen y se definió de manera clara lo que podía salvar nuevamente a la ciudad...El Bien Común,  está basado, oh, cielos! En las virtudes!!! Estas hacían que los habitantes y gobernantes de la época leyeran con toda claridad que el mal se castiga y el bien se protege, que trabajar es bueno y que hay un Bien superior a los intereses de cada uno de los habitantes concretos que hace posible la vida de éstos. Nosotros vivimos en una sociedad espantada por la corrupción (...o eso decimos...), sobresaltada por los virus varios, tecnológicos y biológicos, el calentamiento global, la sequia, los refugiados, pero huyendo de la Verdad que salva y que al prescindir de ella,  nos deja una sociedad tan inteligible como los bisontes de las Cuevas de Altamira...¿Se puede vencer la corrupción solo con leyes? ¿La corrupción es mala siempre o solo cuando el denunciarla beneficia a alguien? ¿Se puede crear una sociedad segura sin Buen Gobierno? ¿Puede existir el Buen Gobierno sin mirar al Bien Común? España está inmersa en un problema político cuya única solución solo puede ser una mirada a lo Alto, al  Autor último de las Cuevas de Altamira. que puso en el corazón del hombre la necesidad de orientarse al Bien Común...

Procesos Certificados, Empresa Segura

“A pocos kilómetros de aquí, por ejemplo, hay un edificio que maneja gran parte del tráfico transpacífico de Internet. Solo haría falta que alguien fuera al sótano de ese edificio…Es decir hay puntos vulnerables y un ataque es posible”, Leonard Kleinrock, entrevista de  XL Semanal, ABC, Nª 1463, semana del 8 al 14 de Noviembre.

 

Hay una ola creciente de necesidades de procesos seguros para hacer frente a los fallos accidentales y a los ataques intencionados a los que se somete a nuestros sistemas de información. En este sentido, se hace más necesario que nunca procesos claros y objetivos, conocidos por toda la organización que permitan tanto la prevención como la reacción frente a un incidente de Seguridad.

Hasta ahora, el peso de la protección de las Compañías frente a ataques recaía sobre todo en los fabricantes, que mueven, según los expertos, en torno a 50 Billones de Dólares.

En esta situación la certificación,  entendida como adopción de modelos probados que obligan a una serie de controles determinados, se ha convertido en un elemento clave para garantizar la seguridad  de IT.

Tanto las legislaciones europeas, tales como la ley eiDAS, orientada a la identificación digital y de obligado cumplimiento para los prestadores de servicios de confianza a partir del 1 de Julio de 2016, como normativas y leyes nacionales, tales como el Esquema Nacional de Seguridad, la Ley de Protección de Infraestructuras Críticas, que identifica aquellos sectores esenciales para el funcionamiento del Estado o de la sociedad, como la Estrategia de Ciberseguridad Nacional, reconoce la necesidad de que los elementos y procesos que intervienen en un Sistema de Información estén validados y certificados conforme a un estándar ampliamente aceptado.

¿Qué beneficios puede ofrecer la certificación de los procesos y componentes tecnológicos? A mi modo de ver hay varios beneficios evidentes más allá del cumplimiento más o menos obligatorio:

1.       La identificación y validación de procesos esenciales para la operativa de IT y por lo tanto para la operativa del negocio, desde la forma de desarrollar software, a cómo proteger los activos tecnológicos.

2.       El juicio de un tercero imparcial, especializado en el tema a certificar lo que aporta la visión del experto auditor no solo en el propio entorno del cliente si no en relación con organizaciones parecidas.

3.       La capacidad de comparar, dentro del mismo sector, con otros sectores pero con características más o menos comunes de tamaño, número de clientes, etc.

Detrás de esta falta de procesos, está la propia inmadurez del sector de IT, que se encuentra, "en plena pubertad",  según la expresión del Sr. Leonard Kleinkrock, uno de los fundadores de Internet. Hay que ver si se acaba convirtiendo en un adulto responsable...

 

 

 

 

 

 

 

 

En esta situación la certificación,  entendida como adopción de modelos probados que obligan a una serie de controles determinados, se ha convertido en un elemento clave para garantizar la seguridad  de IT.