Certificaciones

En el mundo de la empresa existe cierto desconocimiento acerca de las ventajas de la auditoría de sistemas en sus negocios, obviamente, mucho más acerca de las distintas certificaciones existentes, por lo que vamos a echar un vistazo a las certificaciones existentes y el valor que poseen.

Actualmente, con presencia en nuestro país, existen dos grandes asociaciones de auditores de sistemas que emiten certificaciones oficiales para sus auditores: ISACA e IRCA.

IRCA (International Register of Certificated Auditors) está ubicado en Reino Unido, tiene más de 24.000 auditores certificados en más de 120 países, aunque IRCA no tiene auditores de sistemas en el sentido estricto de la palabra, sino auditores de calidad, más centrados hacia las normas ISO 9000, 14000 y 27000, que hacia la auditoria interna. Existen diferentes grados o certificaciones para los auditores de IRCA: auditor interno, auditor provisional, auditor, auditor líder y auditor principal. Para casi todos los grados de auditor se exigen cinco años de experiencia en el sector de las TIC y la superación de una prueba escrita.

ISACA (Information Systems Auditors) tiene su sede en Estados Unidos, y a diferencia de IRCA está especializada en tecnologías de la información. Cuenta con más de 65.000 auditores repartidos en 140 países, lo que le convierte en la primera asociación de auditores del mundo. Expide los certificados CISA (Certified Information System Auditor) y CISM (Certified Information Security Manager). Al igual que los certificados de IRCA son personales, aplicables solamente al auditor. Para obtener cualquiera de la certificados necesita demostrar cinco años de experiencia en auditoría de sistemas, a diferencia de IRCA, y la superación de una prueba escrita.

Es importante que las empresas que requieran servicios de auditoría informática, ya sea adaptación a la LOPD, seguridad informática o implantación de SGSI, pidan que los profesionales sean auditores certificados, de manera que tengan garantías del trabajo realizado. En el panorama empresarial actual es frecuente que el trabajo que tendría que realizar auditores certificados sea realizado por consultores, informáticos o abogados con más voluntad y oportunidad que experiencia y conocimientos, lo que provoca deficiencias en el servicio, no detectables a priori por los clientes.

Saludos,

El equipo de iSoluciones

Planes de contingencia

¿Qué pasaría si en su empresa mañana fallara un sistema de información productivo y crítico? A esta pregunta trata de responder los planes de contingencia.

Un plan de contingencia explica los pasos y procedimientos a seguir en caso de que un sistema falle, de manera que se pueda reducir el impacto económico que supondría un fallo total o parcial y proporcionar continuidad en el funcionamiento del negocio.

Vamos a poner el caso de una asesoría fiscal y contable que se encarga de la gestión de más de 150 clientes en la provincia de Cuenca. El gerente de la asesoría confía en la tecnología para la mejora de la productividad de sus procesos de negocio, pero no cree necesario la implantación de un plan de contingencia.

El 7 de Enero del año 2008, antes de empezar la preparación de las liquidaciones trimestrales de IVA y la generación de las liquidaciones para los impuestos de sociedades el sistema falla catastróficamente. Al no tener personal cualificado interno para la administración de sistemas debido a la falta de recursos empieza a realizar llamadas desesperadas a sus dos proveedores habituales: uno de software y otro de hardware y redes para que alguien le diga que le pasa al sistema y pueda recuperarse. Hasta que eso suceda puede pasar en el mejor de los casos uno o dos días, en el peor de los casos esta cifra puede doblarse o triplicarse.

Durante el tiempo en el que el sistema está caído, habitualmente, no existe productividad por parte de los trabajadores, ya que la dependencia de los sistemas de información es elevada en nuestros días, y las pérdidas económicas son máximas. Si esta asesoría hubiera tenido un plan de contingencia y continuidad de negocio personalizado para estas circunstancias sus pérdidas económicas hubieran sido menores, al igual que las pérdidas de imagen y de confianza de sus clientes, difícilmente cuantificables y con una repercursión a largo plazo.

La conclusión que tenemos que sacar de esta empresa ficticia es que la confianza en los sistemas de información tiene que ser tan grande como la confianza en nuestro plan de contingencia.

Saludos,

El equipo de iSoluciones.

Hackers éticos - Divulgar vulnerabilidades

La divulgación de las vulnerabilidades de un sistema representa la culminación del trabajo de un hacker ético, pero existe una opinión confrontada ante este aspecto.

Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya conocen la vulnerabilidad, ¿por qué no publicarla? En caso contrario, estaríamos restringiendo el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar en peligro.

Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirán sin que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a los hackers éticos que a los hacker de sombrero negro. Esta es una premisa fundamental derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la concienciación.

Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad. Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y actos ilegales.

En su contexto ambas partes tienen razón, pero lo que si es cierto es que la concienciación en seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no puede existir. Desde el punto de vista de la auditoría de seguridad informática, la identificación y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el primer paso para establecer una correcta política de seguridad informática.

Saludos,

El equipo de iSoluciones

Hackers éticos - Cómo operan

En el artículo anterior veiamos una introducción al concepto del hacking ético, sus figuras y el dilema que causa en las empresas. En este artículo vamos a ver como operan.

El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de sombrero blanco o uno de sombrero negro.

Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se corresponden con unos protocolos estándar:

- Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un margen de 45 días, durante los cuales se le dará tiempo al fabricante del software de generar un parche que solucione el problema. La vulnerabilidad es publicada aunque no se halla generado el parche.

- Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La colaboración del hacker con el fabricante del software para elaborar una solución es opcional, el hacker no está obligado. El autor del hallazgo debe ser paciente con el fabricante del software, y se espera que éste recompense al hacker por identificar el problema.

- Organización para la Seguridad en Internet (OIS). OIS es un conglomerado de varios investigadores y empresas importantes con presencia en Internet. Solamente personal próximo a OIS tienen acceso a información confidencial. Establece toda una serie de pasos: descubrimiento, notificación, validación e investigación, con sus aspectos concretos.

El problema de estas políticas, es que están surgiendo empresas de investigadores especializados en encontrar vulnerabilidades en nuevas aplicaciones, un trabajo que posteriormente es reclamado a los fabricantes que abonan el importe del descubrimiento de la vulnerabilidad, y estableciendo, lamentablemente, una duda razonable acerca de si se podría considerar un chantaje esta práctica.

Saludos,

El equipo de iSoluciones

Hacking ético

Hacking ético... curiosas palabras que en el contexto coloquial se traduciría como piratear sistemas de forma legal, aunque como ya hablamos en un artículo anterior, hacker, pirata y delincuente informático no son la misma figura. En el mundo de la seguridad informática, en el underground, representa la posibilidad de mostrar a una víctima cuales son sus debilidades y vulnerabilidades con una prueba visual, no hay nada más impactante, os lo podemos asegurar.

Antes de entrar de lleno en la cuestión, es interesante definir un par de figuras que se relacionan con el término de hacking ético: los hackers de sombrero blanco (white hat) y sombrero negro (black hat). Los hackers de sombrero negro son aquellos que intentan provocar un daño explotando una vulnerabilidad existente en un determinado sistema. Los hackers de sombrero blanco son aquellos que intentan mostrar el daño que causaría la explotación de una determinada vulnerabilidad en un sistema.

Pongámonos en situación, tenemos un sistema Operating System 3000 corriendo en un servidor y un potente ERP llamado MiERP en la máquina también. Al cabo de unas semanas nos llega un correo electrónico de un tal SuperHacker en cuyo interior se encuentra un documento confidencial que ha obtenido aprovechando una vulnerabilidad del sistema, y además nos explica cuales han sido los pasos y como solucionarlo. La pregunta es bien sencilla: ¿denunciamos a SuperHacker por robo de información confidencial e intrusión no autorizada? ¿o bien le contratamos como gestor de seguridad informática?

Este es el dilema del hacking ético desde el punto de vista de la empresa, puesto que cada uno tenemos una opinión al respecto, que en muchas ocasiones se ve influenciada por factores externos: fabricantes de software, organismos, stakeholders,... Para que nos entendamos, las preguntas básicas que se hace un directivo ante esta circunstancia son: ¿Qué es mejor para el negocio? ¿denunciar a SuperHacker, contratarlo o tapar el hecho?

Ahora, vamos a mirar el hacking ético desde el punto de vista del hacker. No existe un único perfil de hacker de sombrero blanco, puede ser un estudiante, un camarero, un profesional del sector,..., cualquiera, puede ser la persona menos pensada que tenemos a nuestro lado, lo único que tienen en común es la pasión por la informática y ganas de compartir los conocimientos adquiridos tras incontables horas de método empírico. Si SuperHacker no muestra a la empresa cuales son las vulnerabilidades de su sistema, el malvado BlackSuperHacker podría usar dichas vulnerabilidades para su propio beneficio y causar enormes daños en la empresa. Menuda situación para SuperHacker si encima recibe por su aportación una denuncia...

Esta es la realidad del hacking ético, obviamente, la solución jurídica o moral a este dilema tienen que decidirla las partes implicadas: empresas, reguladores y hackers, algo bastante complicado cuando la tercera de las partes no tiene un órgano de representación debido a su propia naturaleza.

Saludos,

El equipo de iSoluciones.

Sistemas de información sometidos a inestabilidad laboral

En un artículo anterior hacíamos referencia a los peligros derivados de la ausencia de controles, y nombramos por encima los peligros de la inestabilidad laboral.

Un área muy interesante, y aún por explotar, es la psicología de los usuarios de los sistemas de información, y como un ambiente laboral adverso influye en el descenso de la productividad del sistema y aumenta las probabilidades de que se cometa un delito informático.

La experiencia nos indica que una empresa que pasa por un momento difícil desde el punto de vista laboral, ya sea por un ERE, despidos selectivos o un mal ambiente causado por disputas internas, es susceptible de verse influenciada con una mayor probabilidad por una serie de riesgos, algunos de los cuales enumeramos a continuación:

- Acceso no autorizado a información sensible de recursos humanos (en el caso de previsión de despidos o mala concienciación de los trabajadores en cuanto a salarios)

- Acceso y copias no autorizadas de información sensible de la empresa (márgenes comerciales, planes estratégicos,...)

- Dificultades en la operativa diaria del sistema de información, como consecuencia de las disputas internas entre departamentos. Esto provoca un descenso de la productividad del sistema.

- El descenso de la motivación de los trabajadores puede tener un enorme impacto en el personal de los departamentos de sistemas y producción, provocando una gestión más ineficiente de los controles. Las políticas y procedimientos siguen siendo eficientes pero la ejecución y la supervisión no.

Las consecuencias que supondrían para la empresa que estos riesgos se materializaran serían:

- Pérdida de cuota de mercado en caso de que la información sensible llegara a la competencia, además de pérdida de imagen ante los stakeholders. Esto puede provocar pérdidas a corto, medio y largo plazo.

- Descenso de la productividad en el sistema, que puede llegar a bloquear la operativa diaria de la empresa, y provocar pérdidas a corto plazo.

- Aumento de las disputas internas y descenso de la motivación en caso de que se filtre información sensible de recursos humanos en cuestión de salarios o condiciones laborales de otros trabajadores.

- Aumento de los ataques exitosos contra el sistema puesto que los controles no son supervisados correctamente. Un control de por si no evita un ataque. Esto puede provocar pérdidas a corto plazo en el sistema e incluso el bloqueo operativo si la empresa no tiene planes de contingencia eficientes.

¿Qué podemos hacer ante esta perspectiva? La única solución posible es mantener la motivación de los trabajadores de los departamentos de sistemas y producción, de manera que consigamos la continuidad de la ejecución y supervisión de los controles que hemos diseñado, evitando los riesgos.

Quizás alguien pueda pensar que la profesionalidad de los trabajadores impediría que los riesgos se materializaran, pero como ya dijimos en un artículo anterior, no conocemos como se puede comportar un trabajador ante situaciones extremas, y lamentablemente, el mercado pone en muchas ocasiones a las empresas en esas situaciones.

Saludos,

El equipo de iSoluciones

Piratas informáticos

En las últimas semanas, han ido apareciendo en los medios de comunicación noticias relacionadas con la desarticulación de supuestas redes de piratas informáticos o hackers, una palabra que infunde cierto temor en los internautas y en las empresas españolas.

La verdad es que el término pirata informático no está regulado, y se ha ido adoptando para cualquier sujeto que cometía un delito mediante el uso de un equipo de proceso de información. Ahí tenemos al que comete un delito de robo bancario mediante usurpación o un delito de intrusión.

La disposición de conocimientos y herramientas en la red ha facilitado el aumento de los delincuentes informáticos en todo el mundo, y decimos delincuentes informáticos, porque aunque actualmente la palabra pirata y delincuente la usamos coloquialmente para definir al mismo sujeto, originariamente un pirata informático era una persona con auténtica pasión hacia la informática, con ganas de aprender y compartir conocimientos.

El término pirata informático se fue degradando debido a películas de Hollywood como Juegos de Guerra y a la difusión en los medios de comunicación de los hechos delictivos de determinadas personas, que si no fuera por la informática hubieran elegido otro medio para cometer sus delitos.

Por otro lado, tenemos que tener claro que se entiende por delito informático y si el hacking ético se puede considerar un delito informático, puesto que realmente el único objetivo del atacante, en este supuesto, es informar a la empresa o particular de las vulnerabilidades existentes en el sistema y como puede solucionarlas, evitando un daño futuro en sus activos de información.

Así que el término correcto para las personas que cometen delitos informáticos es delincuente informático, y tan delincuente informático es el que roba de una cuenta bancaria gracias a una técnica de phishing como el trabajador de una empresa que roba datos confidenciales antes de irse a la competencia.

Saludos,

El equipo de iSoluciones

LSSI - Comunicados comerciales

Uno de los puntos importantes de la LSSI trata de las comunicaciones comerciales vía correo electrónico, es decir, cualquier comunicado con objeto de mostrar un producto o servicio a un remitente, independientemente que se obtenga un beneficio del mismo.

En este punto interactúan tanto la ley vigente en materia comercial y publicidad como la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa en lo referente a la obtención de datos personales.

Un aspecto que tienen que tener claro las empresas es que no se puede realizar un envío de comunicaciones publicitarias o promocionales por vía electrónica sin haber obtenido previamente el consentimiento del destinatario, aunque este punto no es obligatorio si existe una relación contractual previa.

Es muy frecuente que las empresas desconocedoras de la LSSI realicen envíos comerciales por correo electrónico, aprovechando el ahorro en costes que conlleva el medio, sin solicitar previamente autorización del destinatario. Esto supone en caso de denuncia una infracción leve sancionada con multa de hasta 30.000 euros.

Hay varios aspectos importantes en la LSSI de uso común en las empresas que deberían ser revisados, de manera que no provoque una sanción que podía haber sido evitada.

Saludos,

El equipo de iSoluciones

Controles

En auditoría informática es común el uso del término control para definir un determinado procedimiento que puede detectar una irregularidad en el sistema empresarial.

Los directivos de las empresas muchas veces se preguntan por qué tienen que establecer determinados controles cuando tienen total confianza en que no va a suceder nada. En España solemos pecar de confiados cuando se trata de imponer determinados controles a los trabajadores, es nuestra naturaleza, sociable y amigable, la que muchas veces nos conduce por caminos erroneos.

Nunca podemos llegar a saber como se puede comportar un trabajador, un usuario del sistema, cuando se le somete a determinadas circunstancias: inestabilidad laboral, mal ambiente, frustaciones personales,... En el peor de los casos el trabajador puede ser despedido o su productividad puede descender, y ante ambas situaciones, la empresa tieneque estar preparada para afrontarlo, tienen que existir controles que eviten o mitiguen algún daño en el sistema empresarial.

El robo de información sensible ante empleados descontentos es más frecuente de lo que nos imaginamos, de hecho, puede que sea uno de los primeros delitos por volumen en la escala. Un empleado descontento seguramente se irá a la competencia, y cualquier información que se lleve será bien recibida por la misma: datos de clientes, márgenes comerciales, planes estratégicos,...

La gravedad de este suceso se multiplica cuando el trabajador tiene funciones en el departamento de informática, puesto que la facilidad de acceso y manipulación del sistema de información es total. Un administrador de sistema descontento puede ser el perfil más peligroso en cuanto a fuga o acceso posterior de información sensible.

Más del 70% del valor de una empresa reside en la información que maneja, y si no quiere sufrir una pérdida de dicho valor, asegurese que su empresa tiene los controles adecuados.

Saludos,

El equipo de iSoluciones

LSSI

Si a una empresa le preguntaran que ley le suena más, si LOPD o LSSI, seguramente todas responderían que LOPD. La explicación a este hecho son numerosas, desde el ámbito de aplicación de la LOPD en comparación con LSSI, hasta las situaciones inverosímiles que se han dado en algunos casos debido a la dureza de la LOPD, como le comentábamos recientemente a un cliente hablando de este hecho.

La Ley 34/2002 de Servicios de la Sociedad de la Información o LSSI, como se le conoce coloquialmente, regula a los prestadores de servicios de la sociedad de la información, las comunicaciones comerciales por vía electrónica y la contratación por vía electrónica.

Se entiende como prestador de servicios de la sociedad de la información cualquier persona física o jurídica que actúa como intermediario en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, y la información previa y posterior a la celebración de contratos electrónicos.

Dicho prestador tiene una serie de obligaciones y normas que cumplir, desde la comunicación con el Registro Mercantil hasta el deber de colaboración para la retirada de contenidos en caso necesario.

Lo cierto es que las PYMEs son ajenas al cumplimiento de esta ley, a diferencia de la LOPD, cuando sin embargo muchas realizan comunicados comerciales por vía electrónica, y están sujetas a la LSSI.

Saludos,

El equipo de iSoluciones

Internet y propiedad intelectual

Internet y propiedad intelectual, parece como si hablásemos de dos personas que no se llevan bien, dos personas que están condenadas a no entenderse. Es curioso como en España, que si bien nunca nos hemos caracterizado por ir a la vanguardia de las nuevas tecnologías, sí pretendemos ir a la vanguardia de la legislación en nuevas tecnologías.

Tanto es así, que determinados organismos privados fueron incluidos en anteproyectos de ley como reguladores en materia de propiedad intelectual en Internet. Este es un hecho fuera de toda comprensión, puesto que un regulador no debería ser una de las partes implicadas, ya que existirían dudas razonables en cuanto a la imparcialidad.

Recientemente han habido varias actuaciones de la polícía en relación a distribuidores de software ilegal, un delito tipificado contra la propiedad intelectual. Entre ellos, el que más movimiento ha causado en la red ha sido la reciente detención de BoRr@ss, un hacker que presuntamente ha provocado pérdidas millonarias por distribución ilegal de software.

La comunidad hacker en España está en pie de guerra por esta actuación, puesto que entiende que la distribución se ha realizado sin ánimo de lucro, además de esgrimir un interesante razonamiento, ¿realmente se hubieran vendido 10.000 licencias de software si no se hubieran descargado de Internet?

Valga la imagen expuesta abajo para comprobar la animadversión de la comunidad hacker en España ante esta medida.

Desde nuestro punto de vista, la no existencia de ánimo de lucro en la distribución y posibles irregularidades en la actuación policial, serán los argumentos a esgrimir por la defensa para conseguir el sobreseimiento del caso.

Es muy importante, para el correcto devenir de las nuevas tecnologías en España, si realmente se quiere que nuestro país sea un referente en materia de legislación, que los legisladores escuchen a todas las partes implicadas: internautas, hackers, autores,..., de manera que se pueda llegar a un consenso que defienda a todos.

Un saludo,

El equipo de iSoluciones

Análisis forense

El análisis o auditoría forense es una de esas ramas de la informática que ha estado experimentando un mayor crecimiento en los últimos años debido al correlacional aumento de delitos informáticos.

El análisis forense trata la recopilación de evidencias electrónicas ante un posible delito informático y la cadena de custodia que tienen que seguir dichas evidencias de manera que sea legal su presentación de cara a un posible juicio.

Cuando el análisis forense se realiza sobre un equipo irrecuperable, se habla de análisis forense postmortem.

Hace algunas semanas, un cliente se puso en contacto con nosotros para obtener evidencias acerca de un ataque que había sufrido su servidor web externo. El primer problema que encuentra un auditor informático ante este escenario es la comunicación con el proveedor de servicios externo, puesto que habitualmente no tienen un procedimiento establecido para la no modificación de evidencias ante un delito o un registro depurado de accesos, y pone en peligro la fiabilidad de las evidencias.

El segundo problema es la comunicación con el ISP, puesto que muchos tienen un procedimiento offline, el tiempo de respuesta es excesivo, y esto juega en contra de la eficiente recuperación de evidencias.

Lo único que se consiguió en claro en ese caso fue la dirección IP del atacante, que mediante un procedimiento de geolocalización IP nos indicó que el ataque procedía de Panamá, a un servidor ya identificado en muchos foros como origen frecuente de ataques, por lo que se cerró el caso como inconcluso a la espera de un nuevo intento que nos proporcionara nuevas evidencias.

En España se denuncian muy pocos delitos informáticos de los que se producen, bien por los efectos negativos en los stakeholders, bien por la inercia del trabajo diario, pero todos estos delitos provocan pérdidas económicas en las empresas. Un detalle que no podemos olvidar la próxima vez que nos suceda.

Un saludo,

El equipo de iSoluciones

Seguridad informática en PYMEs. Un marco actual.

Hola a tod@s,

¿Sueles dejar abierta la puerta de tu casa cuando te vas de vacaciones? La verdad es que aunque a priori podría parecer una pregunta estúpida, eso es lo que le solemos comentar a nuestros clientes cuando auditamos la seguridad de sus sistemas de información.

Si hay una frase que pueda resumir la seguridad informática en las PYMEs, es que la mayoría no son conscientes de los riesgos a los que se enfrentan sus sistemas informáticos. Sin riesgo a equivocarnos, podemos asegurar que nueve de cada diez PYMEs no tiene ninguna política ni procedimiento establecido para el control y aseguramiento de su sistema de información.

Lo peor de la situación, sin duda, no es que no tengan ninguna política, sino que ni siquiera piensan que deberían tenerla. Y si piensan que deberían tenerla, entra en juego otro concepto importante, la resistencia al cambio, que ralentiza sino detiene cualquier tipo de iniciativa.

Vamos a sintetizar algunas líneas de actuación para ver el marco en el que se mueven las PYMEs:

• Adquieren sistemas de información cada vez más complejos (ERP, CRM), necesarios para seguir siendo competitivos.
• Adquieren equipamiento más avanzado (equipos de proceso de información, cortafuegos,...)
• No se invierte en formación avanzada para sus trabajadores en nuevas tecnologías, obviamente, la PYME que tenga recursos para tener estos trabajadores en plantilla.
• El personal TI externo en ocasiones no responden a las necesidades de las PYMEs, y provoca costes innecesarios e insatisfacción por parte de la dirección de la empresa.
• Los trabajadores usan la información de una forma impersonal, accediendo a determinados ficheros, y no siempre dentro de sus competencias.

Este marco nos lleva a una serie de riesgos muy definidos:

• Debido a la ausencia de políticas de control es muy sencillo por parte de trabajadores descontentos el robo de información, que en muy pocas ocasiones es denunciado, debido a las repercusiones en los stakeholders de la PYME.
• La falta de conocimientos técnicos avanzados por parte de los responsables TI de las PYMEs provoca una mala planificación en sus sistemas de información y en muchas ocasiones unas decisiones de compra incorrectas de aplicaciones informáticas.
• La ausencia de políticas de copias de seguridad puede llevar a un paro técnico de la actividad de la PYME en caso de problemas.

Aunque los riesgos estén ahí, siempre pensamos que a nosotros no nos va a pasar, pero pasa, y más a menudo de lo que imaginamos. Si una PYME se parara un momento a calcular cuánto le costaría un día sin servicio de su sistema de información, y cuánto le costaría implantar una política integral de seguridad informática, se sorprendería del resultado.

Esperemos que las PYMEs tomen nota y sean conscientes de la realidad a la que se enfrentan.

Saludos,

El equipo de iSoluciones

Geolocalización IP

Hola a tod@s,

Uno de los temas más interesantes en el análisis forense de delitos informáticos a través de la web, ha sido la evolución que ha estado sufriendo en los últimos meses las tecnologías de geolocalización IP, o sea, identificar la ubicación geográfica del atacante a través de la IP de conexión.

En España la geolocalización IP no es una técnica muy expandida, debido a que Telefónica, el mayor proveedor de servicios IP, tiene una enorme deslocalización con respecto a las salidas del troncal de comunicaciones, para que nos entendamos, un usuario de Internet de Algeciras puede que esté saliendo a Internet por la central de Lleida. Este era un impedimento importante para un servicio eficiente.

Hasta ahora, solamente los usuarios IP de los operadores virtuales y locales de cable podían ser localizados geográficamente con garantías. Según nuestras últimas noticias, esto va a cambiar en las próximas semanas puesto que Telefónica va a a trabajar con un importante operador de inteligencia IP para el mapeo de casi el 100% de las direcciones IP de la geografía española.

Incluso la estrategia que tenían muchos atacantes de usar anonimizadores o redes TOR cada vez lo van a tener más complicado, puesto que ya existen listas públicas de dichos anonimizadores y de direcciones IP de redes TOR, que pueden ser usadas por los administradores web para configurar listas de denegación de IP para sus servicios.

Se presenta un escenario complejo en cuanto a la localización de atacantes en delitos informáticos, que seguramente dará mucho que hablar en los próximos meses.

Un saludo,

El equipo de iSoluciones

LOPD - Crédito y Solvencia

La semana pasada, conversando con un conocido, nos comentaba las dificultades que tenía en el trato bancario como consecuencia del impago de una antigua deuda con un proveedor de telefonía que nunca le dió servicio. Dicho proveedor lo inscribió en el registro de riesgo y solvencia ASNEF.

En ese momento, le preguntamos por qué no había ejercido su derecho de cancelación de datos, y él nos comentó que había intentado hablar con ellos pero sin resultado.

Valga este ejemplo para comprobar el desconocimiento que se tiene de la LOPD tanto por parte de empresas como de particulares. El artículo 29 de la LOPD, establece el marco de actuación de las empresas con ficheros de información sobre solvencia patrimonial y crédito (ASNEF,RAI,...) Todas estas empresas pueden proporcionar los datos de un impagado hasta un máximo de seis años, aunque pasada esa fecha no se haya realizado el pago. Además, están obligadas a dar de baja al cliente moroso en caso que se exista evidencia significativa de haber realizado el pago adeudado o demostrar que no existía dicha deuda.

Cualquier solicitud debe estar hecha en forma, los formularios de uso de derechos son accesibles al público y se encuentran en la zona de documentación de la Agencia de Protección de Datos (http://www.agpd.es/), órgano regulador al respecto.

Saludos,

El equipo de iSoluciones

LOPD

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, o como se le conoce coloquialmente, LOPD, es una de las pocas normativas relativas al sector de la informática vigentes en nuestro país, pero seguramente la que más quebraderos de cabeza está provocando en las empresas.

La opinión generalizada en el marco empresarial español es que la ley es otra norma más para obligar a las empresas a pasar por caja, y tener que contratar un servicio externo para su realización. Efectivamente. Aunque en España seamos más papistas que el Papa en muchas ocasiones, y ésta en concreto, puesto que tenemos una de las leyes de protección de datos más duras de Europa, no debemos olvidar que la normativa se estableció como un marco de derechos y obligaciones para las personas físicas y jurídicas que tratan con datos de carácter personal, de manera que se asegurasen las buenas prácticas por parte de las empresas españolas.

Realmente, muchas de las buenas prácticas a las que hace referencia la Ley, establecer una política de copias de seguridad, controles de acceso a la información o una gestión formal de los usuarios del sistema, van en beneficio de las empresas y no en su detrimento. Las empresas no son conscientes del riesgo que supone la ausencia de controles o políticas proactivas en seguridad.

La conversación más típica que refleja esta falta de buenas prácticas es: "¿Hace usted copias de seguridad de sus datos?" Respuesta: "Sí, claro, por supuesto" Pregunta: "¿Cada cuánto tiempo?" Respuesta: "Cuando me acuerdo...". Cuando me acuerdo establece un período de tiempo indeterminado, que puede oscilar entre cada día y cada algunos meses, dependiendo de la carga de trabajo y el número de tareas asignadas al trabajador, elevada la mayoría de las veces.

Por eso, las empresas deberían ser más receptivas a la hora del establecimiento de buenas prácticas en el manejo de sus sistemas. Que tenemos una ley de protección de datos muy dura, sí, que puede suponer un desembolso económico para las empresas, habitualmente sí, pero en todo momento con una contraprestación fundamental y de gran valor, la seguridad de sus datos.

Saludos,

El equipo de iSoluciones.

El comienzo

Hola a todos,

Con este blog, el equipo de iSoluciones Auditores Informáticos, empresa especializada en auditoria y seguridad informática, desea compartir su experiencia con todos aquellas personas interesadas en el sector.

Todos los datos confidenciales relativos a dichas experiencias serán suprimidos con el fin de respetar la relación contractual con nuestros clientes y la normativa ética que seguimos.

Esperamos que sea de su interés.

Atentamente,

El equipo de iSoluciones.