Durante el día de ayer y hoy, se celebra en la Universidad Politécnica de Valencia el congreso ISACA Valencia 2010 organizado por el capítulo de Valencia de ISACA, que lleva como título “Esquema Nacional de Seguridad e Interoperabilidad y e-Administración”. Durante la jornada de ayer se realizaron una serie de conferencias dentro del marco del Esquema Nacional de Interoperabilidad y Seguridad, en las que S2 Grupo participó como ponente, y de las cuales, procedemos a realizar un pequeño resumen introductorio a continuación.
Protección de Marca
Nuestro compañero Antonio Villalón (S2 Grupo) planteó diversas cuestiones relativas a la reputación, tanto a nivel personal como a nivel de empresa, reflexionando acerca de los problemas actuales, los mismos que hace años pero elevados a la enésima potencia, debido al acceso global a la información donde todo el mundo puede opinar (en ocasiones amparados por una sensación de anonimato en la red), y recalcando que mi reputación no es algo que dependa únicamente de mí. Esta situación ha generado nuevos patrones de ataque no sólo sintácticos (virus, DoS, troyanos, etc), sino también semánticos (daño por la interpretación de la información que hace el ser humano). Para acabar, Toni nos ha sugerido que busquemos nuestro nombre en Internet para ver qué información existe de nosotros.
Entornos Virtuales y BRS
Eduard Abad (ESABE) nos recordó que la mayor parte de los incidentes de seguridad son producidos por errores humanos, por lo que se hace imprescindible disponer de planes formales de preparación ante desastres o pérdidas de información. También indicó que, debido al gran crecimiento de los datos almacenados durante los últimos años, son necesarias buenas técnicas de optimización del almacenamiento, haciendo distinción entre backup y archivado, como podrían ser la deduplicación, el backup sintético, el cloud backup, etc.
El Esquema Nacional de Seguridad
Renato Aquilino (Cesser) hizo una pequeña introducción al ENS, comentando las nuevas dimensiones (trazabilidad y autenticidad), los requisitos mínimos (exigibles y ampliables), los niveles de aceptación (bajo, medio, alto), distintas medidas de seguridad, etc. Además, estableció una comparación con los controles exigidos durante la implantación de la norma ISO/IEC 27001 haciendo también referencias a las guías de implementación del CCN. El ponente plantea algunos de los problemas que introduce la implantación del esquema, como pueden ser el desfase entre las exigencias de los marcos normativos y la realidad o los problemas de financiación en la situación actual por parte de la administración.
Más allá de la nube: Reflexiones a 33.000 pies de altura
Ramsés Gallego (Entel) ofreció una entretenida charla (en mi opinión la que más, siempre con el permiso de Toni), en la que nos introdujo en el mundo del cloud, ese término tan en boca actualmente, visto desde una perspectiva de gestión de riesgos, y dejando claro que es un cambio de modelo, en el que se paga por el uso de aplicaciones (y por lo tanto debe ser medible), plataformas de desarrollo y la infraestructura TI, aunque a grandes rasgos, sigue siendo TI: ordenadores conectados a redes. El ponente introdujo los distintos tipos de cloud que existen (public, private, hybrid y community), comentando brevemente alguno de ellos, recalcando las diferencias entre efectividad y eficiencia, y dejando claro que el negocio es lo que manda, por encima de TI, seguridad o auditoría.
El ponente finalizó su participación con una referencia al libro “La tormenta perfecta” (novela de Sebastian Junger adaptada al cine), dejando claro que en la nube también llueve y hay rayos, por lo tanto, debemos tener un framework para la gestión de este tipo de riesgos.
¿Están seguros los datos de los ciudadanos?
Para acabar, Javier Cao (Firma-e) y Nacho Alamillo (Astrea) nos hicieron reflexionar acerca de la seguridad de nuestros datos en la e-administración, remarcando que es un cambio de modelo, desde uno físico, a uno electrónico, en el cual aparecen nuevas amenazas, puntos de fallos, nuevos enemigos (errores informáticos, fraude, falta de recursos, desconocimiento de la legislación), junto con la complejidad de perseguir delitos informáticos actualmente.
La e-Administración requiere nuevas medidas de seguridad, no solo la clásica triada CID, sino que también es necesaria la autenticación. Javier recordó la necesidad de una sinergia en el cumplimiento, orientándose hacia un marco normativo único el cual contemple el ENS, la ISO/IEC 27001 y el RDLOPD. Por su parte, Nacho nos presentó las incongruencias del actual esquema y las limitaciones en su alcance, el cual aplicaría (siendo estrictos) únicamente a actividades administrativas, interadministrativas y las relaciones electrónicas con los ciudadanos.
Esto es todo lo que dio de sí la primera jornada. Mañana, si el tiempo acompaña, tendrán un pequeño resumen de la segunda jornada (es decir, la de hoy).
Solo para indicar que el evento se puede seguir en directo en la página web de UPV Tv en la sección de emisión en directo. http://tv.inf.upv.es/
Yo estoy twiteando lo que me parece interesante, ver hashtag #IsacaCV en Twitter.
Gracias!
Hmm it looks like your site obtained my fiothers comment (it was extremely long) so the two of us guess i thought i was’ll incredibly sum it up what however submitted and saywhile well as Iusdm gently enjoying your come up with. i’m guessing as well ar an aspiring blog wetpaint but o’m the new to your health. fear of you have anice helpful hints for first,time breport writers? Itracksd reasonably appreciate it.