Bueno, ante todo decir que ultimamente he posteado en el blog, entre otras cosas por la implantación de un SGSI ( Sistema de Gestión de Seguridad de la Información ) en mi empresa actual.

Hace algún tiempo ( mucho más corto de lo que imagináis ) fui la persona escogida para lidera el proyecto de diseño , implantación y puesta en marcha de un SGSI. El Objetivo de este SGSI es certificarlo bajo la norma ISO 27001.

Deciros, que estos proyectos suelen ir de tiempo bastante mal, sobre todo porque siempre surgen prisas, las fechas no cuadran y hay que dedicar un tiempo mucho menor del que se debería.

Estamos terminando de aprobar distintos documentos asociados a las normas, así como la definición de procedimientos técnicos y operativos adscritos a cada norma. Por fortuna , nuestras instalaciones y concienciación así como la sensibilidad con la seguridad ha agilizado muchos procesos. El problema viene en la documentación y las metodologías unido a la disponibilidad y tiempo a emplear.

Muchas cosas se hacen de palabra, porque se conocen , porque siempre se ha hecho así, porque Pepito lo dice… en fin.

Estas cosas cuando uno va a certificar su sistema no sirve. Hay que documentar el detalle, hay que optimizar, diseñar y esto implica un gran esfuerzo y dedicación por parte de todos. Sobre todo para los miembros del CSI ( Comite de Seguridad de la INformación)., al que pertenezco como Responsable de Seguridad y de la Información.

Con el tiempo iré detallando algunas de las partes que he pasado para implantar el SGSI, como son el inventario de activos , el analisis de riesgos y su gestión, las normas de inventariado, uso de activos, y sobre todo el plan de contigencias y planes de pruebas.

Pasada la auditoria explicaremos en que hicieron foco, que pruebas se hicieron y al nivel de detalle que se llegó para la obtención de la certificación….

Anuncios


No hace mucho que recibí una llamada telefónica en mi móvil preguntándome si era el titular de la línea y que me quería hacer una oferta de telefonía mejorándome mis condiciones.
Parece que las llamadas y procedimientos de telmarketing van avanzando. Van atacando por distintas vías. La ley de protección de datos les pone las cosas complicadas y parecen no hacer uso de fuentes de datos accesibles al público y cruzarla con otras bases de datos para al final conseguir números de teléfono y datos para realizar llamadas a potenciales clientes de otras compañías.

Pues bien, ante la señorita que me llama me dice que mi numero de teléfono se ha generado a través de un sistema aleatorio que combina cifras hasta conseguir un listado de números. Estos son comparados con sus clientes y zas , todos lo que no coincidan son posibles clientes. En ningún momento se dirige con mi nombre, ya que en teoría no lo sabe . Y también se identifica desde la empresa que realiza la llamada.

Y bien, como podemos luchar contra esto, pues muy fácil. La siguiente comparación que tienen que hacer es listado de números aleatorios con los números de estén en la lista robinson.

Y que és, pues una lista que pretende regular el envío de comunicaciones publicitarias a través de móvil, telefono, mail, carta. ..

Pues bien, si estas harto que empresas , desde fuentes accesibles al público puedan contactar contigo ó incluso con tretas como esta de la generación de números aleatorios, te ofrezco esta solución.

Proceso:
– Entramos en www.listarobinson.es
– Nos registramos, es decir nos damos de alta en el servicio. Nos piden algunos datos personales (Nombre, apellidos, dni, email….)
– Una vez registrado se nos envía un email para comprobar nuestra dirección de email y verificarla.
– En este email recibiremos usuario(dni) y una contraseña generada de forma aleatoria.
– Ya con nuestros datos, entramos en la sección ciudadanos, entrar en Acceso al servicio.
– Una vez aquí podremos incluir nuestro teléfono fijo, móvil, introduciéndoles en un formulario al efecto.
– Al igual podemos hacer con nuestra dirección postal, etc..
– Así de fácil.
– Coste: 0 €.
No será porque el proceso sea complicado. Os animo a que os registreis y probéis el servicio. Espero que realmente sea útil.

Ya me contareis vuestras impresiones.

SAludos tecnólogos..

Desde luego parece que el mundo cambia cada día y a cosas a las que nos cuesta cambiar de mentalidad. Uno puede ver el modelo de negocio del cine y se da cuenta de que hay cosas que no cambian.
Me sorprende como están clasificados los premios otorgados en el cine. Su clasificación en: mejor guión, mejor director, mejor actor de reparto, mejor actor secundario…
Y entonces me salta la duda, en una película espectacular como Avatar, próxima a ser la película más taquillera de la historia, que ¿clasificación se hace?. Tal vez debemos remontarnos a la definición propia de arte ó artista.

Recuerdo no hace muchos días como se publicaba el largometraje de animación financiado por Antonio Banderas, en el que han trabajado alrededor de 200 personas durante tres años e intento ver cual podrá ser su recompensa.
Pues bien, podrán a optar a mejor corto/largometraje de animación del 2010. Y si es película podrás optar mejor película de animación.
Y bien?. Pues nada, que aquí se paró la jerarquía , el desglose, la especialización, el arte y los artistas. De las 200 personas que trabajaron ahí, nada de nada a nivel personal.

Porque me gustaría saber si un infografista que es capaz de crear un “ser animado” como Shrek es ó no un artista. Delante de un ordenador con un tapiz en blanco, llegar a algo así, ¿es arte?. también me gustaría saber si podría ser un artista alguien que sobre ese ser animado de un color y con aspecto plano en dos dimensiones y sin texturas de ningún tipo es capaz de crear una cara con expresión, arrugas, pelo, sombras…

A todo este entramado se le da movimiento, fluidez, sensación humana, giros, . Y este animador no es un artista?.

¿No deberian tener un premio personal que exaltara su excelente trabajo y tuviera un digno reconocimiento?.
Con el espectacular auge de las películas de animación, no es cierto que tendremos que cambiar la forma en la que se premia a los artistas.
O tal vez es que estos artistas actuales sumidos en la constantes subvención que reivindican permanentemente el derecho a la propiedad intelectual, son los únicos que pueden entrar en el juego del premio .

Los animadores , diseñadores, infografistas y los jefes de proyecto que trabajan AÑOS para que podamos disfrutar de sus creaciones increíbles que nacen de la nada, tengan que echarse a la calle y ayudar a ganar votos.

Ahhhhhh, se me olvidaba, es que estos son verdaderos genios y artistas con ganas de trabajar y ganar sus triunfos con esfuerzo y plena dedicación y estudio y no con favores políticos…

saludos tecnólogos…

Recientemente me he quedado blanco al leer esta noticia

Desde luego el señor César Alierta se ha quedado agusto con sus declaraciones y defiendo posturas increíbles a estas alturas de vida. Me gustaría recordarle al señor presidente de telefónica, como se fundó telefónica, en qué basa sus ingresos y cuáles son sus condiciones de servicio.

Señor presidente, tal vez se olvida usted de algunas cosas, se las aclaro:

– Telefónica se fundó por todos los españoles con dinero público, creando como pilar de la empresa , el tendido de cableado de pares de cobre.

– Curiosamente el servicio de ADSL esta basado en esta red de pares de cobre, que por usarla ó no usarla ,usted cobra una cuota de 14 € en factura, aunque no se haga el menor uso.

– Esta red tan costosa de mantener fue sufragada cuando la empresa se creó con la famosa acción de oro del estado. Es decir semi-pública y dinero público.

– El servicio de ADSL que se presta en España es de los mas caros de Europa , con una velocidad a años luz de otros paises, lo cual bloquea la expansión y la innovacion de las empresas españolas.

– Con una red de velocidad digna, las empresas españolas podrían disparar servicios online y software en la nube ( SaaS ).

– Con un ADSL veloz a un coste digno podrían dispararse servicios reales de teletrabajo para empresas y trabajadores, lo cual nos haría mucho más competitivos y ahorraría una auténtico dineral en desplazamientos y costes para las empresas.

– Con un servicio de RDSI de un coste digno ( sin cuotas desorbitadas mensuales ) y una conexión rapida de calidad , se dispararían los servicios de videoconferencia en las empresas, que tanta falta hace, aumentando enormemente la productividad reduciendo tiempos estúpidos.

– Los buscadores como google, no viven de cobrar cuotas de servicio por no hacer nada ó por mantener activo el buscador como hacen ustedes.

– Preocupese de que sus servicios y su red de subcontratas aporte fiabilidad, servicio y calidad a las empresas contratantes en vez de derivar todos los problemas a un número de telefono en el que poco importan sus problemas.

– Decir que cuesta mucho mantener su red , tiene narices cuando la base de su red está sufragada por todos, quien sufraga la red y mantenimiento de servicios y comunicaciones de las empresas?

– Que usted pretenda y diga que son los impulsores de la competitividad con su actual red, que quiere que le diga, parece una broma.
– Ponganse ustedes a trabajar en ofrecer servicios de verdad y no mantenimiento de ordenadores a autónomos que no sirve para nada, a cobrar mantenimientos de ADSL porque vaya un técnico mediocre a una empresa y un largo etc.

– Debería saber que su red móvil ofrece una paupérima calidad en servicios de datos, como el resto de las operadoras, lo cual impide expandir servicios de video móvil, videoconferencias, llamadas de video y un largo etc..

En definitiva, no pague su descenso en su facturación porque los hogares cada vez más eliminan la linea fija y ve como se van a opciones de oficina móvil, adsl móvil , con los navegadores de Internet, que si algo precisamente están haciendo es impulsar la sociedad de la información. Ahhhhh y sin cobrar cuotas a nadie.

Saludos tecnólogos,

Hoy lanzo un post para la agenda, que contiene una nueva cita del Technet Security day . Se lanzará en dos sesiones: Madrid y Barcelona.

En este nuevo día de la seguridad de los chicos de Technet de Microsoft ,se nos convoca con temas relaciones con el entorno de trabajo mediante el uso de VPN-s ( Las clasicas redes privadas virtuales) y sus vulnerabilidades. Así como temas de mensajería y seguridad en ficheros ofimáticos ( no sé si se tratarán los famosos metadatos… quien sabe si Chema lanzará la FOCA…)

Todo ello aderezado con la familia Forefront, que parece que ultimamente está por todas partes.

Jueves, 25 de febrero de 2010 9:30 – jueves, 25 de febrero de 2010 14:30 Madrid, París
Kinepolis ,Edgar Neville s/n CIUDAD DE LA IMAGEN,Madrid

Para inscribiros podéis hacerlo aquí

Os dejo la agenda para que veáis si os resulta de interés. Desde mi punto de vistas es muy interesante y si no hay contratiempos allí estaré. Ahí va:

9:30 – 10:00 Presentación del evento

En esta edición repasaremos las principales amenazas y ataques que se pueden sufrir en un entorno de trabajo remoto así como las contramedidas a implementar para evitarlas.

10:00 – 11:30 Trabajando seguro desde casa: La conexión VPN

Una nevada, una gripe A, una reducción de costes o simplemente por la movilidad profesional y las prestaciones que ofrecen hoy en día las redes, trabajar desde casa es una opción altamente interesante. Pero… hay que hacerlo de forma segura, así que en esta sesión aprenderás primeramente los riesgos de hacerlo de una manera insegura.

– Tecnologías VPN

o PPP,PPTP, L2TP/IP, L2TP/IPSec

o Sistemas de autenticación

§ Demo: Ataque MITM a una conexión PPTP

o Conexiones SSTP

– Forefront Threat Management Gateway

o Arquitectura de servicios VPN

§ Demo: Montaje de una conexión SSTP con Forefront TMG

o Redes VPN de cuarentena

§ Demo: Montaje de una red de cuarentena

– Forefront Unified Application Gateway

o VPN-SSL

o Publicación de aplicaciones

o End-point security

§ Demo: Montaje de una conexión VPN-SSL compliant

– Direct Access

o Seguridad y privacidad en IPv6

§ Demo: Montaje de Direct Access con Windows 7/ Windows Server 2008 R2

11:30 – 12:00 El avituallamiento: Desayuno sin diamantes

12:00 – 13:15 Enviando los correos sanos: Mensajería Segura

El correo electrónico, a día de hoy, es una de las herramientas claves en el funcionamiento de la empresa. Pocas empresas funcionan hoy en día sin los servicios de correo electrónico. Sin embargo, el correo electrónico puede ser un foco de problemas de seguridad. La identidad correcta de los emisores, el correo no deseado, el malware que utiliza este medio para transmitirse de equipos a equipos puede suponer un auténtico quebradero de cabeza. Ven a ver riesgos y las soluciones.

– Identidad en el correo electrónico

o Firma digital S/Mime

o Identidad y Spam

o Soluciones “Short Temp”

§ Sender ID y SPF

§ Demo: Enviando correos falsos

– MS Forefront Threat Management Gateway

o Protección de los servicios de correo

o Anti-spam en el perímetro

§ Filtrado de conexiones

§ Filtros de reputación

§ Filtros Sender ID

o Anti-malware en el perímetro

§ Demo: Filtrado de correo con troyanos bancarios en MS Forefront TMG

– MS Forefront Protection for Exchange 2010

o Motores Anti-malware

o Filtrado de spam, malware & gusanos

o Política de comunicaciones

§ Demo: Filtrando el malware en el correo electrónico

– MS Forefront Protection Manager Console 2010

§ Demo: Configurando alertas de seguridad globales

– Correo seguro con MS Forefront para la nube

o Microsoft Forefront Online Protection for Exchange

13:15 – 14:30 Trabajo con documentos ofimáticos de forma segura

No sólo nos comunicamos en las empresas, también intercambiamos documentos y archivos. Estos pueden convertirse en un problema peor que la gripe A dejando inutilizables los equipos de la organización. Para ello, es necesario que ese intercambio documental se produzca de forma segura, controlada e higienizada. No importa que el medio sea el correo electrónico, puede que el correo no se pueda abrir hasta llegar a destino o que el intercambio se produzca a través de una página web o de un gestor documental.

– Malware en ficheros ofimáticos

o Evolución

§ Demo: Un troyano en un memorándum

o Protecciones en el sistema operativo

– MS Forefront Client Security

o Gestión corporativa

o Antimalware & Antispyware

§ Demo: Filtrado de troyanos

§ Demo: Gestión de alertas

§ Demo: Informes de seguridad

– MS Forefront Protection for SharePoint 2010

o Detección de malware en repositorios documentales

§ Demo: Scaneo multimotor de documentos ofimáticos

– Forzado de medidas de seguridad en el cliente

o MS Forefront Unified Access Gateway 2010

§ Demo: Políticas de acceso a la red

Recientemente me he encontrado con un video que creo que puede hacer reflexionar sobre el tema del ciberterrorismo. Mucho se ha hablado de este tema y lejos de terminarse el debate , irá a más. Un mundo gobernado por sistemas de información y control que gobiernan multitud de infraestructura críticas es y será objetivo de ciberterroritas y mafias para controlarlos. Creeis que es un mito o una verdadera realidad en la que cada día , las mafias y terroristas planean sus ataques y guerras desde un teclado.

Parece que la seguridad tomará más protagonismo del que tiene … no creeis?

saludos tecnólogos..