Bases de datos: Conceptos básicos de SQL

Structured Query Language (SQL) es, según Wikipedia “un lenguaje declarativo de acceso a bases de datos relacionales que permite especificar diversos tipos de operaciones en éstas. Una de sus características es el manejo del álgebra y el cálculo relacional permitiendo efectuar consultas con el fin de recuperar -de una forma sencilla- información de interés de una base de datos, así como también hacer cambios sobre ella.”

SQL es utilizado a diario por millones de personas en todo el mundo, que administran bases de datos en cualquier empresa u organización, haciendo más fácil la búsqueda de información, así como también la adición y modificación de la misma. La sintaxis de SQL no es para nada difícil si se le pone un poco de empeño en aprender. Los comandos básicos pronto son dominados y a partir de allí se puede empezar a crear de a poco estructuras más complicadas para búsquedas mucho más personalizadas.

Apuntes básicos de SQL es una muy buena guía publicada por Unai Estébanez (unai@unainet.net) que se convierte en una gran opción de aprendizaje del SQL práticamente desde cero.  La guía contiene los principales conceptos, sentencias, ejemplos y referencias del SQL, pretendiendo que todos los que estén interesados en este mundo puedan tener muy claro al final de la lectura lo que es SQL y como debe ser usado.

Descargar Guía – Conceptos Básicos del SQL

Para usuarios más avanzados, recomiendo leer este artículo donde se habla de la seguridad en las BD MySQL.

Ciberataques: Una nueva forma de Expresión

En los últimos años, el crecimiento de las nuevas tecnologías, y de la conectividad mediante dispositivos electrónicos (móviles, tablets, etc…) ha realizado un cambio importante en la vida de las personas, quienes poco a poco dependen más de estas tecnologías.

La gran protagonista de la era digital que vivimos es la red de redes, que se ha convertido en un elemento necesario y siempre presente, tanto en los hogares como en todas las empresas. A través de las comunicaciones digitales se mueven cantidades ingentes de información (comunicados, blogs sociales, publicidad).

Todos estos servicios accesibles mediante la red de redes, a menudo no se encuentran asegurados de forma correcta, o están afectados por fallos de diseño, debido a que el tema de la seguridad suele tratarse como algo secundario.

En nuestros días ha surgido una nueva forma de expresarse, que consiste en buscar fallos en los servicios (portales web, por ejemplo) publicados en Internet, y explotarlos una vez encontrados.

Esta forma de actuar, llevada a cabo por personas con determinados conocimientos informáticos, se ha puesto de moda, creándose grupos organizados con propósitos comunes. Los propósitos pueden ir, desde robar las credenciales del correo de una persona, o su clave de acceso a una red social, a robar datos bancarios de gran importancia. Fundamentalmente, los propósitos más típicos están relacionados con el robo de información, y con Denegaciones de Servicio.

Esta situación ha generado un pánico generalizado en la sociedad, quien empieza a ver a través de los medios que los sistemas que utiliza en su vida cotidiana no son tan seguros como pensaba. El resultado es la desconfianza en Internet y en sus tecnologías, aunque a estas alturas, se depende demasiado de estas tecnologías como para prescindir de ellas.

La mejor forma de no sentirse vulnerable frente a estos ataques es apostar por la seguridad.

En el ámbito del hogar, las mejores armas para prevenir los ataques informáticos son:

  • Tener instalado un antivirus actual y mantenerlo actualizado
  • Instalar las últimas actualizaciones de los programas y del Sistema Operativo utilizado
  • Tener instalado un Firewall de host que nos informe de las conexiones no autorizadas que se intenten realizar.
  • Mantener una actitud preventiva frente a mensajes o correos de desconocidos o con apariencia sospechosa

En cuanto al ámbito empresarial, las medidas citadas son igualmente válidas, siendo necesario además, implementar otras medidas adicionales, como pueden ser:

  • Implantación de redes seguras, mediante sistemas perimetrales de protección
  • Revisión y actualización de dichos sistemas
  • Realización de Auditorías de Seguridad e Intrusión
  • Realización de Auditorías de código para verificar que las aplicaciones son seguras

Como se puede observar, todas las medidas implantar pueden conllevar un sote económico importante, y sin embargo ser víctima de un ataque puede conllevar gastos aún mayores.

En conclusión, nuestra mejor arma es la concienciación. Debemos tener bien claro lo que puede ocurrir, qué forma de comportamiento debemos adoptar para minimizar las posibilidades de que los ataques tengan éxito, y qué medidas podemos implantar para aumentar la protección frente a amenazas externas.

Áudea Seguridad de la Información S.L.

José Francisco Lendínez Echeverría

Departamento de Seguridad Tic

www.audea.com

Guía: Administración de Servidores en Windows

Windows como Sistema Operativo, es una de las plataformas más usadas actualmente a nivel empresarial y académico para la administración de servicios informáticos y aplicaciones. Se ha evolucionado mucho en la forma en que estas plataformas son administradas, gracias a innumerables guías, librerías y mejoras que hacen que los encargados de gestionar estas plataformas tengan a la mano un sin fin de herramientas para hacer que todo funcione correctamente y en tiempos mínimos de disponibilidad.

Windows, sobre todo en las versiones Server, tiene una gran cantidad de opciones que deben saberse usar muy bien para sacar el máximo provecho de todas las funciones a las que se puede tener acceso. Los administradores de los servidores y servicios deben conocer muy bien lo que están haciendo, deben tener en cuenta la seguridad de la información y que todas las configuraciones que se apliquen se hagan dentro de un ambiente de normas y estándares, para asegurar un alto grado de eficiencia y usabilidad por parte de los clientes y personas que van a usar dichos servicios.

Para complementar lo anterior, voy a compartir con ustedes una excelente guía que explica de forma detallada como administrar de forma correcta y eficaz todos casi todos los servicios que ofrece Windows.

Consta de 39 páginas con contenidos muy variados que van desde como administrar el Directorio Activo, Equipos, usuarios, grupos, permisos, ACL’s, hasta temas más profundos como objetos de políticas de grupos y sistemas de archivos distribuidos.

Descargar Guía

La formación de Empleados como elemento fundamental para proteger la información de nuestra Empresa

No cabe duda de que cuando hablamos de información en el ámbito profesional, nos estamos refiriendo a uno de los activos más importantes que manejan las empresas como elemento básico sobre el que fundamentan, realizan y prestan sus servicios. Por ello la gestión de esta información, sea personal, económica, estratégica u organizativa cobra una importancia vital para la consecución de los objetivos marcados y el buen desarrollo del negocio.

Esta importancia de la información crea una necesidad de control y gestión de la seguridad sobre la misma y no solo desde un punto de vista legal en cuanto a datos personales se refiere, sino con carácter general a toda la información manejada por una compañía, convirtiéndose en un complemento importante y que aporta un plus de confianza y compromiso ante clientes o terceros ajenos a la empresa. Como ejemplo de este punto es la cada vez más aceptada e incluso exigida aplicación de normas ISO en la contratación entre empresas a nivel internacional.

Pero en este artículo quería resaltar no la conveniencia o incluso necesidad de adoptar este tipo de normas, sino uno de los puntos más importantes que acompañan a su implantación y requisito necesario para su éxito, la formación. Como cualquier proyecto en que se incluye un nuevo elemento en la estructura de funcionamiento de una empresa, la implantación de un sistema de gestión de la seguridad de la información pasa por las fases de estudio, desarrollo, aprobación y aplicación, quedando en este punto los nuevos protocolos instaurados y activos, pero no se puede entender como finalizado sin las necesaria labor formativa y de concienciación al personal afectado. Podríamos utilizar la analogía de que de poco sirve comprarse un coche si no se sabe conducir, por lo que el factor formación cobra una importancia capital.

El usuario medio, que maneja información confidencial de la empresa a diario, por lo general no tiene unos conocimientos avanzados sobre seguridad de la información, basando su manera de trabajar en normas que podríamos llamar de ‘sentido común’, propiciando que este conocimiento básico deje lagunas de seguridad que pueden causar no solo perjuicios económicos a la empresa en forma de sanciones sino perdida de confianza de clientes presentes y futuros y por lo tanto perdida de negocio. Se debe considerar por lo tanto un elemento fundamental que dentro de una organización se promuevan de forma continua acciones formativas dirigidas a los empleados buscando una concientización sobre la importancia y necesidad de la aplicación de las normas establecidas por la propia empresa en materia de seguridad, buscando que entiendan el por qué y para qué se hacen y su compromiso para su cumplimiento.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio

Departamento de Gestión

www.audea.com

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”. En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de Datos.

Recientemente se ha publicado en la página Web de la AEPD una resolución cuanto menos curiosa, que pone de manifiesto la necesidad de fundamentar motivadamente los hechos y motivos por las que una persona considera que una información publicada en Internet atenta contra su derecho a la dignidad y protección de datos. La resolución en cuestión es la R/01545/2011.

La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores.

La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en America, y por lo tanto allí no se aplica la legislación Española.

Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

  • Que exista un motivo legítimo y fundado.
  • Que dicho motivo se refiera a su concreta situación personal.
  • Que el motivo alegado justifique el derecho de oposición solicitado.

En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. “Toma ya”, eso se llama tirar la pelota en el tejado de otro.

En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que “en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos”. Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos  TD/266/2.007  que indica “ que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”. En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal).  A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

Audea seguridad de la información S.L.

Departamento Legal

www.audea.es

Infografía: ¿Qué pasa en Internet cada 60 Segundos?

Internet  se ha convertido en el medio de comunicación más usado en todo el mundo en los últimos tiempos. Por este medio nos hemos enterado la mayoría de usuarios de las noticias más impactantes que ha tenido la humanidad, terremotos, guerras, arrestos, muertes, triunfos, logros, premiaciones, etc, Todo esto ha llegado a nosotros por medio de miles de blogs, redes sociales, comunidades, foros, y cientos de personas que comparten todo tipo de información en esta gran red a cada segundo que pasa.

Esta infografía, da varios valores aproximados de lo que sucede en Internet durante 60 Segundos. Es decir, cada minuto que pasamos leyendo, caminando, comiendo, durmiendo o estudiando, en Internet pasan millones de cosas sin que tengamos un conocimiento claro de lo que realmente sucede y de la cantidad de información que se puede llegar a mover.

  • Google recibe más de 694.445 búsquedas
  • 6600 imágenes se cargan en Flickr
  • 600 videos se cargan a YouTube, lo que equivale a 25 o más horas de contenido
  • 695.000 actualizaciones de estado, 79.364 publicaciones en muros y 510.040 son los comentarios que se publican en Facebook
  • 70 nuevos dominios son registrados
  • 168 000 000 e-mails son enviados
  • 320 nuevas cuentas y 98.000 tweets se generan en la red social de Twitter
  • 13, 000 aplicaciones para el iPhone son descargadas
  • 20.000 nuevos puestos se publican en blogs
  • Firefox se descarga más de 1700 veces
  • 50 veces es descarga la popular plataforma para bloggin WordPress
  • 100 cuentas son creadas en el sitio de redes profesionales LinkedIn
  • 40 nuevas preguntas son formuladas en el sitio YahooAnswers.com
  • 100 preguntas se realizan en Answers.com
  • Una nueva definición se añade en UrbanDictionary.com
  • 1200 anuncios nuevos se crean en Craigslist
  • 370.000 minutos de llamadas en voz son hecho por los usuarios de Skype

Como se pueden dar cuenta la cantidad de datos que se mueven en Internet cada minuto es inmensa. Esta infografía es un buen referente para tener en cuenta la próxima vez que hagan parte de alguna de estas estadísticas.

Fuente: GO-Globe.com

Áudea abre delegación en la Zona Sur de España

Desde el departamento de comunicación de Áudea, nos complace anunciar la apertura de una nueva delegación de nuestra empresa en Sevilla, con lo que conseguiremos tener un trato directo y mejorar en nuestra atención a nuestros clientes sitos en Andalucía y Extremadura.

Áudea, con sede en Madrid, cuenta con más de 10 años de experiencia como empresa pionera la gestión integral de la seguridad de la información, constituyéndose como un referente obligado en este ámbito, habiendo desarrollado importantes proyectos para grandes compañías y grupos empresariales nacionales e internacionales, organismos públicos, así como para pequeñas y medianas empresas de todo tipo.

Con una clara orientación al cliente, y en base a la política de expansión de la compañía, nace esta delegación, con el fin de aportar al tejido empresarial andaluz y a los organismos públicos nuestra experiencia y conocimiento en la seguridad de la información, además de proporcionar un trato más directo y cercano con los clientes con los que ya cuenta Áudea en el sur de España.

Queremos anunciar que próximamente Áudea continuará con su proceso de expansión abriendo más delegaciones hasta cubrir todo el territorio nacional y trasladar nuestro agradecimiento a todos los que hacen posible que Áudea siga en crecimiento.

Departamento de Comunicación

www.audea.com

SECURITY-ZONE, Congreso de Seguridad Informática en Colombia

El estudio de la Seguridad Informática en Colombia ha crecido mucho durante los últimos años, haciendo de este país un muy buen referente para el mundo entero en todos los temas de la Seguridad de la Información. Muchas Universidades de Prestigio y diferentes Instituciones han traído al país a muchos ponentes de talla internacional, que han dejado huellas enormes en el aprendizaje de Universitarios, empleados y entusiastas de estos temas.

Este año [2011] en el Centro de Eventos Valle del Pacífico, en la ciudad de Cali, se celebrará los días 28, 29 y 30 de Noviembre el I Congreso de Seguridad Informática, donde se reunirán 16 Expertos de Estados Unidos, Europa y Asia para exponer al público asistente lo mejor de su conocimiento. Se hablará principalmente de como afecta la Seguridad a sectores como el financiero, de salud, militar, educación, telecomunicaciones, entre otros. En la siguiente presentación pueden observar todos los detalles de este gran evento, ponentes, a quién va dirigida toda la información, presentaciones, temáticas, precios, entre otros.

Presentacion Security Zone 2011 Resumen

Registro

El registro para este congreso se hace desde la página oficial en su sección de Registro. Allí podrán saber los precios y el plazo que existe para pagar el valor total de la inscripción entre otros datos importantes.

Viajes/Hotel – Descuentos

Para todos los interesados en asistir al congreso, sean de Colombia o Extranjeros, se ofrecen interesantes descuentos gracias a un convenio existente entre los organizadores y la línea de Viajes Avianca. En este enlace pueden encontrar toda la información pertinente. 

Este es un Video de la Ciudad que acoge este Congreso:

[youtube]http://www.youtube.com/watch?v=F1jqvL29ONA[/youtube]

Para más información pueden contactar directamente con los organizadores del congreso, o pueden visitar el sitio oficial.

Publicado estándar para la Gestión de Incidentes de Seguridad de la Información – ISO/IEC 27035:2011

ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información es el nuevo estándar publicado por ISO para ayudar a las organizaciones a mejorar la gestión de los incidentes relativos a la seguridad de la información.

Los controles de seguridad existentes pueden fallar, no se han aplicado bien o simplemente no son perfectos.

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

  • Detectar, informar y evaluar los incidentes de seguridad de información;
  • Responder a incidentes y gestionar incidentes de seguridad de la información;
  • Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
  • Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes.

Puede verse la norma original visitando el sitio oficial de la ISO.

Departamento Gestión de la Seguridad

 Áudea, Seguridad de la Información, S.L.

Demandan a Microsoft por rastrear a sus clientes sin su Consentimiento

Algunos usuarios de teléfonos móviles que utilizan Windows han interpuesto una demanda al gigante informático acusándolo de estar rastreando su ubicación, aun cuando ellos mismos han solicitado que el software de rastreo sea desactivado. La demanda colectiva ha sido presentada recientemente ante la corte federal de Seattle, en la que se afirma que Microsoft diseñó un software de cámara en el sistema operativo Windows Phone 7 para ignorar los pedidos de clientes que no sean rastreados.

Recientemente también se conoció que los iPhone de Apple obtenían los datos de ubicación y los almacenaban durante un año, aún cuando se desactivaba el software de ubicación. Apple en su momento ideó un parche para corregir el problema; lo cual no evitó la polémica.

Legisladores estadounidenses ya acusaron a la industria tecnológica de recabar dichos datos con fines comerciales y sin consentimiento. Los usuarios ahora quieren ir más allá; buscan una medida cautelar y una indemnización por atentar contra su privacidad, entre otras reparaciones.

Áudea Seguridad dela Información

Departamento Legal

www.audea.com

Fuente: www.abc.es

Anonymous roba datos de escoltas de Zapatero

La Policía Nacional dio el pasado Junio por desarticulada a la red de hackers que más ciber- ataques estaba causando con la detención de 3 de sus más importantes intrigantes. Días después la red realizó otro ataque a la Policía en protesta de esa detención, dejando claro que para nada estaba desarticulada.

En esta semana, se ha subido a diferentes portales de descarga un archivo firmado por Anonymous que contiene datos de 30 escoltas de la Presidencia del Gobierno, y advirtiendo que en breve sacarán datos de carácter personal del Grupo de Operaciones Especiales (GEO).

La web de la Policía Nacional permanece inactiva hasta que la Brigada de Investigación Tecnológica (BIT) termine de investigar si es real que los hackers han vuelto ha traspasar las medidas de seguridad de su sitio web.

Anonymous no conforme con desvelar estos datos, arremete contra el candidato del PSOE Rubalcaba acusándolo de “violencia policial” y “manipulador de informes y pruebas” en su etapa como Ministro de Interior. Utilizan el “20-N, No Rubalcaba” para reclamar que dimita.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

El caso Diginotar compromete a miles de Iraníes

El SSL (Secure Sockets Layer) es un protocolo que autentica que el usuario pueda confiar en que está visitando un sitio que pertenece a quien dice que pertenece.

Luego están los certificados falsos para engañar al prójimo y hacerle creer que está visitando lo que no es. Ese era el objetivo de los hackers que accedieron al sistema de la certificadora holandesa DigiNotar. Se señala a Irán.

En tal caso el asalto digital y el uso de los certificados falsos habrían puesto en peligro la vida de disidentes iraníes. Hoy el gobierno holandés elevó las cifras a 531 certificados e incluye los sitios de la CIA, el MI6, Facebook, Microsoft, Skype, Twitter o el Mossad de Israel. El gobierno ha tomado el control de Diginotar a la vez que se teme por la seguridad de al menos 300.000 usuarios iraníes.

El problema, tal y como informan desde la empresa de seguridad que está llevando el caso, es que Diginotar sólo reconoció en un primer momento la intrusión de los certificados a Google y Mozilla. Este informe “menor”, hablando de un número que no hacía referencia a la verdad, podría comprometer y poner en serios aprietos a los disidentes en el país.

Áudea Seguridad de la Información

Departamento Seguridad TIC

www.audea.com