Se inicia ENISE, Encuentro Internacional de la Seguridad en la Información

El mundo es cada vez más dependiente de la Red; aumenta el uso de todo tipo de dispositivos móviles; crece el comercio electrónico –un 17 por ciento en el 2.010- y las Tecnologías de la información se muestran como factores clave del crecimiento económico, explicó Carlos Cano, director general de Red. es, en su discurso inaugural de ENISE, ENcuentro Internacional de SEguridad de la información.

Este congreso –el principal de los eventos anuales que se celebran en España en la materia- reúne en León a unos 610 expertos de distintos países, bajo un lema: “Hacia una sociedad conectada más confiable”, y se desarrolla durante los días 26, 27 y 28 de octubre de 2011, organizado por el Instituto Nacional de Tecnologías de la Comunicación, INTECO.

Carlos Cano destacó que ENISE es ya una cita consolidada, que alcanza su quinta edición, y felicitó a INTECO por esta convocatoria que, estimó, avanza en la línea marcada por la Agenda Digital para Europa, específicamente en los ámbitos de Confianza y Seguridad.

El acto inaugural, celebrado en el Auditorio Ciudad de León, contó en primer lugar con la intervención de Víctor Izquierdo Loyola, director de INTECO, quien dio la bienvenida a los asistentes y explicó que durante estos días de trabajo se abordarán tres temas de la máxima relevancia: «La Protección de las Infraestructuras Críticas», «La Seguridad en la Nube» y «La Seguridad y Privacidad en los Dispositivos Móviles», asuntos de enorme interés para todos los ámbitos vinculados a la seguridad, tanto proveedores como empresas y entidades usuarias, Administraciones Públicas y sociedad civil.

Izquierdo destacó el vigor de la industria europea de software y su papel en el desarrollo económico y el bienestar social, añadiendo que pese a las dificultades económicas, este sector ha seguido en crecimiento, ayudado principalmente por el cloud computing y la movilidad, e impulsado por las políticas públicas de impulso a la concienciación e innovación tecnológica. Para Víctor Izquierdo, en la situación actual son claves la innovación y penetración en nuevos mercados, líneas que el propio INTECO está manteniendo, con diversos proyectos, alguno de ellos apoyado por la Comisión Europea.

Por su parte, el rector de la Universidad de León, José Ángel Hermida, destacó el papel de INTECO y Red.es en el desarrollo y modernización de la sociedad, y se felicitó por su colaboración con la Universidad de León. La acción conjunta de la Universidad, INTECO y las empresas, está favoreciendo tanto al sector de las TIC como a la Universidad de León, en sus objetivos de modernidad e internacionalización, dijo Hermida.

La directora general de Telecomunicaciones de la Junta de Castilla y León, Susana García, hizo una reflexión sobre la presencia de las Tecnologías de la Información en la sociedad Española, donde dijo que existían ya 25 millones de usuarios de Internet y más de 3 millones de participantes en las redes sociales, y expresó la necesidad de fortalecer la seguridad y confianza, líneas en las que se trabaja en ENISE.

Por último, el alcalde de León, Emilio Gutiérrez, dio la bienvenida a la ciudad a los asistentes, y les sugirió que aparte de trabajar en el congreso hagan tiempo para disfrutar de una urbe llena de atractivos: arte, rincones con encanto, hospitalidad y gastronomía. Para Emilio Gutierrez, es una feliz situación el hecho de que INTECO tenga su sede en León, porque de esta forma los leoneses están más cercanos a las TIC, lo que supone también oportunidades de avance tecnológico y desarrollo económico.

Tras el acto inaugural se inició una mesa redonda, coordinada por Carlos Cano, director de Red.es, que contó con la participación de representantes de la Comisión Europea, el Gobierno de Austria, Telefónica, Arsys y ENISA, dedicada a revisar necesidades y retos del cloud computing, y en la que se puso de manifiesto que el “modelo cloud” es irreversible y que se estima como un factor de crecimiento de empleo y negocio.

Los debates continuarán durante todo el día, en distintos grupos de trabajo ubicados en el Auditorio de León y el Parador de San Marcos, en torno a aspectos legales y económicos y de mercado vinculados con el cloud computing.

Incidente de seguridad de Inteco

Estoy asombrado por las reacciones que se han producido en relación con el incidente de seguridad de Inteco.

Primero, señalar mi percepción de que se trata de un incidente menor, que afecta a un servicio no esencial de la institución.

Segundo, que lo ha detectado y hecho público la propia institución. Nunca se sabe cual es la mejor forma de afrontar una crisis, pero, en mi opinión, la dirección de Inteco ha hecho un ejercicio de transparencia y responsabilidad encomiable, como no se ha visto nunca antes en España. Reconocer los problemas es la mejor forma de acometer su resolución.

Tercero, el impacto del problema. Los datos captados por los atacantes: nombre, apellidos, DNI y email, pese a que, efectivamente son datos personales, tienen un impacto mínimo en el nivel de alerta de los usuarios afectados (entre los que me incluyo).

En mi caso, mi DNI puede obtenerse buscando en Google alguna notificación relacionada con mi nombre, publicada en un boletín oficial. En cuanto a mi e-mail (uno de ellos) se puede obtener de diferentes formas: en este mismo blog, o buscando alguna presentación de alguna conferencia que haya impartido.

No considero que haya habido negligencia en la actuación de Inteco, sabiendo, como sabemos, que el mundo de la seguridad es una carrera de «buenos» contra «malos». Cuando se conoce una vulnerabilidad, se ponen los medios para corregirla o soslayarla. Y en eso, la propia INTECO realiza un gran papel para alertar al público.

Mi conclusión es que, pese a los sensacionalistas titulares que se están viendo, Inteco está realizando una gran labor y este incidente para nada menoscaba sus logros. Al contrario, la valentía en la forma de afrontarlo señala un nuevo camino a muchas entidades que hubieran echado tierra al asunto de haber sufrido una agresión semejante.

Enhorabuena a Inteco y a sus gestores por esta lección de procedimientos de gestión de crisis.

Ayudas para la Certificación de Aplicaciones asociadas al DNI electrónico bajo Common Criteria

Visto en Inteco.

El Plan Avanza 2 de apoyo al desarrollo de la Sociedad de la Información y del Conocimiento pretende dar continuidad y afianzar los hitos alcanzados por la primera fase del Plan Avanza. Dentro del eje de fomento del uso y confianza en Internet, se aborda el reto de generalizar la utilización del DNIe, del que se han expedido más de 23 millones de documentos, así como de la identidad y firma digital. Todo ello con el doble objetivo de promover la seguridad de la información y de reducir los costes de transacción con las Administraciones Públicas y otros prestadores privados de servicios electrónicos.

Con este propósito la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) ha encomendado a INTECO la puesta en marcha de actuaciones para el impulso y fomento de la certificación de seguridad de aplicaciones que utilicen el DNIe. En cumplimiento de ello, INTECO ha diseñado un programa de ayuda para el fomento de la certificación de aplicaciones que utilicen el DNIe como dispositivo seguro de creación y verificación de firma bajo la norma Common Criteria y los Perfiles de Protección del DNIe de INTECO.

Este programa de ayuda trata de actuar como un primer impulso, centrándose en obtener certificaciones Common Criteria contra los Perfiles de Protección del DNIe con un nivel de garantía para su evaluación de seguridad del tipo EAL1.

El objetivo de este programa es lograr la evaluación positiva durante este año 2011 de un conjunto de aplicaciones que hagan uso del DNIe, de forma que puedan obtener la certificación, generando e impulsando un mercado incipiente de aplicaciones con garantías de seguridad en el uso del DNIe.

Las aplicaciones y herramientas a certificar han de hacer uso del DNIe como dispositivo seguro de creación y verificación de firma.

El programa de certificación se llevará a cabo según el procedimiento estipulado por el Centro Criptológico Nacional (CCN), como Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Dicho procedimiento establece que las aplicaciones a certificar tienen que ser evaluadas por un Laboratorio acreditado.

El alcance del presente programa se limita a la fase de evaluación de las aplicaciones contra los Perfiles de Protección del DNIe con nivel de garantía EAL1. Desde el punto de vista temporal, para la concesión de la ayuda, se precisa concluir de forma positiva dicha evaluación antes del 15 de diciembre de 2011, estando sujeta la ayuda a la obtención de la citada evaluación positiva.

Así mismo, los costes financiables del programa se limitan a los trabajos de evaluación que la empresa beneficiaria ha de contratar a uno de los Laboratorios acreditados por el OC, en el porcentaje y con los máximos estipulados en las bases reguladoras del programa.

Podrán beneficiarse del programa de certificación aquellas empresas calificadas como PYME que sean propietarias de aplicaciones que hagan uso del DNIe como dispositivo seguro de creación y verificación de firma.

Para mayor información acerca de los requisitos y condiciones del programa, puede acceder a las bases reguladoras y convocatoria. Para tramitar su participación en el mismo, debe completar el siguiente formulario de solicitud.

INTECO impulsa el portal ZonaTIC para profesionales y expertos en DNIe

El INTECO y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) del Ministerio de Industria, Turismo y Comercio (MITYC), acuerdan dar continuidad a ZonaTIC, el área para profesionales del portal usatudni.es.

Entre las múltiples iniciativas a llevar a cabo, destacan la inclusión de nuevos servicios, contenidos y seminarios web, así como el aumento de la visibilidad de los catálogos de formación y aplicaciones, y el asesoramiento técnico de profesionales que se dediquen al desarrollo de aplicaciones que utilicen el DNIe.

A través de ZonaTIC se impulsará la certificación de productos seguros bajo la norma Common Criteria y los perfiles de protección del DNIe. Por otro lado, se incluirá un asistente para facilitar la instalación del DNIe.

En las siguientes semanas, ZonaTIC irá incorporando progresivamente nuevas funcionalidades y contenidos con la participación activa de expertos colaboradores y usuarios.

ZonaTIC dispone de perfil en Twitter (@zonatic_dnie) y un grupo en Linkedin (ZonaTIC_DNIe) donde estar en contacto con la comunidad de desarrolladores y dar difusión a las próximas actuaciones.

Visto en Noticias INTECO

Esquema Nacional de Seguridad – Evento en León el 2 de junio de 2011

El pasado 29 de enero de 2010 se publicó en el Boletín Oficial del Estado el Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica, y que desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

El objeto del ENS es establecer las políticas de seguridad y protección de datos en la utilización de medios electrónicos por parte de las administraciones públicas, y constituye los principios mínimos que éstas deben cumplir para garantizar una adecuada protección de la información que gestionan.

Tras el éxito de las convocatorias en Madrid y Gijón, se convoca en León la tercera Jornada de Difusión del Esquema Nacional de Seguridad, organizada por AMETIC en colaboración con AETICAL, y que cuenta en esta ocasión con la participación de INTECO y el Ministerio de Política Territorial, así como las experiencias prácticas de empresas que están llevando proyectos de adecuación con entidades públicas al Esquema Nacional de Seguridad.

La Jornada se realizará el día 2 de Junio en el Parador Nacional de San Marcos, León.

Inscríbase en esta Jornada GRATUITA sobre Esquema Nacional de Seguridad (ENS), organizada por AMETIC.

ENISE 2011. León 26, 27 y 28 de octubre

Ya está en marcha la organización de ENISE.

La publicación de la web del evento  ha sido el pistoletazo de salida a una cita que tendrá lugar este año 2011 los días 26, 27 y 28  de octubre, como siempre, en León.

En esta ocasión, bajo el lema “Hacia una sociedad conectada más confiable”, el encuentro se centrará en tres temas de interés: infraestructuras críticas, Cloud Computing y la seguridad en dispositivos móviles

Además, es posible seguir la actualidad del evento a través del grupo creado en Linkedin.

La reciente publicación en España de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y del Reglamento de Protección de dichas infraestructuras, en el marco de la Directiva 2008/114, del Consejo, de 8 de diciembre, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección,  pone de manifiesto la importancia de los riesgos y, como recoge la Ley española, “de la dependencia que las sociedades tienen del complejo sistema de infraestructuras que dan soporte y posibilitan el normal desenvolvimiento de los sectores productivos, de gestión y de la vida ciudadana en general”.

En este sentido, en el Encuentro se prevé pasar revista a las cuestiones más candentes en este campo, que afectan no sólo a las Fuerzas y Cuerpos de Seguridad del Estado, sino a todas las Administraciones Públicas, operadores de estas infraestructuras, medios de comunicación y otros agentes. En particular se abordarán todos los aspectos de la puesta en práctica de las medidas contempladas en esta normativa.

En cuanto a «La Seguridad en la Nube» y sus implicaciones técnicas, legislativas y sociales, se abordarán cuestiones como el paradigma de la seguridad en el Cloud Computing, intentando determinar problemas y situaciones no resueltas; cuáles son los principales retos a los que se enfrentan tanto las empresas del sector TIC como los usuarios; cuáles son los modelos más sólidos y confiables para controlar preventiva y reactivamente los incidentes de seguridad que se generen en entornos Cloud; y cuáles son las principales ventajas que se pueden derivar del uso seguro de estos servicios por parte de ciudadanos, empresas y Administraciones Públicas.

La tercera temática del encuentro está dedicada a «La Seguridad y Privacidad en Dispositivos Móviles». En el evento se analizarán los problemas de seguridad que pueden afectar a este tipo de dispositivos cada vez más usados y más potentes y capaces, así como las medidas que cabe adoptar para prevenir las amenazas, tanto por parte de las organizaciones como por los usuarios individuales.

Estos tres temas centrales, también íntimamente ligados a la gobernanza de Internet, serán los hilos conductores de un 5ENISE que con seguridad resultará atractivo para todos los agentes interesados, no sólo en la seguridad de la información, sino en un enfoque integral de la seguridad, tanto proveedores como empresas y entidades usuarias, Administraciones Públicas y sociedad civil.

Comparativa de lectores de DNI electrónico

En el reciente número 231 de PC Actual (que estará en los kioskos en España durante julio y agosto de 2010) se incluye una comparativa de lectores de tarjeta chip (chipeteras) adecuados para el DNI electrónico.

Se analizan lectores de Bit4id, C3PO, CySD y Zaapa.

Todos los lectores tienen precios situados entre los 14,95 € (como el LTC31 de C3PO) y 24,9 € (como el ChipNet COMBI de CySD que lee también tarjetas SIM).

La conclusión fundamental es que todos los lectores permiten un uso sencillo del DNI electrónico, y de que no requieren drivers específicos cuando se instalan en Windows 7. Además de en Windows, se pueden utilizar en Linux y Mac.

Aprovecho para recordar a los interesados que Albalia ha desarrollado para INTECO el curso técnico de programación de software de firma electrónica para el DNI electrónico, orientado a la Certificación Common Criteria. El curso está disponible en la Zona TIC del portal del DNI electrónico impulsado por INTECO.

Curso on-line sobre DNI electrónico

Brujuleando por internet he tropezado con un curso on-line sobre DNI electrónico de forma inesperada.

El curso no es muy bueno, y tiene varios conceptos erróneos, pero tiene un alto componente visual, por lo que puede servir de primer paso de iniciación para el público en general, que no necesite profundizar.

Para los que quieren profundizar, y tienen perfil de programador, quizá sea más recomendable el curso on-line sobre Desarrollo de aplicaciones sobre DNIe y pautas para su certificación de 80 horas de duración, disponible en la Zona TIC del portal usatudni.

Es un curso técnico de desarrollo de aplicaciones sobre DNIe, pautas para la evaluación y certificación de las mismas en base a Common Criteria, siguiendo los criterios de seguridad marcados por los Perfiles de Protección del DNIe. Pensado para desarrolladores y empresas de desarrollo, comienza dando a conocer los conceptos básicos necesarios y concluye con un caso práctico recapitulativo que muestra cómo se desarrolla una aplicación básica de firma electrónica que haga uso del DNIe de forma que siga las recomendaciones de los Perfiles de Protección del DNIe.

Este curso lo hemos elaborado en Albalia Interactiva para Inteco y hemos puesto un gran esfuerzo para que sea lo más completo y progresivo posible, aunque exige un cierto perfil técnico para seguirlo. Aún está abierta la inscripción a este curso de formación en línea, y es gratuita.

Algunos de los temas: criptografía, tarjetas inteligentes, DNIe, marco regulatorio, desarrollo seguro,… Además se incluye un caso práctico de firmado de facturas electrónicas con el DNIe.

Jornadas de difusión del DNI electrónico

Como estaba previsto,  se celebraron en pasadas fechas las jornadas de difusión del DNI electrónico, organizadas por Inteco, con la colaboración de Red.es. La de Madrid, el 6 de Mayo; la de Barcelona, el 27 de Mayo; y el pasado 17 de Junio se celebró el evento en Sevilla.

Las sesiones tenían como objetivo dar a conocer los servicios existentes que hacen del uso del DNIe un mecanismo seguro de autenticación y firma, identificar las ventajas y oportunidades en torno al DNIe, fomentar el desarrollo seguro de aplicaciones mediante la certificación en base a los Perfiles de Protección y exponer las iniciativas que se están llevando a cabo por parte de la Administración.

Una charla inaugural sobre presente y DNIe, una presentación de INTECO sobre las actuaciones para el estímulo al DNIe, y tres mesas redondas que abordaron el futuro y el DNIe, el marco regulatorio, y las garantías de seguridad en torno al DNI electrónico, conformaron un programa dirigido a empresas del sector TIC, de desarrollo de aplicaciones y servicios y a la Administración.

La última sesión, la de Sevilla,  contó con la presentación del programa desarrollada por Víctor Izquierdo,  director general de INTECO y en ella se hicieron importantes anuncios, vinculados con la sección para especialistas Zona TIC del portal «Usa tu DNIe«.

Mi intervención hacia una comparativa entre la publicación de la normativa de 1900 que hacía obligatoria la aceptación en la administración pública de los documentos escritos a máquina, y la de la Ley 11/2007, que obliga a aceptar los documentos electrónicos. Con referencias a los esfuerzos que también tiene que hacer el sector privado y a los elementos que caracterizan a los documentos electrónicos con valor probatorio.

Cito de la norma:

PARTE OFICIAL

PRESIDENCIA DEL CONSEJO DE MINISTROS

SS.MM.  el Rey y la Reina Regente (Q.D.G.) y Augusta Real Familia continúan en esta Corte sin novedad en su importante salud.

Real ORDEN

Excmo.Sr.:Vista la petición formulada por Antonio Comyn en instancia fecha 1º del corriente solicitando que en todas las oficinas del Estado, de las provincias y de los Municipios se admitan las instancias y demás documentos hechos con máquinas de escribir, en los mismos términos y con los mismos efectos de los escritos o copiados a mano:

Considerando que no existe ninguna razón administrativa ni de otra índole que aconseje no admitir en las oficinas anteriormente citadas las instancias y demás documentos que en ellas se presenten hechos con máquinas de escribir, siendo más clara y fácil su lectura que muchos de los escritos a mano y cuya legalidad consiste en la autenticidad de la firma que los suscribe y no en que estén hechos precisamente con letra manuscrita;

S.M. el REY (Q.D.G.), y en su nombre la REINA Regente del Reino, ha tenido á bien disponer que en todas las oficinas del Estado, provinciales y municipales se admitan cuantas instancias y documentos se presenten hechos con máquinas de escribir, en los mismos términos y con iguales efectos de los escritos ó copiados a mano.

De Real orden lo digo a V.S. para su conocimiento y efectos consiguientes. Dios guarde a V.S. muchos años. Madrid 12 de febrero de 1900.

FRANCISCO SILVELA

Todos los asistentes salieron del evento con un teclado de alta calidad con lector de tarjeta chip integrado, cortesía de los organizadores. Lo cierto es que estos elementos (chipeteras y lectores de trajeta chip incluidos en otros dispositivos como teclados y ratones) siguen siendo necesarios para impulsar la adopción del DNI electrónico tras constatar que el acuerdo firmado hace casi un año por las asociaciones tecnológicas ha tenido un efecto casi nulo en la disponibilidad de lectores del DNIe en los ordenadores vendidos desde entonces.

Post relacionados:

• Real orden de 12 de febrero de 1900, Gaceta de Madrid de 19 de febrero de 1900
• Chipetera
• Todos los ordenadores tendrán chipetera
• El Gobierno y las patronales tecnológicas se unen para impulsar el uso del DNIe

Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles

Orange e INTECO presentan mañana, 25 de mayo de 2010, el “Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles”. El acto de presentación tendrá lugar a las 12:00 horas en el Salón de Actos de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (C/ Capitán Haya, 41 Madrid)

Esta es la Agenda prevista:

12:00               Registro de asistentes

12:30               Bienvenida del MITyC

12:45               Fernando Ballestero, Secretario General de Orange: “Orange y el uso responsable y seguro de las TIC” –

13:00               Víctor Izquierdo, Director general de INTECO Presentación de las conclusiones del “Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles”.

13:30               Vino español

La versión electrónica del informe estará disponible, a partir de su presentación, en la web de Inteco: http://observatorio.inteco.es