Archivo de la categoría: Riesgos informáticos

Resiliencia frente al Coronavirus, recomendaciones de Continuam


La enfermedad por SARS-CoV-2 (COVID-19) se extiende con una velocidad de contagio sin precedentes. Ayer el Consejo de Ministros declaró el Estado de Alarma, y hoy se ha publicado en el BOE el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19,

Desde hace varios días el Instituto de Continuidad de Negocio – CONTINUAM ha difundido un conjunto de recomendaciones orientadas a mejorar la resiliencia de las empresas y garantizar su continuidad de negocio, como se recoge en un reciente comunicado.

El portal Blockchain Economía ya se ha hecho eco de este comunicado así como de otra iniciativa por la que se constituye el Foro Resilium.

Ver la versión en PDF del comunicado de Continuam para enfrentar la situación creada por el Coronavirus; Continuam Coronavirus – Decalogo 1_20200313_Rev_PPLB_Final

Recomendaciones de Continuam

El coronavirus está en España. No se trata ya de saber si va a AFECTAR a TU NEGOCIO, sino CUÁNDO empezará a afectar a tu empresa y CÓMO PREPARARTE. Si no has definido PLANES de Continuidad y Resiliencia para asegurar que tu empresa puede enfrentarse a los impactos del coronavirus, todavía estas a tiempo de prepararte.

A continuación, algunas recomendaciones básicas desde el Instituto de Continuidad de Negocio – CONTINUAM, que se detallaran en boletines posteriores y pueden ayudarte y complementar las Directrices y Protocolos ya dados por Sanidad:

  • Identifica las ACTIVIDADES ESENCIALES de la Empresa que tienen que seguir operativas a toda costa: Identifica las actividades de tu empresa que deben seguir operativas a toda costa y cuya interrupción puede ser crítica y llegar a dejar inoperante o incluso destruir tu negocio (si tienes Planes de Continuidad de Negocio deberías tenerlas ya identificadas.)
  • Mide el IMPACTO y CONSECUENCIAS del coronavirus sobre los volúmenes de venta de tu empresa: Identifica cual puede ser el impacto y consecuencias del coronavirus sobre tus volúmenes de ventas y en productos/servicios (si baja la previsión de volumen de venta o servicio, recuerda que puedes no necesitar todo el personal que usas en la actualidad y proceder a que teletrabajen y aislarlos en su domicilio de forma preventiva.
  • Identifica el mínimo PERSONAL CRÍTICO necesario y organiza su disponibilidad en función de necesidades: Identifica dentro de tu empresa que grupos de empleados y cuantas personas tienen que estar disponibles como mínimo, en especial aquellas más críticas, y operativo en cualquier caso para realizar las actividades críticas y según tus previsiones de venta para las próximas semanas (hay departamentos que, si no están operativos durante semanas, no pasa nada y no afecta al futuro de la empresa). No te olvides de las funciones de soporte en departamentos como informática, logística… Realiza un seguimiento a diario de la disponibilidad de todo el personal interno y externo. Si pones en marcha trabajo desde casa, prioriza los recursos de conectividad para los empleados más críticos. El resto puede incluso permanecer en casa y solo conectarse cuando hay disponibilidad o en función de necesidades.
  • Identifica los PROVEEDORES CRÍTICOS y que SUMINISTROS son críticos: identifica los proveedores, suministros y servicios que tienen que estar operativos para tus actividades críticas. Identifica si hay alternativos, busca otros proveedores y asegúrate que tienes compromisos de entrega en toda circunstancia. Realiza un seguimiento a diario de sus disponibilidad y entrega para detectar cualquiera incidencia, en cualquier caso, ten preparadas posibles alternativas o como asumir posibles indisponibilidades si llega el caso, dentro del tu negocio.
  • MONITORIZA el IMPACTO a diario: asegúrate de tener un comité de crisis que hace un seguimiento diario y varias veces al día, contrastando diferentes fuentes, de la situación de la empresa. Este comité debe ser compuesto por representantes con el nivel de responsabilidad adecuado de los departamentos que participan en la producción, entrega y servicio a los clientes además del departamento jurídico, comunicación, continuidad, seguridad, etc. Ellos deben tener el poder de decisión para asegurar la continuidad de las operaciones, informando a los órganos de gobierno de la empresa. Si no tienen la suficiente responsabilidad, no serán operativos.
  • ASEGURAR la RELACIÓN con CLIENTES: Sea honesto con los clientes, si tu empresa está afectada por el coronavirus (no puedes suministrar productos o servicios como está previsto o que algún empleado en contacto con ellos está contaminado) informa el cliente de forma ágil para que pueden tomar medidas para protegerse. Realiza un seguimiento de tus clientes y empleados para identificar cualquier cliente que está afectado por el coronavirus para limitar los contactos para no afectar negativamente a tu empresa.
  • ·GESTIONA adecuadamente la COMUNICACIÓN: organiza una comunicación interna regular hacia todos los empleados de tu empresa informándolos de los planes y si procede al resto de Partes Interesadas o Externa que se relacionen con tu actividad, con las recomendaciones sanitarias e incidencias que ocurren en relación con el coronavirus, te lo agradecerán y se minimizaran riesgos y posibles contagios. Además, atento a las Instrucciones de las Administraciones Públicas al respecto, mantén vías de comunicación en todo momento y por diferentes medios.

En ESENCIA, aplica mucho Sentido Común y aplica PREVENCIÓN en todo lo posible siguiendo las recomendaciones Sanitarias y el resto que puedan complementarlas, en pro de tu Negocio, las Personas y de la propia Sociedad.

Iremos publicando más boletines en los próximos días para detallar cada uno de estos temas o cualquier otro relacionado.

Estas recomendaciones están basadas en la experiencia de los miembros y profesionales del Instituto de Continuidad de Negocio – CONTINUAM – durante más de una década en GESTIÓN de CRISIS y CONTINUIDAD de NEGOCIO en pro de la CULTURA de RESILIENCIA de la SOCIEDAD, sin menoscabo que siempre hay que atender las instrucciones de las Autoridades Públicas conforme vayan indicando en cada momento.

Marc De Schouwer, MBCI, revisado por Pedro Pablo López, Presidente

Instituto de Continuidad de Negocio – CONTINUAM – ESPAÑA

“LA RESILIENCIA SE CONSIGUE CON LA CULTURA DE SUMAR QUE MULTIPLICA” – SUMATE –

 

Iguala


La iguala es el pago de una cantidad ajustada que se hace con arreglo a unos servicios contratados.

Este es uno de los primeros servicios que puso en marcha Albalia Interactiva, y que seguimos ofreciendo en la actualidad.

Se trata del soporte especializado de consultoría y asesoría en temas de firma electrónica, factura electrónica, banca electrónica, administración electrónica, documentos electrónicos, evidencias electrónicas, comercio electrónico y medios de pago (entre otros aspectos) a entidades de todo tipo que lidien con esos temas, que cuenten con recursos para gestionarlos, pero que no necesitarán contar con especialistas caros, si solo tienen necesidad de ellos en momentos puntuales.

Con una couta mensual muy ajustada se cuenta con especialistas que pueden resolver cualquier duda por compleja que parezca, tanto en temas técnicos como jurídicos.

COM(2007) 267 – Hacia una política general de lucha contra la ciberdelincuencia


Los sistemas informáticos cobran cada vez mayor importancia en nuestras sociedades, y su seguridad abarca numerosos aspectos, entre los cuales la lucha contra la ciberdelincuencia constituye un elemento básico. A falta de una definición comúnmente aceptada de ciberdelincuencia,  los  términos    «ciberdelincuencia»,  «delincuencia    informática», «delincuencia relacionada con los ordenadores» o «delincuencia de alta tecnología» se utilizan a menudo indistintamente.

Para establecer una referencia, definamos «ciberdelincuencia» como las «actividades delictivas realizadas con ayuda de redes de comunicaciones y sistemas de información electrónicos o contra tales redes y sistemas». En la práctica, el término ciberdelincuencia engloba tres tipos de actividades delictivas.

  • El primero comprende formas tradicionales de delincuencia, como el fraude o la falsificación, aunque en el contexto cibernético se refiere específicamente a los delitos cometidos mediante las redes de comunicaciones y los sistemas de información electrónicos (en lo sucesivo, redes electrónicas).
  • El segundo se refiere a la publicación de contenidos ilegales a través de medios de comunicación electrónicos (por ejemplo, imágenes de abuso sexual a menores o incitaciones al odio racial).
  • El tercero incluye delitos específicos de las redes electrónicas, por ejemplo los ataques contra los sistemas informáticos, la denegación de servicio y la piratería. Estos ataques también se pueden dirigir contra infraestructuras críticas fundamentales en Europa y afectar a sistemas de alerta rápida existentes en numerosos ámbitos, con consecuencias potencialmente desastrosas para el conjunto de la sociedad.

La característica común de los tres tipos de delitos es que pueden ser cometidos a gran escala y que puede mediar una enorme distancia geográfica entre el acto delictivo y sus efectos. Por lo tanto, los aspectos técnicos de los métodos de investigación aplicados son a menudo similares.

Todos estos aspectos los desarrolla la  COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO Y AL COMITÉ DE LAS REGIONES: Hacia una política general de lucha contra la ciberdelincuencia, con referencia COM(2007) 267 y fecha de publicación 22.5.2007

Rooted CON: Congreso de Seguridad Informática. Madrid, 18-20 Marzo 2010


El congreso de seguridad Rooted CON, que tendrá lugar en Madrid del 18 al 20 de marzo de 2010, lo organiza un grupo de profesionales con más de 10 años de experiencia en el sector de la Seguridad TIC, junto con especialistas en áreas de hacking, análisis forense e ingeniería inversa, además de ponentes habituales de conferencias de seguridad.

El congreso contendrá conferencias altamente técnicas con un enfoque práctico y contará con diversos eventos como el concurso CTF (“Capture the flag”).

Se celebrará en el Auditorio del Centro de Convenciones Mapfre. Para estimular la inscripción el precio normal de acceso al Congreso es inicialmente de 50€, (estudiantes: 25€) aunque ser irá incrementando progresivamente.

Se dirige tanto a  genios de la seguridad (hackers) como a cualquier persona con inquietudes relacionadas con el mundo de la Seguridad Informática, profesionales del sector (empresas y/o freelancers) y aficionados con alto perfil técnico y elevado potencial en el mercado laboral (underground):

  • Responsables de Seguridad (CSO), Sistemas (CIO), Técnicos (CTO) y managers en general.
  • Cuerpo técnico – consultores, auditores, ingenieros y arquitectos, investigadores,…
  • Docentes – profesores y estudiantes, principalmente de Universidad,…
  • Fuerzas del estado, juristas y especialistas en la lucha contra el crimen tecnológico.
  • Aficionados a la seguridad informática.

Durante el 15, 16 y 17 de Marzo del 2010, los tres días previos a Rooted CON 2010, se celebrarán las acciones formativas RootedLabs, que consisten en una serie de cursos o labs que se llevarán a cabo en la Calle de Cartagena, 70 en Madrid, con un coste de 200€.

CeCOS III, cita en Barcelona contra el crimen electrónico


CeCOS III en Barcelona 2009CeCOS III, la tercera cumbre operativa anual contra el crimen electrónico (Counter-eCrime Operations Summit), tendrá lugar en Barcelona del 12 al 14 de mayo, en las instalaciones del Hotel AB SKIPPER (Avinguda del Litoral 10).

El evento abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.

Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…

El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.

Patrocinadores CeCOS IIIi

Grupo “Evidencias Electrónicas” en LinkedIn


He creado un grupo en “Linked In“especializado en “Evidencias Electrónicas“. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

La clave del correo electrónico de Bisbal. Ojo con las passwords


Según informa AFP, dos mujeres fueron acusadas en República Dominicana por intento de extorsión al cantante español David Bisbal, tras supuestamente exigir dinero a cambio de abstenerse de publicar datos extraídos de forma fraudulenta de su correo electrónico, según fuentes judiciales.

Las dos mujeres son Patricia Miguelina Molina Peña, una profesora de 31 años, y Massiel María Pérez Sarraf, estudiante de 21.

Ambas se encuentran en libertad condicional, por una sentencia de la Oficina Judicial de Servicios de Atención Permanente de Santo Domingo del 22 de diciembre pasado.

Aunque en principio se habló de cuatro personas involucradas, el expediente sólo implica a estas dos.

Las mujeres enfrentarán cargos por exigir 73.000 euros a cambio de no difundir a través de internet informaciones, grabaciones y fotografías íntimas del cantante David Bisbal, explicó el procurador fiscal Johnny Núñez Arroyo en el acto judicial al que tuvo acceso AFP.

La acusación tipifica el delito como chantaje, difamación, extorsión, acceso ilícito, interceptación e intervención de datos o señales, obtención ilícita de datos o señales, obtención ilícita de fondos, estafa, usos de equipos para invasión de privacidad e injuria pública.

“Mi preocupación real y mi miedo era no saber exactamente de cuánta información disponían, pues se trataba de mi cuenta privada de correo que, usualmente, uso para trabajar, mediante la cual había estado enviando y recibiendo las maquetas de mi nuevo disco interpretadas por mi propia voz”, afirmó Bisbal el martes en un comunicado.

Según el procurador fiscal, las dos mujeres pedían que el intérprete de música ‘pop’ depositara el dinero en el Banco Español Sabadell, para ellas retirarlo en diferentes cuentas en bancos dominicanos.

Molina Peña y Pérez Sarraf deberán pagar garantías económicas de 100.000 pesos, unos 2.900 dólares, además de presentarse cada quince días ante el juez, hasta la decisión judicial sobre el fondo del expediente.

La técnica para adivinar la contraseña del cantante está basada en Ingeniería Social, por lo que conviene recordar una vez más las reglas a seguir para elegir buenas contraseñas.

  • La longitud de las contraseñas no debe ser inferior a los siete caracteres.
  • Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.
  • La contraseña no debe contener el identificador o el nombre del usuario o de otras personas.
  • La contraseña no debe ser (o contener) una palabra del diccionario (de cualquier idioma).
  • La contraseña no debe ser una fecha, o un número identificable como el teléfono, el DNI, la matrícula del coche,…
  • La contraseña no debe estar compuesta por letras cuyas teclas sean consecutivas en el teclado
  • Un truco interesante es pensar en una frase (que no sea de uso muy frecuente) y utilizar laa letras iniciales de cada palabra. Ojo, que mucha gente usa este truco y acaba poniendo +vpemq100v (¿adivinas el refrán?)