Archivo de la categoría: SGSI

COBIT 5


Gestionar las Tecnologías de la Información (TI) consiste en tomar decisiones operativas dentro del gobierno de las TI. La gestión de la TI se refiere a los aspectos operativos para el suministro de productos y servicios de TI en la forma más eficaz.

La gestión de la TI se lleva a cabo mediante la adopción de buenas prácticas, ampliamente usadas, que proceden de diversas fuentes como son:

  • Los estándares como ISO 9000, ISO 20000, ISO 27001, ISO 25999 e ISO 38500, que son un conjunto de criterios que ayudan a desplegar y comprobar operativas de gestión saludables en relación con alguna de las lineas de actividad de las empresas, en particular en el uso o comercialización de soluciones TIC. Estos estándares pueden estar basados en prácticas de la industria existentes, u originados por investigación (académica).
  • Las prácticas de la industria (ITIL®, COBIT®, CMMI®, eSCM-SP, PRINCE2TM, PMBOK®, M_o_R®, eTOM®, Six Sigma…) que son un conjunto de guías usadas en la industria.
  • La experiencia interna, también llamada conocimiento propietario.

COBIT-5-ISACAEl estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 estuvo disponible desde mayo de 2007. La última versión del estándar COBIT, versión 5, aparece en el año 2012.

Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

COBIT presenta un enfoque al negocio que radica en vincular las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

COBIT presenta, asimismo, un enfoque respecto a procesos de acuerdo a las fases del ciclo de Deming, ofreciendo una visión de extremo a extremo de la TI, ayudando a identificar los recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

La nueva versión del COBIT se basa en cinco principios clave:

  • Principio 1: Satisfacer las necesidades de las Partes Interesadas.
  • Principio 2: Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio.
  • Principio 3: La aplicación de un único marco de trabajo integrado.
  • Principio 4: Habilitación de un enfoque holístico. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
  • Principio 5: La separación la Gestión de Gobierno.

COBIT 5 ayuda a las empresas de todos los tamaños aportando una beneficios tales como:

  • Mantener la información de alta calidad para apoyar las decisiones de negocios.
  • Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI.
  • Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
  • Mantener los riesgos relacionados con TI a un nivel aceptable.
  • Optimizar los servicios el coste de las TI y la tecnología.
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

Periodo de vigencia del CSV (Código Seguro de Verificación)


En relación con la implementación de la Ley 11/2007 por parte de las administraciones públicas surgen preguntas como ¿Durante cuanto tiempo se pueden ver en la sede electrónica los documentos electrónicos a través del Código Seguro de Verificación?

La normativa desarrollada no contempla todas las opciones y los organismos tienen que tomar decisiones. Para fijar criterio a la hora de trabajar en las implantaciones de la administración electrónica conviene tener en cuenta los conceptos de la diplomática digital.

En relación con la pregunta indicada, hay que decir que el CSV debe conservarse para siempre. El acceso al documento se limita por la política de gestión documental de la entidad, y debe poder hacerse siempre, bien en la sede electrónica original, bien en el organismo a cargo del archivo.

Hay que hacerse a la idea de que el CSV equivale al número de protocolo de los notarios.

En el ámbito notarial, se puede solicitar copia simple o auténtica de un documento a partir de su matriz en el propio notario que lo protocolizó (cuya identidad equivale a la de la sede electrónica del organsmo) o bien en su sucesor en el protocolo, o bien en el sistema de archivo a largo plazo de protocolos.

En el caso de las administraciones públicas, siempre debe quedar definido en la política de gestión documental el órgano ante el que se puede solicitar el documento una vez superada la fase administrativa en la que el procedimiento esta “vivo” o dentro de los plazos de prescripción.

Y para el “handout” de documentos electrónicos auténticos, cuando deban hacerse cargo de ello los archivos a largo plazo, debe firmarse entre el organismo cedente y el cesionario un documento que refleje las técnicas de preservación documental electrónica previas y futuras y los controles de integridad (hashes y timestampings) de los documentos (o colecciones) transferidos.

Atenea Interactiva organiza cursos de Diplomática Digital. Se puede contactar con el 902 365 612 o el 917160555 para solicitar un curso in-company o para inscribirse en el próximo seminario abierto sobre este tema.

Homsec 2010


Del 15 al 18 de marzo se celebra en Madrid Homsec 2010 – Salón Internacional de Seguridad y Defensa en España.

El evento tendrá lugar en IFEMA, Feria de Madrid en el  Pabellón 7.

Se verán representados todos estos subsectores:

ELECTRÓNICA E INFORMÁTICA

  • Escáneres y detectores de metales.
  • Radio-Telecomunicaciones-Transmisiones.
  • Identificación y visualización.
  • Emisores – Receptores – Emisores-receptores.
  • Identificación biométrica.
  • Antenas – Torres -Mástiles.
  • Vigilancia.
  • Antenas VHF.
  • Vigilancia del espacio aéreo.
  • Antenas UHF.
  • Vigilancia de zonas marítimasy puertos.
  • Telefonía-Interfonía-Fax.
  • Vigilancia y control aeropoprtuario.
  • Cascos de escucha-amplificadores de sonido-Micrófonos.
  • Vigilancia del tráfico urbano.
  • Fibra óptica.
  • Vigilancia del tráfico por carretera.
  • Conectores ópticos.
  • Vigilancia y control de fronteras.
  • Tratamiento y transmisiones de la información.
  • Vigilancia de zonas sensibles y seguridad perimétrica.
  • Monitorización y gestión de las comunicaciones.
  • Vídeo vigilancia.
  • Transmiciones por satélite.
  • Salas de control.
  • Comunicaciones móviles.
  • Vigilancia  telefónica.
  • Guerra electrónica.
  • Sistemas de localización.
  • Interferidores de GSM.
  • GPS.
  • Interferidores de vídeo.
  • GSM.
  • Interferidores de rádar.
  • HF.
  • Escucha/Contra escuchas.
  • Goniometría.
  • Detección de escuchas.
  • Localización y seguimiento de vehículos. Gestión de flotas
  • Detectores y captadores diversos.
  • Otras aplicaciones. Medidas, Autentificación, etc.
  • Vigilancia electro-acústica.
  • Equipos de medidas balísticas.
  • Codificadores – Decodificadores.
  • Equipos de medidas de transmisión y telecomunicaciones de datos.
  • Redes de comunicación de alta seguridad.
  • Ottros equipos de medida.
  • Control de acceso y vigilancia.
  • Magnetofones y grabadoras.
  • Control y gestión de acceso.
  • Róbotica.
  • Protección electromagnética.
  • Tarjetas de identidad.
  • Informática.
  • Tratamiento de ficheros y base de datos.
  • Materiales y software de autentificación.
  • Firma electrónica.
  • Reconocimiento de escritura.
  • Reconocimiento de voz.
  • Tratamiento de tarjetas de identidad y de huellas digitales.
  • Tratamiento, procesamiento y visualización de la información.
  • Análisis de imágenes
  • Archivo de imágenes.
  • Sistemas de explotación de alta seguridad – control de accesos informáticos y tarjetas con sistemas de autentificación.
  • Hardware y software de cifra.
  • Criptografía y cifradores.
  • Criptofonía.
  • Seguridad de los sistemas informáticos.
  • Seguridad en Internet
  • Seguridad de las redes.
  • Seguridad de productos fedatarios.
  • Detectores de billetes falsos.
  • Software.
  • Software para controles de seguridad.
  • Software anti-virus – firewall.
  • Editores de software.
  • Otro material informático.
  • Componentes.
  • Ordenadores robustecidos.
  • Códigos de barras.
  • Informática e inteligencia artificial.
  • Integradores de sistemas.
  • Sistemas de información geográfica GIS.

MOVILIDAD

  • Conectores eléctricos.
  • Terrestre
  • Holografía.
  • Vehículos ligeros.
  • Otros.
  • Vehículos pesados.
  • Vehículos de intervención rápida todo terreno.
  • Vehículos blindados ligeros.
  • Vehículos de transporte de materiales y líquidos.
  • Vehículos especializados.
  • Vehículos de transporte de fondos.
  • Vehículos contra manifestaciones.
  • Vehículos de urgencias.
  • Motos.
  • Carroceros.
  • Aérea.
  • Aviones de búsqueda y reconocimiento
  • Helicópteros.
  • Aviones ligeros, no tripulados, globos, etc.
  • Marítima y fluvial.
  • Embarcaciones de vigilancia general.
  • Botes (rígidos, neumáticas, etc).
  • Motores.
  • Equipos de inmersión.
  • Equipos de descompresión.
  • Equipamiento y componentes.
  • Blindajes – Materiales composites.
  • Vidrios y filmes de seguridad.
  • Equipamiento de protección para vehículos.
  • Señalización: Sirenas, bocinas, luces, etc.
  • Equipamiento especial, suspensiones, neumáticos, etc.
  • Otros.

INGENIERÍA – CONSULTORAS-FORMACIÓN – ENTRENAMIENTO – SERVICIOS.

  • Equipos y materiales para artificieros.
  • Ingeniería y consultorías.
  • Iniciadores, multiplicadores, detonadores, iniciadores eléctricos y pirotécnicos.
  • Análisis y gestión de riesgos en general.
  • Materiales especiales.
  • Diseño de sistemas de protección: NBQ, anti-intrusión, informática, etc.
  • Cañones de agua, etc.
  • Calidad y control de los sistemas de protección.
  • Sistemas para limpieza del cañón de las armas.
  • Estudios y análisis de las técnicas criminalísticas.
  • Materiales para fuerzas especiales.
  • Asesoramiento en aspectos físicos y químicos.
  • Señuelos y contramedidas.
  • Empresas asesoras – Auditorias de técnicas forenses.
  • Camuflaje.
  • Inteligencia económica.
  • Equipos de inmersión.
  • Análisis visual.
  • Cronógrafos y relojes de inmersión.
  • Análisis del comportamiento.
  • Accesorios diversos.
  • Asesoramiento en radiocomunicaciones.
  • Formación.

ÓPTICA Y OPTRÓNICA

  • Centros de formación.
  • Equipos de visión.
  • Equipos y materiales de formación y entrenamiento (simuladores, material de enseñanza, galerías de tiro, blancos, etc).
  • Direcciones de tiro.
  • Simuladores.
  • Telémetros.
  • Material de enseñanza.
  • Equipos de visión y observación.
  • Galerías de tiro.
  • Gafas.
  • Blancos .
  • Ópticas de puntería.
  • Servicios.
  • Tratamiento de imágenes.
  • Control de accesos.
  • Observación – equipos de fotografía tradicional.
  • Transportes especiales.
  • Equipos de fotografía digital.
  • Protección personal, guardaespaldas.
  • Equipos de visión nocturna.
  • Vigilantes.
  • Equipos de visión infrarroja.
  • Agencias de información.
  • Cámaras.
  • Cámaras miniatura.

ARMAMENTO Y MUNICIONES.

  • Cámaras térmicas.
  • Armamento.
  • Transmisión de imágenes.
  • Armas de pequeño y mediano calibre.
  • Cartografía.
  • Armas no letales.
  • Equipos y accesorios.
  • Lanzadores de granadas.
  • Transmisión de voz por proyectores infrarrojos.
  • Torretas de ametralladoras y lanzagranadas.
  • Proyectores y linternas de corto y largo alcance.
  • Armas blancas.
  • Lámparas estereoscópicas.
  • Municiones y artificios.
  • Municiones de pequeño y mediano calibre.
  • Municiones no letales (gases lacrimógenos, fumígenos, pimienta, etc.).
  • Otros proyectiles ( iluminantes, sonoros, etc).
  • Productos especiales que no causen heridas.
  • Pólvoras y explosivos
  • Sistemas de desactivación

TEXTILES Y EQUIPAMIENTOS ESPECIALES.

  • Equipos de detección, control y vigilancia climática, sísmica, NBQ, etc.
  • Textiles técnicos.
  • Equipos  especiales de telecomunicaciones
  • Materiales composite.
  • Equipamiento de localización.
  • Tejidos reflectantes y especiales.
  • Equipamiento de salvamento: grúas, cizallas, corte, separadores portátiles, evacuación, etc.
  • Tratamientos especiales, endurecimiento, camuflaje, etc.
  • Puentes y Transporte.
  • Entretelas y refuerzos para uniformes.
  • Asistencia a víctimas.
  • Tejidos y fibras de alta resistencia- fibras especiales.
  • Ayuda y suministros médico-quirúrgicos.
  • Textiles para empleo en hospitales.
  • Identificación y transporte de víctimas.
  • Protección balística.
  • Otros equipos especializados.
  • Telas no tejidas.
  • Desinfectación, desinsectación y descontaminación.
  • Uniformes.
  • Vigilancia y control de zonas de catástrofes y de incendios.
  • Uniformes de servicio y de desfile.
  • Equipos de apoyo logístico.
  • Uniformes de combate, trabajo, instrucción, etc.
  • Tiendas, ropas, mantas, etc.
  • Equipos y ropas de protección ( contra el fuego, frío, lluvia, montaña, mar, etc).
  • Acondicionamiento, almacenaje y transporte.
  • Uniformes y equipos especiales.
  • Embalajes especiales (bolsas, maletas, etc).
  • Chalecos antibala, antifragmento, para golpes, etc.
  • Almacenes fijos y móviles.
  • Ropa NBQ, antiG, etc.
  • Transporte de productos sensibles y mercancías peligrosas.
  • Camisería – ropa de equipamiento.
  • Apoyo al personal – raciones alimenticias, equipos de cocina, tratamiento, almacenaje y distribución de agua.
  • Sistemas calefactores (fibras de todo tipo).
  • Iluminación.
  • Gorras, boinas, sombreros civiles y militares.
  • Energía (eléctrica, neumática, hidráulica, térmica, solar, etc).
  • Calzado, zapatos, botas, especiales.
  • Baterías.
  • Otros artículos empleados en confección.
  • Balizamiento, señalización luminosa.
  • Equipamiento individual y colectivo.
  • Seguridad perimétrica.
  • Artículos diversos.
  • Barreras.
  • Sacos, estuches, mochilas, etc.
  • Barreras móviles de seguridad.
  • Silbatos, porras, esposas, etc.
  • Cerramientos.
  • Cinturones, bandoleras, arneses, guantes, cartucheras, correajes, etc.
  • Alambradas.
  • Redes de camuflaje.
  • Concertinas.
  • Equipos de campamento.
  • Otros (Trampas anti vehículos).
  • Insignias, escudos, divisas, bordados, etc.
  • Equipos especiales.
  • Cascos.
  • Tratamiento de documentos confidenciales custodia, transporte, destrucción.
  • Accesorios para pistolas y sables ( pistoleras, correajes, etc).
  • Equipamiento de laboratorio – Policía científica.
  • Protectores de oídos (activos y pasivos).
  • Pruebas de control y detección.
  • Protectores respiratorios, máscaras de gas.
  • Alcoholímetros.
  • Máscaras protectoras, gafas de seguridad.
  • Tests de drogas.
  • Otros equipos de seguridad física.

TECNOLOGÍAS ESPECÍFICAS.

  • Sistemas de apertura y cierre (candados, otros).
  • Equipos para emergencias y catástrofes.
  • Cajas fuertes.
  • Limpieza de minas: equipos de protección y limpieza de minas. Desactivación de  explosivos.
  • Equipamiento y accesorios de perforación.
  • Blindajes.
  • Blindajes ultraligeros (carburo de silicio).
  • Otros tipos de blindajes.
  • Equipos de meteorología.
  • Detección.
  • Detección de drogas.
  • Detección de explosivos.
  • Detección de metales.
  • Detección de minas.
  • Detección NBQ.
  • Detección Rayos X.
  • Detección de fuego y humos.
  • Detección de gas.
  • Sector penitenciario – Prisiones.
  • Equipamiento físico de las prisiones. Equipamiento de las celdas.
  • Equipamiento para vigilancia personal electrónica (brazaletes, implantes…).
  • Seguridad perimétrica.
  • Seguridad de instalaciones petrolíferas.

OTROS.

  • Administraciones, Organismos, Asociaciones.
  • Prensa especializada.

.

ISO 27001 para Albalia Interactiva


Los últimos dias del año 2009 vieron como lográbamos un hito importante (para nosotros) tras un año de esfuerzo. La certificación UNE-ISO/IEC 27001:2007 expedida por AENOR, con el número SI-0094/2009

El estándar para la seguridad de la información UNE-ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En España, en el año 2004 se publicó su antecesora, la norma UNE 71502 “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)” y fue elaborada por el comité técnico AEN/CTN 71. Era la adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502

La norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Se relaciona con la adopción de buenas prácticas según se describe en la antigua norma ISO/IEC 17799 que ha pasado a ser la actual ISO/IEC 27002.

La implantación de UNE-ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance (el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información). En nuestro caso, nos ha costado casi 12 meses el esfuerzo de adecuación y certificación, considerando que además hemos renovado este año las certificaciones ISO 9001 e ISO 14001. En cuanto al alcance, este ha tenido en cuenta la prestación de servicios de alojamiento de PKI y Prestadores de Servicios de Certificación (PSC), ya que prestamos servicios a otras empresas del grupo y quien sabe si llegaremos a prestar servicios de alojamiento y gestión de Autoridades de Certificación de otras entidades.

El Proyecto de Adecuación y Certificación  ha sido posible gracias al impulso del Plan Avanza, en el marco del Proyecto PYMESecurity, TSI-030200-2008-0030,  coordinado por CONETIC Confederación Española de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (que agrupa a 14 Asociaciones Territoriales). La empresa que nos ayudó en la adecuación fue S21Sec, y la Entidad de Certificación AENOR.

PymeSecurity es un proyecto de ámbito nacional que pretende establecer un factor de competitividad clave para la consolidación del sector TIC Español de mayor fragmentación, como es el de la MicroPyme y Pyme, cuya distinción por la calidad será determinante para su supervivencia empresarial.


Grupo “Evidencias Electrónicas” en LinkedIn


He creado un grupo en “Linked In“especializado en “Evidencias Electrónicas“. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Disponible la norma ISO 27005:2008


Desde el pasado 4 de Junio, se encuentra disponible la norma ISO de la familia 27000, destinada al análisis y gestión de riesgos relacionados con la seguridad de la información.

ISO/IEC 27005:2008 (Information technology — Security techniques — Information security risk management) proporciona una guía para la gestión de riesgos de seguridad de la información. Da soporte a los conceptos generales incluidos en ISO 27001 y ha sido diseñada por el JTC 1/SC 27 para ayudar en la tarea de gestión de la seguridad de la información basada en una aproximación de gestión de riesgos. Es recomendable conocer los conceptos, modelos, procesos y terminología de ISO27001 e ISO27002 para entender el nuevo estándar ISO 27005:2008.

La norma de gestión de riesgos es aplicable a todas los tipos de organizaciones (empresas, organismos guvernamentales y sin ánimo de lucro) interesadas en gestionar los riesgos que puedan suponer la vulneración de la seguridad de la información de la entidad.

CIT estrena Blog


El CIT (Congreso Internacional de Tarjetas) ha superado las 10 ediciones y llega este año redefiniendo su vocación “El evento ibérico de Smart Cards, Identificación y Medios de Pago“. Se celebra desde el 1 al 3 de Abril de 2008 en el Palacio Municipal de Congresos (Campo de las Naciones, Avda. Capital de España Madrid, s/n. 28042 Madrid)

La XI edición, CIT’2008, se consolida como punto de encuentro del sector bancario en los aspectos más tecnológicos, y con la incorporación de otros sectores, como el del transporte, en los que se usan también las diferentes clases de tarjetas de plástico.

Y ahora con una nueva iniciativa: el Blog del CIT 2.0 .  Un espacio abierto a la información y el debate en un nueva dimensión abierta a la interactividad. CIT 2.0. pretende recoger los comentarios acerca de las novedades del sector así como la opiniones y/o sugerencias en torno al propio evento.

A ver si nos vemos por allí. Yo estaré presidiendo la jornada del dia 3, en el track de Identidad Digital y dando algunas ideas para el despliegue del DNI electrónico en las entidades financieras.

Y el dia 2 estaré en la Zona Expo CIT con un Workshop sobre PCI-DSS que espero que os parezca interesante.