Aunque este mensaje ha sido posteado el 1 de julio del 2004, he querido ponerlo este día en recuerdo y solidaridad con las victimas.
Hoy sobran las palabras...
Rompecadenas - Hoaxes, spam y virus
Esta es la dirección de un web que conviene visitar, antes de reenviar uno de esos mensajes solidarios o de cadena, donde se pide por motivos humanitarios, reenviar un correo a todos nuestros conocidos.
Dado que el spam empieza a ser la plaga del siglo XXI, vamos entre todos a tratar de contribuir a evitarlo, en la medida de lo posible
Esta es la dirección de un web que conviene visitar, antes de reenviar uno de esos mensajes solidarios o de cadena, donde se pide por motivos humanitarios, reenviar un correo a todos nuestros conocidos.
Dado que el spam empieza a ser la plaga del siglo XXI, vamos entre todos a tratar de contribuir a evitarlo, en la medida de lo posible
Gestión de la seguridad de la información
Navegando con Google, he encontrado en un blog vecino, un resumen de las Jornadas que el Ministerio de Ciencia y Tecnología dedicó en noviembre del 2003 a la Certificación de la Seguridad. A continuación, os posteo los comentarios que en este blog recogen lo hablado en las jornadas.
Otro día, dedicaré mas tiempo a hablar de la ISO 17799-1 y los sistemas de gestión de la seguridad de la información.
"Diario de Sesiones"
Hoy el MCYT nos ha convocado en las intalaciones del CSIC (los listos que cuidan de que el árbol de la ciencia crezca sano y frondoso en nuestro país) y nos ha convocado para una jornada divulgativa , planteada también como punto de encuentro de la industria relacionada con la certificación de la seguridad de la información. Se trata de una iniciativa que se enmarca dentro de la directriz de seguridad del plan para el desarrollo de la sociedad de la información (SI) Espańa.es. De modo que, con el habitual retraso de siempre, nuestro estimado colega, Jorge Pérez Martínez nos ha dirigido unas palabras, a modo de apertura, donde insistía en la importancia de la seguridad de la información que circula por las redes y del creciente grado de dependencia que vamos asumiendo a medida que avanzamos en el desarrollo de esa SI. Y hacía hincapié en dos cosas: la percepción de confianza, como factor indispensable para que la sociedad civil acepte la implantación efectiva de ese nuevo modelo de sociedad basada en el conocimiento y en una capacidad de interacción ilimitada; y la necesaria participación del tejido empresarial que definir los mecanismos y estándares (en el sentido de las buenas prácticas) que permitan esa percepción. Evidentemente, Jorge, como buen profesional, metido en su nuevo papel, no perdió la ocasión para vender el proyecto de Firma Digital, y el DNI Digital, que se espera entre en piloto pronto.
La mańana se organizaba en torno a dos mesas redondas: la primera, formada por las entidades de certificación, pretendía dar el enfoque normativo; mientras que la segunda, formada por representantes del mundo empresarial, pretendía mostrar la realidad de la certificación desde el mundo real, de la competencia empresarial.
Después de las dos mesas, se cerraba la programación con la visión de la Administración Pública, en base a las ponencias, por un lado del Ministerio, y por otra del CNI.
Antes de la primera mesa, vimos como las expectativas de cumplimiento con el horario previsto se diluían lentamente a lo largo de tres ponencias previas. En la primera, la entidad acreditadora a nivel nacional, ENAC, nos intentaba ilustrar el esquema que siguen los procesos de acreditación y certificación en Espańa y en Europa, y nos daba una idea del cuerpo normativo con el que se cuenta actualmente para abordar la certificación de los sistemas de gestión de los sistemas de información, situándonos en su contexto la norma estrella del día: la BS-7799, originaria de la BSI, acreditada por UKAS (el análogo de ENAC en el Reino Unido).
La siguiente ponencia, a cargo de un chaval de Marketing del BSI, ahondó más en la BS-7799, insistiendo más en la separación, ya introducida por la representante de ENAC, entre la parte 1 de la norma, convertida ya en 1999 en el estándar internacional ISO/IEC 17799-1, y que básicamente contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información (127 criterios divididos en 10 temáticas), y la parte 2, que es donde realmente se certifican los procesos y la implantación de los mismos en la operación de la empresa. Es aquí donde comienza el discurso comercial vendiendo esta parte de la norma prácticamento como un estándar de facto y haciendo hincapié en el éxito que está teniendo en los paises asiáticos, aprovechando su enfoque de búsqueda de la integración con otras normas de certificación de sistemas de gestión, como la ISO 9000 y la ISO 14000.
A continuación, un representante de AENOR, detalló un poco más el cuerpo normativo existente en nuestro país... A destacar la UNE 71501, y lo que todavía es PNE 71502 (que se espera UNE a fin de ańo). Más de lo mismo, con la misma efectividad: ni siquiera estoy seguro de esos dos números.
Más interesante resultó la presentación de ASIMELEC, con los resultados más relevantes de su informe sobre la adopción de sistemas de seguridad en la empresa espańola: sobre la base de una encuesta de 140 preguntas, realizada sobre un universo de 52 empresas, se vertía una visión francamente pesimista () donde se destacaba la baja adopción de tecnologías de seguridad que se consideraban ampliamente difundidas y, sobre todo, la falta de una cultura orientaba a la actuación proactiva, que nos llevaba a bajos niveles de adopción incluso en temas de conformidad legal, como la LOPD.
Resultó bastante clarificadora la exposición de un chaval, con acento canario y apellido nórdico, que en representación de Applus+ nos contó la situación en que se encontraba el desarrollo de lo que será, algún día, el ISO/IEC 17799-2, a partir de los trabajos del SC27. Lejos de confirmar los deseos del BSI, dando por hecho el que era sólo cuestión de tiempo el que se lanzara un Fast Track para la adopción directa de la BS 7799 parte 2, se ha decidido hacerlo por la vía del Normal Track (5 ańos) y sobre la base de un estudio preliminar de varias de las normas existentes, una de las cuales es la BS 7799-parte-2, siendo otra de las destacadas una norma del NIST norteamericano que presenta la peculiaridad de no ser compatible con ISO 9000 o ISO 14000.
Esta presentación ya resaltaba el tema de la tendencia integradora de los sistemas de certificación; muy deseable a priori desde el punto de vista de las empresas, que deben afrontar las auditorías correspondientes a diferentes certificaciones de sistemas de gestión, con lo que ello comporta en cuanto a la asignación de recursos y su productividad.
La mesa se cerraba con la intervención de un representante del INTA, que hizo un intento de exposición de lo que significa el CommonCriteria y sus orígenes; y digo intento, porque lo que casi consiguió es dormirnos a todos leyendo una serie de transparencias en un fondo azul soporífero... Sin embargo seńaló una cuestión que se había obviado, y que sin embargo es fundamental: Toda la normativa sobre la que giraban las jornadas estaba destinada a la certificación de sistemas de gestión en general, y de sistemas y seguridad de la información en particular; y no a la certificación de la implantación de esos sistemas...
Un breve receso para el café dio paso a la segunda mesa, donde un chaval de EADS-CASA exponía más o menos claramente el proceso que se sigue en la evaluación, certificación y acreditación de la seguridad de los sistemas de información en la industria. Más enriquecedora, y esperada, fue la exposición del representante de Ericsson Espańa, puesto que presentaba el único caso de una empresa en este país en posesión de la certificación BS 7799-2:2002 (La última Revición del BSI). Un caso práctico que se reveló como una respuesta a una necesidad del mercado. En este caso Ericsson quería certificar la seguridad de los algoritmos que las operadoras les confiaban bajo la custodia de su oficina del AUC de su centro de I+D de Madrid. Un caso que destacaba dos puntos: la importancia de la definición del alcance en un proyecto de certificación, y el valor de la certificación como ventaja competitiva, y por tanto su utilización como argumento de venta.
Cerrando la segunda mesa, la directora general de Finmatica Espańa, daba la visión desde el Management moderno relacionando la certificación con la cobertura de la necesidad de cuantificación que surge al integrar la seguridad al mismo nivel que la calidad dentro de los sistemas de gestión de la empresa... Insistía esta mujer en una idea que casí todos los ponentes habían dejado sobre la mesa: LA SEGURIDAD NO ES UN PRODUCTO, SINO UN PROCESO, con todo lo que eso implica al considerarla dentro del sistema de gestión. Me refiero a la necesidad de un esfuerzo de comunicación a todos los niveles, el compromiso explícito de la Dirección, la necesidad de mejora contínua.
Al final, el autor de estas líneas, indignado ante la falta de seriedad en la programación del tiempo (un fallo recurrente, inaceptable de todo punto) optó por desaparecer e irse a compartir mesa y mantel con otro segmento del tejido empresarial del país... La visión del Ministerio de Administraciones Públicas y del CNI habrá que deducirla del material presentado.
Punto de reflexión: La tendencia a la integración de los estándares de certificación de sistemas de gestión y su relación con el valor como ventaja competitiva de los certificados, así como su efecto en el mercado de confianza (impacto en los distintos actores: auditores, consultores, certificadores, acreditadores, y comercializadores de las normas como BSI).
Enlaces que hay que visitar:
1.- El sitio de ASIMELEC
2.- El portal del BSI sobre la BS-7799-2:2002
3.- El portal de AENOR y buscar la norma UNE 71502:2004
4.- La Web del MCYT, donde se podrán descargar en las presentaciones del evento
La noticia original proviende de Antoine's Blog on Business and Technology.
Navegando con Google, he encontrado en un blog vecino, un resumen de las Jornadas que el Ministerio de Ciencia y Tecnología dedicó en noviembre del 2003 a la Certificación de la Seguridad. A continuación, os posteo los comentarios que en este blog recogen lo hablado en las jornadas.
Otro día, dedicaré mas tiempo a hablar de la ISO 17799-1 y los sistemas de gestión de la seguridad de la información.
"Diario de Sesiones"
Hoy el MCYT nos ha convocado en las intalaciones del CSIC (los listos que cuidan de que el árbol de la ciencia crezca sano y frondoso en nuestro país) y nos ha convocado para una jornada divulgativa , planteada también como punto de encuentro de la industria relacionada con la certificación de la seguridad de la información. Se trata de una iniciativa que se enmarca dentro de la directriz de seguridad del plan para el desarrollo de la sociedad de la información (SI) Espańa.es. De modo que, con el habitual retraso de siempre, nuestro estimado colega, Jorge Pérez Martínez nos ha dirigido unas palabras, a modo de apertura, donde insistía en la importancia de la seguridad de la información que circula por las redes y del creciente grado de dependencia que vamos asumiendo a medida que avanzamos en el desarrollo de esa SI. Y hacía hincapié en dos cosas: la percepción de confianza, como factor indispensable para que la sociedad civil acepte la implantación efectiva de ese nuevo modelo de sociedad basada en el conocimiento y en una capacidad de interacción ilimitada; y la necesaria participación del tejido empresarial que definir los mecanismos y estándares (en el sentido de las buenas prácticas) que permitan esa percepción. Evidentemente, Jorge, como buen profesional, metido en su nuevo papel, no perdió la ocasión para vender el proyecto de Firma Digital, y el DNI Digital, que se espera entre en piloto pronto.
La mańana se organizaba en torno a dos mesas redondas: la primera, formada por las entidades de certificación, pretendía dar el enfoque normativo; mientras que la segunda, formada por representantes del mundo empresarial, pretendía mostrar la realidad de la certificación desde el mundo real, de la competencia empresarial.
Después de las dos mesas, se cerraba la programación con la visión de la Administración Pública, en base a las ponencias, por un lado del Ministerio, y por otra del CNI.
Antes de la primera mesa, vimos como las expectativas de cumplimiento con el horario previsto se diluían lentamente a lo largo de tres ponencias previas. En la primera, la entidad acreditadora a nivel nacional, ENAC, nos intentaba ilustrar el esquema que siguen los procesos de acreditación y certificación en Espańa y en Europa, y nos daba una idea del cuerpo normativo con el que se cuenta actualmente para abordar la certificación de los sistemas de gestión de los sistemas de información, situándonos en su contexto la norma estrella del día: la BS-7799, originaria de la BSI, acreditada por UKAS (el análogo de ENAC en el Reino Unido).
La siguiente ponencia, a cargo de un chaval de Marketing del BSI, ahondó más en la BS-7799, insistiendo más en la separación, ya introducida por la representante de ENAC, entre la parte 1 de la norma, convertida ya en 1999 en el estándar internacional ISO/IEC 17799-1, y que básicamente contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información (127 criterios divididos en 10 temáticas), y la parte 2, que es donde realmente se certifican los procesos y la implantación de los mismos en la operación de la empresa. Es aquí donde comienza el discurso comercial vendiendo esta parte de la norma prácticamento como un estándar de facto y haciendo hincapié en el éxito que está teniendo en los paises asiáticos, aprovechando su enfoque de búsqueda de la integración con otras normas de certificación de sistemas de gestión, como la ISO 9000 y la ISO 14000.
A continuación, un representante de AENOR, detalló un poco más el cuerpo normativo existente en nuestro país... A destacar la UNE 71501, y lo que todavía es PNE 71502 (que se espera UNE a fin de ańo). Más de lo mismo, con la misma efectividad: ni siquiera estoy seguro de esos dos números.
Más interesante resultó la presentación de ASIMELEC, con los resultados más relevantes de su informe sobre la adopción de sistemas de seguridad en la empresa espańola: sobre la base de una encuesta de 140 preguntas, realizada sobre un universo de 52 empresas, se vertía una visión francamente pesimista () donde se destacaba la baja adopción de tecnologías de seguridad que se consideraban ampliamente difundidas y, sobre todo, la falta de una cultura orientaba a la actuación proactiva, que nos llevaba a bajos niveles de adopción incluso en temas de conformidad legal, como la LOPD.
Resultó bastante clarificadora la exposición de un chaval, con acento canario y apellido nórdico, que en representación de Applus+ nos contó la situación en que se encontraba el desarrollo de lo que será, algún día, el ISO/IEC 17799-2, a partir de los trabajos del SC27. Lejos de confirmar los deseos del BSI, dando por hecho el que era sólo cuestión de tiempo el que se lanzara un Fast Track para la adopción directa de la BS 7799 parte 2, se ha decidido hacerlo por la vía del Normal Track (5 ańos) y sobre la base de un estudio preliminar de varias de las normas existentes, una de las cuales es la BS 7799-parte-2, siendo otra de las destacadas una norma del NIST norteamericano que presenta la peculiaridad de no ser compatible con ISO 9000 o ISO 14000.
Esta presentación ya resaltaba el tema de la tendencia integradora de los sistemas de certificación; muy deseable a priori desde el punto de vista de las empresas, que deben afrontar las auditorías correspondientes a diferentes certificaciones de sistemas de gestión, con lo que ello comporta en cuanto a la asignación de recursos y su productividad.
La mesa se cerraba con la intervención de un representante del INTA, que hizo un intento de exposición de lo que significa el CommonCriteria y sus orígenes; y digo intento, porque lo que casi consiguió es dormirnos a todos leyendo una serie de transparencias en un fondo azul soporífero... Sin embargo seńaló una cuestión que se había obviado, y que sin embargo es fundamental: Toda la normativa sobre la que giraban las jornadas estaba destinada a la certificación de sistemas de gestión en general, y de sistemas y seguridad de la información en particular; y no a la certificación de la implantación de esos sistemas...
Un breve receso para el café dio paso a la segunda mesa, donde un chaval de EADS-CASA exponía más o menos claramente el proceso que se sigue en la evaluación, certificación y acreditación de la seguridad de los sistemas de información en la industria. Más enriquecedora, y esperada, fue la exposición del representante de Ericsson Espańa, puesto que presentaba el único caso de una empresa en este país en posesión de la certificación BS 7799-2:2002 (La última Revición del BSI). Un caso práctico que se reveló como una respuesta a una necesidad del mercado. En este caso Ericsson quería certificar la seguridad de los algoritmos que las operadoras les confiaban bajo la custodia de su oficina del AUC de su centro de I+D de Madrid. Un caso que destacaba dos puntos: la importancia de la definición del alcance en un proyecto de certificación, y el valor de la certificación como ventaja competitiva, y por tanto su utilización como argumento de venta.
Cerrando la segunda mesa, la directora general de Finmatica Espańa, daba la visión desde el Management moderno relacionando la certificación con la cobertura de la necesidad de cuantificación que surge al integrar la seguridad al mismo nivel que la calidad dentro de los sistemas de gestión de la empresa... Insistía esta mujer en una idea que casí todos los ponentes habían dejado sobre la mesa: LA SEGURIDAD NO ES UN PRODUCTO, SINO UN PROCESO, con todo lo que eso implica al considerarla dentro del sistema de gestión. Me refiero a la necesidad de un esfuerzo de comunicación a todos los niveles, el compromiso explícito de la Dirección, la necesidad de mejora contínua.
Al final, el autor de estas líneas, indignado ante la falta de seriedad en la programación del tiempo (un fallo recurrente, inaceptable de todo punto) optó por desaparecer e irse a compartir mesa y mantel con otro segmento del tejido empresarial del país... La visión del Ministerio de Administraciones Públicas y del CNI habrá que deducirla del material presentado.
Punto de reflexión: La tendencia a la integración de los estándares de certificación de sistemas de gestión y su relación con el valor como ventaja competitiva de los certificados, así como su efecto en el mercado de confianza (impacto en los distintos actores: auditores, consultores, certificadores, acreditadores, y comercializadores de las normas como BSI).
Enlaces que hay que visitar:
1.- El sitio de ASIMELEC
2.- El portal del BSI sobre la BS-7799-2:2002
3.- El portal de AENOR y buscar la norma UNE 71502:2004
4.- La Web del MCYT, donde se podrán descargar en las presentaciones del evento
La noticia original proviende de Antoine's Blog on Business and Technology.
Hola, hoy de nuevo abordando el tema del tan indeseado spam.
Existe una web .Spamhole que trata de proporcionar un servicio util, para aquellas webs que piden una dirección de correo y nos envian cualquier cosa que es necesario consultar. Para evitar dar nuestra dirección real, existe Spamhole.
Este servicio permite crear una cuenta temporal en spamhole y redirigir a tu cuenta real, los correos recibidos en la cuenta ficticia. Pasado el tiempo de vigencia de la cuenta, esta deja de estar operativa.
Si la hemos utilizado para alguna subscripción, recibiremos en nuestro correo real el mensaje deseado, y pasado el tiempo establecido para la cuenta, la cuenta deja de existir.
Existe una web .Spamhole que trata de proporcionar un servicio util, para aquellas webs que piden una dirección de correo y nos envian cualquier cosa que es necesario consultar. Para evitar dar nuestra dirección real, existe Spamhole.
Este servicio permite crear una cuenta temporal en spamhole y redirigir a tu cuenta real, los correos recibidos en la cuenta ficticia. Pasado el tiempo de vigencia de la cuenta, esta deja de estar operativa.
Si la hemos utilizado para alguna subscripción, recibiremos en nuestro correo real el mensaje deseado, y pasado el tiempo establecido para la cuenta, la cuenta deja de existir.
Hoy he querido mencionar una clasificación sobre rumores (hoax) que circulan por correo electrónico, que como podéis ver, aunque parezcan inofensivos, también son una amenaza para la seguridad de la información. Es más, a veces se subestima su auténtico potencial, pero un rumor bien difundido y con mala intención, puede causar un dańo en la imagen de la compańia mucho mayor del que causa sobre los equipos, un virus informático.
A continuación, se detalla la clasificación de Hoax que ha realizado Hoaxbusters.
Hoax Categories
Malicious Code (Virus and Trojan ) Warnings
Warnings about Trojans, viruses, and other malicious code that has no basis in fact. The Good Times and other similar warnings are here.
Urban Myths
Warnings and stories about bad things happening to people and animals that never really happened. These are the poodle in the microwave and needles in movie theater seats variety.
Give Aways
Stories about give aways by large companies. If you only send this on, some big company will send you a lot of money, clothes, a free vacation, etc., etc. Expect to wait a long time for any of these to pay off.
Inconsequential Warnings
Out of date warnings and warnings about real things that are not really much of a problem..
Sympathy Letters and Requests to Help Someone Requests for help or sympathy for someone who has had a problem or accident.
Traditional Chain Letters
Traditional chain letters that threaten bad luck if you do not send them on or that request you to send money to the top n people on the list before sending it on..
Threat Chains
Mail that threatens to hurt you, your computer, or someone else if you do not pass on the message.
Scam Chains
Mail messages that appear to be from a legitimate company but that are scams and cons.
Scare Chains
Mail messages that warn you about terrible things that happen to people (especially women).
Jokes Warning messages that it's hard to imagine that anyone would believe.
True Legends
Real stories and messages that are not hoaxes but are still making the rounds of the Internet.
Hacked History
Real stories where the facts have been adjusted to fit someone's political agenda.
Unknown Origins
I created this section for stories that just don't ring true, but that I cannot prove one way or the other.
A continuación, se detalla la clasificación de Hoax que ha realizado Hoaxbusters.
Hoax Categories
Malicious Code (Virus and Trojan ) Warnings
Warnings about Trojans, viruses, and other malicious code that has no basis in fact. The Good Times and other similar warnings are here.
Urban Myths
Warnings and stories about bad things happening to people and animals that never really happened. These are the poodle in the microwave and needles in movie theater seats variety.
Give Aways
Stories about give aways by large companies. If you only send this on, some big company will send you a lot of money, clothes, a free vacation, etc., etc. Expect to wait a long time for any of these to pay off.
Inconsequential Warnings
Out of date warnings and warnings about real things that are not really much of a problem..
Sympathy Letters and Requests to Help Someone Requests for help or sympathy for someone who has had a problem or accident.
Traditional Chain Letters
Traditional chain letters that threaten bad luck if you do not send them on or that request you to send money to the top n people on the list before sending it on..
Threat Chains
Mail that threatens to hurt you, your computer, or someone else if you do not pass on the message.
Scam Chains
Mail messages that appear to be from a legitimate company but that are scams and cons.
Scare Chains
Mail messages that warn you about terrible things that happen to people (especially women).
Jokes Warning messages that it's hard to imagine that anyone would believe.
True Legends
Real stories and messages that are not hoaxes but are still making the rounds of the Internet.
Hacked History
Real stories where the facts have been adjusted to fit someone's political agenda.
Unknown Origins
I created this section for stories that just don't ring true, but that I cannot prove one way or the other.
Suscribirse a:
Entradas (Atom)
- Follow Us on Twitter!
- "Join Us on Facebook!
- RSS
Contacta por Linkedin