Noticias
100 Posts
Ago 31
En este casi año y medio de andadura en la blogosfera he conseguido publicar 100 post y quería dedicaos este a vosotros, a todos los que me leeis o me habéis leido en alguna ocasión y por qué no, también a los que algún día espero que me lean.
Hasta ahora he tratado de mantener un ritmo de publicación lo más frecuente posible aunque se que en ocasiones las actualizaciones no han sido todo lo asiduas que deberían. Los quehaceres diarios y las circunstancias a veces pueden con el tiempo para esta, una de mis aficiones.
Me gustaría agradeceos enormemente a aquellos que me habéis consultado o que me habéis dado ánimos para continuar en alguna ocasión porque sinceramente se me han hecho necesarios y cada persona que se suma al feed o que te deja un comentario (sea crítica constructiva, agradecimiento, o sólo crítica), es para mí una muestra de que este tiempo es valisoso para vosotros.
A todos, Muchas Gracias y espero poder dedicar a mucha más gente el post número 200.
La catástrofe del golfo de Mexico, la no seguridad y el SGSI
Jul 27
Accidente de la Plataforma de BP
El día 20 de Abril de este año, un desgraciado accidente que se llevó la vida de 11 trabajadores se pudo haber evitado. Esto que pensarás suena a tópico dejará de serlo si reconstruyes las circunstancias en las que el accidente se produjo.
Estando este fin de semana en casa, en uno de los pocos momentos que tengo para escuchar la televisión, escuché por casualidad la declaración de uno de los supervivientes al accidente. Mike Williams, ex empleado de la plataforma y técnico jefe de los sistemas electrónicos, declaró en una audiencia sita en Nueva Orleans que el sistema de detección encargado de monitorizar las acumulaciones de gas o la existencia de fuego no se activó. Preguntado por qué, Mike contestó que el sistema se encontraba apagado y que era una práctica habitual porque los responsables de la plataforma no querían despertar a nadie a las 3 de la mañana por una falsa alarma. A partir de aquí pueden haber dos líneas argumentales principales:
- El sistema de detección fue ineficaz porque estaba apagado pero… ¿Por qué estaba apagado?. Un sistema que emite muchas falsas alarmas resulta del todo inútil de forma que o se sustituye, o se perfecciona o se termina apagando. Si el sistema había demostrado no ser eficaz estando en funcionamiento, el responsable del sistema debía haber hecho notar esta circunstancia y haberlo corregido a tiempo dado que, por lo demostrado, se trataba de un sistema crítico.
- El sistema de detección funcionaba adecuadamente pero esporádicamente saltaba una falsa alarma que molestaba a alguien que no debía (o que si debía pero no le hacía mucha gracia levantarse a las 3 de la mañana).
Pues bien, el impacto, arriba descrito ha sido terrible, las consecuencias no sólo en términos de vidas humanas sino también de flora y fauna marinas, aves, plantas, contaminación atmosférica y un largo etcétera aún a día de hoy colean y el problema sigue sin cerrarse.
En infraestructuras y servicios críticos, la seguridad no es una opción, los impactos de la no seguridad no son admisibles bajo ningún punto de vista y es por eso que crece mi preocupación cuando veo empresas y servicios en los que aún no se les ha pasado por la cabeza pensar en la seguridad de sus activos, algunos de ellos teniendo como actividad principal la seguridad de los demás.
Enlazando todo esto con mi quehacer diario resulta algo curioso que cuando se finaliza la implantación de un SGSI, los controles que se han introducido para monitorizar determinados activos generan alarmas que a su vez se convierten en críticas, tan peligroso o más es no tener seguridad como pensar que se tiene y que ésta no funcione, sentirse seguro no es estar seguro. Esto nos lleva a la gran importancia de comprobar el buen funcionamiento de los controles implantados para aparte de sentirnos seguros tras la implantación del SGSI, estarlo, y a una pregunta más, ¿deben los activos de información generados por los controles implantados durante la construcción del SGSI formar parte del análisis de riesgos en futuras iteraciones?.
Espero vuestras opiniones.
Saludos a tod@s
Cursos Impartidos por Inteco
May 25
A través de INTECO, se están ofreciendo una serie de cursos introductorios a diversas materias incluida LOPD, seguridad a nivel básico, gestión de riesgos, gestión de proyectos y el que ya os dejé en la sección de cursos sobre SGSI, la oferta en este momento es extensa y una buena opción para acumular conocimientos en las diferentes áreas.
https://formacion-online.inteco.es/inscripcion/
No espereis cursos que profundicen en exceso pero aún así resultarán sin duda de utilidad para muchos.
Salu2!
ISO 27004 Disponible
May 21
Durante este tiempo también hay otro hecho reseñable… tenemo sun miembro más en la familia!. Con el título Information technology — Security techniques — Information security management — Measurement se ha publicado por la ISO la nueva norma 27004 que viene a solucionar el recurrente problema de la medición de los controles implantados que proporcionará información sobre cómo estos están funcionando para la posterior evaluación de cumplimiento de los objetivos.
Resumen y de vuelta
May 18
Hola de nuevo Amig@s!
Es un placer para mi volver a saludaros y reemprender de nuevo la actualización de este blog que se ha visto interrumpida por motivos diversos.
He querido en mi retorno hacer un breve resumen de lo que en estos dos meses ha ocurrido y subrayaros lo que he considerado más destacado en este post:
- Bug en Twitter: Haz que cualquiera te siga –> security by default
- III Curso de Seguridad en Valencia –> security by default
- Revistas de Hackin9 gratis –> comunidad dragonjar
- Crítica Práctica al ENS –> Joseba Enjuto
- Correcciones a la redacción del ENS –> Javier Cao Avellaneda
Ni que decir tiene que he seguido trabajando en el artículo que tengo pendiente pero no consigo hacerlo funcionar para poder dejarlo todo disponible, en cuanto lo tenga lo sabréis.
Salu2!
Reestructuración y Nuevo Contenido
Mar 22
Hola a Tod@s de nuevo,
Ante todo mis disculpas para aquellos que a lo largo del día de hoy han intentado acceder a la web y se la han encontrado en modo mantenimiento 
. Tenía que hacer bastantes cosas y esto no puedo hacerlo por la noche que es cuando probablmente menos os molesto.
He estado de reestructuración del blog, de instalación de plugins y de introducción de nuevo contenido. Entre los contenidos añadidos podéis encontrar en la sección material (reestructurada) los RSS que suelo utilizar para actulizarme a diario, referencia a la norma 27000, revistas de seguridad en la subsección de prensa y revistas, y algunas cosas más.
En la parte de cursos os he dejado la referencia al curso de Inteco. Yo no he intentado matricularme, si alguno lo intentáis y teneis cualquier problema no dudeis en dejarme un comentario.
Esta parte quizá es la menos agradecida del blog porque siempre gusta más ponerse a escribir cosas que refuerzan tu conocimiento que “poner en orden la casa”, pero… hay que hacerlo y siempre da gusto tenerlo todo a mano 
.
Salu2!
Enlaces a Revistas de Seguridad
Mar 17
Hola a tod@s,
Ya estamos a mitad de esta semana algo más corta (al menos para los que estamos en Murcia ya que el viernes es fiesta). Sea como sea, acabo de ver un post que me ha recordado una de las razones por las que me decidí a embarcarme en esta nueva aventura, bueno… mas bien… a cambiar de barco.
En security by default han publicado este post donde podréis encontrar algunas referencias más (aparte de las que hay en la sección Material) a revistas tanto gratuitas como de pago, en publicación electrónica y/o en papel más relevantes. Visto lo visto voy a tener que organizar la sección material de otra forma. Y siiii, lo seeee, la sección aún no tiene mucha chicha, no seais impacientes… con post como este iré completando la sección para que lo tengamos todo a mano 4ever 
.
Salu2!
Schneier sobre el futuro de la seguridad de la Información
Mar 11
Bruce Schenier es un reconocido experto en seguridad de la información a nivel mundial, en esta conferencia de casi una hora y media habla sobre el cloud computing, las preferencias en ocasiones irracionales que tenemos a la hora de asumir el riesgo y muchos más factores que influirán en el futuro de la seguridad informática.
Fuente: La comunidad DragonJAR
Comenzamos la sección “Material”
Mar 2
Hola a tod@s,
Esta noche he encontrado un rato para ponerme manos a la obra con la sección de Material donde iré haciendo una recopilación de aquellas cosas que te vas encontrando en el mundo de la seguridad informática y que no quieres que se pierdan entre los post con el paso del tiempo. Hay determinadas publicaciones, referencias o documentos que deben estar accesibles a un click de distancia y que pueden ser realmente útiles.
La sección Material ha quedado inaugurada con la siguiente estructura:
- Seguridad de la Información
- Iso27001security
- Hacking
- HackxCrack
- e-Zines
- (IN)Secure
Esto sin duda alguna crecerá en la siguiente sentada donde incluiré las listas de distribución en castellano de iso27000, los rss a los que estoy suscrito para mantenerse actualizado, y varias cosas más .
Espero que esta nueva iniciativa os sea de utilidad.
Salu2!
Publicada ISO 27003
Feb 23
Vía la lista de distribución de iso27001security primero y el blog de Javier Cao después veo que tenemos una nueva pieza que viene a completar un hueco importante dentro de la visión holística de la seguridad planteada por la familia 27000. Esta norma es la ISO 27003: Information technology — Security techniques — Information security management system implementation guidance que viene a mostrar los pasos necesarios para la implantación de un SGSI.
Más información aquí.
