Áudea renueva sus certificados en las normativas ISO 27001 y en la 9001

Tras superar con éxito las auditorías realizadas por la empresa BSI (British Standards Institution) el pasado mes de Mayo, Áudea Seguridad de la Información ha renovado los certificados correspondientes a las normativas ISO/IEC 27001:2005 y a la ISO/9001:2008.

Para Áudea es un hecho importante al tratarse de estándares internacionales que certifican y proporcionan el aseguramiento de la confidencialidad, la integridad y la disponibilidad de la información que maneja diariamente nuestra entidad, así como el correcto funcionamiento de nuestros procesos y política de calidad.

A pesar de que las normas ISO son voluntarias, en Áudea consideramos que son un valor añadido que acredita la posición de la empresa frente a terceros.

Seguiremos trabajando cada año en el correcto mantenimiento de nuestros sistemas.

Áudea Seguridad de la Información

Departamento de Comunicación

www.audea.com

Malware en SmartPhones

Los estudios realizados sobre el fraude online indican cada vez con mayor claridad que los smartphones se han convertido en un nuevo objetivo de las mafias que realizan este tipo de fraude.

Actualmente tenemos a nuestra disposición teléfonos con una gran cantidad de funcionalidades que nos permiten hacer muchísimas cosas sin necesidad de un ordenador. Todas las operaciones realizadas a través del smartphone requieren del uso de datos personales, claves de acceso y datos confidenciales. Para rizar el rizo, tenemos a nuestra disposición una serie de tarifas de conexión que nos garantizan una conectividad casi permanente con Internet.

El principal problema que encontramos es la escasa concienciación de los usuarios de utilizar los datos mencionados de una forma segura.

Viendo el éxito y uso de las tecnologías, no es de extrañar que haya aparecido malware que aproveche puntos débiles de las mismas, con el objetivo de obtener información del usuario.

El primer malware destinado a smartphones apareció en 2004. No era especialmente elaborado, pero marcó el comienzo de lo que sería una constante evolución de estos programas maliciosos.

Hoy en día nos podemos encontrar con malware elaborado, como es “Zeus Man in The Mobile”.

Zeus es uno de los troyanos bancarios más populares. La aplicación infecta el móvil para robar los SMS que envían las entidades bancarias para confirmar las transferencias, además de recibir otras órdenes por parte del atacante.

Hace ya tiempo que se comentaba que los dispositivos móviles serían objeto de esta clase de amenazas, y ha sido en 2010 donde se ha notado un crecimiento significativo. Este crecimiento no se detendrá en 2011 , por lo que habrá que aumentar la precaución a la hora de utilizar estos dispositivos.

Los usuarios deben de ser conscientes de los riesgos que corren, y de qué medidas existen para evitarlos.

CNCCS ha elaborado una guía de buenas prácticas que describe cómo proteger los smartphones.

Se detalla a continuación:

• Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
• Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
• Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
• Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
• Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
• Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
• Configurar el Bluetooth como oculto y con necesidad de contraseña.
• Realizar copias de seguridad periódicas.
• Cifrar la información sensible cuando sea posible.
• Utilizar software de cifrado para llamadas y SMS.
• Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
• Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
• En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
• En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
• Monitorizar el uso de recursos en el smartphone para detectar anomalías.
• Revisar facturas para detectar posibles usos fraudulentos.
• Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
• Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
• Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
• Evitar el uso de redes Wi-fi que no ofrezcan confianza.
• Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

                                                                 

Fuente guía de Buenas prácticas SmartPhones:

http://www.cnccs.es

José Francisco Lendínez Echeverría.

Destruccion de soportes

Recuerdo un caso que aconteció cuando  trabajaba en una compañía de telecomunicaciones hace unos años.  Nos encontrábamos en pleno proceso de cambio del Call Center. Se producía el cambio de un edificio a otro. Lo cierto, es que los ordenadores de sobremesa se encontraban apilados en una sala porque iban a ser vendidos. Alguien comentó que había gente que se había llevado varios ordenadores.

La pérdida de estos equipos implicaba no solo el valor económico de los mismos, sino también de datos de negocio relacionados con la gestión de clientes, que son fundamentales para una  empresa de telecomunicaciones. Lógicamente no se perdió la BBDD relacional de clientes pero sí se filtraron datos esenciales de negocio fuera de la organización, y cuyo destino fue impredecible.

Lógicamente nos hubiéramos quedado más tranquilos si se hubieran establecido procesos de destrucción de soportes.

Para evitar este tipo de problemas, lo primero que hay que tener es un inventario. Ya que si no se lo que tengo, no sé lo que destruir. En el propio inventario especificar qué soportes son destruidos y cuáles no. Es decir, aquellos que han agotado su ciclo de vida.

Una vez que sabemos lo que tenemos y lo que vamos a destruir, a los soportes hay que despojarles de toda la información que contienen. En el caso de soportes informáticos hay que poner especial atención en los soportes extraíbles, como son cintas, discos, discos de flash, unidades (drives) de disco duro, CD, Dvds.

En cuanto a los soportes impresos su destrucción pasa por la no utilización de papeleras. Es muy recomendable el uso de destructoras de papel, que desde nuestro punto de vista es el mecanismo más efectivo de destrucción de la información, incluso frente a la utilización de contenedores por parte de empresas de tratamiento de papel que se encarguen de su posterior destrucción.

Su solución hubiera estado en las buenas prácticas de ISO 27002.

Departamento de Gestión

Áudea Seguridad de la Información

www.audea.com

Subtítulos y traducciones vs. LSSI

Nuestra Ley de Propiedad Intelectual expresa claramente que, respecto de una obra protegida por derechos de propiedad intelectual, cualquier transformación que implique su traducción, adaptación u otra modificación requiere la autorización del autor o del titular de derechos, si estos se hubiesen cedido. El autor es la única persona habilitada para autorizar estas transformaciones de su creación, con o sin ánimo de lucro.

Las vulneraciones sobre los derechos de propiedad intelectual pueden ser perseguidas por los titulares de tales derechos o por entidades de gestión legalmente constituidas, y dicha persecución puede realizarse por la vía penal y por la vía civil. La primera requiere la concurrencia de ánimo de lucro y de perjuicio de terceros, pero la vía civil no exige demostrar la causación de un daño o el fin lucrativo del infractor, sino únicamente la existencia de la infracción.

Por ello, aun cuando la página web en que se publica esa transformación de la obra carezca de ánimo de lucro, y de la misma categoría sean las aportaciones de los usuarios, esta actividad tiene repercusiones jurídicas, y el infractor podría tener que indemnizar a los titulares de los derechos de propiedad intelectual de la obra con una cuantía igual al beneficio que los titulares habrían obtenido de no producirse la utilización ilícita, o al abono correlativo a la autorización, en su caso, y de haberse producido dicha autorización.

Aparte de la responsabilidad en que según la LPI incurre el usuario autor de la subida del archivo subtitulado o del guión traducido, a la luz del artículo 16 de la LSSI se considera infractor (y los titulares de los derechos de propiedad intelectual tienen acción contra él), al administrador de la web (como “prestador de servicios de alojamiento o almacenamiento de datos”) si se prueba que tuvo conocimiento de que lo subido a la página web era un contenido ilícito o lesivo de derechos de terceros, a no ser que éste pruebe que no tenía conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o que actuó con diligencia para retirar los datos o impedir el acceso a ellos, es decir, prevenir el daño a los derechos del autor. No en vano expresa el artículo 1902 del Código Civil: “el que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”. Según el artículo 16 de la LSSI se entenderá que el prestador tiene ese conocimiento efectivo “cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución”.

Mientras no exista un mecanismo adecuado y cómodo para que los autores permitan a los usuarios este tipo de modificaciones altruistas, sin ánimo de lucro, con un efecto divulgativo de su obra y puestas a disposición del público, y no únicamente para uso privado del usuario que las realiza, cualquier transformación de este tipo requerirá la autorización de todos los titulares de derechos de propiedad intelectual de la obra de que se trate.

María Teresa Nevado

Áudea Seguridad de la Información

www.audea.com

El gran reto: TUENTI

En apenas 3 años desde su creación, Tuenti ha conseguido posicionarse como la segunda página más visitada de España y ha entrado en el Top500 de Alexa como uno de los portales con mayor ritmo de crecimiento en Internet, convirtiéndose en la reina de las redes sociales del panorama español.

Esta estructura interactiva se soporta fundamentalmente gracias a la información aportada por los propios usuarios, sus comentarios, sus fotos, sus vídeos… en definitiva, sus datos personales.

Por ello, y como muestra de su preocupación por la protección de los datos de sus usuarios, el pasado mes de abril, Tuenti alcanzó un acuerdo con la Agencia Española de Protección de Datos que ha servido para marcar las buenas prácticas que permitan el cumplimiento de la normativa.

En Áudea, Seguridad de la Información, nos sentimos orgullosos de que Tuenti haya elegido nuestro servicio de asesoramiento continuo para cumplir con estas buenas prácticas y enfrentarse a la problemática que supone confrontar la privacidad de los usuarios con el espíritu de la web 2.0.

Estamos seguros de que la cooperación entre ambas partes nos permitirá alcanzar este objetivo del cual podrán beneficiarse todos los usuarios de Tuenti.

Gracias por confiar en nosotros.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com