Home / División de Eventos / Foros de Negocio / Foro FAST / 2006 / Sesión 3

 Área de «Foros de Negocio»  
 Foro FAST
 
Sesión 3
21 de Junio de 2006


Documentos de Interés
documento pdf Programa de la sesión
documento pdf Álbum fotográfico

Tercera sesión del Foro de Auditoría y Seguridad
FORO FAST
 
El Foro FAST, dedicado a sensibilizar a las Organizaciones e Instituciones de la criticidad de la información almacenada en sus Sistemas, presentar las tendencias tecnológicas en materia de AUDITORÍA y SEGURIDAD INFORMÁTICAS, y discutir estrategias tecnológicas concretas de protección de la información, en Organizaciones e Instituciones públicas y privadas, celebró el pasado día 21 de junio su tercera sesión del año 2006, compuesta por dos sesiones técnicas.

Madrid, 21 de Junio de 2006

Primera Sesión Técnica


 

 
        El presidente de la primera sesión técnica del día, D. Francisco Javier Nieto, comentó que hay dos aspectos diferenciadores en la Armada que son la doctrina (cumplimiento de la normativa) y la seguridad. Además hay tres aspectos críticos que son traspasables a todas las organizaciones y que son la necesidad de estándares, la interconexión de redes y la flexibilidad. La Armada juega con ventaja en la implantación de estándares ya que los procedimientos de interconexión ya están establecidos.

        D. Manuel Monterrubio, General Manager de Alhambra Eidos, destacó que "los desastres ocurren permanentemente", y la persona que lo niegue no ve la realidad. Comentó que nadie esta preparado al cien por cien para un desastre, es decir, se puede estar preparado para que ocurra algo pero nunca se estará suficientemente preparado para la magnitud de lo que ocurra. El activo más importante son las personas, seguido de la información. También son muy importantes los efectos colaterales, es decir, se puede estar muy seguro de que no va a ocurrir nada pero es posible que ocurra cerca de nosotros, provocando desastres en nuestros sistemas. Como dato curioso hay que señalar que "el 60% de las empresas que sufre un desastre, en tres años están fuera del mercado", y esto es algo que debemos tener todos presente, ya que sólo el que está preparado puede sobrevivir.

Por tanto, lo importante es tener la conciencia tranquila, tanto por parte del CIO como del CEO.

        D. Miguel Banegas, Consultor Senior de Telefónica Empresas, expuso acerca del proyecto de certificación ISO 27001. Comentó que un Sistema de Gestión de Seguridad de la Información (SGSI) es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El hecho de implantar un SGSI no prueba que una organización sea 100 % segura. La seguridad completa no existe. No obstante, la adopción de un SGSI proporciona innegablemente ventajas como son el compromiso, la conformidad con los requisitos legales, la gestión de los riesgos, la credibilidad y confianza y la reducción de costes.

La norma ISO/IEC 27001:2005 es la evolución certificable del código de buenas prácticas ISO 17799, y avala la adecuada implantación, gestión y operación de todo lo relacionado con la implantación de un SGSI.

Concluyó su exposición comentado que Telefónica es la primera empresa española certificada en la Norma ISO 27.001 y que esta en proceso de certificar otro SGSI - portal del empleado (RRHH).

Segunda Sesión Técnica


 

 
        Después de la introducción de D. Fernando Ruiz, Director de Tecnologías de la Información del Tribunal Constitucional, comenzó la segunda sesión técnica de la jornada.

         D. José María Gómez Hidalgo, Profesor del Departamento de Informática de la Universidad Europea de Madrid, reflexionó acerca del correo basura y comentó que no existe una definición concreta de SPAM, si bien la definición que más abarca (email, SMS, MMS y mensajería instantánea) es la Australiana que dice que "SPAM son mensajes comerciales no solicitados".

        El SPAM es un problema acuciante ya que amenaza la productividad laboral en cualquier país del mundo. Además es un método que funciona ya que el coste de envío es despreciable, los receptores de SPAM responden y además es rentable.

        Es importante señalar que el e-mail ya no es la única manera de recibir SPAM sino que cada vez se van encontrando nuevas formas de SPAM como son los teléfonos móviles, la mensajería instantánea, la telefonía IP y los blogs. Además, y con los nuevos tiempos, van apareciendo nuevas formas de SPAM como son los fraudes sofisticados, las redes de blanqueo de dinero, las sinergias con hackers y la denegación de servicio.

Para poder defenderse del SPAM es necesario apoyarse en cuatro pilares que son la información y concienciación, las medidas técnicas, la persecución judicial y la cooperación internacional.

        Como conclusión hay que apuntar que los spammers están altamente motivados y son inteligentes y tecnológicamente expertos.

         D. Xavier García, Enterprise Presales Manager de Symantec, habló acerca de la gestión de la información de seguridad y planteó varios temas como son la complejidad del día a día o el cumplimiento de las normativas. Lo más importante es el gran volumen de información de seguridad que se genera en las organizaciones y que tradicionalmente se tira o se guarda sin revisar. Hoy en día los logs se han multiplicado estrepitosamente y es inviable que una sola persona pueda revisarlos. Evidentemente la información de los logs se pierde y sería deseable hacer inteligencia sobre ella para intentar tener alertas sobre futuros problemas o incidentes que requieren intervención inmediata.

Lo principal es tener "una visión de negocio", es decir, implementar una solución orientada al negocio y no a la tecnología.

         D. Héctor Sánchez Montenegro, Director de Seguridad Corporativa de Microsoft, expuso la estrategia, la visión y el progreso en seguridad de Microsoft. Así, Microsoft desea cambiar la filosofía de sus productos para llegar a "la informática de confianza", es decir, seguridad, privacidad, disponibilidad y orientado a las prácticas de negocio. Las tres estrategias implantadas por Microsoft son la posesión de una plataforma segura fortalecida por productos de seguridad, servicios y guías para mantener a los usuarios seguros.

Microsoft tiene un compromiso con la seguridad y está teniendo actuaciones conjuntas con la Administración en este sentido.

        Durante el almuerzo intervino D. Fernando de Pablo, Jefe de la Dependencia de Gestión de Medios y Recursos de la Agencia Tributaria, el cual presidió el debate entre todos los asistentes en torno a seguridad.


D. Francisco Javier NIETO


D. Manuel MONTERRUBIO
Ver ponencia


D. Miguel BANEGAS
Ver ponencia


D. Fernando RUIZ


D. José María GÓMEZ
Ver ponencia


D. Xavier GARCÍA
Ver ponencia


D. Héctor SÁNCHEZ
Ver ponencia


D. Fernando de PABLO