| INDICE DE PREGUNTAS |
1.- Manuel, nos has contado como securizar los distintos tipos de usuarios a la red. Yo me imagino que en la Universidad tenéis una serie de puntos inalámbricos de acceso. ¿Se pueden aplicar esos casos que nos has explicado a las conexiones inalámbricas?
VER RESPUESTA
|
2.- Ignacio, ¿por qué has comenzado tu ponencia haciendo referencia a algo que ocurrió hace 20 años?. ¿Es que esto no ha cambiado desde entonces?
VER RESPUESTA
|
3.- Mi e-mail está, literalmente, inundado de correo basura. Los ataques internos están costando una millonada a las empresas. ¿Por qué razón la empresa sigue comportándose de un modo tan relajado, en relación a las prácticas de acceso o manejo de la información de sus empleados?
VER RESPUESTA
|
4.- ¿Qué ventajas nos da la seguridad basada en políticas, respecto a otros modelos de seguridad en redes?
VER RESPUESTA
|
5.- Conforme a la exposición del Sr. Gallo, ¿significa esto que la tecnología de corta-fuegos que tengo actualmente, de nivel tres y cuatro, no me sirve?
VER RESPUESTA
|
6.- ¿Cómo puede justificar el coste de la inversión que supone la implantación de la solución que ha presentado el Sr. Legido?
VER RESPUESTA
|
7.- ¿En qué punto se encuentra España, respecto al resto del mundo, en cuanto a la gestión de la seguridad de la información se refiere?
VER RESPUESTA
|
8.- El Sr. Velasco ha descrito una solución que parece idónea para una empresa como Telefónica, pero quizás sea demasiado grande para otras empresas. ¿Se puede empezar con algo más pequeño y crecer?
VER RESPUESTA
|
9.- La seguridad es un tema que conlleva cambios constantes y cambiantes de tecnología. ¿Podemos gestionarla dentro de la empresa, o la dejamos en manos de especialistas externos?
VER RESPUESTA
|
10.- ¿Creen ustedes que, en algún momento, se les va a exigir a los suministradores y ofertantes la presentación de una Certificación de Seguridad?. Si es así, ¿cuándo prevén que esto ocurra?
VER RESPUESTA
|
11.- ¿Quién hace los virus?, ¿es posible que los virus acaben ganando la batalla dada a inmensidad de la red?, ¿qué sanciones hay en otros países para estos creadores de virus?
VER RESPUESTA
|
12.- En mi empresa hay muchos portátiles con tarjeta UMTS para los comerciales. ¿Cómo se integra la solución que ha presentado el Sr. Legido con estos portátiles?.
VER RESPUESTA
|
13.- En Europa, los servidores de seguridad gestionados tienen una amplia dispersión y están perfectamente asumidos ya no solo por las grandes empresas, sino especialmente por las PYMES. ¿A qué cree usted este retraso que llevamos en España?.
VER RESPUESTA
|
14.- Hay una especie de auto-confianza o de falta de confianza a la hora de recurrir a un servicio externo, ¿dónde pensáis que está el problema?
VER RESPUESTA
|
15.- La plataforma que nos ha comentado el Sr. Hernández, ¿resuelve todo el problema de la seguridad de la información?
VER RESPUESTA
|
16.- ¿Por qué en situaciones de urgencia y presión son los directivos sobre todo los que se saltan los procedimientos y políticas?
VER RESPUESTA
|
17.- ¿Por qué las normas son las mismas para empresas de distinto tamaño y naturaleza?.
VER RESPUESTA
|
18.- Supongo que un alto porcentaje de lo que circula por la red son contenidos indeseados. ¿Pueden estos contenidos llegar a saturar el ancho de banda disponible para aplicaciones empresariales?
VER RESPUESTA
|
19.- El Patrimonio Histórico Artístico español ha crecido debido a los robos de los barcos ingleses cometidos por la Armada Española, etc… ¿En qué medida cree usted que la falta de muchas herramientas o sistemas operativos potencian la generación de riqueza de las empresas de seguridad basadas en políticas?
VER RESPUESTA
|
20.- En la actualidad, la responsabilidad de la seguridad de la información recae, en la mayoría de los casos, en los departamentos de gestión de sistemas de información. ¿No sería mejor que se asignase otro órgano de carácter más general y no operativo?
VER RESPUESTA
|
21.- ¿Qué porcentaje del presupuesto de la empresa se destina actualmente a seguridad y cuál debería ser el porcentaje ideal?.
VER RESPUESTA |
22.- ¿Qué pasaría si no hubiera sanciones de la Agencia de Protección de Datos?
VER RESPUESTA |
23.- ¿Cómo se gestionan los riesgos de seguridad, know-how y la alta rotación de personal de las empresas externas?.
VER RESPUESTA |
24.- ¿Qué argumentos podríamos emplear para que el Director General o Consejero Delegado apueste o decida diseñar e implementar una Política de Seguridad de la Información?
VER RESPUESTA |
25.- ¿Qué aspectos de seguridad debe contemplar un acuerdo de nivel de servicio, cuando se externaliza un Centro de Proceso de Datos?.
VER RESPUESTA |
26.- ¿Existe alguna forma de controlar al administrador del sistema de posibles cambios en la base de datos (dígase su nómina o la de otros empleados), o de extracción de información sensible (dígase la cartera de clientes)?
VER RESPUESTA
|
1.- Manuel, nos has contado como securizar los distintos tipos de usuarios a la red. Yo me imagino que en la Universidad tenéis una serie de puntos inalámbricos de acceso. ¿Se pueden aplicar esos casos que nos has explicado a las conexiones inalámbricas?
|
Respuesta de D. Manuel Hernández Urrea:
Es nuestro caso, tenemos un sistema homogéneo de red, porque así se decidió hace tiempo. Los usuarios inalámbricos pueden conectarse a última hora de la tarde, los fines de semana, etc.. En cualquier caso, aunque estemos hablando de puntos de acceso inalámbricos, todos ellos acaban en el mismo punto de una red cableada.
En ese punto de la red cableada es en donde tenemos que aplicar las políticas a cada una de las sesiones. Es decir, el problema está resuelto en cualquiera de los casos, fijos e inalámbricos.
Volver al Indice de Preguntas
|
2.- Ignacio, ¿por qué has comenzado tu ponencia haciendo referencia a algo que ocurrió hace 20 años?. ¿Es que esto no ha cambiado desde entonces?
|
Respuesta de D. Ignacio Gallo:SadeWinder no ha quedado estancado desde hace 20 años. Simplemente, he hecho referencia a un fabricante con un enorme conocimiento de las necesidades de los clientes.
Cualquier cliente puede decir, "yo no soy el Departamento de Defensa de los Estados Unidos, pero tengo sus mismas necesidades y quiero garantizar la seguridad de mi empresa".
Es decir, los programadores a veces fracasan porque tan solo protegen el acceso y no las aplicaciones.
A día de hoy ha ido evolucionando y ahora está en lo más alto.
Volver al Indice de Preguntas
|
3.- Mi e-mail está, literalmente, inundado de correo basura. Los ataques internos están costando una millonada a las empresas. ¿Por qué razón la empresa sigue comportándose de un modo tan relajado, en relación a las prácticas de acceso o manejo de la información de sus empleados?
|
Respuesta de D. Francisco Lázaro: Las políticas de seguridad no están claramente escritas. Es decir, todavía hay muchas empresas que todavía no tienen políticas de seguridad. La política de seguridad tiene que existir, tiene que estar escrita y debe ser difundida. Es decir, para que yo sepa qué tengo que hacer y cómo debo solucionar algo en mi equipo o correo, alguien ha tenido que prever eso, lo ha tenido que escribir y me lo ha tenido que comunicar. En términos de generador de valor, la efectividad, eficacia y eficiencia deben ir unidas.
Intervención de D. Juan Miguel Velasco:
Igualmente, se tendrá que tener en cuenta el valor del activo. Es decir, habrá organizaciones a las que no les afecte demasiado el hecho de que esa persona pierda dos o tres horas eliminando el correo basura de su buzón. Asimismo, habrá otras organizaciones que vean que esas dos o tres horas sean una pérdida de oportunidades de negocio, con lo cual, recomiendo a quien ha formulado la pregunta que hable con su Director General o con su Responsable de Seguridad porque es un activo que merece la pena proteger y que el dinero que vayan a invertir ahí, estará bien invertido.
Volver al Indice de Preguntas
|
4.- ¿Qué ventajas nos da la seguridad basada en políticas, respecto a otros modelos de seguridad en redes?
|
Respuesta de D. Manuel Hernández: Una red corporativa de ciertas dimensiones, y si usamos una red perimetral, yo retaría a todo el mundo a que sea capaz de perfilar un perímetro en la red, donde pueda definir claramente que "los buenos están dentro y los malos están fuera".
Necesitamos tener la granularidad que nos dan las redes basadas en políticas porque, ahora mismo, todos los usuarios están mezclados. La movilidad nos permite que se puedan conectar en cualquier sitio y en un sitio como la Universidad, no hay forma de establecer elementos diferenciales donde podamos garantizar que todas las personas son de fiar.
Aún en el caso de que todas las personas sean de fiar, no podemos garantizar que sus equipos también lo sean, porque esos equipos han podido estar infectados por virus, troyanos, etc.. .Han podido circular en muchos casos por los domicilios de los profesores, de los estudiantes, etc…, y al final tenemos que verificar que el equipo concreto produce o no nuevas amenazas y esto únicamente puede detectarse en redes basadas en políticas.
Volver al Indice de Preguntas
|
5.- Conforme a la exposición del Sr. Gallo, ¿significa esto que la tecnología de corta-fuegos que tengo actualmente, de nivel tres y cuatro, no me sirve?.
|
Respuesta de D. Ignacio Gallo: Si lo que me pregunta es si tiene o no que tirar a la basura la tecnología actual, rotundamente no. Lo que se ha comentado anteriormente es el hecho de que hay que apostar por proteger las aplicaciones, que es donde residen todos los datos de nuestra Compañía y que lo que necesitamos es una barrera de protección adicional, colocada en donde se necesite para proteger los accesos desde el exterior o, incluso, desde el interior porque no sabemos desde dónde proviene el mal. El 67% de los ataques a las compañías se realizan desde el interior.
Es también muy importante proteger esos servidores internos donde residen los datos. No hay que tirarlo, pero si añadir otra barrera de protección.
Los anti-virus empezaron siendo una barrera de protección de puesto pero, viendo que el usuario los desconectaba o no los actualizaba, pasaron a una nueva acción que era instalar un anti-virus en el propio servidor del correo.
Volver al Indice de Preguntas
|
6.- ¿Cómo puede justificar el coste de la inversión que supone la implantación de la solución que ha presentado el Sr. Legido?
|
Respuesta de D. José Mª Legido Riba Hoy en día existen tecnologías y herramientas para poder cuantificar de qué manera justificamos, desde la Dirección, las inversiones que nuestro departamento de información pone en materia de seguridad.
Obviamente, esto está muy ligado a los servicios que hay por detrás. En el caso concreto de las VPN-SSL, quizás aquí tendría que destacar el aspecto de costes o ahorro de los mismos en temas de comunicaciones.
Cualquier dispositivo que pongamos en nuestra red, debe ir encaminado a reducir costes de gestión, como puede ser el ejemplo que puse antes de las llamadas al "call-center" que se han reducido drásticamente. Todo cuanto hagamos debe estar dimensionado con el número de usuarios
Volver al Indice de Preguntas
|
7.- ¿En qué punto se encuentra España, respecto al resto del mundo, en cuanto a la gestión de la seguridad de la información se refiere?
|
Respuesta de D. Francisco Lázaro: Si tomamos como referencia el número de empresas que están certificadas en sistemas de gestión, veremos que actualmente en el mundo habrá unas 23.000 certificadas. En España, creo que hay seis y por lo tanto estaría al mismo nivel que Turquía, en cuanto a empresas certificadas. Inglaterra y Japón son los dos países que más empresas certificadas tienen.
Por lo tanto, todavía queda mucho por hacer por cuanto a los sistemas de gestión de la seguridad de la información se refiere.
No es cuestión de la si la norma dice o deja de decir. Se trata más bien del consenso de los expertos y de un proceso continuo dentro de las compañías.
Desgraciadamente, en las empresas se cuenta en la actualidad con apaga fuegos o bomberos, en lugar de arquitectos de gestión integral de sistemas de seguridad de información.
Los ingleses han ido creando una cultura en torno a la seguridad y han demostrado que esto es un generador de valor.
Decíamos en otro momento de la Jornada que una de las medidas que se estaban planteando afectaban a la implantación de los controles y sobre la eficacia de los mismos. Curiosamente, no aparece el término "eficiencia de los controles".
El trabajo español iba orientado a medir la eficacia y eficiencia de la implantación y, por un tema cultural de países asiáticos, la palabra "eficiencia" ha desaparecido. Para Japón y los países colindantes, la eficiencia no es algo relacionado con la seguridad de la información. Es o no es eficaz el control y no tanto qué recursos estás utilizando para llevar a cabo ese control.
Volver al Indice de Preguntas
|
8.- El Sr. Velasco ha descrito una solución que parece idónea para una empresa como Telefónica, pero quizás sea demasiado grande para otras empresas. ¿Se puede empezar con algo más pequeño y crecer?
|
Respuesta de D. Juan Miguel Velasco Realmente, en la parte de la plataforma que he descrito es una plataforma de Telefónica para grandes empresas. Obviamente, nosotros lo usamos como protección interna.
El servicio, en si mismo, es para grandes empresas que tienen unos gráficos y unas necesidades de realización de sus servicios de seguridad.
En la parte de arquitectura, hay toda una serie de tecnologías que se pueden aplicar pero siempre la base de la penetración. Evidentemente, damos servicios a grandes empresas tales como, administraciones públicas, etc…
No somos baratos, pero damos todo tipo de servicios. Nuestro mercado son las grandes empresas, pero también podemos hacer planes para PYMES. Hay soluciones para volúmenes inferiores a 6 megas. Dependerá del nivel de integración que quieras tener en tus servicios y de la complejidad de la solución en sí.
Volver al Indice de Preguntas
|
9.- La seguridad es un tema que conlleva cambios constantes y cambiantes de tecnología. ¿Podemos gestionarla dentro de la empresa, o la dejamos en manos de especialistas externos?
|
Respuesta de D. Emilio Casalduero: Voy a poner el ejemplo de Forum Filatélico. En plantilla, somos alrededor de 300 personas. Disponemos de 4.000 agentes que utilizan nuestro sistema de información. Nuestra facturación en 2005 ha sido de 840 millones de euros. Estamos entre las cien primeras empresas españolas por facturación.
Ya en 1996 nos planteamos la necesidad de externalizar determinados servicios y me refiero, concretamente, al servicio informático.
Esta externalización de servicios se basa en una cuestión de confianza. Tengo que confiar. Ahora bien, también necesitamos otros mecanismos para verificar si todo aquello se cumple o no. El factor confianza es fundamental.
Volver al Indice de Preguntas
|
10.- ¿Creen ustedes que, en algún momento, se les va a exigir a los suministradores y ofertantes la presentación de una Certificación de Seguridad?. Si es así, ¿cuándo prevén que esto ocurra?
|
Respuesta de D. Manuel Hernández Urrea: En la Universidad esto si que nos ha pasado en algún caso. De hecho, en una ocasión nos pusimos en contacto con una Universidad del Reino Unido para iniciar un proceso de cooperación.
La Universidad nos envió un Formulario contenido en una de las Normas de Calidad y nos dijo que su cumplimentación nos llevaría cinco minutos.
Como era de esperar, no nos llevó cinco minutos sino que tardamos cerca de un mes. Ustedes se podrán imaginar que fue lo que nos contestaron.
Intervención de D. Francisco Lázaro:
Estas exigencias que marcan las diferentes Normas de Calidad, son fundamentales para elegir a los posibles proveedores. Es decir, si tu quieres ser mi proveedor, tienes que estar Certificado conforme a la Norma 27001.
Las Certificaciones se pueden comparar con las Titulaciones de la gente. ¿Tener un Título significa que saber hacer las cosas bien?. No, pero el Título nos demuestra que tienes los conocimientos. Eso mismo ocurre con las Certificaciones.
Las Normas se Certifican sobre un determinado ámbito, no sobre toda la Compañía. Por ejemplo, si yo busco un proveedor que tenga CPD, podré exigirle que tenga en su ámbito de CPD la 27001, pero no de forma genérica porque a lo mejor la tiene en el parking y el hecho de que la tenga en el parking no me vale de nada para el servicio que yo estoy demandando
Volver al Indice de Preguntas
|
11.- ¿Quién hace los virus?, ¿es posible que los virus acaben ganando la batalla dada a inmensidad de la red?, ¿qué sanciones hay en otros países para estos creadores de virus?
|
Respuesta de Dª Arantxa Grau: Los virus pueden hacerlos todas las personas que tengan conocimientos informáticos y ganas de fastidiar.
Desde 1982 hay muchos programas que generan automáticamente virus. En concreto, en Estados Unidos, los empleados que iban a ser despedidos dejaban un virus retardado en la empresa para que luego no les identificaran.
Hay una medida muy inteligente que ponen en práctica los israelíes, y es que contratan a los hackers para que creen anti-virus y luchar contra los que sus "colegas" nos pretenden enviar a la empresa.
Hay una leyenda que dice que "los virus son creados por los propios fabricantes de anti-virus".
Por cuanto a las sanciones, no hay una legislación específica. Hasta el momento, se puede ir por lo "civil" o por lo "penal" por fraude y, dependiendo de la pericia del abogado, saldrás o mejor parado.
Volver al Indice de Preguntas
|
12.- En mi empresa hay muchos portátiles con tarjeta UMTS para los comerciales. ¿Cómo se integra la solución que ha presentado el Sr. Legido con estos portátiles?.
|
Respuesta de D. José Mª Legido: Una de las ventajas del dispositivo VPN-SSL es que es totalmente transparente para cualquier usuario, bien si lo hace a través del cable o por medio de un portátil.
Volver al Indice de Preguntas
|
13.- En Europa, los servidores de seguridad gestionados tienen una amplia dispersión y están perfectamente asumidos ya no solo por las grandes empresas, sino especialmente por las PYMES. ¿A qué cree usted este retraso que llevamos en España?.
|
Respuesta de D. Juan Miguel Velasco: A nivel de penetración de ADSL y a nivel de usuario final, hemos tenido en España un incremento envidiable.
Tenemos una tendencia a auto-prestación. El hecho de poner la seguridad en manos de terceros para tener una gestión muy elevada de seguridad, no es una práctica muy extendida en nuestro país. Seguimos creyendo en la suerte
La penetración de Internet en PYMES en España es muy alta, comparándola con otros países, cerca de un 80/85%. Ahora bien, si les preguntábamos a estas empresas nos decían que les era muy necesario Internet para disponer de una cuenta de correo electrónico.
De ese 85% que tenía Internet para ver su correo electrónico, solo un 50% tenía una página web. Evidentemente, ya no digo la cifra de cuántos de ese 50% utilizaba Internet para el comercio electrónico.
¡¡¡Yo creo que la pregunta tendría que ser si, realmente, no nos estaremos quedando poderosamente por detrás!!!
Volver al Indice de Preguntas
|
14.- Hay una especie de auto-confianza o de falta de confianza a la hora de recurrir a un servicio externo, ¿dónde pensáis que está el problema?
|
Respuesta de D. Juan Miguel Velasco: Creo que, fundamentalmente, reside en la idea de una posible pérdida del control.
El Tele-Trabajo o la práctica generalizada del "outsourcing" aplicadas en Estados Unidos demuestran que, por el contrario, este es una manera perfecta para llevar un mayor control del servicio que te están dando. Lo fundamental es saber en qué te estás gastando el dinero y en qué se traduce eso.
Intervención de D. Francisco Lázaro:
Para tener el control, tienes que llevar un control. Para llevar el control, tienes que saber qué es lo que se está haciendo. En muchas ocasiones, no sabemos ni dónde estamos situados, ni a dónde queremos ir dentro de la Sociedad de la Información.
Si no sabemos nada de esto, difícilmente tienes criterio para analizar algo
Intervención de D. Ignacio Gallo:
España es un país muy reactivo a nivel de Seguridad. Solamente actúa cuando ha pasado algo. No somos conscientes de que tenemos que adelantarnos a los acontecimientos, para minimizar los posibles impactos.
A nivel de operadores, por ejemplo, están gestionados los niveles de seguridad. Por lo tanto, tengo que asegurarme de que el acceso a esas aplicaciones va a estar garantizado, porque eso es lo que me está ofreciendo el proveedor de servicios.
Volver al Indice de Preguntas
|
15.- La plataforma que nos ha comentado el Sr. Hernández, ¿resuelve todo el problema de la seguridad de la información?
|
Respuesta de D. Manuel Hernández: Evidentemente, no. La plataforma no deja de ser una suma de productos. La seguridad es un proceso de mejora continua en donde la parte administrativa, a mi entender, tiene más peso que la parte tecnológica.
No creo que aumentando la tecnología en la Universidad, mejorásemos la seguridad. Sin embargo, si estoy convencido de que mejorando nuestros procesos, mejoraríamos con ello nuestro nivel de seguridad.
Volver al Indice de Preguntas
|
16.- ¿Por qué en situaciones de urgencia y presión son los directivos sobre todo los que se saltan los procedimientos y políticas?
|
Respuesta de D. Francisco Lázaro: Eso es totalmente cierto. En las Normas, la Dirección tiene que estar implicada en la Sociedad de la Información, plasmándose con la firma de la política de la seguridad o asistiendo a todas las reuniones de sus Comités.
Básicamente, los dos folios relacionados con la Seguridad de la Información, se reducen a destacar que debemos velar por los activos de la compañía, que existen contraseñas digitales para acceder a esos recursos y que todos somos responsables, tanto los que los usan como los que los gestionan, de esos activos.
Si la Dirección firma la política de seguridad, digamos que se compromete. Lo que ocurre es que, en la mayoría de las empresas, esta política no existe, con lo cual no está firmada y, por lo tanto, es fácilmente saltable. ¿Por qué se las saltan?, pues evidentemente, porque no hay un verdadero compromiso.
Volver al Indice de Preguntas
|
17.- ¿Por qué las normas son las mismas para empresas de distinto tamaño y naturaleza?.
|
Respuesta de D. Francisco Lázaro: Efectivamente, la 27001 de Gestión y la 177/99 de Buenas Prácticas van dirigidas a las empresas, independientemente de su tamaño.
Porque desde que se relacionan los procesos, se hace un seguimiento exhaustivo de los controles y cada Compañía tiene que ver cuáles son los que tiene que aplicar en cada caso.
El objetivo de estas Normas es para que valgan para pequeñas y para grandes empresas.
La 27004 de Métricas es de medidas y no tienen en cuenta las dimensiones de la empresa.
Cuanto más pequeña es la empresa, mucho más fácil es saber quién es el responsable de los activos, quién es la persona que toma las decisiones. Es más fácil determinar la estructura.
Volver al Indice de Preguntas
|
18.- Supongo que un alto porcentaje de lo que circula por la red son contenidos indeseados. ¿Pueden estos contenidos llegar a saturar el ancho de banda disponible para aplicaciones empresariales?
|
Respuesta de D. Juan Miguel Velasco: La granularidad de la red se va a dimensionar en función de lo que cada empresa contrata y cada empresa es, realmente, la que hace el direccionamiento.
Si, en algún momento, tienes a alguien dentro de la organización que constantemente está utilizando el "eMule" o alguien encuentra tu puerto abierto y lo utiliza para otros fines, sí que puede llegar a saturar el ancho de banda.
Existe una Normativa que ha sido aprobada por el Comité de la Unión Europea para que, todos los operadores, guardemos - creo que durante tres años - todos los tráficos que tramitemos por Internet.
Hay quien no tiene en cuenta que navegar por Internet significa dar entrada libre a tu casa a todos cuantos están navegando. Por ello, hay que tomar las medidas oportunas.
Aparte del correo limpio, nosotros aportamos otros servicios de correo limpio, es decir, filtrado de anti-virus http, control de contenidos, etc… Se desvía ese tráfico a través de nuestro data-center y nuestro data-center hace también otra limpieza.
Cuando detectamos un fraude de phising, si tenemos un contrato con esa empresa que nos habilita para actuar contra ese atacante, actuamos de inmediato. En otro caso, lo único que podemos hacer es ponerlo en conocimiento de las Fuerzas de Seguridad del Estado o esperar a que llegue la Orden Judicial pertinente para trabajar. Bien es verdad que, desde que esto ocurre hasta que se puede actuar, pueden pasar hasta cuatro meses.
Da lo mismo que denuncies al vecino por ruidos nocturnos, que por ser un delincuente virtual. El plazo de ejecución es el mismo.
Cuando se sea víctima de un fraude, SIEMPRE hay que denunciar. Esto es lo que genera la alarma social y es el primer eslabón de la cadena para establecer la normativa legal y las correspondientes sanciones.
Volver al Indice de Preguntas
|
19.- El Patrimonio Histórico Artístico español ha crecido debido a los robos de los barcos ingleses cometidos por la Armada Española, etc… ¿En qué medida cree usted que la falta de muchas herramientas o sistemas operativos potencian la generación de riqueza de las empresas de seguridad basadas en políticas?
|
Respuesta de D. Emilio Casalduero: Desde el punto de vista de los sistemas de seguridad, sabemos que los sistemas operativos no son todo lo seguros que deberían ser.
Antiguamente, cuando solo teníamos sistemas aislados, las cosas eran bastante simples. Ahora que tenemos tantos sistemas y aplicaciones, nos es más difícil sincronizar, gestionar y controlar que todo funcione a la perfección.
Cualquier aspecto que tengamos desprotegido, es evidente que le estamos dando la oportunidad a alguien de generar su propia riqueza.
Espero haber contestado a la pregunta pero, sinceramente, no puedo hablar de lo de los barcos ingleses porque lo desconozco.
Volver al Indice de Preguntas
|
20.- En la actualidad, la responsabilidad de la seguridad de la información recae, en la mayoría de los casos, en los departamentos de gestión de sistemas de información. ¿No sería mejor que se asignase otro órgano de carácter más general y no operativo?
|
Respuesta de D. Juan Miguel Velasco: A nivel de departamentos, lo que sí que se ve es que, en muchas empresas, lo que deberían ser varios departamentos y bien diferenciados están fusionados en uno solo.
Posiblemente, la pregunta podría hacerse en el sentido de si sería posible crear un departamento global que vigilara las acciones realizadas por el resto de los departamentos de la empresa.
Intervención de D. Emilio Casalduero:
La Seguridad es un tema global de la Compañía. Por lo tanto, hay muchos departamentos involucrados. Hay que ver cómo cualquiera de los procesos de la Compañía van interviniendo en los demás departamentos.
Intervención de D. Francisco Lázaro:
Depende que cómo la Organización quiera resolver el tema de la Seguridad y, después, ver cómo lo va a organizar.
En cualquier empresa, habrá alguien que se tenga que encargar de planificar, otra se tendrá que encargar de ejecutar, otra de comprobar que se cumple lo planificado y, finalmente, otra que estudie cómo se puede mejorar.
Dicho de otra forma, la empresa tendrá que velar para que la seguridad física y la seguridad lógica vayan unidas. De hecho, las auditorías y los departamentos jurídicos también tendrían que estar incluidos en los sistemas de la seguridad, porque son muy importantes para el buen desarrollo de las compañías
Volver al Indice de Preguntas
|
21.- ¿Qué porcentaje del presupuesto de la empresa se destina actualmente a seguridad y cuál debería ser el porcentaje ideal?.
|
Respuesta de Dª Arantxa Grau: Dependerá del tamaño de la empresa pero lo que sí sabemos, con toda certeza, es que la inversión en seguridad es bastante baja, como también lo es en inversión de sistemas de TI
Cuando se adquiere un bien, hay que saber protegerlo. De tal manera que, cuando compramos un ordenador, tenemos que velar no solo por la seguridad informática, sino también por el certificado de garantía añadido al equipo.
Es la empresa en sí quien tiene que pensar cuánto valen esos activos y cuánto le puede suponer que alguien se los robe o dañe. En función de eso, cada empresa tiene que ser consciente de lo que se debe gastar
Volver al Indice de Preguntas
|
22.- ¿Qué pasaría si no hubiera sanciones de la Agencia de Protección de Datos?
|
Respuesta de D. Francisco Lázaro: En Estados Unidos está habiendo una verdadera revolución en cuanto a conceptos de seguridad en la información, con respecto a la transparencia y al blanqueo de dinero. Eso va a llegar a España por medio de las Directivas de la Comunidad Europea.
Cuando existe el cumplimiento legal, que por cierto es obligatorio, significa que cuando no hay transparencia o faltan datos o, incluso falta dinero, ello lleva implícito penas de cárcel. Esto es muy diferente a decir simple y llanamente: "Efectivamente, la seguridad es muy importante".
Volver al Indice de Preguntas
|
23.- ¿Cómo se gestionan los riesgos de seguridad, know-how y la alta rotación de personal de las empresas externas?.
|
Respuesta de D. Francisco Lázaro: Aquí hay dos posibilidades de respuesta, la política y la real.
El análisis y gestión de riesgos no solo se aplica pensando en los activos materiales, es decir, a un ordenador o en una base de datos. Pero, la realidad es que no nos centramos en los riesgos relacionados con quién, cómo, cuándo, dónde y por qué pueden aparecer esos riesgos.
La rotación de personal es, efectivamente, muy importante. Pero no solo es importante cuando estamos valorando acudir al "outsourcing", sino que también es muy importante en nuestras propias compañías.
La documentación, en términos de rotación de personal, es fundamental. Es decir, si sabemos cómo, cuándo y con qué material se tiene que hacer algo, será mucho más fácil la rotación de personal cuando hay un documento escrito que permita saber qué hay que hacer, cómo se tiene que hacer, etc…
Antes de preocuparnos de las rotaciones, creo que sería más aconsejable dedicar el tiempo a preocuparse en el tema de la documentación.
Como miembro de una empresa que provee servicios de seguridad, obviamente, nuestra misión es evitar que cuando una persona se va se lleve el conocimiento de nuestros clientes a otras empresas.
Por ello, para nosotros un sistema de calidad de gestión de sistemas de información es fundamental para identificar qué personas clave van a tener acceso restringido a esa información de nuestro cliente.
Volver al Indice de Preguntas
|
24.- ¿Qué argumentos podríamos emplear para que el Director General o Consejero Delegado apueste o decida diseñar e implementar una Política de Seguridad de la Información?
|
Respuesta de D. Emilio Casalduero: Es una pregunta muy bonita y que se va a responder de una manera bastante sencilla.
Yo, generalmente, me alío a las auditorías internas porque son los que, realmente, tienen un conocimiento general de toda la empresa.
Si estamos metidos en muchos proyectos al mismo tiempo, es evidente que tenemos que actuar adecuadamente para poder darles salida.
Hay que ir creando un caldo de cultivo, de forma y manera que poco a poco, se vayan introduciendo nuevas líneas de actuación y comprobando que están funcionando adecuadamente. Si esto va funcionando o, por el contrario vemos que no ha funcionado pero que si hemos identificado en dónde se rompió el proceso, tomaremos una nueva línea de actuación.
A medida que vamos aportando soluciones, al Director General cada vez le costará menos entendernos y es así como se debe actuar con cuantas actuaciones queramos acometer. De la noche a la mañana es imposible, pero si lo podremos hacer si desde hoy mismo empezamos a diseñar un sistema acorde con las necesidades de la empresa.
Volver al Indice de Preguntas
|
25.- ¿Qué aspectos de seguridad debe contemplar un acuerdo de nivel de servicio, cuando se externaliza un Centro de Proceso de Datos?.
|
Respuesta de D. Juan Miguel Velasco: Esta pregunta puede tener dos lecturas. ¿Qué elementos tiene que tener un servicio en concreto? , o, ¿qué aspectos de seguridad general debería tener cualquier acuerdo de externalización de servicios?.
Voy a referirme al segundo caso. Creo que todos los aspectos relevantes de lo que es la protección de la información, es algo que debería ir unido a cualquier elemento de externalización.
Es fundamental que el "outsourcing" cumpla con nuestra propia política de gestión de la seguridad (monitorización, gestión, confidencialidad, medición, etc..).
Otro aspecto fundamental es comprobar que la mensualidad que se le paga al proveedor "outsourcing", sea proporcional al nivel de seguridad que estamos demandando.
Si hablamos de disponibilidad de los elementos de seguridad, la cuota debería estar relacionada con el número de elementos de seguridad, multiplicada por el tiempo de disponibilidad. De esta manera, en el caso de ejecutar un SLA, que ese SLA se pueda materializar en dinero
Volver al Indice de Preguntas
|
26.- ¿Existe alguna forma de controlar al administrador del sistema de posibles cambios en la base de datos (dígase su nómina o la de otros empleados), o de extracción de información sensible (dígase la cartera de clientes)?.
|
Con las auditorías, no puedes evitar que eso suceda, pero si que queda algún tipo de registro para emprender, a posteriori, cualquier acción.
Intervención de Dª Arantxa Grau:
Además, las aplicaciones relacionadas con las contraseñas de los usuarios son muy efectivas para llevar este tipo de control en cualquier área de la empresa.
Cuando la información está cifrada, el administrador de sistemas lo único que hace es administrar carpetas y no puede ver la información que éstas contienen.
La segregación de funciones es algo muy importante en este sentido. Si hay alguien que administra, alguien que audita, etc., estaremos parcelando la confidencialidad, la administración y la organización.
Volver al Indice de Preguntas
|
Volver |