30 diciembre 2010

Un 2011 apasionante por delante

Año 2011 por Petr Kratochvil
Después de un 2010 con muchos cambios, quería compartir con vosotr@s mis planes para 2011.

En primer lugar, está el reto de la presidencia del capítulo de Madrid de ISACA que ya os comenté hace unos días y al que tengo mucho cariño, por lo que le dedicaré bastante tiempo...

Y en segundo lugar, dos proyectos empresariales que están viendo la luz estos días:

  • n+1 Intelligence & Research, una consultora enfocada en IT Governance e Information Security Governance que espera convertirse en un referente en el sector gracias a actuar como polo de atracción de profesionales de reconocido prestigio. Este proyecto lo iniciamos 2 socios y en el futuro esperamos ser n+1... 
  • leet security, algo más diferente, por no decir totalmente diferente y que es un proyecto personal, se trata de una agencia de rating de seguridad para proveedores de TI (en principio). Aunque pueda sonar complicado, se trata "simplemente" de aplicar el mismo principio que en los mercados de deuda y evaluar la fiabilidad o resiliencia de los proveedores de servicios, de forma que sus potenciales clientes puedan conocer a priori dicha información sin necesidad de recurrir a auditorías específicas en cada situación.
Siempre me había gustado considerarme como un consultor con iniciativa y quizás, a partir de este año, pueda considerarme como un emprendedor en toda regla, quién sabe...

En fin, como os decía, una año apasionante por delante en el que espero pasármelo bien y disfrutar cada minuto, vamos, como diría Mihaly Csikszentmihalyi, fluir...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

28 diciembre 2010

Prevencion10 - A vueltas con la prevención de riesgos

Hace unos días comentábamos sobre la publicación de un reglamento sobre riesgos laborales y los posibles paralelismos con los riesgos de utilización de las TIC.

Pues bien, a finales de noviembre se puso en marcha prevencion10.es, un servicio público gratuito para persigue que empresas de menos de 10 empleados puedan ahorrar importantes gastos en prevención de riesgos laborales ya que les permite elaborar de manera gratuita su plan de prevención en esta materia.

Vuelvo a escribir sobre el tema porque sigo opinando que podría ser una posible evolución que observáramos en materia de seguridad. Al fin y al cabo, lo que cambia es el asunto sobre el que tratar, riesgos informáticos en lugar de riesgos laborales [y evidentemente, las consecuencias, pues los accidentes laborales se cobran demasiadas vidas cada año].

Se me ocurren varias reflexiones al respecto de prevencion10:
  • ¿Debe el Estado proveer este servicio de manera gratuita en clara competencia con el sector privado? Está claro que el Estado debe intervenir cuando "el mercado" no funcione correctamente y supongo que este caso es claro, ¿lo es el de la seguridad de la información?
  • Esta claro que no existe una Ley en materia de seguridad como la que existe para la prevención de riesgos laborales, ¿podría surgir en el corto / medio plazo? Existen iniciativas no conexas en este sentido: protección de datos personales, de infraestructuras críticas, la reforma del código penal...
  • ¿Podría poner en marcha el Estado una iniciativa similar a prevencion10 pero en materia de seguridad TIC? Está claro que desde INTECO-CERT se ofrece un servicio orientado a PYMEs y ciudadanos, pero no creo que pueda considerarse que es lo mismo.
En fin, me parece un tema interesante sobre el que reflexionar. Os espero en los comentarios (aunque sean males fechas...)

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

24 diciembre 2010

¡Feliz Navidad!


Aunque muy justito, muy justito, os quería desear a todas y todos los lectores de este blog que paséis una Feliz Navidad en compañía de vuestras familias y amigos.

Ha sido una año muy duro, así que nos merecemos, al menos, pasar estos días lo más felices posibles...

Lo dicho... ¡Felices Fiestas a tod@s!

...¿Todavía no me sigues en twitter.com/antonio_ramosga?


P.D.: La foto es de la nevada del año pasado en casa...

02 diciembre 2010

Administrador de Franquicia: Nueva categoría de Third Party Agent de VISA

El pasado mes de junio, VISA incluyó a los Administradores de Franquicias (Corporate Franchise Servicer) como una nueva categoría de Agente de Tercera Parte. Este movimiento, según el propio boletín de VISA se debe a la tendencia detectada de incremento y difusión de ataques utilizando la infraestructura de dichos organismos, incluso cuando algunos de dichos sistemas no se utilizan para el procesamiento, ni almacenamiento de transacciones [pero sí están conectados, claro].

Algunos datos interesantes que aparecen en el documento de VISA son los que os comento a continuación. En primer lugar, que las 5 industrias con más incidentes en 2010 son las de restauración (23%), hoteles (12%), minoristas de ropa (6%), tiendas de deporte (5%) y marketing directo (3%) y, en especial, los comercios de nivel 4 (el 96% de los casos, frente al 2% de los de niveles 1 y 3).

Por otro lado, según esos mismos datos, los vectores de ataque más utilizados a fecha de octubre de 2010 son los accesos remotos (41%), los servidores inseguros (33%), las redes inseguras (19%) y los ataques web (7%). En cuanto a los tipos de malware, han aumentado los keyloggers (que han pasado de un 14% a un 51%), han disminuido los parseadores de memoria (de un 49% a un 30%) y han aparecido los keylogger/sniffers (12%), los de ataque web (5%) y las puertas traseras (2%).

Finalmente, los requerimientos que menos se cumplen (datos de 2009 y 2010, hasta junio) son los requerimientos 1, 8, 10 y 11 (un 17% cada uno de ellos), el requerimiento 6 (16% de los casos) y el requerimiento 2 (un 15% de las ocasiones).

Y volviendo al tema que nos ocupaba, simplemente mencionar que se entiende por 'Administrador de franquicia' a la entidad o franquiciador que proporciona o controla un entorno de red con independencia de que almacene, transmita o procese datos de titulares de tarjetas a través de él. Estos administradores deben cumplir con PCI-DSS en 12 meses a partir de recibir la notificación de VISA o de su adquirente y como proveedor de servicios de nivel 1.

En cuanto a los pasos que deben dar los 'Administradores de Franquicias' son los siguientes:
  1. Contratar a un QSA en un plazo de 90 días y enviar el acuerdo a su adquirente.
  2. Planificar la evaluación inicial in situ en un plazo de 30 días desde la firma del contrato y enviar dicha planificación al adquirente.
  3. Completar la revisión y enviar el informe inicial (iROC) en un plazo de 150 días desde la evaluación inicial.
  4. El 'Administrador' tiene un plazo de 90 días para remediar los aspectos detectados y enviar el informe final y el plan de acción.
  5. Una vez cumpla con PCI DSS se envían a VISA el "Resumen Ejecutivo" y el documento "Attestation of Compliance" firmados.


... ¿Todavía no me sigues en twitter.com/antonio_ramosga?