Me he encontrado con un par de estudios que reflejan el salario de los profesionales de TI según su formación académica, certificaciones, experiencia y puesto de trabajo. El primero es de SANS y en él por "casualidad" encontramos que muchas de las certificaciones más valoradas son las suyas, sobre todo aquellas que forman parte de GIAC. Además también aparecen en muy buenos puestos certificaciones como CISA (ISACA) o SSCP y CISSP (ISC2).
El segundo está hecho por Global Knowledge y Tech Republic y si consultáis la lista más detallada se puede observar el salario medio de casi todas las certificaciones más conocidas en el mundo de la seguridad y gobierno de TI como CCNA, varias de Comptia y Microsoft, ITIL en sus tres niveles (Foundation, Practitioner, Service Manager), PMP o CEH.
Como conclusiones de ambos informes, muestra que los salarios en el sector de la seguridad de SI son más elevados comparativamente que en otros ámbitos del sector, indica que las certificaciones profesionales son muy bien consideradas en la mayoría de los casos a la hora de cambios de puesto de trabajo y/o subidas de salarios e indica algunos de los tópicos que más de moda van a estar este año: Informática forense, detección de intrusiones y tests de penetración.
PD: supongo que al observar los salarios medios os habréis dado cuenta rápidamente que esos sueldos no son de España.
lunes, 9 de noviembre de 2009
domingo, 8 de noviembre de 2009
Charla técnica Noviembre ISACA-CV: "Estudiantes y la implicación de las Universidades en las nuevas certificaciones"
El próximo martes 10 de Noviembre ISACA Valencia realizará a las 12:30 en ITACA la charla "Estudiantes y la implicación de las Universidades en las nuevas certificaciones", en la que se nos explicará las tendencias mundiales actuales tanto de Universidades como de ISACA y cuáles son las nuevas opciones que van a estar disponibles tanto para Estudiantes, como para Docentes Universitarios y por su puesto todos aquellos interesados en el presente y futuro de las certificaciones de ISACA.
En la misma contaremos con el Doctor D. Juan Pardo Albiach, Jefe de Estudios de Informática de la Universidad CEU Cardenal Herrera, que ha sido propuesto ante ISACA Internacional como el primer ISACA Academic Advocate del Capítulo 182 de ISACA. En la misma se tratarán posibles líneas de actuación para fomentar la participación del entorno universitario en ISACA Valencia.
Como todas las charlas, es gratuita y puedes inscribirte aquí.
CPE: 2
Enlace situación: Google Maps
En la misma contaremos con el Doctor D. Juan Pardo Albiach, Jefe de Estudios de Informática de la Universidad CEU Cardenal Herrera, que ha sido propuesto ante ISACA Internacional como el primer ISACA Academic Advocate del Capítulo 182 de ISACA. En la misma se tratarán posibles líneas de actuación para fomentar la participación del entorno universitario en ISACA Valencia.
Como todas las charlas, es gratuita y puedes inscribirte aquí.
CPE: 2
Enlace situación: Google Maps
lunes, 13 de abril de 2009
Ciclo de Seminarios Técnicos sobre Seguridad ISACA-CV
ISACA-CV ha organizado el siguiente ciclo de conferencias dirigido a estudiantes y profesionales interesados en estas áreas, se compone de cuatro charlas y en ellas se abordarán tanto aspectos de carácter técnico como legales, aquí os dejo el programa:"Test de Intrusión: Metodologías OSSTMM e ISSAF"
Fecha: 23/04/2009 Jueves 12:30
Lugar: Aula 0.3 Facultad de Informática
Ponente: Florencio Cano.
Descripción: Veremos una introducción a las metodologías de intrusión OSSTMM e ISSAF que guían al auditor de seguridad a la hora de realizar un test de intrusión. Comentaremos paso a paso el proceso y posibles herramientas de las que hacer uso.
"Auditoria de Hacking Ético. Proceso y Resultados Esperados"
Fecha: 30/04/2009 Jueves 12:30
Lugar: Aula 0.3 Facultad de Informática
Ponente: Roberto Soriano Domenech.
Descripción: Brevemente se analizará un caso real de hacking ético, indicando el proceso seguido para asegurar, tanto al cliente como a nuestro equipo de trabajo, las medidas necesarias a seguir para cumplir con la normativa aceptada mundialmente en las pruebas de hacking.
"Análisis de Seguridad Web"
Fecha: 07/05/2009 Jueves 12:30
Lugar: Aula 0.3 Facultad de Informática
Ponente: Florencio Cano. Descripción: Haciendo uso del servidor de pruebas de OWASP, WebGoat, estudiaremos las vulnerabilidades más habituales en páginas web y su causa.
"Controles técnicos requeridos por la LOPD y la ISO 27001"
Fecha: 14/05/2009 Jueves 12:30
Lugar: Aula 0.3 Facultad de Informática
Ponente: Por determinar.
Descripción: Las ley LOPD y la norma ISO 27001 requieren de medidas técnicas de seguridad para su cumplimiento. Veremos cuales son las implementaciones más habituales de estas medidas y por qué son necesarias.
Charla técnica abril ISACA-CV
La charla de este mes será impartida por Vicente Aguilera Díaz , presidente del capítulo de España de OWASP, en ella nos hablará en profundidad sobre esta iniciativa. El título de la charla será: "Proyecto OWASP: Seguridad en aplicaciones de código abierto basadas en web".
Lugar: Sala DESCUBRE (4ª planta del cubo rojo - 8E) - UPV, Edificio 8E. Camino de Vera s/n. Valencia 46022
Fecha: Martes día 21 de abril
Hora: 19:00
Lugar: Sala DESCUBRE (4ª planta del cubo rojo - 8E) - UPV, Edificio 8E. Camino de Vera s/n. Valencia 46022
Fecha: Martes día 21 de abril
Hora: 19:00
sábado, 4 de abril de 2009
Resumen jornada SemanaInformatica 2009 "Auditoría, seguridad y gobierno de TI"
Me gustaría realizar un pequeño resumen de cada una de las charlas que hubieron, cabe decir que en todos los casos el nivel de los ponentes fue extraordinario y salí de allí habiendo aprendido muchas cosas nuevas y con unas sensaciones del todo positivas.
Mesa redonda. “Innovación, marcos de Gobierno de TI y red de valor.”
En esta mesa redonda participaron compañeros de ISACA-CV y se habló de como la innovación y los marcos de gobierno de TI pueden ayudar a las empresas a atravesar el difícil momento que estamos viviendo, precisamente, esta visión coincide con el lema de SemanaInformática, "Desafíos de la informática en tiempos difíciles".
Hubieron distintos enfoques en cuanto a los distintos temas, por una parte, Javier Megías habló de como se puede gestionar la innovación desde dentro de la empresa y los tipos que existen, además dio un par de datos muy interesantes que reflejan que las cosas no se están haciendo del todo bien dentro del mundo de la empresa y la universidad de este país, sólo el 3% de los papers científicos son españoles así como un 0'25% de las patentes registradas a nivel mundial... por otra, parte, Carlos López centró su tiempo en explicar como ISO 20000 puede ayudar a mejorar los procesos de negocio dentro de la empresa y ayudar a reducir en gran medida sus costes, sólo existen menos de 400 empresas certificadas con esta norma a nivel mundial y en este último año ha habido un crecimiento del 25% con respecto a años anteriores, sin duda alguna se trata de un movimiento inteligente en estos tiempos que corren. Roberto Soriano nos habló de Cobit y en particular de una extensión llamada Inno IT Framework que sirve para gestionar la innovación dentro de una compañía (aquí podéis encontrar algo más de información, trasparencia 12). Por último, Antonio Villalón centró sus minutos en comentar los modelos de análisis de riesgo como Magerit o ISO 27005 que sirven para determinar el riesgo intrínseco, es decir, el riesgo que una compañía considera asumible y que depende de las amenazas y salvaguardas que existan para una determinada organización.
El futuro del backup y la recuperación
La compañía ESABE presentó sus productos de backup entre los cuales destaca una solución de copia continua multiplataforma que permite recuperar los datos en caso de que ocurra cualquier imprevisto, todo ello se hace de forma remota en un CPD y también se encargan de gestionar los soportes de backup tal y como indica la LOPD.
La industria del software ante la propiedad intelectual.
Charla impartida por la BSA y en la que nos dieron bastantes datos sobre la piratería de software a nivel mundial, nacional y local, desafortunadamente, la Comunidad Valencia ocupa el tercer puesto en el ranking de comunidad españolas que más software ilegal utiliza.
Virtualización y Riesgo Cero. Disaster Recovery
Se presentaron las soluciones de la compañía Ermestel que permiten, en el caso de que se declare un Disaster Recovery, volver a poner en marcha todo el sistema de información de una empresa en el mismo tiempo posible. Utilizan una estrategía muy inteligente, se crean copias tanto de los programas como datos en tiempo real y en caso de desastre estas son montadas sobre máquinas virtuales VMWare que solucionan los problemas que se pueden presentar con otras soluciones diferentes debido a las distintas configuraciones hardware de cada una de las máquinas de la compañía y que de esta manera está perfectamente solucionado ya que el hecho de contar con una capa de virtualización hace que se trate de una estructura homogénea.
Globull, implementación móvil del entorno de trabajo
Impartida por Bull, presentaron un dispositivo con forma de PDA y un peso de 120 gr. que han bautizado como Globull y que sirve para poder llevar tus datos de forma segura, está basado en Linux y usa una capa de virtualización por encima que hace que se pueda conectar con cualquier sistema operativo mediante USB, cuenta con un disco duro de 60GB (en breve saldrá otra versión con el doble de capacidad) y almacena los datos en su interior de forma cifrada usando la tecnología CIK originalmente desarrollada para la NSA y que en el caso de pérdida garantiza que los datos no se van a poder descifrar, esto sólo lo puede hacer su propietario escribiendo su PIN o frase de paso de forma táctil en el aparato, así se evita el riesgo que pudieran suponer los keyloggers. Además y en mi opinión lo mejor del aparato es que cuando lo conectamos a un host, usa todos sus recursos excepto los discos duros y memoria, así se garantiza que la información contenida en el aparato no sale nunca de él.
Validez Jurídica de los Logs
Impartida por Javier Pagès, que nos arrancó a todos unas sonrisas con sus comentarios, trasparencias y actuaciones y además habló sobre un tema para la gran mayoría desconocido, cómo pueden ser los logs de un sistema considerados como prueba en un proceso judicial, qué características deben cumplir para ello o qué herramientas informáticas existen para gestionarlos y almacenarlos de forma adecuada. Además, se abrió un pequeño debate en torno al derecho a la privacidad de los trabajadores y la necesidad de las empresas de saber para qué usan sus empleados los recursos informáticos de las mismas que fue ciertamente interesante.
Gestión de TI en periodos de recesión: más allá del recorte de costes
Última charla del día, impartida por Sopra Profit y ya con poca gente en la sala porque la gente debía de tener ganas de irse a comer, nos dieron distintas justificaciones de por qué no se debe de reducir el gasto en TI en tiempos de crisis ya que esta área contribuye en gran medida al funcionamiento normal de la empresa y es una de las que más contribuye a la hora de aportar soluciones para ahorro de costes, cambio de estrategias o búsqueda de nuevos productos y mercados.
Ahí he dejado mi "pequeño" resumen de la jornada, es un post muy largo pero en él se reflejan los principales puntos de los que trataron cada una de las charlas de un acto que para mi ha resultado particularmente enriquecedor. Espero poder conseguir las trasparencias de las presentaciones en breve, en cuanto las tenga y si no hay ningún problema las compartiré con vosotros.
EDITO: ya están disponibles las presentaciones de muchas de las charlas, las podéis descargar desde aquí.
Curso virtual preparación examen CISM Junio 2009
El capítulo 182 de ISACA organiza este curso virtual para la preparación de la primera convocatoria del examen CISM en el año 2009, esta formación va dirigida a profesionales que desean liderar con éxito la dirección, gestión e implantación de la Seguridad de los Sistemas de Información en las organizaciones y que entienden el entorno empresarial y tecnológico en el que se mueven.
El precio del curso es de 525€ y se realiza a través de una plataforma de teleformación que podéis conocer en esta dirección. La fecha límite para apuntarse es el día 10 de abril, si queréis más información o bien apuntaros, mandad un correo electrónico a cism _ARROBA_ isaca-cv.org
El precio del curso es de 525€ y se realiza a través de una plataforma de teleformación que podéis conocer en esta dirección. La fecha límite para apuntarse es el día 10 de abril, si queréis más información o bien apuntaros, mandad un correo electrónico a cism _ARROBA_ isaca-cv.org
miércoles, 25 de marzo de 2009
Charla técnica marzo ISACA-CV
Mañana a las 19:00h, Carlos López Cañas (responsable del área de Gobierno de TI de la empresa Network Sec y Coordinador del Comité de Valencia de itSMF España), impartirá la charla “ISO 20.000: Entregando valor al negocio”.
La norma ISO 20.000 es el primer estándar mundial concebido específicamente para la gestión de los servicios de TI. Describe un conjunto integrado de procesos de gestión orientados a la entrega efectiva y eficiente de los servicios de TI al negocio y a sus clientes. En épocas donde la competencia es alta y la demanda escasa un aspecto fundamental para el éxito es que el cliente perciba el valor que se le entrega en forma de bienes y servicios de calidad.
Lugar: Asociación ITACA (Sala de Juntas) - UPV, Edificio 8G. Camino de Vera s/n. Valencia 46022
Fecha: Jueves día 26 de marzo
Hora: 19:00
La norma ISO 20.000 es el primer estándar mundial concebido específicamente para la gestión de los servicios de TI. Describe un conjunto integrado de procesos de gestión orientados a la entrega efectiva y eficiente de los servicios de TI al negocio y a sus clientes. En épocas donde la competencia es alta y la demanda escasa un aspecto fundamental para el éxito es que el cliente perciba el valor que se le entrega en forma de bienes y servicios de calidad.
Lugar: Asociación ITACA (Sala de Juntas) - UPV, Edificio 8G. Camino de Vera s/n. Valencia 46022
Fecha: Jueves día 26 de marzo
Hora: 19:00
sábado, 7 de marzo de 2009
Informe anual de Deloitte sobre seguridad en instituciones financieras
El mes pasado se publicó este informe de Deloitte y ahora que tengo tiempo voy a aprovechar para hacer un pequeño resumen de lo poco que he podido leer, y digo poco no porque no me lo haya querido mirar a fondo, sino porque la mayoría son imágenes y tablas ;-D
El informe se ha hecho de más de 200 compañías financieras, bancos y aseguradoras de todo el mundo y los principales puntos que se han analizado es la figura del CISO (Chief Information Security Officer) junto con la relación entre la seguridad de la información y la estrategia del negocio, el presupuesto dedicado a seguridad y las amenazas y ataques que sufren así como los medios para combatirlas.
Algunos datos que me parecen interesantos son que el 61% de las empresas ya cuenta con estrategias de seguridad, que un 40% emplea métricas para medir el rendimiento de la función de seguridad o que la figura del CISO tiene cada vez más presencia (un 80% de estas empresas disponen de esta figura) y este informa más frecuentemente a la alta dirección. Hay varios puntos a mejorar, uno es el hecho de que las actuaciones en materia de seguridad vengan motivadas únicamente por el cumplimiento regulatorio y no por la excelencia o ganas de hacer las cosas lo mejor posible y también, que las restricciones presupuestarias sigan siendo muchas veces el principal inconveniente, el 29% de empresas consultadas dedica entre un 1%-3% de su presupuesto y sólo el 5% más de un 10%.
Por otra parte, el estudio revela que la mayoría de fallos se producen debido a errores humanos, en segundo lugar se encuentran los fallos debidos al software y hardware y en cuanto a los ataques, para los externos y por orden de frecuencia, virus, spam y spyware y para los internos, virus y pérdida de información. Para protegerse de estos ataques las tecnologías más frecuentemente usadas por las empresas son antivirus, cortafuegos, filtros de spam y de contenidos y sistemas de detección de intrusos.
Si os interesa, podéis descargar el estudio completo desde aquí.
El informe se ha hecho de más de 200 compañías financieras, bancos y aseguradoras de todo el mundo y los principales puntos que se han analizado es la figura del CISO (Chief Information Security Officer) junto con la relación entre la seguridad de la información y la estrategia del negocio, el presupuesto dedicado a seguridad y las amenazas y ataques que sufren así como los medios para combatirlas.
Algunos datos que me parecen interesantos son que el 61% de las empresas ya cuenta con estrategias de seguridad, que un 40% emplea métricas para medir el rendimiento de la función de seguridad o que la figura del CISO tiene cada vez más presencia (un 80% de estas empresas disponen de esta figura) y este informa más frecuentemente a la alta dirección. Hay varios puntos a mejorar, uno es el hecho de que las actuaciones en materia de seguridad vengan motivadas únicamente por el cumplimiento regulatorio y no por la excelencia o ganas de hacer las cosas lo mejor posible y también, que las restricciones presupuestarias sigan siendo muchas veces el principal inconveniente, el 29% de empresas consultadas dedica entre un 1%-3% de su presupuesto y sólo el 5% más de un 10%.
Por otra parte, el estudio revela que la mayoría de fallos se producen debido a errores humanos, en segundo lugar se encuentran los fallos debidos al software y hardware y en cuanto a los ataques, para los externos y por orden de frecuencia, virus, spam y spyware y para los internos, virus y pérdida de información. Para protegerse de estos ataques las tecnologías más frecuentemente usadas por las empresas son antivirus, cortafuegos, filtros de spam y de contenidos y sistemas de detección de intrusos.
Si os interesa, podéis descargar el estudio completo desde aquí.
jueves, 5 de marzo de 2009
El 59% de trabajadores despedidos se lleva datos de su ex-empresa
Un estudio realizado con financiación de Symantec y con nombre muy gracioso, "Jobs at risk = Data at risk", ha puesto de manifiesto que el 59% de los empleados que habían perdido su puesto de trabajo en el último año se habían llevados datos confidenciales de la empresa, además, un 67% reconocen haber usado información interna de la misma para conseguir un nuevo trabajo.
Los robos más populares fueron documentos en papel así como correos electrónicos aunque también decidieron llevar consigo documentos en pdf, registros de bases de datos o código fuente. Las maneras de sacarlos de la empresa eran: impresos, a través de un medio removible o enviándolos como adjuntos a una cuenta personal de correo.
Además, un 24% de ex-empleados seguían teniendo acceso a los sistemas de su antigua empresa, un 50% tuvieron acceso durante una media de 1 a 7 días y un 20% durante más de una semana.
No hacían falta estos datos para darse cuenta de que hay que tomar medidas para evitar este tipo de actos, como se suele decir, el enemigo más peligroso está en casa y ese no es otro que un trabajador descontento. En estos casos es deseable implantar varios tipos de medidas, por un lado organizativas, hacer que los trabajadores entiendan que no pueden sacar datos de la empresa fuera del local de trabajo y si es necesario, sancionar estos incumplimientos, así como otras medidas técnicas como pueden ser distintos tipos de perfiles de usuario e información a la que pueden acceder, logs de archivos accedidos, copiados o manipulados, técnicas de DLP (Data Loss Prevention) y por último pero no menos importante, un control sobre las cuentas de usuarios para dar de baja automáticamente aquellas de trabajadores que ya no están en la organización.
Los robos más populares fueron documentos en papel así como correos electrónicos aunque también decidieron llevar consigo documentos en pdf, registros de bases de datos o código fuente. Las maneras de sacarlos de la empresa eran: impresos, a través de un medio removible o enviándolos como adjuntos a una cuenta personal de correo.
Además, un 24% de ex-empleados seguían teniendo acceso a los sistemas de su antigua empresa, un 50% tuvieron acceso durante una media de 1 a 7 días y un 20% durante más de una semana.
No hacían falta estos datos para darse cuenta de que hay que tomar medidas para evitar este tipo de actos, como se suele decir, el enemigo más peligroso está en casa y ese no es otro que un trabajador descontento. En estos casos es deseable implantar varios tipos de medidas, por un lado organizativas, hacer que los trabajadores entiendan que no pueden sacar datos de la empresa fuera del local de trabajo y si es necesario, sancionar estos incumplimientos, así como otras medidas técnicas como pueden ser distintos tipos de perfiles de usuario e información a la que pueden acceder, logs de archivos accedidos, copiados o manipulados, técnicas de DLP (Data Loss Prevention) y por último pero no menos importante, un control sobre las cuentas de usuarios para dar de baja automáticamente aquellas de trabajadores que ya no están en la organización.
Jornada sobre la seguridad de la información
El próximo 11 de marzo a las 19:30h se impartirá una charla formativa organizada por el COITCV y SETIVAL, en ella se tratarán los distintos aspectos del negocio de la seguridad de la información: Seguridad legal (aplicación de normativa legal), Seguridad física, Seguridad lógica (de ámbito tecnológico) y Seguridad organizativa (orientado a la Gestión de la Seguridad).
Tenéis más información en su página web.
Tenéis más información en su página web.
viernes, 27 de febrero de 2009
Ya queda poco para la Semana Informática 2009
Este año, del 30 de marzo al 3 de abril, se celebra la 5º edición de este congreso. El lema será "Desafíos de la Informática en tiempos difíciles" , como se puede ver, muy acorde con la situación actual.
Contará con distintas temáticas para contentar a todos los asistentes, la que más puede interesar a los lectores de este blog es la que se celebrará el día 2 por la mañana, titulada "Seguridad y Auditoría" e impartida por Javier Pagés.
Además, también se celebrará el último día el I Congreso Nacional de la Ingeniería Informática.
Podéis consultar más información en la web del congreso así como apuntaros a las distintas actividades (algunas son de pago).
Contará con distintas temáticas para contentar a todos los asistentes, la que más puede interesar a los lectores de este blog es la que se celebrará el día 2 por la mañana, titulada "Seguridad y Auditoría" e impartida por Javier Pagés.
Además, también se celebrará el último día el I Congreso Nacional de la Ingeniería Informática.
Podéis consultar más información en la web del congreso así como apuntaros a las distintas actividades (algunas son de pago).
jueves, 26 de febrero de 2009
Ya disponible volumen 19 de INSECURE Mag
Como todos los meses, ya tenemos disponible el último volumen de esta revista electrónica, lo podéis descargar desde su página web.
He estado echándole un vistazo y estos son los artículos que me han parecido más interesantes:
He estado echándole un vistazo y estos son los artículos que me han parecido más interesantes:
- Modelo para la visión de Obama sobre el gobierno de TI : nos ofrece una descripción de cómo deberían ser diseñados y utilizados los SI para el revolucionario uso que pretende darles el nuevo presidente de los EE.UU.
- El año en que la seguridad en Internet falló: comenta el famoso fallo que ocurrió el año pasado y estuvo a punto de provocar la caida de Internet debido a una debilidad del protocolo BGP (protocolo de enrutado) y otros como un "pequeño" retoque de código en OpenSSL que hizo que el número posible de claves se viera reducido drásticamente, falsificación de certificados digitales usando MD5 o la poca fiabilidad de los sistemas captcha que actualmente sólo representan un pequeño escollo fácilmente solventable.
- Framework para la medida de la privacidad: proporciona un checklist (dividido en aspectos técnicos, operativos y normativos) que permite averiguar que grado de privacidad ofrece nuestra organización usando este marco de trabajo.
sábado, 21 de febrero de 2009
Resumen charla técnica febrero ISACA-CV
La charla impartida el jueves por Fernando Fons estuvo muy interesante y además, la ronda de preguntas fue una de las más animadas que yo recuerde.
El ponente empezó nombrando los distintos tipos de ataques que se dan hoy en día: spam, scam, phishing, troyanos, man in the middle, man in the browser,etc. Hoy en día, el tipo de ataque más frecuente es el phishing, que como medio para el engaño utiliza el envío de correo no solicitado o spam. En la actualidad, de todas las técnicas que se utilizan para intentar averiguar datos de los clientes, un 60% son mediante phishing y un 40% mediante troyanos, se estima que para el año que viene los porcentajes tenderán a igualarse.
Hoy en día el phishing no consigue, al menos en el caso de Bancaja, que los clientes de esta entidad sean defraudados, durante el año pasado se introdujo la autenticación mediante tercer factor, esto es, aparte de solicitar nombre de usuario mas clave de paso, se requiere, sólo en determinadas operaciones (como trasferencias monetarias) el uso de un token temporal que se envía al móvil del usuario y permite que la operación se haga de forma segura.
Pese a todo, este tipo de ataques son un grave problema, para reflejarlo basta con decir un dato, el 98'2% de los correos electrónicos recibidos por los servidores de correo de Bancaja son spam, esta es una cifra enorme y da una idea de la cantidad de recursos económicos que se dedican para intentar solucionar estos problemas, no hay que olvidar que estamos hablando de un banco y por tanto, su negocio no es el de la seguridad informática, esto, junto con el hecho de que los atacantes van siempre por delante hace que en muchas ocasiones se externalice este servicio.
Este tipo de entidades ven con buenos ojos la llegada de marcos regulatorios que puedan facilitar la colaboración entre entidades y unifiquen criterios, por eso, se espera a la salida de una fecha definitiva que les obligue a implantar la LISI (Ley Impulso a la Sociedad de la Información) y así se mejore la situación como pasó con la LOPD en cuanto al tratamiento de datos personales.
Seguro que me dejo muchas cosas pero esto sólo pretende ser un resumen, el mes que viene, probablemente el día 13, seguiremos con otra charla técnica que anunciaré con antelación y que esperemos sea igual de interesante.
El ponente empezó nombrando los distintos tipos de ataques que se dan hoy en día: spam, scam, phishing, troyanos, man in the middle, man in the browser,etc. Hoy en día, el tipo de ataque más frecuente es el phishing, que como medio para el engaño utiliza el envío de correo no solicitado o spam. En la actualidad, de todas las técnicas que se utilizan para intentar averiguar datos de los clientes, un 60% son mediante phishing y un 40% mediante troyanos, se estima que para el año que viene los porcentajes tenderán a igualarse.
Hoy en día el phishing no consigue, al menos en el caso de Bancaja, que los clientes de esta entidad sean defraudados, durante el año pasado se introdujo la autenticación mediante tercer factor, esto es, aparte de solicitar nombre de usuario mas clave de paso, se requiere, sólo en determinadas operaciones (como trasferencias monetarias) el uso de un token temporal que se envía al móvil del usuario y permite que la operación se haga de forma segura.
Pese a todo, este tipo de ataques son un grave problema, para reflejarlo basta con decir un dato, el 98'2% de los correos electrónicos recibidos por los servidores de correo de Bancaja son spam, esta es una cifra enorme y da una idea de la cantidad de recursos económicos que se dedican para intentar solucionar estos problemas, no hay que olvidar que estamos hablando de un banco y por tanto, su negocio no es el de la seguridad informática, esto, junto con el hecho de que los atacantes van siempre por delante hace que en muchas ocasiones se externalice este servicio.
Este tipo de entidades ven con buenos ojos la llegada de marcos regulatorios que puedan facilitar la colaboración entre entidades y unifiquen criterios, por eso, se espera a la salida de una fecha definitiva que les obligue a implantar la LISI (Ley Impulso a la Sociedad de la Información) y así se mejore la situación como pasó con la LOPD en cuanto al tratamiento de datos personales.
Seguro que me dejo muchas cosas pero esto sólo pretende ser un resumen, el mes que viene, probablemente el día 13, seguiremos con otra charla técnica que anunciaré con antelación y que esperemos sea igual de interesante.
miércoles, 18 de febrero de 2009
NeFePyme, implantación de un ERP a coste subvencionado
El Colegio de Ingenieros en Informática de la Comunidad Valenciana (COOICV) ha puesto en marcha este proyecto aprovechando el marco del Plan Avanza del Ministerio de Industria, Turismo y Comercio.
NeFePYME consiste en la implantación de una Solución integral de gestión de Negocio (ERP) que incorpora factura electrónica en las PYME, todo ello con una subvención del 60%.
El objetivo del proyecto es impulsar la innovación y competitividad de las PYME a través de una solución que mejore la gestión de las operaciones diarias, facilitando los flujos de información y centralizando el sistema de gestión de negocio.
La solución seleccionada para el proyecto es Openbravo, ERP basado en web de código abierto, desarrollado en España y que posiblemente sea una de las mejores alternativas para la implantación de este tipo de soluciones en las PYME ya que es posible que ni sus necesidades ni su capacidad económica hagan viable la implantación de otras soluciones como podrían ser SAP R3, JD Edwards o Microsoft Dynamics.
El proyecto incluye la instalación y parametrización, carga de datos del cliente, puesta en marcha, hardware (servidor dedicado Sun Microsystems, con instalación y configuración incluidas) así como la formación a usuarios y servicios de soporte y mantenimiento.
El jueves, 26 de febrero se celebrará una jornada informativa en ASIVALCO ( C/ Gijón 3 Polígono Fuente del Jarro, Paterna) , para más información visitar el siguiente enlace.
martes, 17 de febrero de 2009
Los estudios de la Informática en el Espacio Europeo de Educación Superior
Este jueves día 19, D. Senen Barro, Rector de la universidad de Santiago de Compostela, y Francisco Toledo, Rector de la Universitat Jaume I que junto con Antoni Giró (UPC) han elaborado las fichas de grado y máster para Informática por encargo del Consejo de Universidades darán una conferencia en el Paraninfo de la Universidad Politécnica de Valencia a las 13 horas.
Es presumible que informarán sobre el estado en el que se encuentran nuestras reivindicaciones después del 19-N y nos enseñarán las fichas que se quieren presentar, yo más bien las llamaría pseudofichas y supongo que simplemente serán un refinamiento de aquellas que publicó la CODDI hace unos meses ( grado y máster ), espero que no intenten hacer creer a los alumnos que todo va bien y saldrá adelante porque hasta que sean aprobadas y salgan en el BOE simplemente son humo.
Pese a todo, no todo son malas noticias, ya que hace un par de semanas el PP presentó una proposición para crear un colegio de Ingenieros en Informática a nivel nacional que ya debería existir según indica el artículo 4.4 de la ley 12/74 de Colegios Profesionales:
o el artículo 15.3 de la Ley 12/1983 del Proceso Autonómico:
Por mi parte, yo asistiré a la conferencia, espero que todos aquellos a los que os afecte directamente también lo hagáis y os animéis a preguntar cualquier duda a los ponentes.
Es presumible que informarán sobre el estado en el que se encuentran nuestras reivindicaciones después del 19-N y nos enseñarán las fichas que se quieren presentar, yo más bien las llamaría pseudofichas y supongo que simplemente serán un refinamiento de aquellas que publicó la CODDI hace unos meses ( grado y máster ), espero que no intenten hacer creer a los alumnos que todo va bien y saldrá adelante porque hasta que sean aprobadas y salgan en el BOE simplemente son humo.
Pese a todo, no todo son malas noticias, ya que hace un par de semanas el PP presentó una proposición para crear un colegio de Ingenieros en Informática a nivel nacional que ya debería existir según indica el artículo 4.4 de la ley 12/74 de Colegios Profesionales:
“cuando estén constituidos varios Colegios de la misma profesión de ámbito inferior al nacional existirá un Consejo General”
o el artículo 15.3 de la Ley 12/1983 del Proceso Autonómico:
“la creación de un Consejo General de Colegios Profesionales cuando existan más de un colegio autonómico en el territorio”, a fin de “asumir la representación de los intereses corporativos en el ámbito nacional o internacional”.
Por mi parte, yo asistiré a la conferencia, espero que todos aquellos a los que os afecte directamente también lo hagáis y os animéis a preguntar cualquier duda a los ponentes.
sábado, 14 de febrero de 2009
Charla técnica febrero ISACA-CV
Como todos los meses, el capítulo de la Comunidad Valenciana de ISACA, ISACA-CV, organiza una charla técnica, la de este mes será impartida por Fernando Fons (Área de Sistemas de BANCAJA) y tratará sobre lo siguiente:
"El Fraude en Internet: Una actividad industrializada."
El contenido de la charla incluirá los siguientes puntos:
1.- Introducción al fenómeno. Tipología del fraude (spam, scam, troyanos, man-in-the middle, phishing, ...)
2.- Unas pocas cifras
3.- ¿Qué hacer?
La asistencia a la misma será, como siempre, gratuita, sin embargo, debéis inscribiros aquí
El lugar de impartición será: Asociación ITACA (Sala de Juntas) - UPV, Edificio 8G. Camino de Vera s/n. Valencia, 46022
Ver mapa más grande
"El Fraude en Internet: Una actividad industrializada."
El contenido de la charla incluirá los siguientes puntos:
1.- Introducción al fenómeno. Tipología del fraude (spam, scam, troyanos, man-in-the middle, phishing, ...)
2.- Unas pocas cifras
3.- ¿Qué hacer?
La asistencia a la misma será, como siempre, gratuita, sin embargo, debéis inscribiros aquí
El lugar de impartición será: Asociación ITACA (Sala de Juntas) - UPV, Edificio 8G. Camino de Vera s/n. Valencia, 46022
Ver mapa más grande
miércoles, 11 de febrero de 2009
Bienvenid@s
Hola a todos,
Después de un largo mes de exámenes, pongo en marcha uno de los proyectos que tenía pendientes desde que asistí al Congreso de Webmasters, allí decidí que debía de hacerme un blog sobre aquellos temas que más me gustan y me interesan para poder compartir mis opiniones, conocimiento e información con el resto de la blogosfera y formar parte de esta gran comunidad.
Poco a poco iré añadiendo mucha información que tengo recopilada y que espero que sea de vuestro interés.
Un saludo a todos!
Después de un largo mes de exámenes, pongo en marcha uno de los proyectos que tenía pendientes desde que asistí al Congreso de Webmasters, allí decidí que debía de hacerme un blog sobre aquellos temas que más me gustan y me interesan para poder compartir mis opiniones, conocimiento e información con el resto de la blogosfera y formar parte de esta gran comunidad.
Poco a poco iré añadiendo mucha información que tengo recopilada y que espero que sea de vuestro interés.
Un saludo a todos!
Suscribirse a:
Entradas (Atom)