Mañana a las 19:00h, Carlos López Cañas (responsable del área de Gobierno de TI de la empresa Network Sec y Coordinador del Comité de Valencia de itSMF España), impartirá la charla “ISO 20.000: Entregando valor al negocio”.
La norma ISO 20.000 es el primer estándar mundial concebido específicamente para la gestión de los servicios de TI. Describe un conjunto integrado de procesos de gestión orientados a la entrega efectiva y eficiente de los servicios de TI al negocio y a sus clientes. En épocas donde la competencia es alta y la demanda escasa un aspecto fundamental para el éxito es que el cliente perciba el valor que se le entrega en forma de bienes y servicios de calidad.
Lugar: Asociación ITACA (Sala de Juntas) - UPV, Edificio 8G. Camino de Vera s/n. Valencia 46022
Fecha: Jueves día 26 de marzo
Hora: 19:00
miércoles, 25 de marzo de 2009
sábado, 7 de marzo de 2009
Informe anual de Deloitte sobre seguridad en instituciones financieras
El mes pasado se publicó este informe de Deloitte y ahora que tengo tiempo voy a aprovechar para hacer un pequeño resumen de lo poco que he podido leer, y digo poco no porque no me lo haya querido mirar a fondo, sino porque la mayoría son imágenes y tablas ;-D
El informe se ha hecho de más de 200 compañías financieras, bancos y aseguradoras de todo el mundo y los principales puntos que se han analizado es la figura del CISO (Chief Information Security Officer) junto con la relación entre la seguridad de la información y la estrategia del negocio, el presupuesto dedicado a seguridad y las amenazas y ataques que sufren así como los medios para combatirlas.
Algunos datos que me parecen interesantos son que el 61% de las empresas ya cuenta con estrategias de seguridad, que un 40% emplea métricas para medir el rendimiento de la función de seguridad o que la figura del CISO tiene cada vez más presencia (un 80% de estas empresas disponen de esta figura) y este informa más frecuentemente a la alta dirección. Hay varios puntos a mejorar, uno es el hecho de que las actuaciones en materia de seguridad vengan motivadas únicamente por el cumplimiento regulatorio y no por la excelencia o ganas de hacer las cosas lo mejor posible y también, que las restricciones presupuestarias sigan siendo muchas veces el principal inconveniente, el 29% de empresas consultadas dedica entre un 1%-3% de su presupuesto y sólo el 5% más de un 10%.
Por otra parte, el estudio revela que la mayoría de fallos se producen debido a errores humanos, en segundo lugar se encuentran los fallos debidos al software y hardware y en cuanto a los ataques, para los externos y por orden de frecuencia, virus, spam y spyware y para los internos, virus y pérdida de información. Para protegerse de estos ataques las tecnologías más frecuentemente usadas por las empresas son antivirus, cortafuegos, filtros de spam y de contenidos y sistemas de detección de intrusos.
Si os interesa, podéis descargar el estudio completo desde aquí.
El informe se ha hecho de más de 200 compañías financieras, bancos y aseguradoras de todo el mundo y los principales puntos que se han analizado es la figura del CISO (Chief Information Security Officer) junto con la relación entre la seguridad de la información y la estrategia del negocio, el presupuesto dedicado a seguridad y las amenazas y ataques que sufren así como los medios para combatirlas.
Algunos datos que me parecen interesantos son que el 61% de las empresas ya cuenta con estrategias de seguridad, que un 40% emplea métricas para medir el rendimiento de la función de seguridad o que la figura del CISO tiene cada vez más presencia (un 80% de estas empresas disponen de esta figura) y este informa más frecuentemente a la alta dirección. Hay varios puntos a mejorar, uno es el hecho de que las actuaciones en materia de seguridad vengan motivadas únicamente por el cumplimiento regulatorio y no por la excelencia o ganas de hacer las cosas lo mejor posible y también, que las restricciones presupuestarias sigan siendo muchas veces el principal inconveniente, el 29% de empresas consultadas dedica entre un 1%-3% de su presupuesto y sólo el 5% más de un 10%.
Por otra parte, el estudio revela que la mayoría de fallos se producen debido a errores humanos, en segundo lugar se encuentran los fallos debidos al software y hardware y en cuanto a los ataques, para los externos y por orden de frecuencia, virus, spam y spyware y para los internos, virus y pérdida de información. Para protegerse de estos ataques las tecnologías más frecuentemente usadas por las empresas son antivirus, cortafuegos, filtros de spam y de contenidos y sistemas de detección de intrusos.
Si os interesa, podéis descargar el estudio completo desde aquí.
jueves, 5 de marzo de 2009
El 59% de trabajadores despedidos se lleva datos de su ex-empresa
Un estudio realizado con financiación de Symantec y con nombre muy gracioso, "Jobs at risk = Data at risk", ha puesto de manifiesto que el 59% de los empleados que habían perdido su puesto de trabajo en el último año se habían llevados datos confidenciales de la empresa, además, un 67% reconocen haber usado información interna de la misma para conseguir un nuevo trabajo.
Los robos más populares fueron documentos en papel así como correos electrónicos aunque también decidieron llevar consigo documentos en pdf, registros de bases de datos o código fuente. Las maneras de sacarlos de la empresa eran: impresos, a través de un medio removible o enviándolos como adjuntos a una cuenta personal de correo.
Además, un 24% de ex-empleados seguían teniendo acceso a los sistemas de su antigua empresa, un 50% tuvieron acceso durante una media de 1 a 7 días y un 20% durante más de una semana.
No hacían falta estos datos para darse cuenta de que hay que tomar medidas para evitar este tipo de actos, como se suele decir, el enemigo más peligroso está en casa y ese no es otro que un trabajador descontento. En estos casos es deseable implantar varios tipos de medidas, por un lado organizativas, hacer que los trabajadores entiendan que no pueden sacar datos de la empresa fuera del local de trabajo y si es necesario, sancionar estos incumplimientos, así como otras medidas técnicas como pueden ser distintos tipos de perfiles de usuario e información a la que pueden acceder, logs de archivos accedidos, copiados o manipulados, técnicas de DLP (Data Loss Prevention) y por último pero no menos importante, un control sobre las cuentas de usuarios para dar de baja automáticamente aquellas de trabajadores que ya no están en la organización.
Los robos más populares fueron documentos en papel así como correos electrónicos aunque también decidieron llevar consigo documentos en pdf, registros de bases de datos o código fuente. Las maneras de sacarlos de la empresa eran: impresos, a través de un medio removible o enviándolos como adjuntos a una cuenta personal de correo.
Además, un 24% de ex-empleados seguían teniendo acceso a los sistemas de su antigua empresa, un 50% tuvieron acceso durante una media de 1 a 7 días y un 20% durante más de una semana.
No hacían falta estos datos para darse cuenta de que hay que tomar medidas para evitar este tipo de actos, como se suele decir, el enemigo más peligroso está en casa y ese no es otro que un trabajador descontento. En estos casos es deseable implantar varios tipos de medidas, por un lado organizativas, hacer que los trabajadores entiendan que no pueden sacar datos de la empresa fuera del local de trabajo y si es necesario, sancionar estos incumplimientos, así como otras medidas técnicas como pueden ser distintos tipos de perfiles de usuario e información a la que pueden acceder, logs de archivos accedidos, copiados o manipulados, técnicas de DLP (Data Loss Prevention) y por último pero no menos importante, un control sobre las cuentas de usuarios para dar de baja automáticamente aquellas de trabajadores que ya no están en la organización.
Jornada sobre la seguridad de la información
El próximo 11 de marzo a las 19:30h se impartirá una charla formativa organizada por el COITCV y SETIVAL, en ella se tratarán los distintos aspectos del negocio de la seguridad de la información: Seguridad legal (aplicación de normativa legal), Seguridad física, Seguridad lógica (de ámbito tecnológico) y Seguridad organizativa (orientado a la Gestión de la Seguridad).
Tenéis más información en su página web.
Tenéis más información en su página web.
Suscribirse a:
Entradas (Atom)