La seguridad de la información en los sistemas informáticos

Más allá de los aspectos técnicos y organizativos de Internet, se encuentra uno de los elementos más valiosos que tenemos en la sociedad actual: la información. Sin ella, Internet sería simplemente una red de comunicaciones. Por tanto, la seguridad de la información es de vital importancia en las organizaciones.

Pero, ¿quién gestiona la información que se publica en Internet? ¿Quién establece qué se puede publicar y qué no? ¿Quién establece los parámetros de seguridad? Para contestar a estas preguntas debemos tener en cuenta que Internet fue concebida como una red libre donde, a priori, cualquiera puede publicar lo que desee. Éste ha sido uno de sus pilares fundamentales desde sus inicios. Pero la seguridad cobra, cada vez, mayor importancia.

El fraude en Internet se basa en la utilización maliciosa de tres elementos sobre los que se construye el engaño. La presencia de estos elementos varía según el tipo de fraude y son utilizados de manera complementaria para vulnerar la seguridad de la información.

1.- La ingeniería social es la herramienta más utilizada para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados a través del engaño. Estas técnicas consisten en utilizar un reclamo para atraer la atención del usuario y conseguir que actúe en la forma deseada, por ejemplo convenciéndole de la necesidad de que reenvíe un correo a su lista de direcciones, que abra un archivo que acaba de recibir que contiene un código malicioso, o que, como ocurre en el phishing, proporcione sus códigos y claves bancarias en una determinada página web.

Para captar la atención del usuario que recibe el correo, se utilizan referencias a temas de actualidad, nombres de personajes famosos, denuncias de injusticias o catástrofes humanitarias o fechas significativas como la Navidad. Además, los timadores advierten de consecuencias negativas para el usuario que no siga sus indicaciones.

2.- El correo masivo y no deseado, conocido como spam, constituye el mejor y más barato mecanismo de difusión de cualquier información y, por lo tanto, de cualquier intento de fraude y amenaza contra la seguridad.

3.- El malware, virus, gusanos, troyanos, keyloggers, capturadores de pantalla, etc, diseñados específicamente para realizar tareas fraudulentas interceptan los datos que el usuario intercambia con una determinada entidad o las pulsaciones de su teclado.

Las amenazas de seguridad contra las infraestructuras TIC son:

• Software malintencionado. Virus diseñados para infectar rápidamente sistemas de cómputo en todo el mundo utilizando Internet, correo electrónico y mensajes instantáneos.

• Correo electrónico no deseado. Buzones inundados con emails no solicitados que bloquean los recursos de la red y sobrecargan las bandejas de entrada de correo electrónico. El Spam representa una amenaza a la productividad empresarial además se ha convertido en un transporte común para códigos maliciosos.

• Acceso no autorizado a la red. Los procedimientos y las políticas de seguridad que son adecuados para proteger los datos pueden ser inefectivos cuando la red se abre a extraños para mensajes y colaboración.

• Acceso no autorizado a los datos. Los negocios están cada vez más preocupados sobre la información confidencial que se filtra fuera del negocio a través de la infraestructura de mensajes y colaboración. Con la incorporación a los servicios en la nube, este tipo de amenazas se convierte en prioritaria.

Los servicios o las infraestructuras de comunicaciones han cobrado enorme importancia, hasta el punto de que el ordenador ha pasado a un segundo plano y se ha convertido en un elemento más que forma parte de toda la infraestructura que utilizamos habitualmente.

La seguridad TIC lleva asociada aspectos no sólo técnicos sino también organizativos y jurídicos. La seguridad TIC tiene en cuenta leyes y normas que establecen criterios y medias de seguridad no sólo desde un punto de vista técnico, sino también organizativo o legal.

 ENLACES: SERVICIOS DE SEGURIDAD    CONSULTORIA DE SEGURIDAD

Nueva legislación aplicable al comercio electronico

Lo primero que hay que tener en cuenta es que las empresas que quieren desarrollar acciones de comercio electronico han de cumplir las mismas obligaciones legales que una empresa que no esté en Internet. Sin embargo existe una normativa específica que regula el comercio electrónico:

• La Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD);

• La Ley 34/2002, de 11 de julio, de Ley de Servicios de de la Sociedad de de la Información y del Comercio Electrónico (LSSICE);

• La Ley 7/1998, de 13 de abril, sobre Condiciones Generales de la Contratación;

• El Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios,

• Otras leyes complementarias, donde se regulan de forma específica los contratos celebrados a distancia, así como la normativa de desarrollo de cada una de ellas.

No obstante, el 19 de abril del pasado año, el Consejo de Ministros aprobó el anteproyecto de reforma de la Ley General de Consumidores y Usuarios para adaptar la normativa española a la Directiva 2011/83/UE del Parlamento Europeo y del Consejo sobre los derechos de los consumidores y usuarios.

Esta reforma entrará en vigor a partir del 13 de junio de este año 2014. Este anteproyecto establece un nuevo marco legal para contratos a distancia y contratos establecidos fuera de un establecimiento mercantil, esto es, todo lo relacionado con el comercio electrónico.

Las 10 principales novedades que destacan de la normativa de comercio electronico, en referencia al marco legal anterior para que se pueda entender los cambios de forma fácil son:

1. Información previa al contrato: Se incrementa la información que se debe facilitar a los consumidores en los contratos a distancia y fuera del establecimiento habitual del empresario, esto es, en operaciones de comercio electronico.

2. Plazo de desistimiento: El plazo para ejercer el derecho de desistimiento pasa a ser de 14 días naturales para todos los Estados miembros.

3. Modelo informativo sobre el derecho de desistimiento: Se introduce un nuevo modelo informativo sobre el derecho de desistimiento para todos los Estados miembros.

4. Formulario de devolución: Se introduce un formulario de desistimiento que deberá facilitarse junto con la información previa al contrato de comercio electronico.

5. Excepciones del derecho a la devolución: Se aumentan y amplían las excepciones del derecho de desistimiento en comercio electronico, por ejemplo con los bienes precintados que no sean aptos para ser devueltos por razones de protección de la salud o de higiene y que hayan sido desprecintados tras la entrega.

6. Consecuencias del desistimiento: Consumidor y empresario de comercio electronico deberán restituirse recíprocamente las prestaciones antes de que transcurran 14 días naturales desde la comunicación del desistimiento. Se introduce un derecho de retención a favor del vendedor, el cual puede retener el reembolso del precio hasta haber recibido los bienes o una prueba de su devolución.

7. Costes de envío originario: En caso de devolución, el empresario reembolsará al consumidor los costes de envío originario salvo que el consumidor haya seleccionado una modalidad de entrega diferente a la ordinaria.

8. Botón de pedido: El botón de pedido ha de indicar claramente que el cliente se obligó al pago (por ejemplo “comprar ahora” o bien “pedido con obligación de pago”. En caso contrario, el consumidor no quedará obligado por el contrato.

9. Cargas encubiertas: Se incluyen disposiciones contra las llamadas “cargas encubiertas”. El consumidor ha de otorgar de forma expresa su consentimiento para todo pago adicional a la obligación contractual principal. De haberse seleccionado por defecto el pago adicional, (por ejemplo si la casilla de contratación de un seguro de viaje se encuentra marcada por defecto) el consumidor tendrá derecho al reembolso del mismo. Además, queda prohibido facturar por los medios de pago cargos superiores a los asumidos por el empresario.

10. Líneas de atención al cliente: En caso de que el empresario opere con una línea telefónica a efectos de comunicarse con los clientes en relación con el contrato celebrado, el consumidor no estará obligado a pagar más de la tarifa básica.

Para profundizar sobre la legislación para el comercio electronico se recomienda la lectura del «Libro Blanco del Comercio Electrónico» de AECEM (Asociación Española de Comercio Electrónico y Marketing Relacional).

ENLACES: AECEM  INESBY

La pirateria en las pymes españolas, un coste muy alto.

El software ilegal es un elemento muy seductor para las pymes en el mundo entero y tener software pirata es algo corriente. Hasta 10,8 millones de euros costó a las empresas europeas la pirateria de software en el pasado año y fue el coste que asumieron las que fueron objeto de acciones legales contra la pirateria por parte de la BSA (Business Software Alliance), la Agencia que defiende los derechos de los fabricantes de programas informáticos.

BSA recibió en el 2013 alrededor de 2.600 denuncias a empresas que estaban utilizando software ilegal o pirata y ejecutó más de 1.300 acciones legales. Los sectores empresariales principales en cuanto a utilización de software fraudulento son la arquitectura y diseño, industria e ingeniería.

En España, en 2013, BSA alcanzó un nuevo récord de denuncias contra pymes por uso de software ilegal, con un incremento del 32% sobre el 2012. Las pymes investigadas tuvieron que pagar alrededor de 715.000 €, como consecuencia de las 212 acciones legales que llevó a cabo BSA contra la pirateria.

Carlos Pérez, socio de Ecija, la firma legal que asesora a la BSA en España: «Por segundo año consecutivo, hemos alcanzado récord de registros en 2013 en España. Estamos incrementando nuestra actividad judicial, aplicando la ley y mostrando a las empresas que, al final, cometer un delito tiene consecuencias. Y utilizar software sin licencia es un delito con consecuencias graves que pueden afectar negativamente a las empresas y a la supervivencia de su negocio. Invertir en software legal es invertir en innovación, crecimiento y seguridad. Tratar de ahorrar costes usando software sin licencia es una falsa creencia, un grave error y un retroceso en los intereses de futuro de la compañía «.

Y añade: «Desde BSA vamos a seguir trabajando duro para defender los derechos de propiedad intelectual de las empresas de software, contemplando todas las formas de pirateria que puedan ir apareciendo. Por ejemplo, en los últimos años está aumentando la pirateria de software en entornos de cloud computing y la legislación comienza a tenerlo en cuenta. De hecho, el anteproyecto de nuevo Código Penal en España incluye las herramientas suficientes para combatir con éxito este nuevo tipo de piratería».

Los 3 sectores con mayor software pirata detectado durante 2013 fueron industria, ventas/distribución e ingeniería, en este orden. Y las ciudades con mayor número de casos de pirateria reportados en nuestro país fueron Madrid, Barcelona y Valencia.

Según el último estudio de BSA, “Los beneficios económicos de reducir la pirateria de software y recortar en 10 puntos durante los próximos cuatro años la tasa del 42% de piratería de software que sufre hoy España, podría crear 2.244 nuevos empleos, generar 2.000 millones de € adicionales para nuestro PIB, y 375 millones de € en impuestos para el año 2013. El informe también señala que más 80% de esos beneficios irían directamente a la economía local”.

Proteger la propiedad intelectual fomenta la innovación que conduce al crecimiento económico, la creación de empleo y, por tanto, fomenta el desarrollo masivo de la industria del conocimiento. Por otra parte, hay que añadir los problemas que se derivan de la pirateria, tales como la pérdida de datos o fallos críticos en los sistemas informáticos, ataques de virus informáticos y malware y daños en la imagen de la Pyme.

ENLACES: BSA     ABC TECNOLOGIA

 

Google Vs. Amazon: Una batalla en la nube.

En general, la nube de Google y Amazon son servicios similares: Ambos ofrecen computación y almacenamiento bajo demanda en la nube, lo que significa que los clientes pueden adaptar sus necesidades en infraestructura sin tener que realizar inversiones.

Amazon ha estado ofreciendo servicios en la nube desde hace más tiempo que Google, por lo que tiene una ventaja en la variedad de servicios y en la fiabilidad de los mismos. Google tiene solo un puñado de servicios, pero sus ofertas son de mayor rendimiento.

Para aplicaciones de corta duración que requieren una máquina de alto rendimiento, la nube de Google parece ser la mejor. Para aplicaciones complicadas que están alojadas en la nube por un periodo largo de tiempo y que usan una mayor variedad de servicios, tales como, bases de datos, balanceadores de carga, sistemas de nombre de dominio y redes de suministro de contenidos, Amazon es la mejor opción.

La manera de determinar si es necesario migrar todas sus cargas de trabajo desde Amazon a Google es definir qué servicios de Amazon son los que se están utilizando y ver si están disponibles en Google. Google ofrece una servicio de computación, almacenamiento, bases de datos y análisis de datos (llamada BigQuery). Los equivalentes de Amazon son Simple Storage Service (S3), Elastic Compute Cloud (EC2) y Elastic MapReduce (EMR).

De los usuarios de servicios en la nube, la mitad solo utiliza los servicios de computación y almacenamiento básicos en Amazon que Google tambien ofrece. Así que, podrían migrar sus cargas de trabajo a la nube de Google. La otra mitad de los clientes que usan las características avanzadas de la nube de Amazon que Google aún no ha implementado no podrán realizar esta migración.

Ahora, los dos principales actores de la llamada nube pública han iniciado una carrera para lanzar las tarifas más atractivas al mercado. Una gran diferencia entre Amazon y Google es la politica de precios.

Amazon, que ha rebajado en un 25% el precio de su solución S3 en todo el mundo, asegura que “busca hacer frente a las compañías de la vieja guardia», en clara referencia a IBM o Microsoft. Amazon tiene un precio por defecto a la carta. Los precios pueden ir subiendo o bajando según lo que el cliente quiera y sin compromiso.

Google ha anunciado en su blog oficial que se «compromete a proporcionar el mayor valor del mercado a las empresas y desarrolladores interesados en operar en la nube». Google, por otro lado, tiene una facturación por minuto, comparada con la facturación por hora de Amazon. Por lo tanto, si los clientes quieren ejecutar trabajos en la nube de corta duración, Google sería una mejor opción.

Si un cliente está en condiciones de utilizar Google, es una buena idea repartir las cargas de trabajo a través de diferentes proveedores de nube. Incluso con los Acuerdos de Nivel de Servicio (SLA), que garantizan un cierto nivel de tiempo de actividad.

Amazon recomienda a los clientes dividir la carga de trabajo a través de varias zonas de disponibilidad dentro de la nube; para los clientes que buscan alta protección, pueden dividir y esparcir las cargas de trabajo a través de las diferentes regiones de la nube. Más protección significaría esparcir las cargas de trabajo a través de múltiples proveedores.

Google ha avanzado hasta un punto donde el hecho de considerar usar la aplicación como un servicio de copias de seguridad o un servicio primario, se ha convertido de por sí, en el destino.

Teniendo en cuenta que Amazon podría generar hasta 4 billones de dólares en ingresos en 2014, no es sorprendente que otras compañías busquen tomar un trozo del pastel.

ENLACES: La nube de Google    La nube de Amazon

Situación de los servicios en la nube en las pymes

La computación en la nube, concepto conocido también bajo los términos servicios en la nube o informática en la nube, del inglés cloud computing, permite ofrecer servicios de computación a través de Internet. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles «en la nube de Internet» sin conocimientos importantes en la gestión de los recursos que utilizan.

«Cloud computing» es un nuevo modelo de prestación de servicios que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su empresa de forma flexible y adaptándolos en caso de demandas de servicios no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad.

Según el informe sobre el grado de adopción de la nube en las organizaciones empresariales españolas realizado por la Consultora IDC y con la colaboración y el patrocinio de Arsys y VMware, la informática en la Nube está evolucionando de manera muy positiva. El conocimiento de este tipo de servicios en España se sitúa en un nivel elevado: El 88% de los responsables TIC de las empresas y organizaciones han escuchado hablar de cloud  o nube y su oferta y el 41% de estas organizaciones españolas están utilizando algún tipo de servicio o aplicación en la nube.

 La implantación de la nube está dejando de ser proyectos piloto para implantarse a gran escala. Según destaca la Consultora IDC: “La auténtica oportunidad de cloud, el despliegue de todo su potencial, está por llegar”. El analista Alberto Bellé lo explica así: “Las primeras etapas de adopción cloud vienen marcadas por tres aspectos muy claros: la orientación a coste, la búsqueda de mejoras a corto plazo y el alcance limitado a un área en particular, que no se extiende a la organización al completo. Sin embargo, ésta es una pequeña parte del mapa de oportunidad de cloud, ya que el mayor potencial se alcanzará cuando éste abarque la totalidad de procesos a lo largo de la organización, y este paso requiere algo más que un cambio tecnológico: aquí entran las personas y los procesos. Las organizaciones españolas se encuentran a las puertas de esta transformación”.

Para entrar en la nueva fase de la que se habla en el informe es preciso realizar “el gran salto en la adopción”. Pero para llegar a la nube “optimizada”, como la llama IDC, las organizaciones deben recorrer un camino previo con un análisis funcional de la organización que defina las operaciones y protocolos necesarios de implantación y migración.

 La consultora IDC recomienda que las empresas transformen sus procesos: “Si todos los departamentos o sedes realizan sus procesos de forma distinta, cloud no tiene sentido”, indica el estudio. Esta fase, que IDC denomina cloud “replicable” implica pérdida de flexibilidad pero incrementa la eficiencia en toda la empresa.

 Posteriormente es preciso abordar la fase “gestionada”, donde la nube estará completamente integrada en las diferentes unidades de negocio que gestionarán las tecnologías de forma muy sencilla, como un departamento TIC virtual.

De la reducción del coste a la generación de ingresos. La dinámica que tendrá la nube en las tres etapas que señala IDC será diferente a la que existía previamente: “Ya no importará tanto cuánto se reduce el coste, sino qué oportunidades de ingresos se van a generar. El ahorro ya no se producirá solo al reducir la inversión o gasto en hardware y software, sino a través de procesos más eficientes.  Este salto no lo puede dar el departamento TIC en solitario”.

 Para que esta transformación sea posible será necesaria la participación de tres actores principales: El departamento TIC, las unidades de negocio y los proveedores de tecnología. El primero no solo tendrá que conocer la tecnología sino también el negocio. Las segundas son responsables de transmitir las necesidades de negocio al departamento TIC. Finalmente, el proveedor de tecnología tiene que evolucionar y explorar el impacto de la Nube en el cliente, ayudándole a pensar de forma diferente y estratégica.

ENLACES:  Servicios para Pyme