Nuestra habilidad para creer lo que nos resulta más cómodo puede hacer un flaco favor a la seguridad nacional de la misma manera que puede provocar una faena doméstica si pensamos que nadie nunca se planteará robarnos la vivienda o robarnos los datos bancarios personales que trajinamos con nuestros dispositivos electrónicos. Un proverbio inglés dice … Continue reading Dilemas en torno a la Estrategia de Ciberseguridad Nacional →
Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle. No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido … Continue reading Estrategia de Ciberseguridad Nacional →
A finales del pasado mes de septiembre, se hizo publico el proyecto de Ley General de Telecomunicaciones cuyo texto íntegro puede ser consultado aquí. Nos ha parecido interesante analizar brevemente las disposiciones del proyecto relacionadas con la ciberseguridad, en particular, nos centraremos en los artículos 44 y 77 y en la disposición final segunda. Artículos … Continue reading Análisis del proyecto de la Ley General de Telecomunicaciones →
En la entrada de hoy vamos a comentar el reciente estudio elaborado por McAfee y el CSIS (Center for Strategic and International Studies) sobre «El impacto económico del cibercrimen y el ciberespionaje» (PDF). La conclusión principal del estudio es que, dadas las dificultades para disponer de datos más o menos fiables, han tenido que recurrir … Continue reading Impacto económico del cibercrimen →
Se encuentra en estos momentos en discusión en el Parlamento Europeo una propuesta de Directiva que sustituye la Decisión marco 2005/222/JAI del Consejo que era la que se aplicaba hasta el momento. Esta nueva Directiva persigue armonizar el tratamiento que se da en la Unión Europea a los ataques contra los Sistemas de Información (SS.II.) … Continue reading Propuesta de Directiva relativa a los ataques contra los sistemas de información →
En esta entrada vamos a analizar el recién suplemento informativo publicado por el PCI Security Standards Council relativo a la computación en la nube (PDF). En primer lugar, destacar que es un documento bastante exhaustivo (52 páginas) que incluso, en nuestra opinión, va un poco más allá de lo que se esperaría de un suplemento informativo del PCI … Continue reading Análisis: Guías de Cloud Computing PCI-DSS →
El pasado mes de noviembre, el PCI Council publicó el suplemento informativo titulado «PCI DSS Risk Assessment Guidelines» (pdf) orientado a ampliar detalles para cumplir con el requerimiento 12.1.2 que exige que las políticas de seguridad «incluyan un proceso anual que identifique amenazas y vulnerabilidades y concluya con un análisis de riesgos formal«. La estrategia propuesta por … Continue reading Análisis: Guías de Análisis de Riesgos PCI-DSS →
El Departamento de Energía de los EE.UU. (DOE) publicaba el pasado 31 de mayo, en colaboración con la Universidad Carnegie Mellon este modelo de madurez de capacidad en ciberseguridad para el subsector de la electricidad (pdf). Dada la importancia del sector eléctrico en el ámbito de las infraestructuras críticas nos ha parecido interesante comentar dicho documento. El … Continue reading Análisis: Electricity Subsector Cybersecurity CMM (ES-C2M2) →
La pasada semana se publicó el informe «Cloud Computing. Retos y oportunidades» (enlace) realizado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información – ontsi. Es un estudio tremendamente interesante que analiza, por primera vez en España, el impacto de la informática en la nube en las PYMEs. Al margen de las … Continue reading Estudio sobre cloud computing de ONTSI →
El pasado mes de abril, el PCI Security Standards Council publicó la versión 1.1 del estándar «PCI Point-to-Point Encryption» y como ya comentamos la primera versión, vamos ahora a comentar esta nueva edición. Fundamentalmente, la nueva versión del estándar, además de modificar algunos requerimientos (que veremos luego), incluye ya los procedimientos de prueba para los QSA homologados para P2PE (recordaréis … Continue reading Análisis: Point-to-Point Encryption v1.1 →