La pasada semana se publicó el informe «Cloud Computing. Retos y oportunidades» (enlace) realizado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información – ontsi. Es un estudio tremendamente interesante que analiza, por primera vez en España, el impacto de la informática en la nube en las PYMEs. Al margen de las … Continue reading Estudio sobre cloud computing de ONTSI →
El pasado mes de abril, el PCI Security Standards Council publicó la versión 1.1 del estándar «PCI Point-to-Point Encryption» y como ya comentamos la primera versión, vamos ahora a comentar esta nueva edición. Fundamentalmente, la nueva versión del estándar, además de modificar algunos requerimientos (que veremos luego), incluye ya los procedimientos de prueba para los QSA homologados para P2PE (recordaréis … Continue reading Análisis: Point-to-Point Encryption v1.1 →
El pasado 20 de marzo comparecía, a petición propia, el Ministro del Interior en el Senado para «informar sobre las líneas generales de la política del departamento» (texto completo en pdf de la comparecencia). Dadas las competencias de este Ministerio en materia de seguridad, me ha parecido interesante comentar algunos aspectos que he considerado relevantes de dicha … Continue reading Comentarios a la comparecencia en el Senado del Ministro del Interior →
El 9 de diciembre se publicó en el BOE la Resolución del 29 de noviembre, de la Secretaría de Estado de Seguridad, por la que se corregían errores en los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos publicados inicialmente el 15 de noviembre. Una de las dos modificaciones que recoge … Continue reading Protección de los PSOs y los PPEs →
Aunque es 28 de diciembre, no es una broma. La Agencia Española de Protección de Datos ha lanzado una consulta pública en relación a la computación en la nube. Lo primero que debemos decir, es que, nos sumamos a las voces que ya han aplaudido esta decisión de la Agencia (ver, por ejemplo, la repercusión de la noticia en twitter). … Continue reading Consulta pública de la AEPD sobre computación en la nube →
El pasado mes de septiembre, el PCI Council liberó la versión inicial de los requerimientos [enlace] en materia de cifrado, descifrado y gestión de claves para los dispositivos criptográficos seguros de las soluciones de cifrado punto a punto (o P2PE por su acrónimo en inglés, point-to-point encryption) basadas en un esquema hardware / hardware (es … Continue reading PCI Point-to-Point Encryption Solution Requirements →
Ya era una corriente que venía sonando con anterioridad pero, desde la aprobación de la Ley 8/2011 para la Protección de las Infraestructuras Críticas, la gestión integral de la seguridad es una necesidad / obligación para los operadores de este tipo de infraestructuras. No es que sea un tema muy complejo, pero un perfil de … Continue reading Gestión Integral de la Seguridad →
Tras el análisis desde la perspectiva ciber que hicimos de la Estrategia Española de Seguridad ha habido un tema que ha salido en múltiples conversaciones con cierta recurrencia. Me refiero al hecho de que la nueva legislación para la protección de las infraestructuras críticas está enfocada en las amenazas de origen terrorista o para hablar con exactitud … Continue reading Las infraestructuras críticas y la Protección Civil →
El Banco de Pagos Internacionales (más conocido por sus siglas en inglés, BIS – Bank for International Settlements) ha actualizado recientemente (junio) los documentos relacionados con el riesgo operacional y su cálculo mediante el denominado AMA (Advanced Measurement Approaches): Principles for the Sound Management of Operational Risk (bcbs195.pdf) Operational Risk – Supervisory Guidelines for the AMA … Continue reading Auditorías de riesgo operacional →
El pasado mes de mayo, el US Department of Homenland Security (DHS) publicó el informe «Common Cybersecurity Vulnerabilities in Industrial Control Systems» (pdf) que para todos aquellos que estéis interesados en los sistemas de control industriales (SCI) es un documento imprescindible (también si estáis empezando porque incluye explicaciones detalladas y muy claras sobre cada una de esas … Continue reading Vulnerabilidades más habituales en Sistemas de Control Industrial →