Estudio sobre cloud computing de ONTSI

La pasada semana se publicó el informe “Cloud Computing. Retos y oportunidades” (enlace) realizado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información – ontsi. Es un estudio tremendamente interesante que analiza, por primera vez en España, el impacto de la informática en la nube en las PYMEs. Al margen de las […]

Análisis: Point-to-Point Encryption v1.1

El pasado mes de abril, el PCI Security Standards Council publicó la versión 1.1 del estándar “PCI Point-to-Point Encryption” y como ya comentamos la primera versión, vamos ahora a comentar esta nueva edición. Fundamentalmente, la nueva versión del estándar, además de modificar algunos requerimientos (que veremos luego), incluye ya los procedimientos de prueba para los QSA homologados para P2PE (recordaréis […]

Comentarios a la comparecencia en el Senado del Ministro del Interior

El pasado 20 de marzo comparecía, a petición propia, el Ministro del Interior en el Senado para “informar sobre las líneas generales de la política del departamento” (texto completo en pdf de la comparecencia). Dadas las competencias de este Ministerio en materia de seguridad, me ha parecido interesante comentar algunos aspectos que he considerado relevantes de dicha […]

Consulta pública de la AEPD sobre computación en la nube

Aunque es 28 de diciembre, no es una broma. La Agencia Española de Protección de Datos ha lanzado una consulta pública en relación a la computación en la nube. Lo primero que debemos decir, es que, nos sumamos a las voces que ya han aplaudido esta decisión de la Agencia (ver, por ejemplo, la repercusión de la noticia en twitter). […]

PCI Point-to-Point Encryption Solution Requirements

El pasado mes de septiembre, el PCI Council liberó la versión inicial de los requerimientos [enlace] en materia de cifrado, descifrado y gestión de claves para los dispositivos criptográficos seguros de las soluciones de cifrado punto a punto (o P2PE por su acrónimo en inglés, point-to-point encryption) basadas en un esquema hardware / hardware (es […]

Las infraestructuras críticas y la Protección Civil

Tras el análisis desde la perspectiva ciber que hicimos de la Estrategia Española de Seguridad ha habido un tema que ha salido en múltiples conversaciones con cierta recurrencia. Me refiero al hecho de que la nueva legislación para la protección de las infraestructuras críticas está enfocada en las amenazas de origen terrorista o para hablar con exactitud […]

Auditorías de riesgo operacional

El Banco de Pagos Internacionales (más conocido por sus siglas en inglés, BIS – Bank for International Settlements) ha actualizado recientemente (junio) los documentos relacionados con el riesgo operacional y su cálculo mediante el denominado AMA (Advanced Measurement Approaches): Principles for the Sound Management of Operational Risk (bcbs195.pdf) Operational Risk – Supervisory Guidelines for the AMA […]

Vulnerabilidades más habituales en Sistemas de Control Industrial

El pasado mes de mayo, el US Department of Homenland Security (DHS) publicó el informe “Common Cybersecurity Vulnerabilities in Industrial Control Systems” (pdf) que para todos aquellos que estéis interesados en los sistemas de control industriales (SCI) es un documento imprescindible (también si estáis empezando porque incluye explicaciones detalladas y muy claras sobre cada una de esas […]