| |
|
|
AIRTEL
MOVIL
|
«La
dinámica de nuestro negocio en el mercado de las telecomunicaciones
exige, cada vez con mayor intensidad, la apertura de las redes
corporativas a Internet para facilitar accesos rápidos,
cómodos y seguros a nuestros clientes, empleados y
proveedores en los sistemas que les proporcionamos. Por ello,
el mayor reto tecnológico que estamos afrontando este
año, en el ámbito de la seguridad informática,
es el diseño e implantación de los mecanismos
de control, basados en una infraestructura de clave pública,
para la ‘securización’ de estos accesos remotos
corporativos.
El gran volumen de sistemas y aplicaciones que soportan los
procesos de negocio de Airtel, en arquitecturas cliente-servidor
heterogéneas, nos obliga a plantearnos soluciones en
la administración de la seguridad orientadas a la gestión
centralizada de cuentas de usuario. Sin embargo, dada la inmadurez
tecnológica de los productos de este mercado y la limitación
de las soluciones que aportan los fabricantes del software,
nuestra apuesta se centra en la utilización de los
estándares que se están imponiendo, como pueden
ser los directorios tipo X.500, compatibles LDAP, para el
almacenamiento de la información administrativa de
la seguridad.
Por último, la aceleración en el desarrollo
legislativo español y europeo en materia de protección
de datos de carácter personal, unida a la evolución
de las tecnologías de la información y a la
sensibilidad permanente de la Dirección de Airtel en
esta materia, nos supone una atención continua para
garantizar la adecuación de los sistemas y procesos
a la normativa legal vigente». |
 |
|
JAVIER
DEL RIEGO FERNÁNDEZ
Responsable de Seguridad Lógica
Dpto. de Seguridad, Calidad
y Gestión de Programas (T.I.)
|
|
|
| |
|
|
GERENCIA
DE INFORMÁTICA DE LA SEGURIDAD SOCIAL
|
«–
La confidencialidad de la identificación. Es necesario
que se implante de forma masiva un mecanismo de identificación
personal, hoy día el certificado, como nivel de seguridad
mínimo que garantice la identificación, la transmisión
confidencial de datos y el no repudio de ninguna de las actuaciones
entre ambas partes. Es imprescindible que sea de muy bajo coste
económico y fácil de manejar por ciudadanos sin
conocimientos informáticos, bien en software «transparente»
bien en tarjetas.
– La gestión de la seguridad como activo de la organización.
Hoy día ya es cotidiano entrar en Internet con niveles
de Seguridad altos mediante una inversión económica
más o menos alta; pero no se plantea, de forma general,
en las organizaciones la gestión dev profesionales que
deben mantenerse específicamente y, permanentemente,
preparados en este entorno. La seguridad no es un concepto temporal
sino un activo de la organización que como tal debe presupuestarse,
ejecutarse e inventariarse.
– La gestión del procedimiento y la regulación
del éxito. No existen parámetros «a priori»
que permitan detectar, con fiabilidad, el éxito de la
puesta en Internet de los servicios de la organización,
por lo que debe tenerse muy en cuenta el posible impacto de
numerosas gestiones que, en ámbito normal, no se realizan
pero la comodidad de actuar desde casa permite. Así mismo,
ya no es posible publicar servicios para tramitar el papel en
la ventanilla 11 y luego en la 15, sino que deben gestionarse
procedimientos trasparentes para el ciudadano que permitan,
de forma integrada y si es posible de una sola vez, realizar
todos los trámites». |
|
|
FRANCISCO
JAVIER MARTÍNEZ ABAD
Director de Infraestructuras
|
|
|
| |
|
|
SISTEMAS
TÉCNICOS DE LOTERÍAS DEL ESTADO
|
«Desde
mi personal punto de vista y, hablando en términos generales,
esto es, sin relación directa con mi situación
profesional actual, el sector se enfrenta con tres, bueno, mejor
dicho, cuatro grandes retos:
1. Avanzar hacia un sistema de autenticación, autorización,
control de acceso y firma digital fuerte, robusto, centralizado,
móvil y universal, que simultáneamente respete
la privacidad cuando ello sea necesario. (Por ejemplo, autenticar
que el usuario es quien dice ser en un acceso de coste plano
reservando su privacidad de cara al ISP).
2. Las herramientas (S.O., aplicaciones) deben incorporar mecanismos
de seguridad desde su diseño y no tener que aplicar soluciones
complementarias y parciales a posteriori.
3. Formación. Formación. Formación. A técnicos
(transporte, redes, sistemas, aplicaciones, desarrolladores,
etc.) y a usuarios (engaños, señuelos, control
de configuración, etc.)
4. Dotación presupuestaria empresarial. Se dotan recursos
para vigilancia física de instalaciones y se olvida el
valor y exposición de los activos de información.
Balance entre «salir pronto», «salir razonablemente
seguro» y «no salir».
5. Seguridad en el tráfico mercantil (cobros y pagos)
de intangibles, cuando no hay simultaneidad física y
temporal (por ejemplo, en Internet) de las partes.»
|
|
|
CARLOS
BACHMAIER JOHANNING
Subdirector de Redes IP,
Seguridad y Tecnología
|
|
|
| |
|
|
GRUPO
GENERALI ESPAÑA
|
«Aunque
el Reglamento de Seguridad ha dado un espaldarazo a la figura,
muchas veces oscura, del Responsable de Seguridad, la problemática
en las organizaciones sigue siendo la labor de sensibilizacion
y formacion en materia de Seguridad, que se tiene que realizar
de forma continua, en cualquier punto de la Empresa.
El establecimiento de politicas de seguridad, impulsadas y aprobadas
por la Alta Direccion, es otro reto importante ya que de no
existir estas directrices, es tremendamente complicado hacer
cambios en arquitecturas tecnicas, ya implementadas, incorporando
el factor seguridad, y existe la tendencia a no realizarse.
Otro reto sería la inclusión metodológica,
en la fase de diseño, de cualquier proyecto que se realice,
tanto en las arquitecturas técnicas, como en los sistemas
de informacion, de su capítulo de análisis de
riesgos, y demás implicaciones de seguridad.
Desde la problemática de Identificarse en las diferentes
aplicaciones que funcionan en la variedad de plataformas que
se tienen actualmente, las distintas Adminitraciones de Seguridad
de estas plataformas, etc., creo que la Monitorizacion proactiva
de la Seguridad de todos los elementos de software, en un punto
único, es el gran reto por realizar dentro de una arquitectura
de seguridad».
|
|
|
ANTONIO
NEIRA MARTORELL
Responsable de Control de Servicio,
Seguridad y Auditoría
|
|
|
|
|
|
|
A.E.A.T.
AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA
|
«Desarrollo
de un Plan de Seguridad donde se defina de forma clara la política
de seguridad de la empresa, que establezca directrices, normas
y procedimientos, que tenga como base un análisis de
riesgos de los activos de la empresa y en el que se incluya
un plan de contingencias que defina cómo afrontar las
posibles emergencias.
Conseguir verdaderos profesionales de la seguridad, con los
que contar para afrontar con garantías la apertura de
la organización al exterior.
Para el pleno desarrollo de las transacciones por Internet se
debe disponer de certificados reconocidos por todos y válidos
para todo tipo de transacción electrónica.»
|
|
|
SANTIAGO
SEGARRA TORMO
Director del Dpto. de Informática Tributaria
|
|
|
| |
|
|
CAIXANOVA
(CAIXA DE AFORROS DE VIGO, OURENSE E PONTEVEDRA)
|
«La
rápida evolución de las nuevas tecnologías,
la descentralización de la informática corporativa,
la proliferación de redes, la explosión del negocio
en el comercio-e, los «portales», la nueva ley Orgánica
de Protección de Datos y el Reglamento que se desarrolló
a la luz de la LORTAD, obligan y orientan claramente a crear
las medidas de seguridad lógicas y físicas que
garanticen la integridad de la información propietaria
y generan, a la vez, nuevos retos en materia de seguridad informática.
En mi opinión personal los grandes retos en esta materia
que se presentan en las empresas, con independencia al sector
al que pertenezcan, son:
– Concienciar a las Direcciones Generales acerca de que
la diversificación en la comercialización del
negocio, nuevas tecnologías, globalización, e-business,…,
abre un amplio abanico de riesgos y que sólo con una
buena organización de seguridad informática que
participe activamente en los proyectos, podría paliar
este riesgo.
– Crear un área integral de seguridad que asuma
la responsabilidad de administrar y garantizar la integridad
de la información de la empresa, desarrollando un plan
director de seguridad que comprometa a todos sus miembros. Esto
es algo que se hace necesario desde el punto de vista organizativo.
– Partiendo del principio de que la seguridad de la información
debe garantizar la confidencialidad, disponibilidad e integridad,
mediante la definición de normas y procedimientos, y
la implantación de mecanismos de seguridad, se deben
definir claramente los entornos de Seguridad: mainframe, distribuidos
y microinformática, entornos TCP/IP (comunicaciones),
planes de contingencias, correo, internet.
– Tecnológicamente se abren dos retos importantes:
primero, romper con la concepción antigua de que la seguridad,
«es algo interno», adaptándola a las nuevas
necesidades: redes, correo interno,… y segundo, la seguridad
externa, desarrollando y utilizando medios que las nuevas tecnologías
nos permiten para proteger lo que ya es imparable, negocios-e,
firma electrónica, datos personales que viajan a través
de la red,…
– Para minimizar el riesgo de graves daños en el
negocio, las Empresas tienen dos opciones, una es la contratación
de servicios externos expertos y otra, para las que tengan servicios
de seguridad informática propios, dotarlos ampliamente
de medios humanos y de los mas sofisticados medios hard y soft
existentes en cada momento (cortafuegos, VPN,…), adecuados
y dimensionados a cada necesidad, a la vez que facilitar la
formación continua a sus profesionales para hacer frente
de forma eficiente a tan vertiginosa evolución».
|
|
|
MAXIMILIANO
GARCÍA SALAMANCA
Director del Área de Seguridad
|
|
|
| |
|
|
PATAGON.ES
(OPEN BANK)
|
«El
principal reto para la seguridad de la información en
el nuevo entorno de economía global es la adecuación,
integración y control de las políticas de seguridad
de empresas y servicios heterogéneos. Esto se traduce
en tres desafios fundamentales que hay que afrontar:
– Las compañias interconectan sus sistemas de información
(B2B) para proveer a sus clientes de mejores productos y servicios.
Esto impide una política de seguridad homogénea
y lleva al efecto «cadena», donde la seguridad del
sistema global depende del más debil de sus componentes.
– La disponibilidad y seguridad de un servicio de una empresa
no depende de la calidad de sus departamento de Sistemas. Se
depende de tantas compañias (Telefónicas, ISP,
logísticas, servicios, outsourcing, etc) que la definición,
administración y control de los acuerdos de servicio
se convierte en una tarea fundamental.
– No existe un marco de referencia en políticas
de seguridad aplicable a sistemas multiempresariales».
|
|
|
CARLOS
FRANCO PORTILLO
Arquitectura y Seguridad
|
|
|
| |
|
|
BANESTO
|
«–
Es importante lograr, especialmente para el Comercio Electrónico,
un sistema universal de identificación de usuarios de
sistemas, con los siguientes requisitos: robusto e infalsificable,
ampliamente estándar y válido en todas las plataformas
para su comunicación entre ellas, fácil de implantar
y utilizar, socialmente aceptado y comprensible.
– Conseguir, en lo relativo a la presencia en Internet
y sus futuras aplicaciones, una seguridad suficientemente fiable
como para que:
a) no sea tan dependiente de descubrimientos continuos de vulnerabilidades
en el software y hardware, b) limite el acceso a lo que se establezca
en cada momento y las conexiones con Mainframes, y c) salvaguarde
las preferencias establecidas por cada cliente.
– Organizativamente, conseguir una integración o
control común de seguridad y vigilancia entre los métodos
y profesionales de los sistemas tradicionales cerrados (mainframes)
y los provinientes de los nuevos entornos más abiertos
y variados.» |
|
|
JOSÉ
DÍAZ LIFANTE
Responsable de Seguridad Lógica
|
|
|
| |
ATENTO
TELECOMUNICACIONES
|
ATENTO
TELECOMUNICACIONES
|
«Atento Telecomunicaciones España tiene asumido,
dentro de los objetivos estratégicos para este año,
el potenciar las Tecnologías de la Información.
Para dar respuesta a las necesidades surgidas en aspectos más
concretos, como son la Seguridad de la Información, la
compañía tiene abiertas tres líneas de
actuación:
– Adaptación a los requerimientos que la LORTAD
–ahora LOPD–, y su desarrollo Reglamentario impone
en la gestión de ficheros automatizados que contengan
datos de carácter personal.
– Imbricar la Seguridad de la Información, como
un Área más dentro de la organización,
en la gestión de la empresa.
– Contemplar, desde su fase inicial, la Seguridad en los
proyectos tecnológicos (productos, servicios...) que
Atento Telecomunicaciones España tiene asumidos». |
|
|
ALBERTO
ROCA GARCÍA
Responsable de Seguridad
|
|
|
| |
|
|
TELEFÓNICA
DE ESPAÑA
|
«La
evolución tecnológica ha estado marcada, de un
tiempo a esta parte, por los Sistemas de Información
multiplataforma distribuidos. Se ha pasado de una gestión
centralizada de la seguridad a una gestión delegada en
cada uno de los sistemas de seguridad de cada plataforma, lo
que está suponiendo un esfuerzo muy grande para mantener
un nivel de seguridad homogéneo. Se impone la necesidad
de implantar soluciones técnicas capaces de gestionar
la seguridad de estos entornos de nuevo centralizadamente.
En línea con el punto anterior, los usuarios de S.I.
se encuentran con mecanismos de seguridad heterogéneos
en su trabajo diario, cuando para ellos el acceso a los recursos
necesarios debería ser único y lo más transparente
posible. Surge pues la necesidad de dotar a los sistemas de
información (o al puesto de trabajo desde la óptica
del usuario) de un único acceso, el famoso Single Sign
On, en el que, por supuesto, deberá centrarse la definición
y cumplimiento de las políticas de seguridad de cada
organización.
Por último, tanto la apertura de los sistemas a proveedores
y clientes, vía Internet, como la legislación
vigente sobre protección de datos ha impulsado una oleada
de concienciación en los usuarios de los sistemas. Aún
así es necesario recalcar la importancia de la concienciación
de todos los involucrados en el ciclo de vida de la información,
de forma que la seguridad, los mecanismos, controles y precauciones
sean aspectos naturales en el proceso diario.»
|
|
|
FERNANDO
VEGA VIEJO
Gerente de Seguridad de Sistemas
de Información
Dirección de Área de Producción
Dirección General de Organización
y Sistemas de Información
|
|
|
| |
|
|
RETEVISIÓN
|
«Curiosamente,
en el mundo de la seguridad corporativa, los retos no son tanto
tecnológicos como organizativos, legales y de gestión
de usuarios.
Desde el punto de vista organizativo, los mayores problemas
de seguridad se deben a la complejidad de definir procedimientos
que aseguren una seguridad efectiva (vista en la mayoría
de casos como un proceso burocrático), tanto desde el
punto de vista del paso a producción de sistemas, confección
de planes de seguridad, procedimientos de recuperación,
planes de contingencia,...
Por otra parte, los aspectos legales de la seguridad de los
sistemas, habitualmente están en manos de los departamentos
de asesoría o auditoría de las empresas. Estos
departamentos poseen un conocimiento muy profundo de las leyes,
pero a menudo no disponen de los conocimientos técnicos
para aplicarlos. La figura del responsable de seguridad debe
efectuar este enlace entre el «mundo» tecnológico
y el legal.
La gestión de usuarios es otro de los grandes retos,
ya que se debe aunar la agilidad requerida por las organizaciones,
el compromiso de seguridad requerido por los propietarios de
las aplicaciones (el responsable del fichero en el caso LOPD)
en la asignación de perfiles y la gestión de contraseñas.
Para subsanar estos problemas, los modernos y poco experimentados
sistemas de SSO proporcionan soluciones adecuadas.»
|
|
|
DEMETRI
RICO AGUILA
Jefe de Seguridad
|
|
|
| |
|
|
IBERDROLA
SISTEMAS, S.A.
|
«En
nuestra visión de la seguridad de la información
como un proceso más del negocio que debe ser implantado,
medido, estabilizado y mejorado para alcanzar la excelencia,
destacamos los siguientes retos:
– Crear la cultura de seguridad en todos los ámbitos
de la organización. Formación e información
eficaz.
– Herramientas de gestión del proceso y de integración
de los mecanismos de seguridad implantados.
– Evolucionar la arquitectura de seguridad a la velocidad
de la innovación tecnológica y de las necesidades
de los negocios.
– Disponer de modelos de referencia maduros como elementos
de contraste».
|
|
|
MANUEL
PALAU ROLDUÁ
Director de Seguridad y Calidad
|
|
|
| |
|
|
CAJA
MADRID
|
«Seguridad
somos todos» es el lema. Alcanzarlo es el reto. Disponer
de políticas, normas, etc. claras, accesibles, difundidas
y asumidas a través de programas de concienciación
de los empleados me resulta un reto atractivo y muy eficaz para
elevar el listón de protección. La consideración,
tal vez clásica, de la seguridad, donde algún
técnico nos incordia con medidas que complican el desarrollo
de los productos, ha cambiado. La seguridad es ya un componente
estratégico que aporta un apreciable valor añadido
a las soluciones de negocio. Como en tantas otras cosas, la
creciente demanda popular de seguridad impulsa a aplicar ésta
de forma eficaz en cualquier producto a «fabricar».
Para dar respuesta a este nuevo paradigma, la cultura de la
seguridad en la empresa es un factor imprescindible.
El famoso lema es «el nivel de seguridad general es igual
al del eslabón mas débil». Conseguir que
la seguridad de ese eslabón sea suficiente es el reto.
LLevamos «fabricando» seguridad desde que se inició
la informática, pero ahora existe un colectivo formado
y capaz de interoperar con los sistemas, como hasta no hace
mucho sólo podían hacerlo los profesionales informáticos,
por lo que el riesgo se incrementa. Cada vez se va más
rápido y es preciso llegar más lejos para instrumentar
soluciones de seguridad, aunque para ello disponemos de más
mecanismos y productos de seguridad que nunca. Pero, ¿qué
pasa con lo construido? Tenemos que alcanzar el nivel de seguridad
que permiten los instrumentos de hoy en lo que hemos ido fabricando
durante las décadas anteriores. Aplicar los nuevos métodos,
ideas y herramientas a lo construido actualizando su nivel de
seguridad, me resulta un reto atractivo y necesario para mantener
el listón de protección a la altura deseada.
Y por último, aunque no por ello menos importante, la
«Innovación segura». El reto es conseguirla.
Afortunadamente estamos empeñados en diseñar nuevas
formas de hacer, y en aprovechar las amplias posibilidades de
las nuevas tecnologías en un entorno de crecimiento continuo
y tremendamente fértil en la aparición de tecnologías,
técnicas, herramientas y productos. La realidad es que
todo ello no está acompañado siempre por soluciones
de seguridad realmente robustas. aunque a veces algunas se ofrezcan
como «milagrosas» o incluso absolutamente imprescindibles.
En este entorno, los profesionales de la seguridad debemos hacer
de «equilibristas» a fin de minimizar los riesgos
asociados a la innovación.
Valorar las múltiples soluciones de seguridad en un mercado
en ebullición y seleccionar aquellas que realmente aportan
valor y se engarzan bien con lo que ya se tiene, es especialmente
atractivo, además de obligatorio».
|
|
|
MIGUEL
ANGEL NAVARRETE
Director de Seguridad
Informática
|
|
|
| |
|
|
RENFE
|
«En
mi opinión, hay varios retos para los que trabajamos
en el mundo de la seguridad informática. Dos de ellos
serían de tipo organizativo y un tercero de carácter
tecnológico:
– Uno de los retos a que nos enfrentamos es el de convencer
a nuestros directivos de la necesidad de tomar medidas de seguridad
adecuadas al negocio.
– Conseguir implicar a todas las areas de la empresa en
el proyecto de seguridad, fundamentalmente a los grupos de diseño
de conectividad y arquitectura de sistemas.
– Por último, y en el orden tecnológico,
disponer de medios Integrados capaces de ‘securizar’
la red. Hasta ahora solo existen soluciones parciales y de eficacia
limitada».
|
|
|
ANTONIO
MARTÍN MORENO
Jefe de Seguridad Informática
|
|
|
| |
|
|
CITIBANK
ESPAÑA
|
«Mi
preocupación después de bastante tiempo en este
mundo de la Seguridad y la Privacidad, es ponerme como un usuario
de la misma y lo que me gustaría encontrar al utilizar
la informática sin grandes complicaciones. Leyendo revistas
y artículos encontramos temas como el cifrado, claves,
firma digital, PKI, single-sign-on, etc…; hemos de entender
que el presente y futuro inmediato pasa por el comercio-e, y
posiblemente un porcentaje limitado de técnicos lo dominen,
pero otros no, y nuestra obligación (en mi caso lo es)
es que nuestros técnicos entiendan de Seguridad y Privacidad,
conozcan y lo usen, pero en el nivel del usuario final todo
esto ha de ser transparente.
Los tres principales retos en materia de seguridad informática,
tanto organizativos como tecnológicos, en las empresas,
son:
– Seguridad: poner la seguridad a nivel de usuario,
no a nivel de los técnicos; que sea transparente para
el usuario, que elijan los productos servicios por el nivel
que perciben sobre la seguridad al usarlos, de la misma forma
que elegimos un vehículo o una lavadora, porque nos ofrece
seguridad para nosotros o nuestra familia, sin tener que obtener
grandes conocimientos del mismo. La seguridad está imbuida
en el producto o servicio. (El usuario no deberá preocuparse
de actualizarse con la última versión del anti-virus,
no deberá conocer los bugs de su sistema, ni aplicar
el último servi-pack, si su proveedor, igual que le puede
poner una cookie, le ha de chequear el sistema con el debido
permiso y ponerle al dia/actualizar la seguridad de su equipo.
Podemos pagar un poco más si el coche es seguro o si
la lavadora tiene la debida protección para las posibles
fechorías que puedan hacer nuestros hijos)
– Privacidad: al igual que confiamos en un restaurante
o comercio cuando entregamos nuestra tarjeta de crédito
y confiamos en la ética de los empleados sobre su utilización
en los minutos que esta fuera de nuestro control, esperamos
que nuestros proveedores de servicios sean éticos en
el uso de los datos que obtienen de nosotros, y que únicamente
los utilizaran para los fines por los que se los hemos facilitados.
– Organización: que las empresas sepan incorporar
a esa legión de «hackers buenos» en sus departamentos
de I+D, igual que actualmente disponen de decenas de buenos
programadores y/o analistas, y que éstos entiendan que
trabajar en las empresas puede ser tan excitante como estar
atacando sistemas o productos no debidamente bien construidos».
|
|
|
JOSE
LUIS ARRIBAS ANICETO
Responsable de Seguridad,
Privacidad y Continuidad de Negocio
|
|
|
| |
|
|
MECONSA
INGENIERIA INFORMÁTICA
GRUPO FASA-RENAULT
|
«Mi
visión sobre la situación actual de la seguridad
informática es absolutamente positiva, en cuanto existen
en España, hoy, buenas empresas, productos eficaces y
profesionales preparados, que cubren suficientemente las crecientes
demandas de seguridad en los sistemas de información.
Pero mi visión como responsable de la seguridad informática
de una corporación, es que el reto no está en
los problemas técnicos/soluciones, sino en la sensibilización
(o falta de) en las personas. ¿Se comprende lo que está
en juego?
¿Tres retos?
– Sensibilización de la Gerencia, sin ella ¿cómo
construir una política de seguridad, basada en la estrategia
del negocio de la corporación? ¿cómo justificar
los recursos necesarios?
– Sensibilización de los clientes/usuarios de los
sistemas de información, que deben incluir las especificaciones
de seguridad en sus demandas funcionales. Pensar sobre ¿qué
pasaría si… mis datos han sido alterados o simplemente
han desaparecido o divulgados, el sistema no responde en el
tiempo o nunca etc…?, les ayudará.
– Sensibilización de los técnicos que diseñan
y desarrollan productos informáticos. Con frecuencia
tenemos que lamentar y corregir los efectos «secundarios»
producidos por un nuevo sistema, que no sólo no tenía
las mínimas especificaciones de seguridad, sino que degradaba
el nivel existente. Algunas actuaciones se mueven de forma imprudente,
entre la ingenuidad y la negligencia». |
|
|
ANGEL
BERNALDO DE QUIRÓS DONATE
Responsable de Seguridad Informática
|
|
|
| |
|
|
IBERIA
SISTEMAS
|
«Primer
reto organizativo. Lógicamente debería estar primero
establecida la Política de Seguridad al primer nivel
de la empresa. Como estructura organizativa interna, se tendría
que formar un Comité de Protección de Datos
Personales y Equipos Informáticos, que debería
controlar el flujo de información interna, decidiendo
en orden de la función y jerarquía decidida para
los órganos intervinientes dentro de la organización
de la empresa. Habría un órgano o comité
de toma de decisiones interno respecto a la organización
y recursos necesarios para soportar la situación producida
por la LOPD, y en cuyo seno deben estar representadas todas
las áreas o direcciones afectadas. Comité de
seguimiento y control interno, que tiene la misión
de coordinar, impartir, seguir y controlar las actuaciones necesarias,
con todas las direcciones afectadas. Soporte legal en cualquier
circunstancia.
Segundo reto organizativo: designación del Responsable
de Seguridad, en número y jerarquía; junto con
el órgano de seguimiento y control, tienen la función
de llevar a cabo la implantación de las medidas de seguridad,
y el mantenimiento definido por la Agencia de Protección
de Datos. La obligación: atender los derechos del afectado.
Tercer reto organizativo (y técnico): la implantación
del Single Sign On, pero apoyado por un servidor tipo ACE, en
el cual todas las claves de los usuarios tengan cabida, junto
con sus autorizaciones de acceso y restricciones. Por supuesto
la información irá cifrada y con todas las garantías
de seguridad contra intrusos.
Reto técnico: la firma digital y la emisión de
certificados, emitidos por terceras partes confiables como pueden
ser las Autoridades Certificadoras, basados en las claves privadas
y públicas, se pueden entender como la mayor garantía
ante la reclamación de un cliente que puede considerar
que no ha sido atendido en una compra, aunque haya enviado su
tarjeta VISA, 4B, etc.»
|
|
|
AURELIO
HERMOSO BAÑOS
Jefe del Área de
Seguridad Informática
|
|
|
| |
|
|
UNI2
|
«–
Los peligros del mundo Internet. Tarde o temprano entrará
de forma masiva el mundo Internet en todas y cada una de las
empresas y domicilios. Llegará a ser tan habitual como
tener un teléfono o un televisor. Se utilizará
para multitud de funciones. La lucha contra el fraude y el software
mal intencionado deberá ser cada vez mayor.
– Nuevas tecnologías. Estamos sufriendo los cambios
constantes de las tecnologías. Ocurren de forma muy rápida
y obligan a las empresas a mantenerse al día. Esto afecta
también a la seguridad de la información, ya que
muchas veces estos cambios hacen que aumenten los riesgos. A
la misma velocidad que cambian las tecnologías, estamos
obligados también a cambiar y mejorar las medidas de
seguridad de la información.
– Concienciación. Es inútil definir unas
políticas de seguridad si no existe una concienciación
tanto a nivel directivo como de todas y cada una de las personas
que componen la empresa». |
|
|
MARGARITA
ARENILLAS CARRASCO
Gerente de Seguridad Informática
|
|
|
| |
|
|
TELEFÓNICA,
S.A.
|
«Existe
ya un mercado tecnológicamente maduro que ofrece soluciones
empaquetadas de seguridad satisfactoriamente buenas a la mayor
parte de nuestras necesidades. En este sentido, los grandes
retos se desplazan a nuestra capacidad de integración,
nuestros procesos y organización.
Es fundamental que la seguridad esté integrada en el
ciclo de vida de desarrollo de los sistemas y arquitecturas
tecnológicas como un engranaje más («integración»).
Engranaje que se deberá mover al menos a la misma velocidad
que el conjunto («time-to-market»): no se pueden
buscar cada vez soluciones específicas (a medida) a cada
necesidad (menos cuando el ciclo de vida de desarrollo de los
nuevos e-SI se ve reducido por las presiones diarias del mercado).
Así mismo, la operación día a día
de la seguridad («explotación») supone otro
gran reto, donde las tecnologías y los automatismos no
creo que puedan ofrecernos soluciones completas.
Los factores que considero clave para acometer estos retos son
así mismo tres: la especificación de una arquitectura
de seguridad (marco de referencia base para la integración),
la disponibilidad operativa de una plataforma de seguridad (servicios
básicos que reduzcan el time-to-market) y la preparación/motivación
permanente de un equipo humano multidisciplinar que afronte
el proceso continuo de monitorización, operación
y corrección que supone la explotación de seguridad
en general y la gestión de incidencias en particular.
Considero que en la ‘Nueva Economía’, la seguridad,
como disciplina susceptible de diferenciación (frente
al proceso general de «commoditización» de
los SI) y como fuente de confianza del consumidor en el proceso
de compra, representará una ventaja competitiva a considerar
al menos durante los próximos 3 años». |
|
|
JORGE
FERNÁNDEZ MIRANDA
Gerente Servicios I*net
Centro Corporativo - Organización y
Sistemas de Información
|
|
|
| |
|
|
GAS
NATURAL INFORMÁTICA
|
«El
desafío básico en el campo de la seguridad informática
está en conseguir la adecuada coordinación entre
las medidas de seguridad disponibles: tecnológicas, organizativas
y de control, todas ellas enfocadas a preservar uno de los activos
más importantes de las empresas como es la información.
Las políticas de seguridad no tan sólo deben evitar
o anticipar posibles anomalías, sino que también
tienen que contener la flexibilidad y capacidad de reacción
necesarias que permitan resolver adecuadamente cualquier situación
que pueda vulnerar la garantía necesaria de confidencialidad
para clientes y proveedores.
Cuestiones tales como comercio electrónico, disponibilidad
ininterrumpida, autenticación robusta, seguridad dentro
y fuera del firewall, etc, son conceptos que todas las empresas,
antes o después, van a tener que afrontar y resolver
adecuadamente.
Lo importante es estar preparado para prevenir, enfrentar y
resolver los nuevos retos que van surgiendo paralelamente a
los avances tecnológicos y de acuerdo con la estrategia
de negocio de cada empresa.»
|
|
|
MAITE
FERRETÉ TORNÉ
Responsable de Seguridad
|
|
|
| |
|
|
AMENA
(RETEVISIÓN MÓVIL)
|
«Los
tres grandes retos que las empresas pueden plantearse hoy en
día en materia de
seguridad de la información, se presentan prinicipalmente
entre los aspectos organizativos,
quedando éstos ligeramente antepuestos a los tecnológicos.
En la vertiente organizativa destacaría la determinación
de los «propietarios» de los flujos
de información en la empresa, y lo que la titularidad
de dicha «propiedad» conlleva, tanto en
derechos como en obligaciones y responsabilidades.
Otro segundo aspecto también desafiante en materia
organizativa, es la concienciación real y efectiva, en
materia de seguridad, de todos los niveles e
integrantes de la organización. Como tercer gran reto,
y principal reto tecnológico, se plantea la integración
y participación ordenada de mecanismos de
seguridad PKI con las aplicaciones corporativas, no
sólo en los entornos de tecnología I*Net.»
|
|
|
LUIS
RODRÍGUEZ DÍAZ-PAVÓN
Responsable de Seguridad Lógica
Dpto. de Calidad, Seguridad y
Metodología.
Sistemas de Información
|
|
|
| |
|
|
SANITAS
|
«En
primer lugar, conseguir una mayor concienciación e implicación
de todos los niveles jerárquicos de la empresa, desde
la alta dirección hasta el personal menos especializado.
En segundo lugar, poder disponer de profesionales cualificados
y especializados. Por último, tener la posibilidad de
contar con herramientas de administración y control integradas
en todos los entornos». |
|
|
RICARDO
E. LÓPEZ CRESPO
Responsable de Seguridad Informática
|
|
|
| |
|
|
BANKINTER
|
«Quizá
uno de los mayores problemas actuales en el terreno de la Seguridad
Informática pueda resumirse en una palabra: «ruido».
Ruido significa que, al margen de que se causen daños
reales o no, hay demasiada gente tratando de conseguir sus cinco
minutos de fama en base a lograr romper, denunciar, provocar,
comprometer,... (póngase cualquier verbo similar) algo
en el terreno de la seguridad. No importa mucho en qué,
pero con especial predilección en cuanto a seguridad
perimetral, accesos remotos e Internet.
«Ruido» es también la escasa objetividad
en la valoración del significado real y consecuencias
de algunas de las cosas que ocurren, que a su vez pueden causar
que los daños, aún siendo de imagen y credibilidad,
pasen a ser tangibles.
Y «ruido» es, por último, que los sujetos
activos de estas historias parecen lograr automáticamente
un aura de sabiduría y romanticismo que hacen, no solamente
que ellos mismos sean admirados, sino que provocan ansias de
emulación en otros centenares, muy probablemente menos
expertos y capaces, por tanto, de causar daños reales.
En estas condiciones, parece lógico pensar que en un
futuro inmediato, nos seguiremos encontrando con problemas de
intrusión, virus, troyanos, códigos malignos,
denegaciones de servicio y, probablemente, alguna variedad nueva
que habrá que bautizar rápidamente.
En otro orden de cosas, pero indudablemente relacionado con
la seguridad en general y el problema anterior en particular,
está el cambio en las reglas de juego tradicionales.
El soporte informático, hasta hace poco la trastienda
de los negocios, se está convirtiendo en el verdadero
y único mostrador. La informática ya no es el
soporte oculto, sino lo que da la cara.
Esto hace que las exigencias en cuanto a disponibilidad y fiabilidad
se acentúen hasta el extremo. Los negocios en la nueva
era no podrán escudarse en en el socorrido «tenemos
problemas informáticos». |
|
|
JAVIER
VALDÉS QUIRÓS
Director del Departamento
de Seguridad Informática
|
|
|
| |
|
|
ALLIANZ,
COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A.
|
«En
mi parecer, el principal reto en materia de seguridad es, actualmente,
la adecuación de ficheros, bases de datos, aplicativos
y procedimientos de organización al nuevo reglamento
de seguridad de la LOPD. El proceso requiere un estudio exhaustivo,
con espectativas de cambios estructurales, sobre todo para la
última fase de adecuación de los datos personales
de nivel alto.
Otro reto importante es el de garantizar la seguridad del comercio
eletrónico con las tecnologías siempre cambiantes
y excesivamente abiertas de Internet, asegurando la confidencialidad
de las transacciones y de sus datos personales. Es preciso,
además, reforzar las defensas contra Virus y Gusanos
de internet para prevenir ataques catastróficos como
el del reciente «Love Letter» al que sólo
hemos escapado las compañias que disponiamos de los adecuados
niveles de seguridad.
No hay que olvidar tampoco, lo que ha sido un reto constante
para los tecnólogos de la seguridad: el mantener completamente
operativos los planes de recuperación de negocio ante
contingencias, con diseños revolucionarios que permitan
recuperar ante cualquier eventualidad en pocas horas, dando
un respaldo infalible a los nuevos medios electrónicos
de hacer negocio.»
|
|
|
LLUIS
SALAS ARENY
Responsable de
Seguridad Informática
|
|
|
| |
|
|
UNO-E.COM
|
«Desde
mi punto de vista existen, en estos momentos, tres asignaturas
pendientes en la industria de la Seguridad de las Tecnologías
de la Información:
La primera es la falta de estandarización e interoperabilidad.
Aunque los fabricantes y los organismos de estandarización
están trabajando en esta línea, la situación
actual provoca la existencia de distintos mecanismos de seguridad
que, o bien no pueden integrarse entre sí, o bien hacen
muy compleja las tareas de integración e implantación.
Al mismo tiempo, los procesos de toma de decisión, en
el momento de incorporar mecanismos de seguridad a nuestras
arquitecturas, se complican al contar con funcionalidades aparentemente
diferentes en productos de distintos fabricantes que deberían
tener un comportamiento homólogo. La solución
pasa por la creación, por parte de los fabricantes, de
ofertas horizontales de productos que pretenden cubrir todos
los aspectos y las necesidades de seguridad, garantizándonos
a los compradores que todos sus productos se integran entre
ellos. Estas ofertas horizontales de productos de seguridad
suelen tener algunos componentes muy brillantes y otros que
tienen productos homólogos de mejor calidad en ofertas
de otros fabricantes. Al final, los compradores tenemos que
decidir si todos los mecanismos de seguridad que necesitamos
para proteger nuestros sistemas de información los elegimos
de un solo fabricante y nos garantizamos la interoperabilidad
a sabiendas de que algunos de los componentes son manifiestamente
mejorables, o elegimos «lo mejor de cada casa» y
nos arriesgamos a que algunos elementos de nuestra arquitectura
no se «entiendan» fácilmente entre ellos,
lo que nos garantiza que los procesos de implantación
e integración de los mecanismos de seguridad resultarán
más complicados y en algunas situaciones casi imposibles.
La segunda de las asignaturas pendientes es la falta de transparencia
de uso. La seguridad deber ser como un «buen árbitro»
en un partido de fútbol, no debe notarse que está
presente. En la actualidad la utilización de criptografía
de clave pública por parte de los usuarios les obliga
a la realización de procesos poco intuitivos, que mantienen
un nivel de complejidad relativamente alto. Desde el punto de
vista del usuario final es necesario simplificar los procesos
de instalación, y en algunos casos de utilización,
de los sistemas criptográficos que aportan seguridad
a los S.I. Del mismo modo, está aumentando la complejidad
de instalación y configuración del software de
navegación y de correo-e. Está complejidad genera
la sensación de inseguridad en los usuarios finales,
y facilita la aparición y la propagación de bulos
sobre los peligros que «acechan en la red».
La tercera es que se sigue focalizando, de forma general, el
trabajo de los responsables de seguridad de las empresas en
la implantación de mecanismos de seguridad, olvidando
el objetivo final que realmente es la gestión del riesgo.
La implantación de mecanismos de seguridad protege de
manera temporal los S.I. de un conjunto determinado de amenazas,
paliando la existencia de vulnerabilidades concretas. Cuando
cambian los activos protegidos, las amenazas o las vulnerabilidades,
no suelen existir los procesos encargados de garantizar de forma
continua la gestión del riesgo. Se está utilizando
un conjunto estático de mecanismos de seguridad para
contrarrestar un conjunto dinámico de activos, vulnerabilidades
y amenazas. Sería necesario focalizar el trabajo en la
gestión del riesgo, entendiéndolo como proceso
de seguridad que de forma continua evaluará los activos,
las amenazas y las vulnerabilidades. De este proceso de seguridad
deberían emanar las actuaciones de seguridad concretas,
la implantación de mecanismos de seguridad o de procedimientos
organizativos.» |
|
|
SANTIAGO
MORAL RUBIO
Responsable del Departamento
de Seguridad
|
|
|
|
