Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. Y van diez... de seguridad informática

Durante tres jornadas en la última semana de abril, se ha venido celebrando en Madrid el X Congreso de Seguridad en Tecnologías de la Información y Comunicaciones.

Desde aquí nuestra felicitación a los organizadores. Celebrar un Congreso, o dos es relativamente fácil, pero estar ahí año tras año y llegar a la decena ya es otra cosa.

Por obligaciones profesionales comprometidas con anterioridad sólo hemos podido asistir a la primera y a la tercera jornada y a ellas principalmente nos referiremos en estas líneas, haciendo mención tan sólo del programa de la segunda.

La apertura del Congreso corrió a cargo de los patrocinadores, presididos por el Dr. D. Arturo Ribagorda que ha venido siendo uno de los principales artífices del Congreso desde sus inicios.

En la primera parte de la jornada, moderada por Dª Marina Touriño, Presidenta de la Organización de Auditoría Informática, Jesús Merino y David Lane de Ernst&Young, analizaron la II encuesta que esta empresa ha realizado sobre la seguridad de las empresas españolas.

En comparación con informes de años anteriores, del informe se desprende:

• Que existe mayor concienciación de los responsables
• Un mejor entendimiento de los riesgos y de las medidas a adoptar
• Que quedan aun muchas medidas por implantar

Se observa también algo que es bueno, que hay más personas en las empresas dedicadas a tiempo completo a la seguridad.

Como posibles responsables del aumento de los riesgos se encuentran: el "outsourcing", el efecto 2000, la piratería, la complejidad de las arquitecturas, internet y el correo electrónico.

A continuación D. José María Gonzalez Zubieta habló sobre la adaptación al año 2000 y planes de contingencia: qué puede hacerse aún y experiencias recogidas.

En una interesante exposición mostró la metodología seguida principalmente en empresas americanas, para implantar planes de contingencia referidos específicamente al año 2000 analizando previamente el plan de corrección.

Pienso que en nuestro país pocas organizaciones, tanto públicas como privadas han llegado a planes de contingencia tan exhaustivos. No haciéndolo indudablemente están dejando puertas abiertas a la inseguridad.

En la tercera y última intervención, D. Juan Gaspar comenzó hablando de lo peligroso que es en estos temas, adoptar la política del avestruz y tratar de ignorar el problema.

En seguridad informática, dijo, estamos acostumbrados a las siguientes respuestas:

• no hay presupuesto
• hay prioridades más urgentes
• una vez que se termine la implantación de...

Los objetivos que hemos de perseguir en este caso, según el ponente, son:

• sensibilizar por si aún hay tiempo
• orientar sobre la naturaleza e implicaciones del problema
• ayudar a reflexionar sobre posibles modos de afrontarlo.

Se ha de tener presente, dijo, que nos encontramos ante una contingencia conocida que tiene una fecha fija e inamovible.

Los planes de contingencia que se hagan necesariamente deben ser diferentes y separados de los habituales.

Conviene precisar que también existen otras fechas asociadas y singulares que están próximas a llegar.

Como conclusión expuso lo siguiente:

• La contingencia es conocida.
• Podemos tener noticia de su impacto real con unas horas de antelación.
• La contingencia nos puede afectar desde fuera
• El impacto es desconocido
• Muchos de los posibles orígenes están fuera de nuestro control
• Recursos inaccesibles o imposibles de comprobar
• El entorno de trabajo quedará contaminado
• Cualquier proyecto encaminado a solucionar esta contingencia no se puede retrasar

Acabó preguntando si conocíamos algún caso de un proyecto que se hubiese terminado en la fecha prevista. Pues bien, dijo, en este caso si se tienen que cumplir los plazos.

La mesa redonda, que vino a continuación, tuvo como tema a debatir: Protección corporativa frente a la amenaza evolutiva de los códigos maliciosos.

Los participantes destacaron la importancia que en la actualidad tienen los virus y los caballos de Troya y su creciente actividad gracias al crecimiento de Internet.

Asimismo expusieron diferentes respuestas técnicas a los innumerables ataques que se pueden sufrir.

Por la tarde comenzó D. Jorge Hurtado hablando de: Autenticación de usuario simple, fuerte y biométrica para el acceso a aplicaciones corporativas en las que se plantean los siguientes retos:

• ¿Qué utilizamos para autenticar al otro extremo?
• ¿Cuál es la fiabilidad ante ataques de nuestra autenticación?
• ¿Cómo ajustamos nuestras necesidades de autenticación al valor de la información que protegemos?

Después de estudiar los factores de autenticación analizó varios sistemas concretos.

Después D. José Manuel Estrada puso de relieve la importancia de la seguridad en Java así como los estudios que se están realizando en la materia.

Por último Eric Vernhes señaló el papel de la tarjeta inteligente como medio seguro para el comercio electrónico; exponiendo algunas experiencias a continuación.

La segunda jornada comenzó con la ponencia de D. Baltasar Riu sobre: La infraestructura web de misión crítica en una corporación haciendo hincapié en la importancia de este tipo de tecnología y su introducción en la informática corporativa.

Técnicas de intrusión y ataque a sistemas de información fue el tema propuesto por D. Gustavo San Felipe hablando sobre la figura del hacker informático y las herramientas creadas para combatirle.

D. Javier Areitio presentó el tema: Tecnología de Sistemas de detección y respuesta a instituciones y vulnerabilidades para entornos de red.

A continuación se analizaron una serie de herramientas interesantes para la seguridad informática.

La tipología de delitos informáticos perpetrados contra organizaciones fue presentada por D. Antonio López Melgarejo y D. José Lozano González.

A continuación se presentaron una serie de experiencias de una plantación.

La tercera jornada comenzó con la excelente ponencia del profesor Dr. D. Arturo Ribagorda que expuso los diferentes pasos que han seguido la evaluación y la certificación de la seguridad y las metodologías y criterios vigentes.

El Director de la Agencia de Protección de Datos, D. Juan Manuel Fernández López, explicó el impacto en la LORTAD de la transposición de la Directiva de protección de datos personales 95/46/CE que, dijo, no debía ser grande puesto que cuando apareció la LORTAD ya existía un Proyecto de Directiva Comunitaria y por lo tanto gran parte de lo que contiene la Directiva ya se había incorporado a la LORTAD.

D. Miguel Ángel Amitio presentó la propuesta de Directiva sobre firma electrónica de gran importancia para el arranque definitivo de las transacciones electrónicas.

Qué pena, decimos nosotros, que se haya recortado respecto de algunas presunciones legales que figuraron en los primeros proyectos.

D. José Antonio Mañas acompañado de D. Manuel Heras, hizo una excelente exposición de lo que es un PKI y a qué problemas pretende dar solución.

D. Alfonso Calvo habló sobre: generación y gestión de autorizaciones internas: un caso particular de aplicación empresarial de la tecnología de firma electrónica en forma digital.

La tarde se dedicó a la presentación de herramientas válidas para el sector.

Como conclusión diremos que ha merecido la pena asistir a Securmática en su décimo aniversario, que pensamos que ha estado equilibrada en sus ponencias, quizás deberíamos decir que demasiadas herramientas, pero esto es lógico en un Congreso de este tipo. Y por último, decir que entendemos que no hemos perdido el tiempo, al contrario hemos aumentado nuestros conocimientos, lo cual no siempre se puede decir.