sábado, 14 de abril de 2012

ISO 27001: ¿Hacia un cumplimiento obligatorio?


En el 2009, hace ya unos años,  se publicó un post de este mismo título en el portal DelitosInformáticos.com. Aunque este post ya tiene un tiempo, es un artículo de recomendada lectura pues lo que allí se postula sigue estando, y cada vez más, de actualidad en España.

Recordemos que desde el año 2010 en España están vigentes varias normas jurídicas que promueven más o menos directamente la utilización de un Sistema de Gestión de la Seguridad de la Información,  tanto en las AA.PP. como en las empresas privadas.

La ISO-27001 en las AA.PP

Por ejemplo, el RD 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, fue aprobado en Enero de 2010 y, recordemos, afecta a TODAS las AA.PP.  Cualquiera que esté familiarizado con el ENS reconocerá inmediatamente que lo que se pretende implemetar es un SGSI basado en la ISO27000. De hecho, su Anexo II se establece una guía de métricas e indicadores que recuerda mucho a la ISO-27002, y el modelo de gestión que se postula es el ya conocido PDCA (Plan-Do-Check-Act).

Aunque ya debería estar ya en su recta final de implantación en todas las AA.PP. de todo el territorio nacional, por las actuales restricciones presupuestarias está bastante retrasado, por ser suave. Sin embargo, en aquellas AA.PP. que ya lo han implementado (ej, algunos Ministerio) ya se está empezando a notar el "efecto tractor" que tiene de cara a sus proveedores, a los cuales se les está empezando a pedir su propio certificado ISO-27001. Cuando se complete su implantación, ese efecto tractor llegará a ser "irresistible" para los proveedores, y en última instancia se convertirá en una obligación de facto contar con esa certificación.

La ISO-27001 en las Empresas

En el otro extremo, el de las empresas privadas, tenemos la reforma del Código Penal de Junio de 2010, en donde se establece por primera vez la responsabilidad penal de la empresas, las cuales serán multadas, inhabilitadas (ej, para contratar con la AA.PP. o para recibir subvenciones) o incluso disueltas. 

El nuevo Código establece de manera muy precisa la imputación a las personas jurídicas de aquellos delitos cometidos en su nombre, o por su cuenta y en su provecho, por las personas que tienen poder de dirección.

También se fija la obligación de las empresas de ejercer el debido control sobre sus empleados, teniendo en cuenta que la responsabilidad penal de la persona jurídica podrá declararse independientemente de que se decrete o no responsabilidad penal de la persona física en cuestión.

Así mismo se introduce la figura de la estafa a los inversores, de tal manera que podrá imputarse este delito a los administradores de sociedades que falseen información para lograr captar inversores u obtener créditos y se castigará la difusión de noticias o rumores sobre empresas que ofrezcan datos falsos.

Si tenemos en consideración la proliferación de los delitos informáticos, y su mayor persecución y tipificación en las sucesivas reformas de dicho Código Penal, el riesgo de que un directivo o un empleado cometa un delito informático punible es cada vez mayor.

Es por ello que TODAS las empresas españolas, tanto las grandes como las más PYMES, deberían diseñar un sistema de control que detecte y prevenga las conductas delictivas, este sistema voluntario debería evitar un descuido por parte de los administradores, dar una rápida respuesta en la investigación de denuncias o contemplar las repercusiones legales posibles, en función de la actividad de la empresa.

Y dentro del ámbito de la informática, un sistema de control que regule el buen uso de los sistemas informáticos y la información que ellos contienen, como por ejemplo la información de carácter personal regulada por la LOPD, se llama ISO-27001.

Además, si tenemos en cuenta que una de las pocas medidas atenuantes que una empresa imputada en un delito informático es que antes de que se celebre el juicio implemente medidas de control que impidan la realización de dicho delito en el futuro, por lo que implantar una ISO-27001 podría evitar que la empresa fuese inhabilitada para contratar con las AA.PP. o incluso disuelta, en el peor de los extremos.

Todo ello hace que en la actualidad la ISO-27001 sea una norma casi obligatoria, tanto para las AA.PP. como para todas las empresas españolas que utilicen sistemas informáticos, correo electrónico, Internet, comercio electrónico... en su vida diaria, es decir: TODAS.





miércoles, 11 de abril de 2012

Nueva Amenaza: Hacking de dispositivos médicos personales


Según acaba de publicarse en WIRED, los expertos en cyberseguridad americanos están muy preocupados por una nueva vía de ataques: los dispositivos médicos personales controlados por ordenador (bombas de insulina, marcapasos, desfibriladores etc), muchos de los cuales se controlan a través de wifi.


Han alertado a las autoridades federales de los riesgos reales que dichos dispositivos tienen, habiendo demostrado en diversos estudios la sencillez con que se pueden hackear de forma remota, con el serio riesgo que ello supone para los pacientes.

Por lo que parece, el nivel de seguridad que los fabricantes de estos dispositivos incorporan es muy deficiente, algo que se ve agravado por la ausencia de control de sus vulnerabilidades en dichos dispositivos por parte de los CERT (centros de respuesta ante emergencias informáticas), algo que se propone abordar en un futuro cercano.