Hoteles, Turismo
Madrid, Cataluña

Envíe su solicitud a varias empresas del rurbo, obtenga mejores presupuestos, aquí.

Empresas relacionadas

en pimerdata somos especialistas en tratamiento de datos, gestión documental, destrucción de documentos y ofrecemos un servicio integral para la adapt...
asesoria integral a pymes y profesionales en las areas contable, fiscal, laboral y jurídico-mercantil. enpresa eta langile autonomoen aholkularitz...
auditores legales de sistemas de gestión de prevención de riesgos laborales, acreditados a nivel nacional desde año 2001. entidad formativa con má...

Actualizaciones relacionadas

Gestión del Conocimiento
Gestión del Conocimiento

transformamos la información de la organización en conocimiento empresarial. transformamos los datos de su sistema en información estructurada ...

Ganado bovino
Ganado bovino

el uso del desinfectante envirolyte anolyte en la agua de bebida del ganado vacuno supone una serie de beneficios para el ganadero entre otros el...

ENLACE ENTREVISTA PARA
ENLACE ENTREVISTA PARA

http://www.ambientum.com/revista/2011/marzo/secretos-para-triunfar-feria-medioambiental.asp ...

Audea .Seguridad de la Información
Compartir en FaceBook Compartir en Twitter Compartir en LinkedIn Rss de las empresa Agregar empresa a favoritas Hacer un comentario sobre la empresa Recomendar a alguien Modificar datos para esta empresa
Audea .Seguridad de la Información
Ubicación: calle velazquez 22, 28001 madrid 22 Madrid España
Teléfono: 917451157 SkyPe: sin datos
Sitio web: http://www.audea.com/es/
puntos
1998 Aumentó su puntaje

Áudea es un consultora tecnológica del sector de la seguridad de la información, especializada en Ciberseguridad y Cumplimiento Normativo.
Tras 14 años de trayectoria profesional Áudea se ha convertido en un proveedor global de seguridad de la información, prestando servicios profesionales que abordan todas las áreas de la Ciberseguridad y Compliance, cubriendo así cualquier necesidad que su organización pueda tener.

La información es uno de los activos más importantes de su empresa y el objetivo fundamental de Áudea es protegerlo.
Áudea dispone de un equipo de profesionales altamente cualificado y capacitado para dar respuesta a todas sus necesidades en la materia de Ciberseguridad y Compliance aportando un asesoramiento personalizado y de excelente calidad.
Como reconocimiento, Áudea forma parte del Subcomité 27 (Técnicas de Seguridad) y SC7 (Ingeniería de Software y Sistemas de Información) del Comité Técnico de Normalización CTN71 de Tecnología de la Información de AENOR, responsable de normas como la ISO 27000, 20000, etc…
Los servicios de Áudea se dividen en las siguientes departamentos:

Ciberseguridad:
Auditoría de seguridad 360º, Hacking ético, Análisis de vulnerabilidades, Auditoría WIFI, VoiP, GAP Análisis, Sistema de Gestión de Seguridad de la Información (ISO 27001)…

Compliance:
Cumplimiento al marco normativo vigente de LOPD, ISO 27001, ISO 22301, ENS, ISO 20000, PCI-DSS,… mediante nuestros servicios de auditoría, consultoría, formación y professional services.

Herramientas:
Soluciones a implementar en para los diferentes proyectos de Compliance, y Ciberseguridad.

Formación:
Contenidos formativos de calidad sobre Ciberseguridad diseñados a partir de proyectos reales y con la orientación que demanda el ámbito empresarial.
Estos servicios se complementan entre sí, consiguiendo el objetivo final que nos demandan nuestros clientes: "La seguridad de su información".

Además contamos con el departamento Áudea Talent dedicado a la búsqueda y selección de talento en el sector de la Ciberseguridad. Nuestro posicionamiento en el mercado nos permite contar con un importante network de clientes y cada vez necesitamos incorporar perfiles del entorno de la ciberseguridad, seguridad de la información y la protección de datos para poder llevar adelante nuestros proyectos.

Ir arriba
  • Cargando Enviando datos ...
ES-CIBER concienciará a empleados de Canal de Isabel II en materia de Protección de Datos 2016-12-13

Canal de Isabel II, es una empresa pública dependiente de la Comunidad de Madrid, que se encarga de la gestión del ciclo integral del agua en la región: abastecimiento, depuración de las aguas residuales y mejora y conservación de los ríos.Los orígenes de esta institución se remontan al año 1851, durante el reinado de Isabel II, con la construcción de una presa en el curso bajo del río Lozoya que permitiría abastecer de agua a la ciudad de Madrid.Como ya sabemos, la protección de los datos personales se basa en la defensa de un derecho fundamental de todas las personas; el derecho a la intimidad. La intimidad a la que todos tenemos derecho en nuestros gustos, relaciones, aficiones, creencias y en definitiva, en la forma en que vivimos nuestra vida. Es un derecho de todos y que nos implica a todos.Siendo conscientes de la importancia que tiene proteger este derecho, Canal de Isabel II ha adjudicado por concurso a ES-CIBER, marca comercial de Áudea Formación, concienciar a sus empleados en materia de Protección de Datos Personales. En esta acción formativa los alumnos se familiarizarán con la norma básica en este ámbito, la LOPD, conocerán los derechos y obligaciones que ello conlleva y estudiarán las sanciones a las que se pueden enfrentan quienes incumplan la normativa.Para Áudea es todo un honor colaborar con una institución que tiene un papel tan indispensable en el día a día de los madrileños.

Grupo Calvo y la ciberseguridad 2016-11-21

Grupo Calvo, empresa de alimentación líder en el mercado de conservas de pescado, consciente de la importancia de la ciberseguridad y en su empeño por mejorar y proteger uno de los activos más importantes de la compañía: la información, ha confiado en Áudea como partner tecnológico en Seguridad de los Sistemas de Información.Fundada en el año 1940 en el municipio coruñés de Carballo, donde a día de hoy mantiene su sede, comercializa sus productos en 70 países y cuenta con fábricas en Brasil, El Salvador y España.Desde Áudea agradecemos la confianza depositada en nuestro equipo de trabajo y esperamos que este proyecto contribuya a prolongar la senda de crecimiento iniciada por la empresa gallega hace 76 años y que redunde en una experiencia laboral mutuamente enriquecedora.

Acciona, empresa comprometida con la protección de datos 2016-11-14

Proteger los datos personales es una obligación legal, pero no todas las empresas están concienciadas de ello o no llevan a cabo esta tarea de acuerdo a la Ley Orgánica de Protección de Datos (LOPD). No obstante, cumplir con esta norma trae innumerables ventajas como crear un entorno de trabajo más seguro o evitar posibles sanciones de la Agencia Española de Protección de Datos (AEPD). Una de las empresas que entiende estas ventajas es Acciona, una de las compañías españolas con más proyección internacional, que contará con la ayuda de Áudea para proteger los datos personales que maneja. Acciona es líder a nivel mundial en promoción y gestión de infraestructuras y energías renovables y está presente en 65 países repartidos en los cinco continentes. Para Áudea es todo un honor trabajar para una empresa de la relevancia de Acciona y esperamos que este proyecto que vamos a realizar juntos contribuya al reto del desarrollo sostenible.

Convocado el curso presencial para Delegados de Protección de Datos (DPO) en Madrid 2016-09-07

Tras la reciente publicación del Reglamento Europeo de Protección de Datos (RGPD) ES-CIBER, marca comercial de Áudea Formación, lanza la primera convocatoria presencial en Madrid del Curso para Delegados de Protección de Datos (o Data Protection Officer – DPO)* los días 5, 6 y 7 de octubre del 2016 en horario de 09:00 a 14:00. La actualización de RGPD tiene como objetivo principal adaptar la protección de datos a la era digital y dar más control a los ciudadanos sobre su información privada.Las temáticas que se verán en el curso presencial, desarrollado e impartido por nuestro equipo de abogados expertos en nuevas tecnologías, son:- Ley Orgánica de Protección de Datos (LOPD)- Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI)- Reglamento General de Protección de Datos (RGPD)Los principales objetivos del Curso presencial para DPO es que el alumno conozca:- Los fundamentos y conceptos generales de la normativa de Protección de Datos mediante el estudio de los aspectos más relevantes, con el objetivo de dar una visión general de los derechos y obligaciones recogidos en dicha normativa y ofreciendo una visión práctica de las obligaciones existentes.- El nivel de riesgo que implica todo tratamiento de datos de carácter personal, capacitándolo para detectar los riesgos inherentes al tratamiento de datos personales y ofrecer a su empresa/organización las soluciones adecuadas.- Principales obligaciones de la LSSI: deber de información, comunicaciones comerciales por vía electrónica, comercio electrónico y derecho de desistimiento, cookies, adhesión a códigos de conducta, resolución de conflictos y régimen sancionador.- Novedades del RGPD tales como: las nuevas figuras en el tratamiento de datos (DPO), los nuevos principios y modificaciones o actualizaciones de los anteriores, las nuevas obligaciones en el deber de información y en la obtención del consentimiento y las nuevas obligaciones para los responsables. Las plazas son limitadas, no pierdas la oportunidad de ser un experto DPO, ¡reserva tu plaza ya!*Precio: 400€/alumno

El Tribunal Supremo declara abusiva la cláusula tipo del contrato de trabajo que obliga a dar el numero de móvil o correo electrónico 2015-10-07

Recientemente el Tribunal Supremo (en adelante TS) dictó una sentencia por la que desestimó el recurso de casación presentado por una empresa en un conflicto colectivo promovido por el sindicato CCOO.El motivo de la disputa fue la incorporación por esta empresa de una clausula en los contratos de trabajo que obligaba a los empleados a facilitar sus datos del teléfono móvil y la dirección del correo electrónico para mantener una relación laboral con la empresa. Además, el sindicato había denunciado que la empresa obligaba al trabajador a disponer de medios propios y a proporcionárselos a la empresa para que le efectúe cualquier comunicación sobre su relación laboral y a estar disponible fuera de su jornada.La clausula en cuestión decía lo siguiente “Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, según los da tos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible”.En la motivación de su sentencia el Tribunal Supremo recalcaba que estos datos solo se podían aportar de forma voluntaria, nunca obligatoria, e incluso podría ser recomendable si el trabajador tuviera una real posibilidad de oponerse a facilitar estos datos. Hay que tener en cuanta que estos datos no son indispensables para el mantenimiento o cumplimiento de la relación laboral. En la práctica, el trabajador al ser la parte más débil en una relación con la empresa, la simple expresión de “voluntario” es solo formal y firmando el contrato Tipo en el momento de su incorporación tenía que prestar simultáneamente el consentimiento a tratar sus datos del teléfono móvil y la dirección de email.Teniendo en cuanta el carácter privado de los datos facilitados, el TS excluyó la excepción al régimen general de datos personales del art. 2.2 del RLOPD puesto que éste podía ser aplicable exclusivamente al teléfono y dirección electrónica «profesionales», esto es, los destinadas – específicamente – a la actividad profesional del trabajador.En consecuencia el alto tribunal consideró tal cláusula nula por atentar contra un derecho fundamental y en su sentencia exhortó a excluirla de los contratos de trabajo.En todo caso el TS indicaba que en “los actuales tiempos de progresiva pujanza telemática en todos los ámbitos” pudiera ser deseable la aportación de estos datos si se hubiera respetado la no obligatoriedad de su aportación. Por lo que si la empresa quisiera mantener dicha clausula tendría que facilitar medios para que el trabajador pudiera manifestar su negativa al tratamiento de estos datos. El modo bastante factible podría ser por ejemplo la inclusión en este contrato de una casilla cuya marcación sirviera a oponerse por parte del trabajador a facilitar estos datos o que se mencionase expresamente que su aportación no es obligatoria.Al no indicar en el momento de la suscripción del contrato tipo ningún medio de oposición el TS declaró abusiva tal clausula.Áudea, Seguridad de la InformaciónKarol SedkowskiConsultor Legal

Privacidad y Menores (II): Uso de Aplicaciones Educativas 2015-09-30

Hace unos días, con el inicio del curso escolar, poníamos de relieve a través de un post los problemas derivados de la introducción de las nuevas tecnologías también en los colegios.Hoy queremos volver a retomar el tema haciendo un mayor hincapié en las cuestiones más relevantes:Cumplimiento de los principios de la LOPDComo primera cuestión cabría preguntarse qué tipo de datos trata cada una de estas aplicaciones y si dicho tratamiento se adecúa a los principios de la LOPD, es decir, ¿se obtienen únicamente aquellos datos estrictamente necesarios para la finalidad para la que se requieren? ¿O están solicitando información adicional que podría considerarse excesiva? Si por ejemplo, una app de matemáticas requiere al usuario para registrarse el volumen de ingresos de sus padres, se podría estar vulnerando el principio de calidad de los datos.Por otro lado, el deber de información y de obtención del consentimiento del usuario cobra especial interés y relevancia al tratarse de aplicaciones que se encuentran dirigidas a un segmento de la población particularmente vulnerable: los niños. Por ello, la ley ofrece una protección adicional que variará en función de la edad del menor. Si es menor de catorce años, será necesario contar con el consentimiento de los padres para el tratamiento de sus datos; en cambio, si es mayor de catorce años, la información previa que se le ofrezca debe ser fácilmente comprensible por ellos, de tal modo que sean capaces de entender las finalidades para las cuales se requieren sus datos, y puedan dar un consentimiento informado.Por esta razón, resulta especialmente importante contar con sistemas de verificación de la edad que permitan conocer ante qué tipo de usuario nos encontramos, así como protocolos de actuación en caso de tener dudas razonables sobre la veracidad de la información aportada por el usuario. Sabemos que en ocasiones resulta complicado saber quién se encuentra al otro lado de la pantalla, por eso resulta esencial poner todos los medios a nuestro alcance que permitan al menos demostrar que hemos actuado diligentemente.Uso del Big DataOtra dificultad añadida es que el uso de este tipo de aplicaciones en ocasiones supone una obtención masiva de datos que, unidos entre sí, pueden llegar a indicar información muy precisa de sus usuarios, ofreciendo incluso una definición de sus características, personalidad o comportamiento. Esto supondría que por parte de los responsables de dichos datos debieran adoptar, al menos, las medidas de seguridad del nivel medio. Sin embargo, para evitar los posibles riesgos derivados del tratamiento de este tipo de datos, podría procederse a anonimizar o disociar el dato, evitando así la asociación de un determinado dato con un sujeto, y haciéndolo inidentificable.Debe tenerse en cuenta que, para que una disociación sea efectiva, debe ser irreversible; es decir, que no exista posibilidad de volver a asociar el dato objeto de análisis con la persona.Transferencias internacionales de datosPor último, otra de las cuestiones que mayor complejidad trae asociada es el hecho de que, en muchos de los casos, tanto las empresas que gestionan estas aplicaciones, como las plataformas tecnológicas que alojan los datos, se encuentran en países fuera de la UE.Esto significa, por un lado, que si no se encuentran en la UE o en países que según la AEPD ofrecen un nivel de protección adecuado, se tratará de transferencias internacionales de datos que requerirán de una autorización previa del Director de la AEPD.Y por otro lado, debe tenerse en cuenta que la normativa europea puede no ser la única normativa aplicable. Cada día más países disponen de una normativa de protección de datos que puede resultar de aplicación en función de si el titular del dato (el usuario afectado) es ciudadano de ese país, o de si los datos son tratados o alojados allí. Estas normativas no son necesariamente homogéneas y pueden llegar a colisionar, trayendo de cabeza a más de uno.Por todo ello resulta imprescindible que, previamente a introducir cualquier nueva aplicación educativa, el responsable cuente con ayuda profesional que le informe, asesore y dirija por el camino más conveniente a adoptar para salvaguardar los derechos e intereses de sus alumnos.Áudea Seguridad de la Información

Privacidad y Menores (I): Uso de Apps Educativas 2015-09-15

Se ha acabado agosto y por tanto, las vacaciones de miles de escolares que estos días inician el curso con la ilusión de cada año, nuevos compañeros, nuevos libros, nueva mochila y nuevos… dispositivos electrónicos.Y es que hoy en día, el uso de las tablets, móviles y ordenadores está más que extendido entre los niños que los conciben ya como una herramienta más de trabajo, al igual que antes lo fueron los cuadernos y libros. La aparición de las “apps” especializadas como complemento a cualquier asignatura está a la orden del día, y raro es el colegio o profesor que no hace uso de ellas para apoyar la adquisición de conocimientos de estos menores de la era digital.Nadie puede negar la utilidad de estas herramientas, que a más de uno habrán sacado de un apuro. Sin embargo, recordemos que la conexión de estos dispositivos a internet y la gran cantidad de datos personales que en ellas se manejan, puede entrañar desgraciadamente una serie de riesgos que deben ser tenidos en cuenta. A esto hay que añadir que, puesto que su uso en muchas ocasiones va dirigido a menores de edad, y por tanto son un colectivo más vulnerable, las medidas preventivas y de seguridad que deben adoptarse deben ser analizadas minuciosamente para garantizar la protección de sus datos personales.En un escenario como este no existe un solo responsable, sino que son muchos los implicados que deben tomar parte para hacer de este nuevo sistema de educación un entorno seguro y manejable, y poder sacarle el mayor partido.En primer lugar, nos encontramos con el colegio, el cual debe tener conocimiento de la existencia de este tipo de aplicaciones y del uso que de ellas hagan los profesores, puesto que como responsable de los datos de sus alumnos, debe establecer las medidas internas de seguridad que sean necesarias según la LOPD para el control y uso de estas herramientas, entre las que se encuentran la información y formación a todo el personal escolar, así como a los alumnos.Por su parte, el profesor debe actuar responsablemente haciendo uso únicamente de aquellas aplicaciones que ofrezcan un nivel adecuado de seguridad, no acudiendo a las que claramente puedan resultar sospechosas, o tengan un origen dudoso o incierto. Además, deberán supervisar de cerca su uso por parte de los alumnos con objeto de evitar situaciones conflictivas.También los padres o tutores legales deben cumplir un papel importante, puesto que en primer lugar, deben ser ellos los que conozcan y autoricen su uso cuando el niño sea menor de catorce años. Pero aún más importante es la labor de educación y concienciación que deben llevar a cabo con sus hijos, ya que llegará un momento en el que sean ellos los que puedan decidir por sí mismos y es importante que para entonces cuenten con los conocimientos suficientes que les permitan enfrentarse a este entorno digital de manera responsable.Sobre esta y otras cuestiones relacionadas con la seguridad y el grado de cumplimiento de la normativa de protección de datos en la comunidad escolar se ha pronunciado recientemente la Agencia Española de Protección de Datos, en un informe sectorial que puede consultarse aquí. https://www.agpd.es/portalwebAGPD/canaldocumentacionNo obstante, dadas las complicaciones derivadas del uso de este tipo de servicios y puesto que pueden existir distintos tipos de escenarios, más adelante publicaremos un nuevo artículo profundizando un poco más en las cuestiones que generan una mayor controversia tratando de aportar un poco más de luz a esta cuestión.Áudea Seguridad de la Información

La lista negra de los alojamientos turísticos 2015-09-10

Tras la vuelta de vacaciones puede que más de uno haya acabado en una de estas listas y aún no lo sepa. Y es que últimamente se habla de la proliferación de las llamadas “listas negras” para huéspedes de alojamientos turísticos, y países como Reino Unido (guestscan.co.uk) o España (elitebook.es) cuentan ya con servicios de este tipo.Pero, ¿En qué consisten exactamente estas listas? Se trata de una base de datos online la cual puede ser consultada únicamente por los gerentes de los establecimientos adheridos a las webs que ofrecen estos servicios, con la finalidad de conocer la conducta positiva o negativa de un futuro cliente, véase por ejemplo: irse sin pagar, destrucción de mobiliario o robo, comportamiento abusivo… Para ello, se les requiere a los clientes que en el momento de aceptar las condiciones legales del servicio de alojamiento, firmen también una cláusula por la cual dan su conformidad a ser incluidos en este tipo de bases de datos.Sin embargo, las dudas que surgen sobre la legalidad de este tipo de actuaciones con respecto al derecho que tienen los usuarios a la protección de sus datos son muchas, así como el derecho que tienen éstos a no verse juzgados de algún modo únicamente en base a un tratamiento de sus datos que les evalúe la personalidad y valore su comportamiento.Al fin y al cabo, este tipo de bases de datos no dista mucho de los ficheros de solvencia patrimonial y crédito, en los cuales los clientes pueden ser incluidos y cuya información es consultada diariamente por miles de interesados, tomando en base a ella decisiones que pueden llegar a afectar muy gravemente a los que en éstas aparecen. Sin embargo, el uso que de este tipo de bases de datos puede hacerse se encuentra escrupulosamente regulado por la ley, y requiere de una serie de requisitos de obligado cumplimiento por parte de todos los implicados que de no cumplirse puede suponer la imposición de graves sanciones por la AEPD.Por el contrario, una base de datos como la que ahora nos encontramos no trae consigo demasiada seguridad jurídica para el cliente que en ella se ve incluido. Si bien es cierto que, al menos en el caso de España y según se informa en su página web, cumplen con todas las obligaciones que establece la normativa en materia de Protección de Datos, siguen quedando ciertas lagunas que deben ser cubiertas si no se quiere dejar al usuario indefenso y vulnerable ante posibles arbitrariedades y excesos.De este modo, con el fin de proteger a los consumidores, sería necesario establecer muy claramente las finalidades para las cuales puede hacerse uso de estos datos, informar inmediatamente al usuario en caso de ser incluido en uno de estos ficheros así como los derechos que en materia de protección de datos les asisten, fijar un periodo de conservación de dichos datos (pensemos en el caso de que uno se ve inscrito negativamente en esta lista y se encuentra marcado de por vida por un comentario negativo), o implantar todas las medidas de seguridad que deben aplicarse para evitar los riesgos de seguridad que pudieran darse.En definitiva, muchos hoteleros y demás miembros de la comunidad turística pueden haber visto en este tipo de base de datos una auténtica herramienta de tranquilidad para sus negocios, sin embargo, no olvidemos que lo que en el fondo estamos tratando son datos de personas que cuentan con el derecho a disponer libremente de ellos y no verse sometidos a juicios de valor sin una mínima presunción de inocencia. Parece que este es un tema que va a dar de qué hablar en los próximos meses puesto que las opiniones a favor y en contra son numerosas y no existe un criterio claro al respecto.Áudea Seguridad de la Información

¿Están mis Sistemas a Salvo de Posibles Ataques? 2015-07-06

En los últimos años, la Seguridad de la Información ha ido adquiriendo un mayor peso, debido al avance y mayor dependencia de la Informática y de las Tecnologías de la Información.Sin embargo, el hecho de depender de sistemas informáticos conlleva riesgos relacionados con la Confidencialidad, Integridad y Disponibilidad principalmente.Es por esto que debemos concienciarnos sobre la necesidad de que nuestros sistemas se mantengan seguros, ya que si un atacante ataca un sistema crítico con éxito, las consecuencias pueden ser catastróficas.Debido a esto, es importante mantener una cultura sobre la Seguridad de la Información que involucre a usuarios, Administradores de Sistemas, y cualquier otra parte interesada que guarde relación con los sistemas de información, o con la información contenida en los mismos.¿Existe actualmente una buena cultura de Seguridad de la Información?Los resultados indican que la respuesta es no. Veámoslo con el ejemplo que se expone a continuación.La conocida plataforma de e-commerce “Magento “se vio afectada por una importante vulnerabilidad, explotable mediante la inyección de código malicioso. Poco tiempo después de la publicación de la vulnerabilidad, se desarrolló el parche correspondiente que solventaba el problema.Sin embargo, se ha podido verificar que son muchas las plataformas online que utilizan Magento, que a mes de Julio aún no han instalado el parche.La vulnerabilidad permite que un atacante obtenga, modifique o destruya la información almacenada en la Base de Datos del programa.Esto puede traer consigo implicaciones legales serias, tales como Incumplimiento de la Ley Orgánica de Protección de Datos (LOPD), o incumplimientos relacionados con PCI DSS (normativa aplicable a datos de tarjetas de crédito).¿Cómo puedo mantener mis sistemas actualizados?Implementando una cultura de carácter preventivo (detección de debilidades, y solución de los mismos antes de que estos deriven en incidentes graves).Para ello, como mínimo, es recomendable realizar suscripciones a foros o comunicaciones de los fabricantes de los sistemas, y de webs especializadas en Seguridad de la Información, que avisen de forma regular de los problemas que pudieran afectar a nuestros sistemas, para que nosotros podamos establecer las acciones correspondientes para solventar las deficiencias indicadas.Este tipo de tareas preventivas consistentes en ser notificados, y plantear una solución de forma rápida, por lo general se realizan en poco tiempo, y cambio, podemos evitar problemas serios que afecten a la operativa, bien por robo de datos, por afectar al funcionamiento de los servicios informáticos utilizados, o bien por un incumplimiento normativo.José Francisco Lendínez. Dpto de Seguridad TIC

Próximo Curso Preparación CISM, reserva tu plaza 2015-06-25

Áudea convoca, para el próximo mes de octubre de 2015, un curso presencial con el objetivo de preparar a los alumnos que quieran presentarse al examen CISM de ISACA del 12 de diciembre 2015 (http://www.isaca.org/CERTIFICATION/CISM-CERTIFIED-INFORMATION-SECURITY-MANAGER/december-EXAM-INFORMATION/Pages/default.aspx).La certificación CISM se orienta a aquellos que gestionan, diseñan, supervisan y/o evalúa la seguridad de la información de una empresa (IS). Además promueve prácticas internacionales y proporciona la seguridad de que aquellos que obtienen la certificación tienen la experiencia y el conocimiento requeridos para llevar a cabo la gestión eficaz de la seguridad y servicios de asesoramiento.El material de este curso es propio de Áudea, creado y actualizado por nuestros mejores expertos con certificado CISM. Además, a lo largo del curso se realizaran test de ISACA como ejercicios prácticos.Convocatoria (sujeta a una ratio de 5 alumnos):Fechas: del 5 al 8 de octubre 2015Horario: 08:00 a 14:00Lugar: Oficinas Áudea, c/ Velázquez nº22, 5º derecha (Madrid)Precio: 600 €Plazo de inscripción: hasta el 5 de septiembre.¡Reserva tu plaza ya!

El sistema de correo electrónico “De-Mail”, clave en mano 2015-06-10

Todo podría ocurrir: con la introducción de “De-Mail”, la comunicación electrónica entre ciudadanos, gobiernos y empresas, finalmente podría conseguir un grado aceptable de ciberseguridad y Seguridad de la Información.A diferencia del correo electrónico ordinario que se envía diariamente con software de pago tipo Microsoft Outlook, con De-Mail los contratos que se enviarían tendrían la misma validez que el contrato manuscrito firmado ante notario. No obstante, De-Mail nunca llegó a recibir todo el impulso que necesitaba. Desde el principio se cuestionó el sistema de cifrado poco complejo, que únicamente era capaz de cifrar los mensajes durante el tránsito entre el usuario-inicio y el usuario-destino.En cambio, en los servidores del proveedor de correo electrónico, no se conservaban los datos cifrados. Por ello, corría el riesgo de que se pudiera acceder a los mismos sin apenas dificultad. Con este defecto clave, finalmente se dio por cerrado el proyecto. No obstante, el equipo de trabajo que se encuentra detrás de De-Mail ha comenzado desde mediados del mes de abril 2015 una nueva campaña para mostrar las nuevas mejoras implementadas en materia deciberseguridad.El nuevo cifrado implementado de extremo a extremo de la comunicación hace más seguro a De-mail. No obstante, sigue presentando las mismas lagunas deficitarias principales: De-mail sufre de una distribución limitada y, aunque se ha puesto especial hincapié en mejorar el cifrado de los datos, por el momento, la facilidad de la herramienta ha complicado el hecho simple de mandar un correo electrónico.Áudea Seguridad de la Información

Ciberseguridad: Malware, Nuevos Medios de Difusión 2015-05-21

Los actuales programas de infección conocidos como “Malware” infectan el firmware del disco duro. Además, es importante resaltar que este tipo de troyanos no pueden ser eliminados.Las revelaciones sobre los nuevos programas de intrusión arrojan un serio problema para las empresas. ‘StuxNet’ y ‘Regin’ se caracterizan por su complejidad técnica y sofisticación, mejorando todas las plagas conocidas hasta la fecha. Concretamente, se alojan en el software de control del sistema (firmware) del disco duro.En esa localización están libres del escaneado del antivirus, e incluso es posible que no sean eliminados, ni siquiera mediante el formateo/reinstalación del disco duro. Su “camuflaje” está tan conseguido, que puede robar datos sensibles y almacenarlos en una zona ajena al usuario. Incluso, los discos duros cifrados pueden ser atacados igualmente.Hasta la fecha, no existe una medida efectiva que solucione dicha infección. A nivel corporativo, se plantea la opción de la destrucción física de la máquina hasta que se encuentre una solución al respecto.A nivel global, los países más afectados por Malware son: Irán, Rusia, Pakistán, Afganistán, India, China, Siria y Mali. Sus objetivos incluyen ataques a gobiernos, empresas y organizaciones militares, así como a medios de radio y televisión. En conclusión, cada vez que se producen un mayor número de ataques a nivel mundial, y cada vez con mayor grado de sofisticación, por lo que es altamente recomendable conocer y remediar las últimas vulnerabilidades publicadas por las principales empresas de desarrollo de software y sistemas.Fuente: Revista ‘Computer Hoy’, número 430, año XVII, 2015.Áudea Seguridad de la Información

Audea Formación firma un acuerdo de colaboración con PECB Internacional 2015-05-19

Áudea Formación tiene el honor de anunciar que ha firmado un nuevo acuerdo de colaboración con PECB International, para impartir cursos de formación PECB Internacionales en ESPAÑA. Esta asociación se asegurará de que las respectivas compañías darán su contribución basada en su experiencia en ofrecer y organizar cursos de formación PECB International.“PECB International ha construido una sólida reputación en el mercado internacional por su experiencia y su capacidad para desarrollar y ofrecer cursos de formación en muchas normas ISO “, dice Elizabeth Bradshaw, directora general de PECB International. “Creemos que nuestros cursos de formación complementan perfectamente a AUDEA Formación y esta colaboración nos permitirá ofrecer a las personas en España una forma rentable de invertir en su carrera profesional.”Con la firma del acuerdo entre Áudea Formación y PECB International, Áudea incorpora a su catalogo cursos nuevos sobre normas ISO relacionadas con los sistemas de gestión tales como ISO 31000, ISO 27002, ISO 27005, ISO 27034, ISO 2000, ISO 38500, ISO 29100.Los alumnos de Áudea podrán formarse, presentarte al examen y obtener así la Certificación otorgada por PECB.Además, gracias a este acuerdo, Áudea Formación añade entre las modalidades que ya impartía, las clases virtuales con profesores de habla hispana.Todo ello supondrá un avance para Áudea y a la formación en el mundo de la seguridad de la Información en España.PECB Internacional es un organismo de certificación de personas con una amplia gama de normas internacionales, incluyendo ISO 9001 , ISO 14001 , ISO / IEC 20000 , ISO / IEC 27001 , ISO / IEC 27005 , ISO 22301 , ISO 26000 , ISO 22000, OHSAS 18001 , ISO 28000 , ISO 50001 , plomo certificado forense examinador etc …PECB Internacional se ha ganado una reputación de integridad, valor y mejores prácticas , por la proporción de seguridad a través de la evaluación y certificación de profesionales contra rigurosos requisitos de competencia , reconocidos internacionalmente. Su misión es ofrecer a sus clientes la amplia exploración personal y los servicios de certificación. Para más información sobre PECB International y para la lista completa de las normas, por favor visite http://www.pecb.com.Áudea Seguridad de la InformaciónPECB

Audea Formación firma un acuerdo de colaboración con PECB Internacional 2015-05-19

Áudea Formación tiene el honor de anunciar que ha firmado un nuevo acuerdo de colaboración con PECB International, para impartir cursos de formación PECB Internacionales en ESPAÑA. Esta asociación se asegurará de que las respectivas compañías darán su contribución basada en su experiencia en ofrecer y organizar cursos de formación PECB International.“PECB International ha construido una sólida reputación en el mercado internacional por su experiencia y su capacidad para desarrollar y ofrecer cursos de formación en muchas normas ISO “, dice Elizabeth Bradshaw, directora general de PECB International. “Creemos que nuestros cursos de formación complementan perfectamente a AUDEA Formación y esta colaboración nos permitirá ofrecer a las personas en España una forma rentable de invertir en su carrera profesional.”Con la firma del acuerdo entre Áudea Formación y PECB International, Áudea incorpora a su catalogo cursos nuevos sobre normas ISO relacionadas con los sistemas de gestión tales como ISO 31000, ISO 27002, ISO 27005, ISO 27034, ISO 2000, ISO 38500, ISO 29100.Los alumnos de Áudea podrán formarse, presentarte al examen y obtener así la Certificación otorgada por PECB.Además, gracias a este acuerdo, Áudea Formación añade entre las modalidades que ya impartía, las clases virtuales con profesores de habla hispana.Todo ello supondrá un avance para Áudea y a la formación en el mundo de la seguridad de la Información en España.PECB Internacional es un organismo de certificación de personas con una amplia gama de normas internacionales, incluyendo ISO 9001 , ISO 14001 , ISO / IEC 20000 , ISO / IEC 27001 , ISO / IEC 27005 , ISO 22301 , ISO 26000 , ISO 22000, OHSAS 18001 , ISO 28000 , ISO 50001 , plomo certificado forense examinador etc …PECB Internacional se ha ganado una reputación de integridad, valor y mejores prácticas , por la proporción de seguridad a través de la evaluación y certificación de profesionales contra rigurosos requisitos de competencia , reconocidos internacionalmente. Su misión es ofrecer a sus clientes la amplia exploración personal y los servicios de certificación. Para más información sobre PECB International y para la lista completa de las normas, por favor visite http://www.pecb.com.Áudea Seguridad de la InformaciónPECB

Desayuno Tecnológico: Ciberseguridad y Vigilancia Digital 2015-05-06

¿Es usted consciente de las amenazas a las que están expuestos sus sistemas? ¿Está seguro de que sus sistemas están correctamente protegidos?Áudea les invita el próximo 13 de mayo al Desayuno Tecnológico: Ciberseguridad y Vigilancia Digital que contará con SURVELA, líder tecnológico en Vigilancia en Internet y Grupo OESIA, consultora multinacional especializada en tecnología.La exposición en Internet para una empresa, hoy en día es imprescindible. Pero hay que tener muy presente que esta exposición brinda a los ciberdelicuentes muchas oportunidades para cometer sus cibercrímenes. Esto exige que las organizaciones evolucionen sus medidas de vigilancia y seguridad. Su organización debe estar preparada para crear un marco de gobierno corporativo alineado con los requisitos de seguridad, que permita evaluar su impacto en el negocio de forma que se aplique un manejo adecuado del riesgo.En definitiva, es necesario tener capacidad para combatir, administrar y mitigar los ciberataques que están ocurriendo en cualquier lugar, cualquier día a cualquier hora.Este evento supone una oportunidad para conocer Survela una herramienta que mantiene vigilada las 24 horas del día, los 7 días de la semana a una empresa y toda la información que expone en Internet, rastreando y recopilando la Información existente en la red incluyendo información no indexada por los buscadores, denominada la “Internet oculta”

Comprar en la Red: Derechos del Consumidor 2015-04-23

Aunque es cada vez más habitual realizar compras por Internet, no hay que bajar la guardia y hay que estar atentos a todas las señales de advertencia de seguridad de las páginas web para así asegurar la confidencialidad de nuestros datos.Seis de cada diez internautas ya utilizaban la Red para realizar sus compras en el 2013. Así lo recoge el último estudio realizado por el Observatorio Nacional de las Telecomunicaciones, lo que no hace otra cosa que demostrar lo que ya sospechábamos desde hacía tiempo, que en la actualidad la compra por Internet se ha convertido en una costumbre de los usuarios.Hemos de tener muy claro que no todas las empresas pueden vender por Internet, ya que deben cumplir una serie de requisitos para poder desarrollar dicha actividad. Aunque las compras por Internet pueden parecer algo intangible, los consumidores online no están desprotegidos.Todos sus derechos quedan recogidos en las siguientes leyes:• La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico 34/2002, del 11 de julio.• El Real Decreto Legislativo 01/2007 del 16 de noviembre, que hace referencia al texto refundido de la Ley General para la defensa de consumidores y usuarios.• El Real Decreto 1906/99 del 17 de diciembre, que regula la contratación telefónica o electrónica según el artículo 5.3 de la Ley 07/1998, del 13 del mes de abril.Una vez tomadas todas y cada una de las medidas de seguridad básicas mencionadas en el presente artículo, se recomienda no utilizar, en la cuenta de registro que nos solicite el proveedor, palabras cotidianas tales como nombres de nuestro entorno familiar, fechas de nacimiento, etc.Es necesario prestar especial atención a que justo antes de realizar la compra, esta se esté realizando en un entorno seguro. Para ello, se visualizara en la barra inferior del explorador de Internet un candado que mostrara que nuestros datos se encuentran protegidos (HTTPS). Las siglas SSL hacen referencia al protocolo de Internet que asegura que la información está siendo codificada correctamente.Fuente: Revista ‘Computer Hoy’, número 431, año XVII, 2015.Áudea Seguridad de la Información

Antivirus Gratuitos 2015-04-16

Actualmente existen soluciones de pago muy competitivas que nois ofrecen una barrera de protección sólida y fiable, pero, ¿es realmente necesario comprar uno de estos productos?.La respuesta es no. Existen algunas soluciones antivirus gratuitas que nos ofrecen barreras de protección de una calidad aceptable, sin necesidad de realizar ningún gasto.A continuación, vamos a nombrar los 5 más conocidos.Antivirus Windows Defender/Security Essentials:Esta barrera de Antivirus está desarrollada por la compañía Microsoft. Aunque dicha solución ofrece una primera línea de defensa y consume pocos recursos, en los últimos resultados del AV-test se ha podido comprobar que la protección ofrecida es muy básica y poco recomendable.Antivirus 360 Security:Se trata de un antivirus de origen chino que está pegando fuerte en la actualidad.Su solución gratuita ofrece unos niveles de protección sobresalientes según los resultados dehttp://www.av-test.org/.Se puede descargar desde http://www.360totalsecurity.com/en/features/360-total-security-essential/Antivirus Avast:Este antivirus gratuito ofrece unos niveles de protección notables en su versión gratuita. Su tasa de detección es muy elevada, y en los últimos años se ha extendido un gran número de usuarios domésticos.El mismo puede descargarse desde: https://www.avast.com/es-es/indexAntivirus AVG:Aunque este antivirus es famoso por su solución comercial, existe una solución gratuita que nos permitirá disponer de un nivel de protección suficiente en nuestros equipos domésticos.En este caso, la protección ofrece además compatibilidad con smartphones android.El mismo puede descargarse desde: http://www.avg.com/Otros:Existen otras soluciones antivirus de gran calidad, ofrecidos de mano de fabricantes conocidos por su solución comercial, tales como: panda, comodo o zonealarm.Con las soluciones expuestas, ya no hay escusa para mantener nuestro equipo protegido.José Francisco Lendínez. Dpto de Seguridad TICÁudea Seguridad de la Información

La Ciberseguridad, repaso del 2014. 2015-03-26

El pasado año 2014 quedará grabado en la Historia de la tecnología como uno de los más ajetreados en lo que a Ciberseguridad se refiere.Es más, el descubrimiento de errores informáticos como Heartbleed dejó patente que, por lo general, los usuarios no son conscientes de los serios peligros que encierra la nula o poca protección frente a amenazas externas. Y aunque no se trató de un apocalipsis digital, cuando nuestros datos son los que están en juego debemos considerar la posibilidad del robo de los mismos como una acción no tan remota.Son cientos de miles las muestras de malware que aparecen cada día para equipos personales, decenas de miles al mes para sistemas móviles y miles de millones los datos que ‘flotan’ sin cifrar por la Red entre el usuario y ese inmenso océano llamado Big Data. Y aun así, sólo la mitad de los equipos de sobremesa y Smartphone están actualizados y disponen de la protección antivirus actualizado, un 35% de los Tablet y un 20% de los portátiles, el dispositivo más utilizado para Internet.Con el transcurso de los años, incluso con los recientes ataques informáticos producidos, no se ha detectado una concienciación profunda en la sociedad, que no ha reaccionado con suficiente contundencia. Datos tan sorprendentes como que el 8% de los usuarios admite que siempre utiliza la misma contraseña y casi el 45% alterna entre una o dos, normalmente de complejidad trivial.El presente año (2015) se presenta problemático. Las plataformas y métodos de pago móviles serán un blanco seguro de los ataques, así como los dispositivos IoT sin estándares de seguridad definidos, el Big Data, los coches autónomos, etc. Y no sólo se realizaran vulneraciones sobre nuestros datos personales y bancarios, también nuestros hábitos y rutinas de compra, ubicaciones, registros deportivos y de sueño, etc. serán objeto de interés.Fuente: Revista ‘Computer Hoy’, número 428, año XVI, 2014.Áudea Seguridad de la Información

La Ciberseguridad, repaso del 2014. 2015-03-26

El pasado año 2014 quedará grabado en la Historia de la tecnología como uno de los más ajetreados en lo que a Ciberseguridad se refiere.Es más, el descubrimiento de errores informáticos como Heartbleed dejó patente que, por lo general, los usuarios no son conscientes de los serios peligros que encierra la nula o poca protección frente a amenazas externas. Y aunque no se trató de un apocalipsis digital, cuando nuestros datos son los que están en juego debemos considerar la posibilidad del robo de los mismos como una acción no tan remota.Son cientos de miles las muestras de malware que aparecen cada día para equipos personales, decenas de miles al mes para sistemas móviles y miles de millones los datos que ‘flotan’ sin cifrar por la Red entre el usuario y ese inmenso océano llamado Big Data. Y aun así, sólo la mitad de los equipos de sobremesa y Smartphone están actualizados y disponen de la protección antivirus actualizado, un 35% de los Tablet y un 20% de los portátiles, el dispositivo más utilizado para Internet.Con el transcurso de los años, incluso con los recientes ataques informáticos producidos, no se ha detectado una concienciación profunda en la sociedad, que no ha reaccionado con suficiente contundencia. Datos tan sorprendentes como que el 8% de los usuarios admite que siempre utiliza la misma contraseña y casi el 45% alterna entre una o dos, normalmente de complejidad trivial.El presente año (2015) se presenta problemático. Las plataformas y métodos de pago móviles serán un blanco seguro de los ataques, así como los dispositivos IoT sin estándares de seguridad definidos, el Big Data, los coches autónomos, etc. Y no sólo se realizaran vulneraciones sobre nuestros datos personales y bancarios, también nuestros hábitos y rutinas de compra, ubicaciones, registros deportivos y de sueño, etc. serán objeto de interés.Fuente: Revista ‘Computer Hoy’, número 428, año XVI, 2014.Áudea Seguridad de la Información

Concienciación Empleados en Seguridad de la Información 2015-03-25

Protección de datos, seguridad de la información, robos de información confidencial, robos de credenciales, phising, hackeos,… todos estos términos cada día empiezan a escucharse más a menudo debido a la era tecnológica en la que nos encontramos, pero ¿realmente conocemos sus consecuencias? ¿sabemos cómo prevenirlos? ¿Nos ofrece nuestra empresa formación o concienciaición sobre estos temas?Este puede ser uno de los principales temas que tienen que comenzar a asumir las compañías.Muchos de los empleados no saben como manejar la información confidencial que manejan en el desarrollo de sus funciones diarias y esto es uno de los principales riesgos que comprometen a las compañías y haciéndolas vulnerables.En este 2015 nos gustaría trasladar la importancia de mejorar la concienciación a todo el personal interno de cualquier organización. Es de vital importancia trasladar a los empleados su parte de responsabilidad y preservar la seguridad de nuestra empresa.Los problemas que pueden traer el mal uso del principal activo que tiene cualquier organización (la información) suponen una gran perdida económica, de tiempo y de imagen corporativa para la empresa. Muchos de los hackeos y cibercrimenes que se cometen se deben a la desinformación como por ejemplo casos como:- Robo masivo a bancos a través de phishing a empleados- Denuncian ante la AEPD la divulgación de datos clínicos de centros para el aborto en Zaragoza- Robo masivo de contraseñas de correo electrónicoÁudea apoya a las empresas preocupadas por todos estos temas con cursos de concienciación dirigidos a distintos niveles y cargos, así como áreas y sectores:Concienciación en Seguridad de la Información: fundamental para la estrategia de seguridad de la informaciónde cualquier organización y sus operaciones de seguridad asociadas, por lo tanto, es preciso educar a los usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad y también informarles sobre prácticas recomendadas de seguridad que se deben adoptar en la actividad laboral diaria.Concienciación en Seguridad de la Información para Responsables: Los Directores, subdirectores, responsables, y cualquier persona que gestione y/o dirija equipos de trabajo debe también comunicar las políticas de seguridad de la información, incluyendo personal de seguridad.Concienciación en Seguridad de la Información para Directivos: Directores y Gerentes y altos cargos son otro de los grupos que deben concienciarse sobre prácticas recomendadas de seguridad que se deben adoptar.Concienciación LOPD: La protección de los datos personales se basa en la defensa de un derecho fundamental de todas las personas, el derecho a la intimidad. Todos somos responsables del respeto de la privacidad ajena, siendo fundamental concienciarse de que el respeto de nuestra privacidad implica el respeto a la de los demás.Concienciación en LOPD para Personal Sanitario: Este es un sector en el que se tiene que tener especial cuidado con datos personales y es de una gran importancia formar a todo el personal y concienciarles en materia de protección de datos.Concienciación LOPD para Administraciones Públicas: Este tipo de concienciación está dirigido a personal público, con independencia de su escala.Concienciación ENS (Esquema Nacional de Seguridad): El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS)en el ámbito de la Administración Electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.Concienciación en PCI-DSS: La seguridad de la información de titulares de tarjetas de crédito se ha convertido en una verdadera preocupación en todo el mundo, tanto para los bancos que emiten tarjetas de pago como para los comercios que las aceptan y, por supuesto, para los clientes que las utilizan.Áudea ofrece contenidos de formativos de calidad, diseñados a partir de proyectos reales y con la orientación que demanda el ámbito empresarial, es decir, una formación impartida por y para profesionales, con criterios pedagógicos y con aplicación práctica. Para conseguir mayor eficacia en las acciones formativas, contamos con un material de formación base que se adapta según las necesidades particulares del cliente.Ponemos a disposición los mejores consultores especializados en cada área de gestión de seguridad de la información, aportando conocimiento y experiencia con su equipo altamente especializado: abogados especialistas en nuevas tecnologías, consultores con certificaciones CISA, CISM y CISSP, ingenieros informáticos y Lead Auditors.Áudea Seguridad de Información

El Control de los Recursos Online – 2ª parte 2015-03-13

Como continuación a nuestro anterior artículo sobre la gestión y el control de los recursos online, en esta ocasión intentaremos explicar de forma sintética las obligaciones más básicas que deben cumplir algunos de estos recursos, en concreto, las WEBS y APPS.LOPD vs. LSSIEn primer lugar hay que diferenciar estas 2 normas principales en lo que se refiere a los recursos online.LOPD: Información y ConsentimientoSiempre que en una WEB o APP se recojan datos personales debe definirse una Cláusula de Protección de Datos que informe sobre qué entidad está recogiendo los datos, para qué finalidades se tratarán los datos y qué derechos tiene.Incluso si no existe un registro, pero habilitamos un medio de contacto que implique una recogida de datos personales, deberemos definir una Cláusula de Protección de Datos específica para los datos recabados por esta vía.Por ejemplo:  He leído y acepto la cláusula de protección de datosEn ocasiones resulta difícil prever o regular todas las vías de recogida de datos personales, especialmente en WEBS o APPS de cierta complejidad. Por ello, como solución supletoria, se recurre a la definición de la Política de Privacidad, que es una cláusula de protección de datos genérica, que intenta cubrir la información necesaria para todas las vías de recogida de datos que se puedan crear. Esta solución no es la más adecuada, pero puede ser de utilidad si se nos escapa algún viejo formulario.Si los datos se recogen para varias finalidades, unas principales (p.e. comprar un producto); y otras accesorias a las principales (p.e. enviarles publicidad de un sector específico), debe ofrecerse al usuario la posibilidad de que rechace expresamente las finalidades accesorias.Por ejemplo:  No deseo recibir publicidadLSSI: Aviso LegalTodo servicio de la sociedad de la información debe identificar al responsable del servicio con cierto lujo de detalles: Razón social, domicilio, NIF, datos del registro mercantil, datos de contacto, etc.El texto a través del cual se da esta información debe estar permanentemente accesible, por lo que se recomienda incluirlo en el pie o cabecera del sitio web, de forma que siempre se pueda localizar de forma rápida.Este texto se puede denominar de múltiples maneras: Aviso Legal, Condiciones Generales, Información Legal. Lo importante es que contenga toda la información exigida por la LSSI.Ejemplo de cumplimientoA modo de resumen, una WEB o APP con registro de usuario, que cumpla con estasobligaciones básicas, tendrá un aspecto similar al siguiente:Otras obligaciones¿Esto es todo? No, claro que no.El objetivo de este artículo era hacer un resumen breve y efectivo, pero hay muchas otras obligaciones que tener en cuenta, como por ejemplo:• Información y consentimiento sobre cookies y similares.• Medidas de seguridad.• Información previa y posterior a la contratación electrónica.• Contenido legal de los emails y sms comerciales.• Tratamiento de datos de menores de 14 años.• Validación de la dirección de email (doble opt-in).• Etc.Por todo ello, además de mantener un control sobre los recursos online de la empresa, es necesario contar con el debido apoyo legal.José Carlos MoratillaResponsable del Departamento LegalÁudea Seguridad de la Información

Áudea y Fact24: Desayuno Tecnológico 2015-03-11

El pasado 3 de marzo tuvo lugar el Desayuno Tecnológico de la mano de Fact24 y Áudea Seguridad de la Información cuyo tema principal giró entrono al La Comunicación durante la Gestión de Crisis.Este evento tuvo como protagonistas a Teresa Fauquier, Responsable de Desarrollo de Negocio en España y Latinoamérica de Fact24, y a Antonio Martínez, Responsable de Seguridad de Áudea.Durante los primeros minutos, Martínez habló sobre la crisis en una empresa, como se puede producir (antecedentes), como se debe actuar y prevenir. Más tarde se centró en lanorma ISO 22301 para la Gestión de la Continuidad De Negocio, dónde la comunicación durante la gestión de crisis es imprescindible.Finalizando Fauquier, presentó el servicio y herramienta que ofrece Fact24 para una comunicación efectiva en caso de emergencia y crisis. Este servicio principalmente permite informar y alertar de forma rápida y segura, a todas las personas relevantes, en caso de cualquier crisis.En el ámbito de la continuidad de negocio la herramienta de Fact24 permite el Análisis, documentación, prevención, gestión de incidentes, de crisis y el procesamiento y análisis posterior a estas.Aquí os dejamos la exposición realizada por parte de Áudea, si tiene alguna otra duda o quisiera ver una demo sobre la herramienta que expuso Fact24, no dude en contactarnos.Para más información:www.audea.comwww.f24.com/eswww.cursosticseguridad.comÁudea Seguridad de la Información

Tendencias de Hacking 2015 2015-03-10

Con los datos que se han recabado sobre los ataques de hacking ocurridos en los últimos meses, es posible delimitar de forma clara las tendencias que se están adoptando, y que se seguirán perfilando a lo largo del año 2015, tal y como se ha podido apreciar en un estudio publicado por la empresa ESET España.Conforme a los resultados del estudio, las tendencias que se han podido apreciar son las siguientes:1. Robos de dinero, focalizando ataques sobre los sistemas de pago:Hace años las personas eran muy precavidas, de cara a realizar pagos por Internet, siendo una práctica poco extendida. Con el paso de los años, es una práctica que ha aumentado en popularidad, ya que es un medio que han habilitado múltiples tiendas a través de su web, y tiene fama de ser un proceso seguro, rápido y cómodo.Pese a todos los puntos positivos, este aumento de transacciones ha llamado la atención de los hackers, quienes ven las plataformas de pago como un punto crítico en el que poder sacar beneficio (ej: ataques Bitcoins y Dogecoins, que supusieron una pérdida económica importante).2. Ataques dirigidos:Todo apunta a que cada vez hay más ataques que se realizan con un objetivo muy concreto. Además, estos ataques se caracterizan por prolongarse a lo largo del tiempo, basándose principalmente en técnicas de ingeniería social, y en ataques 0 Day.A partir de la ingeniería social es posible obtener información útil sobre el objetivo a atacar.Por otro lado, la utilización de ataques 0 day garantiza un éxito al explotar problemas de seguridad existentes en los objetivos a atacar.3. Nuevos dispositivos interconectados:Existe una tendencia clara de conectar dispositivos domésticos y de uso habitual a la red de redes. Este es el caso de nuevos televisores, con funcionalidades online en constante crecimiento, e incuso automóviles. Este aumento de dispositivos y funcionalidades de los mismos con Internet ha supuesto un nuevo foco de ataque que los hackers tienen en cuenta.En el futuro deberá tenerse muy presente la Seguridad Informática en este ámbito.Noticia original: http://www.eset-la.com/centro-prensa/articulo/2014/eset-presenta-tendencias-cibercrimen-para-2015/3605José Fco Lendínez .Dpto de Seguridad TICÁudea Seguridad de la Información

Análisis de Vulnerabilidades Automáticos 2015-02-17

Para conocer el nivel de protección, sería necesario verificar el nivel de parcheo, versiones del software, y tareas adicionales que implica un correcto mantenimiento del equipamiento informático. Sin embargo, ¿Cómo sabemos que en realidad solventamos las deficiencias de seguridad, y que no se nos escapa ningún software o servicio que utiliza una versión vulnerable o su configuración no es la adecuada?.Existe una solución que no requiere de demasiado tiempo/esfuerzo, que consiste en utilizar herramientas de escaneo de vulnerabilidades.Estas herramientas trabajan con una Base de Datos de firmas de vulnerabilidades y una serie de plugins con los que se escanean los equipos que les indiquemos.Existen varias herramientas de este estilo. Algunas son de pago (más fáciles de instalar y utilizar), y otras gratuitas (con menor eficacia de detección y una mayor dificultad en su instalación/utilización).A continuación, vamos a plantear una serie de ventajas e inconvenientes con respecto a los Análisis automáticos de vulnerabilidades:Ventajas de los escaneos de vulnerabilidades:Obtención muy rápida de información sobre sistemas, equipos y serviciosObtención rápida de Información sobre vulnerabilidades que afectan a los sistemas escaneadosA partir de las soluciones propuestas, la elaboración muy rápida de un plan de acción que solvente los problemas encontrados.Facilita el trabajo de análisis y obtención de información a gente poco experimentada. Desventajas de los escaneos de vulnerabilidades:Están limitados a la información de los plugins y firmas de los que se dispone en el momento del análisis.No realizan un escaneo de puertos tan en profundidad como otras herramientas (como Nmap), lo que implica que ciertos hosts o servicios que utilicen puertos poco comunes o tengan barreras de Firewall pasen desapercibidos por la herramienta.Los problemas detectados no suelen estar probados para evitar impactos en el funcionamiento del equipamiento en producción, o bien se realizan análisis sin credenciales, por lo que se pueden producir falsos positivos.Pueden generar una actitud conformista por parte del que realiza el análisis, pensando que no es necesario realizar pruebas manuales adicionales. A continuación vamos a nombrar algunas de las más importantes:De pago:Tenable Nessus: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)Nexpose: Escaneo de equipos y servicios de todo tipo (http://www.rapid7.com/products/nexpose/)Mcafee Foundstone: Escaneo de equipos, y servicios de todo tipo (http://www.foundstone.com/)Acunetix: Escaneo de servicios y páginas web (http://www.acunetix.com/)Survela: Servicio de monitorización continua de servicios publicados en Internet, incluyendo vulnerabilidades que los afecten (https://survela.com/)Gratuitos:Tenable Nessus Home: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)OpenVAS: Escaneo de equipos, y servicios de todo tipo (http://www.openvas.org/)Vega: Escaneo de servicios y páginas web (https://subgraph.com/vega/)W3af: Escaneo de servicios y páginas web (http://w3af.org/)Microsoft Baseline Security Analyzer: Escaneo de problemas de configuración y parches que falten en sistemas Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=7558La conclusión es que son herramientas útiles, que dan mucha información sobre el estado de protección de nuestros equipos que desconocemos, y que de forma rápida nos puede permitir elaborar un plan de acción que nos permita cerrar agujeros de seguridad, por lo que su implantación y programación de escaneos periódicos es más que recomendable.José Francisco Lendínez Echeverría. Dpto de Seguridad TIC.Áudea Seguridad de la Información

Nuestra Seguridad en el Ciberespacio 2015-02-10

Actualmente se habla de ciberguerra, ciberataques, ciber…. Pero ¿Realmente qué sabemos de ello? Cuando leemos ciber o lo escuchamos, parece que nos están hablando de una película futurista o de ficción, pero no, es real. Es una realidad actual en un mundo virtual, en el ahora mismo, y que viene desde años atrás, y cuyos efectos se ciernen sobre todos, nos está pasando.El mundo virtual existe desde que Internet nos comunica a las personas, otro medio más como la voz o como la hoja escrita, como el extracto físico del banco que nos llega a casa o la carta de amor que entregábamos perfumada. Pero, ¿Qué es Internet? Y ¿Qué es el ciberespacio cuando hablamos de espacio que puede ser atacado? ¿Cómo nos afecta como personas y como organizaciones? ¿Quién nos puede ayudar? A estas preguntas responderemos por medio de este artículo.Todos creemos saber qué es Internet, y es tan simple como entender que es un una red de comunicaciones. Pero es compleja, y su complejidad viene dada por su alcance mundial, sus numerosas funcionalidades, tanto personales, privadas, así como públicas, y por supuesto, la falta de regulación formal y específica.Empezaremos por entender los orígenes de Internet y para ello necesitamos saber que existe desde la década de los 60 del siglo pasado, muy atrás para algunos, quizás. Fue creado por el Departamento de Defensa de Estados Unidos, con el fin de permitir las comunicaciones entre ordenadores, permitiendo grandes avances tecnológicos, inclusive comunicar a todo el mundo de nuestro planeta. Tras varios años, hasta ahora, ha evolucionado a grandes pasos, permitiendo, como todos conocemos, que nos podamos comunicar entre nosotros de manera personal, manejar nuestras cuentas bancarias, estudiar en línea, consultar información como si fuera una enciclopedia; inclusive para transar negocios mediante e-commerce, o poder interactuar con las administraciones públicas y gestionar muchas de nuestras obligaciones y derechos, a través de la red; y estos son sólo unos ejemplos, sin incluir el auge a nivel interno y externo que tiene dentro de las organizaciones para su funcionamiento, y por supuesto para la economía. Tan real puede llegar a ser este mundo virtual y lógico, aparentemente paralelo, que si es atacado, llegaría a afectar el mundo que conocemos.Entonces, ¿Qué tan grave sería si no existiera? Y ¿Si fuera interrumpido o atacado?A estos ataques es lo que se conoce como ciberataques: un ataque a nuestro mundo virtual o lógico, que de verdad es real. Su realidad viene dada porque no sólo son redes que nos comunican, sino porque es un entramado de dispositivos que guardan datos, nuestros datos, y que además nos dan servicios. Por lo tanto, si interrumpen los servicios, si roban nuestros datos, y además cortan las comunicaciones…. De ahí su impacto. Por poner un ejemplo de la vida cotidiana, es como si fuéramos a un supermercado, no nos dejaran entrar, se hubieran robado la comida, y además, no sabes qué vas a comprar, porque no tienen nombre ni descripción, pero la información es poder, y la información se guarda en este espacio, el ciberespacio. Asemejar el mundo virtual al real es fácil.Si tan sólo es un mundo lógico de dispositivos configurados sólo con valores ceros (0) y unos (1), y no los podemos tocar, que parece etéreo. ¿Por qué es tan difícil asimilar que no es una realidad paralela ni irreal? Al final estos ceros y unos, combinados y programados, comunicados a través de redes, es la información y programas que hacen posible que podamos comunicarnos por este espacio y obtener servicios a través de la red. Además, siempre se ha entendido como un mundo del cual podríamos prescindir, pero la verdad es que actualmente se volvería caótico si fallara. Sería poner en marcha atrás un mundo creado durante 50 años, que parece que fueran 100. Para algunos países, quizás puedan funcionar sin Internet, pero si damos un vistazo, hasta el país más pobre tiene infraestructura tecnológica conectada a la red; inclusive hay acuerdos para tener acceso a Internet con el proyecto de colaboración mundial internet.org, cuyo objetivo es dar acceso a Internet para los dos tercios del mundo que aún no están conectados.¿Qué hace que sea tan fácil atacar en el ciberespacio? No se necesitan ejércitos, ni demasiados recursos físicos, ni armas para desarrollar y llevar a cabo un ataque de este tipo, sólo contar con conocimientos, un dispositivo electrónico (puede ser un ordenador u otro) y una conexión a la red.Y la regulación y legislación entorno al ciberespacio, ¿En qué punto está? Desde luego que para que una civilización funcione debe contar con normas para que se haga un uso adecuado y funcione como debería, sin afectar nuestros derechos, permitiendo la convivencia segura. Sin embargo, Internet se ha gestionado como un medio de comunicación que debía regirse con las leyes, regulaciones y valores que existen en la Sociedad actual, no se ha tenido la conciencia que debía ser regulado específicamente. Desde hace unos trece años se está tomando la iniciativa a nivel gubernamental y mundial de la quizás necesaria regulación efectiva, que no deje cabos sueltos para poder garantizar un entorno seguro en Internet y en el ciberespacio. Esta regulación permitiría proteger no sólo la conexión por medio de las redes, los datos guardados en el ciberespacio, sino lo más fundamental, los servicios asociados a este mundo: los servicios esenciales para que una sociedad funcione.Tras los ataques terroristas que se han perpetrado físicamente, como son: el de las Torres Gemelas (2001) y la maratón de Boston (2013) en Estados Unidos, el del 11M en Madrid (2004), así como el reciente, en Paris, al periódico Charlie Hebdo (2015), se ha ido evolucionando en materia de seguridad para hacer frente y protegernos de organizaciones terroristas así como de lobos solitarios, y así evitar que se produzcan atentados tan brutales como estos. Entre las medidas que se están tomando, se viene trabajando desde los gobiernos así como a nivel mundial, en la regulación de la seguridad tanto en los entornos físicos como lógicos. Podríamos decir que en estos atentados no se han cometido ataques en el ciberespacio, sin embargo, seguramente muchas de las comunicaciones que se han realizado entre los terroristas, lo hayan hecho a través de la red, que probablemente se hayan guardado en el ciberespacio, y debido a que no hay regulación aplicable al contexto del ciberespacio, muchas de estas comunicaciones no se han podido rastrear, más que nada para proteger el derecho a la intimidad de estos individuos.El ciberespacio da la opción de actuar anónimamente, por eso se debe tener mucho cuidado de con quién tienes contacto, y a quién das tu información, cuál información publicas y desde donde accedes a tus cuentas de correo, redes sociales e inclusive al banco por la plataforma electrónica. Si existiese una regulación en cuanto a saber quién hace qué, desde dónde y a qué hora, sería más fácil proteger a las personas, sin embargo, con la regulación y legislación actual, no se puede hacer un seguimiento exhaustivo debido a la violación de derechos, como el ya mencionado, derecho a la intimidad, o la protección de los datos personales.Además, existe la clara posibilidad de los ataques directamente en el ciberespacio. No sólo robando nuestros datos personales, dinero de nuestras cuentas, o interrumpiendo el servicio de páginas web, sino a gran escala. Por ejemplo, los ciberataques realizados a centrales nucleares (Corea del Sur (2014) o Bushehr en Irán (2011)) pudiesen haber provocado efectos letales en el mundo físico. También podemos mencionar los recién efectuados a la compañía Sony, no sólo robando información, sino dejando indisponibles sus servicios, afectando la imagen de la empresa, y provocando pérdidas económicas; o el más reciente, el ataque a más de 5000 medidores automáticos de gasolineras en Estados Unidos, las cuales resultaron manipuladas (2015). Estos ataques a veces son por intereses políticos, económicos, o ideológicos. Los efectúan por cualquier motivo, como la variedad y complejidad del mundo que se ofrece en la red.Debido a que el ciberespacio es un mundo aún sin regular, demasiado complejo, las naciones están trabajando conjuntamente en un marco de prevención y reacción para poder proteger las infraestructuras de los servicios esenciales de la sociedad, como ha ocurrido desde siempre en las civilizaciones. Un servicio esencial es el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, además de asegurar las instituciones del estado.En el contexto nacional español, se siguen los lineamientos de la Comisión Europea, que ha determinado que se debe trabajar y proveer una ley aplicable para proteger las infraestructuras que soportan estos servicios. Esta es la legislación aplicable en España: Medidas para la protección de las infraestructuras críticas (Ley 8/2011, de 28 de abril, y el Real Decreto 704/2011, de 20 de mayo).Siendo o no necesaria una regulación específica para el ciberespacio, los ciudadanos podemos valernos de las leyes actuales, además de seguir las buenas prácticas, empaparnos un poco de la seguridad entorno a la tecnología, y procurar que primen los valores que tenemos en la vida real aplicándolos, así mismo, a la vida virtual. Como empresas y organismos, nos podemos valer de los estándares y normas de seguridad de la información tanto nacionales, publicadas por el Centro Criptológico Nacional (CCN), entre otros, y las que nos ofrecen a nivel internacional, como puede ser la ISO 27001.Además, si nos encontramos con incidencias de seguridad y sufrimos ataques en el ciberespacio, contamos con la colaboración de los cuerpos de seguridad del estado (Policía, Guardia Civil), que tienen unidades dedicadas y a las cuales podemos recurrir. También debemos tener presente el soporte que nos den las empresas que nos brindan los servicios en la red, por lo cual se recomienda que siempre se lea con atención los términos de servicio que nos ofrecen y utilizarlos si fuera necesario.Si sabemos, podemos prevenir y podemos reaccionar. La seguridad también depende de nosotros.Bertha ParraEspecialista en Seguridad de la Información. Normativa y auditoría de TIÁudea Seguridad de la Informaciónwww.audea.comwww.cursosticseguridad.com

Fechas para Curso Presencial Experto en Protección de Datos 2015-02-05

Este 2015 lanzamos nuestras nuevas convocatorias del Curso Presencial Experto en LOPD, que fue ya un éxito el año anterior.Como ya sabrán la Ley Orgánica de Protección de Datos es de obligado cumplimiento para las empresas, los profesionales autónomos y las administraciones públicas que manejen datos de carácter personal. Para garantizar el correcto tratamiento de los datos personales y evitar posibles sanciones de la Agencia Española de Protección de Datos (AEPD), es necesario adecuarse a la normativa vigente.En este curso se da a conocer al alumno, los fundamentos y conceptos generales de la normativa de Protección de Datos y además conocer el nivel de riesgo que implica todo tratamiento de datos de carácter personal, capacitando al alumno para detectar los riesgos y ofrecer a su empresa/organización las soluciones adecuadas.Además este curso permitirá al alumno conocer el nivel de riesgo que implica todo tratamiento de datos de carácter personal, capacitándolo para detectar los riesgos inherentes al tratamiento de datos personales y ofrecer a su empresa/organización las soluciones adecuadas.Las convocatorias de este año 2015 son:18 – 20 Febrero10 – 12 Junio 28 – 30 OctubreReserva ya tu plaza:http://www.cursosticseguridad.com/calendario-cursos-presenciales-2015/curso-experto-en-proteccion-de-datos-lopd-presencial/.Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Convocatorias para el Curso Presencial Auditor Jefe ISO 22301 2015-02-05

El objeto de la ISO 22301 es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.Los objetivos que tiene el curso son los de, explicar los requisitos de la ISO 22301, enseñar como planificar una auditoria de un SGCN, liderarla y saber como recopilar e informar del resultado de las auditorías.Convocatorias Presenciales año 2015:23 – 27 Febrero 29 Junio – 3 Julio 21 – 25 Septiembre 23 – 27 NoviembreReserva ya tu plaza:http://www.cursosticseguridad.com/calendario-cursos-presenciales-2015/auditor-jefe-iso-22301-gestion-de-la-continuidad-de-negocio/Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Fechas Curso Auditor Jefe ISO 27001:2013 Presencial 2015-02-05

Junto a BSI hemos decidido lanzar una serie de convocatorias del curso Auditor Jefe ISO 27001:2013 en modalidad Presencial, para aquellas personas que deseen obtener el certificado de Auditor Jefe en la norma ISO 27001.Entre los objetivos de este curso, están, la consolidación de sus conocimientos sobre seguridad de la información para implantar procesos de auditoría en base a la ISO 27001, aprender a poner en marcha un Sistema de Gestión de Seguridad de la Información (SGSI), seguir mejorando sus técnicas de entrevista, realización de informes de auditoría y capacidad para probar la competencia del SGSI, etc…Esto hará que se fomente la confianza entre sus grupos de interés sobre su capacidad de planificar y auditar una ISO 27001, reducirá el riesgo de su organización mediante un proceso de SGSI, …Convocatorias Presenciales año 2015:26 – 30 Enero 25 – 29 Mayo28 Septiembre – 2 Octubre16 – 20 NoviembreReserva ya tu plaza:http://www.cursosticseguridad.com/calendario-cursos-presenciales-2015/auditor-jefe-iso-270012013-irca/Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Convocatorias Curso Presencial Implantación ISO 27001:2013 2015-02-05

Disponer de la certificación según ISO/IEC 27001, única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), ayudará a las organizaciones tanto a proteger como a gestionar sus activos de información, favoreciendo la confianza de todas las partes, sobre todos de los clientes.Por ello hemos lanzado una serie de convocatorias presenciales para todo aquel interesado en saber como implantar esta norma.En este curso aprenderá aEstablecer y evaluar sus objetivos y necesidades de seguridad de la informaciónIdentificar y evaluar los activos de información de la empresa, además de los riesgos de estos activos y su impactoDefinir políticas y procedimientos adecuados y ponerlos en prácticaCompletar el apoyo al Sistema de Gestión de la Seguridad de la Información (SGSI) y el proceso de certificación y crear un Plan de Implantación del Proyecto SGSI.Poner en marcha y ofrecer formación para la sensibilización sobre el temaApoyar, fortalecer y actualizar sus conocimientos sobre la seguridad de la informaciónAl finalizar el curso satisfactoriamente recibirá un certificado de validez Internacional de BSIademás del certificado que se le entregará de Áudea Formación.Convocatorias Presenciales año 2015:3 – 5 Febrero22 – 4 JunioReserva ya tu plaza:http://www.cursosticseguridad.com/calendario-cursos-presenciales-2015/implantacion-iso-270012013-seguridad-de-la-informacion/Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Nuevas Convocatorias para el Curso Presencial de Implantación ISO 22301 2015-02-05

La ISO 22301 es la primera norma internacional, que proviene de la británica BS 25999, para la gestión de continuidad de negocio.Con este curso pretende que el alumno sea capaz de proteger su organización de las situaciones inesperadas incrementando la confianza de los clientes en su organización y su expertise en Continuidad de Negocio e ISO 22301 a la par de estar seguro de cara a implantar un SGCN.Al finalizar el curso satisfactoriamente recibirá un certificado de validez Internacional de BSI además del certificado que se le entregará de Áudea Formación.Convocatorias Presenciales año 2015:28 – 29 Enero29 – 30 Abril6 – 7 Julio13 – 14 OctubreReserva ya tu plaza:http://www.cursosticseguridad.com/calendario-cursos-presenciales-2015/implantacion-iso-22301-gestion-de-la-continuidad-de-negocio/Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

¡Nuevo Curso!: Iniciación al Hacking Ético 2015-02-05

¿Estas interesado en aspectos técnicos de la seguridad de la información? ¿Quieres saber todo sobre el hacking desde un punto de vista ético? Este es tu curso.El hacking ético puede definirse como el uso de las técnicas de intrusión y estudio de vulnerabilidades de un sistema para protegerlo ante posibles amenazas en vez de aprovecharse de ellas.Por ello en este curso, aprenderá y profundizará en los conceptos fundamentales de la Seguridad Informática, además de sentar las bases y conocimientos básicos del hacking ético conociendo los tipos de amenazas a las que nos podemos enfrentar, para poder defendernos de ellas.Para más información puede ponerse en contacto con nosotros a través de la dirección de correo que encontrará en nuestra web o en el teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Desayuno Tecnológico: La Comunicación durante la Gestión de Crisis 2015-01-29

Los profesionales de la Seguridad, Continuidad de Negocio, Tecnologías de Información, Riesgos Laborales o Comunicación Corporativa se enfrentan al reto de responder rápidamente a eventos para que no evolucionen y se transformen en una crisis. Por ello, cada experiencia es valiosa.¿Cómo abordar de manera coordinada la gestión de incidentes, emergencias o crisis? ¿Cómo mantenerse actualizados? ¿Cómo hacerlo sin perder flexibilidad en la gestión? ¿Cómo garantizar y vigilar la aplicación de las políticas corporativas?Por ello, el próximo 3 de marzo tendrá lugar un desayuno tecnológico que contara con las empresas de Áudea Seguridad de la Información, consultora tecnológica que presta servicios profesionales relacionados con la gestión de la Seguridad de la Información y Nuevas Tecnologías y FACT24, proveedor de software como servicio (SaaS) de soluciones de gestión de alertas y crisis de gran fiabilidad.En este evento, usuarios experimentados nos darán una visión de conjunto de la comunicación durante la gestión de la crisis además de ver en directo una demostración, a través de la ISO 22301 y del servicio de FACT24 de gestión de crisis y alertas global.Plazas limitadas, reserve ya la suya.Para más información y/o reservar plaza puedes ponerte en contacto con nosotros a través de nuestra web o en el teléfono 91 745 11 57. www.audea.comwww.cursosticseguridad.com

La Ciberseguridad, Una Amenaza Real 2015-01-27

La Ciberseguridad en la red, además de tener implicaciones claras y directas en el día a día de ciudadanos, empresas e instituciones, ha pasado a conformar una preocupación realdebido a los constantes ataques de intrusión realizados de forma diaria y que suponen un riesgo para la confidencialidad de los datos albergados en los sistemas informáticos.En las últimas semanas hemos asistido al ataque masivo lanzado contra la compañía SONY Entertainment Network. Después del filtrado, a modo de advertencia, de un número determinado de cintas y material multimedia no comercializado, los hackers procedieron a la difusión no autorizada de miles de documentos con información confidencial que afectaron a Hollywood Studios.De igual forma, durante un reciente discurso en Arlington (Virginia), Obama se refirió al ciberataque sufrido el pasado lunes por el Mando Central del Pentágono, encargado de las operaciones en Irak y Siria, cuyas cuentas de Twitter y YouTube fueron temporalmente hackeadas por un grupo de piratas informáticos supuestamente vinculados al Estado Islámico.Éste ha sido uno de los motivos por los que la Agenda Digital para España (ADE) ha recogido como uno de sus objetivos principales la promoción del talento tecnológico, orientado hacia el campo de la ciberseguridad. A nivel de usuario, el Instituto Nacional de Ciberseguridad (INCIBE) ha apuntado que casi el 60% de los equipos informáticos de los hogares españoles podrían estar infectados en la actualidad.Dichos datos supusieron que en el año 2013 y 2014 la ciberseguridad entrara de forma obligatoria en la agenda política europea y española con la aprobación de la “Estrategia de Ciberseguridad Nacional”. Este documento, formalmente basado en las líneas de acción trazadas por la Estrategia Nacional de Seguridad, reconoce la importancia estratégica que tiene para España disponer de un ciberespacio fiable y seguro que propicie un correcto desarrollo de la sociedad y economía digitales.A nivel nacional, el gobierno español ha creado el Foro Nacional para la Confianza Digital(FNCD), una iniciativa de cooperación industrial que cuenta entre sus objetivos el estudio y la propuesta de medidas de estímulo e incentivos para favorecer las inversiones de la industria de las Tecnologías de la Información y las Comunicaciones (TIC), medidas que recogen la ciberseguridad y la importancia de un entorno informático de control adecuado y seguro.Áudea Seguridad de la Información

Survela y Áudea firman un acuerdo de colaboración en ciberseguridad para ofrecer Vigilancia Digital a empresas, único en España 2015-01-23

El avance acelerado de la tecnología y el entorno digital hacen que cada día lasorganizaciones se encuentren más expuestas en Internet. Continuamente se publican noticias sobre robos de información confidencial, ciberataques a las mayores compañías y gobiernos, crisis de marca que cuestan millones de Euros a las empresas, exposición de credenciales, etc. Y todo esto en un entorno de negocio que cada vez es más dependiente de Internet, de la nube y de las redes sociales.Con el objetivo de ofrecer los servicios más avanzados de seguridad y protección de la Información, Áudea y Survela firman un acuerdo único e innovador en el Mercado Español.Survela, líder tecnológico en VIGILANCIA EN INTERNET rastrea continuamente Internet para localizar cualquier riesgo como consecuencia de la publicación o robo de datos confidenciales, credenciales críticas, información personal, privada o corporativa que pueden constituir una amenaza para las empresas, sus negocios o sus directivos.El Centro de Vigilancia de Survela, recopila diariamente información de millones de fuentes mediante rastreo de: noticias, foros, blogs, web oculta o “deep web”, foros “underground” o “Blackmarkets”, redes sociales, websites, etcétera. Y mediante tecnología propietaria y analistas especializados, recaba, clasifica, y valora el impacto de cualquier incidente generando alertas en tiempo real.Survela permite que las empresas y sus directivos sean conscientes sobre su nivel de Exposición y sus riesgos en Internet, mediante alertas sobre cualquier amenaza para su reputación, incluyendo difamación, incidentes publicados, crisis en redes sociales o comentarios dañinos. Saber si se han publicado documentos confidenciales o legales, fotos, videos o bases de datos protegidas que hayan podido ser expuestos. Tener información sobre si sus contraseñas han sido robadas.Survela ofrece Soluciones de alto nivel para Protección de Corporaciones cubriendo áreas como el riesgo corporativo, abuso de marca o protección de ejecutivos mediante tres niveles de Vigilancia continua:Protección de Credenciales, robo de Información Confidencial y detección de ataques o Amenazas a sus activos digitales, información sensible o bases de datos.Protección de Marca contra posibles abusos y daños reputacionales, piratería, falsificaciones. Contenidos publicados en redes sociales sobre marcas o productos, opiniones dañinas o usuarios conflictivos que pueden producir crisis y poner en riesgo su negocio.Protección de Riesgo Corporativo: Utilizando la información publicada en Internet, la frecuencia y las tendencias, es posible obtener inteligencia corporativa o de Negocio para conocer a la competencia, el mercado, saber más sobre nuestros partners, clientes y proveedores. También permite la vigilancia y protección de ejecutivos, líderes de opinión y con ello conocer mejor a sus clientes, sus competidores y su mercado.Con la firma de este acuerdo, se combina toda la experiencia que dispone Áudea tras los 13 años en el mercado prestando servicios desde las cuatro vertientes de la Seguridad de la Información (Compliance, Legal, Técnico y Formación) con los de Survela, logrando ofrecer elservicio más completo e innovador del sector de la seguridad de la información en España.https://survela.com/www.cursosticseguridad.comwww.audea.com

Survela y Áudea firman un acuerdo de colaboración en ciberseguridad para ofrecer Vigilancia Digital a empresas, único en España 2015-01-23

El avance acelerado de la tecnología y el entorno digital hacen que cada día lasorganizaciones se encuentren más expuestas en Internet. Continuamente se publican noticias sobre robos de información confidencial, ciberataques a las mayores compañías y gobiernos, crisis de marca que cuestan millones de Euros a las empresas, exposición de credenciales, etc. Y todo esto en un entorno de negocio que cada vez es más dependiente de Internet, de la nube y de las redes sociales.Con el objetivo de ofrecer los servicios más avanzados de seguridad y protección de la Información, Áudea y Survela firman un acuerdo único e innovador en el Mercado Español.Survela, líder tecnológico en VIGILANCIA EN INTERNET rastrea continuamente Internet para localizar cualquier riesgo como consecuencia de la publicación o robo de datos confidenciales, credenciales críticas, información personal, privada o corporativa que pueden constituir una amenaza para las empresas, sus negocios o sus directivos.El Centro de Vigilancia de Survela, recopila diariamente información de millones de fuentes mediante rastreo de: noticias, foros, blogs, web oculta o “deep web”, foros “underground” o “Blackmarkets”, redes sociales, websites, etcétera. Y mediante tecnología propietaria y analistas especializados, recaba, clasifica, y valora el impacto de cualquier incidente generando alertas en tiempo real.Survela permite que las empresas y sus directivos sean conscientes sobre su nivel de Exposición y sus riesgos en Internet, mediante alertas sobre cualquier amenaza para su reputación, incluyendo difamación, incidentes publicados, crisis en redes sociales o comentarios dañinos. Saber si se han publicado documentos confidenciales o legales, fotos, videos o bases de datos protegidas que hayan podido ser expuestos. Tener información sobre si sus contraseñas han sido robadas.Survela ofrece Soluciones de alto nivel para Protección de Corporaciones cubriendo áreas como el riesgo corporativo, abuso de marca o protección de ejecutivos mediante tres niveles de Vigilancia continua:Protección de Credenciales, robo de Información Confidencial y detección de ataques o Amenazas a sus activos digitales, información sensible o bases de datos.Protección de Marca contra posibles abusos y daños reputacionales, piratería, falsificaciones. Contenidos publicados en redes sociales sobre marcas o productos, opiniones dañinas o usuarios conflictivos que pueden producir crisis y poner en riesgo su negocio.Protección de Riesgo Corporativo: Utilizando la información publicada en Internet, la frecuencia y las tendencias, es posible obtener inteligencia corporativa o de Negocio para conocer a la competencia, el mercado, saber más sobre nuestros partners, clientes y proveedores. También permite la vigilancia y protección de ejecutivos, líderes de opinión y con ello conocer mejor a sus clientes, sus competidores y su mercado.Con la firma de este acuerdo, se combina toda la experiencia que dispone Áudea tras los 13 años en el mercado prestando servicios desde las cuatro vertientes de la Seguridad de la Información (Compliance, Legal, Técnico y Formación) con los de Survela, logrando ofrecer elservicio más completo e innovador del sector de la seguridad de la información en España.https://survela.com/www.cursosticseguridad.comwww.audea.com

Robo de Contraseñas: Medidas para Evitarlo 2015-01-20

La amenaza de robo de contraseñas existe desde prácticamente, el nacimiento de la Informática.A lo largo de los años las técnicas empleadas por los atacantes han crecido en variedad y sofisticación, a la par que los sistemas de Autenticación eran cada vez más seguros y sofisticados.Ninguna contraseña puede asegurarse al 100% de ser robada. No obstante, existen prácticas preventivas que pueden reducir las probabilidades de robo de forma considerable.A continuación vamos a listar algunos puntos importantes para evitar el robo de contraseñas:Correos electrónicos sospechosos:No se deben abrir, ni contestar correos electrónicos sospechosos, pese a que los mismos sean recibidos por un remitente de confianza, o por nosotros mismos. A día de hoy, las páginas web permite ejecutar código con la simple acción de un clic para abrir un correo, lo que podría traer consigo consecuencias catastróficas, como el robo de credenciales mediante la ejecución de código malicioso.Enlaces sospechosos:Se deberá tener especial cuidado con los enlaces a webs de terceros, ya sean recibidas por correo electrónico, a través de foros u otras páginas web. Estos enlaces pueden apuntar a sitios web maliciosos, diseñados a imagen y semejanza de sitios web de confianza. Si se introducen las credenciales en estaswebs maliciosas, el atacante conseguirá nuestras credenciales de acceso.Sitios Web sospechosos:Los ataques de envenenamiento de DNS son una realidad, por lo que nadie puede fiarse únicamente de que la URL apunta a un sitio web de confianza. Deberemos disponer de barreras de protección adicionales contra malware/IDS, y disponer de las últimas actualizaciones del Sistema Operativo que permitan detectar si nuestro equipo resuelve una URL mediante un servidor DNS comprometido, lo que nos redirigiría a una página web maliciosa, diseñada a imagen y semejanza de la página de confianza, y al introducir nuestras credenciales, el atacante se haría con ellas.Formularios sospechosos en páginas web de confianzaQue utilicemos páginas web de confianza, no garantiza que nuestras credenciales estén a salvo. Dichas web no están exentas de ser comprometidas mediante ataques externos. Debido a esto, hay que estar atendo a posibles formularios sospechosos que nos soliciten datos ya introducidos, o cuyos estilos desentonen con el resto de la página, ya que podría tratarse de código incrustado por un atacante.Protocolos Inseguros:Se desaconseja autenticarse en sistemas que utilicen protocolos que no implementan mecanismos de cifrado. Estos principalmente son: Telnet, FTP y HTTP. Se recomienda realizar conexiones con sus alternativas cifradas (SSH, SFTP, HTTPS), evitando que un atacante pueda robarnos nuestras credenciales mediante ataques de “Man in The Middle”.Uso y envío de la contraseña:Por último, es necesario indicar que las contraseñas nunca deben enviarse por e-mail, ni ser intercambiadas mediante sistemas de mensajería instantánea tales como Whatsapp, Telegram, Facebook, etc..Dentro del ámbito del propio usuario, se deberá evitar apuntar las contraseñas en papeles o pegatinas accesibles por otras personas. José Fco LendínezResponsable de Seguridad TICÁudea Seguridad de la Información

Robo de Contraseñas: Medidas para Evitarlo 2015-01-20

La amenaza de robo de contraseñas existe desde prácticamente, el nacimiento de la Informática.A lo largo de los años las técnicas empleadas por los atacantes han crecido en variedad y sofisticación, a la par que los sistemas de Autenticación eran cada vez más seguros y sofisticados.Ninguna contraseña puede asegurarse al 100% de ser robada. No obstante, existen prácticas preventivas que pueden reducir las probabilidades de robo de forma considerable.A continuación vamos a listar algunos puntos importantes para evitar el robo de contraseñas:Correos electrónicos sospechosos:No se deben abrir, ni contestar correos electrónicos sospechosos, pese a que los mismos sean recibidos por un remitente de confianza, o por nosotros mismos. A día de hoy, las páginas web permite ejecutar código con la simple acción de un clic para abrir un correo, lo que podría traer consigo consecuencias catastróficas, como el robo de credenciales mediante la ejecución de código malicioso.Enlaces sospechosos:Se deberá tener especial cuidado con los enlaces a webs de terceros, ya sean recibidas por correo electrónico, a través de foros u otras páginas web. Estos enlaces pueden apuntar a sitios web maliciosos, diseñados a imagen y semejanza de sitios web de confianza. Si se introducen las credenciales en estaswebs maliciosas, el atacante conseguirá nuestras credenciales de acceso.Sitios Web sospechosos:Los ataques de envenenamiento de DNS son una realidad, por lo que nadie puede fiarse únicamente de que la URL apunta a un sitio web de confianza. Deberemos disponer de barreras de protección adicionales contra malware/IDS, y disponer de las últimas actualizaciones del Sistema Operativo que permitan detectar si nuestro equipo resuelve una URL mediante un servidor DNS comprometido, lo que nos redirigiría a una página web maliciosa, diseñada a imagen y semejanza de la página de confianza, y al introducir nuestras credenciales, el atacante se haría con ellas.Formularios sospechosos en páginas web de confianzaQue utilicemos páginas web de confianza, no garantiza que nuestras credenciales estén a salvo. Dichas web no están exentas de ser comprometidas mediante ataques externos. Debido a esto, hay que estar atendo a posibles formularios sospechosos que nos soliciten datos ya introducidos, o cuyos estilos desentonen con el resto de la página, ya que podría tratarse de código incrustado por un atacante.Protocolos Inseguros:Se desaconseja autenticarse en sistemas que utilicen protocolos que no implementan mecanismos de cifrado. Estos principalmente son: Telnet, FTP y HTTP. Se recomienda realizar conexiones con sus alternativas cifradas (SSH, SFTP, HTTPS), evitando que un atacante pueda robarnos nuestras credenciales mediante ataques de “Man in The Middle”.Uso y envío de la contraseña:Por último, es necesario indicar que las contraseñas nunca deben enviarse por e-mail, ni ser intercambiadas mediante sistemas de mensajería instantánea tales como Whatsapp, Telegram, Facebook, etc..Dentro del ámbito del propio usuario, se deberá evitar apuntar las contraseñas en papeles o pegatinas accesibles por otras personas. José Fco LendínezResponsable de Seguridad TICÁudea Seguridad de la Información

Áudea Formación, gracias al acuerdo firmado con AENOR, podrá facilitar a sus alumnos acceso a ciertas normativas 2015-01-15

Desde Áudea, queremos mejorar los servicios que ofrecemos a nuestros alumnos. Conscientes de la necesidad de disponer de determinadas normas para el adecuado aprovechamiento de la formación, hemos firmado un acuerdo con AENOR para poder poner a disposición de los alumnos licencias de revisión de los contenidos de las normas, durante la duración de la acción formativa.Los alumnos que realicen alguno de estos cursos podrán tener acceso para revisar las normas:• Curso Implantador ISO 27001• Curso Online Lead Auditor ISO 27001• Curso Implantador ISO 22301• Curso Online Lead Auditor ISO 22301Desde el momento en el que se inicia una formación y hasta la fecha en que la acción formativa finaliza, los alumnos tendrán acceso online a las normas:• UNE-ISO 22301:2013• UNE-ISO/IEC 27001:2014• ISO/IEC 27002:2013Áudea Seguridad de la Informaciónwww.audea.comwww.cursosticseguridad.com

Distopía Legal 2015-01-15

En esta mañana del mes de marzo del año 2317, se ha producido un hecho insólito.El Presidente de la República Federal de los Estados Europeos se ha presentado ante los medios de comunicación para dar esta inesperada noticia:“Europeos, hemos terminado.Después de casi 30 siglos de democracia, hemos concluido el proceso legislativo.Ya no quedan más leyes por hacer.”Con estas escuetas palabras se abre una nueva era en la que no se aprobarán más leyes… porque no hay.Según apuntan fuentes internas del Poder Lejecutivo (institucionalizado hace unos años, tras descubrirse que la separación de poderes no existía) “llevamos siglos espaciando la actividad regulatoria con la vana esperanza de que este momento no llegase”.Estas fuentes reconocen que la hiperregulación del siglo XXI fue una auténtica locura. En ese tiempo se reguló el 75% de todas las materias posibles en un tiempo record, sin ningún tipo de mesura ni orden. “No entendemos cómo nadie les paró los pies”, apuntan estas fuentes.Desde entonces, viendo que escaseaban las materias a regular, se impuso una cartilla de racionamiento. “Sólo podíamos regular 1 materia nueva al año. El resto del año teníamos que dedicarlo a revisar y perfeccionar normas ya aprobadas… Ganamos un Nobel de Literatura por la última redacción del Código Civil”.Escondidos en los aseos del Parlamento, escuchamos a un miembro del gobierno hablando con un becario: “Hicimos todo lo que se nos ocurrió. Creamos normas sólo para poder derogarlas más tarde; inventamos nuevos derechos para ciudadanos que luego recortábamos; instauramos la autoliquidación mensual de impuestos y multas bajo pena de multas mayores; incluso hicimos leyes que decían lo mismo que otras pero con otras palabras… ¿¡Qué vamos a hacer ahora!?”.La última ley aprobada, no ha sido la más relevante, ni tampoco la más original. El último capítulo de esta larguísima novela se ha limitado a proclamar el derecho fundamental de los ciudadanos a no ser mirados por encima del hombro. Los mirantes ilegales tendrán que demostrar lesiones cervicales si no quieren ser sancionados.¿Y ahora qué?Tras la rueda de prensa, el Presidente de la República ha manifestado que disolverá el Parlamento y establecerá un Comité de expertos de todas las disciplinas que se reunirá una vez cada lustro para analizar y poner en común nuevas ideas de regulación.Reacciones en la poblaciónAlgunos ciudadanos se sienten desilusionados. “Es muy injusto. Nunca entendí el afán regulatorio de nuestros representantes, pero a todo se acostumbra uno. Aunque es ilegal estudiar las normas con demasiado interés, desde que me jubilé a los 93 años, me gustaba hacerlo en la intimidad de mi hogar. Ahora sólo podré dar paseos por la calle, pero sin mirar a la gente por encima del hombro, claro”, manifiesta un ciudadano que ha preferido permanecer en el anonimato.Otros ciudadanos no terminan de creérselo “Seguro que algo se les ocurre para poder sacarnos más pasta. El tiempo lo dirá.”Y otros ya llevaban tiempo advirtiéndolo:www.europaciudadana.org/segundo-informe-de-foro-europa-ciudadana-hiperregulacion-en-la-union-europea/http://elpais.com/elpais/2013/06/09/vinetas/1370787711_144959.htmlÁudea Seguridad de la Información

La Reforma de Ley de Propiedad Intelectual y el Canon AEDE 2015-01-15

Desde el pasado 1 de enero ha entrado en vigor la reforma de la Ley de Propiedad Intelectual (en adelante LPI) que modifica algunas de sus antiguas disposiciones con el fin de proteger mas y mejor a los derechos de autor. Desde luego el legislador tenía sus razones para reformar esta ley y adecuarla al continuo progreso y el desarrollo de las nuevas tecnologías. Y así la nueva LPI establece que el que reproduzca una noticia de un medio de comunicación AEDE (por las siglas de la Asociación de Editores de Diarios Españoles) de forma sustancial o no sustancial, tendrá que pagar unas tasas. Con eso se pretendía principalmente cobrar a los prestadores de servicios electrónicos de agregación de contenidos como Google o Menéame que enlazan los contenidos a otros medios de comunicación.Desde el principio la nueva redacción de la LPI ha levantado mucha polémica. Sus detractores ponen de manifiesto su carácter recaudatorio y ambiguo que genera dudas especialmente al respecto de la utilización de los links tanto por los agregadores de noticias como por su utilización en redes sociales, blogs o en páginas web propias. El punto que ha causado una verdadera tormenta social y política es el artículo 32.2 conocido como canon AEDE o “tasa Google” (puesto que fue el motivo por el que Google ha cancelado en España el servicio de Google News).En Internet no faltan comentarios muy críticos con este tipo de “novedades” legales que crean un clima hostíl y de inseguridad jurídica para los posibles inversores de este sector, donde el gobierno y determinados y determinados grupos de presión parecen actuar como un verdadero cartel impidiendo cualquier competencia a los actuales grandes medios de comunicación. Después de la salida de Google también Menéame se está planteando abandonar su sede en España.No obstante, el cese de actividad de los agregadores de contenidos también tiene su impacto negativo, especialmente en el tráfico y la pérdida de visitas en las webs de estos medios lo que ha provocado su gran preocupación. Como se ha dicho antes el objetivo de la modificación legal fue el cobro de tasas como indemnización por utilizar el producto (noticias, entrevistas, reportajes etc.) de los medios asociados en AEDE y no a espantar a estas plataformas.En todo caso la utilización de los enlaces por los “usuarios medios” de internet, blogers, o en redes sociales etc. no debería verse muy afectada. Pero los sitios webs de las empresas o profesionales, por ejemplo los que gestionan las notas de prensa, son bastante molestos por las dudas interpretativas de esta norma. Parece claro que tal y como ya lo dispone la LSSI y abundante jurisdicción, quedan prohibidos los links que podían causar perjuicios de los derechos o intereses de terceros si se incluyen en las webs con conocimiento efectivo del administrador.La novedad que introduce la LPI en este sentido es que, está terminantemente prohibido comunicar públicamente el contenido, es decir citar o extraer literalmente un texto de medios de comunicación AEDE. Estos contenidos pueden encontrarse en cualquier medio, los periódicos, revistas, incluso en sus blogs. Pero en principio estaría permitido poner links (sin ninguna cita literal) en artículos propios y originales, aunque fuesen basados en los de otros medios. Además, varias sentencias del Tribunal de Justicia de la Unión Europea han confirmado que para enlazar a un recurso disponible en internet no es necesario solicitar permiso a su titular de derechos siempre que se facilite el acceso al mismo “mediante el mismo método técnico utilizado originariamente” y “que no se dirija a un público nuevo o diferente al pretendido por el titular de derechos”. De todos modos cierta confusión puede crear el hecho de que en la actual LPI no se especifica qué es un contenido mínimo, por ejemplo, el link a un titular se podría considerar un fragmento no significativo…?En cuanto a las redes sociales, éstas de momento estarían exentas del pago de las tasas AEDE porque los responsables de compartir esos contenidos son los propios usuarios que no obtienen por este motivo ningún beneficio o ingreso a cambio. No obstante, queda bastante confusa la cuestión de cómo se trataría a las empresas que utilizan estos canales para las acciones comerciales y publicitarias. La actual redacción parece dejar las puertas abiertas para que en el futuro se pueda cobrar a las empresas que utilizan las redes sociales.En resumen, las últimas modificaciones de la LPI requieren aún bastantes especificaciones. Por lo que en las recientes intervenciones, el gobierno ha intentado calmar los ánimos, recalcando que algunos de los artículos reformados entrarán en vigor paulatinamente y dando a entender que aún es posible renegociar la interpretación definitiva de las nuevas disposiciones legales, incluso se ha pedido la mediación de las autoridades comunitarias para resolver esta situación.Áudea, Seguridad de la InformaciónKarol SedkowskiConsultor Legalwww.audea.com

Seguridad de la Información y el Cibercrimen 2015-01-15

Como hemos podido ver a lo largo del 2014 los ataques por parte de los cibercriminales, más comúnmente denominados hackers, se han sucedido continuamente.Por ello se ha convertido en una de las principales preocupaciones, tanto para las empresas como para los usuarios que usan dispositivos conectados a internet, ya que no solo introducen virus sino que roban información que, o bien es difundida, o bien es usada como forma de chantaje para conseguir un beneficio principalmente económico.De todos estos problemas surge la necesidad de velar por la información, sobre todo para las empresas que pueden llegar a tener serios problemas ya que manejan una importante suma de datos personales de clientes.Podemos tomar algunos ejemplos para darnos cuenta de la importancia de una buena seguridad de nuestros datos:El más reciente y polémico es el ataque a Sony Pictures a finales de noviembre de 2014, donde se paralizaron los equipos informáticos y además se robó información.Otros ataques, que son cada vez mas frecuentes, son los ataques a bancos y hospitales, debido a que albergan información muy valiosa. Como el sucedido el año pasado a JP Morgan Chase donde se robaron masivamente datos de cuentas bancarias.Y no podemos terminar esta nota sin nombrar al que se denominó el fallo informático del año, el Heartbleed. Este error, que se encontró en OpenSSL encargado de proteger la privacidad en Internet, dejaba desprotegidos datos sensibles como contraseñas, correos, etc… permitiendo el acceso a estos datos sin dejar rastro.Y no solo surgen problemas por ataques externos, a veces los propios empleados o usuarios, al no estar al tanto de esta amenaza o la importancia del correcto manejo de los datos, ponen en peligro la seguridad. Por ejemplo lo sucedido en unas clínicas de aborto en Zaragoza, donde dejaron historiales clínicos en la basura en vez de destruirlos correctamente, o el partido sevillano de Ganemos, que publicaba los datos personales de todos los que firman su manifiesto político sin informar previamente de su tratamiento ni contar con el consentimiento expreso de los afectados.Y así sucesivamente, podríamos comentarles numerosos ejemplos de fallos de seguridad, mala gestión en protección de datos, etc…Por ello, la concienciación en estos temas es de vital importancia ya que no solo afecta a nuestra información personal sino que supone una gran perdida económica, de tiempo y de imagen para la empresa que se haya visto afectada.Esto va ligado a la importancia de inversión en seguridad y en formación de los empleados para la prevención de un fallo o en su defecto, una vez que se haya producido el ataque, tener las medidas y recursos necesarios para poder resolver, lo antes posible, el ataque.Áudea Seguridad de la Informaciónwww.audea.comwww.cursostic.com

El Control de los Recursos Online 2015-01-15

Las empresas han invertido mucho dinero y esfuerzo en controlar los recursos a los que sus empleados tienen acceso. Y de hecho, en gran número de empresas, se ha conseguido concentrar todos los recursos internos a través de un directorio activo, de forma que el control de estos recursos queda totalmente centralizado.Sin embargo, cada día, la tecnología brinda a las empresas nuevas oportunidades. Sean páginas web, redes sociales, apps, o servicios en la nube, las empresas llevan años buscando el negocio y explorando las nuevas e incesantes funcionalidades de Internet.En general, estos recursos online están sometidos al cumplimiento de ciertas normas, como por ejemplo, la LOPD y la LSSI, que exigen un control por parte de la empresa de las operaciones que se realizan a través de este recurso.Sin embargo, cada vez resulta más preocupante la falta de control e incluso de conocimiento que existe en grandes compañías y empresas (incluso públicas) sobre los recursos online de que dispone.De hecho, resulta complicado obtener un inventario de recursos online en muchas empresas,lo cual dificulta en gran medida poder verificar el cumplimiento de la normativa vigente en dichos recursos.Analicemos un par de ejemplos reales:Departamentos que abren cuentas en servicios online para uso común (pensemos en servicios de alojamiento en la nube, o herramientas de selección de personal, como los casos más habituales)Intrínsecamente, este tipo de servicios no suponen un incumplimiento de la normativa española. De hecho, algunas ofrecen garantías de cumplimiento de la normativa europea.Sin embargo, una falta de control puede hacer que un empleado del departamento sea despedido, pero conserve el acceso a la cuenta departamental de este servicio de alojamiento.En caso de alojarse datos personales, tendríamos un incumplimiento grave de la normativa de protección de datos.Departamentos que crean webs o apps sin contar con el necesario asesoramiento jurídico.Todas las webs y apps empresariales (sean comerciales, informativas, transaccionales, o de cualquier naturaleza), deben cumplir con ciertas obligaciones de la LSSI; fundamentalmente, identificar debidamente al responsable del recurso.Pero además, es necesario analizar si hay comercio electrónico, si existen cookies sometidas a las obligaciones de información y consentimiento previo, si existe recogida de datos personales, si se pretenden obtener datos con fines publicitarios, si se trata de un servicio dirigido a menores de edad, si hay concursos o sorteos que deban ser regulados, si se están creando nuevos ficheros etc.Siempre será recomendable contar con un buen asesoramiento jurídico antes de sacar un nuevo servicio online.Por cada servicio o recurso online, se nos podrían ocurrir un gran número de riesgos a tener en cuenta, pero el mayor riesgo es no saber lo que tienes.De hecho, la propia naturaleza de los servicios o recursos online “choca” con la burocracia interna que permite el control necesario para garantizar el cumplimiento de la normativa.Y, también, la propia naturaleza de estos recursos, exige su constante actualización y renovación, que puede provocar nuevas cargas legales que no existían al inicio del proyecto.Por todo ello, aunque resulte incómodo, lento, o pesado, es necesario invertir en el control interno de los recursos online, tanto en su creación, como en su mantenimiento. De lo contrario, nunca sabremos lo que tenemos.José Carlos MoratillaResponsable del Departamento LegalAudea Seguridad de la Información, S.L.

El Robo de Información Confidencial: Amenaza Principal del 2015 2015-01-15

Según el estudio realizado por Sophos en el Informe de Predicciones de Seguridad (2015), destaca el hecho del impacto creciente que están alcanzando y alcanzará durante el presente año 2015 el robo de información confidencial mediante un ataque de intrusión.Tras un cierre de año 2014 con grandes fugas de información (ver casos de HTC, Coca-Cola, Home Depot o SONY), 2015 se presenta como un gran reto para la industria de la Seguridad de la Información, que tendrá que hacer frente a estos robos informáticos impulsando sus tecnologías de seguridad y cifrado de datos. Además, el informe de Sophos destaca la brecha de conocimiento existente entre los fabricantes de seguridad y los administradores a nivel de IT, lo que hace que sea cada vez más complicado encontrar personal debidamente cualificado capaz de encargarse de forma eficiente de la seguridad informática de la empresa.La educación y la formación serán claves para hacer frente a este problema, por ello varias universidades nacionales ya disponen de Másters en Sistemas de Gestión y Seguridad de la Información.Igualmente, es necesario llevar a cabo una concienciación de la vital importancia de la información confidencial, e implantar medidas que protejan los sistemas ante copias masivas de datos o ataques telemáticos no autorizados. Recientemente, un Juzgado de lo Penal (España) ha condenado a tres años de prisión y a una multa de 6.000,00 EUR a un ingeniero por haber sustraído información confidencial de la empresa en la que trabajaba para emplearla en otra compañía de la competencia a la que se incorporó posteriormente.Según ha estimado la Juez en la sentencia, la documentación sustraída era “de vital importancia para la mercantil, y por tanto, de secreto de empresa, pues resulta de gran utilidad para las empresas de la competencia y, sobre todo, para una de nueva creación”. Asimismo, la magistrada recuerda que ya en una sentencia del año 2008 el Tribunal Supremo dejó claro que las listas de clientes han de considerarse secreto de empresa.Volviendo al tema reciente de SONY, actualmente no se tiene nada claro el contenido de la información confidencial robada, ya que obviamente no se ha dado a conocer públicamente, aunque la compañía ni siquiera ha realizado un comunicado oficial con respecto a los ataques sufridos, probablemente debido al contenido sensible de los mismos.La que sí ha sido comprometida y anunciada de forma pública ha sido la Intranet corporativa de SONY Entertainment Network, y por ello algunas fuentes internas anónimas, anunciaron a ‘The Next Web’ que los empleados de SONY habían sido enviados a casa, aunque se les había prohibido el acceso remoto a la plataforma de la compañía.De cara a establecer medidas que eviten el robo de información confidencial, la Comisión Europea ha propuesto una serie de nuevas normas de protección de la información comercial y los conocimientos técnicos contra su adquisición, su utilización y su divulgación ilegales. La propuesta de la Comisión introduce una definición común del concepto de “secreto comercial” así como de mecanismos a través de los cuales las víctimas de la apropiación indebida de información confidencial pueden obtener reparación, tal y como se desprende de la información ofrecida por la Delegación del Consejo General de la Abogacía Española (CGAE) en Bruselas.Áudea Seguridad de la Información

OFICINA DE SEGURIDAD: El nuevo servicio de Áudea 2014-12-18

El servicio de Áudea Oficina de Seguridad, va dirigido a aquellas organizaciones que preocupadas por la seguridad, abordan proyectos que generan un gran volumen de trabajo tanto de consultoría, como de gestión, organización y de operación y que cuentan con recursos limitados para conseguir sus objetivos en cuanto a seguridad se refiere.Los beneficios principales que su empresa obtendrá por de contar con nuestra Oficina de Seguridad de Áudea serán: Reducción en los costes y Especialistas en Seguridad a su disposición.A parte de muchos otros como:Flexibilidad y alineamiento continuo con los objetivos del negocioOptimización de los procesos relativos a la función de seguridadSoluciones inmediatas a las necesidades del clienteCompromiso de cumplimiento de los objetivos y planning establecidos con el clienteExpertos especializados en todas las materias relacionadas con SeguridadRetorno de la inversión: mayor seguridad, efectividad, disminución de riesgos y costes no esperadosFoco interno en los objetivos de negocioPara la implantación de esta Oficina de Seguridad pasará a través de dos fases:Fase de Análisis, donde se da a conocer la situación actual, se define el modelo de servicio a implantar, se generan los procedimientos operativos y se planifica la implantación.Fase de Implantación, que se subdivide en;Fase Piloto: Se implanta el servicio para secciones específicas y se mide el desarrollo del mismoFase de Ajuste: Se realizan las mejoras detectadas para la correcta prestación del servicioFase Implantación: Se implanta el servicio a todo el departamentoAdemás, este servicio le proporcionará:Gestor del Servicio, que se encargará de estudiar conjuntamente los objetivos y resultados con el clienteServicios Áudea de Seguridad como Consultoría, Arquitectura, Auditoria, Seguridad gestionada y FormaciónResolución de la solicitud con documentación personalizadaSeguimiento del servicioPara más información puedes ponerte en contacto con nosotros a través del teléfono 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Nuevo Curso de Seguridad de la Información para Directivos 2014-12-18

La concienciación y el aprendizaje en seguridad de la información es fundamental para la estrategia de seguridad de la información de cualquier organización y sus operaciones de seguridad asociadas, por lo tanto, es preciso educar a los Directivos en lo que su organización considera un comportamiento apropiado y consciente de la seguridad y también informarles sobre prácticas recomendadas de seguridad que se deben adoptar en la actividad laboral diaria.En este nuevo Curso Seguridad de la Información para Directivos podrá conocer los principales conceptos y responsabilidades a las que se enfrenta la Dirección, al ser la dirección de una organización personal clave para el desarrollo de una estrategia de seguridad de la información. Por ello aprenderá a asumir las responsabilidades, predicar con el ejemplo, y dotar de suficiente liderazgo al principal o principales responsables en esta materia.Si es director o gerente échele un vistazo a nuestro temario.Para más información puede ponerse en contacto con nosotros a través de 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Nuevo Curso: Concienciación en LOPD para Personal Sanitario 2014-12-18

La protección de los datos personales se basa en la defensa de un derecho fundamental de todas las personas, el derecho a la intimidad. La intimidad a la que todos tenemos derecho en nuestros gustos, relaciones, aficiones, creencias y en definitiva, en la forma en que vivimos nuestra vida. Es un derecho de todos y que nos implica a todos. Todos somos responsables del respeto de la privacidad ajena, siendo fundamental concienciarse de que el respeto de nuestra privacidad implica el respeto a la de los demás.Por ello hemos creado el curso Concienciación en LOPD para personal sanitario, ya que este es un sector en el que se tiene que tener especial cuidado con datos personales y es de una gran importancia formar a todo el personal y concienciarles en materia de protección de datos.Cuando acabe de realizar este curso será capaz de;Identificar y clasificar los datos personales en el ámbito sanitario.Conocer las figuras legales existentes.Conocer las medidas de seguridad aplicables a los datos sanitarios.Conocer nuestros derechos como dueños de nuestra información.Conocer nuestras funciones y obligaciones como usuarios con acceso a datos personales en el ámbito sanitario.Conocer las figuras legales existentes y obligaciones como Responsable de Fichero.Para más información puede ponerse en contacto con nosotros 91 745 11 57.www.audea.comwww.cursosticseguridad.com

Guía de Evaluación de Impacto en la Protección de Datos Personales (Privacy Impact Assessment) 2014-12-18

La revolución tecnológica de la que somos partícipes, es la causa de que se tengan que utilizar herramientas más útiles en la privacidad desde el diseño y durante todo su ciclo su vida.Como consecuencia, el pasado 29 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó una guía para una Evaluación de Impacto en la Protección de los Datos personales (en adelante, EIPD). En su desarrollo se ha querido contar con la opinión de la sociedad gracias a las aportaciones de ciudadanos y empresas que participaron en la consulta pública del primer borrador.Actualmente, en España no existe una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque de ser aprobado el Reglamento General de Protección de Datos para la Unión Europea, en su artículo 33, establece que sí será de carácter imperativo el llevar a cabo un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de los datos de los afectados y así afrontar y gestionar esos peligros mediante la adopción de las medidas necesarias para eliminarlos o corregirlos.Este análisis es aconsejable realizarlo en las etapas iniciales, para identificar los posibles riesgos y corregirlos anticipadamente, y poder así influir en el resultado del proyecto, de esta forma evitamos costes derivados de descubrirlos a posteriori, así como el posible daño reputacional de la empresa.Es importante destacar que las EIPD, en España no son herramientas conocidas, a pesar de que ésta medida podría entenderse prevista en el apartado 22 de los Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resolución de Madrid de 5 noviembre de 2009), que fueron adoptados durante la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, cuyo texto relativo a medidas proactivas, hace referencia a “la puesta en práctica de estudios de impacto sobre la privacidad previos a la implementación de nuevos sistemas y/o tecnologías información destinados al tratamiento de datos de carácter personal”. Sin embargo, estas herramientas sí que están plenamente asentadas en países como Reino Unido con su Privacy Impact Assessment Handbook versión 2.0.El objetivo de la AEPD con la publicación de esta guía consiste en que todas aquellas empresas que tratan datos de carácter personal además de cumplir con la LOPD deben aplicar a sus políticas de privacidad nuevos enfoques proactivos con el fin de proteger los derechos de los ciudadanos.Este marco de referencia permite demostrar a las empresas que se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales relativas a la protección de datos, si bien, no exime de responsabilidades en caso de vulneración de la normativa.La realización de una EIPD puede suponer una ventaja competitiva entre organizaciones que la apliquen, ya que es un excelente ejercicio de transparencia, ayudando a mantener una relación de confianza con sus clientes al indicar de forma clara y accesible los fines para los que se tratan datos personales. Asimismo, a nivel interno dentro de la propia organización, permite educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.¿Qué requisitos mínimos debe tener una EIPD? Resumiendo la propia guía destacamos los siguientes: Debemos elaborar una descripción general de las operaciones de tratamiento que llevemos a cabo, en segundo lugar, un análisis de los riesgos para los derechos y libertades de los ciudadanos, en tercer lugar, identificar las medidas para hacer frente a estos riesgos así como las garantías, y por último, establecer medidas de seguridad y mecanismos que garanticen la protección de datos personales.En la Guía se señalan situaciones recomendables para realizar una EIPD, entre las que figuran las siguientes: cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización, o cuando se traten grandes volúmenes de datos a través de sistemas como el Big Data , internet de las cosas, o las Smart Cities, o siempre que se realicen cambios en los procesos (como por ejemplo recoger nuevas categorías de datos, la ampliación de las finalidades para las que fueron recogidos, entre otros ) o por último cuando se vayan a utilizar formas de contacto con los afectados que se podrían considerar especialmente intrusivas.La AEPD establece unas fases principales a la hora de llevar a cabo una EIPD, cuyo resultado puede verse en la siguiente imagen:*ver imagen en la web (http://www.audea.com/guia-de-evaluacion-de-impacto-en-la-proteccion-de-datos-personales-privacy-impact-assessment/)En definitiva, nos encontramos con una publicación de especial impacto, valga la redundancia, con gran relevancia ya que la Privacidad y la Protección de Datos deben ser un valor a tener en cuenta en cualquier entidad, tanto pública como privada.Departamento LegalÁudea Seguridad de la Información.

La Calidad es lo Primero 2014-12-18

Creo que todos compartimos la máxima de que cuando adquirimos un producto o contratamos un servicio lo que más nos interesa es la calidad del mismo, siendo aplicable tanto a nivel personal como a nivel de empresa. Y es que cuando hablamos de calidad lo entendemos como algo que vale la pena, que cumple las expectativas y que en definitiva cubre las necesidades que nos hicieron adquirir o contratar el producto o servicio.Trasladando la situación al mundo empresarial, la contratación o externalización de algún servicio debe ser considerado como una iniciativa que desde el punto de vista económico, de productividad, experiencia, eficacia y organización debe ofrecer unas garantías adecuadas de confianza y resultados, lo que podríamos identificar como la calidad del servicio.Pues bien, la prestación de servicios de consultoría y auditoría de protección de datos y seguridad de la información no es ajeno al resto de servicios en cuanto a las necesidades y expectativas que genera, por lo que la calidad debe ser pieza fundamental a la hora de valorar la contratación. De hecho son servicios que por su naturaleza demandan conocimientos muy específicos y especializados y que deben ser adaptados y actualizados a la realidad continuamente cambiante sobre la que se centran, por lo que la decisión de elegir la empresa que lleve a cabo la prestación de estos servicios no debe ser una elección realizada a la ligera.Teniendo claro lo anterior, el mayor peligro a la hora de contratar estos servicios es dejarse arrastrar por la tentación de un precio barato. Pueden existir autónomos o que por un módico precio aseguren que con la elaboración de un informe más o menos tipo, la inscripción de unos ficheros estándar y un documento de seguridad (cuyo contenido compartes al 99% con el resto de empresas a las que haya adecuado dicho consultor, ya seas una floristería, una clínica o un fabricante de aviones…), todo ello en un tiempo record, es suficiente para cumplir con la Ley y que ya puedes olvidarte de preocupaciones para siempre, que la AEPD nunca podrá tocarte. Nada más lejos de la realidad…La prestación de servicios de adecuación, consultoría y seguimiento a la LOPD requiere un estudio serio y pormenorizado de procesos que cubran la realidad y día a día de una organización tanto en su conjunto como de forma departamental, todo ello requiriendo unos tiempos de estudio, dedicación y elaboración que dependerán de cada cliente, resultando en una documentación personalizada y que responde a las verdaderas necesidades de la empresa. Y es que un servicio verdaderamente especializado no sólo esta dirigido al cumplimiento básico de la Ley, sino a una mejora de los procesos de la empresa, generando una seguridad y confianza que deriva en un valor añadido ofertado a sus clientes. Es por todo lo anterior por lo que hay que huir de los cantos de sirena que ofertan adecuaciones exprés, realizado por personal no especializado y que convierten un servicio de adecuación o consultoría LOPD en un servicio residual dentro de un paquete de servicios más amplio.La prestación de unos servicios que influyen de forma directa en la seguridad de los activos de información, el cumplimiento de una Ley (con sanciones económicas considerables) y que repercuten de forma directa en la imagen de la empresa, no deben ser objeto de negociación.La calidad debe ser un requisito indispensable.Departamento LegalÁudea Seguridad de la Información

Audea - Sensibilización del personal para el cumplimiento de la LOPD 2011-07-08

Dentro del marco normativo de la Unión Europea, deriva un imperativo legal que se basa en el cumplimiento de la ley de protección de datos y su reglamento de desarrollo, lo cual se encuentra bajo el control de la AEPD (Agencia Española de Protección de Datos) que, con personalidad jurídica propia y potestad sancionadora, puede definirse como el órgano encargado de controlar las previsiones y mandatos de ésta normativa. Es muy importante que las empresas formen al personal que tenga manejo de información de carácter personal, para adecuado manejo de la misma y optimizar la seguridad. Para ello es imprescindible diseñar una metodología que contenga planes de ejecución, evaluación y por su puesto, mejoras en cuanto a los contenidos, sobretodo si es en modalidad presencial, pero también para formaciones online y mixta Una forma eficaz de conseguir acciones formativas eficientes es contar con un material de formación, adaptado a la necesidad particular del cliente. Desde Áudea planteamos la realización de las jornadas en dos partes, una general de carácter personal, donde se ponen en manifiesto los aspectos fundamentales de la normativa vigente de LOPD-LSSI; y otra, si se quiere, más específica, donde se exponen las peculiaridades fundamentales características de la empresa poniendo además, especial interés en formar a los participantes en todos los aspectos que la empresa considere oportunos. En conclusión, ésta metodología permite una serie de beneficios corporativos partiendo inicialmente por alcanzar una cultura de seguridad indispensable para un buen manejo de la información, seguido de un exhaustivo análisis y evaluación situacional de la normativa de la ley de protección de datos de carácter personal evitando, de esta manera, la imposición de sanciones, costes legales y responsabilidades que lejos de aumentar, disminuye la confianza y el respeto de nuestra empresa frente a terceros Áudea Seguridad de la Información Departamento de Comunicación Eugenia Moreau González www.audea.com

Ir arriba
Más Buscados en tu móvil
Más Buscados en tu móvil
Ahora todos pueden utilizar el portal desde su dispositivo de telefonía móvil con las mismas aplicaciones que en la web.
Nuevo blog
Sección de noticias y eventos
Acceda a la sección de noticias de nuestro portal. Novedades para empresas y usuarios de Internet en general.
Trabajar con nosotros
Trabajar con el Portal
Más Buscados está en búsqueda de agentes de ventas (Marketing - Comunicación - Publicidad).
Síganos en:
Reciba nuestro Newsletter mensual