Todas las entradas de calidoso

Actualización Iso20000-1:2018

La ISO 20000-1 es la norma de sistema de gestión de servicios de TI más reconocida a nivel internacional.

Esta norma especifica los requisitos y procesos para apoyar la gestión del ciclo de vida de los servicios de TI, incluyendo la planificación, el diseño, la transición, la entrega y la mejora de los servicios.

ISO 20000-1:2018

La nueva edición de la norma ISO 20000-1:2018 se publicó el 30 de septiembre de 2018.

El principal cambio de la ISO 20000-1:2018 respecto a la versión anterior de 2011 es su total reestructuración debido a la adopción de la estructura de alto nivel, el marco común para las normas de sistemas de gestión ISO.

Si desea conocer todos los cambios en detalle de la norma ISO 20000-1:2018, contáctanos.

Pasos recomendados para realizar la transición

Entender el contenido y los requisitos de la nueva norma.
Formar y concienciar a las personas acerca de estos nuevos requisitos y los cambios clave.
Identificar las brechas a abordar para cumplir los nuevos requisitos y establecer un plan de adecuación a los mismos.

Calendario de transición

El periodo de transición es de 3 años a partir del 30 de septiembre de 2018.

Todos los certificados acreditados ISO 20000-1:2011 dejarán de ser válidos a partir del 29 de septiembre de 2021.

A partir del 29 de marzo de 2020 las entidades de certificación han dejado de realizar auditorías iniciales y de renovación según la versión 2011 de la norma.

Te podemos apoyar a través de los siguientes servicios:

Consultoría en la que acompañamos a la empresa en todo el proceso de adecuación a los nuevos requisitos y aquellas áreas de mejora que se identifiquen.
Diagnóstico o auditoría en el que evaluamos el sistema de gestión con respecto a los requisitos de la nueva edición de la norma e identificamos las brechas que deben abordarse. Esto proporcionará información útil para el proceso de cumplimiento de la nueva norma. El nivel de detalle de esta evaluación puede adaptarse a las necesidades de la organización.
Formación y acompañamiento tipo coaching cuyo objetivo es proporcionar una visión detallada del contenido, los cambios y los pasos necesarios para la transición. Se trata de cursos modulares en los que el nivel de detalle puede adaptarse a las necesidades de la organización.

Gigantes tecnológicos firman pacto sobre ciberseguridad en París

El lunes 12/Nov/18, en el marco del Foro de Gobernanza de Internet en París, Microsoft, Facebook, Google, IBM y HP respaldaron el acuerdo. anunciaron su respaldo al “Llamado de París a la confianza y la seguridad en el ciberespacio”, que busca unir a gigantes tecnológicos y gobiernos para luchar contra la manipulación de elecciones y la piratería de software.

El documento, que tiene como objetivos evitar que actores extranjeros interfieran con las elecciones y que las empresas privadas estén envueltas en delitos cibernéticos, tiene el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados. Los Estados Unidos no es uno de ellos.“Es una oportunidad para que las personas se reúnan en torno a algunos de los principios clave: en torno a la protección de civiles inocentes, en la protección de las elecciones, en la protección de la disponibilidad de Internet en sí. Es una oportunidad para promover eso a través de un proceso de múltiples partes interesadas ”, advirtió Brad Smith, presidente y director legal de Microsoft.En el evento países como los Estados Unidos, Rusia, China, Irán, Israel y el Reino Unido optaron por no firmar el acuerdo.

Más información aqui

Colombia es el país más atacado por ciberextorsión en Latinoamérica

La firma de ciberseguridad Eset informó que en 2018 Colombia ha sido el país de Latinoamérica con el mayor número de casos de ataque cibernéticos de secuestro de información, mejor conocidos como ‘ransomware’ o ciberextorsiones.Según los sistemas de detección de la firma eslovaca, Colombia registra 28 por ciento de los casos, seguido por Perú (17 %), México (15 %), Brasil (11 %), Argentina (9 %), y más atrás con el 4 por ciento, Chile, Ecuador y Venezuela. “Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.Precisamente, ese virus informático lideró el número de detecciones en el país suramericano, con el 79 por ciento de los casos, seguido por otros ‘ransomwares’ como TeslaCrypt con el 4 por ciento y Locky con el 2 por ciento.

Crysis estuvo durante 2017 en el top 5 de las ciberextorsiones más detectadas en Latinoamérica y causó “grandes pérdidas de datos en la región y a nivel mundial”, según la compañía.

Eset alertó en julio que una nueva campaña de Crysis se propaga a través de correo electrónico, especialmente en países como Brasil, México, Colombia, Argentina y Perú.

En Colombia, el virus se propagó con un correo que pedía al usuario el pago de una deuda a través de una empresa de cobranzas “con un supuesto archivo PDF que en realidad era un ‘link’ para descargar el ‘malware'”, dijo Porolli.

Una vez la ciberamenaza ingresa en los ordenadores, se encriptan los datos de sus víctimas, como los demás virus de esta misma familia, y luego exige con un límite de tiempo el pago de un rescate para recuperar la información. Dichos pagos, por lo general se manejan por medio de una moneda virtual.

De acuerdo con los datos de Eset, Latinoamérica representa el 13 por ciento de las detecciones de ‘ransomware’ en el mundo y Estados Unidos sigue siendo el principal blanco de esta amenaza, con el 9,5 por ciento de los casos internacionales.

Más información aqui

Proyecto de Ley de Modernización del Sector TIC

Con la promesa de cerrar las brechas digitales, aumentar la eficiencia institucional e incrementar la inversión, la ministra de las Tecnologías de la Información y las Comunicaciones (TIC), Sylvia Constaín, radicó el miércoles 18 de septiembre de 2018, ante el Congreso de la República, el proyecto de ley de modernización del sector TIC.

La iniciativa plantea la aspiración del Gobierno de Iván Duque de lograr una Colombia ‘moderna’ y conectada al ciento por ciento.

Para alcanzar este objetivo, el proyecto está enmarcado bajo de la política ‘El futuro digital es de todos’, presentada por primera vez en agosto durante la 33.ª edición del Congreso Andicom. Su pilar es precisamente la consolidación de un matrimonio entre el sector público y privado.

El Ministerio TIC ha reiterado que esto ayudaría a aumentar la competitividad y a garantizar el acceso a de las TIC en las poblaciones rurales.

Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos

Con este proyecto, que pretende actualizar la Ley 1341 de 2009, que es la norma marco del sector TIC, se espera que se garanticen los recursos para la generación de contenidos y aplicaciones de interés público, se cree un regulador único y se aumenten las licencias de uso del espectro.

“Es un proyecto ambicioso que reconoce que Colombia viene en un momento en el que las inversiones en el sector han venido bajando.  Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos, promover la apropiación de la tecnología para crear condiciones de mejoramiento de la calidad de vida de los colombianos con un enfoque especial en aquellos colombianos que están alejados”, dijo Constaín.

Por su parte, Alberto Samuel Yohai, presidente  de la Cámara Colobiana de Informática y Telecomunicaciones (CCIT), señaló: “Con un regulador único se eliminarán las confusiones existentes entre entidades para una mayor seguridad jurídica en el sector. De otro lado veo un incentivo a la inversión privada, pues las concesiones para los operadores de comunicaciones pasarían de 10 a 30 años, lo que traerá última tecnología, empleo y mayor bienestar”.

Estas son las claves de la iniciativa:

Espectro radioeléctrico

La cartera de las TIC ha hecho énfasis en que uno de los principales objetivos de esta política es aumentar la certidumbre jurídica en el país. En este sentido, se plantea que la asignación del espectro radioeléctrico quede a cargo solamente del Ministerio TIC (hoy lo puede hacer también la Autoridad Nacional de Televisión, ANTV).

El Gobierno dice que con esta medida se ayudaría a alcanzar la meta de masificar la conectividad y especialmente garantizar la conexión de última milla que permitiría que internet llegue no solo a las cabeceras municipales de las ubicaciones más alejadas del país sino también a colegios, hogares, hospitales y negocios.

En este punto también se plantea que el periodo de los permisos para el uso del espectro sea hasta por 30 años y no solamente 10, como está establecido actualmente. Según el MinTIC, el periodo actual es un tiempo muy corto para recuperar la inversión por lo que al ampliar las licencias el país quedaría en una posición más atractiva.

Tasa única para los operadores

Para hacer más eficiente el pago de contraprestaciones por el uso del espectro se definirá una tasa única de contraprestaciones para los operadores que acabaría con las diferencias y garantizaría la inversión por parte de estas compañías. El Ministerio TIC definirá el valor de la contraprestación periódica en máximo seis meses después de la promulgación de la ley y se revisará cada cuatro años.

Según el proyecto, esa  contraprestación será fijada mediante resolución por el Ministro basándose en criterios de fomento a la inversión así como otros aspectos como el ancho de banda asignado, número de usuarios potenciales, disponibilidad del servicio y planes de expansión y cobertura.

Fondo Único

La creación de un Fondo Único de TIC, que resultará de la unión del Fondo de Tecnologías de la Información y las Comunicaciones (FonTIC) y el Fondo para el Desarrollo de la Televisión y los Contenidos (FonTV), es una de las estrategias con las que el Gobierno espera cerrar la brecha digital. De acuerdo con el MinTIC, al existir dos fondos se genera incertidumbre jurídica y muchas veces los proyectos se estructuran desarticuladamente lo que hace que se reduzca su impacto

Al unificarlos, dice el Gobierno, se incrementará la eficiencia en el recaudo y la inversión en materia de cobertura.

Fortalecimiento de la televisión y la radio pública

Pero, ¿cómo se garantizarían los recursos para la televisión? La iniciativa apunta a que los recursos que se han destinado normalmente entre el 2012 y 2017 para la televisión pública se mantendrían con un incremento anual y habría unos recursos adicionales destinados a la creación de contenidos multiplataforma de interés público y social. La idea es que esta inversión llegue especialmente a las escuelas públicas en las zonas apartadas del país.

Regulador Único y modernización institucional

El Gobierno plantea la creación de un regulador único del sector TIC que se encargaría de todo lo relacionado con televisión, Telecomunicaciones, Internet y Radiodifusión Sonora. Actualmente existen dos entidades que cumplen esta labor por separado: la Comisión de Regulación de Comunicaciones (CRC) y la Autoridad Nacional de Televisión (ANTV). Al unificarse la entidad, dice el MinTIC, se generaría mayor certidumbre en el sector y por lo tanto se lograría una mayor modernización institucional. Sin embargo, la imposición de sanciones quedaría a cargo solamente del Ministerio de las TIC por lo que sería la única entidad con la facultad de vigilancia y control.

Este regulador tendría cinco comisionados con periodos fijos de cuatro años y se financiaría con una tasa regulatoria que está definida en la ley, tal y como se ha venido haciendo.

“Creamos un regulador único para el sector que reconoce que la televisión, la radio y las telecomunicaciones son realmente sectores que están uniéndose en uno, y como tal para ofrecerle al sector privado incentivos en términos de claridad jurídica tanto normativa como institucional”, agregó Constaín.

Más información aqui

La Ciberseguridad en el mundo

La seguridad de los datos en línea se ha convertido en uno de los mayores desafíos de nuestro tiempo.

Durante el último Mundial de fútbol, las autoridades rusas encargadas de garantizar la seguridad, neutralizaron más de 25 millones de ciberataques, según informó el propio presidente, Vladimir Putin.

El volumen de ataques contra la seguridad de los ciudadanos, los estados y las instituciones se desconoce, sobre todo, si se contemplan las actividades de un espacio ‘on line’ para el crimen organizado, donde se producen contactos que no pueden ser monitorizados y donde las transferencias, tanto de mercancía como de pagos, son prácticamente imposibles de rastrear. Es la Deep Web, donde se ubica todo contenido que no es indexable por los buscadores habituales como Yahoo!, Google o Bing.

Nuevos riesgos

Con la aceleración de la transformación digital los cambios que experimenta la sociedad son muy profundos. El creciente uso de dispositivos electrónicos está facilitando las tareas cotidianas (comprar ‘on line’, operar con nuestro banco, o reservar un hotel) pero, por otra parte, se generan numerosos riesgos, lo que obliga a buscar soluciones para mantener a raya las actividades delictivas mediante  sistemas de protección informática y con especialistas formados o contratados especialmente para esta tarea. Hoy el robo y utilización fraudulenta de datos ‘on line’, algo que poco tiempo atrás era desconocido, se ha convertido en un reto complejo y en un problema.

En esta coyuntura va tomando forma una figura fundamental como respuesta a las nuevas necesidades de protección. Para crear redes informáticas más seguras y proteger a instituciones y empresas, su producción, sus datos y sus clientes ha surgido el ‘hacker’ ético, un perfil que actualmente está muy demandado.

Nuevos actores

Un ‘hacker’ puede hacerle la vida imposible a una persona, comprometer hasta las raíces el prestigio de una empresa o convertirse en un enemigo para un país entero. Pero no todos buscan hacer daño. Hay los que buscan frenar las acciones de los delincuentes del ciberespacio, son los ‘hackers’ éticos cuyo objetivo es proteger al mundo de los ‘malos’ de la era digital.

La lista de delitos cibernéticos es cada vez más larga: robo de identidad, secuestro de sitios web, ataque a los servidores de las empresas, robo de información confidencial, sustracción de información y contraseñas de los clientes de un banco, infección del sistema informático de un organismo mediante virus, y así hasta un largo etcétera.

La figura del hacker ético

El termino ‘hacker’ comenzó a utilizarse en los años 70 entre los científicos del Instituto Tecnológico de Massachusetts (MIT) en Estados Unidos. Es un término que va más allá de los expertos relacionados con la tecnología e informática, y se refiere a cualquier profesional que ha alcanzado la cúspide de su profesión, pues un ‘hacker’ es alguien que le apasiona el conocimiento y entender el funcionamiento de las cosas.

Un ‘black hat’ (sombrero negro) es una tipología que busca descubrir y controlar vulnerabilidades en sistemas de información, bases de datos, redes informáticas, sistemas operativos, determinados productos de ‘software’, etcétera. Son bien conocidos como atacantes de sistemas y expertos en romper su seguridad para su propio beneficio.

Un ‘white hat’ (sombrero blanco) es un tipo de ‘hacker’ dedicado a reparar vulnerabilidades de software y a encontrar métodos de seguridad y defensa de sistemas mediante herramientas informáticas. Su objetivo es proteger aplicaciones, sistemas operativos y datos sensibles para asegurar la confidencialidad de la información de los usuarios. Como vemos, mientras algunos ‘hackean’ por razones maliciosas, existe otra comunidad que trabaja para mejorar la tecnología.

Dos caras de la misma moneda

No todos los ‘hackers’ son enemigos públicos, la mayoría son hábiles programadores capaces de identificar las debilidades de los programas más blindados. En el lado oscuro infectan de virus y ‘software’ espía los ordenadores, roban cuentas bancarias, datos e información personal y su poder es tan grande que han influido en las elecciones de países como Estados Unidos, Reino Unido y España.

Muchos dicen que Donald Trump o el Brexit, son consecuencia de sus acciones. Otros protegen nuestros datos en internet, nuestras cuentas bancarias, y nuestra privacidad. Son los ‘hackers’ de sombrero blanco. Corrigen ‘bugs’, descubren fallos de seguridad y los tapan. Persiguen delincuentes, la pornografía infantil en Internet, y otros delitos importantes.

Profesionales de alto nivel

Un informe de Infoempleo y Deloitte sitúa a los ‘hackers’ éticos como el perfil mejor pagado en el sector IT, con salarios de entre 75.000 y 115.000 euros brutos anuales en Europa. El estudio asegura que para el año 2020, las empresas ofrecerán un 9,3% más de vacantes vinculadas a perfiles digitales. También en nuestro país el trabajo de un ‘hacker’ se paga muy bien por el temor de las compañías a posibles ataques cibernéticos. La ciberseguridad se erige como una de las prioridades en todos los sectores de actividad. En España, su demanda ha crecido un 13%, por encima de la media europea.

Ejemplos Positivos

Así pues, si bien se tiende a relacionar el término ‘hacker’ con acciones ilegales, obtención de datos privados o intromisión en un sistema informático, las cosas están cambiando rápidamente. Estos son algunos ejemplos:

  • Telefónica designó hace unos meses como ‘chief data officer’ al ‘hacker’ Chema Alonso, una muestra de los novedosos trabajos que buscan contrarrestar los ciberataques perjudiciales para el negocio. Otro caso destacado es el de Javier Rodríguez, quien durante 10 años fue miembro del Grupo de Delitos Telemáticos de la Guardia Civil y actualmente trabaja en una consultora de ciberseguridad.

  • A Kevin Mitnick, el FBI llegó a considerarle el cibercriminal más buscado de la historia. Consiguió entrar en los sistemas del Pentágono y en los de las compañías Nokia y Motorola. Estuvo cinco años en prisión pero ahora, totalmente integrado en la sociedad, tiene una empresa de ciberseguridad y da cursos y conferencias.

  • Kevin Poulsen consiguió piratear las comunicaciones de la emisora Kiss Fm (Los Angeles, USA) para ganar el Porsche de un sorteo. Cometió otros ataques a medios de comunicación y lo condenaron a 5 años de cárcel. Actualmente es el reconocido y prestigioso editor y director de Wired, una de las publicaciones tecnológicas más influyentes del mundo.

Ejemplos Negativos

  • Cracka: Detenido en la actualidad. Adolescente británico que ‘hackeó’ el correo personal del director de la CIA, del director del FBI y del director de la NSA. Reveló la identidad de más de 31.000 agentes de estas agencias.

  • Albert González: Se le conoce por ser el autor de uno de los mayores robos de identidad de la historia de internet. Se apropió de los datos de 170 millones de tarjetas de crédito. Fue condenado a 20 años de prisión por un tribunal de Florida.

  • Robert Tappan Morris: Estuvo acusado de abuso y fraude informático en EE.UU. Creó y puso en marcha el primer gusano informático, mientras trabajaba en el  MIT. Ideó una tienda ‘on line’ y se hizo rico cuando la vendió a Yahoo por 45 millones de dólares.

Más información aquí

Bristish Airways investigará el robo de datos en 380.000 transacciones

La aerolínea británica British Airways (BA) fue objetivo de un ciberataque que vulneró la ‘información personal y financiera’ de aproximadamente 380.000 pagos con tarjetas.

La aerolínea señaló que los pagos fueron afectados a través de su página web y la aplicación móvil entre las 21.58 GMT (Tiempo medio de Greenwich) del 21 de agosto hasta las 20.45 GMT del 5 de septiembre. La empresa británica recomendó a los usuarios contactar a sus proveedores de tarjetas de crédito.

La Agencia Nacional contra el Crimen del Reino Unido (NCA) y el Centro Nacional de Seguridad Cibernética (NCSC) se encuentran investigando el robo de datos. Frente a esto, la portavoz de la primera ministra británica, Theresa May, confirmó que ambas entidades están “trabajando para entender qué ha ocurrido”.

La compañía informó que estará contactando a los usuarios que fueron afectados por el ataque cibernético para que sus entidades bancarias respondan por cualquier dificultad financiera que puedan haber tenido.

De acuerdo con la nueva regulación europea en materia de protección de datos (GDPR, por sus siglas en inglés), la multa máxima por filtración de datos asciende a 17 millones de libras o el 4 por ciento de la facturación total de la empresa, cualquiera que sea mayor de las dos cantidades.

En 2017 BA percibió ingresos por 12.200 millones de libras (13.657 millones de euros), por lo que la aerolínea podría enfrentarse a una multa de hasta 500 millones de libras si la Oficina del Comisionado de Información británica (ICO, en inglés) decide tomar medidas.

Más información aquí

(tomado de Tecnófera)