[HACK] securmatica

merce at grn.es merce at grn.es
Mon May 6 18:04:13 CEST 2002 


EL SECTOR ESPAÑOL DE SEGURIDAD INFORMÁTICA AFRONTA SU MADUREZ


Mercè Molist
"Interoperabilidad"  fue  la  palabra  más oída en la XIII edición del
congreso   Securmática,   celebrado   en   Madrid  la  semana  pasada.
Fabricantes,  consultores,  responsables  de  seguridad informática de
compañías   eléctricas,   telefónicas,   de   automoción  y  entidades
financieras destacaron la fase de racionalización y homogeneización en
la  que  está  entrando  el  sector, que movió unos 35 mil millones de
pesetas  el  año  pasado,  según  la  revista  "SIC", organizadora del
evento.

"Nunca  el  gremio  había facturado tanto", explicaba José de la Peña,
director  de  la  revista, a 'Ciberpaís'. La crisis se ha notado menos
aquí,  según  de  la  Peña, "porque ha habido una ralentización de las
inversiones  en  herramientas tecnológicas, pero también una inversión
mayor  en formar departamentos de seguridad en las organizaciones, que
se  están dotando de profesionales para saber qué necesitan, en vez de
comprar sin ton ni son. Además, el 11-S ha hecho crecer áreas como los
servicios  de  respaldo  y  planes de contingencia y el almacenamiento
externo de datos".

Pero  el paracaídas ha sido, según de la Peña, la Ley de Protección de
Datos.  El  vencimiento, este verano, de los plazos de adaptación para
las  empresas  ha  aumentado  la  demanda  en  el área de auditorías y
control.  Aún  así,  Martha  Umpierre, directora de Finmatica Intesis,
criticaba:  "La  ley  es  técnicamente  muy  difícil de cumplir. ¿Cómo
guardar  los  'logs'  dos  años  y poder recuperarlos, con los cambios
tecnológicos   que   habrá   en   este  tiempo?  ¿y  dónde?  ¿con  qué
herramientas?  Es  increible  el  volumen  de  datos  que  tenemos que
guardar,   genera   una   gran   partida   presupuestaria   sólo  para
almacenarlos".

En  las  distintas conferencias, sobre certificación digital, sistemas
de  detección  de  intrusos  o  antivirus,  se repitió la necesidad de
interoperabilidad  e  integración  de  las  herramientas, parejo a una
especialización del sector. El reciente fenómeno de la externalización
de  servicios  de seguridad informática mereció un panel propio, donde
se  destacaron los riesgos de encargar la gestión de esta crítica área
a una consultora externa y la desconfianza existente: "Se han cometido
muchos  errores,  prometido  lo  que  no  se ha dado y queda mucho por
mejorar", confesaba Javier Ruiz, de IP6 Seguridad.

Hubo  también  críticas  para  los  clientes:  "Se  les  comunican las
vulnerabilidades  detectadas  y no hacen nada al respecto", decía José
Ramón López, de Cyberguardian. Y aseguraba Ignacio Suárez, de Activis:
"En  caso de ataque, valoran más lo que podría haber pasado que lo que
ha  pasado. Una denegación de servicio a las tres de la noche no es lo
mismo que por la mañana, cuando un cliente puede ver nuestra web caída
y  irse  a la competencia". Añadía Xabier Mitxelena, de S21Sec: "Deben
cambiar  la  imagen  del  gran  paragüas,  la  gran  empresa que se lo
resolverá todo".

El  teniente  Sotomayor,  de  la  Guardia  Civil, criticó en cambio la
externalización,  por  dificultar  sus  investigaciones: "Buscamos una
lista  de  teléfonos  y resulta que los tiene una empresa de fuera, el
trabajador  está  enfermo  una  semana,  después  no tienen los 'logs'
porque han hecho una migración". La Policía Nacional estuvo también en
el  congreso,  presentando extraoficialmente el documento de identidad
electrónico,  que  será  el único que se expida en el estado español a
partir del 1 de enero de 2004.

Mauricio  Pastor,  director  del  Área  de  Informática de la Policía,
explicó: "Será una garantía de la identidad del titular y nada más, lo
mismo  que ahora, pero metido en un chip, con dos pares de claves, una
para  la  identidad  y  otra para la firma. Si alguien olvida su clave
privada,  podrá  ir  a la comisaría y, mediante lectura biométrica del
dedo,   recuperarla".   El  anuncio  despertó  recelos  entre  algunos
asistentes,  porque  facilita  la  recopilación  de  datos  para crear
perfiles  de  hábitos,  lo  que  negó  Pastor, así como que la policía
guarde  las claves privadas o que se vaya a obligar a exhibir el carné
para  conectarse a Internet. El proyecto va parejo a la creación de un
Documento  Único  Europeo,  que  será  interoperable en los diferentes
estados. Otra vez la palabrita.

More information about the hacking mailing list