Seguritecnia 376

158 SEGURITECNIA Junio 2011 a seguir que ya han iniciado muchas entidades financieras españolas, como parte de un proceso de integración que pedían a gritos los expertos desde el origen de la crisis financiera. “¿Qué ha supuesto para ustedes el proceso de fusión, desde un punto de vista de organización?”, preguntó un asistente. en fraude electrónico desde 2005, casi no tenemos phishing – lo que hace que siempre se vayan a dirigir a entidades más débiles – . Además, corre la voz de que perseguimos a las bandas sin con- templaciones”, expuso orgulloso Santos. Esta ponencia a dúo despertó la curiosidad del público sobre un camino En otro orden de cosas, la ponencia de la entidad gallega analizó la proble- mática de los servicios online . Ante el aumento de la utilización de la banca electrónica, Santos reconoció que se tiende a culpar al cliente de que no tiene el sistema operativo actualizado o de que su antivirus sea pirata. No obstante, explicó cómo afrontaron la solución en este terreno: “Tenemos que implantar las medidas necesarias para que nuestro cliente no sea víctima de un fraude, por lo que incluimos un factor de autentica- ción externo a la plataforma en Internet para la realización de operaciones, como el envío de coordenadas vía SMS, token móviles o eDNI”, aclaró el directivo. Estas medidas y las políticas que la entidad aplica han permitido una situación casi ‘ideal’ en Seguridad: “Tenemos cero euros Daniel Castillo, de la Subdirección General de TIC del MITyC, explicó que, antes de enfrentarse al ENS, realizaron un análisis profundo de los 140 sis- temas de información inventariados en la CMDB (siglas de Configuration Management Database). Posteriormente, determinaron que de las 74 medidas que proponía el ENS cumplían con ocho de las 18 medidas de nivel alto sin estar obligados a ello, por lo que finalmente acabaron completándolas todas. De este modo, la cifra de cumplimiento parcial del ENS es, a día de hoy, del 68 por ciento, teniendo en cuenta que hasta 2014 disponen del tiempo suficiente para cubrir el cien por cien. El elevado porcentaje se debe a que gran parte del trabajo realizado en materia de bue- nas prácticas y Seguridad redundó en una adopción más rápida del ENS. Por otra parte, Miguel Ángel Rodríguez puntua- lizó que el Artículo 30 del ENS habla de Sistemas de Información no afectados, un punto de vista que no comparte, “ya que todos los sistemas están inte- rrelacionados y no tiene sentido dejarlos fuera si estamos abordando un Plan de Seguridad Integral”. En opinión de los ponentes, una deficiencia de la legislación española es que la calificación de la infor- mación (estructurarla por orden de importancia) no está clara: “entiendo que se estará trabajando en este tema porque en otros países sí que tienen más clara la diferencia entre información clasificada, a la cual no afectaría el Esquema, y la que no lo es. Espero que la Ley de Transparencia y Acceso de los ciudadanos a la Información Pública sirva para esto”. Finalmente, Rodríguez reveló que se echa en falta una figura equivalente a la Agencia Española de Protección de Datos (AEPD), que sirve como institu- ción que impone sanciones (aunque no sean económi- cas) si no se hacen las cosas bien. “No me parece serio que se hable del cumplimiento del ENS en un año y luego en cuatro. Es algo que tene- mos que asumir como costumbre, como sistema de trabajo. El objetivo es concienciar a las personas, y en esta labor son fundamentales los responsables de Seguridad de la Información de cualquier institución o negocio”, concluyó Rodríguez. El Ministerio de Industria logra un cumplimiento parcial del ENS del 68% En banca electrónica se suele culpar al usuario de no tener el sistema operativo actualizado o de tener un antivirus pirata, pero la entidad tiene que implantar medidas necesarias para que el cliente no sea víctima de fraude