Oesia Articulos y publicaciones

Oesía SmartLogistics: Un salto de gigante en los sistemas de Gestión de Flotas.

2012-03-13T16:30:52Z

Oesía SmartLogistics lleva su solución MB Flotas un paso más allá, integrando en un entorno modular y escalable funcionalidades como localización y monitorización, optimización y cálculo de rutas, recepción de alarmas y propuestas de servicios ante cualquier incidencia o anomalía en la carga, servicios del transportista desde smartphone, sistema de diagnóstico a bordo (OBD), informatización de cabina, información telemétrica, tacógrafo virtual o estadísticas sobre el rendimiento y consumo de cada vehículo. Además, Oesía SmartLogistics se puede unir a los servicios facilitados por el Centro de Servicios de Movilidad, el IMOC, desde el que se ofrece soporte remoto al ciclo de vida completo, garantizando la asistencia en el servicio y la optimización de sus costes.

Oesía es socio de referencia en el sector de la logística, ofreciendo servicios y soluciones avanzadas de gestión, localización y control de flotas. Gracias a la experiencia adquirida a lo largo de los 10 últimos años, tanto en el desarrollo de soluciones de Gestión de Flotas como en la prestación de servicios de movilidad a mas de 100 clientes y 20.000 usuarios, Oesía dispone de un entorno, basado en la innovación, que va más allá de los actuales sistemas de seguimiento, control y gestión. Las soluciones de la consultora tecnológica aportan la inteligencia necesaria para complementar sus procesos de negocio en clave de productividad, servicio, seguridad y ahorro.

Marc Serra
Director Consultoría y Soluciones Tecnológicas

Esquema Nacional de Seguridad (ENS)

2012-01-26T17:06:58Z

ver artículo

Carlos Boto
Gerente de Seguridad Gestionada de Oesía

Informe Anual Tecnobit 2010

2012-02-13T13:18:46Z

Programas (in)seguros en el móvil

2011-09-05T14:34:19Z

Los dispositivos móviles (iPhone, BlackBerry, Android, etc.) disponen ahora mismo de una alta penetración en el mercado, siendo utilizados por una gran cantidad de consumidores a nivel particular. Como tecnología aún reciente, están por resolver muchas cuestiones relativas a la seguridad de estos dispositivos y a los datos almacenados en ellos.

Así, el usuario medio no tiene ningún tipo de concienciación sobre la información personal que tiene en su teléfono. Instala aplicaciones de fuentes desconocidas sin ningún pudor, dice "sí" a cualquier solicitud que haga cualquier aplicativo, sin entender realmente qué está pidiendo en la mayoría de los casos ni por qué lo pide, o "rootea" su teléfono tranquilamente con el fin de poder saltar, precisamente, las pocas defensas que tenga el dispositivo y poder instalar copias piratas de aplicaciones o aplicaciones restringidas.

Esta inmadurez se traslada a la empresa, siempre unos pasos tecnológicamente por detrás de sus trabajadores, que utilizan su teléfono, por ejemplo, para ver el correo y cualquier adjunto con información sensible de la empresa para la que trabajan o de cualquier cliente, sin restricción alguna.

Al igual que ha ocurrido con tecnologías anteriores, los profesionales del cibercrimen aprovechan este desconocimiento y crean virus, troyanos, etc., para conseguir el control de los indefensos móviles. Son un objetivo goloso: poco probados, sin las defensas tradicionales de otros equipos informáticos (actualizaciones automáticas, antimalware, cifrados, contraseñas¿), con gran capacidad de procesamiento que se puede utilizar para los fines malignos del cibercriminal, y mucha información sensible susceptible de ser robada.

Programación insegura

La puerta de entrada que utilizan los cibercriminales son, como en vidas informáticas pasadas, las aplicaciones que utilizan los usuarios. Como antes, la seguridad no es tenida en cuenta hasta las últimas fases del desarrollo de software, llegando a aplicarse únicamente en el momento de la implementación. Existe un elevadísimo número de aplicaciones para móviles que son desarrolladas por programadores amateur, sin metodología de desarrollo de ningún tipo ni la formación en seguridad necesaria, y que adoptan la mayoría de sus decisiones sencillamente con este razonamiento: "porque lo he visto en un foro y funciona". En consecuencia, los programas tienen "agujeros" en su diseño y código que puede llevarles a ser vulnerables, y tampoco saben informar adecuadamente a sus usuarios de las consecuencias de sus acciones.

Las aplicaciones desarrolladas a nivel empresarial no son diferentes en este aspecto, por razones similares. Aún cuando sus equipos de desarrollo son profesionales, por lo general no están actualizados en los aspectos tecnológicos de seguridad a tener en cuenta en sus programas para móviles, y además se enfrentan a que deben desarrollar el mismo software para múltiples plataformas (Android, iPhone, Windows Mobile, BlackBerry¿), de forma que su software llegue a la mayor cuota de mercado posible. Por ello, pueden adoptar la forma de trabajo del programador amateur, y buscar en cualquier foro la solución que funciona sin considerar las consecuencias. Además, en muchos casos sus metodologías de desarrollo de software no han madurado lo suficiente para tener en cuenta los aspectos de seguridad necesarios, en las fases más tempranas.

Por ello, se hace imprescindible que las empresas busquen ayuda externa, especializada en seguridad, que colabore en el desarrollo de los programas para móviles, evitando así los riesgos ya presentes y distinguiéndose de los no profesionales. El usuario y la empresa merecen que la historia no se repita.

descargar artículo

David Echarri
Consultor de Seguridad

Decisiones pragmáticas, coherentes y oportunas en Oesía (Computerworld)

2011-08-04T11:00:10Z

descargar

Modelos de construcción de Data Warehouses (Novática Nº 211 - monografía Business Intelligence)

2011-07-27T11:34:16Z

ver artículo

Chema Arce Argos
Línea de Business Intelligence

Seguridad: 4 aspectos clave para una monitorización exitosa

2011-06-08T14:58:43Z

Hoy en día, una de las medidas de seguridad de la información implantada con más frecuencia en organizaciones de todo tipo es la monitorización de eventos de seguridad. A pesar de que existen múltiples herramientas y mecanismos "automáticos" y "semi-inteligentes" para apoyar esta labor, si se quiere tener éxito en la tarea y que no se convierta en un proceso ingobernable, hay que prestar especial atención a 4 aspectos:

Selección de activos.
La monitorización de eventos de seguridad requiere recursos. Hay que implantar y mantener la solución tecnológica, definir los eventos más significativos, crear y mantener reglas de correlación, preparar informes y formar al personal, entre otros. A mayor cantidad y variedad de dispositivos a monitorizar mayor será el coste de esta medida. La monitorización de eventos debe ser una medida muy concreta y acotada, por lo que es conveniente fundamentar la selección de activos en un análisis de riesgos previo y decidir si los costes de la monitorización compensan los riesgos a los que se exponen.
Definición de incidentes y procedimientos de respuesta.
Para una correcta gestión de los eventos de seguridad es necesario definir lo que está "bien" y lo que está "mal" dentro de nuestro entorno, así como la respuesta asociada a cada tipo de incidente que se presente. Es mejor definir pocos incidentes significativos, con su correspondiente procedimiento de gestión bien definido y apoyado por la dirección, que detectar muchos incidentes pero no tener claro qué hacer con ellos. Para esto resulta indispensable implicar al propietario de cada activo.
Calidad de los eventos.
Dispositivos que dejan de reportar eventos, firewalls que se reconfiguran y dejan de permitir el paso del tráfico de los eventos de seguridad, incorrecta sincronización horaria entre dispositivos, son algunos de los montones de detalles que hay que atender y verificar.
La calidad y la correcta recepción de eventos son pilares fundamentales para realizar una monitorización efectiva y confiable.
Custodia de logs:
Una tarea que casi siempre va de la mano con la monitorización de eventos de seguridad es la gestión y custodia de logs. Esto consiste en almacenar los logs generados por los dispositivos monitorizados para, potencialmente, usarlos luego en el análisis de incidentes de seguridad ya ocurridos. Como es de suponer, esto también es un procedimiento costoso, especialmente en recursos técnicos, por lo que antes de implantar un procedimiento de custodia de logs hay que tener muy claro hasta qué punto es necesario: ¿realmente debemos almacenar los logs de todos los dispositivos? ¿o solo de algunos?. Es importante realizar previamente un filtrado para almacenar únicamente los logs que son significativos para esclarecer la investigación de incidentes.
Por otra parte, conviene aclarar en las etapas iniciales de la definición del servicio que el hecho de explotar los eventos de seguridad no implica automáticamente un servicio de custodia y recuperación de los mismos.

En general, la monitorización de eventos de seguridad y la gestión de los incidentes que con ella se detectan, es un proceso complejo que debe diseñarse tomando en cuenta muchos detalles, cuidando los recursos humanos y técnicos que se le dedican, haciéndolo siempre en función de los riesgos contemplados.

Ramón Izaguirre Bilbao
Línea de Seguridad Oesía Networks

Cuando se apague Internet

2011-05-04T06:46:31Z

En este año hemos sabido de censuras informativas llevadas a cabo por las autoridades de países con conflictos políticos y sociales. Ejemplo de ello fue el apagón tecnológico llevado a cabo por el régimen de Hosni Mubarak en Egipto caracterizado por un bloqueo inicial a las redes sociales (Facebook, Twitter, …) y una posterior desconexión total del país de La Red. Aunque la censura informativa no es novedad y se sabe que países como China e Irán aplican sistemáticamente altas restricciones en el acceso a contenido en Internet, los bloqueos tecnológicos acontecidos recientemente avivan algunas de nuestras inquietudes sobre el control de La Red.

Mapa de la censura de contenidos en Internet que expresan opiniones políticas opuestas al actual gobierno (fuente OpenNet.net)

Internet es poder

Hoy algunos siguen afirmando que Internet es sólo un medio de comunicación, pero es evidente que es algo más: A través de internet fluyen las operaciones bursátiles, La Red permite realizar diariamente millones de transacciones bancarias y comerciales, cadenas de producción y logística dependen de Internet, numerosas empresas y multinacionales basan sus procesos de negocio en La Red. En definitiva, Internet ha pasado de ser un medio de comunicación a ser una herramienta fundamental e imprescindible de la globalización y del sistema capitalista.

Pero no sólo en el ámbito económico Internet es hoy una herramienta esencial, La Red es parte de las infraestructuras críticas de muchos países cuya interrupción o destrucción podría causar importantes daños en su seguridad, bienestar social, o estabilidad económica. Por otra parte Internet, se ha convertido en un poderoso instrumento para la coordinación, cooperación e información de grupos sociales y políticos. Ha quedado demostrado el papel fundamental que han tenido las redes sociales a la hora de conseguir la presencia masiva en las manifestaciones y protestas sociales en el Magreb y Oriente Próximo.

Por lo tanto, controlar La Red no es sólo controlar un medio de comunicación, es controlar algo más.

El control de La Red

Parece que cuando hablamos de controlar y censurar Internet hablamos de países con regímenes autoritarios y no democráticos con carencias básicas en los derechos individuales y en la libertad de expresión, pero recordemos que a mediados del año 2010, el Senado estadounidense proponía una nueva ley que daría plenos poderes al presidente para pulsar un “kill switch” y cortar el acceso a Internet en todo el país en caso de una “ciber emergencia nacional”; las compañías proveedoras de acceso a Internet, los buscadores, y los fabricantes de software seleccionados por el Gobierno deberían cumplir inmediatamente las órdenes del departamento de Seguridad. Aunque la propuesta de Ley, denominada Protecting Cyberspace as a National Asset Act (PCNAA), sigue siendo un proyecto, aún hoy continua suscitando polémica.

¿Cuánto queda para que Internet siga siendo libre? Es una pregunta difícil de responder, pero es indudable que Internet es un instrumento de poder cuyo control es ambicionado por muchos.

Carlos Boto
Gerente de Seguridad Gestionada

Redes Sociales en la empresa: todos las quieren, muchos las temen

2011-04-27T14:19:25Z

El dilema de las redes sociales

Las redes sociales están en todas partes, en todos los entornos y sectores, ya sean personales o profesionales, y está claro que la palabra popularidad queda pequeña al referirse al alto grado de penetración de este tipo de herramientas de comunicación en La Red.

La mayoría de las organizaciones de todo tipo pueden beneficiarse de una forma u otra de su utilización, dependiendo del tipo de actividad a la que se dediquen. No las usarán de la misma forma una empresa de productos de consumo masivo, por ejemplo de electrodomésticos, que una de consultoría estratégica, pero ambas pueden sacar provecho de ellas. Sin embargo, frecuentemente estas organizaciones se enfrentan al dilema entre el deseo y el miedo a utilizarlas.

Cuando hablamos de miedo nos referimos a que las redes sociales tienen cierta "fama" de ser inseguras desde el punto de vista de la seguridad de la información.

Ante esta situación, algunas organizaciones establecen sistemas especializados de control de seguridad, otras usan los mecanismos tradicionales "de toda la vida" y otras simplemente se arriesgan al no aplicar ningún tipo de control, ya sea por desconocimiento o porque carecen de capacidad para controlarlas.

Amenazas y Soluciones

La principal amenaza que existe en una empresa a la hora de utilizar las redes sociales es la fuga de información confidencial, es decir, que por error o de forma intencionada se publique información que debería ser solamente de uso interno (por ejemplo: el lanzamiento de un nuevo producto, los planes de expansión de la empresa, etc.). Un robo o pérdida de información de este tipo podría traer consigo importantes consecuencias para la empresa:

Pérdida de oportunidades de negocio.
Sanciones por incumplimiento de normativa.
Impacto en la imagen de la empresa.

Afortunadamente, a medida que evolucionan las redes sociales, también lo hacen las soluciones de seguridad disponibles en el mercado y que son capaces de controlar y minimizar este riesgo. Estas soluciones están compuestas por dos tipos de elementos:

Políticas de Seguridad: creación y mantenimiento de políticas de seguridad. Estas políticas pueden ser propias o venir impuestas por alguna normativa, pero lo importante es que existan políticas de seguridad claras respecto al uso de las redes sociales sobre temas relacionados con la empresa.
Sistemas tecnológicos: soluciones de hardware y/o software que se nutren de las políticas de seguridad definidas. Tomando como base dichas políticas, estos sistemas monitorizan el uso que se está haciendo de las redes sociales (qué se hace y quién lo hace), detectan violaciones de las políticas y generan las alarmas o acciones definidas para cada caso. Entre estas soluciones están los llamados "Next Generation Firewalls" y los sistemas de Data Loss Prevention (DLP). En este apartado, hay herramientas muy sofisticadas capaces de detectar, por ejemplo, qué usuario está subiendo qué tipo de información a qué red social.

Implantando de forma adecuada una combinación de estas soluciones, una empresa puede utilizar las redes sociales que más le convengan de forma suficientemente segura.

Al trabajar con redes sociales la seguridad no difiere mucho de la del correo electrónico, con la que por cierto ya tenemos bastante tiempo lidiando. De la misma forma que cuando se implanta un sistema de correo electrónico debe ir acompañado de un sistema antispam y antivirus, toda empresa que planee valerse de las redes sociales debe incluir en su plan (y en su presupuesto) los mecanismos de seguridad necesarios y evitar así que esa poderosa herramienta que son las redes sociales se vuelva en su contra.

Para finalizar, es primordial tener en cuenta que las redes sociales están evolucionando a un ritmo vertiginoso, por lo que es importante que las soluciones de seguridad que se adopten sean lo suficientemente flexibles para adaptarse y seguirles el paso.

Alberto Domínguez Eiriz
Línea de Seguridad de Oesía Networks

Informe Anual Tecnobit 2009

2011-04-05T13:40:55Z

Descargar

Estudio de la I+D+i en TIC para la salud en España

2011-04-05T16:24:45Z

descargar

Nuevas estrategias en la industria del ocio digital

2011-04-08T08:09:20Z

El actual proceso de convergencia digital de las redes y tecnologías multimedia está facilitando un escenario multiplataforma para la adquisición de contenidos digitales donde los diferentes canales de distribución compiten por acaparar la atención y el tiempo de los consumidores.

Descargar

Mobile 2009

2011-04-05T12:39:43Z

In this new edition of our Mobile yearbook, you will find valuable data on the central components of the mobile world, along with analyses from IDATE’s experts and a comprehensive round-up of the highlights of the year gone by:

Mobile Broadband dynamics
Mobile pricing Innovation
NFC timelines
Mobile Handset Dynamics
Mobile Churn Management
Radio Spectrum issues
Mobile TV Solutions
New Communication trends

Descargar

Digiworld 2009

2011-04-05T12:39:47Z

Descargar

El camino hacia las nubes: sorteando los obstáculos

2011-04-06T14:00:28Z

Cada vez son más las organizaciones que deciden migrar servicios de TI a La Nube en busca de sus ventajas. Sin embargo, el camino que deben recorrer no está libre de riesgos:

Incumplimiento legal y privacidad. En La Nube las infraestructuras, plataformas y la información pueden estar distribuidas por todo el mundo lo que dificulta en mu chos casos aplicar legislación concreta que resuelva los problemas de la privacidad de la información. Asimismo, muchas organizaciones manifiestan su inquietud por la forma en la que se maneja su información, que podría ser vendida, modificada e incluso borrada.
Dependencia del proveedor. La Nube podría limitar la libertad del usuario al hacerle dependiente del proveedor del servicio. El cliente únicamente tiene la posibilidad de usar las aplicaciones y servicios que el suministrador esté dispuesto a ofrecer. Por otra parte, también tendría limitadas las opciones ante un proceso de cambio de proveedor.
Dependencia del ancho de banda. Así como la máquina de vapor hizo posible la revolución industrial, el crecimiento del ancho de banda ha hecho posible modelos como el Cloud Computing. La gran dependencia de este elemento que tiene La Nube se debe tener muy en cuenta a la hora de adoptar el modelo.
Deslocalización de infraestructuras, plataformas e información. Las empresas manifiestan su preocupación por la ubicación de los activos que sustentan los servicios en el Cloud Computing. La multipropiedad es algo frecuente en La Nube y un cliente puede llegar a perder el conocimiento de la situación real de su información.

Ante estas dificultades, no es sorprendente que en la actualidad el 86% de las empresas españolas estén indecisas a la hora de apuntarse al Cloud Computing . No obstan- te, La Nube puede aportar interesantes beneficios como la reducción de costes por el ahorro en recursos operacionales, o como la disponibilidad de acceso a los servicios desde cualquier dispositivo con conexión a Internet simplemente utilizando un navegador web.

Hacia Las Nubes

El primer paso que debería dar una organización al migrar servicios a La Nube, sería realizar un estudio de viabilidad que tuviese en cuenta los riesgos y beneficios, así como, las capacidades y medidas de seguridad adoptadas por el proveedor para garantizar la confidencialidad e integridad de la información. Técnicamente La Nube puede ser segura, pero en la práctica, muchos de los proveedores no ofrecerán los niveles de seguridad requeridos, e incluso, existe la posibilidad que el proveedor pueda evadir su responsabilidad legal ante cualquier incidente al estar localizado en países no sujetos a marcos legislativos regulatorios.

En definitiva, migrar a La Nube tiene numerosas ventajas, pero también implica superar ciertas barreras. Asimismo, La Nube presenta un gran reto para la seguridad al ser un paradigma insuficientemente maduro. No cabe duda que La Nube puede ser muy ventajosa para desplegar servicios cuya confidencialidad de la información no sea crítica para la organización y puede ser muy conveniente para entidades que carezcan de recursos para utilizar otras opciones, pero a pesar de todo, un modelo tecnológico que permite el acceso a cualquier servicio corporativo desde cualquier lugar, mediante cualquier dispositivo, en cualquier momento, y a un coste razonable, es algo que está más allá de cualquier tendencia o moda. El camino hacia Las Nubes no ha hecho más que comenzar.

Carlos Boto
Gerente de Seguridad Gestionada de Oesía