Conferencias


15 de Septiembre de 2016. Ponencia en Ilustre Colegio de Abogados de Alicante

Ponencia en el Ilustre Colegio de Abogados de Alicante en referencia a las características y problemática que conlleva el uso de pruebas pericial basadas en Peritaje Whatsapp y email en nuestra charla en ICALI, impartiendo una ponencia sobre las ventajas, inconvenientes y riesgos que conlleva las periciales sobre Whatsapp y email tanto desde el punto de vista pericial como legal. Leer mas aquí

19 de Septiembre de 2012. Ponencia en Ilustre Colegio de Abogados de Castellón

El pasado 19 de Septiembre tuve la suerte de poder impartir una charla al ilustre Colegio de Abogados de Castellón respecto de las complejidades y características que la labor pericial informática posee.

Mi presentación giró alrededor de las dificultades de hacer un correcto dictamen cuando en las empresas el cliente final o el proveedor decide encargar una pericial para evidenciar ciertos problemas en la relación, en el contrato, en el desarrollo de un proyecto, en la calidad de un producto final, en el servicio prestado, etc

Hace unos meses realizamos esta misma charla en Elche, siendo también un éxito de aforo e interés por parte de los miembros del Ilustrísimo Colegio de Abogados de Elche.

Además de leer en este portal sobre periciales informáticas puedes visitar el siguiente enlace Pulsa aquí

10 de Mayo de 2012. Ponencia en Ilustre Colegio de Abogados ELCHE (ALICANTE)

El pasado 10 de Mayo a las 17:00 tuve la oportunidad de colaborar impartiendo la charla PERITAJES INFORMATICOS DE ERP en la jornada de pericia informática organizada por la Asociación de Peritos Colaboradores con la Justicia de la Comunidad Valenciana en el Ilustre Colegio de Abogados de Elche.

Mi ponencia “Periciales Informáticas de Sistemas de Gestión en la Empresa (ERP)” trato de el auge actual de los problemas en las implantaciones de ERP entre partners y clientes finales, las dificultades que estos proyectos poseen, las razones principales del fracaso de muchos proyectos de implantación ERP y las diferentes técnicas para la extracción de evidencias en las periciales.

El resto de ponencias versaron sobre la importancia de la pericia informática, los rastros de evidencias, delitos informáticos y otros temas de interes para los abogados que allí asistieron.

Puedes descargarte mi ponencia en el siguiente enlace Ponencia Elche

10 de Junio de 2011 Ponencia para el CPIIEX sobre auditoria de seguridad, LOPD e ISO27001

He tenido la suerte de poder participar como ponente en el congreso de seguridad y auditoria 27001 y LOPD que ha celebrado el CPIIEX (Colegio de Ingenieros en Informática de Extremadura) los días 10 y 11 de Junio de 2011.

Pulsa aquí para ver el contenido de la ponencia de Auditoría LOPD

Mi ponencia, orientada a la relación que existe entre la ISO 27001 pero sobre todo centrado en el contenido, metodología, motivaciones y procedimientos para la realización de una auditoría externa de LOPD considero que ha satisfecho las expectativas de los asistentes.

El enfoque de un tema tan denso como lo es la seguridad informática ha sido realizar una exposición práctica, incidiendo en ciertos aspectos de mi experiencia y mostrando ejemplos de auditoría LOPD realizados anteriormente.

La sensación ha sido buena, Cáceres es una ciudad muy acogedora, difícil de llegar, 4 horas de tren desde Atocha, pero su casco antiguo incita a pasear y a disfrutar de las murallas y palacios, así como de fachadas medievales e iglesia gótica.

Más allá de eso, llegamos a la presentación sobre las 10:00 de hoy sábado día 11 de Junio para exponer mi ponencia. Comenzamos con unas breves notas de la relación entre la ISO 27001 de seguridad y la LOPD. No hay que perder de vista los siguientes aspectos que se encuentran en ambos tipos de auditoría:

  • Obligaciones generales o comunes.
  • Documento de seguridad.
  • Funciones y obligaciones del personal.
  • Registro de incidencias.
  • Control de acceso.
  • Gestión de soportes.
  • Identificación y autenticación.
  • Copias seguridad y restauración.
  • Responsable de seguridad.
  • Limitar intentos de acceso no autorizados.
  • Registros de entrada y salida de soportes.
  • Llevar un registro de las recuperaciones de datos efectuadas.
  • Control de acceso físico.
  • Auditoría.
  • Procedimiento de etiquetado y cifrado de soportes.
  • Telecomunicaciones.  Transmisión cifrada.
  • Registro de acceso.
  • Copia de seguridad ubicación alternativa.

Por otro lado no es casualidad relacionarlos cuando al principio de ambas normas se puede encontrar los tres objetivos comunes:

  • Integridad. Alteración indebida.
  • Disponibilidad. Previene la perdida.
  • Confidencialidad. Accesos no autorizados.

Tras un breve repaso por la LOPD y las últimas novedades, incidimos en las motivaciones para que una organización quiera poner en práctica una auditoria LOPD o porque no una en seguridad informática ISO 27001. Básicamente intentamos responder a la pregunta ¿Cómo puedo concienciar a mi gerente de que mi empresa necesita una auditoria de este tipo?

Básicamente hay varias razones. Entre las destacadas no subrayaría el ahorro de coste o el retorno a corto plazo como he podido leer en diferentes publicaciones. Demostrar que la auditoria de seguridad o de LOPD puede hacer que gane más dinero u obtener un ROI a corto plazo se sustenta difícilmente en la práctica. Por ello parece lógico remarcar que los aspectos que pueden interesar al gerente de mi organización para realizar una auditoría de este tipo, desde mi punto de vista, son:

  1. Cumplir el marco legal. Tenga o no una adecuación a la LOPD, los cambios que mis sistemas han podido sufrir o bien la necesidad de cumplir con la norma legal LOPD es suficiente razón para evitar sanciones.
  2. Hacer entender al gerente de mi organización que algunas de las siguientes cuestiones no tienen respuesta positiva en mi empresa sin una auditoria de este tipo:
    1. ¿Podrías demostrar quien ha accedido la última semana a información confidencial o a cualquier otro fichero en mi organización?
    2. ¿Tengo capacidad para, ante la baja de un empleado, estar seguro que me ha devuelto todos los soportes informáticos y dados de baja en todas las conexiones remotas? Es decir ¿existe un procedimiento adecuado de baja de un empleado?
    3. Ante un problema con un trabajador, tengo la seguridad de haber puesto las medidas de control adecuadas para demostrar cómo estaba utilizando la informática en su día a día (¿Qué webs visitaba?, ¿Qué documentos accedía?,…)
    4. Ante un problema legal, ¿tengo las medidas de seguridad informáticas actualizadas? ¿tengo un protocolo de concienciación en materia de seguridad de la información con mis empleados?
    5. ¿Tengo la seguridad que las copias de seguridad cubren el grado de perdida adecuado para mi organización, así como estamos seguros que los procedimientos de restauración funcionan adecuadamente? ¿Si pierdo la información de mi empresa, tengo copias fuera de ella?
    6. ¿Dispongo de un protocolo de contingencia ante la caída/perdida/robo de un servidor crítico para la empresa?
    7. ¿Podríamos decir en este momento quién ha accedido remotamente a los sistemas durante los últimos días?

Como ampliación a una auditoría LOPD, en muchas ocasiones en la realización de auditorías de situación o rendimiento* incluyo un repaso general a las 5 clausulas principales de la ISO 27001 y a los 133 puntos de control. Este repaso me permite acelerar el conocimiento de la empresa que me ha solicitado la auditoria, al interrogar al director de TI por muchas cuestiones que cruzan la organización, desde cómo se gestiona la autenticación, gestión de incidencias, accesos remotos y concienciación al usuario, a como se recibe el apoyo desde dirección, como se gestionan las relaciones con los proveedores o si existe un listado del inventario de activos de la organización…

Entre medias de la ponencia quise explicar en qué consiste un plan director TI y como se lleva a cabo, por tener una relación o contener (en parte), rasgos de una auditoria de seguridad. Por resumir, la orientación que doy a un plan director es alinear la estrategia de la empresa a 3-5 años con las TI. Para ello, mediante reuniones con el departamento TI y con todos los Key Users (Usuarios clave de los sistemas, incluyendo siempre al equipo directivo) realizamos las siguientes fases del trabajo:

  1. Revisión con dirección de la estrategia global de la organización a 3-5 años.
  2. Revisión del área de TI, en su situación actual respecto de ITIl e ISO 27001.
  3. Revisión de cada área con documentos que los usuarios preparan para explicar los procesos (o por aplicación) desde un punto de vista DAFO (debilidades, amenazas, fortalezas y oportunidades) de los sistemas informáticos que ellos utilizan actualmente.
  4. Si es necesario, recopilación de los KPI o capacidades de Repoting y análisis de la información que cada área necesitará.
  5. Recopilación de funcionalidades y procesos que o no poseen actualmente o necesitaran en los próximos 3-5 años.
  6. Planteamiento de mejoras y proyectos, con estimación de costes para cubrir las debilidades y necesidades detectadas.
  7. Priorización por parte de dirección.
  8. Propuesta en formato diagrama de Gantt de la realización de dichos proyectos.

La jornada acabo con una serie de preguntas relacionadas con los ejemplos comentados de auditorías, siendo bastante práctico la puesta en común de inquietudes y la necesidad de conocer como poder “vender” este tipo de iniciativas a los gerentes con responsabilidad de toma de decisión.

Espero volver a colaborar con el cpiiex. Ya salieron otros temas de ponencias y artículos que seguro tendrán su fruto. Ha sido una buena experiencia.

* Las auditorías de rendimiento o de situación es un servicio que realizo en aquellas empresas que quieren mejorar la forma de trabajo del departamento TI. Para ello, mediante reuniones con todos los integrantes del departamento TI, hago un repaso de los estándares de mejora de la organización de los Sistemas de la Información, revisando la organización TI desde los estándares ITIL e ISO 27001 los siguientes puntos de vista:

  • Infraestructuras, servidores y telefonía.
  • Organización RRHH del departamento.
  • Como se entrega el servicio informático al resto de la organización.
  • Revisión de la capacidad y buenas prácticas en almacenamiento y bases de datos.
  • Estudio de posibilidades de ahorro de costes por costes asumidos no necesarios, licencias innecesarias, cambios en proveedores,…

En algunos de estos trabajos se plantea la posibilidad de que los proyectos que surgen para cubrir las carencias o aplicar las mejoras resultado de estas auditorías, las lidere personalmente.