martes, 2 de septiembre de 2008

LOPD y Delitos Informáticos en Septiembre.

Muy buenas a todos.
Espero que tras las vacaciones vengáis con fuerza para afrontar todos aquellos nuevos retos y retomar aquellos pendientes. Ya queda atrás la playa, el sol, la montaña, la relajación,… y vuelta al terreno con nuevas cosas y pendientes de que otras ya finalizadas vean la luz.
Para comentaros inicialmente para aquellos que estéis interesados en temas de LOPD y temas legales una serie de citas que tenéis en el mes de Septiembre en términos formativos y que se plantean interesantes.

El primero y más cercano es este Jueves 4 de Septiembre una conferencia sobre Privacidad y seguridad de la información en la sede de la Agencia de Protección de Datos de la Comunidad de Madrid. Para más información podéis consultar en el siguiente enlace de la APDCM.


El segundo y también por parte de la Agencia de Protección de Datos de la Comunidad de Madrid que organiza la IV jornada de protección de datos en los colegios profesionales. Este se realizará el Miércoles 24 de Septiembre y la información relativa al evento la tenéis en el siguiente enlace de la APDCM.

Para todos que tengáis interés en conocer un poco más el tema de los delitos informáticos, como están tipificados en el Código español, los canales de denuncia, los procedimientos que deben llevar a cabo las empresas, las diferentes definiciones y cuál es la evolución, el Martes23 de Septiembre realizaré un Webcast de Technet, sobre estos temas. Como todos los Webcast, se realiza en horario de tarde a las 16:00 y lo podréis seguir desde vuestros ordenadores simplemente registrándoos en la siguiente URL del evento. Para aquellos que no podáis hacer el seguimiento de forma online, estará disponible con posterioridad a su realización en los Webcast grabados.

Por último entre el 15 y 18 de Septiembre, y dentro de la campaña de Hand on Lab, realizaré un curso de 24 horas y como única temática la LOPD. Aquí trataremos desde el nuevo reglamento, hasta implementaciones de la ley en diferentes escenarios que podemos encontrar en empresas de todo ámbito en territorio español. Estableceremos para el curso la doble vertiente técnico-legal, donde evaluaremos todos aquellos aspectos legales necesarios y su resolución técnicas. Se reflejarán ideas y medidas de índole organizativo para el tratamiento de los procedimientos y se verán ejemplos de dichas medidas así como de otras importantes como los documentos de seguridad y/o notificaciones. También tocaremos como aspecto fundamental la auditoría de tipo bienal que debe realizarse para datos de tipo medio y alto, y que consideraciones deben tenerse en cuenta para una correcta ejecución de la misma. Como siempre para cualquier información adicional sobre este y otros HOL, podéis hacerlo a través de la página web de Informática64 o de Microsoft.

miércoles, 2 de julio de 2008

Legaliz@IT

Muy buenas a todos.


Como sabéis Informática64 lleva tiempo desarrollando los Hand on Lab con Microsoft, abarcando un gran número de entornos, escenarios y elementos. Yo además de escenarios y laboratorios de seguridad he estado llevando escenarios legales, fruto final de todos ellos ha sido la idea de Legaliz@IT. Algunas personas me han preguntado recientemente si lo íbamos a repetir en otras fechas y ya les comenté que no sabía pero lo intentaría comunicar a través del blog en cuanto lo supiera.


Debido a que participaré en otros proyectos y por otros múltiples motivos, seguramente este sea el último Legaliz@IT que se realice, por lo que si estabas pensando en realizar alguno, el de la semana que viene será la última oportunidad para realizarlo. Siento comunicarlo tan tarde pero estas cuestiones surgen muchas veces sobre la marcha. Por ahora la inscripción para el HOL sigue abierta y hay disponibilidad de plazas para la semana que viene.



Esta misma circunstancia ocurre con otros de los laboratorios que planteamos para los HOL, por lo que si has estado esperando un tiempo para realizarlo, cuidado porque es posible que no se publique de nuevo aquel que estabas esperando y sea sustituido por otros laboratorios y tecnologías.



Como siempre toda la información sobre los hand on lab la podéis conseguir en las siguientes direcciones url:

http://www.informatica64.com/


http://www.microsoft.com/spain/seminarios/hol.mspx


Un saludo y gracias.

lunes, 30 de junio de 2008

Ley del Impulso de la Sociedad de la Información

Muy buena a todos.

Lo primero pedir disculpas por no haber posteado antes, pero multitud de cosas, entre las que se encuentran escribir un libro de LOPD para Microsoft, sobre su entorno y actualización al nuevo reglamento, me han copado gran parte de mi tiempo disponible. Ahora que ya me he liberado un poco de estas tareas y ya empiezo a ver cielo abierto, retornaré también a la tarea de postear en el blog de forma más o menos regular.

Empezamos de nuevo con una de las leyes de nueva hornada que no pasarán desapercibidas a ninguna empresa en breve: La LISI.

Uno de los objetivos del actual Gobierno es llevarnos en volandas a la aplicación de normativas orientada a los sistemas informáticos y que aprovechen a su vez las tecnologías que ya se encuentran implementadas en España o en su proceso de implantación.

Las LOPD, LSSI, LAE, Firma electrónica, son ejemplos de estas iniciativas, a las que el año pasado y en fecha de 29 de Diciembre fue aprobada la ley 56/2007 de Impulso de la Sociedad de la Información. Esta ley como medida impulsora la veo como un avance para la ciudadanía, pero desde el punto de vista de empresa supone una problemática para su aplicación que va a ser muy complicada de llevar.

¿Por qué esta complicación?

En su articulado establece la necesidad de facilitar la interlocución electrónica en estas circunstancias a través de sistemas de firma electrónica reconocidas.

" Artículo 2. Obligación de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica.

1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

2. A los efectos de lo dispuesto en el apartado anterior, tendrán la consideración de empresas que presten servicios al público en general de especial trascendencia económica, las que agrupen a más de cien trabajadores o su volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, exceda de 6.010.121,04 euros y que, en ambos casos, operen en los siguientes sectores económicos:

a) Servicios de comunicaciones electrónicas a consumidores, en los términos definidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

b) Servicios financieros destinados a consumidores, que incluirán los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de mediación de seguros. En particular, se entenderá por:
1. Servicios bancarios, de crédito o de pago: las actividades relacionadas en el artículo 52 de la Ley 26/1988, de 29 de julio, sobre Disciplina e Intervención de las Entidades de Crédito.

2. Servicios de inversión: los definidos como tales en la Ley 24/1988, de 28 de julio, del Mercado de Valores.

3. Operaciones de seguros privados: las definidas en el artículo 3 del texto refundido de la Ley de ordenación y supervisión de los seguros privados, aprobado por Real Decreto Legislativo 6/2004, de 29 de octubre.

4. Planes de pensiones: los definidos en el artículo 1 del texto refundido de la Ley de Regulación de los Planes y Fondos de Pensiones, aprobado por Real Decreto Legislativo 1/2002, de 29 de noviembre.

5. Actividad de corredor de seguros: la definida en la Ley 26/2006, de 17 de julio, de mediación en seguros y reaseguros privados.

c) Servicios de suministro de agua a consumidores, definidos de acuerdo con la normativa específica.

d) Servicios de suministro de gas al por menor, de acuerdo con lo dispuesto en la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos.

e) Servicios de suministro eléctrico a consumidores finales, de acuerdo con lo dispuesto en el título VIII de la Ley 54/1997, de 27 noviembre, del Sector Eléctrico.

f) Servicios de agencia de viajes, de acuerdo con lo dispuesto en el Real Decreto 271/1988, de 25 de marzo, por el que se regula el ejercicio de las actividades propias de las agencias de viajes.

g) Servicios de transporte de viajeros por carretera, ferrocarril, por vía marítima, o por vía aérea, de acuerdo con lo dispuesto en la normativa específica aplicable.

h) Actividades de comercio al por menor, en los términos fijados en el apartado 2 del artículo 1 de la Ley 7/1996, de 15 de enero, de ordenación del comercio minorista y en su normativa de desarrollo, a las que serán de aplicación únicamente los apartados c) y d) del apartado 1 del presente artículo."

Para todos aquellos que piense si se pueden ver afectados por la presente ley, les comentaré básicamente que las condiciones son las que agrupen a más de cien trabajadores o su volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, exceda de 6.010.121,04 euros y que, en ambos casos, operen en una serie de sectores económicos entre los que se incluye el comercio de minorista.

La definición de comercio minorista es la siguiente:

"Artículo 1. Objeto.

1. La presente Ley tiene por objeto principal establecer el régimen jurídico general del comercio minorista, así como regular determinadas ventas especiales y actividades de promoción comercial, sin perjuicio de las leyes dictadas por las Comunidades Autónomas en el ejercicio de sus competencias en la materia.

2. A los efectos de la presente Ley, se entiende por comercio minorista aquella actividad desarrollada profesionalmente con ánimo de lucro consistente en ofertar la venta de cualquier clase de artículos a los destinatarios finales de los mismos, utilizando o no un establecimiento."
Como ya os habéis imaginado numerosas empresas quedarán encuadradas y afectadas por la LISI.

Las consecuencias por lo tanto para una empresa de este tipo será la de implementar accesos que bien DNI electrónico u otras faciliten que un usuario de un servicio pueda acceder a sus datos, facturación electrónica, etc., independientemente de otros métodos empleados actualmente por la empresa.

Consciente de la criticidad de estos elementos, la semana que viene entre el 7 y 11 de Julio, voy a llevar un seminario de Legaliz@IT donde entre otros elementos como LOPD, LSSI-CE, Jurisdisprudencia aplicada a la Informática y delitos informáticos, se evaluarán los mecanismos y sistemas afectados por este LEY y la aplicación de la misma. Todavía quedan plazas para dicho seminario y como siempre puedes consultar la información a través de las siguiente url:

http://www.microsoft.com/spain/seminarios/hol.mspx

http://www.informatica64.com/

miércoles, 21 de mayo de 2008

Formación HOL en Barcelona y Master en Madrid.

Muy buenas a todos.

La verdad, aunque parezca mentira, hacía tiempo que no iba por Barcelona (desde Diciembre del año pasado), y es que he pasado tantas semanas por allí que la puedo considerar casi mi 3ª ciudad, después de Bronxtoles y Madrid, aunque bastante reñida con Valencia. Pues una vez más, visito esa maravillosa ciudad, participando en la campaña de Hand on Lab de Microsoft.

En esta circunstancia no llevaré temas legales, hacking, forense, etc., sino que realizaré una semana de productos de la línea Forefront y System Center. En este sentido ISA Server (un producto de los que más gratos momento me ha facilitado, tanto en los labs, como en implantaciones), Forefront (un nuevo pero a la vez antiguo amigo) e IAG (más nuevo en escenarios Microsoft pero con un largo camino ya recorrido, y por todo lo que ya he probado de él, uno aún mayor para recorrer), se convierte en la línea de productos de seguridad que veremos en las sesiones de la mañana.

Por la tarde realizaremos 2 hol de productos System Center: SCCM2007 y SCOM2007. Aunque muchos me conocéis por el tema de seguridad os tengo que comentar que de los primeros productos que investigué y toqué a fondo en los entorno microsoft, fue un ambicioso sistema llamado SMS 1.2, desde el cual he ido llevando por el camino hasta llegal al actual SCCM 2007, entre escenarios de amor/odio, presentaciones, curso, etc. Aunque MOM es un producto con el que llevo menos tiempo, lo toque menos en su versión 2000, me puse más fuerte en la versión 2005 y ahora a evolucionar con él.

Para más información podéis consultar la página de Microsoft o Informática64.

Por otro lado en Madrid, después de mucho tiempo madurando la idea y esperando el momento adecuado (y por que no decir tener profesionales y un equipo en todos los campos, para dar un Master como a nosotros siempre nos había gustado dar), daremos entre Junio y Julio un curso de formación de Seguridad en los que... bueno para que hablar de mis compañeros, me faltarían palabras para hablar de sus logros, conocimientos, etc. En este sentido recomiendo una lectura de un post que ha hecho mi compañero Juan Garrido en su blogs y que no tiene desperdicio.

Yo por mi parte comentaros que para el curso, cada uno de los Profesores estará con su especialidad, así que el problema, creo, será frenarnos una vez que nos lancemos y solicitamos para ello, un poquito de nivel para el que quiera realizarlo, con objeto de aprovechar al máximo los conocimientos que podamos proporcionar.

Abordaremos la temática de la seguridad, desde varias perspectivas incluida la del Hacking ético y tanto en entornos Windows como Linux. Para más información podéis consultar la página web de Informática64.

MS COFEE, ayudando en la lucha contra el Cibercrimen

Atendiendo a una petición que me hicieron a través de un comentario, hago este post para intentar arrojar algo de luz sobre este conjunto de herramientas que Microsoft ha consolidado en un dispositivo tipo USB y que está siendo proporcionado a diferentes cuerpos de seguridad para la ayuda en casos forenses, en lucha contra el cibercrimen.

En primer lugar decir que esta idea no es nueva y numerosas aplicaciones del mercado, como Windows Forensics Toolchest, incorpora una serie de aplicaciones free, que tienen como objetivo obtener y presentar información importante, extraída de un sistema opertativo Windows. Cofee (Computer Online Forensics Evidence Extractors), agrupa un conjunto de más de 100 aplicaciones que extraerán información de la máquina y presentarán la información, de forma que su análisis pueda ser más rápida, que los procedimientos que a día de hoy siguen los diferentes cuerpos de seguridad del estado.

Uno de los enfoques principales de la herramienta, es la de obtener información de aquellos elementos considerados como volátiles y que de una u otra forma pudieran perderse al trasladar la máquina al laboratorio o simplemente apagarla para realizar el clonado del disco. Siguiendo los protocolos para la recogida de evidencias, se establece la necesidad de obtener en primera instancia todas aquellas evidencias susceptibles de perderse y no poder ser recuperadas. Muchos cuerpos de seguridad del estado en todo el mundo, deshechan la información presente en la memoria principalmente por tres características importantes:
- Falta de tiempo para realizar análisis de toda la información de la máquina.
- Complejidad de las herramientas y procedimientos para el análisis de la memoria.
- Problemática de procedimientos legales.

La herramienta ha ido madurando poco a poco en Microsoft, la idea surge en el año 2006 y se concretó ya en pruebas desde el año pasado. La herramienta en sí, en contra de diferentes comentarios que he leído a lo largo de estos días, solo revela información que pueda ser accedida mediante otros procedimientos, y no permite el acceso a datos cifrados con sistemas como EFS o Bitlocker en modo offline. Incorpora aplicaciones de Sysinternal, comandos windows, analizadores de registro, etc., pero ninguna herramienta considerada como nueva para investigaciones de tipo forense.

Aunque la herramienta permite la obtención y presentación de evidencias de forma sencilla, nos encontramos que en los procedimientos legales de muchos países para la toma de evidencias, impiden el uso de elementos online (para evitar que usos indebidos puedan modificar o alterar las evidencias), requiriendo siempre partir del estudio de las evidencias, obtenidas a través de la clonación de los sistemas de almacenamiento sujetos a investigación.

Luego por poner un ejemplo nos encontramos casos como los análisis de máquinas en cibercafé que utilizan aplicaciones tipo Diskfreeze, que utilizas este tipo de herramientas o despídete de conseguir alguna evidencia válida. Es en esto entorno donde Cofee puede ser más vital.

Yo desde mi punto de vista y conociendo de primera mano los esfuerzos y problemas a los que se enfrentan habitualmente los diferentes Cuerpos de Seguridad del Estado en este país, considero importantísima esta iniciativa (como otras tantas que se ponen en marcha) por parte de Microsoft, para disminuir los tiempos de análisis en investigación, permitiendo cribar mejor la información importante de la trivial. El problema que se planteará en un futuro no muy lejano es si la herramienta será judicialmente válida en los diferentes países en los que podría utilizarse.

miércoles, 14 de mayo de 2008

Seminario de Legalidad

Este mes de Mayo entre los días 26 y 30 de Mayo, dirigiré un seminario en Microsoft dentro de la campaña Hand On Lab, donde se tratarán aspectos legales aplicables a la informática desde una perspectiva técnica/legal. Dentro del seminario trataremos diferentes leyes aplicables a los Sistemas Informáticos, normativas vinculantes como el Estatuto de los trabajadores y reglamentos y diferentes mecanismos de aplicación de normativas como los estándares 27000 para la gestión de sistemas de la información o la gestión y aplicación de casos forenses en entornos judicializados.

Se elaborarán y desarrollarán diferentes escenarios y laboratorios prácticos, con una resolución técnica de aplicación sobre los aspectos legales que se verán a lo largo del curso.

Los diferentes Hand on Lab, cuentan con la subvención de Microsoft, aunando por un lado laboratorios técnicos de diferentes Productos tales como Windows Server 2008, Windows Vista, Forefront, SQL Server 2008, Exchange 2007, etc., y por otro lado, formaciones de Seguridad o Legales, como el que se impartirá.

Para más información y ver el contenido completo de los diferentes laboratorios podéis dirigiros a la página Web de Informática64 o a la de Microsoft.

Adquiriendo evidencias (I)

Uno de los grandes problemas a los que nos enfretamos a la hora de realizar una toma de evidencias en un escenario de posible judicialización, es la necesidad de realizarlo sin la corrupción de las propias evidencias (por ejemplo modificación de fechas) y que nos faculte para poder realizar un análisis offline de la misma.

Yo en este sentido y puesto que no dispongo de una clonadora física, utilizo como mecanismo el uso de Adepto como sistema para la clonación de discos a través del software de Análisis Forense Helix. Este software es una distribución de Knoppix, que tiene dos formas de funcionalidad:
  • Modo online para windows con el Sistema Operativo activo que permite el análisis de aspectos importantes del sistema, como procesos, memoria, datos coultos, contraseñas, etc. Aunque presenta el problema que modifica datos y podría ser esgrimido como manipulación de pruebas. De las herramientas incluidas destaco Windows Forensic Toolchest: conjunto de herramientas "free" que adquieren datos importantes de la máquina para un forense de procesos. También como característica importante permite mediante el uso de DD de la captura online de una partición, el disco físico o la memoria RAM.
  • Modo offline, mediante LiveCD carga las particiones del disco en modo de solo lectura, impidiendo la manipulación de datos. Presenta herramientas para la adquisición de información de una máquina mediante aplicaciones forense, aunque la funcionalidad principal es un conjunto e paquetes orientado a la captuar de unidades de Disco, USB y otros sistemas de almacenamiento, que no solo realizan copiados binarios y generación de imágenes sino permiten la generación de los hashes de la copia y los ficheros de Cadena de Custodia que pueden ser presentados judicialmente. Destaco de entre estas herramientas Adepto.

En el siguiente Post enseñaré a realizar una captura de un disco con Adepto y a la obtención de los hash de la copia y los ficheros de custodia.

jueves, 8 de mayo de 2008

Jornada LOPD sobre el Nuevo Reglamento

Con fecha 5 de Junio de 2008 y acompañando a Germán Díaz, Product Manager de Microsoft Ibérica, mi compañero Chema Alonso y yo, participaremos en la Jornada Gratuita que organiza Borrmart sobre la Puesta en marcha del Nuevo Reglamento de la LOPD.



Fig.- Agenda del Evento

En dicho evento nosotros hablaremos de las nuevas funcionalidad que aportan los Nuevos sistemas Microsoft, de cara a la implementación del nuevo Reglamento. La jornada parece muy interesante además puesto que participarán otros ponentes destacados y entre ellos por parte de la Agencia Española de Protección de Datos, María Jose Blanco Antón, Subdirectora General del Registro General de Protección de Datos de la AEPD. Este encuentro permitirá además la resolución de dudas que serán tratadas por parte de los diferentes ponentes.

La Jornada se realizará en una jornada de mañana en el Hotel Meliá Castilla (C/ Capitán Haya nº 43) de Madrid y hay que tener en cuenta que la asistencia es gratuita pero las Plazas limitadas. La inscripción a la jornada puede hacerse a través de este contacto: Carmen Granados(eventos@borrmart.es o en el teléfono 914029607).

Un saludo a todos y para el que asista al evento, allí nos vemos.

miércoles, 7 de mayo de 2008

La privacidad en el Correo Electrónico de la Empresa.

Uno de los asuntos que más controversia suele surgir en los cursos técnicos/legales es el relativo a la privacidad de los buzones y el correo electrónico que la empresa proporciona a los empleados. En este sentido unos esgrimen que puesto que es un medio proporcionado por la empresa, ellos pueden controlarlo, mientras que otros articulan que deben garantizarse una serie de derechos fundamentales con respecto a la intimidad y por lo tanto no debe ser controlado por la empresa.

En este sentido y en el sentido estrictos hay dos condiciones legales que pueden contraponerse:

  • Estatuto de los trabajadores. Que concede a la empresa las garantías para poder velar por el patrimonio empresarial y la productividad de los empleados:

    20.3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

  • Constitución. En el Artículo 18 se establece las garantías para el honor y la intimidad donde se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial" , y además "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Adicionalmente en el Código Penal se recoge en su articulado la siguiente información:

Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

La última norma a tener en cuenta es la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece la necesidad de que los estados miembro garanticen la privacidad de datos en comunicaciones, incluidas las del correo electrónico.

Aunque en estos sentidos las normas fundamentales sobre el derecho a la intimidad son las garantías fundamentales y las que deben prevalecer, es bueno conocer en este sentido como se aplica la justicia. En este sentido los jueces declaran despido improcedente en aquellos casos en los que se había producido un despido donde la empresa había accedido al contenido de los correos electrónicos enviados por los empleados, salvo en los casos en los la empresa había notificado y recogido por parte de los trabajadores de una serie de conductas y normativas de uso de los sistemas informáticos en la empresa, donde sean notificadas que malos usos de las Tecnologías Informáticas pueden incurrir en despido, así como la ejecución de controles tal y como queda previsto en el Estatuto de los Trabajadores.

Así pues como condición, mientras no haya una notificación, puesto en conocimiento y aceptación por parte del empleado de los controles sobre el correo y los mecanismos sancionadores en caso del incumplimiento de las normativas, el correo se puede considerar a todos los efectos privados y no controlables.

martes, 29 de abril de 2008

Sanciones y demás.

En numerosas circunstancias los asistentes a eventos y cursos de formación me han preguntado si realmete se aplican sanciones, porque se aplican y como actúa las Agencia de Protección de Datos.

En este sentido la respuesta es siempre la misma, si se sanciona, por incumpliento de la normativa y el reglamento de seguridad y la Agencia (hasta el momento) actúa bajo denuncia previa.

En el sentido sancionador o bien la gente empieza a estar más concienciada con el asunto o realmente las cosas se hacen muy mal, porque cada vez es más habitual el la aparición de resolución de denuncias efectuadas a la Agencia de Protección de Datos y la cuantía aplicada a las misma.

Una de las últimas que parece un típico ya, es la sanción a la clínica ginecológica Centro Médico Lasaitasuna de Bilbao, que ha sido sancionada con 150.000 Euros tras localizar 11.300 datos de Pacientes que estaban circulando por Internet. La peculiaridad del caso reside que la base de datos estaba circulando por Internet en una plataforma P2P y cuando se realizó la inspección, se detectó que uno de los ordenadores que tenía acceso a los datos en la clínica tenía instalado una versión del Emule.

Aunque la sanción debería haber sido superior (de 300.000 a 600.000 Euros), debido a la falta de intencionalidad y colaboración por parte de la clínica se ha rebajado la sanción.

Desde el punto de vista técnico, muchos se estarán planteando que pintaba una aplicación tipo Emule en un Ordenador que puede manejar información crítica, aunque desgraciadamente este hecho no es una excepción y ya se ha dado con anterioridad. De aquí se ve que el gran problema de la aplicación de elementos de Seguridad basado en el reglamento de la LOPD, no se encuentra solamente en que mecanismos y procedimiento en base al Documento de Seguridad de la empresa, si no, que otras cosas deberemos evitar además para no incurrir en una falta Muy Grave.

Ya sabéis no montéis el Emule en una máquina que pueda tener o acceder a datos de Carácter Personal,... y mil cosas más.

Un saludo

lunes, 28 de abril de 2008

La importancia de los Datos Cifrados

La semana pasada muchos oiríais una noticia peculiar, por el escenario, pero no atípica entre aquellos relacionados con el mundo de la seguridad: el robo de un equipo de un directivo. La noticia hubiera sido intranscendente o hubiera pasado desapercibida si no hubiera sido de relevancia la persona contra la que se cometió el delito: Joan Laporta.

La noticia publicada en muchos periódicos , supone para muchos una anécdota pero sabemos realmente que la cuestión va más allá de todo esto, puesto que el equipo portarí información crítica por los motivos que fueran. Claro, este tipo de sucesos nos lleva a plantearnos muchas cuestiones: fallos en los procedimientos, inseguridad en los datos, necesidad de aplicación de sistemas de cifrado, consecuencias legales... Lo que puede acarrear un simple portátil.

Muchos pensarán que eso ha pasado por el mal hábito de almacenar los datos en el puesto de trabajo; que para algo están los servidores ¿No?, pero esto es demasiado habitual y cualquiera puede llegar a cometerlo: para llevarme trabajo a casa... porque tarda menos en abrir... total si conmigo está más seguro que en ninguna otra parte...

Si no confiamos al 100% en los procedimientos, deberemos por lo tanto disponer de otros mecanismos para salvaguardar los datos, y no es una necesidad impuesta por una Ley como la LOPD, si no el sentido común. Hay que tener en cuenta que cuando abandonamos nuestro puesto de trabajo dejamos a su suerte a nuestro sistema informático y el punto vulnerable lo constituye el Puesto de Trabajo. Si alguien tiene acceso físico al equipo, o hemos planteado un sistema de seguridad robusto (y eso no consiste en una Password de Bios o la contraseña del usuario de 40 caracteres), o hemos utilizado correctamente el protocolo de que en los puestos de trabajo se trabaja y el servidor almacena.

Con otro sentido, pero siguiendo la misma filosogía expuse en el Blog de Vista Técnica motivos para el Cifrado de la información. Esto daba pie a una serie de artículos sobre Bitlocker que no solo mostraban la necesidad de implantar un sistema de cifrado de disco, si no también los procedimientos técnicos para utilizar Bitlocker en un equipo.

Cifrando evita problemas legales y en muchas circunstancias que acabes con la cara roja porque tus proyectos o datos de clientes han caído en manos de un desaprensivo y los ha publicado indiscriminadamente en un sistema P2P.

Un saludo

viernes, 25 de abril de 2008

Jugemos a las diferencias

Dentro del reglamento de Seguridad para la LOPD, hay un elemento que me inquieta significativamente y del cual he intentado buscar soluciones como elemento diferenciador para Datos de nivel básico y alto. Este es el caso relativo a la salida de soportes con datos de carácter personal fuera de la organización.

Esto es lo que nos cuenta el reglamento relativo a este tema:

Para datos de tipo básico:

Artículo 92. Gestión de soportes y documentos.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.


Para datos de tipo Alto.

Artículo 101. Gestión y distribución de soportes.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.


Pues en este sentido para los datos de tipo básico, ya tengo claro que recomendar a mis clientes para aplicar las medidas:
- Sustracción: Rodear al portador de los datos de 4 matones.

- Pérdida: Meter los datos en un maletín y esposarlo al portador.

- Acceso indebido: Que el portador aprenda técnicas de defensa personal y al que se acerque indebidamente le aplique un correctivo o en su defecto que la técnica la apliquen los 4 sujetos del primer punto.

Porque todo esto, ¡Pues porque no voy a cifrar ya que eso me lo exigen solo para datos altos!, parecería excesivo que aplicara cifrado a datos de tipo básico, habiendo otras soluciones :) (un poco más caras pero no por ello no efectivas).

Si alguno puede aportar alguna idea se aceptarán gustosamente.

Un saludo.

miércoles, 23 de abril de 2008

El problema de registros de accesos en la LOPD

Cuando planteamos en las empresas la necesidad de realizar un tratamiento de seguridad en función de la normativa vigente, no solo planteamos la aplicación una serie de medidas de seguridad, sino también una inversión en coste ecnonómico y lo que a veces es más importante, en tiempo.

Evidentemente este no cae en saco roto, pero a veces los planteamientos son tan exigentes que son difíciles de cumplimentar. El mejor ejemplo que puede plantearse, es la necesidad impuesta por el reglamento de seguridad, para datos de Carácter Personal de Nivel Alto, del mantenimiento de un sistema de registro de acceso a la información:

"Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad."


Si alguno no se ha fijado bien, hay dos elementos aquí que puden considerarse cuanto menos complicados para su cumplimiento:

4. El período mínimo de conservación de los datos registrados será de dos años.

Hombre casi todos pensaréis que todo depende de los Logs y que yo tampoco genero tantos, pero el administrador de un hospital, por poner un ejemplo, seguro que se estará echándo a temblar, puesto que habría que evaluar la cantidad y capacidad necesaria de almacenamiento para mantener todos estos registros durante 2 años. Cintas, cintas, cintas,... y un buen sistema de gestión y almacén para salvaguardarlas convenientemente.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Puff, pues ya puede armarse de un cargamento de tila, para ir analizando los logs en busca de una posible incidencia (claro si hay alguna, pero mejor mirarlo todo por si acaso), que implique la aplicación de una medida correctora. Si tenemos en cuenta que el responsable de seguridad tendrá numerosos cometidos, la dedicación a la generación del informe, supondría un coste en tiempo (y también en paciencia) que implicará otras cuestiones adicionales a la del puro análisis.

En este sentido yo suelo recomendar el uso de consolidadores de logs, que permiten la recolección de las auditorías, permitiéndonos establecer un sistema de preaviso y reactivo ante incidencias, a la vez que nos permite la generación de un sistema de informes que con un golpe de click nos ahorre la tediosa tarea de su generación manual. Si nunca habéis trabajo con un consolidador de logs, y tenéis entornos Windows os recomiento uno que es relativamente fácil de configurar y utilizar, pero no por ello deja a un lado la potencia: GFI Event Manager.

Para otros entornos existen otros tipo de consolidadores de logs que dan respuesta a múltiples necesidades.

Un saludo y que no os coman los informes.

viernes, 14 de marzo de 2008

Webcast legales

Para los días 25 y 26 de Marzo tengo previsto en horario de 17:00 horas realizar dos webcast más que tratarán nuevamente de aspectos legales.

En esta circunstancia y siguiendo con el ciclo abierto en los anteriores wecast, realizaremos una nueva incursión en el mundo de la LOPD, esta vez tratada desde el punto de vista de las Bases de Datos, Correo Electrónico y los sistemas Documentales.

Para el siguiente Webcast, tendremos como temática la aplicación de una normativa muy importante para muchas empresas, que basan sus negocion en el comercio electrónico y donde se abordarán aspectos legales sobre el Spam entre otras y casuisticas aplicables a la misma: La LSSI

Para todos aquellos preocupados con la seguridad y ya en formato tipo Hand on Lab, en la primera semana de Abril realizaremos un laboratorio ProtegeIT, con la temática de la protección del puesto de trabajo Cliente. Para todos aquellos que quieran conocer un poco más de los Hand on Lab o la información disponible para este laboratorio u otro de los que impartimos podéis consultar la página Web de Informática64 o bien a través del enlace correspondiente en la página de Microsoft.

Un saludo y nos vemos.

miércoles, 12 de marzo de 2008

La LOPD y el correo electrónico

Curiosamente uno de los grandes problemas que nos encontramos a la hora de realizar una aplicación de mecanismos de seguridad enfocada a la LOPD, es la problemática del correo.

No se si alguna vez os habéis parado a pensar lo mecanimos de intercambio de información que pueden afectar a los datos de carácter personal y que pueden manejar nuestras empresas. Seguramente que entre otros, el correo electrónico pudiera constituir uno de ellos. Claro está, que cuando pensamos en datos de carácter personal, nuestra vista se fija inmediatamente en los servidores de base de datos que alojan la información o bien en los servidores de ficheros o colaboración. Pero ¿que es el servidor de correo electrónico, sino una base de datos tambien (no relacional, pero al fin y al cabo supone un almacenamiento)? Los buzones que aloja también depositan información, y alguna de esta pueda estar sujeta a LOPD.

Cuando me preguntan en cursos o reuniones si hay que aplicar también LOPD sobre los servidores de correo, yo siempre pregunto, si cuando intercambian la información de datos de un servicio ofrecido para depositar dichos datos en la base de datos, se borra con posterioridad esos correos, o quedan depositados como un repositorio más en la empresa.

Si es este último ejemplo, entonces sí tendremos que tener en cuenta este hecho para la aplicación de mecanismos de LOPD sobre el sistema de correo. De todas formas y afortunadamente nuestros sistemas ya cuentan con funcionalidades, que por el simple hecho de aplicarlas, ya nos ayudan a implementar los sistemas de seguridad exigibles por el reglamento.

lunes, 4 de febrero de 2008

Todas las evidencias válidas???

La semana pasada estuve con la gente de IIR Portugal (aprovecho para saludar tanto a los organizadores como a los asistentes, por la acogida y el discurrir del evento), dando un seminario de Forense Digital. Como suele ocurrir en este tipo de evento, surgen siempre una serie de incertidumbres relativas a la toma de Evidencias que implican evaluar determinados aspectos legales para comprobar su validez.

Uno de los temas más controvertidos, siempre suele surgir cuando se estima, la posible validez de los datos presentados en un Juicio a partir de una evidencia como pudiera ser la RAM. Un correcto análisis de esta puede revelar datos muy relevantes de la información y procesos existentes en un ordenador, pero implica la toma de estos datos en caliente.

El problema por lo tanto surge, cuando tenemos que conseguir dichos datos, sin alterar la información que pudieran llevar (claro sin instalar ninguna aplicación o iniciarla y que esta no quede registrada en la misma RAM). Las disyuntiva en sí no radica en la toma de esta memoria, si no que en un Juicio la otra parte pueda alegar que se ha podido producir una posible alteración o manipulación de todas las evidencias, por haber hecho uso o instalación de una aplicación antes de haberse producido la toma de las evidencias.

En los procedimientos habituales la toma de evidencias se toma de forma off-line, y validándolas mediante la firma digital, asegurando por lo tanto, que no se va a producir una alteración de estas evidencias. Este procedimiento no puede ser utilizado por la RAM, por lo que dudosamente pueda presentarse conclusiones en un juicio partiendo de la RAM como evidencia.

Y si perdemos esa información, donde podemos encontrar información relevante... pues en el Fichero de Paginación.

En el caso de no querer judicializar el caso la información presente en la RAM, puede ser determinante, especialmente en escenarios de Malware. Si queréis conocer como se realizan los procedimientos de análisis en RAM, os recomiendo le echéis un vistazo al Diario de Juanito, donde entre otras cosas y a un gran nivel técnico nos revela procedimientos y metodologías para el análisis de memoria RAM.

Entrada en vigor del nuevo Reglamento de la LOPD

Curiosamente cuando cree el anterior post "Sobre la entrada en vigor del nuevo Reglamento", me hacía eco de la noticia que indicaba que había sido aprobado en consejo de Ministros, pero que todavía no había sido publicado en el BOE, pues no tuvimos que tardar mucho tiempo para que finalmente apareciera.

Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal.

Aunque la publicación del Real Decreto ya se ha hecho efectiva, disponemos hasta el 19 de Abril, para evaluar y aplicar las medidas correctoras oportunas, fecha en la que se producirá la entrada en vigor del mismo. Este Real Decreto deroga los antiguos 94/14121 y 99/13967.

Como ya comenté en su momento este reglamento, aunque amplía, define y modifica, algunos articulados en cuanto al tratamiento de los Datos de Caráter Personal automatizados, viene a definir también el tratamiento que debe hacerse de los mismos en ficheros no automatizados.

Bueno ya lo sabemos todos y que no nos pille el toro.

miércoles, 23 de enero de 2008

Los delitos informáticos a nivel internacional

Puesto que la informática ha conseguido la eliminación de las barreras físicas o lógicas de los países, así como las bases legales de cada uno, muchas veces nos planteamos que pasa cuando se comete un delito en el que se ven involucrados varios países.

Uno de los problemas en materia reguladora de Cibercrimen y la aplicación de las leyes, son los diferentes acuerdos y normativas que deberían aplicarse como normativas en los Países. El problema es el descontrol ocasionado y las distintas medidas aplicadas en los mismos. Los diferentes organismos de la Unión Europea tienen precisamente como objetivo regular y establecer los mecanismos de control sobre legislación y relación entre los países miembros, pero claro está estos acuerdos suelen quedarse únicamente en los estados miembros de la Unión Europea.

Pero curiosamente el 23 de Noviembre de 2001 se firma en Budapest un convenio de Ciberdelincuencia del Consejo de Europa al que se suman también EEUU, Canadá y Japón, y que luego es también suscrito posteriormente por otros países en el marco europeo e internacional, y queda abierta la inclusión por invitación o requerimiento de cualquier país al que quiera suscribirse. Aunque este convenio solo definía en esencia unas bases normativas y legales ya ha proporcionado la base de apoyo y acuerdos de Cuerpos de Seguridad del Estado de diferentes países para un esfuerzo común, como la que se ha producido en la lucha contra la Pederastia en distintas operaciones realizadas.

No obstante el hecho de que muchos países no tengan unos mecanismos reguladores en estas materias y no mantengan acuerdos internacionalidad (a veces incluso ni los mecanismos de control necesarios), se convierten en verdaderos paraísos para la comisión de delitos que quedan impunes y del que una buena investigación pueda acabar finalmente en un abismo de imposible resolución.

lunes, 21 de enero de 2008

Con la RFC por delante

Resulta claro que las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa. Muchas veces me han preguntado un código de buenas prácticas para tomar evidencias o una referencia para estas. Evidentemente las circunstancias varían en función de muchas características:

- Los sistemas operativos involucrados.
- Donde se encuentra la información.
- Las consecuencias legales.
- Que herramientas utilizamos para la toma de información.
- …

Aunque al final cada cual establece un mecanismo para la recogida de las evidencias, su almacenamiento y establece sus controles oportunos, fue emitida por la Internet Society y la IETF, una RFC con una Guía para la recolección y almacenamiento de evidencias. Esta guía, la ETF RFC 3227, determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias.

Evidentemente por muy buena RFC que pueda ser, la supeditación a las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas:

“2.1 Order of Volatility

When collecting evidence you should proceed from the volatile to the
less volatile. Here is an example order of volatility for a typical
system.

- registers, cache

- routing table, arp cache, process table, kernel statistics,
memory

- temporary file systems

- disk

- remote logging and monitoring data that is relevant to the
system in question

- physical configuration, network topology

- archival media”

Claro que esto supone un pequeño problema. Algunas de las recogidas de estas evidencias, supone el uso de herramientas in situ, sobre la máquina afectada que podría implicar una modificación del estado de la máquina por muy cuidadoso que quiera ser uno, y claro si la necesidad del caso implica la judicialización del mismo, ¿Quién se arriesga posteriormente a que las pruebas presentadas puedan ser rechazadas por manipulación del entorno?

Este tema siempre ha abierto un debate muy interesante allí donde lo he llevado, puesto que por el hecho de no modificar el escenario puedes perder información relevante, pero si la tomas puedes invalidar el resto, con un astuto abogado por la otra parte o …

Bueno esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe y como me dijeron una vez, ¡ante la duda tira de cable y luego haz la copia!

sábado, 19 de enero de 2008

Webcast

Los próximos días 5 y 7 de febrero realizaré dos Webcast en horario de 17:00 a 18:00horas. Estos Webcast como todos requieren del registro para poder hacer el seguimiento en directo, aunque el que no pueda a esta hora podrá acceder posteriormente a él unos días después.

Estos webcast trataran como no sobre aspectos leglaes y su aplicación sobre entornos Microsoft.

El primero de los Webcast llamado normas y reglamentaciones aplicables a Tecnologías Informáticas, tratará de explicar que leyes se están aplicando acutalmente en España y como deben ser tratadas desde el punto de vista IT. Se analizará también la adecuación de los entornos a dichas leyes.

En el segundo de los Webcast sobre introducción a la LOPD, se tratará sobre la Ley de Protección de datos de Carácter Personal así como su reglamento de seguridad correspondiente (nombraré también el nuevo reglamento de seguridad) y analizaremos algún escenario visto desde el punto de vista de entornos Windows.

Un saludo

viernes, 18 de enero de 2008

Drogas, alcohol, velocidad y ... Hacking ético

Con ese titular, solo puede ser … cachondeo … pues no también la reforma del código penal. A pesar de que una de las repercusiones mayores que ha tenido el código penal corresponde al hecho de que en cualquier momento cualquiera será un criminal por beber, drogarse, o hacer de Fernando Alonso, resulta que una modificación en el Código Penal incide también en la figura del Hacking Directo (entre nosotros Hacking Ético).

Hasta ahora un pequeño tirón de orejas o soltar la calderilla del bolsillo (unos 600€), constituía el hecho de haber hecho unos pequeños pinitos en el mundo de Internet.

Pues ahora tendremos que andar con un poco más de cuidado si no queremos dar con nuestros huesos en un juzgado y pasar por… bueno como Carabanchel cerró pues ahora por Navalcarnero, si cometéis más de una pifia.

La reforma corresponde a la modificación del artículo 197 de la Ley Orgánica 10/1995 del Código Penal, por el que se añade un epígrafe 3 donde se expone:

“3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.”

… Y esto significa ¡premio para el Hacking Ético! Ya no solo está penado la substracción, eliminación o alteración de datos, si no también el acceso que vulnere las medidas de seguridad. Algunos aunque se afanen en hacer uso de Proxy o demás intentando burlar la legalidad internacional, hay que tener cuidado porque nunca sabremos si existen acuerdos internacionales en materias de delitos informáticos (ya iré hablando de ellos) o si pueden rastrear nuestra conexión de forma inversa.

Y puesto que decimos que las pruebas mejor con Gaseosa y alguno quiere hacer sus pinitos en esto del mundo de la seguridad o mejorar y conocer nuevas técnicas, os recomiendo que probéis los Retos Hacking de El Lado del Mal, de los cuales podréis acceder a través del blog www.elladodelmal.com
Suerte a los que queráis probar los retos y cuidado con lo que hacéis…

jueves, 17 de enero de 2008

¡Cuidado con las evidencias!

Cuando en las presentaciones, seminarios o cursos que doy sobre Forense Digital, refiero la importancia no solo tomar tanto correctamente aquellas evidencias que puedan ofrecernos resultados, sino que sean judicialmente válidas, no sea que por un uso indebido o simplemente no puedan recogerse, podamos invalidarlas o incluso volverse en nuestra contra.

Pongo como ejemplo un caso bastante peculiar, que aunque no tiene relación con casos forenses y ya tiene algunos años, si nos muestra que una incorrecta recogida de determinada información y presentada inoportunamente pueden dar con nuestros huesos en la cárcel. Aunque tenéis toda la información en este artículo del País, os detallo la noticia y sus consecuencias visto también desde la perspectiva de un Peritaje Forense.

En este caso un hombre instala un software de recogida de información en su ordenador personal doméstico, para conocer el uso que se le está dando al mismo, porque sospecha que la asistenta lo utiliza, debido al incremento de la tarifa telefónica. Su sorpresa, cuando empieza a recibir los reportes, es que no es su asistenta, sino su mujer quien hace uso del equipo para contactar con otra persona con la que contenía contactos sexuales y de las que se desprendía además que iba a iniciar un proceso de separación.

Ante el miedo de que la hija en común quedara desatendida por su madre, en base a ciertas conversaciones que había recogido, se elabora por parte de una detective un informe que es entregado en el Juzgado de familia tras iniciarse el proceso de separación. Tras la revisión del informe por parte de la magistratura, el marido obtiene la custodia de la hija.

El problema se presenta cuando la ex-mujer denuncia a su marido y a la detective por descubrimiento y revelación de secreto alegando que se ha violado la intimidad, cuestión que es España está considerada como antijurídico y que ocasiona que aunque la detective quede absuelta, por limitarse a elaborar un informe, el ex-marido es acusado a pena de seis meses de cárcel por vulnerar la intimidad y todas las consecuencias que este pudiera llevar.

Desde el punto de vista Forense Pericial, esta misma circunstancia implicaría la malversación de las pruebas por haberse obtenido mediante un mecanismo no lícito, sin la debida judicialización del caso, que sí permitiría tomar unas evidencias bajo el amparo de la justicia, respetando no obstante las normativas derivadas.

Por ello cuando hablamos de la debida y correcta manipulación de pruebas y evidencias debemos tener en cuenta que por divulgación de la información, aunque estas puedan ser constitutivas de delito, existe una máxima que nos dice que un delito no exime a otro delito y que la omisión del conocimiento de una ley (o una infracción) tampoco exime de haber cometido el delito.

miércoles, 16 de enero de 2008

Entrada en vigor del nuevo reglamento de la LOPD

Bueno aunque con retraso y como respuesta al post que ya había puesto sobre el "Reglamento que viene", el pasado 21 de Diciembre de 2007 fue aprobado en Congreso de Ministros el nuevo reglamento de desarrollo de la LOPD y establece la entrada en vigor 3 meses después de la publicación en el BOE (Cosa que a fecha de hoy no se ha realizado).

Como ya comenté (y ya he empezado a desgranar con el Post anterior) iremos viendo en que medida nos puede afectar a todos esta nueva entrada en vigor. Ya de entrada como necesidad importante (aunque parece que no nos afecta inicialmente para el personal IT), la aplicación de los mecanimos de protección de datos en soporte no informatizado, por lo que se deben ir haciendo ya los ajustes necesarios.

La información podéis seguirla a través del siguiente enlace:
http://www.la-moncloa.es/ConsejodeMinistros/Referencias/_2007/refc20071221.htm#Datos

Aunque iremos tratando el tema, tendremos una cita el día que se publique dicho reglamento en el BOE y analizaremos si este reglamento ha sufrido alguna modificación con respecto al último borrador existente y del que ya había puesto el enlace en el Post anteriormente mencionado.

Legaliz@IT

Para esta nueva campaña de Hand On Lab que comienza en Enero hemos incorporado una nueva serie de laboratorios y componentes que han sido demandados por los asistentes de anteriores ediciones. Uno de los temas que más ha preocupado en general, ha sido todo aquello lo tocante en aspectos legales que pudieran afectar a todo el entorno IT, y del que desgraciadamente se desconoce bastante pero que nos influye significativamente.

Ya iniciamos una andadura en este campo, con los Hand On Lab basados en la LOPD, con una gran aceptación y que llevados tanto a sus aspectos legales como su posible aplicación técnica en entornos Windows, han conseguido llegar esta normativa a informáticos, estableciendo esa vinculación técnica-legal necesaria. Evidentemente y ante la acogida recibida entre el personal IT y la demanda para la ampliación de la misma a otras Leyes, Reglamentos e Instrucciones existentes, lanzamos un nuevo HOL con duración de 30 horas con el nombre de LEGALIZ@IT y que recoge estas demandas en un escenario nuevamente técnico-legal. En este nuevo laboratorio nos vamos a encontrar además de la LOPD visto desde nuevos escenarios y con la base de aplicación del nuevo Reglamente de Seguridad, que amplía y ofrece una nueva perspectiva a los HOL sobre LOPD impartidos anteriormente, normativas sobre el Código Penal referente a los delitos informáticos, Ley de Acceso electrónico, Ley de Propiedad, LSSI, los reglamentos correspondientes a estas leyes y otras normativas tales como la PCI-DSS y la ISO 27000. Además de los aspectos legales, se realizarán laboratorios con resolución de escenarios planteables para las normativas en vigor, basados en arquitecturas y productos de Microsoft.

La fecha de impartición del Hand On Lab LIT-01 Legaliz@IT será del 4 al 8 de Febrero en horario 8:30-14:30

Si quieres más información de la campaña puedes obtenerla a través de la web:
http://www.microsoft.com/spain/seminarios/hol.mspx

El factor usuario en el nuevo reglamento de la LOPD.

Uno de los temas más controvertidos en el nuevo reglamento de LOPD, representa el hecho de que para los documentos de nivel Básico establece con respecto a la autentificación

"Artículo 91. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios. Para ello
podrán utilizarse entre otros, mecanismos basados en certificados digitales
electrónicos o en el reconocimiento de datos biométricos.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible."

Como comprobaréis el epígrafe 2 establece la necesidad de crear objetos únicos relacionados para cada usuario que accedan a datos de carácter personal de tipo básico, en contra de lo establecido hasta ahora en el reglamento existente, que era de requerimiento solo para datos de nivel medio. Claro ¿qué empresa no tiene datos de caracter básico? ¿ todas cumplen estos requisitos?

Si analizamos la problemática, veremos que muchas aplicaciones de gestión o acceso a datos utilizan una única cuenta compartida por varios usuarios que evidentemente este artículo invalidaría por considerarlas genéricas. Este pequeño ajuste podría suponer cambios en las aplicaciones que posiblemente algunas empresas no puedan llevar a cabo o a generar nuevas versiones de aplicaciones de gestión muy comunes en las PYMES.

Si hacemos una última reflexión, que sentido tiene forzar a utilizar una cuenta para usuario si luego no tengo porque hacer un registro de las acciones; un sinsentido...