martes, 29 de abril de 2008

Sanciones y demás.

En numerosas circunstancias los asistentes a eventos y cursos de formación me han preguntado si realmete se aplican sanciones, porque se aplican y como actúa las Agencia de Protección de Datos.

En este sentido la respuesta es siempre la misma, si se sanciona, por incumpliento de la normativa y el reglamento de seguridad y la Agencia (hasta el momento) actúa bajo denuncia previa.

En el sentido sancionador o bien la gente empieza a estar más concienciada con el asunto o realmente las cosas se hacen muy mal, porque cada vez es más habitual el la aparición de resolución de denuncias efectuadas a la Agencia de Protección de Datos y la cuantía aplicada a las misma.

Una de las últimas que parece un típico ya, es la sanción a la clínica ginecológica Centro Médico Lasaitasuna de Bilbao, que ha sido sancionada con 150.000 Euros tras localizar 11.300 datos de Pacientes que estaban circulando por Internet. La peculiaridad del caso reside que la base de datos estaba circulando por Internet en una plataforma P2P y cuando se realizó la inspección, se detectó que uno de los ordenadores que tenía acceso a los datos en la clínica tenía instalado una versión del Emule.

Aunque la sanción debería haber sido superior (de 300.000 a 600.000 Euros), debido a la falta de intencionalidad y colaboración por parte de la clínica se ha rebajado la sanción.

Desde el punto de vista técnico, muchos se estarán planteando que pintaba una aplicación tipo Emule en un Ordenador que puede manejar información crítica, aunque desgraciadamente este hecho no es una excepción y ya se ha dado con anterioridad. De aquí se ve que el gran problema de la aplicación de elementos de Seguridad basado en el reglamento de la LOPD, no se encuentra solamente en que mecanismos y procedimiento en base al Documento de Seguridad de la empresa, si no, que otras cosas deberemos evitar además para no incurrir en una falta Muy Grave.

Ya sabéis no montéis el Emule en una máquina que pueda tener o acceder a datos de Carácter Personal,... y mil cosas más.

Un saludo

lunes, 28 de abril de 2008

La importancia de los Datos Cifrados

La semana pasada muchos oiríais una noticia peculiar, por el escenario, pero no atípica entre aquellos relacionados con el mundo de la seguridad: el robo de un equipo de un directivo. La noticia hubiera sido intranscendente o hubiera pasado desapercibida si no hubiera sido de relevancia la persona contra la que se cometió el delito: Joan Laporta.

La noticia publicada en muchos periódicos , supone para muchos una anécdota pero sabemos realmente que la cuestión va más allá de todo esto, puesto que el equipo portarí información crítica por los motivos que fueran. Claro, este tipo de sucesos nos lleva a plantearnos muchas cuestiones: fallos en los procedimientos, inseguridad en los datos, necesidad de aplicación de sistemas de cifrado, consecuencias legales... Lo que puede acarrear un simple portátil.

Muchos pensarán que eso ha pasado por el mal hábito de almacenar los datos en el puesto de trabajo; que para algo están los servidores ¿No?, pero esto es demasiado habitual y cualquiera puede llegar a cometerlo: para llevarme trabajo a casa... porque tarda menos en abrir... total si conmigo está más seguro que en ninguna otra parte...

Si no confiamos al 100% en los procedimientos, deberemos por lo tanto disponer de otros mecanismos para salvaguardar los datos, y no es una necesidad impuesta por una Ley como la LOPD, si no el sentido común. Hay que tener en cuenta que cuando abandonamos nuestro puesto de trabajo dejamos a su suerte a nuestro sistema informático y el punto vulnerable lo constituye el Puesto de Trabajo. Si alguien tiene acceso físico al equipo, o hemos planteado un sistema de seguridad robusto (y eso no consiste en una Password de Bios o la contraseña del usuario de 40 caracteres), o hemos utilizado correctamente el protocolo de que en los puestos de trabajo se trabaja y el servidor almacena.

Con otro sentido, pero siguiendo la misma filosogía expuse en el Blog de Vista Técnica motivos para el Cifrado de la información. Esto daba pie a una serie de artículos sobre Bitlocker que no solo mostraban la necesidad de implantar un sistema de cifrado de disco, si no también los procedimientos técnicos para utilizar Bitlocker en un equipo.

Cifrando evita problemas legales y en muchas circunstancias que acabes con la cara roja porque tus proyectos o datos de clientes han caído en manos de un desaprensivo y los ha publicado indiscriminadamente en un sistema P2P.

Un saludo

viernes, 25 de abril de 2008

Jugemos a las diferencias

Dentro del reglamento de Seguridad para la LOPD, hay un elemento que me inquieta significativamente y del cual he intentado buscar soluciones como elemento diferenciador para Datos de nivel básico y alto. Este es el caso relativo a la salida de soportes con datos de carácter personal fuera de la organización.

Esto es lo que nos cuenta el reglamento relativo a este tema:

Para datos de tipo básico:

Artículo 92. Gestión de soportes y documentos.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.


Para datos de tipo Alto.

Artículo 101. Gestión y distribución de soportes.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.


Pues en este sentido para los datos de tipo básico, ya tengo claro que recomendar a mis clientes para aplicar las medidas:
- Sustracción: Rodear al portador de los datos de 4 matones.

- Pérdida: Meter los datos en un maletín y esposarlo al portador.

- Acceso indebido: Que el portador aprenda técnicas de defensa personal y al que se acerque indebidamente le aplique un correctivo o en su defecto que la técnica la apliquen los 4 sujetos del primer punto.

Porque todo esto, ¡Pues porque no voy a cifrar ya que eso me lo exigen solo para datos altos!, parecería excesivo que aplicara cifrado a datos de tipo básico, habiendo otras soluciones :) (un poco más caras pero no por ello no efectivas).

Si alguno puede aportar alguna idea se aceptarán gustosamente.

Un saludo.

miércoles, 23 de abril de 2008

El problema de registros de accesos en la LOPD

Cuando planteamos en las empresas la necesidad de realizar un tratamiento de seguridad en función de la normativa vigente, no solo planteamos la aplicación una serie de medidas de seguridad, sino también una inversión en coste ecnonómico y lo que a veces es más importante, en tiempo.

Evidentemente este no cae en saco roto, pero a veces los planteamientos son tan exigentes que son difíciles de cumplimentar. El mejor ejemplo que puede plantearse, es la necesidad impuesta por el reglamento de seguridad, para datos de Carácter Personal de Nivel Alto, del mantenimiento de un sistema de registro de acceso a la información:

"Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad."


Si alguno no se ha fijado bien, hay dos elementos aquí que puden considerarse cuanto menos complicados para su cumplimiento:

4. El período mínimo de conservación de los datos registrados será de dos años.

Hombre casi todos pensaréis que todo depende de los Logs y que yo tampoco genero tantos, pero el administrador de un hospital, por poner un ejemplo, seguro que se estará echándo a temblar, puesto que habría que evaluar la cantidad y capacidad necesaria de almacenamiento para mantener todos estos registros durante 2 años. Cintas, cintas, cintas,... y un buen sistema de gestión y almacén para salvaguardarlas convenientemente.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Puff, pues ya puede armarse de un cargamento de tila, para ir analizando los logs en busca de una posible incidencia (claro si hay alguna, pero mejor mirarlo todo por si acaso), que implique la aplicación de una medida correctora. Si tenemos en cuenta que el responsable de seguridad tendrá numerosos cometidos, la dedicación a la generación del informe, supondría un coste en tiempo (y también en paciencia) que implicará otras cuestiones adicionales a la del puro análisis.

En este sentido yo suelo recomendar el uso de consolidadores de logs, que permiten la recolección de las auditorías, permitiéndonos establecer un sistema de preaviso y reactivo ante incidencias, a la vez que nos permite la generación de un sistema de informes que con un golpe de click nos ahorre la tediosa tarea de su generación manual. Si nunca habéis trabajo con un consolidador de logs, y tenéis entornos Windows os recomiento uno que es relativamente fácil de configurar y utilizar, pero no por ello deja a un lado la potencia: GFI Event Manager.

Para otros entornos existen otros tipo de consolidadores de logs que dan respuesta a múltiples necesidades.

Un saludo y que no os coman los informes.