martes, 11 de diciembre de 2012

Cloud, Google y la protección de datos en Europa

Un aspecto muy significativo que debía llevar implícito el estar dentro del espacio común europeo, lo constituye la unicidad de criterios en cuento a la aplicación de normativas conjuntas. Aunque esto se cumple a medias, es cierto que cada país presenta sus propias normas y adecúan las leyes según sus criterios con un "marco común". En materia de protección de datos sucede así, existe un marco general, pero la aplicación así como la interpretación es propia del país, lo que implica un conglomerado de idiosincrasias muy interesante.

No obstante existe la tendencia de generar criterios únicos para todos los países integrantes, ahí queda la proposición para una reforma general en materia de protección de datos. Un caso interesante del nuevo modelo, es la posición que presenta el grupo de trabajo de la Unión Europea de protección de datos, con respecto al cambio en la política de seguridad que presentó Google en marzo de este año. Emitido a mediados de Octubre, establece la necesidad de que Google aclare una serie de procesos y acciones con respecto al tratamiento de los datos. Es curioso por ejemplo que se solicita la extensión de determinadas operaciones destinadas a la protección de datos únicamente en Alemania para Google Analytics.

Leyendo el documento queda claramente evidente que se ha llegado técnicamente a una revísión de las condiciones de seguridad y el tratamiento de los datos, y no solo superficialmente a la revisión testimonial que se ha realizado en ocasiones. Si esta labor continúa con múltiples servicios que se ofrecen por Internet a buen seguro la protección de datos sera poco a poco una realidad.

Y es que con el auge de la tecnología Cloud, la privacidad es para tomárselo muy en serio. Cada vez los datos que se almacenan son más voluminosos y la información se encuentra más dispersas. Sin un ente regulador podríamos acabar en el más completo de los desamparos. Sirva también de lectura este documento sobre el impacto y el estado de la protección de datos europea con el uso de la nube, emitido por Pete Hustinx Supervisor e la Protección de Datos en Europa. 

domingo, 14 de octubre de 2012

Windows Essentials 2012: protección infantil

En un post anterior hablaba de la importancia de que los padres asuman su responsabilidad con la educación de los hijos en el uso de Internet y de medios tecnológicos. Desde ese momento algunas personas me han solicitado información sobre alguna herramienta para el control parental. Aunque sigo argumentando que la concienciación supone el mejor camino, no soy menos consciente de la necesidad que supone en ocasiones el saber qué está pasando. Desgraciadamente hay muchos casos en el que el desconocimiento de las acciones que realizan los hijos puede acabar en un problema difícil de solventar.

Para la plataforma Microsoft, los padres disponen del sistema de protección infantil que proporciona Windows Essentials 2012. Este programa permite la vinculación de las cuentas del equipo con una identidad tipo Windows Live, de tal forma que se puede controlar múltiples aspectos del uso de un equipo a través del servicio de Family Safetely. Activado el control sobre una cuenta de usuario local, se pueden establecer:
  • Listas blancas y negras de aplicaciones Web.
  • Límites de tiempo para el uso de los sistemas.
  • Control de acceso a sitios mediante aprobación.
  • Restricción y control de aplicaciones locales.
  • Restricción de juegos.
Adicionalmente la solución proporciona un informe muy interesante de actividades, donde se detallan las actividades por sesiones, aplicaciones utilizadas, archivos descargados y otras acciones.

Evidentemente este servicio se centra en las actividades que se producen en los equipos donde hay control de actividad. Sin embargo no hay que obviar el hecho de que en la actualidad la conexión a Internet se puede realizar de múltiples formas y por lo tanto el control necesario en todos ellos.

Saludos

lunes, 10 de septiembre de 2012

¿Cómo denunciar la vulneración de derechos ante la AEPD?


En ocasiones muchas personas ven vulnerados sus derechos contra la intimidad, siendo sus datos de carácter personal tratados de forma inadecuada. Aunque ante este hecho cabe presentar denuncia, muchas veces no se sabe dónde acudir o cómo hacerlo. El primer instinto consiste en presentar denuncia por los procesos convencionales: los cuerpos de seguridad del estado. Pero se suele desestimar puesto que se piensa que el proceso será lento y a lo mejor no lo suficientemente importante para que llegue a buen puerto. Así que se deshecha la idea de presentar denuncia, aun existiendo canales directos y bastante rápidos.
Es poco conocido que en lo referente a datos de carácter personal, la Agencia española de Protección de Datos, tiene capacidad de dictamen sancionado a través de su Director por las denuncias presentadas.  Por lo tanto ante ella puede realizarse reclamación. Pero ¿cómo puede realizarse este trámite de forma rápida?

En mayo de este mismo año la Agencia de Protección de Datos, puso a disposición de todo el mundo su nueva sede electrónica donde se amplia la oferta de servicios de administración electrónica que ya ofrecía la Agencia como el del sistema NOTA para la solicitud de inscripción, modificación o eliminación de ficheros. Dentro de las posibilidades que proporciona esta sede electrónica, se encuentra la de presentación de denuncia.

Para ello el propio proceso ofrece dos posibilidades, la del uso de certificado electrónico o a través de soporte en papel. En ambas circunstancias hay que tener presente que la denuncia nunca es anónima y requiere de la identificación de la persona que la realiza. En el caso del certificado electrónico es directa, en el caso del formato en soporte papel, debe escanearse el NIF/NIE/NIF y remitirlo junto con el formulario de forma telemática. También si no se hace uso de certificado electrónico, la solicitud deberá imprimirse, firmarse y presentarse ante la Agencia Española de Protección de Datos en C/Jorge Juan nº6, 28001 Madrid o en cualquiera de las formas que reconoce la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común.

Esta posibilidad permite que la denuncia llegue directamente ante quien jurisprudencia administrativa para emitir procedimiento sancionador. El proceso de la Agencia pone fin a la vía administrativa, pudiendo poner posteriormente un recurso de reposición ante el propio Director de la Agencia o un recurso administrativo en la Audiencia Nacional.

Por lo tanto si consideras que se ha vulnerado la protección de los datos de carácter personal, tienes a tu disposición un procedimiento rápido ante el que ejercer tu derecho de denuncia.

miércoles, 1 de agosto de 2012

Windows Server 2012 a punto. Sidertia está preparada.

Parece mentira pero hace ya algo más de cuatro años, que salió Windows Server 2008. Tuve la suerte por aquellas fechas de participar en el lanzamiento del producto junto con un gran profesional como es Julián Blázquez. Recuerdo como días antes de tener que presentar a profesionales IT, en un evento que organizó Microsoft para el lanzamiento del producto en España, preparábamos en un equipo  in extremis el servicio de Hyper-V que se encontraba aún en fase Beta (en aquella época no resultaba fácil conseguir un equipo en condiciones para realiza las pruebas de funcionalidad de Hyper Visor) y otras características que resultaban innovadoras. Años después vemos aquellas intensas jornadas como una anécdota, que recordamos intentando obviar los malos momentos que pasamos para que aquello andara como nosotros queríamos que hiciera.

Mañana Julián, compañero con el que tengo la grandísima suerte de  trabajar en Sidertia, inicia a través de un Webcast que se coordina junto con Technet  un nuevo ciclo de eventos online sobre la  nueva solución de Microsoft: Windows Server 2012. Me consta de primera mano que la situación en este momento resulta muy diferente a la de hace cuatro años puesto que Julián lleva ya bastante tiempo probando e investigando en la nueva versión de sistema operativo servidor.

En esta primera sesión Julián abordará las nuevas novedades que ofrece la solución. Desde la perspectiva que le ofrecen años a sus espaldas en la implantación y gestión de infraestructuras de multitud de organizaciones, así como solventando situaciones criticas cual equipo SWAT, nos ofrecerá una visión de las capacidades para lacentralización de administración que se ofrecen.

Este evento se realiza online mañana día 2 de agosto a las 16:00 horas y como siempre de forma gratuita. Representa un aperitivo puesto que el ciclo de eventos no queda ni mucho menos aquí. Iremos dando en la web de Sidertia avances de las nuevas sesiones, así como su contenido. Somos conscientes que las fechas quizás no sean las más propicias puesto que muchos estaréis de vacaciones pero la sesión se grabará y podrá verse bajo demanda a posteriori.

Puedes registrarte al evento a través de la web de Technet.

Seguimos trabajando y lo iremos compartiendo con vosotros.

Saludos

martes, 31 de julio de 2012

Cookies legales

En marzo de este año se hacía pública en el BOE una polémica normativa que acogía una serie de modificaciones que afectaban a diferentes sectores incluido el del comercio electrónico. Motivada por las directivas europeas 2009/136 y 2002/58, de tratamiento de datos de carácter personal y a la protección de la intimidad en el sector de las comunicaciones electrónicas, se establecía la necesidad de reformular determinados artículos de la Ley 34/2002 (LSSI-CE).

Como tal, el 30 de marzo se publicaba el Real Decreto-ley 13/2012, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Se reformulaba a través de su texto el artículo 22 de la LSSI-CE quedando definido así:

"Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."

Esta normativa condiciona algunos aspectos de funcionalidad de contenido web de las empresas españolas que hacen uso de los servicios de internet como mecanismo para el comercio electrónico. Por ejemplo de aquellas que se haga un empleo de cookies para almacenar información del usuario y para los que podría ser necesario requerir información de consentimiento. No obstante hay que hacer una serie de matizaciones puesto que no en todas las circunstancias dicho consentimiento es requerido sino que podría consederarse implícito. El grupo de trabajo del artículo 29 de protección de datos de la Unión Europea ha emitido un dictamen el 12 de junio al repecto estableciendo las debidas matizaciones.

Hablaremos con detenimiento en futuros post en qué medida afectan a las organizaciones y que deben hacer para cumplir esta nueva adaptación a la protección de datos.

martes, 24 de julio de 2012

LOPD. Régimen sancionador

En un proyecto en el que me encuentro involucrado sobre análisis de LOPD, ha surgido el tema de la aplicación del régimen sancionador. A pesar de que la propia Ley Orgánica establecía dicho régimen, de una u otra forma esta debería adaptarse a las nuevas condiciones y reglas de juego.

Me he dado cuenta tras revisar las notas que tengo, que en el blog no había publicado precisamente que había habido una cambio significativo con respecto al mismo. Aunque este aspecto es del año pasado quizás para muchos pasara desapercibido por el contexto en el que hizo público.

El 4 de marzo del año 2011, hacía su aparición la ley 2/2011de Economía Sostenible. A través de su disposición final quincuagésima sexta, se realizaba la modificación de la Ley Orgánica 15/1999 en el apartado del régimen sancionador. Se modifican para ello los artículos 44, 45, 46 y 49, reformulando los originales.
Además de adaptar las cuantías económicas al Euro, modifican algunas causas significativas para condicionar si las faltas son leves, graves o muy graves. Incorporan también un factor muy importante para el cálculo de las cuantías sancionadoras,  el volumen de negocio o actividad del infractor, aunque no se establece en que medida se valora. De esta forma se aplica un condicionante corrector. Este de una u otra forma incide en el hecho de intentar ser equitativo con respecto a la importancia de la organización y su capacidad para el cumplimiento de la norma.

Quizás pueda parecer peculiar el contexto en el que se presenta la modificación, junto con un conjunto de normas dispares agrupadas bajo el lema de Economía Sostenible. En el contexto actual resulta irónico el formulismo empleado para la generación de un régimen sancionador que puede tener el triple carácter de forzar el hacer las cosas bien, de ser ejemplarizante y no obstante también recaudador.

Motivador o no el régimen sancionador resulta un factor inspirador (si no el más importante) para que las empresas se lo tomen en serio y hagan sus deberes.

miércoles, 4 de julio de 2012

Gestión de dispositivos móviles

Los dispositivos móviles se han convertido en un elemento esencial en el día a día de muchas personas. Utilísimos mire por donde se miren, constituye no obstante un verdadero problema para muchas organizaciones. Dispositivos que se pierden, malas configuraciones implementadas, múltiples sistemas diferentes, etc., a la larga supone un aumento significativo del coste de administración y la pérdida de la centralización.

A día de hoy las organizaciones no pueden permitirse el lujo de tener sistemas descontrolados, máxime cuando la potencia de estos medios es tan creciente que en circunstancias pueden sustituir a los equipos más tradicionales. Cada vez contienen y  manejan mayor cantidad de información sensible para una empresa. Se almacenan múltiples contraseñas, se utilizan aplicaciones que, como en el caso del correo electrónico, pueden interactuar con medios de la organización, permiten implementar VPN, etc. Supóngase solo por un instante que la configuración del dispositivo recae exclusivamente en el usuario, sin que un departamento IT pueda intervenir o modificar su gestión. Es fácil entender  la cantidad de problemas que pueden plantearse en un caso como el robo del mismo sin las medidas de seguridad adecuadas. El control por lo tanto de una infraestructura debe transcender desde los equipos  tradicionales y saltar también a la gestión de los dispositivos móviles.

Este viernes 6 de Julio a las 16:00, Joshua Saenz, Director Técnico de Arquitectura de Servidores de Sidertia Solutions,  conducirá un Webcast de Microsoft abordando esta temática. Mostrará para ello las nuevas capacidades aportadas por MS System Center Configuration Manager 2012 y la integración con ActiveSync y MS Exchange Server 2010, para dotar a una organización de los mecanismos necesarios para que la administración de los dispositivos sea viable.

Como en todos los Webcast de Microsoft Technet, la inscripción es gratuita y supone además una excelente oportunidad para poder preguntar y hablar con un profesional de la calidad y experiencia con la que cuenta Joshua Sáenz.

lunes, 4 de junio de 2012

La ley en juego

Tras la concesión el pasado 1 de Junio de las licencias de juego, se pone el marcha el proceso final para que las organizaciones se adecúen a la Ley 13/2011 sobre regulación del juego. Hasta la fecha la situación se encontraba en un escenario muy incómodo para aquellas empresas que deseaban regularizar la situación del juego on line, que tan popular se ha hecho en Internet.

Es cierto que la complejidad jurídica que implica todo lo relacionado con Internet hace que sea  muy difícil regular algo tan interesante como el juego on line, pero la cosa está bastante seria desde la aparición de la norma. De hecho existe una importante polémica en cuanto a la no posibilidad de transferir cuentas existentes desde los dominios.com a los nuevos sistemas de juegos exigidos  y regulados por la Ley 13/2011 en dominio .es.  El régimen sancionador también es para tomárselo en serie con multas de hasta 50 millones de euros y pérdida de la licencia.

Tengo que decir que la normativa en lo que respecta a la aplicación técnica tiene su aquel. He podido participar con Sidertia Solutions en un proyecto de adecuación a dicha norma y la verdad es que la cuestión es bastante compleja no solo en sí por la propia regulación del juego, sino también por la aplicación de medidas de índole técnica y organizativa que hacen necesaria su homologación.

Al plantel de medidas recogidas en otras leyes, debemos sumar por lo tanto también las necesidades establecidas a través del RD 1613/2011 sobre el desarrollo de la Ley 13/2011 y la orden de 16 de noviembre de 2011 de la DGOJ de las especificaciones técnicas que deben cumplir los sistemas técnicos de juego. Cual ISO 27000 se describen las implementaciones técnicas y organizativas para garantizar la seguridad y control de lo relacionado al juego y los sistemas que lo soportan.

Está claro que todo lo que se relaciona con el juego (y por tanto con un factor económico esencial) tiene unas connotaciones a veces negativas: fraude, operaciones ilícitas, blanqueo, etc. La regulación va enfocada también a ejercer un control férreo de los procesos e impedir la manipulación de las operaciones. La cosa es bastante seria, y deja muy atrás en lo concerniente a exigencias de cumplimiento, a otras leyes como la LOPD o la LSSI-CE.

La jugada ya está en marcha y la necesidad de adecuación corre prisa. Por medio, procedimientos de homologación, auditorías,  implementaciones, diseños, análisis, gestión de registros… vamos mucho trabajo y poco tiempo, máxime cuando se acercan acontecimientos como la Eurocopa o las olimpiadas que estarán en el punto de mira de muchas organizaciones relacionadas con el juego.

miércoles, 23 de mayo de 2012

Ser padres en la era digital y no morir en el intento

Que el salto generacional es algo tangible, no extraña a nadie. Las nuevas generaciones nacen con los sistemas digitales como una forma natural de comunicación y acercamiento al mundo. Desde muy pequeños se sienten atraídos hacia el uso de las tecnologías. Han cambiado las formas de jugar, de interactuar y de estudiar. Las pizarras digitales dejan paso a las odiosas tizas ofreciendo alternativas que hasta hace bien poco eran inimaginables.

Sin embargo todas esas mejoras entrañan también sus innegables problemas. Uno de los fundamentales es el distanciamiento existente entre padres e hijos en cuestión tecnológica. Aunque siempre se ha manifestado en la mentalidad de los más jóvenes cierto rechazo hacia la de los más maduros, el distanciamiento a día de hoy es considerable. Las diferencias tecnológicas son cuantiosas y mientras mucho de nosotros empezamos con las famosas “maquinitas” a día de hoy tener un móvil o una consola a temprana edad es algo cotidiano.

Para muchos, temas como el sexting o el grooming no representan nada conocido sin embargo es algo con lo que conviven los jóvenes y los padres deberían conocer. Desasociarse de la era digital supone mucho más allá de lo que supone el distanciamiento generacional. Si un hijo tiene un problema difícilmente podremos darle la respuesta o comprensión requerida.

Sería importante para ello compartir tiempo  con ellos en estos temas y aprender junto a ellos. Ese tiempo es algo tan preciado a día de hoy, que parece nunca tenerlo para los más cercanos, sin embargo es indispensable dedicárselo a quien más se lo merece. Para ello os recomiendo (y también podéis compartir y a buen seguro os agradecerán) una serie de juegos educacionales relacionados con la seguridad informática que sirven de entretenimiento, son educativos y permiten acercar posturas y cercanía con los nuestros.

Como hasta en las edades hay diferencias apreciables en contenido y en forma de interactuar os propongo dos espacios diferentes.

El primero de ellos es para los peques de la casa. La web protege tu información, creada por ISMS Forum Spain, propone una serie dejuegos en su sección infantil. Esta web muy cercana a diferentes temáticas relativas a la vida personal, representa una forma muy efectiva de tomar medida del mundo digital.

El segundo está más pensado para los más mayorcitos, cercanos a la edad adolescente (o los que están en ella). Pensado como un Trivial presenta temáticas más maduras con una reflexión muy importante que enseña los riesgos existentes en Internet y la importancia de la protección personal y de nuestros datos. Privial, de cuida tu imagen online, supone una apuesta muy interesante para conocer los problemas que existen en Internet  y lo importante que es tomarse las cosas en serio.

No tenéis ya una excusa para compartir tiempo y conocimiento con vuestros seres más queridos. Recordad que la distancia supone un abismo a veces tan insalvable, que las soluciones desgraciadamente pueden llegar muy tarde. Ellos, que son los más desprotegidos, necesitan de nuestra ayuda aunque crean que no. No hagáis que el salto tecnológico suponga una distancia insalvable y que la ayuda sea imposible por no saber.

lunes, 7 de mayo de 2012

LOPD y Dropbox


Recientemente me ha llegado al correo una petición de si podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio de Dropbox como un sistema de almacenamiento para el backup de datos e incluso intercambio de información.  Aunque ya di respuesta, considero que puede ser un tema interesante y quiero compartirlo con todos vosotros.

Inicialmente se plantean desde este hecho dos problemas fundamentales en lo concerniente a la gestión de datos de carácter personal:

-          ¿Dónde se encuentra el servicio y cómo se aloja la información?

-          ¿El proveedor accede a la información alojada en su sistema?

En la primera de las circunstancias habría que tener presente la posible transferencia internacional de datos, y posiblemente estar sujeto a comunicación a la AEPD e incluso la necesidad de solicitar permiso en determinadas circunstancias. También hay que tener presente las posibles condiciones particulares del servicio y la posible necesidad para que el prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el acceso a la información en determinadas circunstancias.

En la segunda hay que tener en cuenta que para la prestación del servicio, el proveedor podría necesitar acceder a la información subida. Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo necesario establecer el acuerdo y las condiciones legales requeridas en esta circunstancia por la Ley Orgánica 15/1999.

Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas circunstancias se comenta con respecto al tratamiento de datos de carácter personal, que puesto que la información se transfiere y almacena de forma cifrada, se cumplen las condiciones necesarias para que no puedan ser consideradas como un fichero de datos tratable por el proveedor. Sin embargo si se analiza la política de privacidad puede extraerse la siguiente información:

Cumplimiento de las leyes y solicitudes de aplicación de las leyes; protección de los derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los archivos almacenados en su Dropbox e información relativa a usted que recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente necesaria para (a) cumplir con una ley, reglamentación o solicitud legal obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”

Un dato interesante consiste en que el cifrado es de tipo reversible y la información almacenada, podrá ser facilitada a otros. La causas para ello, podrán ser legales o no.

La condición del cifrado se proporciona definitivamente en el documento sobre la visión general de la seguridad:

“Ciframos los archivos que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de cifrado usada por bancos para proteger datos de los clientes. El cifrado para el almacenamiento se aplica después de cargados los archivos y nosotros administramos las claves de cifrado.”

En el contrato hay que tener presente que la solicitud de eliminación de la información, podría implicar que no fuera eliminada totalmente por parte del proveedor y por lo tanto los ficheros de datos accesibles por ellos.

“Conservaremos su información durante el tiempo que su cuenta permanezca activa o bien según resulte necesario para prestarle servicios. Si desea cancelar su cuenta o solicitar que dejemos de usar su información para brindarle servicios, puede eliminar su cuenta aquí. Podemos conservar y usar su información según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos, intentaremos eliminar su información rápidamente una vez recibida su solicitud. No obstante, tenga en cuenta que puede existir cierta latencia al eliminar información de nuestros servidores y después de dicha eliminación, pueden existir versiones de copias de seguridad. Además, no eliminaremos de nuestros servidores archivos que tenga en común con otros usuarios.”

Se recoge también en el documento sobre visión de seguridad, la política de acceso a la información subida al servicio:

“Los empleados de Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos (por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría de servicios en línea, tenemos un grupo pequeño de empleados que tienen que poder obtener acceso a los datos de usuario por los motivos mencionados en nuestra política de privacidad (por ejemplo, cuando sea necesario por razones legales). Pero es una excepción poco frecuente, no la regla. Tenemos una estricta política y controles de acceso técnico que prohíben que los empleados obtengan acceso excepto en estas circunstancias poco frecuentes.”

Tal y como se ha recogido puede entenderse por lo tanto que existe una transferencia de datos a un servicio con un cifrado reversible y accesible por parte del proveedor. Es más, establecen que podrán, en determinadas condiciones y por parte de determinadas personas, acceder a la información existente. En el caso de datos de Carácter Personal si nos ceñimos a la normativa, existiría la necesidad de realizar un contrato como encargado de tratamiento, cuestión que evidentemente no se realiza con Dropbox.

Por lo tanto las organizaciones no deberían utilizar este servicio para el almacenamiento de datos de carácter personal, por mucho que se pueda garantizar la seguridad y  muy atractivo sea la posibilidad ofrecida.

martes, 1 de mayo de 2012

Doctor, ¿cuánto he madurado?


En muchas ocasiones los administradores me piden que evalúe qué tal va la seguridad de sus sistemas. Este análisis es una de las más complicados de efectuar, puesto que la referencia requiere de parámetros y métricas. Cada cual maneja las suyas (dependen a veces de las cualidades intrínsecas de la organización) y van en función de las condiciones existentes e incluso de las circunstancias en determinados momentos.

En estos días estoy mejorando mi propia experiencia para los procesos de análisis. Para ello estoy realizando diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta múltiples aspectos y de los que me ha resultado muy instructivo la lectura de un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados axiomas en los que herramos indefectiblemente cuando queremos establecer parámetros para cuantificar la seguridad. Las ideas que se manejan son transgresoras con determinados modelos de métrica y análisis de seguridad… pero es que en esencia lleva mucha razón en sus planteamientos.

Hasta la fecha tenía en cuenta la aplicación de los modelos convencionales para la gestión de seguridad en las organizaciones, sin embargo los modelos teóricos no se ajustan bien a las organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque dependen más de la actuación de la organización, ofrecen mejores respuestas cuando surge la necesidad de ser reactivo.

Definir un modelo ajustado a la organización asumo que dependerá de la madurez de la organización y de un proceso evolutivo, puesto que la mejor referencia de seguridad para una empresas reside en ella misma. Los parámetros del mercado, aunque interesantes, no son válidos puesto que no tiene en cuenta las peculiaridades de la misma. Pueden ser tomados como referencia, pero nunca como objetivos taxativos a alcanzar.

La madurez en los usos informáticos de la propia organización ofrecen esa primera visión necesaria que permite cuantificar y cualificar la seguridad de la organización. Desde Sidertia estamos llevando a cabo campañas de concienciación de seguridad de organizaciones con las colaboramos y que nos permiten ver por un lado la evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar con todos y también, muy importante, el explicar a todos el “por qué de determinadas cuestiones”. Esa visión permite ver realmente la seguridad que espera el negocio y por lo tanto aplicar la métrica en función de la misma.

Cada organización es un mundo en sí misma, y aunque determinados aspectos de la seguridad son comunes a todas (un antivirus en un antivirus siempre), otros requieren desviar esfuerzos (económicos y personales) en función de las necesidades. ¿Qué es mejor invertir en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente de los sistemas? Pues seguro que esto depende del tipo de la organización. Seguramente los dos son necesarios pero una empresa que tenga un gran número de desplazados (como comerciales) y este sea una capa de negocio esencial deberá maximizar la segunda de las opciones en detrimento de la primera.

Por lo tanto los axiomas que a menudo se aplican para medir la seguridad de la organización, resultan caducos. Cuando aprenderemos que un antivirus y un firewall no es la seguridad que requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa puede abrirte en gran medida a las inquietudes de la organización y hablarte de sus necesidades.

martes, 24 de abril de 2012

Esto de la LOPD ¿se cumple?


En demasiadas ocasiones ya he oído la frase: pero esto de la LOPD, no lo cumple nadie. En otra más que una afirmación, me la convierten en una pregunta ¿pero esto de la LOPD lo hace alguien? Evidentemente nadie puede tener los datos de cuántos realmente cumplen con la LOPD tal y cual los estipula el RD 1720/2007, pero sí al menos, se da la información de cuantos ficheros se encuentran inscritos en la Agencia Española de Protección de Datos.

A finales de Marzo la cifra de ficheros inscritos tanto de titularidad pública como privada, era de 2.719.739 ficheros. ¿Un dato alto? Aunque lo parezca, esto no referencia realmente empresas, si no la de los ficheros. Muchas empresas cuentan con un gran número de ficheros. También hay que tener en cuenta que asociaciones, comunidades de vecinos, etc., tienen también la obligación de declarar sus ficheros. Evidentemente la cifra no es tan alta como debiera, pero realmente supone un logro.

Fijémonos en el dato de que con la que está cayendo, solo en el mes de marzo, se dieron de alta 47.066 ficheros nuevos. Esto establece que hay voluntad, aunque solo sea que el miedo a la sanción, supera otras circunstancias.

Por sectores el que más ficheros inscritos tiene es el de las comunidades de propietarios con 335.307, seguido por el comercio con 299.957. Lo dicho anteriormente no era broma aunque muchos así lo crean cuando lo digo en formaciones o eventos. Las comunidades de propietarios están obligadas a declarar ficheros y también a aplicar la normativa de videovigilancia.
Si quieres ver los datos completos, se publican en las estadísticas mensuales que publica la AGPD.

viernes, 20 de abril de 2012

El acuerdo de Schengen en el aire...

Uno de los valedores principales de la aparición de la protección de datos de carácter personal, lo supuso el acuerdo de Schengen. Entre otras muchas cosas se establecía la libertad de tránsito dentro del espacio común europeo, legitimando la necesidad de compartir medidas y controles en un marco común. Pues ayer mismo se daban dos noticias bastante curiosas con respecto al mismo.

Por un lado Francia y Alemania, hablan de la posibilidad de realizar cierres de fronteras provisionales ante determinadas circunstancias. Por ejemplo en el caso de que no se consiga controlar el flujo masivo de inmigrantes. Esto permitiría que ante una posibilidad de que un país no pueda realizar el control de acceso reglado en el espacio europeo, otro colindante al mismo pueda servir de freno cerrando unas fronteras que llevan casi 17 años sin dar esa funcionalidad.

La otra noticia me preocupa más. Ayer 19 de Abril se aprobaba en el Parlamento Europeo un acuerdo que obliga a aerolíneas europeas que vuelan con origen o destino a EEU (o bien hacen escala) a transmitir toda la información de los pasajeros. Incluido entre otros, datos simples como el nombre y apellidos pero otro más peligrosos como el la información de la tarjeta de crédito con el que se haya realizado la compra del billete. También si ha hecho una petición especial de comida por motivos religiosos o de otra índole. La información se almacenará de acorde a unos tiempos estipulados, de tal forma que inicialmente se eliminará la información sensible, luego se despersonalizaran y finalmente pasarán a una lista inactiva hasta que sean eliminados.

De forma previa existía un acuerdo del año 2004 en el que para garantizar la lucha antiterrorista podrían compartir la información. No habría información directa a los datos de los pasajeros sino que habría que solicitar la información al Departamento oportuno y caso por caso, previa justificación de la necesidad y siempre garantizando la seguridad de los datos proporcionados. Bueno pues parece que lo que nos dan por un lado por otro nos lo acaban quitando.

Queda claro que esto de la protección de datos se toma en serio en función de determinados intereses. Si hace poco hablaba de las iniciativas que se iban a llevar a efecto para garantizar la seguridad de los datos en Internet, luego no salen con algo como esto, donde nuestros datos más sensibles pasan a formar parte de una base de datos manejada por váyase a usted a saber quien.

lunes, 16 de abril de 2012

Flu Project

Allá por finales del año 2010 dos prometedores jóvenes me presentaron un proyecto que habían ido madurando durante un tiempo y que se llamaba Flu (como el nombre que recibe un espécimen de virus biológico). En diciembre del año 2010 hacían público el mismo a través de su sitio web Flu Project.

He tenido la suerte de trabajar junto a ellos y ver su progresión. A día de hoy Pablo González y Juan Antonio Calles son dos profesionales como la copa de un pino y con todas aquellas virtudes que hacen que puedan destacar en este mundo competitivo. Puesto que he podido seguir sus carreras desde muy cerca, no podré decir que ha sido algo fácil para ellos en un mundo y escenario tan complejo como el actual, en los que a veces la juventud puede suponer un lastre. Evidentemente, lo han superado con tesón, dedicación y buen hacer, consiguiendo aupar su proyecto personal (y también el profesional) a la envergadura de lo que representa a día de hoy.

Ese esfuerzo tiene su recompensa y llega poco a poco. Evidentemente este proyecto supone una inversión muy grande en el terreno personal y en muchas ocasiones como única recompensa, la satisfacción de hacer bien las cosas y un reconocimiento profesional que llega poco a poco. Son ya significativas las intervenciones que han realizado en congresos, presentando y exponiendo su trabajo. Es digno de mencionar las posibilidades que en determinados escenarios (como el de la identificación y detención de pederastas) puede ser utilizado su herramienta principal, tal y como expusieron en la No cON nName 2011, en un ejemplo más de lo insospechado que puede llegar a ser el uso de cierto software.

Sirva desde este post mi más sincera enhorabuena por el trabajo realizado y por su puesto con un camino muy grande todavía de recorrer que espero esté repleto de éxitos. Por mi parte tal y como les propuse voy a colaborar a través de vuestro blog, aportando mi granito de arena. A través de mi visión sobre los casos forenses y como se deben tratar de un punto de vista judicial en una cadena que comenzó la semana pasada.

miércoles, 11 de abril de 2012

Legislación informática internacional

Determinados proyectos, que se acometen especialmente desde multinacionales o empresas que quieren posicionarse en otros países, se enfrentan a la posibilidad de estar sujetas a normativas diferentes e incluso a veces contradictorias. También es importante que los profesionales de las organizaciones conozcan a qué enfrentarse, puesto que sus acciones podrían ser miradas con diferentes raseros en función de donde se encontraran.

Para un proyecto en el que me encuentro inmerso, he estado buscando información sobre diferentes leyes y jurisprudencia aplicables a la informática, que pueden darse en diferentes países y me he encontrado con esta pequeña joya: informática-juridica.com. Organizada por países, se encuentran tanto las normativas destacadas y las modificaciones existentes. Así por lo menos lo he podido cotejar de la legislación española y de algunos países europeos de los cuales también conozco parte de su normativa.

Esta información como no ofrece una valiosa información para todos aquellos que necesitan conocer como pueden ser afectados sus intereses o en que afectarías a los trabajadores determinadas acciones. Evidentemente esto no es ni más ni menos que la punta del iceberg puesto que queda ir evaluando cada una de las normativas y comparando las acciones, cuestión que será bastante laboriosa pero los resultados serán bastante interesantes.

Por ejemplo hay datos significativos como que determinados países tales como Venezuela presenta una normativa específica sobre delitos informáticos. Me han resultado curiosos muchos de los textos en esa norma, quizás porque se aleja mucho de la visión que desde España tenemos de los delitos informáticos o bien de nuestra normativa. Sirva de ejemplo este texto recogido del artículo 17 de esa ley:

“Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.”

Está claro que en cada país tienen su visión de la tipificación de los delitos y las penas que pueden imputarse.

lunes, 9 de abril de 2012

Obligación de informar. RD 13/2012

La evolución tecnológica y en materia de protección es algo patente en los mercados actuales y las normativas más tarde o temprano acaban adaptándose a ellas. A veces con una gran norma o en ocasiones con modificaciones puntuales a través de un Real Decreto, se producen cambios que pueden afectar en mayor o menor medida a diversas organizaciones. Este es el caso del Real Decreto 13/2012 que se hace público el 31 de marzo de 2012 a través del Boletín Oficial del Estado. Este RD entró en vigor el 1 de abril del mismo año a excepción de una modificación de la Ley 34/1998 y la disposición final segunda.

Este RD recoge muchos epígrafes de modificaciones de diferentes Leyes. Aunque en gran medida afectan fundamentalmente a la Ley 54/1997 del sector eléctrico, también se recogen apartados sobre la Ley General de Telecomunicaciones y la Ley de servicios de la sociedad de la información y del comercio electrónico.

Entre las diferentes medidas recogidas, establecen la necesidad de fortificación y sobre todo de comunicación a los prestadores de servicios de comunicaciones electrónicas, cuando se detecte por parte de las compañías que ha existido una violación de sus infraestructuras. En algunas circunstancias dicha obligatoriedad podría llegar a que fuera necesaria la comunicación a los abonados cuando afectaran a datos de carácter personal. Dicha modificación viene dada por la necesidad de cumplir las Directivas 2009/136/CE y 2009/140/CE. Este hecho deriva de la necesidad de información, motivada fundamentalmente cuando una organización es atacada, y no teniendo las medidas de seguridad adecuadas, les roban información de sus usuarios. En estos últimos años se han dado muchas de estas casuísticas.

Con respecto a las modificaciones de la Ley 34/2002 LSSI-CE, se adecúa su normativa a la Directiva 2009/136/CE del Parlamamento Europeo y del Consejo de 12 de julio de 2002. Se establece la prohibición de enviar correos electrónicos tipo publicitarios sin quedar constancia del remitente. Sin embargo la modificación más importante corresponde a la modificación del artículo 22. En su punto 2 se recoge la necesidad de comunicar y solicitar el consentimiento al usuario sobre los archivos o programas informáticos (tales como las cookies) que almacenan información en el equipo del propio usuario y permitan que se pueda acceder a información vinculada a la Ley 15/1999 LOPD, sin que el usuario inicialmente fuera consciente de este hecho. Para recoger el consentimiento de los usuarios se deberá hacer uso de los parámetros adecuados del navegador o de otras aplicaciones cuando sea técnicamente posible.

Esta última modificación, supone ir un poco más allá en lo que respecta al tratamiento de datos de carácter personal. De esta forma, la despreocupación con la que se trataba en determinadas circunstancia la información de los usuarios en sus propios equipos toma un nuevo rumbo. Muchas personas no son conscientes de la importancia de ficheros que como las cookies recoge información de la conexión o de datos personales y que son almacenadas en el equipo, siendo en ocasiones totalmente legibles. Esta información pudiera ser accesible por otros sin que estos fueran conscientes de ello (por ejemplo si utilizan un equipo tipo kiosco). La obligación de informar llega por lo tanto un punto más allá y une aún más la relación entre la LSSI-CE y la LOPD.

miércoles, 4 de abril de 2012

Webcast sobre Esquema Nacional de seguridad. Optimiza las operaciones.

La implementación de la seguridad en el Esquema Nacional de Seguridad y especialmente la necesidad de análisis y seguimiento inicial, requieren de un esfuerzo personal y económico significativo. A esto hay que sumar que los proyectos de implementación del Esquema Nacional de Seguridad son perdurables en el tiempo y elementos tales como la gestión de activos o el control de la seguridad, pueden llegar a ser un verdadero quebradero de cabeza.

“Con la que está cayendo” realizar una inversión en este sentido puede resultar en ocasiones prohibitivo. Como no el reutilizar un sistema existente o maximizar las funciones de algo ya en producción o en previsión de implementarse con otros objetivos, para cumplir estas medidas constituye una previsión muy a tener en cuenta. Pues bien teniendo como objetivos estas premisas voy a conducir dos Webcast junto a Microsoft Technet donde se tratarán estos aspectos con uno de los productos con el que más tiempo he convivido y de los más queridos para mí: System Center Configurarion Manager. Estas acciones tendrán lugar los días 17 y 19 de Abril a las 16:00 horas y como siempre en este formato, en modo Online y gratuito.

A través de estos dos eventos mostraré a extraer el jugo a este producto como apoyo en la implementación del ENS dentro de las medidas de explotación del marco operacional. Gestionar y controlar lo que se tiene, y prever su evolución es un aspecto esencial dentro del Esquema Nacional de Seguridad, y son tareas que SCCM con sus múltiples funcionalidades permiten que puedan ser llevadas a cabo de una forma efectiva. Como siempre en este tipo de acciones se podrán realizar consultas, pudiendo compartir con vosostros la experiencia adquirida en estas lides.

Aunque la orientación fundamental de los dos Webcast es hacia la implementación del Esquema Nacional de Seguridad, puede resultar muy interesante también en aquellas organizaciones que vean System Center Configuration Manager como una herramienta más para la evaluación de la seguridad. O bien en aquellas que no se han planteado nunca poder asomarse a esta capacidad de gestión de la seguridad para obtener partido de ella. Por ejemplo en el uso de las funcionalidad de la Configuración Deseada o la generación de informes enfocadas al inventariado de la seguridad en la organización.

Estas dos acciones se encuadran dentro de un marco continuado de Webcast, donde el equipo de Sidertia iremos dando cumplida cuenta del uso e implementación del Esquema Nacional de Seguridad con productos Microsoft y del que ya os iré anunciando.

Os dejo a continuación los dos enlaces correspondientes para aquellos que queráis asistir al evento que se realizará en modalidad Online.

Gestión de activos en el ENS.
Gestión de la seguridad en el ENS.

Saludos

martes, 3 de abril de 2012

MD5. Prohibido su uso en la implementación del ENS.

En ciertos análisis que he llevado a cabo recientemente me he encontrado muchos usos todavía del algoritmo de Función Resumen MD5. Determinados Certificados, sistemas de autenticación o implementaciones de VPN hacen uso de este mecanismo. Sin embargo es de sobra conocido que esta función tiene algunos problemas sifnificativos.

En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: How to Break MD5 and Other Hash, donde documentaban el ataque mediante colisiones diferenciales.

Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.

Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.

¿Implica eso que su uso está prohibido?

Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.

No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.

lunes, 2 de abril de 2012

La protección del reconocimiento facial

La semana pasada comentaba las evoluciones que en materia de protección de datos la Unión Europea quiere establecer para Internet. Pues bien este 29 de marzo se ha publicado un documento por parte del grupo de autoridades europeas de protección de datos en lo concerniente a un tema altamente sensible como lo es el del reconocimiento facial en Internet. A través de un dictamen analizan los riesgos de la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online.

Estos sistemas de reconocimiento facial ofrecen múltiples funcionalidades y pueden ser explotadas con la información que de una persona existiera en Internet. En agosto del año 2011 tres investigadores, Alessandro Acquisti, Ralph Gross y Fred Stutzman, advertían a través de un estudio de los riesgos existentes de poder hacer fotografías de personas en un lugar determinado y cruzarlas mediante un programa de reconocimiento facial, con la información de personas existentes en perfiles de redes sociales. Este hecho por ejemplo facultaría el poder llegar a trazar la vida de las personas. ¿Dónde queda finalmente la privacidad?

Pues bien como comentaba previamente esto quiere ser controlado y para ello el Grupo de Trabajo del Artículo 29, ha generado un documento enfocado a garantizar la privacidad personal frente a los servicios. Dicho grupo de trabajo es de tipo consultivo y está compuesto por diferentes autoridades de índole europeo, entre los que se encuentra el director de la AEPD, Jose Luis Rodríguez Álvarez. Así entre otras se establece la necesidad de cuando se realizara la prestación de un servicio de este tipo, se deberá advertir que sus imágenes estarán sujetas a un sistema de reconocimiento facial.

Lo más importante reside en que el consentimiento otorgado no puede considerarse aceptado de forma general salvo que el servicio tenga por única finalidad el reconocimiento facial. Por lo tanto nuevos usuarios o los ya registrados, se les deberá solicitar consentimiento explícito para el tratamiento de este tipo de servicio.

También es importante destacar que este tipo de información recibe por lo tanto la consideración de datos de carácter personal. Así deberán aplicarse las medidas de seguridad en las mismas condiciones que cualquier otro tipo de información que hubiera facilitado la persona y por lo tanto deberán atenderse las peticiones de tipo ARCO que hubiera lugar.

Este hecho da una vuelta de tuerca más en las funcionalidades y usos que se tienen desde las redes sociales. Limitan por lo tanto su campo de acción, principalmente porque estarán obligadas a informar a sus usuarios de los servicios que prestan y obliga a atender los derechos de las personas con respecto al tratamiento de estos datos.

viernes, 30 de marzo de 2012

Guías CCN-STIC serie 800: ENS

Hace más de dos años que se hizo público el Real Decreto 3/2010 por el que se regula la aplicación del Esquema Nacional de Seguridad en el ámbito de la administración pública. Como toda gran norma que mezcla aspectos normativos con aspectos técnicos llevar a buen puerto un proyecto de este tipo puede ser complejo si no se domina los dos campos. Dentro de estos dos años he tenido mucho acercamiento a esta nueva normativa. Desde escribir un libro sobre el tema junto a dos grandes profesionales: Chema Alonso y Julián Blázquez, a, como no, conducir y ser parte de algunas implementaciones de proyectos de adecuación de ENS en organizaciones.

Evidentemente escribir el libro me sirvió mucho para entender los objetivos, consecuencias y retos a los que me enfrentaba cuando iniciaba los primeros proyectos de implementación de ENS. Sin embargo a veces toda esa preparación no siempre resulta suficiente. Una gran norma como esta tiene mucho alcance y a veces de inicio no eres capaz de atisbar la cantidad de elementos que pueden quedar afectados en una organización. Cuando iniciaba los primeros proyectos había muy poco relacionado con el tema y en ocasiones había que interpretar.

Sin embargo encontré una buena referencia en el trabajo hecho por el Centro Criptológico Nacional a través de las guías CCN-STIC de la serie 800. Todo lo confuso que a veces puede llegar a ser la normativa, puede quedar clarificada en algunas de las guías desarrolladas (algunas aún en modo borrador). Tratando cuestiones técnicas concretas no dejan lugar a dudas sobre muchos aspectos a considerar. También clarifican aspectos no tan técnicos que el Real Decreto considero que deja en el aire, como por ejemplo la correspondiente a la valoración de los sistemas.

No obstante no nos engañemos, son buenas pero no la solución a todos los problemas. Será parte fundamental del consultor o el analista interpretar cada situación en función de los requerimientos. A veces por intuición y otras veces por experiencia la guía le será de una buena referencia técnica. Sin embargo como es lógico la guía no te dirá que producto es el adecuado en cada situación o qué tipo de aplicaciones no pueden implementarse por no cumplir los mínimos de seguridad exigidos. Te puede indicar que algoritmos no pueden ser implementados pero deberá ser el consultor el que sepa si las implementaciones que usa una organización los implementa y debería dejar de hacerlo.

También es esencial la mejor adaptación e incluso en los momentos económicos en los que nos encontramos poder dar una respuesta adecuada con la norma y que no suponga un sobre esfuerzo en todos los sentidos al organismo. Actualmente es importantísimo dar una respuesta eficiente con los medios adecuados y esto considero que es el verdadero malabarismo que hacemos para el cumplimiento del ENS.
Aunque la orientación de las guías es la implementación del Esquema Nacional de Seguridad, las mismas suponen una buena referencia a todas aquellas organizaciones que aun no siendo Administración Pública, tienen una preocupación por la seguridad. Si vas a implementar ENS o te interesa el tema échale un vistazo a las guías de seguridad.

Sirva también mi agradecimiento en este post al equipo del Centro Criptológico Nacional que ha desarrollado las guías. Una parte de la experiencia que aplico en los proyectos de ENS provienen de vuestro buen hacer.

miércoles, 28 de marzo de 2012

Quiero cancelar mis datos de Internet

Empieza a ser ya muy frecuente que el “yo virtual” de muchos internautas, supere en tiempo de exposición al yo físico que todos tenemos. Eseyo va dejando una impronta por Internet que en ocasiones puede lastrar al yo físico.

Comentarios desafortunados que se dejan, fotografías que hoy parecen ocurrentes pero mañana son incómodas, opiniones de las cuales a veces te arrepientes… Y como no, un buen día querremos cancelar nuestro “yo virtual”.

Sin embargo lo que depositas en Internet es como un tatuaje que puede quedar de por vida y a la larga te marca. La impunidad con la que la información fluye, se trasvasa de un sitio a otro, hace imposible saber donde puede acabar algo que se supone formar parte de la posible privacidad de cada uno. Claro está, si quiero eliminar algo pero ya se ha dispersado, ¿a quién le pido responsabilidades? o peor aún ¿dónde estará toda mi información?

Alguno pensará ¿si tu lo has subido a Internet, tuya es la responsabilidad de lo que subes? Cierto es en determinadas circunstancias (y merecida), pero en otras no. Si depositas tus datos, ndependientemente del qué, en un sistema protegido y este es vulnerado (más o menos lícitamente) y tu información dispersa, evidentemente habrá una culpabilidad relativa. Sin
embargo a partir de ahí tus datos dispersos son difíciles de trazar. Sirva de ejemplo la cantidad de información que se deposita en Pastebin tras la vulneración de un sitio web.

En otras ocasiones resulta que nuestra información no se encuentra depositada en un entorno físico donde la legislación (en este caso la europea) tenga marco de operación y el desconocimiento de las reglas de juego, son un factor en contra. Y es que un espacio como Internet es muy complejo (por no decir imposible) de legislar.

Sin embargo desde la Unión Europea lo tienen claro. Superada la primera fase de los datos de carácter personal en las empresas, el siguiente reto es Internet y casi todas las nuevas reformas que vienen estarán orientadas a ello. Si tú negocio es Internet te podrás ver afectado significativamente. Habrá nuevas reformas y medidas que afectarán tanto a grandes compañías (objetivo fundamental) pero por efecto colateral también a las pequeñas.

Las normas de protección de datos se fraguaron en 1995 cuando Internet no era más que un germen de lo que es a día de hoy. Donde las empresas y los datos tenían unas fronteras delimitadas y las normas un espacio donde operar. Sin embargo Internet ha roto todo eso. Se necesita ahora más flexibilidad y capacidad de respuesta (también quizás de improvisación, aunque en legislación es casi imposible) en la aplicación normativa. Y ese supone el
objetivo a cumplir.

Si quieres anticipar lo que viene aquí hay dos direcciones interesantes donde consultar estos cambios:

  1. Sitio de la reforma de protección de datos.
  2. Proposición de la Comisión Europea

martes, 27 de marzo de 2012

Ardor guerrero

Mis más sinceras disculpas.

A todos aquellos que alguna vez se acercaron al blog...
A todos aquellos que me pidieron que siguiera escribiendo...
A todos aquellos que seguían comentando mucho tiempo después...
A todos aquellos que me animaron continuamente...

Hace más de dos años que escribí el último post, y no por falta de ganas tuve que abandonar esta interesante tarea de poder compartir experiencia y conocimientos con todo aquel que se asomaba al balcón de este humilde espacio. Otras obligaciones y porque no decirlo perder en cierta medida "el ardor guerrero" que en otro tiempo sobraba hacía complicado dedicar un tiempo que había que aquilatar en gran medida.

Ese ardor guerrero se pierde por muchos factores y en ocasiones solo un revulsivo hace que se gane nuevamente. Creo haberlo ganado de nuevo en este mes y como no, es momento de retomar cosas que quería hacer, pero quizás no tenía las fuerzas suficientes para llevarlas a cabo; como escribir en el blog.

El revulsivo se llama Sidertia Solutions. Embarcarme en una nueva aventura con grandes profesionales, compañeros y como no también amigos, supone esa chispa que incentiva un cambio que a larga creía necesario. Como no, atrás quedan grandes profesionales, compañeros y también amigos a los que les deseo lo mejor y con los que espero compartir futuras experiencias en un mundo que aunque parezca grande no lo es tanto.

En el horizonte se ven nubes negras, no es el mejor momento para hacer determinadas cosas, pero crecerse ante la adversidad también es parte del incentivo de la vida. Las ganas con las que se inicia esta nueva aventura permiten enfrentarse a muchas cosas nuevas pero hace también recuperar la ilusión en algunas cuestiones que arrastraba.

Tras unas semanas de dura lucha ya están asentadas las bases de lo que supone este gran reto personal. Fuerzas renovadas para hacer muchas cosas, como escribir en el blog que pienso que debo a todos lo que de una u otra forma siempre han estado ahí. También a mi mismo.

Vaya por vosotros ese esfuerzo.