Un aspecto muy significativo que debía llevar implícito el estar dentro del espacio común europeo, lo constituye la unicidad de criterios en cuento a la aplicación de normativas conjuntas. Aunque esto se cumple a medias, es cierto que cada país presenta sus propias normas y adecúan las leyes según sus criterios con un "marco común". En materia de protección de datos sucede así, existe un marco general, pero la aplicación así como la interpretación es propia del país, lo que implica un conglomerado de idiosincrasias muy interesante.
No obstante existe la tendencia de generar criterios únicos para todos los países integrantes, ahí queda la proposición para una reforma general en materia de protección de datos. Un caso interesante del nuevo modelo, es la posición que presenta el grupo de trabajo de la Unión Europea de protección de datos, con respecto al cambio en la política de seguridad que presentó Google en marzo de este año. Emitido a mediados de Octubre, establece la necesidad de que Google aclare una serie de procesos y acciones con respecto al tratamiento de los datos. Es curioso por ejemplo que se solicita la extensión de determinadas operaciones destinadas a la protección de datos únicamente en Alemania para Google Analytics.
Leyendo el documento queda claramente evidente que se ha llegado técnicamente a una revísión de las condiciones de seguridad y el tratamiento de los datos, y no solo superficialmente a la revisión testimonial que se ha realizado en ocasiones. Si esta labor continúa con múltiples servicios que se ofrecen por Internet a buen seguro la protección de datos sera poco a poco una realidad.
Y es que con el auge de la tecnología Cloud, la privacidad es para tomárselo muy en serio. Cada vez los datos que se almacenan son más voluminosos y la información se encuentra más dispersas. Sin un ente regulador podríamos acabar en el más completo de los desamparos. Sirva también de lectura este documento sobre el impacto y el estado de la protección de datos europea con el uso de la nube, emitido por Pete Hustinx Supervisor e la Protección de Datos en Europa.
martes, 11 de diciembre de 2012
domingo, 14 de octubre de 2012
Windows Essentials 2012: protección infantil
En un post anterior hablaba de la importancia de que los padres asuman su responsabilidad con la educación de los hijos en el uso de Internet y de medios tecnológicos. Desde ese momento algunas personas me han solicitado información sobre alguna herramienta para el control parental. Aunque sigo argumentando que la concienciación supone el mejor camino, no soy menos consciente de la necesidad que supone en ocasiones el saber qué está pasando. Desgraciadamente hay muchos casos en el que el desconocimiento de las acciones que realizan los hijos puede acabar en un problema difícil de solventar.
Para la plataforma Microsoft, los padres disponen del sistema de protección infantil que proporciona Windows Essentials 2012. Este programa permite la vinculación de las cuentas del equipo con una identidad tipo Windows Live, de tal forma que se puede controlar múltiples aspectos del uso de un equipo a través del servicio de Family Safetely. Activado el control sobre una cuenta de usuario local, se pueden establecer:
Evidentemente este servicio se centra en las actividades que se producen en los equipos donde hay control de actividad. Sin embargo no hay que obviar el hecho de que en la actualidad la conexión a Internet se puede realizar de múltiples formas y por lo tanto el control necesario en todos ellos.
Saludos
Para la plataforma Microsoft, los padres disponen del sistema de protección infantil que proporciona Windows Essentials 2012. Este programa permite la vinculación de las cuentas del equipo con una identidad tipo Windows Live, de tal forma que se puede controlar múltiples aspectos del uso de un equipo a través del servicio de Family Safetely. Activado el control sobre una cuenta de usuario local, se pueden establecer:
- Listas blancas y negras de aplicaciones Web.
- Límites de tiempo para el uso de los sistemas.
- Control de acceso a sitios mediante aprobación.
- Restricción y control de aplicaciones locales.
- Restricción de juegos.
Evidentemente este servicio se centra en las actividades que se producen en los equipos donde hay control de actividad. Sin embargo no hay que obviar el hecho de que en la actualidad la conexión a Internet se puede realizar de múltiples formas y por lo tanto el control necesario en todos ellos.
Saludos
lunes, 10 de septiembre de 2012
¿Cómo denunciar la vulneración de derechos ante la AEPD?
En ocasiones muchas personas ven vulnerados sus derechos
contra la intimidad, siendo sus datos de carácter personal tratados de forma
inadecuada. Aunque ante este hecho cabe presentar denuncia, muchas veces no se
sabe dónde acudir o cómo hacerlo. El primer instinto consiste en presentar
denuncia por los procesos convencionales: los cuerpos de seguridad del estado.
Pero se suele desestimar puesto que se piensa que el proceso será lento y a lo
mejor no lo suficientemente importante para que llegue a buen puerto. Así que se
deshecha la idea de presentar denuncia, aun existiendo canales directos y
bastante rápidos.
Es poco conocido que en lo referente a datos de carácter
personal, la Agencia española de Protección de Datos, tiene capacidad de dictamen
sancionado a través de su Director por las denuncias presentadas. Por lo tanto ante ella puede realizarse
reclamación. Pero ¿cómo puede realizarse este trámite de forma rápida?En mayo de este mismo año la Agencia de Protección de Datos, puso a disposición de todo el mundo su nueva sede electrónica donde se amplia la oferta de servicios de administración electrónica que ya ofrecía la Agencia como el del sistema NOTA para la solicitud de inscripción, modificación o eliminación de ficheros. Dentro de las posibilidades que proporciona esta sede electrónica, se encuentra la de presentación de denuncia.
Para ello el propio proceso ofrece dos posibilidades, la del uso de certificado electrónico o a través de soporte en papel. En ambas circunstancias hay que tener presente que la denuncia nunca es anónima y requiere de la identificación de la persona que la realiza. En el caso del certificado electrónico es directa, en el caso del formato en soporte papel, debe escanearse el NIF/NIE/NIF y remitirlo junto con el formulario de forma telemática. También si no se hace uso de certificado electrónico, la solicitud deberá imprimirse, firmarse y presentarse ante la Agencia Española de Protección de Datos en C/Jorge Juan nº6, 28001 Madrid o en cualquiera de las formas que reconoce la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común.
Esta posibilidad permite que la denuncia llegue directamente ante quien jurisprudencia administrativa para emitir procedimiento sancionador. El proceso de la Agencia pone fin a la vía administrativa, pudiendo poner posteriormente un recurso de reposición ante el propio Director de la Agencia o un recurso administrativo en la Audiencia Nacional.
Por lo tanto si consideras que se ha vulnerado la protección de los datos de carácter personal, tienes a tu disposición un procedimiento rápido ante el que ejercer tu derecho de denuncia.
miércoles, 1 de agosto de 2012
Windows Server 2012 a punto. Sidertia está preparada.
Parece mentira pero hace ya algo más de cuatro años, que salió Windows Server 2008. Tuve la suerte por aquellas fechas de participar en el lanzamiento del producto junto con un gran profesional como es Julián Blázquez. Recuerdo como días antes de tener que presentar a profesionales IT, en un evento que organizó Microsoft para el lanzamiento del producto en España, preparábamos en un equipo in extremis el servicio de Hyper-V que se encontraba aún en fase Beta (en aquella época no resultaba fácil conseguir un equipo en condiciones para realiza las pruebas de funcionalidad de Hyper Visor) y otras características que resultaban innovadoras. Años después vemos aquellas intensas jornadas como una anécdota, que recordamos intentando obviar los malos momentos que pasamos para que aquello andara como nosotros queríamos que hiciera.
Mañana Julián, compañero con el que tengo la grandísima suerte de trabajar en Sidertia, inicia a través de un Webcast que se coordina junto con Technet un nuevo ciclo de eventos online sobre la nueva solución de Microsoft: Windows Server 2012. Me consta de primera mano que la situación en este momento resulta muy diferente a la de hace cuatro años puesto que Julián lleva ya bastante tiempo probando e investigando en la nueva versión de sistema operativo servidor.
En esta primera sesión Julián abordará las nuevas novedades que ofrece la solución. Desde la perspectiva que le ofrecen años a sus espaldas en la implantación y gestión de infraestructuras de multitud de organizaciones, así como solventando situaciones criticas cual equipo SWAT, nos ofrecerá una visión de las capacidades para lacentralización de administración que se ofrecen.
Este evento se realiza online mañana día 2 de agosto a las 16:00 horas y como siempre de forma gratuita. Representa un aperitivo puesto que el ciclo de eventos no queda ni mucho menos aquí. Iremos dando en la web de Sidertia avances de las nuevas sesiones, así como su contenido. Somos conscientes que las fechas quizás no sean las más propicias puesto que muchos estaréis de vacaciones pero la sesión se grabará y podrá verse bajo demanda a posteriori.
Puedes registrarte al evento a través de la web de Technet.
Seguimos trabajando y lo iremos compartiendo con vosotros.
Saludos
Mañana Julián, compañero con el que tengo la grandísima suerte de trabajar en Sidertia, inicia a través de un Webcast que se coordina junto con Technet un nuevo ciclo de eventos online sobre la nueva solución de Microsoft: Windows Server 2012. Me consta de primera mano que la situación en este momento resulta muy diferente a la de hace cuatro años puesto que Julián lleva ya bastante tiempo probando e investigando en la nueva versión de sistema operativo servidor.
En esta primera sesión Julián abordará las nuevas novedades que ofrece la solución. Desde la perspectiva que le ofrecen años a sus espaldas en la implantación y gestión de infraestructuras de multitud de organizaciones, así como solventando situaciones criticas cual equipo SWAT, nos ofrecerá una visión de las capacidades para lacentralización de administración que se ofrecen.
Este evento se realiza online mañana día 2 de agosto a las 16:00 horas y como siempre de forma gratuita. Representa un aperitivo puesto que el ciclo de eventos no queda ni mucho menos aquí. Iremos dando en la web de Sidertia avances de las nuevas sesiones, así como su contenido. Somos conscientes que las fechas quizás no sean las más propicias puesto que muchos estaréis de vacaciones pero la sesión se grabará y podrá verse bajo demanda a posteriori.
Puedes registrarte al evento a través de la web de Technet.
Seguimos trabajando y lo iremos compartiendo con vosotros.
Saludos
Etiquetas:
Sidertia,
Technet,
Webcast,
Windows Server 2012
martes, 31 de julio de 2012
Cookies legales
En marzo de este año se hacía pública en el BOE una polémica normativa que acogía una serie de modificaciones que afectaban a diferentes sectores incluido el del comercio electrónico. Motivada por las directivas europeas 2009/136 y 2002/58, de tratamiento de datos de carácter personal y a la protección de la intimidad en el sector de las comunicaciones electrónicas, se establecía la necesidad de reformular determinados artículos de la Ley 34/2002 (LSSI-CE).
Como tal, el 30 de marzo se publicaba el Real Decreto-ley 13/2012, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Se reformulaba a través de su texto el artículo 22 de la LSSI-CE quedando definido así:
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."
Esta normativa condiciona algunos aspectos de funcionalidad de contenido web de las empresas españolas que hacen uso de los servicios de internet como mecanismo para el comercio electrónico. Por ejemplo de aquellas que se haga un empleo de cookies para almacenar información del usuario y para los que podría ser necesario requerir información de consentimiento. No obstante hay que hacer una serie de matizaciones puesto que no en todas las circunstancias dicho consentimiento es requerido sino que podría consederarse implícito. El grupo de trabajo del artículo 29 de protección de datos de la Unión Europea ha emitido un dictamen el 12 de junio al repecto estableciendo las debidas matizaciones.
Hablaremos con detenimiento en futuros post en qué medida afectan a las organizaciones y que deben hacer para cumplir esta nueva adaptación a la protección de datos.
Como tal, el 30 de marzo se publicaba el Real Decreto-ley 13/2012, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Se reformulaba a través de su texto el artículo 22 de la LSSI-CE quedando definido así:
"Artículo 22. Derechos de los destinatarios de servicios.
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."
Esta normativa condiciona algunos aspectos de funcionalidad de contenido web de las empresas españolas que hacen uso de los servicios de internet como mecanismo para el comercio electrónico. Por ejemplo de aquellas que se haga un empleo de cookies para almacenar información del usuario y para los que podría ser necesario requerir información de consentimiento. No obstante hay que hacer una serie de matizaciones puesto que no en todas las circunstancias dicho consentimiento es requerido sino que podría consederarse implícito. El grupo de trabajo del artículo 29 de protección de datos de la Unión Europea ha emitido un dictamen el 12 de junio al repecto estableciendo las debidas matizaciones.
Hablaremos con detenimiento en futuros post en qué medida afectan a las organizaciones y que deben hacer para cumplir esta nueva adaptación a la protección de datos.
Etiquetas:
cookies,
LSSI-CE,
protección de datos,
Unión Europea
martes, 24 de julio de 2012
LOPD. Régimen sancionador
En un proyecto en el que me encuentro involucrado sobre
análisis de LOPD, ha surgido el tema de la aplicación del régimen sancionador.
A pesar de que la propia Ley Orgánica establecía dicho régimen, de una
u otra forma esta debería adaptarse a las nuevas condiciones y reglas de juego.
Me he dado cuenta tras revisar las notas que tengo, que en el blog no había publicado precisamente que había habido una cambio significativo con respecto al mismo. Aunque este aspecto es del año pasado quizás para muchos pasara desapercibido por el contexto en el que hizo público.
Quizás pueda parecer peculiar el contexto en el que se presenta la modificación, junto con un conjunto de normas dispares agrupadas bajo el lema de Economía Sostenible. En el contexto actual resulta irónico el formulismo empleado para la generación de un régimen sancionador que puede tener el triple carácter de forzar el hacer las cosas bien, de ser ejemplarizante y no obstante también recaudador.
Motivador o no el régimen sancionador resulta un factor inspirador (si no el más importante) para que las empresas se lo tomen en serio y hagan sus deberes.
Me he dado cuenta tras revisar las notas que tengo, que en el blog no había publicado precisamente que había habido una cambio significativo con respecto al mismo. Aunque este aspecto es del año pasado quizás para muchos pasara desapercibido por el contexto en el que hizo público.
El 4 de marzo del año 2011, hacía su aparición la ley 2/2011de Economía Sostenible. A
través de su disposición final quincuagésima sexta, se realizaba la
modificación de la Ley Orgánica 15/1999 en el apartado del régimen sancionador.
Se modifican para ello los artículos 44, 45, 46 y 49, reformulando los originales.
Además de adaptar las cuantías económicas al Euro, modifican
algunas causas significativas para condicionar si las faltas son leves, graves
o muy graves. Incorporan también un factor muy importante para el cálculo de
las cuantías sancionadoras, el volumen de negocio o actividad del infractor, aunque no se establece en que medida se valora. De
esta forma se aplica un condicionante corrector. Este de una u otra forma incide
en el hecho de intentar ser equitativo con respecto a la importancia de la organización y su
capacidad para el cumplimiento de la norma.Quizás pueda parecer peculiar el contexto en el que se presenta la modificación, junto con un conjunto de normas dispares agrupadas bajo el lema de Economía Sostenible. En el contexto actual resulta irónico el formulismo empleado para la generación de un régimen sancionador que puede tener el triple carácter de forzar el hacer las cosas bien, de ser ejemplarizante y no obstante también recaudador.
Motivador o no el régimen sancionador resulta un factor inspirador (si no el más importante) para que las empresas se lo tomen en serio y hagan sus deberes.
miércoles, 4 de julio de 2012
Gestión de dispositivos móviles
Los dispositivos móviles se han convertido en un elemento esencial
en el día a día de muchas personas. Utilísimos mire por donde se miren, constituye
no obstante un verdadero problema para muchas organizaciones. Dispositivos que
se pierden, malas configuraciones implementadas, múltiples sistemas diferentes,
etc., a la larga supone un aumento significativo del coste de administración y
la pérdida de la centralización.
A día de hoy las organizaciones no pueden permitirse el lujo
de tener sistemas descontrolados, máxime cuando la potencia de estos medios es
tan creciente que en circunstancias pueden sustituir a los equipos más
tradicionales. Cada vez contienen y
manejan mayor cantidad de información sensible para una empresa. Se
almacenan múltiples contraseñas, se utilizan aplicaciones que, como en el caso
del correo electrónico, pueden interactuar con medios de la organización,
permiten implementar VPN, etc. Supóngase solo por un instante que la
configuración del dispositivo recae exclusivamente en el usuario, sin que un
departamento IT pueda intervenir o modificar su gestión. Es fácil entender la cantidad de problemas que pueden plantearse
en un caso como el robo del mismo sin las medidas de seguridad adecuadas. El
control por lo tanto de una infraestructura debe transcender desde los equipos tradicionales y saltar también a la gestión de
los dispositivos móviles.
Este viernes 6 de Julio a las 16:00, Joshua Saenz, Director
Técnico de Arquitectura de Servidores de Sidertia Solutions, conducirá un Webcast de Microsoft abordando
esta temática. Mostrará para ello las nuevas capacidades aportadas por MS System
Center Configuration Manager 2012 y la integración con ActiveSync y MS Exchange
Server 2010, para dotar a una organización de los mecanismos necesarios para
que la administración de los dispositivos sea viable.
Como en todos los Webcast de Microsoft Technet, la
inscripción es gratuita y supone además una excelente oportunidad para poder preguntar
y hablar con un profesional de la calidad y experiencia con la que cuenta
Joshua Sáenz.
Etiquetas:
Exchange,
SCCM,
Sidertia,
Sidertia Solutions,
Webcast
lunes, 4 de junio de 2012
La ley en juego
Tras la concesión el pasado 1 de Junio de las licencias de
juego, se pone el marcha el proceso final para que las organizaciones se
adecúen a la Ley 13/2011 sobre regulación del juego. Hasta la fecha la
situación se encontraba en un escenario muy incómodo para aquellas empresas que
deseaban regularizar la situación del juego on line, que tan popular se ha
hecho en Internet.
Es cierto que la complejidad jurídica que implica todo lo
relacionado con Internet hace que sea muy difícil regular algo tan interesante como
el juego on line, pero la cosa está bastante seria desde la aparición de la
norma. De hecho existe una importante polémica en cuanto a la no posibilidad de
transferir cuentas existentes desde los dominios.com a los nuevos sistemas de
juegos exigidos y regulados por la Ley
13/2011 en dominio .es. El régimen sancionador
también es para tomárselo en serie con multas de hasta 50 millones de euros y
pérdida de la licencia.
Tengo que decir que la normativa en lo que respecta a la
aplicación técnica tiene su aquel. He podido participar con Sidertia Solutions en
un proyecto de adecuación a dicha norma y la verdad es que la cuestión es
bastante compleja no solo en sí por la propia regulación del juego, sino también
por la aplicación de medidas de índole técnica y organizativa que hacen
necesaria su homologación.
Al plantel de medidas recogidas en otras leyes, debemos sumar
por lo tanto también las necesidades establecidas a través del RD 1613/2011
sobre el desarrollo de la Ley 13/2011 y la orden de 16 de noviembre de 2011 de
la DGOJ de las especificaciones técnicas que deben cumplir los sistemas
técnicos de juego. Cual ISO 27000 se describen las implementaciones técnicas y
organizativas para garantizar la seguridad y control de lo relacionado al juego
y los sistemas que lo soportan.
Está claro que todo lo que se relaciona con el juego (y por
tanto con un factor económico esencial) tiene unas connotaciones a veces
negativas: fraude, operaciones ilícitas, blanqueo, etc. La regulación va
enfocada también a ejercer un control férreo de los procesos e impedir la
manipulación de las operaciones. La cosa es bastante seria, y deja muy atrás en
lo concerniente a exigencias de cumplimiento, a otras leyes como la LOPD o la
LSSI-CE.
La jugada ya está en marcha y la necesidad de adecuación
corre prisa. Por medio, procedimientos de homologación, auditorías, implementaciones, diseños, análisis, gestión
de registros… vamos mucho trabajo y poco tiempo, máxime cuando se acercan
acontecimientos como la Eurocopa o las olimpiadas que estarán en el punto de
mira de muchas organizaciones relacionadas con el juego.
Etiquetas:
Ley Regulación del Juego,
LRJ,
Sidertia Solutions
miércoles, 23 de mayo de 2012
Ser padres en la era digital y no morir en el intento
Que el salto generacional es algo tangible, no extraña a
nadie. Las nuevas generaciones nacen con los sistemas digitales como una forma
natural de comunicación y acercamiento al mundo. Desde muy pequeños se sienten
atraídos hacia el uso de las tecnologías. Han cambiado las formas de jugar, de
interactuar y de estudiar. Las pizarras digitales dejan paso a las odiosas
tizas ofreciendo alternativas que hasta hace bien poco eran inimaginables.
Sin embargo todas esas mejoras entrañan también sus
innegables problemas. Uno de los fundamentales es el distanciamiento existente
entre padres e hijos en cuestión tecnológica. Aunque siempre se ha manifestado
en la mentalidad de los más jóvenes cierto rechazo hacia la de los más maduros,
el distanciamiento a día de hoy es considerable. Las diferencias tecnológicas
son cuantiosas y mientras mucho de nosotros empezamos con las famosas “maquinitas”
a día de hoy tener un móvil o una consola a temprana edad es algo cotidiano.
Para muchos, temas como el sexting o el grooming no
representan nada conocido sin embargo es algo con lo que conviven los jóvenes y
los padres deberían conocer. Desasociarse de la era digital supone mucho más
allá de lo que supone el distanciamiento generacional. Si un hijo tiene un
problema difícilmente podremos darle la respuesta o comprensión requerida.
Sería importante para ello compartir tiempo con ellos en estos temas y aprender junto a
ellos. Ese tiempo es algo tan preciado a día de hoy, que parece nunca tenerlo
para los más cercanos, sin embargo es indispensable dedicárselo a quien más se
lo merece. Para ello os recomiendo (y también podéis compartir y a buen seguro
os agradecerán) una serie de juegos educacionales relacionados con la seguridad
informática que sirven de entretenimiento, son educativos y permiten acercar
posturas y cercanía con los nuestros.
Como hasta en las edades hay diferencias apreciables en
contenido y en forma de interactuar os propongo dos espacios diferentes.
El primero de ellos es para los peques de la casa. La web
protege tu información, creada por ISMS Forum Spain, propone una serie dejuegos en su sección infantil. Esta web muy cercana a diferentes temáticas
relativas a la vida personal, representa una forma muy efectiva de tomar medida
del mundo digital.
El segundo está más pensado para los más mayorcitos,
cercanos a la edad adolescente (o los que están en ella). Pensado como un
Trivial presenta temáticas más maduras con una reflexión muy importante que
enseña los riesgos existentes en Internet y la importancia de la protección
personal y de nuestros datos. Privial, de cuida tu imagen online,
supone una apuesta muy interesante para conocer los problemas que existen en Internet
y lo importante que es tomarse las cosas
en serio.
No tenéis ya una excusa para compartir tiempo y conocimiento
con vuestros seres más queridos. Recordad que la distancia supone un abismo a
veces tan insalvable, que las soluciones desgraciadamente pueden llegar muy
tarde. Ellos, que son los más desprotegidos, necesitan de nuestra ayuda aunque
crean que no. No hagáis que el salto tecnológico suponga una distancia
insalvable y que la ayuda sea imposible por no saber.
lunes, 7 de mayo de 2012
LOPD y Dropbox
Recientemente me ha llegado al correo una petición de si
podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio
de Dropbox como un sistema de almacenamiento para el backup de datos e incluso
intercambio de información. Aunque ya di
respuesta, considero que puede ser un tema interesante y quiero compartirlo con
todos vosotros.
Inicialmente se plantean desde este hecho dos problemas
fundamentales en lo concerniente a la gestión de datos de carácter personal:
-
¿Dónde se encuentra el servicio y cómo se
aloja la información?
-
¿El proveedor accede a la información alojada en
su sistema?
En la primera de las circunstancias habría que tener
presente la posible transferencia internacional de datos, y posiblemente estar sujeto
a comunicación a la AEPD e incluso la necesidad de solicitar permiso en
determinadas circunstancias. También hay que tener presente las posibles
condiciones particulares del servicio y la posible necesidad para que el
prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el
acceso a la información en determinadas circunstancias.
En la segunda hay que tener en cuenta que para la prestación
del servicio, el proveedor podría necesitar acceder a la información subida.
Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo
necesario establecer el acuerdo y las condiciones legales requeridas en esta
circunstancia por la Ley Orgánica 15/1999.
Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas
circunstancias se comenta con respecto al tratamiento de datos de carácter
personal, que puesto que la información se transfiere y almacena de forma
cifrada, se cumplen las condiciones necesarias para que no puedan ser
consideradas como un fichero de datos tratable por el proveedor. Sin embargo si
se analiza la política de privacidad puede extraerse la siguiente información:
“Cumplimiento
de las leyes y solicitudes de aplicación de las leyes; protección de los
derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los
archivos almacenados en su Dropbox e información relativa a usted que
recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente
necesaria para (a) cumplir con una ley, reglamentación o solicitud legal
obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte
o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus
usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si
proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley
según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los
archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”
Un dato interesante consiste en que el cifrado es de tipo
reversible y la información almacenada, podrá ser facilitada a otros. La causas
para ello, podrán ser legales o no.
La condición del cifrado se proporciona definitivamente en
el documento sobre la visión general de la seguridad:
“Ciframos los archivos
que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de
cifrado usada por bancos para proteger datos de los clientes. El cifrado para
el almacenamiento se aplica después de cargados los archivos y nosotros
administramos las claves de cifrado.”
En el contrato hay que tener presente que la solicitud de
eliminación de la información, podría implicar que no fuera eliminada
totalmente por parte del proveedor y por lo tanto los ficheros de datos
accesibles por ellos.
“Conservaremos su
información durante el tiempo que su cuenta permanezca activa o bien según
resulte necesario para prestarle servicios. Si desea cancelar su cuenta o
solicitar que dejemos de usar su información para brindarle servicios, puede
eliminar su cuenta aquí. Podemos conservar y usar su información según sea
necesario para cumplir con nuestras obligaciones legales, resolver disputas y
exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos,
intentaremos eliminar su información rápidamente una vez recibida su solicitud.
No obstante, tenga en cuenta que puede existir cierta latencia al eliminar
información de nuestros servidores y después de dicha eliminación, pueden
existir versiones de copias de seguridad. Además, no eliminaremos de nuestros
servidores archivos que tenga en común con otros usuarios.”
Se recoge también en el documento sobre visión de seguridad,
la política de acceso a la información subida al servicio:
“Los empleados de
Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu
cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos
(por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría
de servicios en línea, tenemos un grupo pequeño de empleados que tienen que
poder obtener acceso a los datos de usuario por los motivos mencionados en
nuestra política de privacidad (por ejemplo, cuando sea necesario por razones
legales). Pero es una excepción poco frecuente, no la regla. Tenemos una
estricta política y controles de acceso técnico que prohíben que los empleados
obtengan acceso excepto en estas circunstancias poco frecuentes.”
Tal y como se ha recogido puede entenderse por lo tanto que
existe una transferencia de datos a un servicio con un cifrado reversible y
accesible por parte del proveedor. Es más, establecen que podrán, en
determinadas condiciones y por parte de determinadas personas, acceder a la
información existente. En el caso de datos de Carácter Personal si nos ceñimos
a la normativa, existiría la necesidad de realizar un contrato como encargado
de tratamiento, cuestión que evidentemente no se realiza con Dropbox.
Por lo tanto las organizaciones no deberían utilizar este
servicio para el almacenamiento de datos de carácter personal, por mucho que se
pueda garantizar la seguridad y muy
atractivo sea la posibilidad ofrecida.
martes, 1 de mayo de 2012
Doctor, ¿cuánto he madurado?
En muchas ocasiones los administradores me piden que evalúe
qué tal va la seguridad de sus sistemas. Este análisis es una de las más
complicados de efectuar, puesto que la referencia requiere de parámetros y
métricas. Cada cual maneja las suyas (dependen a veces de las cualidades
intrínsecas de la organización) y van en función de las condiciones existentes
e incluso de las circunstancias en determinados momentos.
En estos días estoy mejorando mi
propia experiencia para los procesos de análisis. Para ello estoy realizando
diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta
múltiples aspectos y de los que me ha resultado muy instructivo la lectura de
un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing
Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados
axiomas en los que herramos indefectiblemente cuando queremos establecer
parámetros para cuantificar la seguridad. Las ideas que se manejan son
transgresoras con determinados modelos de métrica y análisis de seguridad… pero
es que en esencia lleva mucha razón en sus planteamientos.
Hasta la fecha tenía en cuenta la
aplicación de los modelos convencionales para la gestión de seguridad en las
organizaciones, sin embargo los modelos teóricos no se ajustan bien a las
organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y
a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben
dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque
dependen más de la actuación de la organización, ofrecen mejores respuestas
cuando surge la necesidad de ser reactivo.
Definir un modelo ajustado a la
organización asumo que dependerá de la madurez de la organización y de un
proceso evolutivo, puesto que la mejor referencia de seguridad para una
empresas reside en ella misma. Los parámetros del mercado, aunque interesantes,
no son válidos puesto que no tiene en cuenta las peculiaridades de la misma.
Pueden ser tomados como referencia, pero nunca como objetivos taxativos a
alcanzar.
La madurez en los usos informáticos
de la propia organización ofrecen esa primera visión necesaria que permite
cuantificar y cualificar la seguridad de la organización. Desde Sidertia
estamos llevando a cabo campañas de concienciación de seguridad de
organizaciones con las colaboramos y que nos permiten ver por un lado la
evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo
a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance
de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar
con todos y también, muy importante, el explicar a todos el “por qué de
determinadas cuestiones”. Esa visión permite ver realmente la seguridad que
espera el negocio y por lo tanto aplicar la métrica en función de la misma.
Cada organización es un mundo en sí
misma, y aunque determinados aspectos de la seguridad son comunes a todas (un
antivirus en un antivirus siempre), otros requieren desviar esfuerzos
(económicos y personales) en función de las necesidades. ¿Qué es mejor invertir
en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente
de los sistemas? Pues seguro que esto depende del tipo de la organización.
Seguramente los dos son necesarios pero una empresa que tenga un gran número de
desplazados (como comerciales) y este sea una capa de negocio esencial deberá
maximizar la segunda de las opciones en detrimento de la primera.
Por lo tanto los axiomas que a
menudo se aplican para medir la seguridad de la organización, resultan caducos.
Cuando aprenderemos que un antivirus y un firewall no es la seguridad que
requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que
sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa
puede abrirte en gran medida a las inquietudes de la organización y hablarte de
sus necesidades.
martes, 24 de abril de 2012
Esto de la LOPD ¿se cumple?
En demasiadas ocasiones ya he oído la frase: pero esto de la
LOPD, no lo cumple nadie. En otra más que una afirmación, me la convierten en
una pregunta ¿pero esto de la LOPD lo hace alguien? Evidentemente nadie puede tener
los datos de cuántos realmente cumplen con la LOPD tal y cual los estipula el
RD 1720/2007, pero sí al menos, se da la información de cuantos ficheros se
encuentran inscritos en la Agencia Española de Protección de Datos.
A finales de Marzo la cifra de ficheros inscritos tanto de
titularidad pública como privada, era de 2.719.739 ficheros. ¿Un dato alto? Aunque
lo parezca, esto no referencia realmente empresas, si no la de los ficheros.
Muchas empresas cuentan con un gran número de ficheros. También hay que tener
en cuenta que asociaciones, comunidades de vecinos, etc., tienen también la
obligación de declarar sus ficheros. Evidentemente la cifra no es tan alta como
debiera, pero realmente supone un logro.
Fijémonos en el dato de que con la que está cayendo, solo en
el mes de marzo, se dieron de alta 47.066 ficheros nuevos. Esto establece que
hay voluntad, aunque solo sea que el miedo a la sanción, supera otras
circunstancias.
Por sectores el que más ficheros inscritos tiene es el de
las comunidades de propietarios con 335.307, seguido por el comercio con
299.957. Lo dicho anteriormente no era broma aunque muchos así lo crean cuando
lo digo en formaciones o eventos. Las comunidades de propietarios están
obligadas a declarar ficheros y también a aplicar la normativa de
videovigilancia.
Si quieres ver los datos completos, se publican en las estadísticas mensuales que publica la AGPD.
viernes, 20 de abril de 2012
El acuerdo de Schengen en el aire...
Uno de los valedores principales de la aparición de la protección de datos de carácter personal, lo supuso el acuerdo de Schengen. Entre otras muchas cosas se establecía la libertad de tránsito dentro del espacio común europeo, legitimando la necesidad de compartir medidas y controles en un marco común. Pues ayer mismo se daban dos noticias bastante curiosas con respecto al mismo.
Por un lado Francia y Alemania, hablan de la posibilidad de realizar cierres de fronteras provisionales ante determinadas circunstancias. Por ejemplo en el caso de que no se consiga controlar el flujo masivo de inmigrantes. Esto permitiría que ante una posibilidad de que un país no pueda realizar el control de acceso reglado en el espacio europeo, otro colindante al mismo pueda servir de freno cerrando unas fronteras que llevan casi 17 años sin dar esa funcionalidad.
La otra noticia me preocupa más. Ayer 19 de Abril se aprobaba en el Parlamento Europeo un acuerdo que obliga a aerolíneas europeas que vuelan con origen o destino a EEU (o bien hacen escala) a transmitir toda la información de los pasajeros. Incluido entre otros, datos simples como el nombre y apellidos pero otro más peligrosos como el la información de la tarjeta de crédito con el que se haya realizado la compra del billete. También si ha hecho una petición especial de comida por motivos religiosos o de otra índole. La información se almacenará de acorde a unos tiempos estipulados, de tal forma que inicialmente se eliminará la información sensible, luego se despersonalizaran y finalmente pasarán a una lista inactiva hasta que sean eliminados.
De forma previa existía un acuerdo del año 2004 en el que para garantizar la lucha antiterrorista podrían compartir la información. No habría información directa a los datos de los pasajeros sino que habría que solicitar la información al Departamento oportuno y caso por caso, previa justificación de la necesidad y siempre garantizando la seguridad de los datos proporcionados. Bueno pues parece que lo que nos dan por un lado por otro nos lo acaban quitando.
Queda claro que esto de la protección de datos se toma en serio en función de determinados intereses. Si hace poco hablaba de las iniciativas que se iban a llevar a efecto para garantizar la seguridad de los datos en Internet, luego no salen con algo como esto, donde nuestros datos más sensibles pasan a formar parte de una base de datos manejada por váyase a usted a saber quien.
Por un lado Francia y Alemania, hablan de la posibilidad de realizar cierres de fronteras provisionales ante determinadas circunstancias. Por ejemplo en el caso de que no se consiga controlar el flujo masivo de inmigrantes. Esto permitiría que ante una posibilidad de que un país no pueda realizar el control de acceso reglado en el espacio europeo, otro colindante al mismo pueda servir de freno cerrando unas fronteras que llevan casi 17 años sin dar esa funcionalidad.
La otra noticia me preocupa más. Ayer 19 de Abril se aprobaba en el Parlamento Europeo un acuerdo que obliga a aerolíneas europeas que vuelan con origen o destino a EEU (o bien hacen escala) a transmitir toda la información de los pasajeros. Incluido entre otros, datos simples como el nombre y apellidos pero otro más peligrosos como el la información de la tarjeta de crédito con el que se haya realizado la compra del billete. También si ha hecho una petición especial de comida por motivos religiosos o de otra índole. La información se almacenará de acorde a unos tiempos estipulados, de tal forma que inicialmente se eliminará la información sensible, luego se despersonalizaran y finalmente pasarán a una lista inactiva hasta que sean eliminados.
De forma previa existía un acuerdo del año 2004 en el que para garantizar la lucha antiterrorista podrían compartir la información. No habría información directa a los datos de los pasajeros sino que habría que solicitar la información al Departamento oportuno y caso por caso, previa justificación de la necesidad y siempre garantizando la seguridad de los datos proporcionados. Bueno pues parece que lo que nos dan por un lado por otro nos lo acaban quitando.
Queda claro que esto de la protección de datos se toma en serio en función de determinados intereses. Si hace poco hablaba de las iniciativas que se iban a llevar a efecto para garantizar la seguridad de los datos en Internet, luego no salen con algo como esto, donde nuestros datos más sensibles pasan a formar parte de una base de datos manejada por váyase a usted a saber quien.
lunes, 16 de abril de 2012
Flu Project
Allá por finales del año 2010 dos prometedores jóvenes me presentaron un proyecto que habían ido madurando durante un tiempo y que se llamaba Flu (como el nombre que recibe un espécimen de virus biológico). En diciembre del año 2010 hacían público el mismo a través de su sitio web Flu Project.
He tenido la suerte de trabajar junto a ellos y ver su progresión. A día de hoy Pablo González y Juan Antonio Calles son dos profesionales como la copa de un pino y con todas aquellas virtudes que hacen que puedan destacar en este mundo competitivo. Puesto que he podido seguir sus carreras desde muy cerca, no podré decir que ha sido algo fácil para ellos en un mundo y escenario tan complejo como el actual, en los que a veces la juventud puede suponer un lastre. Evidentemente, lo han superado con tesón, dedicación y buen hacer, consiguiendo aupar su proyecto personal (y también el profesional) a la envergadura de lo que representa a día de hoy.
Ese esfuerzo tiene su recompensa y llega poco a poco. Evidentemente este proyecto supone una inversión muy grande en el terreno personal y en muchas ocasiones como única recompensa, la satisfacción de hacer bien las cosas y un reconocimiento profesional que llega poco a poco. Son ya significativas las intervenciones que han realizado en congresos, presentando y exponiendo su trabajo. Es digno de mencionar las posibilidades que en determinados escenarios (como el de la identificación y detención de pederastas) puede ser utilizado su herramienta principal, tal y como expusieron en la No cON nName 2011, en un ejemplo más de lo insospechado que puede llegar a ser el uso de cierto software.
Sirva desde este post mi más sincera enhorabuena por el trabajo realizado y por su puesto con un camino muy grande todavía de recorrer que espero esté repleto de éxitos. Por mi parte tal y como les propuse voy a colaborar a través de vuestro blog, aportando mi granito de arena. A través de mi visión sobre los casos forenses y como se deben tratar de un punto de vista judicial en una cadena que comenzó la semana pasada.
He tenido la suerte de trabajar junto a ellos y ver su progresión. A día de hoy Pablo González y Juan Antonio Calles son dos profesionales como la copa de un pino y con todas aquellas virtudes que hacen que puedan destacar en este mundo competitivo. Puesto que he podido seguir sus carreras desde muy cerca, no podré decir que ha sido algo fácil para ellos en un mundo y escenario tan complejo como el actual, en los que a veces la juventud puede suponer un lastre. Evidentemente, lo han superado con tesón, dedicación y buen hacer, consiguiendo aupar su proyecto personal (y también el profesional) a la envergadura de lo que representa a día de hoy.
Ese esfuerzo tiene su recompensa y llega poco a poco. Evidentemente este proyecto supone una inversión muy grande en el terreno personal y en muchas ocasiones como única recompensa, la satisfacción de hacer bien las cosas y un reconocimiento profesional que llega poco a poco. Son ya significativas las intervenciones que han realizado en congresos, presentando y exponiendo su trabajo. Es digno de mencionar las posibilidades que en determinados escenarios (como el de la identificación y detención de pederastas) puede ser utilizado su herramienta principal, tal y como expusieron en la No cON nName 2011, en un ejemplo más de lo insospechado que puede llegar a ser el uso de cierto software.
Sirva desde este post mi más sincera enhorabuena por el trabajo realizado y por su puesto con un camino muy grande todavía de recorrer que espero esté repleto de éxitos. Por mi parte tal y como les propuse voy a colaborar a través de vuestro blog, aportando mi granito de arena. A través de mi visión sobre los casos forenses y como se deben tratar de un punto de vista judicial en una cadena que comenzó la semana pasada.
miércoles, 11 de abril de 2012
Legislación informática internacional
Determinados proyectos, que se acometen especialmente desde multinacionales o empresas que quieren posicionarse en otros países, se enfrentan a la posibilidad de estar sujetas a normativas diferentes e incluso a veces contradictorias. También es importante que los profesionales de las organizaciones conozcan a qué enfrentarse, puesto que sus acciones podrían ser miradas con diferentes raseros en función de donde se encontraran.
Para un proyecto en el que me encuentro inmerso, he estado buscando información sobre diferentes leyes y jurisprudencia aplicables a la informática, que pueden darse en diferentes países y me he encontrado con esta pequeña joya: informática-juridica.com. Organizada por países, se encuentran tanto las normativas destacadas y las modificaciones existentes. Así por lo menos lo he podido cotejar de la legislación española y de algunos países europeos de los cuales también conozco parte de su normativa.
Esta información como no ofrece una valiosa información para todos aquellos que necesitan conocer como pueden ser afectados sus intereses o en que afectarías a los trabajadores determinadas acciones. Evidentemente esto no es ni más ni menos que la punta del iceberg puesto que queda ir evaluando cada una de las normativas y comparando las acciones, cuestión que será bastante laboriosa pero los resultados serán bastante interesantes.
Por ejemplo hay datos significativos como que determinados países tales como Venezuela presenta una normativa específica sobre delitos informáticos. Me han resultado curiosos muchos de los textos en esa norma, quizás porque se aleja mucho de la visión que desde España tenemos de los delitos informáticos o bien de nuestra normativa. Sirva de ejemplo este texto recogido del artículo 17 de esa ley:
“Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.”
Está claro que en cada país tienen su visión de la tipificación de los delitos y las penas que pueden imputarse.
Para un proyecto en el que me encuentro inmerso, he estado buscando información sobre diferentes leyes y jurisprudencia aplicables a la informática, que pueden darse en diferentes países y me he encontrado con esta pequeña joya: informática-juridica.com. Organizada por países, se encuentran tanto las normativas destacadas y las modificaciones existentes. Así por lo menos lo he podido cotejar de la legislación española y de algunos países europeos de los cuales también conozco parte de su normativa.
Esta información como no ofrece una valiosa información para todos aquellos que necesitan conocer como pueden ser afectados sus intereses o en que afectarías a los trabajadores determinadas acciones. Evidentemente esto no es ni más ni menos que la punta del iceberg puesto que queda ir evaluando cada una de las normativas y comparando las acciones, cuestión que será bastante laboriosa pero los resultados serán bastante interesantes.
Por ejemplo hay datos significativos como que determinados países tales como Venezuela presenta una normativa específica sobre delitos informáticos. Me han resultado curiosos muchos de los textos en esa norma, quizás porque se aleja mucho de la visión que desde España tenemos de los delitos informáticos o bien de nuestra normativa. Sirva de ejemplo este texto recogido del artículo 17 de esa ley:
“Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.”
Está claro que en cada país tienen su visión de la tipificación de los delitos y las penas que pueden imputarse.
lunes, 9 de abril de 2012
Obligación de informar. RD 13/2012
La evolución tecnológica y en materia de protección es algo patente en los mercados actuales y las normativas más tarde o temprano acaban adaptándose a ellas. A veces con una gran norma o en ocasiones con modificaciones puntuales a través de un Real Decreto, se producen cambios que pueden afectar en mayor o menor medida a diversas organizaciones. Este es el caso del Real Decreto 13/2012 que se hace público el 31 de marzo de 2012 a través del Boletín Oficial del Estado. Este RD entró en vigor el 1 de abril del mismo año a excepción de una modificación de la Ley 34/1998 y la disposición final segunda.
Este RD recoge muchos epígrafes de modificaciones de diferentes Leyes. Aunque en gran medida afectan fundamentalmente a la Ley 54/1997 del sector eléctrico, también se recogen apartados sobre la Ley General de Telecomunicaciones y la Ley de servicios de la sociedad de la información y del comercio electrónico.
Entre las diferentes medidas recogidas, establecen la necesidad de fortificación y sobre todo de comunicación a los prestadores de servicios de comunicaciones electrónicas, cuando se detecte por parte de las compañías que ha existido una violación de sus infraestructuras. En algunas circunstancias dicha obligatoriedad podría llegar a que fuera necesaria la comunicación a los abonados cuando afectaran a datos de carácter personal. Dicha modificación viene dada por la necesidad de cumplir las Directivas 2009/136/CE y 2009/140/CE. Este hecho deriva de la necesidad de información, motivada fundamentalmente cuando una organización es atacada, y no teniendo las medidas de seguridad adecuadas, les roban información de sus usuarios. En estos últimos años se han dado muchas de estas casuísticas.
Con respecto a las modificaciones de la Ley 34/2002 LSSI-CE, se adecúa su normativa a la Directiva 2009/136/CE del Parlamamento Europeo y del Consejo de 12 de julio de 2002. Se establece la prohibición de enviar correos electrónicos tipo publicitarios sin quedar constancia del remitente. Sin embargo la modificación más importante corresponde a la modificación del artículo 22. En su punto 2 se recoge la necesidad de comunicar y solicitar el consentimiento al usuario sobre los archivos o programas informáticos (tales como las cookies) que almacenan información en el equipo del propio usuario y permitan que se pueda acceder a información vinculada a la Ley 15/1999 LOPD, sin que el usuario inicialmente fuera consciente de este hecho. Para recoger el consentimiento de los usuarios se deberá hacer uso de los parámetros adecuados del navegador o de otras aplicaciones cuando sea técnicamente posible.
Esta última modificación, supone ir un poco más allá en lo que respecta al tratamiento de datos de carácter personal. De esta forma, la despreocupación con la que se trataba en determinadas circunstancia la información de los usuarios en sus propios equipos toma un nuevo rumbo. Muchas personas no son conscientes de la importancia de ficheros que como las cookies recoge información de la conexión o de datos personales y que son almacenadas en el equipo, siendo en ocasiones totalmente legibles. Esta información pudiera ser accesible por otros sin que estos fueran conscientes de ello (por ejemplo si utilizan un equipo tipo kiosco). La obligación de informar llega por lo tanto un punto más allá y une aún más la relación entre la LSSI-CE y la LOPD.
Este RD recoge muchos epígrafes de modificaciones de diferentes Leyes. Aunque en gran medida afectan fundamentalmente a la Ley 54/1997 del sector eléctrico, también se recogen apartados sobre la Ley General de Telecomunicaciones y la Ley de servicios de la sociedad de la información y del comercio electrónico.
Entre las diferentes medidas recogidas, establecen la necesidad de fortificación y sobre todo de comunicación a los prestadores de servicios de comunicaciones electrónicas, cuando se detecte por parte de las compañías que ha existido una violación de sus infraestructuras. En algunas circunstancias dicha obligatoriedad podría llegar a que fuera necesaria la comunicación a los abonados cuando afectaran a datos de carácter personal. Dicha modificación viene dada por la necesidad de cumplir las Directivas 2009/136/CE y 2009/140/CE. Este hecho deriva de la necesidad de información, motivada fundamentalmente cuando una organización es atacada, y no teniendo las medidas de seguridad adecuadas, les roban información de sus usuarios. En estos últimos años se han dado muchas de estas casuísticas.
Con respecto a las modificaciones de la Ley 34/2002 LSSI-CE, se adecúa su normativa a la Directiva 2009/136/CE del Parlamamento Europeo y del Consejo de 12 de julio de 2002. Se establece la prohibición de enviar correos electrónicos tipo publicitarios sin quedar constancia del remitente. Sin embargo la modificación más importante corresponde a la modificación del artículo 22. En su punto 2 se recoge la necesidad de comunicar y solicitar el consentimiento al usuario sobre los archivos o programas informáticos (tales como las cookies) que almacenan información en el equipo del propio usuario y permitan que se pueda acceder a información vinculada a la Ley 15/1999 LOPD, sin que el usuario inicialmente fuera consciente de este hecho. Para recoger el consentimiento de los usuarios se deberá hacer uso de los parámetros adecuados del navegador o de otras aplicaciones cuando sea técnicamente posible.
Esta última modificación, supone ir un poco más allá en lo que respecta al tratamiento de datos de carácter personal. De esta forma, la despreocupación con la que se trataba en determinadas circunstancia la información de los usuarios en sus propios equipos toma un nuevo rumbo. Muchas personas no son conscientes de la importancia de ficheros que como las cookies recoge información de la conexión o de datos personales y que son almacenadas en el equipo, siendo en ocasiones totalmente legibles. Esta información pudiera ser accesible por otros sin que estos fueran conscientes de ello (por ejemplo si utilizan un equipo tipo kiosco). La obligación de informar llega por lo tanto un punto más allá y une aún más la relación entre la LSSI-CE y la LOPD.
miércoles, 4 de abril de 2012
Webcast sobre Esquema Nacional de seguridad. Optimiza las operaciones.
La implementación de la seguridad en el Esquema Nacional de Seguridad y especialmente la necesidad de análisis y seguimiento inicial, requieren de un esfuerzo personal y económico significativo. A esto hay que sumar que los proyectos de implementación del Esquema Nacional de Seguridad son perdurables en el tiempo y elementos tales como la gestión de activos o el control de la seguridad, pueden llegar a ser un verdadero quebradero de cabeza.
“Con la que está cayendo” realizar una inversión en este sentido puede resultar en ocasiones prohibitivo. Como no el reutilizar un sistema existente o maximizar las funciones de algo ya en producción o en previsión de implementarse con otros objetivos, para cumplir estas medidas constituye una previsión muy a tener en cuenta. Pues bien teniendo como objetivos estas premisas voy a conducir dos Webcast junto a Microsoft Technet donde se tratarán estos aspectos con uno de los productos con el que más tiempo he convivido y de los más queridos para mí: System Center Configurarion Manager. Estas acciones tendrán lugar los días 17 y 19 de Abril a las 16:00 horas y como siempre en este formato, en modo Online y gratuito.
A través de estos dos eventos mostraré a extraer el jugo a este producto como apoyo en la implementación del ENS dentro de las medidas de explotación del marco operacional. Gestionar y controlar lo que se tiene, y prever su evolución es un aspecto esencial dentro del Esquema Nacional de Seguridad, y son tareas que SCCM con sus múltiples funcionalidades permiten que puedan ser llevadas a cabo de una forma efectiva. Como siempre en este tipo de acciones se podrán realizar consultas, pudiendo compartir con vosostros la experiencia adquirida en estas lides.
Aunque la orientación fundamental de los dos Webcast es hacia la implementación del Esquema Nacional de Seguridad, puede resultar muy interesante también en aquellas organizaciones que vean System Center Configuration Manager como una herramienta más para la evaluación de la seguridad. O bien en aquellas que no se han planteado nunca poder asomarse a esta capacidad de gestión de la seguridad para obtener partido de ella. Por ejemplo en el uso de las funcionalidad de la Configuración Deseada o la generación de informes enfocadas al inventariado de la seguridad en la organización.
Estas dos acciones se encuadran dentro de un marco continuado de Webcast, donde el equipo de Sidertia iremos dando cumplida cuenta del uso e implementación del Esquema Nacional de Seguridad con productos Microsoft y del que ya os iré anunciando.
Os dejo a continuación los dos enlaces correspondientes para aquellos que queráis asistir al evento que se realizará en modalidad Online.
Gestión de activos en el ENS.
Gestión de la seguridad en el ENS.
Saludos
“Con la que está cayendo” realizar una inversión en este sentido puede resultar en ocasiones prohibitivo. Como no el reutilizar un sistema existente o maximizar las funciones de algo ya en producción o en previsión de implementarse con otros objetivos, para cumplir estas medidas constituye una previsión muy a tener en cuenta. Pues bien teniendo como objetivos estas premisas voy a conducir dos Webcast junto a Microsoft Technet donde se tratarán estos aspectos con uno de los productos con el que más tiempo he convivido y de los más queridos para mí: System Center Configurarion Manager. Estas acciones tendrán lugar los días 17 y 19 de Abril a las 16:00 horas y como siempre en este formato, en modo Online y gratuito.
A través de estos dos eventos mostraré a extraer el jugo a este producto como apoyo en la implementación del ENS dentro de las medidas de explotación del marco operacional. Gestionar y controlar lo que se tiene, y prever su evolución es un aspecto esencial dentro del Esquema Nacional de Seguridad, y son tareas que SCCM con sus múltiples funcionalidades permiten que puedan ser llevadas a cabo de una forma efectiva. Como siempre en este tipo de acciones se podrán realizar consultas, pudiendo compartir con vosostros la experiencia adquirida en estas lides.
Aunque la orientación fundamental de los dos Webcast es hacia la implementación del Esquema Nacional de Seguridad, puede resultar muy interesante también en aquellas organizaciones que vean System Center Configuration Manager como una herramienta más para la evaluación de la seguridad. O bien en aquellas que no se han planteado nunca poder asomarse a esta capacidad de gestión de la seguridad para obtener partido de ella. Por ejemplo en el uso de las funcionalidad de la Configuración Deseada o la generación de informes enfocadas al inventariado de la seguridad en la organización.
Estas dos acciones se encuadran dentro de un marco continuado de Webcast, donde el equipo de Sidertia iremos dando cumplida cuenta del uso e implementación del Esquema Nacional de Seguridad con productos Microsoft y del que ya os iré anunciando.
Os dejo a continuación los dos enlaces correspondientes para aquellos que queráis asistir al evento que se realizará en modalidad Online.
Gestión de activos en el ENS.
Gestión de la seguridad en el ENS.
Saludos
Etiquetas:
ENS,
Esquema Nacional de Seguridad,
SCCM,
Sidertia,
Webcast
martes, 3 de abril de 2012
MD5. Prohibido su uso en la implementación del ENS.
En ciertos análisis que he llevado a cabo recientemente me he encontrado muchos usos todavía del algoritmo de Función Resumen MD5. Determinados Certificados, sistemas de autenticación o implementaciones de VPN hacen uso de este mecanismo. Sin embargo es de sobra conocido que esta función tiene algunos problemas sifnificativos.
En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: How to Break MD5 and Other Hash, donde documentaban el ataque mediante colisiones diferenciales.
Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.
Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.
¿Implica eso que su uso está prohibido?
Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.
No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.
En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: How to Break MD5 and Other Hash, donde documentaban el ataque mediante colisiones diferenciales.
Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.
Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.
¿Implica eso que su uso está prohibido?
Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.
No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.
lunes, 2 de abril de 2012
La protección del reconocimiento facial
La semana pasada comentaba las evoluciones que en materia de protección de datos la Unión Europea quiere establecer para Internet. Pues bien este 29 de marzo se ha publicado un documento por parte del grupo de autoridades europeas de protección de datos en lo concerniente a un tema altamente sensible como lo es el del reconocimiento facial en Internet. A través de un dictamen analizan los riesgos de la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online.
Estos sistemas de reconocimiento facial ofrecen múltiples funcionalidades y pueden ser explotadas con la información que de una persona existiera en Internet. En agosto del año 2011 tres investigadores, Alessandro Acquisti, Ralph Gross y Fred Stutzman, advertían a través de un estudio de los riesgos existentes de poder hacer fotografías de personas en un lugar determinado y cruzarlas mediante un programa de reconocimiento facial, con la información de personas existentes en perfiles de redes sociales. Este hecho por ejemplo facultaría el poder llegar a trazar la vida de las personas. ¿Dónde queda finalmente la privacidad?
Pues bien como comentaba previamente esto quiere ser controlado y para ello el Grupo de Trabajo del Artículo 29, ha generado un documento enfocado a garantizar la privacidad personal frente a los servicios. Dicho grupo de trabajo es de tipo consultivo y está compuesto por diferentes autoridades de índole europeo, entre los que se encuentra el director de la AEPD, Jose Luis Rodríguez Álvarez. Así entre otras se establece la necesidad de cuando se realizara la prestación de un servicio de este tipo, se deberá advertir que sus imágenes estarán sujetas a un sistema de reconocimiento facial.
Lo más importante reside en que el consentimiento otorgado no puede considerarse aceptado de forma general salvo que el servicio tenga por única finalidad el reconocimiento facial. Por lo tanto nuevos usuarios o los ya registrados, se les deberá solicitar consentimiento explícito para el tratamiento de este tipo de servicio.
También es importante destacar que este tipo de información recibe por lo tanto la consideración de datos de carácter personal. Así deberán aplicarse las medidas de seguridad en las mismas condiciones que cualquier otro tipo de información que hubiera facilitado la persona y por lo tanto deberán atenderse las peticiones de tipo ARCO que hubiera lugar.
Este hecho da una vuelta de tuerca más en las funcionalidades y usos que se tienen desde las redes sociales. Limitan por lo tanto su campo de acción, principalmente porque estarán obligadas a informar a sus usuarios de los servicios que prestan y obliga a atender los derechos de las personas con respecto al tratamiento de estos datos.
Estos sistemas de reconocimiento facial ofrecen múltiples funcionalidades y pueden ser explotadas con la información que de una persona existiera en Internet. En agosto del año 2011 tres investigadores, Alessandro Acquisti, Ralph Gross y Fred Stutzman, advertían a través de un estudio de los riesgos existentes de poder hacer fotografías de personas en un lugar determinado y cruzarlas mediante un programa de reconocimiento facial, con la información de personas existentes en perfiles de redes sociales. Este hecho por ejemplo facultaría el poder llegar a trazar la vida de las personas. ¿Dónde queda finalmente la privacidad?
Pues bien como comentaba previamente esto quiere ser controlado y para ello el Grupo de Trabajo del Artículo 29, ha generado un documento enfocado a garantizar la privacidad personal frente a los servicios. Dicho grupo de trabajo es de tipo consultivo y está compuesto por diferentes autoridades de índole europeo, entre los que se encuentra el director de la AEPD, Jose Luis Rodríguez Álvarez. Así entre otras se establece la necesidad de cuando se realizara la prestación de un servicio de este tipo, se deberá advertir que sus imágenes estarán sujetas a un sistema de reconocimiento facial.
Lo más importante reside en que el consentimiento otorgado no puede considerarse aceptado de forma general salvo que el servicio tenga por única finalidad el reconocimiento facial. Por lo tanto nuevos usuarios o los ya registrados, se les deberá solicitar consentimiento explícito para el tratamiento de este tipo de servicio.
También es importante destacar que este tipo de información recibe por lo tanto la consideración de datos de carácter personal. Así deberán aplicarse las medidas de seguridad en las mismas condiciones que cualquier otro tipo de información que hubiera facilitado la persona y por lo tanto deberán atenderse las peticiones de tipo ARCO que hubiera lugar.
Este hecho da una vuelta de tuerca más en las funcionalidades y usos que se tienen desde las redes sociales. Limitan por lo tanto su campo de acción, principalmente porque estarán obligadas a informar a sus usuarios de los servicios que prestan y obliga a atender los derechos de las personas con respecto al tratamiento de estos datos.
viernes, 30 de marzo de 2012
Guías CCN-STIC serie 800: ENS
Hace más de dos años que se hizo público el Real Decreto 3/2010 por el que se regula la aplicación del Esquema Nacional de Seguridad en el ámbito de la administración pública. Como toda gran norma que mezcla aspectos normativos con aspectos técnicos llevar a buen puerto un proyecto de este tipo puede ser complejo si no se domina los dos campos. Dentro de estos dos años he tenido mucho acercamiento a esta nueva normativa. Desde escribir un libro sobre el tema junto a dos grandes profesionales: Chema Alonso y Julián Blázquez, a, como no, conducir y ser parte de algunas implementaciones de proyectos de adecuación de ENS en organizaciones.
Evidentemente escribir el libro me sirvió mucho para entender los objetivos, consecuencias y retos a los que me enfrentaba cuando iniciaba los primeros proyectos de implementación de ENS. Sin embargo a veces toda esa preparación no siempre resulta suficiente. Una gran norma como esta tiene mucho alcance y a veces de inicio no eres capaz de atisbar la cantidad de elementos que pueden quedar afectados en una organización. Cuando iniciaba los primeros proyectos había muy poco relacionado con el tema y en ocasiones había que interpretar.
Sin embargo encontré una buena referencia en el trabajo hecho por el Centro Criptológico Nacional a través de las guías CCN-STIC de la serie 800. Todo lo confuso que a veces puede llegar a ser la normativa, puede quedar clarificada en algunas de las guías desarrolladas (algunas aún en modo borrador). Tratando cuestiones técnicas concretas no dejan lugar a dudas sobre muchos aspectos a considerar. También clarifican aspectos no tan técnicos que el Real Decreto considero que deja en el aire, como por ejemplo la correspondiente a la valoración de los sistemas.
No obstante no nos engañemos, son buenas pero no la solución a todos los problemas. Será parte fundamental del consultor o el analista interpretar cada situación en función de los requerimientos. A veces por intuición y otras veces por experiencia la guía le será de una buena referencia técnica. Sin embargo como es lógico la guía no te dirá que producto es el adecuado en cada situación o qué tipo de aplicaciones no pueden implementarse por no cumplir los mínimos de seguridad exigidos. Te puede indicar que algoritmos no pueden ser implementados pero deberá ser el consultor el que sepa si las implementaciones que usa una organización los implementa y debería dejar de hacerlo.
También es esencial la mejor adaptación e incluso en los momentos económicos en los que nos encontramos poder dar una respuesta adecuada con la norma y que no suponga un sobre esfuerzo en todos los sentidos al organismo. Actualmente es importantísimo dar una respuesta eficiente con los medios adecuados y esto considero que es el verdadero malabarismo que hacemos para el cumplimiento del ENS.
Aunque la orientación de las guías es la implementación del Esquema Nacional de Seguridad, las mismas suponen una buena referencia a todas aquellas organizaciones que aun no siendo Administración Pública, tienen una preocupación por la seguridad. Si vas a implementar ENS o te interesa el tema échale un vistazo a las guías de seguridad.
Sirva también mi agradecimiento en este post al equipo del Centro Criptológico Nacional que ha desarrollado las guías. Una parte de la experiencia que aplico en los proyectos de ENS provienen de vuestro buen hacer.
Evidentemente escribir el libro me sirvió mucho para entender los objetivos, consecuencias y retos a los que me enfrentaba cuando iniciaba los primeros proyectos de implementación de ENS. Sin embargo a veces toda esa preparación no siempre resulta suficiente. Una gran norma como esta tiene mucho alcance y a veces de inicio no eres capaz de atisbar la cantidad de elementos que pueden quedar afectados en una organización. Cuando iniciaba los primeros proyectos había muy poco relacionado con el tema y en ocasiones había que interpretar.
Sin embargo encontré una buena referencia en el trabajo hecho por el Centro Criptológico Nacional a través de las guías CCN-STIC de la serie 800. Todo lo confuso que a veces puede llegar a ser la normativa, puede quedar clarificada en algunas de las guías desarrolladas (algunas aún en modo borrador). Tratando cuestiones técnicas concretas no dejan lugar a dudas sobre muchos aspectos a considerar. También clarifican aspectos no tan técnicos que el Real Decreto considero que deja en el aire, como por ejemplo la correspondiente a la valoración de los sistemas.
No obstante no nos engañemos, son buenas pero no la solución a todos los problemas. Será parte fundamental del consultor o el analista interpretar cada situación en función de los requerimientos. A veces por intuición y otras veces por experiencia la guía le será de una buena referencia técnica. Sin embargo como es lógico la guía no te dirá que producto es el adecuado en cada situación o qué tipo de aplicaciones no pueden implementarse por no cumplir los mínimos de seguridad exigidos. Te puede indicar que algoritmos no pueden ser implementados pero deberá ser el consultor el que sepa si las implementaciones que usa una organización los implementa y debería dejar de hacerlo.
También es esencial la mejor adaptación e incluso en los momentos económicos en los que nos encontramos poder dar una respuesta adecuada con la norma y que no suponga un sobre esfuerzo en todos los sentidos al organismo. Actualmente es importantísimo dar una respuesta eficiente con los medios adecuados y esto considero que es el verdadero malabarismo que hacemos para el cumplimiento del ENS.
Aunque la orientación de las guías es la implementación del Esquema Nacional de Seguridad, las mismas suponen una buena referencia a todas aquellas organizaciones que aun no siendo Administración Pública, tienen una preocupación por la seguridad. Si vas a implementar ENS o te interesa el tema échale un vistazo a las guías de seguridad.
Sirva también mi agradecimiento en este post al equipo del Centro Criptológico Nacional que ha desarrollado las guías. Una parte de la experiencia que aplico en los proyectos de ENS provienen de vuestro buen hacer.
Etiquetas:
CCN,
ENS,
Esquema Nacional de Seguridad
miércoles, 28 de marzo de 2012
Quiero cancelar mis datos de Internet
Empieza a ser ya muy frecuente que el “yo virtual” de muchos internautas, supere en tiempo de exposición al yo físico que todos tenemos. Eseyo va dejando una impronta por Internet que en ocasiones puede lastrar al yo físico.
Comentarios desafortunados que se dejan, fotografías que hoy parecen ocurrentes pero mañana son incómodas, opiniones de las cuales a veces te arrepientes… Y como no, un buen día querremos cancelar nuestro “yo virtual”.
Sin embargo lo que depositas en Internet es como un tatuaje que puede quedar de por vida y a la larga te marca. La impunidad con la que la información fluye, se trasvasa de un sitio a otro, hace imposible saber donde puede acabar algo que se supone formar parte de la posible privacidad de cada uno. Claro está, si quiero eliminar algo pero ya se ha dispersado, ¿a quién le pido responsabilidades? o peor aún ¿dónde estará toda mi información?
Alguno pensará ¿si tu lo has subido a Internet, tuya es la responsabilidad de lo que subes? Cierto es en determinadas circunstancias (y merecida), pero en otras no. Si depositas tus datos, ndependientemente del qué, en un sistema protegido y este es vulnerado (más o menos lícitamente) y tu información dispersa, evidentemente habrá una culpabilidad relativa. Sin
embargo a partir de ahí tus datos dispersos son difíciles de trazar. Sirva de ejemplo la cantidad de información que se deposita en Pastebin tras la vulneración de un sitio web.
En otras ocasiones resulta que nuestra información no se encuentra depositada en un entorno físico donde la legislación (en este caso la europea) tenga marco de operación y el desconocimiento de las reglas de juego, son un factor en contra. Y es que un espacio como Internet es muy complejo (por no decir imposible) de legislar.
Sin embargo desde la Unión Europea lo tienen claro. Superada la primera fase de los datos de carácter personal en las empresas, el siguiente reto es Internet y casi todas las nuevas reformas que vienen estarán orientadas a ello. Si tú negocio es Internet te podrás ver afectado significativamente. Habrá nuevas reformas y medidas que afectarán tanto a grandes compañías (objetivo fundamental) pero por efecto colateral también a las pequeñas.
Las normas de protección de datos se fraguaron en 1995 cuando Internet no era más que un germen de lo que es a día de hoy. Donde las empresas y los datos tenían unas fronteras delimitadas y las normas un espacio donde operar. Sin embargo Internet ha roto todo eso. Se necesita ahora más flexibilidad y capacidad de respuesta (también quizás de improvisación, aunque en legislación es casi imposible) en la aplicación normativa. Y ese supone el
objetivo a cumplir.
Comentarios desafortunados que se dejan, fotografías que hoy parecen ocurrentes pero mañana son incómodas, opiniones de las cuales a veces te arrepientes… Y como no, un buen día querremos cancelar nuestro “yo virtual”.
Sin embargo lo que depositas en Internet es como un tatuaje que puede quedar de por vida y a la larga te marca. La impunidad con la que la información fluye, se trasvasa de un sitio a otro, hace imposible saber donde puede acabar algo que se supone formar parte de la posible privacidad de cada uno. Claro está, si quiero eliminar algo pero ya se ha dispersado, ¿a quién le pido responsabilidades? o peor aún ¿dónde estará toda mi información?
Alguno pensará ¿si tu lo has subido a Internet, tuya es la responsabilidad de lo que subes? Cierto es en determinadas circunstancias (y merecida), pero en otras no. Si depositas tus datos, ndependientemente del qué, en un sistema protegido y este es vulnerado (más o menos lícitamente) y tu información dispersa, evidentemente habrá una culpabilidad relativa. Sin
embargo a partir de ahí tus datos dispersos son difíciles de trazar. Sirva de ejemplo la cantidad de información que se deposita en Pastebin tras la vulneración de un sitio web.
En otras ocasiones resulta que nuestra información no se encuentra depositada en un entorno físico donde la legislación (en este caso la europea) tenga marco de operación y el desconocimiento de las reglas de juego, son un factor en contra. Y es que un espacio como Internet es muy complejo (por no decir imposible) de legislar.
Sin embargo desde la Unión Europea lo tienen claro. Superada la primera fase de los datos de carácter personal en las empresas, el siguiente reto es Internet y casi todas las nuevas reformas que vienen estarán orientadas a ello. Si tú negocio es Internet te podrás ver afectado significativamente. Habrá nuevas reformas y medidas que afectarán tanto a grandes compañías (objetivo fundamental) pero por efecto colateral también a las pequeñas.
Las normas de protección de datos se fraguaron en 1995 cuando Internet no era más que un germen de lo que es a día de hoy. Donde las empresas y los datos tenían unas fronteras delimitadas y las normas un espacio donde operar. Sin embargo Internet ha roto todo eso. Se necesita ahora más flexibilidad y capacidad de respuesta (también quizás de improvisación, aunque en legislación es casi imposible) en la aplicación normativa. Y ese supone el
objetivo a cumplir.
Si quieres anticipar lo que viene aquí hay dos direcciones interesantes donde consultar estos cambios:
martes, 27 de marzo de 2012
Ardor guerrero
Mis más sinceras disculpas.
A todos aquellos que alguna vez se acercaron al blog...
A todos aquellos que me pidieron que siguiera escribiendo...
A todos aquellos que seguían comentando mucho tiempo después...
A todos aquellos que me animaron continuamente...
Hace más de dos años que escribí el último post, y no por falta de ganas tuve que abandonar esta interesante tarea de poder compartir experiencia y conocimientos con todo aquel que se asomaba al balcón de este humilde espacio. Otras obligaciones y porque no decirlo perder en cierta medida "el ardor guerrero" que en otro tiempo sobraba hacía complicado dedicar un tiempo que había que aquilatar en gran medida.
Ese ardor guerrero se pierde por muchos factores y en ocasiones solo un revulsivo hace que se gane nuevamente. Creo haberlo ganado de nuevo en este mes y como no, es momento de retomar cosas que quería hacer, pero quizás no tenía las fuerzas suficientes para llevarlas a cabo; como escribir en el blog.
El revulsivo se llama Sidertia Solutions. Embarcarme en una nueva aventura con grandes profesionales, compañeros y como no también amigos, supone esa chispa que incentiva un cambio que a larga creía necesario. Como no, atrás quedan grandes profesionales, compañeros y también amigos a los que les deseo lo mejor y con los que espero compartir futuras experiencias en un mundo que aunque parezca grande no lo es tanto.
En el horizonte se ven nubes negras, no es el mejor momento para hacer determinadas cosas, pero crecerse ante la adversidad también es parte del incentivo de la vida. Las ganas con las que se inicia esta nueva aventura permiten enfrentarse a muchas cosas nuevas pero hace también recuperar la ilusión en algunas cuestiones que arrastraba.
Tras unas semanas de dura lucha ya están asentadas las bases de lo que supone este gran reto personal. Fuerzas renovadas para hacer muchas cosas, como escribir en el blog que pienso que debo a todos lo que de una u otra forma siempre han estado ahí. También a mi mismo.
Vaya por vosotros ese esfuerzo.
A todos aquellos que alguna vez se acercaron al blog...
A todos aquellos que me pidieron que siguiera escribiendo...
A todos aquellos que seguían comentando mucho tiempo después...
A todos aquellos que me animaron continuamente...
Hace más de dos años que escribí el último post, y no por falta de ganas tuve que abandonar esta interesante tarea de poder compartir experiencia y conocimientos con todo aquel que se asomaba al balcón de este humilde espacio. Otras obligaciones y porque no decirlo perder en cierta medida "el ardor guerrero" que en otro tiempo sobraba hacía complicado dedicar un tiempo que había que aquilatar en gran medida.
Ese ardor guerrero se pierde por muchos factores y en ocasiones solo un revulsivo hace que se gane nuevamente. Creo haberlo ganado de nuevo en este mes y como no, es momento de retomar cosas que quería hacer, pero quizás no tenía las fuerzas suficientes para llevarlas a cabo; como escribir en el blog.
El revulsivo se llama Sidertia Solutions. Embarcarme en una nueva aventura con grandes profesionales, compañeros y como no también amigos, supone esa chispa que incentiva un cambio que a larga creía necesario. Como no, atrás quedan grandes profesionales, compañeros y también amigos a los que les deseo lo mejor y con los que espero compartir futuras experiencias en un mundo que aunque parezca grande no lo es tanto.
En el horizonte se ven nubes negras, no es el mejor momento para hacer determinadas cosas, pero crecerse ante la adversidad también es parte del incentivo de la vida. Las ganas con las que se inicia esta nueva aventura permiten enfrentarse a muchas cosas nuevas pero hace también recuperar la ilusión en algunas cuestiones que arrastraba.
Tras unas semanas de dura lucha ya están asentadas las bases de lo que supone este gran reto personal. Fuerzas renovadas para hacer muchas cosas, como escribir en el blog que pienso que debo a todos lo que de una u otra forma siempre han estado ahí. También a mi mismo.
Vaya por vosotros ese esfuerzo.
Suscribirse a:
Entradas (Atom)