miércoles, 23 de mayo de 2012

Ser padres en la era digital y no morir en el intento

Que el salto generacional es algo tangible, no extraña a nadie. Las nuevas generaciones nacen con los sistemas digitales como una forma natural de comunicación y acercamiento al mundo. Desde muy pequeños se sienten atraídos hacia el uso de las tecnologías. Han cambiado las formas de jugar, de interactuar y de estudiar. Las pizarras digitales dejan paso a las odiosas tizas ofreciendo alternativas que hasta hace bien poco eran inimaginables.

Sin embargo todas esas mejoras entrañan también sus innegables problemas. Uno de los fundamentales es el distanciamiento existente entre padres e hijos en cuestión tecnológica. Aunque siempre se ha manifestado en la mentalidad de los más jóvenes cierto rechazo hacia la de los más maduros, el distanciamiento a día de hoy es considerable. Las diferencias tecnológicas son cuantiosas y mientras mucho de nosotros empezamos con las famosas “maquinitas” a día de hoy tener un móvil o una consola a temprana edad es algo cotidiano.

Para muchos, temas como el sexting o el grooming no representan nada conocido sin embargo es algo con lo que conviven los jóvenes y los padres deberían conocer. Desasociarse de la era digital supone mucho más allá de lo que supone el distanciamiento generacional. Si un hijo tiene un problema difícilmente podremos darle la respuesta o comprensión requerida.

Sería importante para ello compartir tiempo  con ellos en estos temas y aprender junto a ellos. Ese tiempo es algo tan preciado a día de hoy, que parece nunca tenerlo para los más cercanos, sin embargo es indispensable dedicárselo a quien más se lo merece. Para ello os recomiendo (y también podéis compartir y a buen seguro os agradecerán) una serie de juegos educacionales relacionados con la seguridad informática que sirven de entretenimiento, son educativos y permiten acercar posturas y cercanía con los nuestros.

Como hasta en las edades hay diferencias apreciables en contenido y en forma de interactuar os propongo dos espacios diferentes.

El primero de ellos es para los peques de la casa. La web protege tu información, creada por ISMS Forum Spain, propone una serie dejuegos en su sección infantil. Esta web muy cercana a diferentes temáticas relativas a la vida personal, representa una forma muy efectiva de tomar medida del mundo digital.

El segundo está más pensado para los más mayorcitos, cercanos a la edad adolescente (o los que están en ella). Pensado como un Trivial presenta temáticas más maduras con una reflexión muy importante que enseña los riesgos existentes en Internet y la importancia de la protección personal y de nuestros datos. Privial, de cuida tu imagen online, supone una apuesta muy interesante para conocer los problemas que existen en Internet  y lo importante que es tomarse las cosas en serio.

No tenéis ya una excusa para compartir tiempo y conocimiento con vuestros seres más queridos. Recordad que la distancia supone un abismo a veces tan insalvable, que las soluciones desgraciadamente pueden llegar muy tarde. Ellos, que son los más desprotegidos, necesitan de nuestra ayuda aunque crean que no. No hagáis que el salto tecnológico suponga una distancia insalvable y que la ayuda sea imposible por no saber.

lunes, 7 de mayo de 2012

LOPD y Dropbox


Recientemente me ha llegado al correo una petición de si podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio de Dropbox como un sistema de almacenamiento para el backup de datos e incluso intercambio de información.  Aunque ya di respuesta, considero que puede ser un tema interesante y quiero compartirlo con todos vosotros.

Inicialmente se plantean desde este hecho dos problemas fundamentales en lo concerniente a la gestión de datos de carácter personal:

-          ¿Dónde se encuentra el servicio y cómo se aloja la información?

-          ¿El proveedor accede a la información alojada en su sistema?

En la primera de las circunstancias habría que tener presente la posible transferencia internacional de datos, y posiblemente estar sujeto a comunicación a la AEPD e incluso la necesidad de solicitar permiso en determinadas circunstancias. También hay que tener presente las posibles condiciones particulares del servicio y la posible necesidad para que el prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el acceso a la información en determinadas circunstancias.

En la segunda hay que tener en cuenta que para la prestación del servicio, el proveedor podría necesitar acceder a la información subida. Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo necesario establecer el acuerdo y las condiciones legales requeridas en esta circunstancia por la Ley Orgánica 15/1999.

Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas circunstancias se comenta con respecto al tratamiento de datos de carácter personal, que puesto que la información se transfiere y almacena de forma cifrada, se cumplen las condiciones necesarias para que no puedan ser consideradas como un fichero de datos tratable por el proveedor. Sin embargo si se analiza la política de privacidad puede extraerse la siguiente información:

Cumplimiento de las leyes y solicitudes de aplicación de las leyes; protección de los derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los archivos almacenados en su Dropbox e información relativa a usted que recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente necesaria para (a) cumplir con una ley, reglamentación o solicitud legal obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”

Un dato interesante consiste en que el cifrado es de tipo reversible y la información almacenada, podrá ser facilitada a otros. La causas para ello, podrán ser legales o no.

La condición del cifrado se proporciona definitivamente en el documento sobre la visión general de la seguridad:

“Ciframos los archivos que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de cifrado usada por bancos para proteger datos de los clientes. El cifrado para el almacenamiento se aplica después de cargados los archivos y nosotros administramos las claves de cifrado.”

En el contrato hay que tener presente que la solicitud de eliminación de la información, podría implicar que no fuera eliminada totalmente por parte del proveedor y por lo tanto los ficheros de datos accesibles por ellos.

“Conservaremos su información durante el tiempo que su cuenta permanezca activa o bien según resulte necesario para prestarle servicios. Si desea cancelar su cuenta o solicitar que dejemos de usar su información para brindarle servicios, puede eliminar su cuenta aquí. Podemos conservar y usar su información según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos, intentaremos eliminar su información rápidamente una vez recibida su solicitud. No obstante, tenga en cuenta que puede existir cierta latencia al eliminar información de nuestros servidores y después de dicha eliminación, pueden existir versiones de copias de seguridad. Además, no eliminaremos de nuestros servidores archivos que tenga en común con otros usuarios.”

Se recoge también en el documento sobre visión de seguridad, la política de acceso a la información subida al servicio:

“Los empleados de Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos (por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría de servicios en línea, tenemos un grupo pequeño de empleados que tienen que poder obtener acceso a los datos de usuario por los motivos mencionados en nuestra política de privacidad (por ejemplo, cuando sea necesario por razones legales). Pero es una excepción poco frecuente, no la regla. Tenemos una estricta política y controles de acceso técnico que prohíben que los empleados obtengan acceso excepto en estas circunstancias poco frecuentes.”

Tal y como se ha recogido puede entenderse por lo tanto que existe una transferencia de datos a un servicio con un cifrado reversible y accesible por parte del proveedor. Es más, establecen que podrán, en determinadas condiciones y por parte de determinadas personas, acceder a la información existente. En el caso de datos de Carácter Personal si nos ceñimos a la normativa, existiría la necesidad de realizar un contrato como encargado de tratamiento, cuestión que evidentemente no se realiza con Dropbox.

Por lo tanto las organizaciones no deberían utilizar este servicio para el almacenamiento de datos de carácter personal, por mucho que se pueda garantizar la seguridad y  muy atractivo sea la posibilidad ofrecida.

martes, 1 de mayo de 2012

Doctor, ¿cuánto he madurado?


En muchas ocasiones los administradores me piden que evalúe qué tal va la seguridad de sus sistemas. Este análisis es una de las más complicados de efectuar, puesto que la referencia requiere de parámetros y métricas. Cada cual maneja las suyas (dependen a veces de las cualidades intrínsecas de la organización) y van en función de las condiciones existentes e incluso de las circunstancias en determinados momentos.

En estos días estoy mejorando mi propia experiencia para los procesos de análisis. Para ello estoy realizando diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta múltiples aspectos y de los que me ha resultado muy instructivo la lectura de un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados axiomas en los que herramos indefectiblemente cuando queremos establecer parámetros para cuantificar la seguridad. Las ideas que se manejan son transgresoras con determinados modelos de métrica y análisis de seguridad… pero es que en esencia lleva mucha razón en sus planteamientos.

Hasta la fecha tenía en cuenta la aplicación de los modelos convencionales para la gestión de seguridad en las organizaciones, sin embargo los modelos teóricos no se ajustan bien a las organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque dependen más de la actuación de la organización, ofrecen mejores respuestas cuando surge la necesidad de ser reactivo.

Definir un modelo ajustado a la organización asumo que dependerá de la madurez de la organización y de un proceso evolutivo, puesto que la mejor referencia de seguridad para una empresas reside en ella misma. Los parámetros del mercado, aunque interesantes, no son válidos puesto que no tiene en cuenta las peculiaridades de la misma. Pueden ser tomados como referencia, pero nunca como objetivos taxativos a alcanzar.

La madurez en los usos informáticos de la propia organización ofrecen esa primera visión necesaria que permite cuantificar y cualificar la seguridad de la organización. Desde Sidertia estamos llevando a cabo campañas de concienciación de seguridad de organizaciones con las colaboramos y que nos permiten ver por un lado la evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar con todos y también, muy importante, el explicar a todos el “por qué de determinadas cuestiones”. Esa visión permite ver realmente la seguridad que espera el negocio y por lo tanto aplicar la métrica en función de la misma.

Cada organización es un mundo en sí misma, y aunque determinados aspectos de la seguridad son comunes a todas (un antivirus en un antivirus siempre), otros requieren desviar esfuerzos (económicos y personales) en función de las necesidades. ¿Qué es mejor invertir en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente de los sistemas? Pues seguro que esto depende del tipo de la organización. Seguramente los dos son necesarios pero una empresa que tenga un gran número de desplazados (como comerciales) y este sea una capa de negocio esencial deberá maximizar la segunda de las opciones en detrimento de la primera.

Por lo tanto los axiomas que a menudo se aplican para medir la seguridad de la organización, resultan caducos. Cuando aprenderemos que un antivirus y un firewall no es la seguridad que requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa puede abrirte en gran medida a las inquietudes de la organización y hablarte de sus necesidades.