En momentos de crisis .....

hay que ahorrar como sea ............... :-)

Leyendo esta resolución de la AEPD no he podido evitar una carcajada pensando sobre la posibilidad de que se trate de un ejemplo más de la típica picaresca que desde siempre nos caracteriza.

En esencia, se trata de una ciudadana que reclama ante la AEPD que no se ha atendido una solicitud de ejercicio de derecho de acceso a su historia clínica. Según la afectada la historia clínica entregada estaba incompleta.

Para no extenderme más, sirva este párrafo de la resolución como conclusión de la situación planteada:

"En segundo lugar, en relación a las pruebas realizadas con posterioridad al 03/01/2007 y que la reclamante afirma no haber recibido, éstas se encuentran en el mencionado Hospital a disposición de la misma, previo abono del importe de su realización, hecho éste ajeno a las competencias de la Agencia Española de Protección de Datos."

Desde luego lo primero que me viene a la cabeza es que se trata de una buena estratagema para intentar ahorrarse unas perrillas. Una anécdota más de como la LOPD puede ser utilizada como arma arrojadiza o como mecanismo para intentar obtener "beneficios" personales .........

En cualquier caso, pido disculpas públicamente a la ciudadana en caso de que mi interpretación sea totalmente ajena a la realidad.

CITA DEL DÍA: "El desconocimiento es el caldo de cultivo de la inseguridad"

Evento INTECO : SGSI

El martes dia 4, Inteco organiza en Barcelona una jornada sobre SGSI que parece interesante. Nosotros asistiremos, así que si alguien tiene pensado acercarse, es un buen momento para conocernos e intercambiar opiniones.

Los detalles del enlace están en catalán, ya que la jornada está organizada en colaboración con la Cámara de Comercio de Barcelona, lo sentimos.

Abra la boca y diga LOPD

Vamos a relatar otro caso más (por desgracia no cesan) de incumplimento de la LOPD, y como si de una película americana de sobremesa se tratara, esta vez está "basado en hechos reales".

Ayer, por desgracia, acudí a un centro odontológico. Era la primera vez que acudía a esta clinica, y procedieron a "ficharme". Ni que decir tiene que el deber de información no había venido ese día a la consulta. Una vez que empezaron el cuestionario me sorprendió mucho que me preguntaran el DNI y el estado civil.

¿Es necesario mi DNI para tratarme una caries? A lo mejor es para facturarme...
¿Importará si estoy casado en el tratamiento que me den? Si no lo estoy, ¿será más cariñosa la enfermera? :-)

Uno, que lleva la deformación profesional siempre encima, no podía hacer otra cosa más que preguntarlo, la respuesta fue clara, y la que se suele recibir en estos casos: "a mí me han pasado el formulario y yo lo pregunto" con el tono claramente me estaba diciendo "¿No vendrás a tocarme las narices no?".

Como se puede comprobar estamos ante un flagrante caso de incumplimiento de los principios de información y de calidad de los datos. Se está recabando información excesiva y además no se informa, lo cual, vulnera de lleno la LOPD. Este anecdótico hecho hace que volvamos a acordarnos del informe de INTECO en el que se reflejaba la penosa, si se me permite la palabra, calidad y cantidad de implantaciones de la LOPD en las PYMES.

En estos casos, ¿qué podemos hacer? nosotros porque somos buena gente y no vamos a denunciar, pero otro usuario que salga enfadado por el trato, el desembolso o incluso el dolor, ¿qué le impide denunciarlo a la Agencia? Está claro que las empresas desconocen el riesgo que corren en estos casos, tal vez un aviso diciéndole al empresario "¿Sabes que estos incumplimentos te pueden suponer miles de euros de sanción?" le haga espabilar, o tal vez no...

No obstante, el empresario juega con ventaja puesto que el pobre ciudadano de a pie está todavía menos concienciado y puesto en estos temas.

CITA DEL DIA : "El que mucho abarca... sufrirá para defender..."

Las PYMES y su in-seguridad

Desde aquí felicitar a Samuel y Nacho por la estupenda presentación que presentaron, valga la redundancia, en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Aquí os dejo el enlace a la entrada del blog de Samuel.

Se trata de un claro ejemplo que retrata como las soluciones/servicios en materia de seguridad de la información enfocadas a las PYMES no son las más adecuadas. En muchas ocasiones se intentan matar moscas utilizando misiles Tomahawk.

Por cierto, muy bueno el detalle del sello de la ITV en las certificaciones del Sr. Gómez-Cebolla :-).

Lo dicho, estupenda exposición, lástima de no haberla visto en vivo y en directo. Y felicidades por vuestra obra maestra IS2ME!

CITA DEL DÍA: "Seguridad o inseguridad, esa es la cuestión ...."

¿Hay que informar sí o sí?

Os voy a plantear un tema que tengo sobre la mesa y ya no sé que hacer ante las negativas de la empresa X (página web de bolsa de trabajo que por motivos obvios mantendré en secreto, de momento ........). Os planteo brevemente el caso (sin términos ni referencias jurídicas para no aburrir) y el “problema” que se origina:

Existe una relación mercantil con la empresa X a través de la cual se publican las pertinentes ofertas de empleo. La empresa X informa al candidato en los términos que establece la LOPD. Con la empresa X se establece una comunicación/cesión de datos y a tal efecto recogen el debido consentimiento.

Ahora bien, desde nuestro punto de vista en ningún momento se le informa claramente del destinatario de los datos, en este caso nosotros. Obviamente está implicito en la oferta a la cual se inscriben pero no se ajusta a los requisitos de la LOPD. A tal efecto, se ha propuesto incluir una advertencia legal con nuestros datos (en calidad de responsables “temporales” del tratamiento) en el correo de respuesta que automáticamente reciben todos/as los/as candidatos/as que se inscriben a las ofertas.

La empresa X no permite que se incluya este tipo de información puesto que aparece información de contacto (para el ejercicio de derechos) y sus condiciones de uso no permiten facilitar datos de contacto a los candidatos.

Pues eso es todo. ¿Os habéis encontrado en esta tesitura? ¿Creéis que, como destinatarios de los datos debemos informar a los/as candidatos/as? ¿Debería hacerlo en cualquier caso la empresa X?

Cualquier opinión, observación, matización, etc. será bienvenida. Gracias.

CITA DEL DÍA: "Tu controlas la seguridad pero la inseguridad te controla a ti"

El enemigo en casa y que dure .............

De todos es sabido que muchos de los problemas o incidentes de seguridad tienen su origen en la propia organización. Por lo general, ya sea de forma accidental o malintencionada, el usuario acostumbra a estar implicado. Por ello, es lógico que se dediquen muchos recursos a campañas de concienciación, sensibilización, formación, etc. con objeto de "educar" a los usuarios en el uso de los sistemas de información y haciendo especial hincapié en aquellos aspectos relativos a la seguridad.

Lo anteriormente expuesto es lo más sensato aunque también debo decir que no va nada mal que existan "ovejas negras" en nuestro rebaño. Al igual que el cuerpo humano tiene que estar "infectado" previamente (vacuna) para combatir un virus y desarrollar las defensas adecuadas, en el caso que nos ocupa podríamos decir que se trata de una situación similar por no decir idéntica. Si pensásemos en un escenario utópico y las campañas antes mencionadas tuvieran un éxito absoluto podríamos asegurar que internamente nunca más tendremos problemas. No obstante, esto nos llevaría a una falsa seguridad puesto que no tendríamos la certeza de si disponemos o no de un entorno seguro.

Además, tarde o temprano, siempre que haya un usuario involucrado (comportamiento totalmente impredecible e imaginación sin límites) existe un riesgo directamente proporcional al espíritu investigador y afán de superación del susodicho. Por tanto, particularmente creo que es bueno que convivan usuarios “avanzados” que intenten saltarse las reglas, de esta forma podremos evaluar de forma empírica la robustez de nuestra seguridad.

Obviamente, detrás de este planteamiento deben haber mecanismos o herramientas de monitorización de amplio espectro con objeto de identificar que los usuarios no experimenten más de la cuenta. A lo largo de mi experiencia he podido comprobar como se desarrolla la “inteligencia” del usuario con objeto de saltarse las barreras que se le ponen delante. Os aseguro que en ningún momento se nos hubiera pasado por la cabeza contemplar según que métodos se han aplicado para vulnerar las reglas de uso.

Como caso destacable tuvimos a un ejemplar varios días “vigilado” para comprobar hasta donde era capaz de llegar. En concreto, su objetivo era navegar por Internet sin estar autorizado. Para ello, además de descargarse e instalar “utilidades” de captura de contraseñas también llego a instalarse el famoso Tor para navegar de forma anónima. Lástima que la jugada le saliera mal porque la verdad es que poquito a poquito iba avanzando en su empeño.

En resumen, tampoco es tan grave que hayan usuarios “rebeldes” ya que, viendo la parte positiva, nos ayudan a mejorar la seguridad de nuestros sistemas. Otra forma de verlo es que disponemos de un servicio de testeo permanente, no viciado y sin coste añadido. Evidentemente, siempre debe haber un límite y un control exhaustivo con objeto de que los experimentos no nos exploten en las manos.

CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"

EEUU y su watch list

Hace algún tiempo leí este artículo de Xavier Ribas que me llamó la atención, y hoy "discutiendo" con un compañero de trabajo me ha vuelto a la cabeza, y creo se merece unas cuantas líneas.

Anualmente Estados Unidos, a través del USTR (United States Trade Representative), confecciona una lista negra, en la que relaciona los paises más deficientes en cuanto a propiedad intelectual, con objeto de tomar las medidas adecuadas en cualquier transacción que se realice con ellos.

Este año ha sido incluida por primera vez España, y a ello le acompaña una descripción de que motivos han propiciado esta inclusión. Entre estos motivos nombran la preocupación que tienen por el pobre papel del gobierno español a la hora de atajar la piratería en Internet, relatando que en España el compartir archivos por internet mediante p2p es legal. Mientras el gobierno español no tome estas medidas, seguirá incluido en su watchlist.

SPAIN
Spain will be added to the Watch List in 2008. The United States is concerned by the Spanish government’s inadequate efforts to address the growing problem of Internet piracy, described by
U.S. copyright industries as one of the worst in Europe. There is also a widespread misperception in Spain that peer-to-peer file sharing is legal. While Spanish law enforcement authorities have taken some positive measures against pirate Internet websites, prosecutors have failed to pursue IPR cases, judges have failed to impose deterrent-level sentences against IPR infringers, and right holders do not have access to important legal tools needed to bring meaningful civil infringement suits. The United States will continue to work closely with Spain to address these IPR enforcement issues during the next year.

Desde aquí no vamos a opinar sobre si el Gobierno debería permitir o no estas descargas, pero si opinaremos sobre la posición de EEUU. Está claro que no es una postura nueva la de que los EEUU se consideren los mandamases del mundo, pero si nos sorprende ver con que "libertad" juzgan a la justicia española (valga la redundacia). ¿Es posible que esta catalogación venga motivada en gran medida por que las grandes industrias cinematográficas y musicales se encuentran allí? ¿Realmente España se encuentra al mismo nivel que paises como Indonesia, Líbano, Filipinas, Tajikistán....?

CITA DEL DIA : "Si tu sistema es seguro es que no lo ha atacado la persona adecuada"

Intimidad en el AVE

Una breve entrada para comentar que el pasado miércoles tuve mi primera experiencia con el AVE y debo decir que me encantó. No obstante, me chocó bastante que desde mi asiento (clase preferente) se pudiera ver con todo lujo de detalles lo que hace el viajero de la fila delantera (en diagonal) en el portátil. Concretamente, había una persona que estuvo trabajando durante bastante tiempo con una hoja excel repleta de importes (ingresos, gastos, extras, ratios, etc.) por líneas de negocio y meses, es decir, un control presupuestario bastante detallado.

Obviamente no revelaré a que compañía pertenecían estos datos pero era una de las gordas del sector de productos de limpieza. Concluyendo, quería ponerme a mirar cosas con mi portátil pero desistí por completo. Tampoco es un aviso porque enseguida podréis experimentar, si no lo habéis hecho ya, esta incómoda situación.

CITA DEL DÍA: "De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo"

¿Aumentar el cumplimiento de la eleopede?

Al hilo de una presentación que tuve que preparar hace poco, y también influenciado por esta otra interesante reflexión, he decidido compartir con vosotros la siguiente disquisición acerca del bajo, por no decir patético, nivel de cumplimiento de la LOPD. Revisando el punto 7 del Estudio sobre el grado de adaptación de las PYMEs a la LOPD y el RDLOPD he comprobado que se esbozan algunas recomendaciones. Todas ellas se basan en los aspectos de concienciación, formación, sensibilización, etc. De forma muy breve mencionan ayudas y subvenciones aunque no se concreta gran cosa. También están reflejadas diversas iniciativas que se realizan desde INTECO.

Como me caracterizo por una actitud constructiva y bastante orientada a dar soluciones, pues simplemente me atrevo a exponer un conjunto de posibles medidas o acciones adicionales a las descritas en el mencionado estudio para ayudar a fomentar el cumplimiento de esta Ley. No siguen ningún orden de importancia ni priorización ni nada similar.

Obligatoriedad en cualquier trámite burocrático:
De forma similar a cualquier otro trámite burocrático en que se solicita la presentación de infinidad de documentos, certificados, formularios, etc. pues sería tan "fácil" como exigir en cualquier trámite con toda administración (central, autonómica, local, etc.) la aportación, por parte de la PYME, de un certificado o similar otorgado por la propia AEPD. En nuestro sector (matepss) existen diversos trámites oficiales en los que resulta obligatoria la acreditación, como mínimo, de tener los ficheros inscritos. Obviamente, esto punto está bastante limitado a la mera constancia de los ficheros inscritos pero algo es algo.

Códigos tipo:
Potenciar la definición de código tipos para diversos sectores de actividad. En esencia se trataría de seguir a rajatabla todo lo que se establezca en el código tipo. Personalmente me parece muy extraño que únicamente se hayan definido 12 códigos tipos. Puede que la definición y aplicación de códigos tipos se deba impulsar a nivel de asociaciones, cámaras de comercio, etc.

Dar ejemplo:
Pido disculpas de antemano por este punto pero me atrevería a decir que la Administración Pública en su conjunto es la que menos respeta y cumple la LOPD. Ya he perdido la cuenta de la cantidad de formularios oficiales en los que no aparece ni una sola referencia a la LOPD. Entiendo que en muchos casos estén exentos de cumplir algunos requisitos de la Ley pero como mínimo deberían informar al afectado y cumplir un mínimo de las medidas de seguridad. Por otra parte ni me imagino la complejidad que supone este tema en la administración pública pero a lo hecho pecho ..........

Concienciación del afectado:
Estoy convencido que el cumplimiento de la LOPD tiene que ser demandado por la ciudadania. A medida que el propio afectado “exija” a las empresas que cumplan con la Ley, éstas tomaran conciencia. Por si mismas poco harán, la prueba es el 16% de cumplimiento después de casi 10 años de vigencia de la Ley.

Hay otras acciones que se me ocurren pero las veo complicadas de materializar, como por ejemplo, intensificar el número de inspecciones sectoriales, subvenciones, etc., básicamente por el coste económico que supondrían.

Y por hoy nada más, espero que este pequeño granito de arena sirva para algo.

CITA DEL DÍA: ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación

La AGPD y la apostasía.

Se lleva hablando muchos días acerca de la apostasía, o dicho de otra forma, de como darse de baja de la iglesia.

El Tribunal Supremo anuló una sentencia de la Audiencia Nacional que obligaba a anotar en la partida de bautismo de un apóstata su rechazo a la religión católica. ¿Por qué la Iglesia ha conseguido burlar la LOPD y no permitir los derechos de acceso, rectificación, cancelación y oposición? Pues por que el juez ha considerado que los libros de bautismo NO son un fichero, por lo cual no están sometidos a la LOPD.

Actualmente la AGPD tienen en su poder más de 600 peticiones de apostasía pendientes de resolución, y su director, Artemi Rallo está decidiendo si presentar una impugnación a la sentencia.

Desde aquí nos preguntamos qué consideración especial tiene la Iglesia para no considerar sus libros de bautismo como ficheros, si bien ellos se amparan en que únicamente es un libro ordenado cronológicamente, ¿desde cuándo ese ha sido un criterio válido?. Si se acepta ese argumento no me extrañaría ver a diversas empresas acogerse a ese precedente y cambiar la clasificación de sus datos para así ahorrarse un "mantenimiento" de datos, así como poder evitar la ejecución de los ejercicios de derechos, que todos sabemos que muchas veces se vuelven muy correosos.

CITA DEL DIA : "No te quedes en el primer nivel, investiga!!"

Auditoría interna vs externa

En esta entrada no voy a plantear la eterna discusión relativa a si la auditoría de sistemas de sistemas de información debe ser interna o externa (o ambas). Ya que he tenido la suerte de haber vivido casi todos los roles posibles intentaré plantear, bajo mi experiencia, algunos aspectos clave según cada caso. Las distintas modalidades que he podido experimentar en materia de auditoría de sistemas de información son:

• auditor interno
• auditor externo integrado en departamento de auditoría interna
• auditor externo
• auditado por auditor externo
• La única que me falta es ser auditado por un auditor interno. Doble nivel de auditoría interna?, esto existe? lo más parecido diría que es "Asuntos Internos" :-)

De este cúmulo de vivencias me gustaría remarcar los siguientes aspectos:

Planificación/Ámbito

Sin duda este es uno de los aspectos que más valoro en cuanto que uno mismo decide qué, cuándo y porqué auditar. A excepción del auditor interno, me temo que los auditores externos tienen ya establecido que área, departamento, infraestructura, etc. deben auditar. En definitiva, poco margen de maniobra queda ya que la demanda viene dada por el cliente. Por otro lado, la planificación, y consecuentemente el presupuesto, también está medianamente pactado por lo que pocas desviaciones en tiempo/coste pueden haber. Yo soy partidario de que las auditorías deben durar lo que tengan que durar, por tanto, no establezco ninguna fecha límite (exacta e inamovible) para su finalización.

Metodología/criterios

Al igual que en el punto anterior, un auditor interno pone en práctica el tipo de auditoría que mejor considera utilizando para ello aquellas metodologías, herramientas, pautas, etc. que cree mejor. Como auditor externo, he tenido que utilizar metodologías propietarias y altamente complejas (a la vez que desactualizadas), pasando, en el peor de los casos, por tener que improvisar y definir controles sobre la marcha. Otra ventaja es que como auditor interno puedes profundizar muchísimo en tu propio negocio y llegar a un detalle que difícilmente un auditor externo podrá llegar (tanto por conocimiento como por dedicación).

Transparencia/aceptabilidad auditado

Por lo general un auditor externo "impone" más, este hecho comporta que el auditado no sea todo lo transparente que debería ser, ya sea por "miedo" o por falta de confianza (hay mucho de psicología detrás de un auditor, es complicado "lidiar" con interlocutores que no salen del "si", "no", "a veces", "no lo se", "depende", ........ no obstante este tema más divertido lo aplazo para otra entrada). También hay que remarcar que como auditor externo no puedes elegir a tus "víctimas", por lo general los nombres ya vienen impuestos y acostumbran a ser roles de cierta responsabilidad que ya saben que cuento deben contar y cual no (no obstante, son fáciles de pillar al solicitar evidencias). En el caso opuesto, un auditor interno tiene bastante más libertad para escoger cual es la persona indicada para entrevistar (normalmente usuarios comunes). Por otro lado también me gustaría matizar que los auditados son mucho más transparentes y francos con uno que va en el mismo barco que con un extraño.

Independencia

Para ser sincero, la modalidad en la que se percibe una mayor independencia y en la que las valoraciones/conclusiones no están sujetas a ruidos o interferencias de fondo (que cada cual interprete lo que quiera) es la de auditoría interna. Tanto como auditor interno como auditor externo integrado en un departamento de auditoría interna he notado con diferencia que los resultados de la auditoría son mucho más acordes a la realidad y se caracterizan por poca, por no decir ninguna, sesión de maquillaje previa.

Credibilidad

Como no podía ser de otra manera este es el punto crucial de la entrada, desde siempre se aplica aquello de que las cosas se hacen o se corrigen cuando alguien de fuera así lo manifiesta. En cambio todo lo que diga el de dentro no sirve para mucho ............. Obviamente no hace falta que defienda mi postura no ??? Al igual que antes dejo para otra entrada alguna reflexión sobre lo que se puede hacer para que la auditoría interna tenga una posición aún más digna y respetable.

Y ahora hasta el lunes que mañana cojo el AVE muy muy temprano para auditar uno de nuestros centros en Madrid .............

Saludos,

CITA DEL DÍA: "La seguridad ni se crea ni se destruye, sólo evoluciona"

Robin Hood existe!

Una vez descartados los Reyes Magos y Papa Noel, y a punto de caerse otro mito como Robin Hood, nos encontramos con esto.

Dan Wilder, a través del foro bcmix, nos comparte un whitepaper en el que explica el diseño, desarrollo e implantación de un Business Continuity Model (BCM), basándose en la BS25999 y metodologias como ITIL y COBIT.

Nos sorprende y agrada ver como todavía queda gente dispuesta a compartir sus conocimientos y su trabajo de forma altruista, algo extraño en un "negocio" tan competitivo como en el que nos encontramos.

CITA DEL DIA: "La seguridad es un valor en alza, invierte en ella!"

Aquí hubiera ido de fábula .......

Lo sé! es deformación profesional, pero mientras estaba leyendo esta noticia no he podido evitar pensar en "lo bien que les hubiera venido" a estos comerciantes un buen Plan de Continuidad de Negocio.

No obstante, me gustaría pensar que la Administración (la que sea! el Ayuntamiento, la Generalitat, la Administración Central, etc......), como responsable última de todo lo que va a suponer el AVE y causante de estos graves perjuicios, ha planificado este tipo de consecuencias y las posibles compensaciones.

PD. Me parece que la Sagrada Familia ya puede ir desarrollando su PCN ...... :-)

CITA DEL DÍA: "El ordenador más seguro es aquel que está apagado"

Códigos de ética, conducta y afines

Desde siempre, exactamente allá por 1997 año en que superé el examen CISA, he sentido curiosidad por todo aquello que implica la adhesión a códigos de conducta y/o ética que prácticamente todas las entidades certificadoras requieren. Para ser sincero debo confesar que en muchas ocasiones he estado con colegas de profesión que en mayor o menor medida respetan las mencionadas normas. Me gustaría aclarar que en esencia se vulnera el deber de secreto y/o confidencialidad aunque siempre con una finalidad no fraudulenta, se trata simplemente de exponer vivencias, experiencias, casos de éxito y/o fracaso, curiosidades, etc. En resumen, desde mi punto de vista no se falta para nada a la ética y buena conducta profesional, aunque en esta vida, como sabéis, todo es relativo.

Lo que realmente me tiene "preocupado" es la verdadera utilidad de estos decálogos y, por tanto, la aplicación de medidas disciplinarias en caso de incumplimiento o vulneración de los mismos.

Con objeto de conocer la realidad nos hemos puesto en contacto con ISACA, ISC2 y EC-COUNCIL para intentar averiguar de primera mano cual es la aplicación práctica de sus respectivos códigos. Básicamente y sin rodeos hemos preguntado sobre la cantidad de incumplimientos de los códigos y las acciones que se han emprendido contra los miembros implicados. Obviamente hemos enfatizado que únicamente nos interesan datos estadísticos, para nada queremos saber los nombres y apellidos de los afectados, tampoco nos los hubieran facilitado (ante todo confidencialidad!). Esta extraña petición la hemos justificado como imprescindible para la elaboración de un estudio sobre la seriedad y prestigio de las distintas certificaciones de seguridad.

Antes de solicitar la información hemos intentando, sin éxito, localizar información, tanto oficial como paralela, por la red. Por ejemplo, en la web de ISACA figura un Annual Report del año 2007 que no dice nada relativo a este tema. Tanto en la web de EC-COUNCIL como de ISC2 tampoco hay nada sobre este tema.

Pues bien, debemos decir que las "respuestas" no nos han sorprendido demasiado. Como era de esperar, ninguna de las instituciones mencionadas nos han facilitado datos. Dicho esto, comentar que no nos explicamos lo sucedido ;-) y creemos que no han respondido por alguno de los siguientes motivos:

• no hay nada que comentar puesto que no hay ningún control y/o seguimiento sobre el cumplimiento de los códigos
• a pesar de los exhaustivos controles que se llevan a cabo no se ha detectado ninguna violación del código por parte de ninguno de los miembros certificados
• hay tal cúmulo de medidas disciplinarias que tienen pavor a hacerlas públicas, aunque eso en el fondo les honraría
• "de qué van estos panolis (nosotros!) haciendo este tipo de preguntas", suponemos que aún se están riendo............ :-)

En el fondo creemos que se han hecho un flaco favor a ellas mismas ya que, al menos en nuestro caso, interpretamos que poco o nada se hace al respecto. Sinceramente creemos que si tienen por objeto mantener y/o alcanzar cierto prestigio, reconocimiento, etc. deberían actuar en consecuencia y velar por el cumplimiento de los distintos códigos éticos. Si realmente se toman medidas disciplinarias (revocar certificados) y/o se realizan advertencias serias a los diversos miembros creemos que publicitar este tipo de actuaciones, además de dignificar al sector, sería todo un ejemplo a seguir en materia de credibilidad, transparencia y profesionalidad.

En fin, si algún día de estos nos responden (confiamos en que todavía están recopilando montañas de datos), os mantendremos informados.......

PD. Esperemos que nuestros nombres no aparezcan como candidatos "aleatorios" a someterse a una auditoría del certificado ...... será casualidad o causalidad ?

Relación de algunos códigos éticos:

ISACA - Code of Professional Ethics

ISC2 Code of Ethics

EC-Council Code of Ethics

CITA DEL DIA: "y recuerda que la seguridad no existe, es sólo una sensación .............."

Agradecimientos a la comunidad bloguera

Primero de todo aclarar que una de nuestras premisas es no publicar entradas cuyo contenido es ajeno a la temática del blog. No obstante, en este caso nos vemos obligados a hacer una excepción. Sirva esta breve entrada para transmitir públicamente nuestro más sincero agradecimiento a tod@s aquell@s que nos habéis dirigido, tanto de forma pública como privada, palabras de ánimo como respuesta a nuestro correo de presentación. Remarcar también que nos ha sorprendido enormemente el estupendo recibimiento en algunos de vuestros respectivos blogs.

Y por otro lado, transmitir cierto grado de decepción por aquellos que no se han dignado nisiquiera a responder. En parte quedan disculpados puesto que sabemos lo duro que es responder a un correo con un simple "gracias y que os vaya bien". Sinceramente no esperábamos nada más. Somos novatos en esto de la blogocosa y aún no tenemos claros según que convenios o pautas se siguen pero desde luego la educación y la gratitud entendemos que siguen vigentes, o no ??

Lo dicho, gracias a todos. Seguiremos aportando nuestro pequeño granito de arena en esto de la seguridad de la información.

CITA DEL DÍA: "La seguridad es un proceso y tu eres parte de él"

Spamos hasta arriba (y 2)

Sirva la presente entrada como complemento de lo ya expuesto en esta entrada. Simplemente dejar constancia del importante incremento de la cantidad de spam recibido (en un solo mes, de agosto a septiembre, ha sido del 158%). El incremento anual acumulado (de septiembre 07 a septiembre 08) es de un 381%.

Ahora solo falta esperar a que esta tendencia tenga fin, si es que lo tiene ..................

CITA DEL DÍA: "El único secreto para estar más seguro es sentirse inseguro"