LA PANDEMIAnipulación

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.


NO SALIMOS DE NUESTRO ASOMBRO.......

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.


Lector DNIe "gratuito"

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.


ICONOS DE SEGURIDAD

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.


ESTACIONALIDAD E INCIDENCIAS

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.


¿Será éste?

Nueva publicación en el remodelado blog de EDDASec.

Haz clic aquí para acceder.

Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.

DPP: Data Profit Prevention

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.

Estamos de reformas .....

Como colofón de este primer año de supervivencia en la blogosfera hemos aprovechado para hacerle un lavado de cara al blog. Ya puestos a renovar dominios y alojamiento pues también nos ponemos con el aspecto del blog. Por un lado prescindimos de la plataforma blogger y nos pasamos a wordpress. Blogger está bien para iniciarse en el mundo de los blogs pero con el tiempo se perciben ciertas carencias (sobre todo en el formateo de las entradas).

Por otro lado y con objeto de no convertirnos en unos parias sociales también hemos abierto una cuenta en twitter. Nuestra intención es utilizarla para comentar aquellos temas que nos llamen la atención pero que no tienen suficiente entidad como para convertirse en una entrada del blog. De momento no le hemos encontrado la gracia a esto de tuitear pero todo se andará ........

Como podréis comprobar en los sucesivos días el blog seguirá sufriendo algunos retoques mientras aprendemos y descubrimos este nuevo entorno.

El blog alojado en blogger será desactivado (comentarios, suscripciones, etc.) en breve.

IMPORTANTE: Comentaros que os tendréis que suscribir a los feeds desde el nuevo blog (si lo creéis conveniente claro), ya que no hemos visto forma humana de traspasar los que tenemos en blogger.

WWW.EDDASEC.COM

CITA DEL DÍA: «Los incidentes de seguridad son inevitables. Lo importante es como se afrontan.»

¡¡¡ Primer aniversario !!! Gracias a tod@s

Simplemente comentar que un caluroso día de agosto de hace exactamente un año nos estrenamos con este humilde blog. Quien nos lo iba a decir cuando al iniciar esta aventura dudábamos sobre si nos llegaríamos a comer los turrones con el blog activo :-)

Fotografía cortesía de Der Bettler

El balance, bajo nuestro criterio, no puede ser mejor. Independientemente de las estadísticas, porcentajes, etc. relativos a entradas publicadas, visitas, suscriptores, etc. estamos encantados de habernos embarcado en este blog. Para nosotros es un auténtico orgullo haber alcanzado el nivel actual, obviamente esperamos y deseamos que siga creciendo.

Si tuviéramos que hacer un análisis de este primer año destacaríamos los siguientes aspectos:

Hemos tenido la oportunidad de contactar y relacionarnos, por el momento de forma virtual, con otros bloggers en materia de seguridad, privacidad, etc.

En numerosas ocasiones es difícil encontrar un tema sobre el cual reflexionar. Tenemos unas premisas que intentamos cumplir a rajatabla. Básicamente son:

  • no comentar nada, directa ni indirectamente, sobre nuestra actividad profesional diaria. Os aseguramos que tendríamos bastante materia pero la ética es la ética ...............
  • en la medida de lo posible no repetir o mencionar temas ya tratados en otros blogs. Nuestra intención es la de ofrecer contenidos propios.

La periodicidad de publicación en el blog ha sido bastante aleatoria. No nos hemos marcado ningún ritmo de publicaciones aunque hay que reconocer que en determinados momentos lo hemos tenido un poco abandonado. En adelante intentaremos publicar con más asiduidad.

Para finalizar, deciros que tenemos previsto migrar el blog a otro gestor más cómodo, la verdad es que blogger no nos acaba de gustar.

Nada más, simplemente daros las gracias a todos y a todas por estar al otro lado !

CITA DEL DÍA: "En ocasiones los parches son imprescindibles, incluso en un traje nuevo ...."

APEP, DPI, ...... cuantos más seamos más reiremos !

Gracias al eficiente, ágil y barato servicio de nuestras maravillosas operadoras de comunicaciones llevo más de 3 semanas sin ADSL ni línea de teléfono fija (y lo que queda...). La una por la otra siguen peleándose por la responsabilidad de una avería y yo que estoy en medio me estoy llevando los palos. Por el momento y de forma unilateral me han dado de baja de la compañía actual y todavía estoy a la espera de que la nueva compañía pueda iniciar los trámites del alta. Voy a obviar los nombres porque todas son igual de nefastas. En resumen, como no es serio esto de tener el blog abandonado me he hecho un hueco en el curro para colgar lo siguiente (me ha llamado bastante la atención).
El pasado día 4 de junio se constituyó oficialmente la Asociación Profesional Española de Privacidad (APEP). Hoy mismo se publica que también se ha creado el DPI - Data Privacy Institute (dependiente del ISMS Forum Spain). Por una parte no hay más que alabar y apoyar este tipo de proyectos en aras de fomentar todo lo relativo a la privacidad y confidencialidad de la información. No obstante, desde mi particular punto de vista no le veo mucho sentido que se diversifique, a mi juicio exactamente lo mismo, en distintos foros o lugares de encuentro.
Hay algo que nos hayamos perdido ?? Las personas visibles de la iniciativa que ha sido presentada hoy estuvieron en su momento activando la APEP (linkedin). Personalmente me resulta curioso. Seguramente habrán razones de peso pero por lo anteriormente dicho no creo que justifiquen esta duplicidad. No sería mejor aunar esfuerzos en un único proyecto?. Al final, tanto en un lugar como en otro van a estar prácticamente las mismas personas asociadas, interesadas o vinculadas. En este tipo de proyectos/iniciativas/etc., realmente se piensa en el objetivo de la profesión, el colectivo, etc. o se anteponen otros intereses ?
A nadie más le llama la atención o soy el único "rarito" ? Sin ningún ánimo de crítica, seguramente tendrá su lógica pero a mi se me escapa por completo.
Más info en:

CITA DEL DÍA: "No todas las nubes son hermosas, algunas esconden truenos y relámpagos"

Triplete en copas

Supongo que todos estaréis esperando un artículo homenajeando a los ganadores de tan importante corona, pero NO!!, no es la temática de nuestro blog, y, aunque violemos sin ningún pudor la política de actualización, no vamos a hacer lo mismo con la de contenidos (por lo menos por ahora).

Si no es del Barça, ¿de qué más se puede hablar estos días con ese título? Pues de uno de nuestros temas favoritos, LOPD en situaciones cotidianas.

Hace pocos días quedé con un amigo en un bar bastante conocido en mi ciudad, el típico bar previo a la entrada a la discoteca. Pues bien, tres patadas bastante importantes a la ley coincidían en el establecimiento. Haciendo un símil futbolístico, os las voy a clasificar por importancia (así la decepción para los que esperaban una entrada deportiva no lo será tanto)

Copa: Una vez pagada la consumición, nos dan un folleto a rellenar para el sorteo de una camiseta del F.C.Barcelona o del R.C.D Espanyol firmada por los jugadores. Datos que recababan: nombre, apellidos, DNI (necesario?) Dirección para el envío, teléfono (supongo que para comunicarte que eres el ganador) y camiseta a la que optabas. Ni que decir tiene que no había ningún tipo de aviso legal al pie del folleto, es más, según la pericia del "concursante" al doblar el folleto, dentro de la urna, transparente, se podían ver todos los datos.
Liga: Dadas las dimensiones del local, y suponiendo que por un afán de seguridad, el local disponía de CCTV, sin la correspondiente advertencia. Haciendo un pequeño paréntesis, últimamente estoy viendo mucha concienciación en casos de este tipo, y para mi sorpresa, el otro día acudí a cenar a un restaurante de comida asiática donde se encontraba una placa con la advertencia y el lugar donde ejercitar tus derechos.
Champions: Para mí ésta es increíble. Una especie de tablón de anuncios de corcho, con fotos enganchadas, en las cuales se veían capturas del CCTV, y en el tablón rezaba la siguiente inscripción. BEBEN PERO NO PAGAN.
Se que no es fácil ir a un establecimiento de este tipo contándole las virtudes de la LOPD, y más difícil aún que lo intenten aplicar, qué hacer entonces? Complicado. En mi caso, y con gente muy cercana adopto la posición de "malo-malote", y los intimido con las posibles sanciones, muchas veces contrastando mis palabras con documentos de las ya impuestas por la AEPD.
CITA DEL DIA: "Cuando el personal que conoce el negocio no participa en el BIA mejor no empezar"

RECTIFICAR ES DE SABIOS

Otra vez por aquí.... últimamente he estado bastante liado con el trabajo, final de semestre de la UOC y un par de marchas de resistencia de más de 50 Km que me han dejado pal arrastre..... ya no soy un crío y los excesos se pagan..... :-)

Como "es de bien nacido ser agradecido" y "rectificar es de sabios" sirva esta entrada como reconocimiento público de la iniciativa del INTECO en materia de formación. Al igual que en esta otra entrada "criticábamos", obviamente en tono constructivo, la excesiva centralización de determinadas actividades del INTECO, ahora toca reconocer que de cierto modo se está haciendo un esfuerzo en ampliar su ámbito de actuación. Como servicio público que es, está haciendo lo que ni más ni menos le corresponde.

En este enlace podéis el catalogo de cursos de formación disponibles. Como aspectos destacables comentar que son a distancia (on-line) y gratuitos. En cuanto tenga un momento de respiro me inscribiré a un par que he visto interesantes.

CITA DEL DÍA: "La seguridad no se compra, simplemente se define y se aplica"

LOPD & ACREDITACIÓN SOFTWARE

Con objeto de cumplir debidamente con lo establecido en la Disposición Adicional Única del Real Decreto 1720/2007 he optado por solicitar a los distintos proveedores de software un documento a modo de acreditación del nivel de (in)seguridad que sus respectivos productos alcanzan. Como era de esperar esta información no aparece en la documentación que poseemos.
Disposición adicional única. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.

Tras más de un año de vigencia del mencionado RD, y sin que NINGÚN proveedor se haya tomado la molestia de suministrarnos formalmente esta acreditación, hemos decidido tomar la iniciativa. Bajo mi particular criterio considero que el cumplimiento de esta cláusula es competencia absoluta del desarrollador, pero por lo visto la cosa parece que no va con ellos .......

Con objeto de facilitarles aún más el trabajo he hecho una especie de "trasposición" de las medidas de seguridad del RD en clave de desarrollo de software. Los criterios (acumulativos) por los que se debe regir la acreditación del software dependiendo del nivel de seguridad que le corresponde son:
NIVEL BÁSICO
  • Resulta obvio pero debe disponer de mecanismos de control de acceso (por algo será ...... yo me he encontrado con más de uno, de dos, de tres, .............)
  • Relación actualizada de usuarios y accesos autorizados (repositorio propio o integrado en uno externo, por ejemplo eledap)
  • Distintos privilegios de acceso según funciones/perfiles de usuario (dependiendo de la complejidad del producto)
  • Mecanismos que eviten el acceso datos o recursos con derechos distintos de los autorizados (obvio no?)
  • Identificación y autenticación personalizada (entre otras cosas no permitir sesiones simultáneas desde distintos equipos)
  • Características básicas de las contraseñas (repetición, secuencias, combinar caracteres numéricos/alfanuméricos, etc..)
  • Sistema de almacenamiento ininteligible de las contraseñas
  • Mecanismos de caducidad de las contraseñas
  • Posibilidad de bloqueo de los datos (no eliminación física)

NIVEL MEDIO

  • Control de accesos fallidos (bloqueo de cuenta tras superar el límite establecido)
NIVEL ALTO
  • Log de accesos reflejando usuario, hora, registro accedido, tipo de acceso, autorizado o denegado
  • Conservación de los logs durante 2 años
  • Si el software en cuestión efectúa directamente la transmisión de datos por redes de telecomunicación, ésta debe ser de forma cifrada
Hay bastantes puntos más como por ejemplo las copias de seguridad, usuarios genéricos, etc. pero según mi particular criterio corresponden al ámbito general o global de la LOPD (política de seguridad) y no son directamente dependientes del producto de software como tal. Esta lista hace referencia a las medidas mínimas que todo software de tratamiento de datos de carácter personal, para entendernos el típico software de alta/baja/modificación, debe cumplir.
Obviamente no pretende ser un conjunto de requerimientos para todo tipo de software, para eso ya están los common criteria y sus EAL1, EAL2, ..... El objetivo es que sea una relación de las características mínimas que cualquier producto de software debería poseer para poder tratar datos de carácter personal de acuerdo a lo especificado en el RD.
CITA DEL DÍA: "Durante un análisis de riesgos no hay lugar para el optimismo"

LOGS Y RENDIMIENTO: ¿LEYENDA URBANA?

Desde hace muchos años siempre que los frikis del área de sistemas escuchan la frase "activación de los logs de auditoría" entramos en una situación bastante cercana al inicio de la 3ª Guerra Mundial. Lo habitual es que entren en un estado de cólera incontrolada llevándose las manos a la cabeza a la vez que vociferan ¡sacrilegio! ¡a la hoguera con él! pasando por un incontable número de recuerdos dirigidos a los diversos familiares del descerebrado que ha osado pronunciar, o simplemente pensar, semejante aberración.
Dejando de lado el espacio en disco necesario para guardar toda esa avalancha de datos siempre se antepone el grave impacto que supondrá, nótese que no digo supone, en el rendimiento. Para ser sincero, por suerte o por desgracia, en la práctica he estado alejado del área técnica más profunda (sistemas y comunicaciones), por lo que no soy nadie para afirmar si sus argumentos son fundados, demostrables y válidos. Lo que si puedo aportar es que en las muchas discusiones, como cliente, como auditor, etc. que he vivido con relación a este tema nunca se ha aportado información contrastable que permita adoptar una decisión razonada al respecto.
Que el rendimiento se verá afectado está claro que si, hasta ahí llegamos todos y todas, en esencia mi planteamiento de fondo es saber cuanto afecta. ¿Hay valores, cálculos, porcentajes, etc. concretos? Por más que he buscado información al respecto no he encontrado gran cosa. Siempre se da por supuesto que afecta pero nunca he visto reflejada la dimensión real de esa penalización. Particularmente creo que se trata de la típica respuesta automática o subconsciente, del tipo "leyenda urbana" (todo el mundo lo sabe pero nadie lo ha visto), que se va arrastrando generación tras generación. Este planteamiento es el que no me parece sensato en cuanto que en esta vida todo es relativo y siempre existe un punto de equilibrio.
Para salir de dudas he propuesto formalmente que se activen las directivas de auditoría (guindous 2003 server) para tener unos poquitos de datos empíricos. Obviamente empezaremos registrando poca cosa e iremos incrementando progresivamente. Ya os contaré.
CITA DEL DÍA: "La seguridad no tiene fin"

CRÓNICA II CONFERENCIA INTERNACIONAL BS25999

Esta mañana he tenido el placer de asistir a la II Conferencia Internacional de Continuidad de Negocio organizada por The British Standards Institution (BSI). Desde aquí agradezco públicamente a BSI la invitación gratuita al evento.
En esta ocasión no se ha cumplido aquel dicho de "segundas partes no fueron buenas ...", la verdad es que particularmente esta segunda jornada me ha gustado más que la primera edición. No sé exactamente el motivo, quizás los contenidos tratados............ Aquí podéis ver la agenda del evento.
En la actualidad estoy metido de lleno en el desarrollo de un PCN (área TIC por el momento) para los hospitales y la verdad es que han habido un par de cosas que me han llamado la atención.
Como no todo va a ser bueno ;-), desde mi más particular opinión y afán constructivo, quisiera expresar públicamente algunos aspectos ni buenos ni malos, sino todo lo contrario, para que sean considerados en, tan esperadas desde ya, próximas ediciones:
Pasar un poco por alto la teoría de la norma. Creo que el público en general la conoce suficientemente bien. Me hubiera gustado ver aplicaciones prácticas concretas y detalladas (la de Bankinter ha sido la que ha profundizado más aunque ........). Tampoco es necesario la exposición de organizaciones que se hayan certificado en la BS25999 o BS25777.
Herramientas, la verdad es que en una de las ponencias esperaba ver algún demo o alguna captura de algún producto. Remarcar que al oír Strohl Systems me ha venido a la memoria que por casa tengo un CD de BIA Professional. Lo he encontrado pero iluso de mi .... se trata de una versión un "poco" anticuada (para Windows 3.1/95), como pasa el tiempo .......
Nada más, espero ansioso la convocatoria del año próximo. Mis más sinceras felicitaciones a BSI y a los ponentes. Con uno de ellos me he reído mucho al plantear si el Chelsea tenía PCN que cubriera una disrupción en el minuto 92 ...... :-)
CITA DEL DÍA: "La seguridad no lo es todo, es lo ÚNICO"

AUDITORIA LOPD BIENAL INTERNA

Este año nos toca la auditoría bienal que establece la LOPD. Dada la situación de regularización actual nos estamos planteando la posibilidad de realizarla internamente. Como podéis apreciar me niego a llamarla "crisis", recesión, etc..., para mi no es más que una etapa necesaria y obligada para que se normalice la indecencia en la que estábamos inmersos. Desgraciadamente los que lo van a pagar en todos los sentidos somos los de siempre. En el presente ejercicio tenemos unas restricciones presupuestarias y un control del gasto abrumador, todo ello impuesto por el ministerio, que implican por ejemplo la imposibilidad de imputar ni un triste euro en determinadas rúbricas contables.
Al grano, internamente tenemos claro que la auditoría que hagamos será totalmente meticulosa y rigurosa. Desde el punto de vista legal no hay mayor problema ya que la LOPD contempla esta posibilidad. Con relación a este punto ya sabéis que "cualquiera" puede hacer auditorías de cumplimento de la LOPD por tanto, y muy a mi pesar, este punto es absolutamente irrelevante mientras no se regule semejante agujero negro. Por otro lado, periódicamente y desde hace ya tiempo, llevamos realizando auditorías por toda la red asistencial por lo que algo sabemos del tema. Aunque no es determinante ni representativo de nada soy CISA desde hace más de 10 años por lo que de algo debe servir ..... Señalar que en todas las auditorías externas que nos han realizado anteriormente no ha participado nadie con este perfil. A bote pronto es lo más parecido a un auditor LOPD (al menos en lo referente a las medidas de seguridad).
En el fondo nos inquieta la percepción o valoración que se pueda tener desde el exterior. Os cuento, en anteriores situaciones nos han requerido la presentación del informe de auditoría más reciente, y de modo expreso, se hacia referencia a que éste fuese de un entidad externa. En su momento ya comenté que por pedir que no quede pero si la LOPD dice blanco pues será blanco, por tanto, la auditoría interna es tan legitima como la externa. Otra cosa es que, de forma equivocada o no, se les da mayor o menor valor.
Como breve resumen intentaré detallar bajo mi criterio los pros y contras que supone llevar a cabo la auditoría LOPD internamente:
Pros
- mayor conocimiento del "negocio", en ocasiones la auditoría externa implica un curso formativo acelerado del auditor externo
- mayor transparencia/sinceridad de la parte auditada
- mayor nivel de autocrítica interna
- mayor dedicación en las carencias o puntos de mejora (perfectamente identificados)
- menor coste económico
- constitución de un equipo auditor multidisciplinar (a priori SS.II., RRHH, área sanitaria y área jurídica)
Contras
- dudas, por parte de terceros, acerca de su objetividad
- externamente poco valorada, quisiera remarcar que el "problema" lo tienen quienes opinan así no nosotros
- riesgo de ver un único árbol en lugar del bosque entero
- los componentes del equipo auditor deben hacer un esfuerzo por cambiar de rol
En esta otra entrada hablamos un poco más del tema. En definitiva, como lo veis ?? que nos dejamos ??
CITA DEL DÍA: "La elección final es aquella que implica menos inseguridad"

Las botnets en la Shmoocon

Del 6 al 8 de Febrero se celebró en Washington la Shmoocon 2009, cita obligada para estar al día en seguridad.

Como siempre, me guardé las presentaciones para pegarles un vistazo, pero por la carga que últimamente tenemos de trabajo me ha sido imposible hasta este "fin de semana largo".

Como no, representando a España estuvieron Chema Alonso (MVP Microsoft) y Palako (Yahoo), hablando de su tema estrella, BLIND SQL.

Entre el repertorio de presentaciones, que podéis encontrar aquí, me gustaría destacar la de Julia Wolf, acerca del spam y las botnets, especialmente relevante este mes, que se ha descubierto la mayor botnet bajo MAC.

Como yo no os lo voy a explicar mejor que de lo que está en las diapositivas, os animo a verlas.

CITA DEL DIA : "No llores como usuario lo que no has podido defender como administrador"

De ti no me lo esperaba....

Lo había oído de muchas otras, en algunos casos, me lo veía venir, por lo frescas que eran, porque se las veía descuidadas, a simple vista, ya sabía que no me podían traer nada bueno, pero de ti....

Todo lo que me pedías te lo daba!! Te tuve entre mis favoritas... y ahora esto...

No me importaron los preliminares, te seguí el juego, pero en el momento importante, cuando tuviste que tomar precauciones, no dudaste en dejármela al aire, me fallaste!!

Me lo volviste a pedir, una y otra vez, no te cansabas, te contestase lo que te contestase, ahí seguías, preguntando sin cesar.

Al final, hice lo que tenía que hacer, sin temblarme el pulso, te cerré las p...estañas e intenté olvidarte.


CITA DEL DÍA: "Era tan fe@ que me pasó su foto y la detectó el antivirus"

Metadatos ? pérdida de tiempo....

Ayer veía esto en las noticias de la caja tonta y la verdad es que me quedé bastante sorprendido. Realmente hay un problema grave de concienciación en materia de seguridad. Lo peor de todo es que en este tipo de "personajes" es algo imperdonable. En su defensa hay que remarcar que tras el desliz ha actuado con un alto grado de responsabilidad y ha dimitido de inmediato.
Además, ya tuvieron experiencias idénticas no hace mucho.......

Como dice aquel dicho, el hombre/mujer es el único animal que tropieza 2 veces (y más!!) con la misma piedra........ De seguir así no vale la pena preocuparse en recuperar metadatos de documentos y demás, nos ponen la información en bandeja.

CITA DEL DÍA: "La seguridad es como Dios, no existe ......"

Todo por vosotros!

Después de recibir una cantidad enorme de mails pidiéndonos una recopilación de las citas del día que se encuentran en cada entrada, la hemos hecho.

A disfrutar!!

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí
11.- Cuidado con lo que te entra por detrás, en informática también
12.- La puerta de la cocina sólo debe abrirse desde dentro ........
13.- Si tu sigues ahí, nosotros seguiremos aquí
14.- ¿Concienciar o imponer?, esa es la cuestión
15.- Los límites de la privacidad los establece cada uno
16.- La seguridad de la contraseña radica en el propio usuario
17.- Los logs ponen a todos en su sitio
18.- La seguridad es un puzzle en el que siempre falta una pieza
19.- La integridad y la confiabilidad no son sinónimos
20.- La seguridad de la información empieza por la formación
21.- La gestión de la seguridad debe ser tanto top-down como down-top
22.- La seguridad es idéntica a un tornillo sin fin
23.- La seguridad es un iceberg y sólo controlamos la parte visible
24.- La fuga de información es controlable, pero ¿y la entrada?
25.- Los datos son el escalón previo a la información
26.- Paquete rechazado, ¿amenaza resuelta?
27.- La seguridad es tan volátil como el mercado de valores
28.- Para los pesimistas no existe el concepto de seguridad
29.- Los PCN funcionan siempre antes de activarse, una vez activados ......
30.- La unión hace la fuerza
31.- Me siento seguuroooooooooo!!!
32.- En seguridad no hay margen de maniobra
33.- La anticipación es una buena aliada de la seguridad
34.- ¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse

Prueba de campo

Hartos estamos, los que nos dedicamos a la seguridad de la información, de repetir la importancia sobre la protección de nuestros datos, hasta el extremo muchas veces de aburrir/cansar (hay que reconocerlo).

El otro día (bueno, hace ya 2 semanas, pero por estar hasta arriba de trabajo no he podido dedicarle tiempo a este hobby) me encontré por la calle un ordenador tirado, en bastante mal estado. Fruto de las ganas de investigar, y de ver como estaba ahí, impasible, el disco duro, me puse manos a la obra. Los cables no fueron problema, pero los tornillos.... es lo malo de no llevar herramientas encima habitualmente. Después de hacer varias pruebas con las llaves, la tarjeta de crédito, etc... conseguí hacerlo mío. Ahora venía lo más divertido.

Gracias a un adaptador externo de HD lo conecté a mi ordenador. ¿Estaría cifrado el HD? jajajaja, seguro que sí. Ahí estaba todo el árbol de ficheros, ahora había que centrarse en qué mirar. Un repaso rápido y podemos sacar diversas conclusiones. Era el único disco duro que poseía ese ordenador (tal vez si hubiera dispuesto de dos, el primer "ladrón" se los hubiera llevado ambos...), como no, usuario habitual del emule, con el incoming casi vacío, aquí vuelvo a imaginar, que antes de tirarlo sufrió problemas con el ordenador y se decidió a borrar cuantos más archivos mejor.

Existe una carpeta llamada documentos (no entiendo por qué la gente no utiliza la habitual y por defecto de Mis Documentos y crean otra paralela, pero esto ya será debate en otro post...). Que hay dentro? Pues bien, unos recibos de nómina escaneados (pobrete, es mileurista....), de aquí ya podemos extraer su sueldo, nombre, DNI, número de cuenta, empresa en la que trabaja, etc... Recibos de otra persona (fémina) escaneados, ummmm, ¿tal vez para pedir un préstamo o hipoteca al banco? Los apellidos no coinciden, a falta de pruebas, en mi imaginación pasan a ser pareja.
Dentro de la carpeta Documentos hay otra, llamada Fotos (no voy a repetir lo de la carpeta Mis Imágenes...), dentro de ésta, fotografías de... si si, Tenerife, no era reconocible por la playa, pero ver el Teide ha sido definitorio. Se van alternando, pero en casi todas salen las mismas dos personas, un hombre, le hecho unos 28-30, y una chica, de unos 25-26 (a ojo de buen cubero). Sigo mirando fotos. Ummm, coche nuevo pareja!! la verdad es que para ser mileuristas no han tenido reparos... Podrían estar las nóminas escaneadas para financiar el coche? (Se me está cayendo la teoría de la hipoteca)

Pero el documento definitivo es : CVXXXXX (dónde XXXX es el nombre de la señorita). Todo lujo de detalles, la verdad es que en cuanto a datos personales el currículum es bastante extenso. Me sirve para saber que no están casados, ¿vuelve a cobrar sentido la hipoteca? Como dirección consta la calle contigua a donde encontré el disco duro.

Continué con el escaneo, y las cosas que encontré seguían este patrón. Sirva esta entrada como recordatorio acerca de lo que debemos hacer antes de tirar un ordenador a la basura, darlo, venderlo o cualquier cosa que suponga un traspaso. No vamos a entrar a detallar qué cosas son, porque todos las sabemos.

P.D.: No, no había fotos guarras, que os veo venir.... (eso significaría que el ordenador es de ella ¿no?)
CITA DEL DÍA : "¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse"

LA INEVITABLE CURIOSIDAD DEL SER

Leyendo esta noticia, bastante relacionada con esta otra, he de reconocer que es una situación bastante compleja y de difícil solución. La verdad es que es un enorme problema cómo discernir o discriminar cuándo el acceso a una información, formalmente autorizado, está o no justificado.

Voy a partir de la base de que si alguien actúa de forma decidida y con actitud maliciosa (interés económico, provocar daños de forma premeditada, etc.) poco se puede hacer. Personalmente creo que en la inmensa mayoría de ocasiones en las que alguien accede a información de forma injustificada se debe a motivos bastante inocentes e inherentes a la conducta humana. Los más habituales acostumbran a ser:

  • simple curiosidad puntual en momentos de ocio pasajero y/o circunstancial. Me gustaría comentar que hay personas que estos momentos son bastante prolongados y la dedicación es mayor ;-)
  • por el irrefrenable morbo que provoca saber determinado aspecto de la vida de otro u otra, poco que comentar no ?
  • algún "extraño" interés (por ejemplo amor, celos, etc.), ya sabéis que uno se ciega en estos casos y se comporta de forma irracional ....

En resumen, podéis comprobar que están muy relacionados con el comportamiento humano y normalmente se llevan a cabo de forma casi inconsciente (quizás ese sea el mayor problema, falta de concienciación en materia de confidencialidad y privacidad de la información).

En primera persona he vivido algunos casos interesantes aunque éstos estaban centrados en "personajes" famosos, llamémosles VIP. Para este tipo de entes es más fácil tratar el problema puesto que la información está muy localizada y los controles se pueden particularizar bastante (niveles de confidencialidad y de restricción de acceso muy detallados).

No obstante, desde mi particular óptica considero igual de improcedentes los accesos (o intentos) injustificados a información de personas "relevantes" como los accesos a la de personas "anónimas". En ocasiones, esas típicas charlas de pasillo comentando tal o cual cosa, comportan más de un problema convirtiendo ese "inocente y desinteresado" acceso a una información en una enorme bola de nieve, u otra sustancia, cuesta abajo.

En el entorno sanitario es una práctica muy grave puesto que el acceso y posterior mal uso, intencionado o involuntario, de este tipo de información puede acarrear serios perjuicios. Lamentablemente, este problema es independiente de la tipología de información accedida y se da en cualquier otro sector. Por poner algunos ejemplos prácticos y que con toda seguridad se dan cada 10 segundos aproximadamente:

  • empleado de banca que tiene curiosidad por saber si determinada persona que acaba de conocer es cliente de la entidad, y por consiguiente cuantos dineros tiene ?
  • empleado de RRHH (o informático con privilegios de admin, ummmmm suena mal no?) con una enorme curiosidad por saber cuanto cobra determinada persona, habitualmente el objetivo en primera instancia es el jefe supremo y/o el compañero de la mesa de al lado
  • empleado de una operadora de telecomunicaciones que sospecha de su novia y "consulta" el registro de llamadas de ésta .....

Relacionado con lo antes descrito no puedo más que sonreír cuando determinada información únicamente puede ser facilitada si hay un requerimiento judicial previo, recordáis esto? Lástima que no tenga ningún/a conocido/a en la compañía de telefonía móvil........

Soluciones ? sinceramente creo que no hay ninguna que sea aplicable en la vida real (autorizaciones bajo demanda y previamente justificadas?, monitorización on-line de accesos y contrastar necesidades?, etc.). Quizás el único camino posible sea insistir en la concienciación de la gente y apelar a su propia responsabilidad.

Para finalizar, sólo señalar que los casos que han motivado esta entrada, y asumiendo la falta de malintencionaldad, encuentro desmesuradas y fuera de lugar las sanciones aplicadas.

CITA DEL DÍA: "La anticipación es una buena aliada de la seguridad"

Como está el patio ......

Por un lado tenemos:

y por otro:

Obviamente, el debate está servido. Hay muchísimas referencias más a este tema en infinidad de sitios pero tampoco es plan de recopilarlas todas, creo que la esencia está clara, además llega un momento que el debate aburre. La verdad es que los extremos opuestos siempre me han atraído, soy así de simple y para mi no hay demasiados puntos medios. Ambos puntos de vista son totalmente respetables pero es precisamente esta contraposición lo que me llama la atención. El bien y el mal, el Ying y el Yang, el blanco y el negro, .....
Llegados a este punto la verdad es que poco se puede hacer, personalmente creo que son posturas totalmente antagónicas y difícilmente pueden converger, al menos a día de hoy....... (me estoy refiriendo a las posiciones no a los postulantes de ellas).
Está claro que si tuviera que posicionarme por alguna opción lo haría por la visión más "paranoica" y a la vez más cercana a la realidad, creo yo vamos. La otra vertiente me resulta, sin acritud, demasiado cercana a los Mundos de Yupi y que todo es maravilloso (debajo de la nubes está la tierra y de vez en cuando conviene darse un paseo por ella). Quizás en estos momentos este tipo de "discusiones" pueden sonar a medio coña pero en un futuro no muy lejano me temo que tendremos que empezar a preocuparnos un poquito, unos más que otros claro.... supongo que la conclusión está en el valor que le das a tu privacidad, es así de simple.
Y no sólo es la omnipresente Google, si fuera así de fácil...... También está feisbuk, twitter, tuenti, youtube, flickr, etc. Yo creo que mucha mucha gente está esperando como loca que alguien empiece a correlacionar datos de todos estos "inventos" y empiece a generar perfiles ...... lo que hacen en la serie "Mentes criminales" es un juego de niños comparado con lo que está por venir :-).
CITA DEL DÍA: "En seguridad no hay margen de maniobra"

Firma tú que a mí me da la risa!!

- "Dani, Dani, que he intentado hacer un amago de migración a Vodafone para ver si mi compañía me regalaba un movil mejor, y ahora no se cómo cancelarlo!"

- "No hay problema, entremos en la página de Vodafone y lo anulamos, seguro que hay una pestaña, un número de teléfono, algo..."

Et voilà!!!
URL : http://www.vodafone.es/cancela/

Que gran sorpresa, un formulario en el que tienes que firmar lo mejor que puedas con el ratón. Aparte de la dudosa legalidad que pueda amparar este funcionamiento, no me quiero imaginar la cantidad de firmas estrambóticas que pueden aparecer...


En lo referente a seguridad, espero que no haya algún gracioso, que después de comentarle mi portabilidad, y sabiendo mi DNI, algo no muy complicado, quiera cancelarme sucesivamente el cambio....

CITA DEL DÍA: "Me siento seguuroooooooooo!!!"

Asociación Profesional Española de Privacidad (APEP)

Muy brevemente os hago extensible que en linkedin.com se está gestando una asociación de profesionales relacionados con la privacidad de la información.

El correspondiente grupo lo podéis encontrar aquí (obviamente tenéis que estar registrados en esta red profesional).

Desde aquí animo a todos l@s interesad@s a que participéis en ella.

CITA DEL DÍA: "La unión hace la fuerza"

CONFIDENCIALIDAD EXTREMO A EXTREMO

De todos es sabido que día tras día es más habitual entregar los resultados de las pruebas diagnosticas (TAC's, resonancias magnéticas, ecografías, etc.) a los pacientes en formato electrónico (por lo general son imágenes en formato DICOM). Esta nueva modalidad está plenamente justificada por los costes económicos que representa. Por ejemplo, lo que cuesta generar la típica placa radiológica de toda la vida no tiene ni punto de comparación con el coste de grabar esa información en un CD/DVD o incluso remitirla por correo electrónico, FTP o similar.
Como es lógico, la confidencialidad de esta información debe ser garantizada. Desde el punto de vista de la LOPD deben adoptarse las medidas de seguridad de nivel alto. Entre otras medidas, el artículo 101.2 del R.D. 1720/2007 establece que "La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte."
En el caso planteado me surge la siguiente duda: la entrega del CD/DVD al paciente ¿forma parte de la distribución del soporte y por tanto sujeta al cumplimiento del mencionado artículo? En otras palabras, ¿debe entregarse esta información de forma cifrada? Con objeto de autoresponderme he estado investigando un poco y en la práctica totalidad de casos que directamente conocemos SIEMPRE se entrega la información "en claro". Podría contemplarse la alternativa de disociar los datos pero en la práctica no es demasiado factible.
Personalmente soy de los que piensan que por el simple hecho de que todo el entorno haga una cosa no implica que sea la correcta ni la mejor, normalmente es la solución más cómoda o fácil. En estos casos siempre me viene a la cabeza este conocido experimento.
Independientemente de los aspectos puramente legales, y suponiendo que este ejemplo no estuviese sujeto al artículo 101.2, considero que de todos modos debería anteponerse la protección de la confidencialidad de esta información entregándola de forma cifrada. Desde mi particular punto de vista, creo que la parte que "emite o genera" esta información es hasta cierto punto responsable de ella, tanto antes, durante como después de ser entregada al paciente. Una vez se hace entrega al paciente, previo acuse de recibo por si las moscas, éste es libre de hacer lo que quiera con los resultados, desde colgarlos en Google Health hasta en feisbuk incluso twitearlos, en definitiva, lo que considere necesario antes de ser clasificado como un "paria social". Bromas aparte, una forma de que se adquiera conciencia de la importancia de la confidencialidad de la información, especialmente sanitaria, es garantizarla a través de todos los medios que estén en nuestras manos.
Por otro lado, y de cara a poner en práctica este planteamiento, he estado comprobando las especificaciones de diversos productos de software de tratamiento de imágenes médicas (que se integran en los llamados PACS). Asombrado me he quedado cuando prácticamente ninguno de los productos que he comprobado disponen, ni siquiera como opción, de esta "funcionalidad". Lo más parecido que he encontrado en un producto es la posibilidad de grabar la información disociando los datos identificativos del paciente, algo es algo pero como he comentado antes esta opción no es viable.
Relacionado con esto último he aprovechado para solicitar a los distintos fabricantes de los distintos productos que tenemos, que de acuerdo a la disposición adicional única del RD 1720/2007, acrediten el nivel de seguridad que alcanzan en función de las medidas de seguridad que deben cumplirse. Espero con ansia a ver que se cuentan ......
Disposición adicional única. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.
Obviamente, esta propuesta no es tan trivial como parece en cuanto que hay otras implicaciones como el sistema de descifrado, que éste sea sencillo y casi transparente al paciente, mecanismos de comunicación de la contraseña de descifrado al paciente, etc. En esos temas estamos...........
CITA DEL DÍA: "Los PCN funcionan siempre antes de activarse, una vez activados ......"

Jazztel: Depuración o error?

Estaba ahora mismo consultando el estado de una gestión de un familiar con Jazztel (no está muy puesto en esto de la nube) y me ha sorprendido ver el siguiente “error”:

De repente me he remontado al pasado (flashback) y me han venido recuerdos de cuando me dejaba los dedos programando. Aún tengo grabado el típico error nº 13 correspondiente a “Tipos no coinciden” (al menos en VB). Qué tiempos aquellos....

Al momento he vuelto al mundo real y sinceramente tengo serias dudas acerca del significado de este mensaje. Lo curioso es que todo funciona correctamente y acabas accediendo al estado del pedido. Únicamente se solicitan 2 datos (NIF y teléfono) por lo que la complejidad no debe ser mucha.

De no ser un error (bastante simple), diría que tiene pinta de la típica ventana de depuración de código. Si es así, tengo algunos interrogantes:

- Existen como mínimo otras 12 ventanas de este tipo?
- Se trata de un entorno con datos reales?
- Hacen “experimentos” en este entorno?
- Qué control de calidad del código hay?
- Qué autorizaciones/validaciones de traspaso de código hay implantados?
- Se cumple con lo dispuesto en el artículo 94.4 del RD 1720/2007?

Ummmmm, creo que detrás de este inofensivo mensaje se esconden muchas preguntas.

Todo esto escrito desde el punto de vista más constructivo y a modo de simple anécdota.

CITA DEL DÍA: ”Para los pesimistas no existe el concepto de seguridad”

El "valor" de la información

Hablando en términos de análisis de riesgos y/o impacto en el negocio queda patente que, por encima de todos los activos de una organización, la INFORMACIÓN es por lo general y con diferencia el más importante. La anterior afirmación está hecha desde una perspectiva "material", en el plano un poco más humano consideraríamos a todas las personas, o casi ;-), como lo más importante. En todas las ocasiones en que me ha tocado "adivinar" (cualquier "cálculo" es una pura y mera aproximación totalmente subjetiva), tanto de forma cuantitativa como cualitativa, el "valor" de este tipo de activos he acabado debatiendo acerca del sexo de los ángeles y su relación con el eterno dilema de si primero fue el huevo o la gallina, estoy seguro que como much@s de vosotr@s.
Este tipo de activo, totalmente intangible e indeterminado, no puede ser valorado de forma totalmente objetiva por lo que irremediablemente hay que estimar su valor de forma aproximada (como se mediría de ser viable?, en Gb?, en número de registros?, en Kg de papel? en número de hojas?, ......).
Por otro lado, creo que no se debe relacionar el valor del activo como tal con el impacto que supondría la pérdida de éste (coste de reposición, lucro cesante, multas, etc.). En muchas ocasiones se intenta valorar la información pensando únicamente en lo que cuesta "reponerlo". Personalmente creo que son temas completamente ajenos e independientes. Hay información de mucho valor que es de fácil recuperación y otra, de mucho valor también, pero de complicada recuperación. En estos casos, ¿cuál tiene más valor para mi negocio? En mi particular opinión creo que las 2 por igual. Otra cosa es si hablamos de cual de ellas me representará mayores perjuicios en el supuesto de que se vulnere su confidencialidad, integridad o disponibilidad (os recuerdo que, a mi parecer, estos conceptos son de cierta obsolescencia).
Con objeto de facilitar, en el sentido más amplio, el cálculo del valor (entendido como "cuan valioso es") de un activo de información me he acostumbrado a calificar individualmente una serie de atributos (objetivos) para luego obtener, a partir de todos ellos, un resultado global que justifique el mayor o menor valor del activo. Los atributos que habitualmente contemplo son:
Volumen/Cantidad: expresa la "cantidad" de información. Típicamente se expresa en unidades conocidas. Dependen en gran parte del soporte (número de documentos en caso de papel, Tb cuando se trata de soporte informático, etc.).
Genera ingresos: si la organización "vive" de esa información hay que mimarla.
Soporte: No es lo mismo la documentación en soporte papel (originales) que bases de datos en un servidor.
Tipología: Determina de cierta manera el tipo de información desde el punto de vista de visibilidad (por ejemplo pública/reservada/confidencial o nivel básico/medio/alto).
Centralización: Si tienes toda la carne en el asador y empieza a llover la barbacoa será un fracaso.........
Estacionalidad: Es un factor a tener en cuenta. Si el 80% de la información se trata (crea, actualiza, etc.) en periodos concretos y limitados resulta necesario prestar especial atención, dicho de otro modo, te juegas todo el curso en un único examen en lugar de una evaluación continuada.
Dinamismo: cuanto mayor sea el grado de actualización de la información más relevancia tiene (cambios diarios, mensuales, anuales, estática, ....).
Accesibilidad: El número de usuarios que accede a la información es determinante para su valoración.
Todos estos atributos pueden ser expresados con cantidades o valores totalmente objetivos, homogéneos y repetibles (algunos pueden ser rangos de valores). Algunos de ellos serán del tipo lógico (si/no), en estos casos simplemente serán un factor multiplicativo de todo el conjunto. Puestos a complicarse la existencia se puede llegar a ponderar el peso específico de cada uno de los atributos en el total. En resumen, la esencia de todo esto es la integración de todos estos valores objetivos a través de fórmulas, cálculos, ponderaciones, etc. hasta conseguir un resultado por cada activo de información. Me reservo el derecho de mostraros mi particular "excel" dado que se trata de información corporativa y muy personalizada a mi entorno.
El resultado final no puede ser expresado en ninguna unidad exacta (en €? en gallifantes? en infos? .....), por tanto, pueden ser expresados en % sobre el total. Con ello se consigue una finalidad añadida que permite comparar/ordenar valores entre los distintos activos de información. Como conclusión sirva el presente ejercicio como una forma más de cuantificar lo incuantificable y contextualizarlo en cualquier organización.
CITA DEL DÍA: "La seguridad es tan volátil como el mercado de valores"

Crisis en la construcción? Voy a acabar con ella!

No se por qué, pero hay algo en lo que me fijo demasiado en las auditorías, quizás en exceso incluso, y es la insonorización de las instalaciones.
Este apartado es especialmente importante en un entorno sanitario, ya que no sería de recibo estar en un reconocimiento médico, teniendo a un compañero de trabajo en la sala contigua y que el sanitario te comente que tienes la tensión muy alta (por ser suaves). En estos casos, la confidencialidad médico-paciente se ha roto completamente, y en cuestión de minutos muy probablemente lo conocerá toda la empresa.
Como comprenderéis me he unido a la plataforma "Enemigos del Pladur", así como a "Los biombos son bonitos pero inútiles en el trabajo", no creo que haga falta explicaros el por qué.
Algunas veces hemos conseguido solucionar este tema con la instalación de un hilo musical, ya que, aunque no es mi solución preferida, hay que reconocer que en determinadas situaciones es válida. En otras se ha llegado al extremo de reubicar la mesas en las que se atiende a los pacientes.
En el escenario que hemos comentado es viable esa solución, pero... ¿habéis extrapolado esta pensamiento a otras situaciones en las que la vulneración de la confidencialidad pasa más inadvertida?
  • Tienda de telefonía : damos nuestros datos a la dependienta teniendo a otra persona a unos 20 cm realizando el alta de su teléfono
  • Sucursal bancaria : ¿Quién respeta las distancias marcadas en el suelo? Por no hablar de lo próximas que están las mesas de atención.
  • Gimnasio : Cuando nos damos de alta en un gimnasio, hay un degoteo incesante de socios que entran /salen, es muy difícil que nos lleven a una sala aparte a realizar todos los trámites.
  • Concesionarios de vehículos : Estamos diciéndole al comercial cual es nuestra cuenta de ahorro, nuestro dni, etc... y tenemos a curiosos que miran el coche que está a nuestro lado.

Esto nos llevaría a redefinir el término espacio vital. Leyendo varios estudios podemos llegar a la conclusión que el espacio vital se tasa en una media de 1'5 metros alrededor nuestro, variando según la procedencia de la persona (los latinos nos gusta más el roce y la rebajamos ;-) ). ¿Es ésta distancia óptima cuando tratamos la seguridad de la información? Pues depende en que aspectos, lo que si podemos tener claro es que al menos es la mínima.

CITA DEL DIA: "Paquete rechazado, ¿amenaza resuelta?"

Acciones formativas INTECO, globales?

Me gustaría destacar la reciente convocatoria de acciones formativas que se han publicado desde el INTECO. En concreto corresponden a:
- Segunda edición del Máster Profesional en Tecnologías de Seguridad
- Curso de desarrollo avanzado de aplicaciones en C++
Me parece una estupenda iniciativa que hay que alabar y apoyar en beneficio de la seguridad de la información y áreas afines. A pesar de ello, no comparto en absoluto las características de estas convocatorias puesto que restringen y limitan en exceso la posibilidad de acceso a las mismas (régimen presencial). Los objetivos del INTECO, según lo expuesto en su web, son:
INTECO tendrá un doble objetivo: contribuir a la convergencia de España con Europa en la Sociedad de la Información y promover el desarrollo regional, enraizando en León un proyecto con vocación global.
Por un lado no tengo nada que objetar en cuanto a la promoción del desarrollo regional, en concreto León (ojalá hubiera algo similar en cada provincia). La parte final, con vocación global, es la que no me cuadra demasiado. Personalmente, teniendo en cuenta que el INTECO es un ente público promovido por el Ministerio de Industria, Turismo y Comercio siendo dependiente de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, y por tanto financiado por tod@s nosotr@s, creo que debería empezar a contemplar la posibilidad de "globalizar" este tipo de iniciativas. Revisando las convocatorias anteriores podemos observar que ya llevan unas cuantas, todas ellas de similares características.
Por otro lado, es obvio que algunas de estas acciones formativas podrían ser impartidas de modo online, virtual o como queramos llamarle. Además de "globalizar" el acceso a las mismas, creo yo que también se estaría contribuyendo al desarrollo de la Sociedad de la Información. Por cierto, la dimensión "espacio" en el contexto de la Sociedad de la Información queda relegada a un segundo o tercer plano.
Particularmente no estoy interesado en la realización de ninguno de estos cursos. Ya me gustaría pero ya tengo bastante con el grado de psicología en el que me he metido........ Hay gente cercana a mi, al igual que en muchos otros sitios, que estaría encantada si pudiera acceder a este tipo de convocatorias. Tampoco me gustaría que nadie malinterpretara esta reflexión viendo conflictos regionales y sandeces similares. Si tuviera el INTECO al lado de mi casa pensaría igual.
Para finalizar, mi más sinceras felicitaciones al INTECO por tan loables iniciativas pero no estaría de más intentar hacerlas extensibles al resto de la Sociedad de la Información. Todo ello desde el más completo espíritu constructivo y de igualdad de oportunidades.

CITA DEL DÍA: "Los datos son el escalón previo a la información"

Seguridad y nube

Totalmente identificados con esta entrada de TAO Security. La verdad es que suscribimos y compartimos 100% el tema que cuestiona.
Viene perfectamente a colación de esta otra entrada en la que, de mejor o peor manera, intentamos exponer esta misma cuestión.
La verdad es que da que pensar acerca de lo que a día de hoy se asocia con el concepto más amplio de "seguridad de la información". A veces tenemos la sensación que todo aquello que no está directamente vinculado a la nube no existe ni importa. Más aún cuando el día a día, al menos en nuestro caso, difiere bastante de lo que flota en la nube.
CITA DEL DÍA: "La fuga de información es controlable, pero ¿y la entrada?"

Uso de contraseñas según Sophos

Interesantes resultados de una encuesta que ha elaborado Sophos acerca del uso de contraseñas en la nube. La cuestión planteada y los resultados son:
En esencia viene a decir que el 19% de los encuestados no usa la misma contraseña en las distintas webs que visita. Un 33% afirma que siempre utiliza la misma contraseña y el 48% restante ni fu ni fa (utiliza una serie de contraseñas distintas). Remarcar que estos resultados han mejorado sensiblemente los obtenidos 3 años atrás (41% frente 33% y 14% frente 19%). Personalmente creo que el porcentaje de los que usan la misma contraseña correspondería al 48%.
Más información aquí. Tal y como refleja el disclaimer que encontraréis al final del artículo esta encuesta no tiene ningún valor científico ni las debidas garantías acerca de la rigurosidad de los resultados.
Incluye un vídeo, con un método un tanto paranoico o rebuscado, que aconseja cómo escoger una buena contraseña.

Cisco Security: The Realm

Buena iniciativa han tenido los CISCO boys. Se han sacado de la chistera una especie de cómic sobre superheroes encarnando diversos elementos de seguridad. Para desconectar un poco y pasar un buen rato ......

Más info aquí.

En youtube podéis ver el primer capítulo.

Periódicamente irán sacando el resto de episodios (hasta 4).

Que los disfrutéis.

CITA DEL DÍA: "La seguridad es un iceberg y sólo controlamos la parte visible"

ESPARTANOS !!! AAAUUUU !!!!!!

Durante un periodo de tiempo bastante corto nos han sido sustraídas cinco de esas pequeñas "joyas" llamadas Black Berry. Como todos sabéis es totalmente imprescindible e indispensable disponer de uno de estos artefactos a menos que no te importe demasiado ser tildado de "paria social", lo mismo pasa si no estas en feisbuk y similares...... ;-)

A diferencia del enorme revuelo que se ocasionó con la BB de Obama, nuestro caso no se trata de un asunto de seguridad nacional pero obviamente es una incidencia de seguridad importante. Tras descubrir el "hecho delictivo" pusimos en marcha el correspondiente protocolo de actuación. En esencia consiste en:

  • denunciar el robo
  • contactar con nuestro proveedor de la infraestructura tecnológica para el borrado remoto del contenido de la BB (si todavía tiene la SIM)
  • contactar con la operadora para el bloqueo del terminal (IMEI)
  • registrar la incidencia como buenos cumplidores de la eleopede
  • esperar a que aparezca sana y salva ;-)

Por casualidad, nuestra estimada operadora de telefonía móvil nos ha comentado que uno de los terminales está siendo utilizado. Por todos los medios hemos intentado que únicamente nos facilite el número de teléfono asociado al IMEI en cuestión. Según una reciente sentencia de la Audiencia Nacional, así como una resolución y un informe jurídico de la AEPD, el criterio aplicado es que el número de teléfono por sí solo NO constituye un dato de carácter personal. Acogiéndonos a esta interpretación, favorable a nuestros intereses, entendemos que no se estaría infringiendo la Ley.

Aún así, la operadora, evitaré nombrarla aunque creo que todas actúan igual, se cierra en banda y se niegan a facilitar datos a menos que exista un requerimiento judicial. No entraré a valorar si actúan bien o mal desde el punto de vista legal. Independientemente de ello, no concibo porqué, nada más comunicarles que bloqueen el terminal y constatando un uso fraudulento de éste, no actúan de “oficio” sin más.

Ni siquiera tienen la voluntad de enviar un SMS a su “cliente” advirtiendo de esta irregularidad. En definitiva, actúan como si la cosa no va con ellos y en lugar de colaborar únicamente ponen palos en las ruedas. En fin, la verdad es que estas cosas además de cabrearme me entristecen bastante.

Acudir a la justicia nos lo hemos planteado pero siendo sincero, dudo muy mucho de que la demanda que podamos interponer (basada en un IMEI, que es lo único que sabemos) sirva de mucho. Me temo que los juzgados, y nosotros, tenemos mejores cosas que hacer......

Para finalizar comentar que , habida cuenta de los avances tecnológicos, dentro de cuatro días tendremos en la palma de la mano más y mejores dispositivos con prestaciones equivalentes, salvo en el tamaño, a lo que hoy en día entendemos por un ordenador portátil (almacenamiento de información, accesibilidad a todo tipo de redes, ...). Esto obligará ineludiblemente a la necesidad de combatir de forma más proactiva, y desde aquellos entes que tienen los medios necesarios y la información adecuada, esta particular modalidad de "adquisición y disfrute de bienes".

Perdonar por desahogarme con esto pero hay cosas que no puedo evitar que me pongan a 300 .......


El de la foto no soy yo pero me parezco, en la actitud claro ..... :-)

CITA DEL DÍA: “La seguridad es idéntica a un tornillo sin fin”

¿Dónde está el límite?

El otro día, haciendo repaso a la prensa digital, nos sorprendió la siguiente noticia.

El motivo de nuestro interés es, primero el tema, el cual todos sabéis es uno de nuestros favoritos, y por otra parte, el ámbito, el sanitario, en el que pasamos la mayor parte de nuestro tiempo.
No vamos a ser nosotros los que hablemos de la importancia que tiene la protección de datos, y de lo contentos que estamos de que casos como éste se sancionen, ¿pero con qué sanción?
Estamos acostumbrados a ver las sanciones que impone la AEPD, y que, en muchos casos, son de 600€ para particulares (la sanción mínima), y no me habría extrañado que en este caso, de haber estado en manos de la Agencia, se hubiera resuelto con esta sanción, o a lo sumo, con 6.000€.
Estar hablando de penas de años de cárcel nos parece excesivo, no entendemos si han buscado un cabeza de turco o ha sido una "ida de olla" del juez de turno.
No vamos a hacer demagogia relatando casos aberrantes que terminan sin sanciones o con sanciones de risa, pero lo que si que queremos dejar claro es que ésta, nos parece excesiva.
CITA DEL DIA: "La gestión de la seguridad debe ser tanto top-down como down-top"

Anécdotas de auditorías (I)

En toda auditoría de seguridad siempre se da alguna que otra anécdota o situación digna de mención. Además de rememorar buenos momentos, también aprovecharé para plantear algunas reflexiones acerca de estas experiencias. Espero que resulten de vuestro agrado.
Recuerdo una ocasión en que estábamos evaluando las medidas de control de acceso físico a uno de los CPD's de una organización. Aparentemente estaba todo muy controlado, para no aburrir obviaremos otros detalles como el tipo de cristal, características puerta, suministro eléctrico, sistemas de climatización, detectores, etc. En resumen, lo más destacable era que la puerta de acceso al CPD únicamente podía abrirse desde el interior. Este aspecto obligaba a la permanente presencia de personal en su interior. Remarcar que el puesto de trabajo de los operadores estaba aislado de toda la parafernalia técnica, entre el ruido y la temperatura era para volverse loco .....
Basándonos en esta particularidad es obvio que el punto más preocupante era el personal del CPD, podríamos decir que ellos mismos son la "llave" para abrir. Profundizando en este aspecto verificamos que las directrices de acceso al CPD eran claras y concisas. Únicamente abrirían el CPD salvo conocimiento con suficiente antelación (12h) y autorización por escrito del responsable de Explotación. Esto afectaba por igual tanto a personal interno como externo. Hicieron mucho énfasis en lo de personal interno. Adicionalmente, la persona que accedía al CPD debía estar permanentemente acompañada de alguien de la organización (normalmente alguien con galones).
De hecho en nuestra visita se cumplieron todos estos requisitos, quisimos improvisar una primera visita esa misma tarde y nos dijeron que hasta mañana nada de nada puesto que no habían transcurrido las 12 h de rigor (obviamente, en situaciones críticas, averías, emergencias, etc. esta planificación no era aplicable).
Pensamos que en esta ocasión sería complicado encontrar una disconformidad, ni siquiera una leve observación. Al día siguiente, en plan extremista por no decir otra cosa, y recordando lo antes mencionado acerca del personal interno sugerimos la siguiente prueba de cumplimiento: Contactamos con la Dirección General de la organización (tampoco era una empresa gigantesca, unos 250 empleados) y propusimos que el propio Director General, sin previo aviso ni nada similar, se fuese directo al CPD e intentara entrar. Dicho y hecho, al Director le encantó la idea y así lo hizo.
Obviamente no estábamos allí para verlo, quizás nuestra presencia hubiera delatado la "encerrona", pero el resultado de la prueba fue satisfactorio a medias. En primera instancia, el personal del CPD se negó y le "recordó" al Director General cual era el procedimiento a seguir, le argumentaron que no tenían constancia de su visita y no podían abrir. Hasta aquí todo bien, el "problema" o no según cómo se mire, fue que el Director se tomó demasiado en serio su papel y literalmente se le fue la "olla". Tenía tan interiorizado que debía entrar que empezó a esgrimir "sutiles" amenazas de despidos, abertura de expedientes, etc.
La persona en cuestión del CPD, creyendo que su empleo estaba seriamente en juego, abrió finalmente la puerta .......... ohh !!!! que lástima .... Finalmente decidimos no reflejar ninguna disconformidad en el informe final, eso si, esta prueba sirvió para tener las reglas de juego siempre presentes.
En resumen, aprovechando este verídico relato, que espero os haya hecho pasar un buen ratito, todavía hoy en día me pregunto si estas "maniobras" son aceptables, éticas, etc. en el marco de una auditoría de seguridad o de cualquier otra índole. Personalmente soy de los que intenta verificar de forma empírica el cumplimiento de loquesea y no suelo constar en acta nada por el simple motivo que lo diga una persona o esté escrito en un procedimiento. Menudo descubrimiento no ? la verdad es que toda auditoría debería realizarse con está premisa, aunque he podido participar en algunas que mejor acabar aquí y ahora .....
CITA DEL DÍA: "La seguridad de la información empieza por la formación"

Relevo generacional

Mientras desarrollaba esta otra entrada he llegado a la radical conclusión de que los conceptos de confidencialidad, integridad y disponibilidad, tan y tan recurrentes en esto de la seguridad, empiezan a mostrar síntomas de obsolescencia y/o falta de adaptación a la realidad. Desde que me inicié en el mundillo de la seguridad, hace ya unos añitos, llevo oyendo, leyendo, oliendo ;-), etc. que todo órbita alrededor de estos 3 factores.

Desde una óptica eminentemente técnica, arrastrada históricamente, son conceptos perfectamente aplicables a la situación actual (quizás deberíamos plantearlos en otra dimensión “jerárquica” a modo de simples indicadores). El concepto de "seguridad de la información" que todos entendemos en la actualidad creo que implica otros atributos que la definen con mayor precisión. Personalmente creo que la famosa triada está más que superada a pesar de que de vez en cuando aparece en escena algún que otro “pequeño” desliz ...... (léase caídas de servicios, pérdida de información, etc.).

Por otro lado, durante estos últimos tiempos el tratamiento de la información, en su sentido más amplio, está siendo “regulado” a marchas forzadas. Todas estas normativas a cumplir, tanto nacionales como internacionales mediante estándares, leyes, etc., cubren en mayor o menor medida el respeto y observación de nuestros tres viejos conocidos. Partiendo de esta premisa, ¿qué sentido tiene seguir hablando de estos tres conceptos de forma concreta y específica? Algunos ejemplos en los que su consideración no me cuadra demasiado:
a) Si una empresa obtiene el certificado ISO27001, entiendo que de forma implícita está cumpliendo con estos tres puntos no? Por tanto, considero que un SGSI es una capa superior que engloba estos factores y no tiene ninguna lógica seguir haciendo referencia a estas tres características (a excepción de meros indicadores pero no como aspectos fundamentales del SGSI).
b) En plena época de la más que sobada “cloud computing” no me entra en la cabeza que la disponibilidad sea algo medible o valorable. Esta modalidad de “servicio” debe caracterizarse por una disponibilidad absoluta. El ejemplo que yo pondría es el Sol, la disponibilidad ha sido, es y será del 100% con toda garantía. Alguien se cuestiona este punto?

Por último dejaré para otra entrada cuales podrían ser los substitutos de nuestros queridos objetivos de la seguridad de la información. Creo que ya deben ir pensando en la jubilación .....

Todo esto viene motivado por este estupendo spot publicitario, de lo mejorcito que he visto en los últimos años.
CITA DEL DÍA: ”La integridad y la confiabilidad no son sinónimos”

Disponibilidad y/o Integridad y/o Confidencialidad

Según la RAE, el verbo sacrificar vendría a significar (para el caso planteado) lo siguiente:
3. tr. Poner a alguien o algo en algún riesgo o trabajo, abandonarlo a muerte, destrucción o daño, en provecho de un fin o interés que se estima de mayor importancia.

Desde hace mucho tiempo me llama la atención la permanente y perfecta simbiosis que al parecer existe entre los tres pilares fundamentales de la seguridad de la información, Como ya sabéis, estoy hablando de la Disponibilidad, la Integridad y la Confidencialidad. Habitualmente son tratados como un pack indivisible y apenas se contemplan de forma separada. En pocas lecturas, por no decir ninguna, he visto que estos tres factores sean tratados de forma independiente. Dado mi carácter poco conformista, me apetece efectuar la presente disertación con objeto de exponer situaciones en las que no hay más remedio que prescindir de alguno de los 3 factores.

El caso clásico, y que se da con más frecuencia, es la indisponibilidad deliberada de un sistema debido a que la integridad y/o la confidencialidad han sido comprometidas. Un ejemplo real, que viví en primera persona, fue la parada total de la operativa online de valores de una entidad financiera, tanto en oficinas como a través de la web, motivada por un descuadre de las posiciones de las diversas cuentas. En esa situación, aún habría sido más desastroso haber permitido operar en cualquiera de los mercados con datos totalmente corruptos. Como podéis comprobar en este ejemplo, hay ocasiones en que se debe romper con los cánones establecidos y no se puede ni debe garantizar tanto la disponibilidad como la integridad y la confidencialidad de la información.

Otro ejemplo similar que puede ocasionar (de hecho hay casos) la no disponibilidad de forma controlada de un sistema, es la más que probable vulneración de la confidencialidad de la información como consecuencia de una amenaza recientemente descubierta. Hasta el momento en que se aplica el parche correspondiente, se modifica un error en el software, se actualiza la versión de determinado componente, etc. es posible que determinado servicio, sistema, etc. pase a un estado de indisponibilidad.

En cuanto a la disponibilidad de la información dejando de lado la integridad y/o la confidencialidad de la misma me temo que es algo totalmente injustificable, o al menos yo no he encontrado ningún motivo razonable.

Conocéis algún caso en que así sea? La interpretación que yo hago es que si algo está disponible debe estarlo en perfecto estado. Por otro lado, si algo no está en condiciones siempre queda la alternativa de no ponerlo a disposición de nadie.

CITA DEL DÍA: "La seguridad es un puzzle en el que siempre falta una pieza"

Hacia atrás, ni para coger impulso

Ayer nos sorprendió mucho una noticia, la de la nueva política de Facebook, mediante la cual, se apropiaban de todo lo contenido en su portal. La estuvimos comentando Edgard y yo, pero no publicamos nada, ya que no somos muy partidarios de colgar temas que hemos visto en 10 entradas de nuestro lector de feeds. Por otro lado, no acostumbramos a comentar nada acerca de las redes sociales ya que entendemos que el uso de éstas es incompatible con la privacidad/seguridad de datos.

Hoy hemos visto que Facebook ha dado marcha atrás en su política, y siguiendo nuestra regla antes mencionada, tampoco vamos a publicar nada acerca de esta marcha atrás, pero si que nos da pie a comentar la "jugada".

Cuando una empresa toma tal iniciativa, ¿no puede imaginar que va a ser el centro de las críticas más airadas? ¿qué pretendían con esta medida? Estas dos medidas, que sólo distan 1 día entre ellas nos hacen creer que han tomado una medida demasiado a la ligera. Personalmente la vuelta atrás no ha hecho más que desacreditarlos en mayor o menor medida, e incluso, sembrar un cierto "miedo" en algunos de sus usuarios. En resumen, dan a entender que para ellos la privacidad / confidencialidad de los datos no es más que un juego.

Si esta noticia la publicaramos en un diario, seguramente la acompañaríamos de esta imagen:


No obstante, debemos reconocer que facebook está en su pleno derecho de estipular las condiciones que se le antoje. Sinceramente, si el "cliente" las acepta no vemos donde está el problema.


CITA DEL DIA: "Los logs ponen a todos en su sitio"

La AEAT y la eleopede

Casualmente ha llegado a mis manos el modelo 145 de la AEAT (comunicación de datos al pagador). Por deformación profesional me he puesto a leer la advertencia que incorpora en materia de protección de datos. La verdad es que en primera instancia me ha sorprendido bastante. Aquí la tenéis:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el perceptor tendrá derecho a ser informado previamente de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos.

Ya sé que es prácticamente inviable redactar una advertencia completamente genérica y que cumpla exactamente con los requisitos de la LOPD (en concreto el artículo 5). Ahora bien, de ese extremo a lo que en esta advertencia se dice hay un trecho. Bajo mi particular criterio se ha adoptado la postura de sacarse el marrón de encima como diciendo que se ocupe otro ........

De forma breve y sin entrar en mucho detalle jurídico, por no aburrir y porqué tampoco es mi fuerte, se podría llegar a aplicar la excepción del artículo 5.3 de la LOPD por lo que únicamente se debería informar (artículo 5.1 LOPD) de los puntos a y e:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De todos modos, si se tuviera que informar del resto de puntos tampoco habría excesivo problema al no tratarse de información demasiado específica del pagador en cuestión (quizás el punto d, relativo al ejercicio de derechos debería quedar reflejado pero tengo serias dudas).

Dicho todo esto yo hubiera sido partidario de incluir esta otra advertencia o similar:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la empresa o entidad pagadora (identificada en el punto 7) le informa de la existencia de un fichero o tratamiento de datos de carácter personal cuya finalidad es la aplicación de la correspondiente retención sobre la renta de las Personas Físicas. Esta información únicamente será comunicada a los organismos públicos competentes de acuerdo a la legislación vigente. Ud. tiene la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos dirigiéndose a la empresa o entidad pagadora.

Obviamente, el redactado es mejorable pero creo que jugando un poco con el contenido del apartado “7 Acuse de recibo” se puede llegar a identificar claramente al Responsable del Fichero y por tanto cumplir con lo estipulado en el artículo 5. La verdad es que cualquier cosa sirve antes de tener que, por ejemplo, informar con otro documento adicional.

Por pura y simple curiosidad me ha dado por comprobar otros formularios similares (para nada de forma exhaustiva). A modo de ejemplo aquí tenéis otros modelos en los que no hay ningún problema puesto que directamente no incorporan ninguna advertencia de ningún tipo ...... Sinceramente no sé si es mejor o peor, o todo lo contrario ...............

Rendimientos del trabajo y de actividades económicas, premios y determinadas ganancias patrimoniales e imputaciones de renta

Deducciones por Maternidad y por Nacimiento o Adopción Solicitud del abono anticipado

Nacimiento o Adopción de Hijo Solicitud del Pago Único

Comunicación del desplazamiento a territorio español efectuada por trabajadores por cuenta ajena

En estos casos entiendo que el Responsable es la propia AEAT (al pie aparece “Ejemplar para la Administración”) por lo que no hay excusa alguna para que NO figure la pertinente advertencia legal. Como ya comenté en esta otra entrada una buena forma de fomentar el cumplimiento de la LOPD es aplicarse el cuento (ver punto Dar ejemplo).
Para finalizar, espero que estas observaciones, totalmente constructivas, no sean objeto de ninguna inspección por parte de nuestra querida AEAT..... :-)

CITA DEL DÍA: “La seguridad de la contraseña radica en el propio usuario”