La AGPD y la apostasía.

Publicado por Dani Puente en miércoles, octubre 15, 2008
Se lleva hablando muchos días acerca de la apostasía, o dicho de otra forma, de como darse de baja de la iglesia.

El Tribunal Supremo anuló una sentencia de la Audiencia Nacional que obligaba a anotar en la partida de bautismo de un apóstata su rechazo a la religión católica. ¿Por qué la Iglesia ha conseguido burlar la LOPD y no permitir los derechos de acceso, rectificación, cancelación y oposición? Pues por que el juez ha considerado que los libros de bautismo NO son un fichero, por lo cual no están sometidos a la LOPD.

Actualmente la AGPD tienen en su poder más de 600 peticiones de apostasía pendientes de resolución, y su director, Artemi Rallo está decidiendo si presentar una impugnación a la sentencia.

Desde aquí nos preguntamos qué consideración especial tiene la Iglesia para no considerar sus libros de bautismo como ficheros, si bien ellos se amparan en que únicamente es un libro ordenado cronológicamente, ¿desde cuándo ese ha sido un criterio válido?. Si se acepta ese argumento no me extrañaría ver a diversas empresas acogerse a ese precedente y cambiar la clasificación de sus datos para así ahorrarse un "mantenimiento" de datos, así como poder evitar la ejecución de los ejercicios de derechos, que todos sabemos que muchas veces se vuelven muy correosos.

CITA DEL DIA : "No te quedes en el primer nivel, investiga!!"
Etiquetas: 0 comentarios

Auditoría interna vs externa

Publicado por Edgard en martes, octubre 14, 2008

En esta entrada no voy a plantear la eterna discusión relativa a si la auditoría de sistemas de sistemas de información debe ser interna o externa (o ambas). Ya que he tenido la suerte de haber vivido casi todos los roles posibles intentaré plantear, bajo mi experiencia, algunos aspectos clave según cada caso. Las distintas modalidades que he podido experimentar en materia de auditoría de sistemas de información son:

  • auditor interno
  • auditor externo integrado en departamento de auditoría interna
  • auditor externo
  • auditado por auditor externo
  • La única que me falta es ser auditado por un auditor interno. Doble nivel de auditoría interna?, esto existe? lo más parecido diría que es "Asuntos Internos" :-)

De este cúmulo de vivencias me gustaría remarcar los siguientes aspectos:

Planificación/Ámbito

Sin duda este es uno de los aspectos que más valoro en cuanto que uno mismo decide qué, cuándo y porqué auditar. A excepción del auditor interno, me temo que los auditores externos tienen ya establecido que área, departamento, infraestructura, etc. deben auditar. En definitiva, poco margen de maniobra queda ya que la demanda viene dada por el cliente. Por otro lado, la planificación, y consecuentemente el presupuesto, también está medianamente pactado por lo que pocas desviaciones en tiempo/coste pueden haber. Yo soy partidario de que las auditorías deben durar lo que tengan que durar, por tanto, no establezco ninguna fecha límite (exacta e inamovible) para su finalización.

Metodología/criterios

Al igual que en el punto anterior, un auditor interno pone en práctica el tipo de auditoría que mejor considera utilizando para ello aquellas metodologías, herramientas, pautas, etc. que cree mejor. Como auditor externo, he tenido que utilizar metodologías propietarias y altamente complejas (a la vez que desactualizadas), pasando, en el peor de los casos, por tener que improvisar y definir controles sobre la marcha. Otra ventaja es que como auditor interno puedes profundizar muchísimo en tu propio negocio y llegar a un detalle que difícilmente un auditor externo podrá llegar (tanto por conocimiento como por dedicación).

Transparencia/aceptabilidad auditado

Por lo general un auditor externo "impone" más, este hecho comporta que el auditado no sea todo lo transparente que debería ser, ya sea por "miedo" o por falta de confianza (hay mucho de psicología detrás de un auditor, es complicado "lidiar" con interlocutores que no salen del "si", "no", "a veces", "no lo se", "depende", ........ no obstante este tema más divertido lo aplazo para otra entrada). También hay que remarcar que como auditor externo no puedes elegir a tus "víctimas", por lo general los nombres ya vienen impuestos y acostumbran a ser roles de cierta responsabilidad que ya saben que cuento deben contar y cual no (no obstante, son fáciles de pillar al solicitar evidencias). En el caso opuesto, un auditor interno tiene bastante más libertad para escoger cual es la persona indicada para entrevistar (normalmente usuarios comunes). Por otro lado también me gustaría matizar que los auditados son mucho más transparentes y francos con uno que va en el mismo barco que con un extraño.

Independencia

Para ser sincero, la modalidad en la que se percibe una mayor independencia y en la que las valoraciones/conclusiones no están sujetas a ruidos o interferencias de fondo (que cada cual interprete lo que quiera) es la de auditoría interna. Tanto como auditor interno como auditor externo integrado en un departamento de auditoría interna he notado con diferencia que los resultados de la auditoría son mucho más acordes a la realidad y se caracterizan por poca, por no decir ninguna, sesión de maquillaje previa.

Credibilidad

Como no podía ser de otra manera este es el punto crucial de la entrada, desde siempre se aplica aquello de que las cosas se hacen o se corrigen cuando alguien de fuera así lo manifiesta. En cambio todo lo que diga el de dentro no sirve para mucho ............. Obviamente no hace falta que defienda mi postura no ??? Al igual que antes dejo para otra entrada alguna reflexión sobre lo que se puede hacer para que la auditoría interna tenga una posición aún más digna y respetable.

Y ahora hasta el lunes que mañana cojo el AVE muy muy temprano para auditar uno de nuestros centros en Madrid .............

Saludos,

CITA DEL DÍA: "La seguridad ni se crea ni se destruye, sólo evoluciona"

Etiquetas: 0 comentarios

Robin Hood existe!

Publicado por Dani Puente en lunes, octubre 13, 2008
Una vez descartados los Reyes Magos y Papa Noel, y a punto de caerse otro mito como Robin Hood, nos encontramos con esto.

Dan Wilder, a través del foro bcmix, nos comparte un whitepaper en el que explica el diseño, desarrollo e implantación de un Business Continuity Model (BCM), basándose en la BS25999 y metodologias como ITIL y COBIT.

Nos sorprende y agrada ver como todavía queda gente dispuesta a compartir sus conocimientos y su trabajo de forma altruista, algo extraño en un "negocio" tan competitivo como en el que nos encontramos.

CITA DEL DIA: "La seguridad es un valor en alza, invierte en ella!"
Etiquetas: 0 comentarios

Aquí hubiera ido de fábula .......

Publicado por Edgard en jueves, octubre 09, 2008
Lo sé! es deformación profesional, pero mientras estaba leyendo esta noticia no he podido evitar pensar en "lo bien que les hubiera venido" a estos comerciantes un buen Plan de Continuidad de Negocio.

No obstante, me gustaría pensar que la Administración (la que sea! el Ayuntamiento, la Generalitat, la Administración Central, etc......), como responsable última de todo lo que va a suponer el AVE y causante de estos graves perjuicios, ha planificado este tipo de consecuencias y las posibles compensaciones.

PD. Me parece que la Sagrada Familia ya puede ir desarrollando su PCN ...... :-)

CITA DEL DÍA: "El ordenador más seguro es aquel que está apagado"
Etiquetas: 0 comentarios

Códigos de ética, conducta y afines

Publicado por Edgard en jueves, octubre 09, 2008

Desde siempre, exactamente allá por 1997 año en que superé el examen CISA, he sentido curiosidad por todo aquello que implica la adhesión a códigos de conducta y/o ética que prácticamente todas las entidades certificadoras requieren. Para ser sincero debo confesar que en muchas ocasiones he estado con colegas de profesión que en mayor o menor medida respetan las mencionadas normas. Me gustaría aclarar que en esencia se vulnera el deber de secreto y/o confidencialidad aunque siempre con una finalidad no fraudulenta, se trata simplemente de exponer vivencias, experiencias, casos de éxito y/o fracaso, curiosidades, etc. En resumen, desde mi punto de vista no se falta para nada a la ética y buena conducta profesional, aunque en esta vida, como sabéis, todo es relativo.

Lo que realmente me tiene "preocupado" es la verdadera utilidad de estos decálogos y, por tanto, la aplicación de medidas disciplinarias en caso de incumplimiento o vulneración de los mismos.

Con objeto de conocer la realidad nos hemos puesto en contacto con ISACA, ISC2 y EC-COUNCIL para intentar averiguar de primera mano cual es la aplicación práctica de sus respectivos códigos. Básicamente y sin rodeos hemos preguntado sobre la cantidad de incumplimientos de los códigos y las acciones que se han emprendido contra los miembros implicados. Obviamente hemos enfatizado que únicamente nos interesan datos estadísticos, para nada queremos saber los nombres y apellidos de los afectados, tampoco nos los hubieran facilitado (ante todo confidencialidad!). Esta extraña petición la hemos justificado como imprescindible para la elaboración de un estudio sobre la seriedad y prestigio de las distintas certificaciones de seguridad.

Antes de solicitar la información hemos intentando, sin éxito, localizar información, tanto oficial como paralela, por la red. Por ejemplo, en la web de ISACA figura un Annual Report del año 2007 que no dice nada relativo a este tema. Tanto en la web de EC-COUNCIL como de ISC2 tampoco hay nada sobre este tema.

Pues bien, debemos decir que las "respuestas" no nos han sorprendido demasiado. Como era de esperar, ninguna de las instituciones mencionadas nos han facilitado datos. Dicho esto, comentar que no nos explicamos lo sucedido ;-) y creemos que no han respondido por alguno de los siguientes motivos:

  • no hay nada que comentar puesto que no hay ningún control y/o seguimiento sobre el cumplimiento de los códigos
  • a pesar de los exhaustivos controles que se llevan a cabo no se ha detectado ninguna violación del código por parte de ninguno de los miembros certificados
  • hay tal cúmulo de medidas disciplinarias que tienen pavor a hacerlas públicas, aunque eso en el fondo les honraría
  • "de qué van estos panolis (nosotros!) haciendo este tipo de preguntas", suponemos que aún se están riendo............ :-)

En el fondo creemos que se han hecho un flaco favor a ellas mismas ya que, al menos en nuestro caso, interpretamos que poco o nada se hace al respecto. Sinceramente creemos que si tienen por objeto mantener y/o alcanzar cierto prestigio, reconocimiento, etc. deberían actuar en consecuencia y velar por el cumplimiento de los distintos códigos éticos. Si realmente se toman medidas disciplinarias (revocar certificados) y/o se realizan advertencias serias a los diversos miembros creemos que publicitar este tipo de actuaciones, además de dignificar al sector, sería todo un ejemplo a seguir en materia de credibilidad, transparencia y profesionalidad.

En fin, si algún día de estos nos responden (confiamos en que todavía están recopilando montañas de datos), os mantendremos informados.......

PD. Esperemos que nuestros nombres no aparezcan como candidatos "aleatorios" a someterse a una auditoría del certificado ...... será casualidad o causalidad ?

Relación de algunos códigos éticos:

ISACA - Code of Professional Ethics

ISC2 Code of Ethics

EC-Council Code of Ethics

CITA DEL DIA: "y recuerda que la seguridad no existe, es sólo una sensación .............."

Etiquetas: 1 comentarios

Agradecimientos a la comunidad bloguera

Publicado por Dani Puente en martes, octubre 07, 2008
Primero de todo aclarar que una de nuestras premisas es no publicar entradas cuyo contenido es ajeno a la temática del blog. No obstante, en este caso nos vemos obligados a hacer una excepción. Sirva esta breve entrada para transmitir públicamente nuestro más sincero agradecimiento a tod@s aquell@s que nos habéis dirigido, tanto de forma pública como privada, palabras de ánimo como respuesta a nuestro correo de presentación. Remarcar también que nos ha sorprendido enormemente el estupendo recibimiento en algunos de vuestros respectivos blogs.

Y por otro lado, transmitir cierto grado de decepción por aquellos que no se han dignado nisiquiera a responder. En parte quedan disculpados puesto que sabemos lo duro que es responder a un correo con un simple "gracias y que os vaya bien". Sinceramente no esperábamos nada más. Somos novatos en esto de la blogocosa y aún no tenemos claros según que convenios o pautas se siguen pero desde luego la educación y la gratitud entendemos que siguen vigentes, o no ??

Lo dicho, gracias a todos. Seguiremos aportando nuestro pequeño granito de arena en esto de la seguridad de la información.

CITA DEL DÍA: "La seguridad es un proceso y tu eres parte de él"
0 comentarios

Spamos hasta arriba (y 2)

Publicado por Edgard en sábado, octubre 04, 2008
Sirva la presente entrada como complemento de lo ya expuesto en esta entrada. Simplemente dejar constancia del importante incremento de la cantidad de spam recibido (en un solo mes, de agosto a septiembre, ha sido del 158%). El incremento anual acumulado (de septiembre 07 a septiembre 08) es de un 381%.

Ahora solo falta esperar a que esta tendencia tenga fin, si es que lo tiene ..................

CITA DEL DÍA: "El único secreto para estar más seguro es sentirse inseguro"

Etiquetas: 0 comentarios
Suscribirse a: Entradas (Atom)