Disponibilidad y/o Integridad y/o Confidencialidad

Publicado por Edgard en jueves, febrero 26, 2009
Según la RAE, el verbo sacrificar vendría a significar (para el caso planteado) lo siguiente:
3. tr. Poner a alguien o algo en algún riesgo o trabajo, abandonarlo a muerte, destrucción o daño, en provecho de un fin o interés que se estima de mayor importancia.

Desde hace mucho tiempo me llama la atención la permanente y perfecta simbiosis que al parecer existe entre los tres pilares fundamentales de la seguridad de la información, Como ya sabéis, estoy hablando de la Disponibilidad, la Integridad y la Confidencialidad. Habitualmente son tratados como un pack indivisible y apenas se contemplan de forma separada. En pocas lecturas, por no decir ninguna, he visto que estos tres factores sean tratados de forma independiente. Dado mi carácter poco conformista, me apetece efectuar la presente disertación con objeto de exponer situaciones en las que no hay más remedio que prescindir de alguno de los 3 factores.

El caso clásico, y que se da con más frecuencia, es la indisponibilidad deliberada de un sistema debido a que la integridad y/o la confidencialidad han sido comprometidas. Un ejemplo real, que viví en primera persona, fue la parada total de la operativa online de valores de una entidad financiera, tanto en oficinas como a través de la web, motivada por un descuadre de las posiciones de las diversas cuentas. En esa situación, aún habría sido más desastroso haber permitido operar en cualquiera de los mercados con datos totalmente corruptos. Como podéis comprobar en este ejemplo, hay ocasiones en que se debe romper con los cánones establecidos y no se puede ni debe garantizar tanto la disponibilidad como la integridad y la confidencialidad de la información.

Otro ejemplo similar que puede ocasionar (de hecho hay casos) la no disponibilidad de forma controlada de un sistema, es la más que probable vulneración de la confidencialidad de la información como consecuencia de una amenaza recientemente descubierta. Hasta el momento en que se aplica el parche correspondiente, se modifica un error en el software, se actualiza la versión de determinado componente, etc. es posible que determinado servicio, sistema, etc. pase a un estado de indisponibilidad.

En cuanto a la disponibilidad de la información dejando de lado la integridad y/o la confidencialidad de la misma me temo que es algo totalmente injustificable, o al menos yo no he encontrado ningún motivo razonable.

Conocéis algún caso en que así sea? La interpretación que yo hago es que si algo está disponible debe estarlo en perfecto estado. Por otro lado, si algo no está en condiciones siempre queda la alternativa de no ponerlo a disposición de nadie.

CITA DEL DÍA: "La seguridad es un puzzle en el que siempre falta una pieza"
Etiquetas: 0 comentarios

Hacia atrás, ni para coger impulso

Publicado por Dani Puente en miércoles, febrero 18, 2009
Ayer nos sorprendió mucho una noticia, la de la nueva política de Facebook, mediante la cual, se apropiaban de todo lo contenido en su portal. La estuvimos comentando Edgard y yo, pero no publicamos nada, ya que no somos muy partidarios de colgar temas que hemos visto en 10 entradas de nuestro lector de feeds. Por otro lado, no acostumbramos a comentar nada acerca de las redes sociales ya que entendemos que el uso de éstas es incompatible con la privacidad/seguridad de datos.

Hoy hemos visto que Facebook ha dado marcha atrás en su política, y siguiendo nuestra regla antes mencionada, tampoco vamos a publicar nada acerca de esta marcha atrás, pero si que nos da pie a comentar la "jugada".

Cuando una empresa toma tal iniciativa, ¿no puede imaginar que va a ser el centro de las críticas más airadas? ¿qué pretendían con esta medida? Estas dos medidas, que sólo distan 1 día entre ellas nos hacen creer que han tomado una medida demasiado a la ligera. Personalmente la vuelta atrás no ha hecho más que desacreditarlos en mayor o menor medida, e incluso, sembrar un cierto "miedo" en algunos de sus usuarios. En resumen, dan a entender que para ellos la privacidad / confidencialidad de los datos no es más que un juego.

Si esta noticia la publicaramos en un diario, seguramente la acompañaríamos de esta imagen:


No obstante, debemos reconocer que facebook está en su pleno derecho de estipular las condiciones que se le antoje. Sinceramente, si el "cliente" las acepta no vemos donde está el problema.


CITA DEL DIA: "Los logs ponen a todos en su sitio"

Etiquetas: 0 comentarios

La AEAT y la eleopede

Publicado por Edgard en lunes, febrero 16, 2009
Casualmente ha llegado a mis manos el modelo 145 de la AEAT (comunicación de datos al pagador). Por deformación profesional me he puesto a leer la advertencia que incorpora en materia de protección de datos. La verdad es que en primera instancia me ha sorprendido bastante. Aquí la tenéis:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el perceptor tendrá derecho a ser informado previamente de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos.

Ya sé que es prácticamente inviable redactar una advertencia completamente genérica y que cumpla exactamente con los requisitos de la LOPD (en concreto el artículo 5). Ahora bien, de ese extremo a lo que en esta advertencia se dice hay un trecho. Bajo mi particular criterio se ha adoptado la postura de sacarse el marrón de encima como diciendo que se ocupe otro ........

De forma breve y sin entrar en mucho detalle jurídico, por no aburrir y porqué tampoco es mi fuerte, se podría llegar a aplicar la excepción del artículo 5.3 de la LOPD por lo que únicamente se debería informar (artículo 5.1 LOPD) de los puntos a y e:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De todos modos, si se tuviera que informar del resto de puntos tampoco habría excesivo problema al no tratarse de información demasiado específica del pagador en cuestión (quizás el punto d, relativo al ejercicio de derechos debería quedar reflejado pero tengo serias dudas).

Dicho todo esto yo hubiera sido partidario de incluir esta otra advertencia o similar:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la empresa o entidad pagadora (identificada en el punto 7) le informa de la existencia de un fichero o tratamiento de datos de carácter personal cuya finalidad es la aplicación de la correspondiente retención sobre la renta de las Personas Físicas. Esta información únicamente será comunicada a los organismos públicos competentes de acuerdo a la legislación vigente. Ud. tiene la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos dirigiéndose a la empresa o entidad pagadora.

Obviamente, el redactado es mejorable pero creo que jugando un poco con el contenido del apartado “7 Acuse de recibo” se puede llegar a identificar claramente al Responsable del Fichero y por tanto cumplir con lo estipulado en el artículo 5. La verdad es que cualquier cosa sirve antes de tener que, por ejemplo, informar con otro documento adicional.

Por pura y simple curiosidad me ha dado por comprobar otros formularios similares (para nada de forma exhaustiva). A modo de ejemplo aquí tenéis otros modelos en los que no hay ningún problema puesto que directamente no incorporan ninguna advertencia de ningún tipo ...... Sinceramente no sé si es mejor o peor, o todo lo contrario ...............

Rendimientos del trabajo y de actividades económicas, premios y determinadas ganancias patrimoniales e imputaciones de renta

Deducciones por Maternidad y por Nacimiento o Adopción Solicitud del abono anticipado

Nacimiento o Adopción de Hijo Solicitud del Pago Único

Comunicación del desplazamiento a territorio español efectuada por trabajadores por cuenta ajena

En estos casos entiendo que el Responsable es la propia AEAT (al pie aparece “Ejemplar para la Administración”) por lo que no hay excusa alguna para que NO figure la pertinente advertencia legal. Como ya comenté en esta otra entrada una buena forma de fomentar el cumplimiento de la LOPD es aplicarse el cuento (ver punto Dar ejemplo).
Para finalizar, espero que estas observaciones, totalmente constructivas, no sean objeto de ninguna inspección por parte de nuestra querida AEAT..... :-)

CITA DEL DÍA: “La seguridad de la contraseña radica en el propio usuario”
Etiquetas: 0 comentarios

BUSCAMOS VOLUNTARIO

Publicado por Dani Puente en viernes, febrero 13, 2009
Buenas.
Estamos buscando a una persona con diversas cualidades técnicas, alto nivel de sacrificio, proactivo (esto siempre hay que pedirlo), etc...
Le ofrecemos 125.000$ de forma inmediata.
Lugar de trabajo: Guantanamo o cerca...
Si nos pasa sus datos, formará parte de este proceso de selección.


Etiquetas: 0 comentarios

Pandemia: Continuidad de negocio

Publicado por Edgard en jueves, febrero 12, 2009
Comentar brevemente que hoy hemos asistido a este evento:


Francamente ha sido muy interesante. En cuanto a la continuidad del negocio estrictamente hablando, no hay mucho que destacar puesto que desde hace tiempo vengo contemplando este tipo de situaciones en los BIA que realizo. No la amenaza concreta de una pandemia sino la ausencia de personal motivada por distintas y diversas causas.
Aprovechamos también para dejaros este documento que recientemente ha llegado a nuestras manos desde talkingbusinesscontinuity. Casualmente también está relacionado con pandemias.
Por último simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ? Aún así, yo soy de los que cree que por estos lares no nos impactará de lleno, o si??.
CITA DEL DÍA: “Los límites de la privacidad los establece cada uno”
Etiquetas: 3 comentarios

Hablando de ..................

Publicado por Dani Puente en martes, febrero 10, 2009
En la edición que acaba de publicarse de la revista SIC podéis encontrar un artículo nuestro (por motivos de fuerza mayor únicamente podía ser firmado por uno de nosotros).

El artículo propone un modelo de gestión de la seguridad que se basa en la observación del comportamiento del usuario adecuar el grado de "vigilancia" a este comportamiento. No obstante, más que un modelo de monitorización o similar no es más que una forma de concienciar a los usuarios. Hemos querido plasmar algunas ideas que llevaban tiempo dando vueltas por nuestra cabeza. La revista SIC leyó nuestro artículo, les gustó y decidieron publicarlo. Desde aquí queremos agradecer públicamente a la revista SIC su publicación.

Para acceder al artículo pulsar AQUÍ.

CITA DEL DÍA: "¿Concienciar o imponer?, esa es la cuestión"

Etiquetas: 2 comentarios

Nosotros (en cifras)

Publicado por Dani Puente en viernes, febrero 06, 2009
Como consecuencia de esta entrada y de esta otra entrada, recalcar que son dos estupendos blogs amigos, también hemos decidido someternos a una sesión de "autopsicoanálisis". Para ello utilizaremos la siguiente información (en noviembre nos registramos en Google Analytics), os advertimos que mucha de ella no sabemos ni que significa ni como interpretarla :-):




A la vista de tan abrumadores resultados, tanto en suscriptores, páginas, lectores, etc., por cierto, aunque no lo indiquemos las cifras están expresadas en miles de millones ;-), os exponemos nuestras conclusiones:

  • Hemos recibido reiterados avisos del proveedor de hosting advirtiéndonos de la saturación de tráfico que le provocamos.
  • Mirando hacia el futuro estamos ultimando la adquisición de uno de éstos como hosting para el blog (seguramente me cabe en un rincón del garaje ......)
  • Puede que haya alguien que no conozca el blog, pero vamos, viendo el número de visitas lo dudamos.
  • Desde estas líneas nos gustaría saludar al visitante que tenemos en Polonia. Está claro que este blog ha llegado a todos los rincones del mundo.

Para finalizar, bromas aparte, nos gustaría comentar que el "éxito" del blog nos ha sorprendido. La verdad es que cuando iniciamos esta aventura, allá por el mes de septiembre, no confiabamos demasiado en comernos los turrones con el blog en marcha. Por otro lado, no nos dejamos influenciar por tener más o menos visitas (de hecho investigando para esta entrada es cuando hemos analizado "en detalle" estos datos). Sólo pensar que a 50 y pico "suscriptores" les interesa por un motivo u otro lo que plasmamos aquí nos llena de honda y profunda satisfacción. Es a estos "fieles seguidores" a los que nos debemos, a los que están por llegar no hay nada que decirles.

CITA DEL DÍA : "Si tu sigues ahí, nosotros seguiremos aquí."

Etiquetas: 0 comentarios
Suscribirse a: Entradas (Atom)