tag:blogger.com,1999:blog-8423605090980569172024-03-12T20:15:57.746-07:00EddasecEdgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comBlogger91125tag:blogger.com,1999:blog-842360509098056917.post-56726142792551158282009-09-21T01:11:00.001-07:002009-09-21T01:11:42.295-07:00LA PANDEMIAnipulación<div align="justify"><span style="font-family:arial;">Nueva publicación en el remodelado blog de EDDASec.<br />Haz clic <strong><a href="http://www.eddasec.com/?p=174">aquí</a></strong> para acceder.<br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span> </span></div><br /><div align="center"><a href="http://www.eddasec.com/"><span style="font-family:arial;font-size:180%;">www.eddasec.com</span></a><br /></div><br /><div align="center"></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-67355720954631682462009-09-17T05:57:00.000-07:002009-09-17T05:58:29.959-07:00NO SALIMOS DE NUESTRO ASOMBRO.......<div align="justify"><span style="font-family:arial;">Nueva publicación en el remodelado blog de EDDASec.<br />Haz clic <strong><a href="http://www.eddasec.com/?p=167">aquí</a></strong> para acceder.<br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span> </span></div><br /><div align="center"><a href="http://www.eddasec.com/"><span style="font-family:arial;font-size:180%;">www.eddasec.com</span></a><br /></div><br /><div align="center"></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-48143717519453856102009-09-10T08:13:00.000-07:002009-09-10T08:14:42.629-07:00Lector DNIe "gratuito"<div align="justify"><span style="font-family:arial;">Nueva publicación en el remodelado blog de EDDASec.<br />Haz clic <strong><a href="http://www.eddasec.com/?p=153">aquí</a></strong> para acceder.<br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span> </span></div><br /><div align="center"><a href="http://www.eddasec.com/"><span style="font-family:arial;font-size:180%;">www.eddasec.com</span></a><br /></div><br /><div align="center"></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-29487953648558584702009-09-09T07:46:00.000-07:002009-09-09T07:47:20.404-07:00ICONOS DE SEGURIDAD<div align="justify"><span style="font-family:arial;">Nueva publicación en el remodelado blog de EDDASec.<br />Haz clic <strong><a href="http://www.eddasec.com/?p=141">aquí</a></strong> para acceder.<br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span> </span></div><br /><div align="center"><a href="http://www.eddasec.com/"><span style="font-family:arial;font-size:180%;">www.eddasec.com</span></a><br /></div><br /><div align="center"></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-69098598759388270072009-09-04T05:18:00.000-07:002009-09-04T05:25:07.335-07:00ESTACIONALIDAD E INCIDENCIAS<div align="justify"><span style="font-family:arial;">Nueva publicación en el remodelado blog de EDDASec.<br />Haz clic <strong><a href="http://www.eddasec.com/?p=135">aquí</a></strong> para acceder.<br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span> </span></div><br /><div align="center"><a href="http://www.eddasec.com/"><span style="font-family:arial;font-size:180%;">www.eddasec.com</span></a><br /></div><br /><div align="center"></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-68167966408636411142009-09-01T12:31:00.001-07:002009-09-01T12:38:05.976-07:00¿Será éste?<div align="justify">Nueva publicación en el remodelado blog de EDDASec.<br /><br />Haz clic <strong><a href="http://www.eddasec.com/?p=130">aquí</a></strong> para acceder.<br /><br /><span style="color:#3333ff;"><strong>Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</strong></span><br /></div><div align="center"><a href="http://www.eddasec.com/"><strong>www.eddasec.com</strong></a></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-43640938820780273172009-08-28T04:08:00.000-07:002009-08-28T04:13:37.520-07:00DPP: Data Profit Prevention<div align="justify">Nueva publicación en el remodelado blog de EDDASec.</div><div align="justify"></div><div align="justify">Haz clic <a href="http://www.eddasec.com/?p=118"><strong>aquí</strong> </a>para acceder. </div><div align="justify"><strong><span style="color:#3333ff;"></span></strong></div><div align="justify"><strong><span style="color:#3333ff;">Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.</span></strong></div><div align="center"><strong><span style="font-size:180%;color:#3333ff;"><a href="http://www.eddasec.com/">www.eddasec.com</a></span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.comtag:blogger.com,1999:blog-842360509098056917.post-46302213413125164852009-08-27T11:32:00.000-07:002009-08-27T14:20:28.347-07:00Estamos de reformas .....<p style="TEXT-ALIGN: justify"><span style="font-family:Arial;">Como colofón de este </span><strong><span style="font-family:Arial;">primer año de supervivencia</span></strong><span style="font-family:Arial;"> en la blogosfera hemos aprovechado para hacerle un lavado de cara al blog. Ya puestos a renovar dominios y alojamiento pues también nos ponemos con el aspecto del blog. Por un lado prescindimos de la plataforma blogger y nos pasamos a wordpress. Blogger está bien para iniciarse en el mundo de los blogs pero con el tiempo se perciben ciertas carencias (sobre todo en el formateo de las entradas).</span></p><p style="TEXT-ALIGN: justify"><span style="font-family:Arial;">Por otro lado y con objeto de no convertirnos en unos parias sociales también hemos abierto una cuenta en twitter. Nuestra intención es utilizarla para comentar aquellos temas que nos llamen la atención pero que no tienen suficiente entidad como para convertirse en una entrada del blog. De momento no le hemos encontrado la gracia a esto de tuitear pero todo se andará ........</span></p><p style="TEXT-ALIGN: justify"><span style="font-family:Arial;">Como podréis comprobar en los sucesivos días el blog seguirá sufriendo algunos retoques mientras aprendemos y descubrimos este nuevo entorno.</span></p><p style="TEXT-ALIGN: justify"><span style="font-family:Arial;">El blog alojado en blogger será desactivado (comentarios, suscripciones, etc.) en breve.</span></p><p style="TEXT-ALIGN: justify"><span style="font-family:Arial;"><strong><span style="color:#ff0000;">IMPORTANTE: Comentaros que os tendréis que suscribir a los feeds desde el nuevo blog (si lo creéis conveniente claro), ya que no hemos visto forma humana de traspasar los que tenemos en blogger.</span></strong> </span></p><p align="center"><span style="font-family:Arial;font-size:180%;color:#3333ff;"><a href="http://www.eddasec.com/"><strong>WWW.EDDASEC.COM</strong></a></span></p><p><strong><span style="font-family:Arial;"><span style="color:#3366ff;">CITA DEL DÍA: «Los incidentes de seguridad son inevitables. Lo importante es como se afrontan.»</span></span></strong></p>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-62365499654256761592009-08-12T15:10:00.001-07:002009-08-12T15:45:28.545-07:00¡¡¡ Primer aniversario !!! Gracias a tod@s<div align="justify">Simplemente comentar que un caluroso día de agosto de hace exactamente un año nos estrenamos con este humilde blog. Quien nos lo iba a decir cuando al iniciar esta aventura dudábamos sobre si nos llegaríamos a comer los turrones con el blog activo :-) </div><p align="justify"><img style="TEXT-ALIGN: center; MARGIN: 0px auto 10px; WIDTH: 266px; DISPLAY: block; HEIGHT: 400px; CURSOR: hand" id="BLOGGER_PHOTO_ID_5369211058707283442" border="0" alt="" src="http://4.bp.blogspot.com/_NiRKri1-Wzc/SoNFArZYvfI/AAAAAAAAAMI/9RdQo-Yv218/s400/1408485472_4819d966ab.jpg" /><span style="font-size:78%;"> Fotografía cortesía de </span><a href="http://www.flickr.com/photos/derbettler/"><span style="font-size:78%;">Der Bettler</span></a><br /><br />El balance, bajo nuestro criterio, no puede ser mejor. Independientemente de las estadísticas, porcentajes, etc. relativos a entradas publicadas, visitas, suscriptores, etc. estamos encantados de habernos embarcado en este blog. Para nosotros es un auténtico orgullo haber alcanzado el nivel actual, obviamente esperamos y deseamos que siga creciendo.<br /><br />Si tuviéramos que hacer un análisis de este primer año destacaríamos los siguientes aspectos:<br /><br />Hemos tenido la oportunidad de contactar y relacionarnos, por el momento de forma virtual, con otros bloggers en materia de seguridad, privacidad, etc.<br /><br />En numerosas ocasiones es difícil encontrar un tema sobre el cual reflexionar. Tenemos unas premisas que intentamos cumplir a rajatabla. Básicamente son: </p><ul><li><div align="justify">no comentar nada, directa ni indirectamente, sobre nuestra actividad profesional diaria. Os aseguramos que tendríamos bastante materia pero la ética es la ética ............... </div></li><li><div align="justify">en la medida de lo posible no repetir o mencionar temas ya tratados en otros blogs. Nuestra intención es la de ofrecer contenidos propios. </div></li></ul><p align="justify">La periodicidad de publicación en el blog ha sido bastante aleatoria. No nos hemos marcado ningún ritmo de publicaciones aunque hay que reconocer que en determinados momentos lo hemos tenido un poco abandonado. En adelante intentaremos publicar con más asiduidad.<br /><br />Para finalizar, deciros que tenemos previsto migrar el blog a otro gestor más cómodo, la verdad es que blogger no nos acaba de gustar.<br /><br />Nada más, simplemente daros las gracias a todos y a todas por estar al otro lado !<br /><br /><strong><span style="color:#3333ff;">CITA DEL DÍA: "En ocasiones los parches son imprescindibles, incluso en un traje nuevo ...." </span></strong></p>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com1tag:blogger.com,1999:blog-842360509098056917.post-18818127631743469762009-07-03T02:07:00.000-07:002009-07-03T02:15:55.382-07:00APEP, DPI, ...... cuantos más seamos más reiremos !<div align="justify">Gracias al eficiente, ágil y barato servicio de nuestras <span class="blsp-spelling-error" id="SPELLING_ERROR_0">maravillosas</span> operadoras de <span class="blsp-spelling-error" id="SPELLING_ERROR_1">comunicaciones</span> llevo más de 3 semanas sin <span class="blsp-spelling-error" id="SPELLING_ERROR_2">ADSL</span> ni línea de teléfono fija (y lo que queda...). La una por la otra siguen peleándose por la <span class="blsp-spelling-error" id="SPELLING_ERROR_3">responsabilidad</span> de una avería y yo que estoy en medio me estoy llevando los palos. Por el momento y de forma unilateral me han dado de baja de la compañía actual y todavía estoy a la espera de que la nueva compañía pueda iniciar los trámites del alta. Voy a obviar los nombres porque todas son igual de nefastas. En resumen, como no es serio esto de tener el blog abandonado me he hecho un hueco en el curro para colgar lo siguiente (me ha llamado bastante la atención).</div><div align="justify"></div><div align="justify">El pasado día 4 de junio se constituyó <span class="blsp-spelling-error" id="SPELLING_ERROR_4">oficialmente</span> la Asociación Profesional Española de <span class="blsp-spelling-error" id="SPELLING_ERROR_5">Privacidad</span> (<span class="blsp-spelling-error" id="SPELLING_ERROR_6">APEP</span>). Hoy mismo se publica que también se ha creado el <span class="blsp-spelling-error" id="SPELLING_ERROR_7">DPI</span> - Data <span class="blsp-spelling-error" id="SPELLING_ERROR_8">Privacy</span> <span class="blsp-spelling-error" id="SPELLING_ERROR_9">Institute</span> (dependiente del <span class="blsp-spelling-error" id="SPELLING_ERROR_10">ISMS</span> <span class="blsp-spelling-error" id="SPELLING_ERROR_11">Forum</span> <span class="blsp-spelling-error" id="SPELLING_ERROR_12">Spain</span>). Por una parte no hay más que alabar y apoyar este tipo de proyectos en aras de fomentar todo lo relativo a la <span class="blsp-spelling-error" id="SPELLING_ERROR_13">privacidad</span> y <span class="blsp-spelling-error" id="SPELLING_ERROR_14">confidencialidad</span> de la información. No obstante, desde mi particular punto de vista no le veo mucho sentido que se <span class="blsp-spelling-error" id="SPELLING_ERROR_15">diversifique</span>, a mi juicio exactamente lo mismo, en distintos foros o lugares de encuentro. </div><div align="justify"></div><div align="justify">Hay algo que nos hayamos perdido ?? Las personas visibles de la iniciativa que ha sido presentada hoy estuvieron en su momento activando la <span class="blsp-spelling-error" id="SPELLING_ERROR_16">APEP</span> (<span class="blsp-spelling-error" id="SPELLING_ERROR_17">linkedin</span>). <span class="blsp-spelling-error" id="SPELLING_ERROR_18">Personalmente</span> me resulta curioso. Seguramente habrán razones de peso pero por lo <span class="blsp-spelling-error" id="SPELLING_ERROR_19">anteriormente</span> dicho no creo que justifiquen esta duplicidad. No sería mejor aunar esfuerzos en un único proyecto?. Al final, tanto en un lugar como en otro van a estar <span class="blsp-spelling-error" id="SPELLING_ERROR_20">prácticamente</span> las mismas personas asociadas, interesadas o vinculadas. En este tipo de proyectos/iniciativas/etc., realmente se piensa en el objetivo de la profesión, el colectivo, etc. o se anteponen otros intereses ?</div><div align="justify"></div><div align="justify">A nadie más le llama la atención o soy el único "<span class="blsp-spelling-error" id="SPELLING_ERROR_21">rarito</span>" ? Sin ningún ánimo de crítica, seguramente tendrá su lógica pero a mi se me escapa por completo.</div><div align="justify"><span style="color:#3333ff;"><strong></strong></span></div><div align="justify">Más <span class="blsp-spelling-error" id="SPELLING_ERROR_22">info</span> en:</div><div align="justify"><a href="http://www.samuelparra.com/2009/06/11/asociacion-profesional-espanola-de-privacidad-apep/">Samuel Parra</a></div><div align="justify"><a href="http://www.alonsohurtado.com/2009/06/05/constitucion-de-la-asociacion-de-profesionales-de-la-privacidad/">Alonso Hurtado</a> </div><div align="justify"><a href="http://www.iurismatica.com/blog/nacimiento-de-la-asociacion-profesional-espanola-de-la-privacidad-apep/">Iurismatica</a> </div><div align="justify"><a href="http://www.equipom45.es/noticias-seguridad/212-nace-el-qdata-privacy-instituteq.html">Equipo M45</a> </div><div align="justify"><a href="https://www.ismsforum.es/noticia.php?noticia=194">ISMS Forum</a></div><div align="justify"><br /><span style="color:#3333ff;"><strong>CITA DEL DÍA: "No todas las nubes son hermosas, algunas esconden truenos y relámpagos"</strong></span></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-40921911857712748772009-06-05T03:52:00.000-07:002009-06-05T03:54:40.871-07:00Triplete en copas<div align="justify"> Supongo que todos estaréis esperando un artículo homenajeando a los ganadores de tan importante corona, pero NO!!, no es la temática de nuestro blog, y, aunque violemos sin ningún pudor la política de actualización, no vamos a hacer lo mismo con la de contenidos (por lo menos por ahora).</div><div align="justify"><br /> Si no es del Barça, ¿de qué más se puede hablar estos días con ese título? Pues de uno de nuestros temas favoritos, LOPD en situaciones cotidianas.</div><div align="justify"><br /> Hace pocos días quedé con un amigo en un bar bastante conocido en mi ciudad, el típico bar previo a la entrada a la discoteca. Pues bien, tres patadas bastante importantes a la ley coincidían en el establecimiento. Haciendo un símil futbolístico, os las voy a clasificar por importancia (así la decepción para los que esperaban una entrada deportiva no lo será tanto)</div><div align="justify"><br /><strong> Copa:</strong> Una vez pagada la consumición, nos dan un folleto a rellenar para el sorteo de una camiseta del F.C.Barcelona o del R.C.D Espanyol firmada por los jugadores. Datos que recababan: nombre, apellidos, DNI (necesario?) Dirección para el envío, teléfono (supongo que para comunicarte que eres el ganador) y camiseta a la que optabas. Ni que decir tiene que no había ningún tipo de aviso legal al pie del folleto, es más, según la pericia del "concursante" al doblar el folleto, dentro de la urna, transparente, se podían ver todos los datos.<br /></div><div align="justify"><strong></strong> </div><div align="justify"><strong> Liga:</strong> Dadas las dimensiones del local, y suponiendo que por un afán de seguridad, el local disponía de CCTV, sin la correspondiente advertencia. Haciendo un pequeño paréntesis, últimamente estoy viendo mucha concienciación en casos de este tipo, y para mi sorpresa, el otro día acudí a cenar a un restaurante de comida asiática donde se encontraba una placa con la advertencia y el lugar donde ejercitar tus derechos.<br /></div><div align="justify"><strong> Champions:</strong> Para mí ésta es increíble. Una especie de tablón de anuncios de corcho, con fotos enganchadas, en las cuales se veían capturas del CCTV, y en el tablón rezaba la siguiente inscripción. BEBEN PERO NO PAGAN.<br /></div><div align="justify"> </div><div align="justify"> Se que no es fácil ir a un establecimiento de este tipo contándole las virtudes de la LOPD, y más difícil aún que lo intenten aplicar, qué hacer entonces? Complicado. En mi caso, y con gente muy cercana adopto la posición de "malo-malote", y los intimido con las posibles sanciones, muchas veces contrastando mis palabras con documentos de las ya impuestas por la AEPD.<br /></div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DIA: "Cuando el personal que conoce el negocio no participa en el BIA mejor no empezar"</span></strong></div>Dani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-70928719711129618872009-06-04T01:50:00.000-07:002009-06-04T01:53:36.279-07:00RECTIFICAR ES DE SABIOS<p align="justify">Otra vez por aquí.... últimamente he estado bastante liado con el trabajo, final de semestre de la <a href="http://www.uoc.edu/"><span class="blsp-spelling-error" id="SPELLING_ERROR_0">UOC</span></a> y un par de marchas de resistencia de más de 50 Km que me han dejado <span class="blsp-spelling-error" id="SPELLING_ERROR_1">pal</span> arrastre..... ya no soy un <span class="blsp-spelling-corrected" id="SPELLING_ERROR_2">crío</span> y los excesos se pagan..... :-) </p><p align="justify">Como "es de bien nacido ser agradecido" y "rectificar es de sabios" sirva esta entrada como reconocimiento público de la iniciativa del <span class="blsp-spelling-error" id="SPELLING_ERROR_3">INTECO</span> en materia de formación. Al igual que en esta <a href="http://eddasec.blogspot.com/2009/03/acciones-formativas-inteco-globales.html">otra entrada</a> "criticábamos", obviamente en tono constructivo, la excesiva centralización de determinadas actividades del <span class="blsp-spelling-error" id="SPELLING_ERROR_4">INTECO</span>, ahora toca reconocer que de cierto modo se está haciendo un esfuerzo en ampliar su ámbito de actuación. Como servicio público que es, está haciendo lo que ni más ni menos le corresponde.</p><p align="justify">En este <a href="https://formacion-online.inteco.es/inscripcion/">enlace</a> podéis el catalogo de cursos de formación disponibles. Como aspectos destacables comentar que son a distancia (<span class="blsp-spelling-error" id="SPELLING_ERROR_5">on</span>-<span class="blsp-spelling-error" id="SPELLING_ERROR_6">line</span>) y gratuitos. En cuanto tenga un momento de respiro me inscribiré a un par que he visto interesantes.</p><p align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La seguridad no se compra, simplemente se define y se aplica"</span></strong></p>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-76783709480174925042009-05-13T05:56:00.001-07:002009-05-13T06:08:37.277-07:00LOPD & ACREDITACIÓN SOFTWARE<div align="justify"><span style="color:#000000;">Con objeto de cumplir debidamente con lo establecido en la Disposición Adicional Única del Real Decreto 1720/2007 he optado por solicitar a los distintos proveedores de software un documento a modo de acreditación del nivel de (in)seguridad que sus respectivos productos alcanzan. Como era de esperar esta información no aparece en la documentación que poseemos. </span></div><div align="justify"></div><div align="justify"><span style="color:#3333ff;"><span style="color:#3333ff;">Disposición adicional única. Productos de software.<br />Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento. </span></div></span><div align="justify"><br /><span style="color:#000000;">Tras más de un año de vigencia del mencionado RD, y sin que NINGÚN proveedor se haya tomado la molestia de suministrarnos formalmente esta acreditación, hemos decidido tomar la iniciativa. Bajo mi particular criterio considero que el cumplimiento de esta cláusula es competencia absoluta del desarrollador, pero por lo visto la cosa parece que no va con ellos ....... </span></div><div align="justify"><br /><span style="color:#000000;">Con objeto de facilitarles aún más el trabajo he hecho una especie de "trasposición" de las medidas de seguridad del RD en clave de desarrollo de software. Los criterios (acumulativos) por los que se debe regir la acreditación del software dependiendo del nivel de seguridad que le corresponde son: </span></div><div align="justify"><span style="color:#000000;"></span></div><div align="justify"><span style="color:#000000;"><strong>NIVEL BÁSICO</strong> </span></div><ul><li><div align="justify"><span style="color:#000000;">Resulta obvio pero debe disponer de mecanismos de control de acceso (por algo será ...... yo me he encontrado con más de uno, de dos, de tres, .............)</span></div></li><li><div align="justify"><span style="color:#000000;">Relación actualizada de usuarios y accesos autorizados (repositorio propio o integrado en uno externo, por ejemplo eledap) </span></div></li><li><div align="justify"><span style="color:#000000;">Distintos privilegios de acceso según funciones/perfiles de usuario (dependiendo de la complejidad del producto) </span></div></li><li><div align="justify"><span style="color:#000000;">Mecanismos que eviten el acceso datos o recursos con derechos distintos de los autorizados (obvio no?) </span></div></li><li><div align="justify"><span style="color:#000000;">Identificación y autenticación personalizada (entre otras cosas no permitir sesiones simultáneas desde distintos equipos) </span></div></li><li><div align="justify"><span style="color:#000000;">Características básicas de las contraseñas (repetición, secuencias, combinar caracteres numéricos/alfanuméricos, etc..) </span></div></li><li><div align="justify"><span style="color:#000000;">Sistema de almacenamiento ininteligible de las contraseñas </span></div></li><li><div align="justify"><span style="color:#000000;">Mecanismos de caducidad de las contraseñas </span></div></li><li><div align="justify"><span style="color:#000000;">Posibilidad de bloqueo de los datos (no eliminación física) </span></div></li></ul><p align="justify"><strong><span style="color:#000000;">NIVEL MEDIO</span></strong></p><ul><li><div align="justify"><span style="color:#000000;">Control de accesos fallidos (bloqueo de cuenta tras superar el límite establecido)<br /></div></span></li></ul><strong></strong><div align="justify"><strong><span style="color:#000000;">NIVEL ALTO </span></strong></div><strong><ul><li><div align="justify"></strong><span style="color:#000000;">Log de accesos reflejando usuario, hora, registro accedido, tipo de acceso, autorizado o denegado</span></div></li><li><div align="justify"><span style="color:#000000;">Conservación de los logs durante 2 años </span></div></li><li><div align="justify"><span style="color:#000000;">Si el software en cuestión efectúa directamente la transmisión de datos por redes de telecomunicación, ésta debe ser de forma cifrada </span></div></li></ul><div align="justify"><span style="color:#000000;">Hay bastantes puntos más como por ejemplo las copias de seguridad, usuarios genéricos, etc. pero según mi particular criterio corresponden al ámbito general o global de la LOPD (política de seguridad) y no son directamente dependientes del producto de software como tal. Esta lista hace referencia a las medidas mínimas que todo software de tratamiento de datos de carácter personal, para entendernos el típico software de alta/baja/modificación, debe cumplir. </span></div><div align="justify"><span style="color:#000000;"></span></div><div align="justify"><span style="color:#000000;">Obviamente no pretende ser un conjunto de requerimientos para todo tipo de software, para eso ya están los </span><a href="http://en.wikipedia.org/wiki/Evaluation_Assurance_Level"><span style="color:#000000;">common criteria</span></a><span style="color:#000000;"> y sus EAL1, EAL2, ..... El objetivo es que sea una relación de las características mínimas que cualquier producto de software debería poseer para poder tratar datos de carácter personal de acuerdo a lo especificado en el RD. </span></div><div align="justify"></div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "Durante un análisis de riesgos no hay lugar para el optimismo" </span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com3tag:blogger.com,1999:blog-842360509098056917.post-30031248353633688122009-05-11T07:34:00.000-07:002009-05-11T07:37:32.624-07:00LOGS Y RENDIMIENTO: ¿LEYENDA URBANA?<div align="justify">Desde hace muchos años siempre que los frikis del área de sistemas escuchan la frase "activación de los logs de auditoría" entramos en una situación bastante cercana al inicio de la 3ª Guerra Mundial. Lo habitual es que entren en un estado de cólera incontrolada llevándose las manos a la cabeza a la vez que vociferan ¡sacrilegio! ¡a la hoguera con él! pasando por un incontable número de recuerdos dirigidos a los diversos familiares del descerebrado que ha osado pronunciar, o simplemente pensar, semejante aberración. </div><div align="justify"> </div><div align="justify">Dejando de lado el espacio en disco necesario para guardar toda esa avalancha de datos siempre se antepone el grave impacto que supondrá, nótese que no digo supone, en el rendimiento. Para ser sincero, por suerte o por desgracia, en la práctica he estado alejado del área técnica más profunda (sistemas y comunicaciones), por lo que no soy nadie para afirmar si sus argumentos son fundados, demostrables y válidos. Lo que si puedo aportar es que en las muchas discusiones, como cliente, como auditor, etc. que he vivido con relación a este tema nunca se ha aportado información contrastable que permita adoptar una decisión razonada al respecto. </div><div align="justify"> </div><div align="justify">Que el rendimiento se verá afectado está claro que si, hasta ahí llegamos todos y todas, en esencia mi planteamiento de fondo es saber cuanto afecta. ¿Hay valores, cálculos, porcentajes, etc. concretos? Por más que he buscado información al respecto no he encontrado gran cosa. Siempre se da por supuesto que afecta pero nunca he visto reflejada la dimensión real de esa penalización. Particularmente creo que se trata de la típica respuesta automática o subconsciente, del tipo "leyenda urbana" (todo el mundo lo sabe pero nadie lo ha visto), que se va arrastrando generación tras generación. Este planteamiento es el que no me parece sensato en cuanto que en esta vida todo es relativo y siempre existe un punto de equilibrio. </div><div align="justify"> </div><div align="justify">Para salir de dudas he propuesto formalmente que se activen las directivas de auditoría (guindous 2003 server) para tener unos poquitos de datos empíricos. Obviamente empezaremos registrando poca cosa e iremos incrementando progresivamente. Ya os contaré. </div><div align="justify"> </div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La seguridad no tiene fin" </span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-8873975583490416392009-05-07T11:40:00.000-07:002009-05-07T13:29:39.104-07:00CRÓNICA II CONFERENCIA INTERNACIONAL BS25999<div align="justify">Esta mañana he tenido el placer de asistir a la <a href="http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Noticias/Eventos-2009/LD-Eventos-2009/II-Conferencia-Internacional-de-Continuidad-de-Negocio---7-de-mayo-Barcelona/">II Conferencia Internacional de Continuidad de Negocio</a> organizada por <a href="http://www.bsigroup.es/">The British Standards Institution (BSI)</a>. Desde aquí agradezco públicamente a BSI la invitación gratuita al evento. </div><div align="justify"> </div><div align="justify">En esta ocasión no se ha cumplido aquel dicho de "segundas partes no fueron buenas ...", la verdad es que particularmente esta segunda jornada me ha gustado más que la <a href="http://www.bsigroup.es/upload/20080619%20lanzamiento%20BS%2025999%20BCN%20v15.pdf">primera edición</a>. No sé exactamente el motivo, quizás los contenidos tratados............ <a href="http://www.bsigroup.es/upload/events/BS25999_2009/20090507%20II%20Conf%20Intl%20CN%20BCN%20v08.pdf">Aquí</a> podéis ver la agenda del evento.</div><div align="justify"> </div><img id="BLOGGER_PHOTO_ID_5333181637434412130" style="DISPLAY: block; MARGIN: 0px auto 10px; WIDTH: 400px; CURSOR: hand; HEIGHT: 268px; TEXT-ALIGN: center" alt="" src="http://1.bp.blogspot.com/_NiRKri1-Wzc/SgNEcV3qDGI/AAAAAAAAAMA/TuGZ8NztFEY/s400/II+bs25999.JPG" border="0" /> <div align="justify"></div><div align="justify">En la actualidad estoy metido de lleno en el desarrollo de un PCN (área TIC por el momento) para los hospitales y la verdad es que han habido un par de cosas que me han llamado la atención.</div><div align="justify"> </div><div align="justify">Como no todo va a ser bueno ;-), desde mi más particular opinión y afán constructivo, quisiera expresar públicamente algunos aspectos ni buenos ni malos, sino todo lo contrario, para que sean considerados en, tan esperadas desde ya, próximas ediciones:</div><div align="justify"> </div><div align="justify">Pasar un poco por alto la teoría de la norma. Creo que el público en general la conoce suficientemente bien. Me hubiera gustado ver <strong>aplicaciones prácticas</strong> concretas y detalladas (la de Bankinter ha sido la que ha profundizado más aunque ........). Tampoco es necesario la exposición de organizaciones que se hayan certificado en la BS25999 o BS25777.</div><div align="justify"> </div><div align="justify"><strong>Herramientas</strong>, la verdad es que en una de las ponencias esperaba ver algún demo o alguna captura de algún producto. Remarcar que al oír Strohl Systems me ha venido a la memoria que por casa tengo un CD de <a href="http://www.strohlsystems.com/Software/BIAProfessional/default.asp">BIA Professional</a>. Lo he encontrado pero iluso de mi .... se trata de una versión un "poco" anticuada (para Windows 3.1/95), como pasa el tiempo ....... </div><div align="justify"> </div><div align="justify">Nada más, espero ansioso la convocatoria del año próximo. Mis más sinceras felicitaciones a BSI y a los ponentes. Con uno de ellos me he reído mucho al plantear si el Chelsea tenía PCN que cubriera una disrupción en el minuto 92 ...... :-)</div><div align="justify"> </div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La seguridad no lo es todo, es lo ÚNICO"</span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-75784934593002246792009-05-06T03:29:00.000-07:002009-05-06T03:33:31.141-07:00AUDITORIA LOPD BIENAL INTERNA<div align="justify">Este año nos toca la auditoría bienal que establece la <span class="blsp-spelling-error" id="SPELLING_ERROR_0">LOPD</span>. Dada la situación de <span class="blsp-spelling-error" id="SPELLING_ERROR_1">regularización</span> actual nos estamos planteando la posibilidad de realizarla internamente. Como podéis apreciar me niego a llamarla "crisis", recesión, etc..., para mi no es más que una etapa necesaria y obligada para que se normalice la indecencia en la que estábamos inmersos. Desgraciadamente los que lo van a pagar en todos los sentidos somos los de siempre. En el presente ejercicio tenemos unas restricciones presupuestarias y un control del gasto abrumador, todo ello impuesto por el ministerio, que implican por ejemplo la imposibilidad de imputar ni un triste euro en determinadas rúbricas contables. </div><div align="justify"></div><div align="justify">Al grano, internamente tenemos claro que la auditoría que hagamos será totalmente meticulosa y rigurosa. Desde el punto de vista legal no hay mayor problema ya que la <span class="blsp-spelling-error" id="SPELLING_ERROR_2">LOPD</span> contempla esta posibilidad. Con relación a este punto ya sabéis que "cualquiera" puede hacer auditorías de cumplimento de la <span class="blsp-spelling-error" id="SPELLING_ERROR_3">LOPD</span> por tanto, y muy a mi pesar, este punto es absolutamente irrelevante mientras no se regule semejante agujero negro. Por otro lado, periódicamente y desde hace ya tiempo, llevamos realizando auditorías por toda la red asistencial por lo que algo sabemos del tema. Aunque no es determinante ni representativo de nada soy <span class="blsp-spelling-error" id="SPELLING_ERROR_4">CISA</span> desde hace más de 10 años por lo que de algo debe servir ..... Señalar que en todas las auditorías externas que nos han realizado anteriormente no ha participado nadie con este perfil. A bote pronto es lo más parecido a un auditor <span class="blsp-spelling-error" id="SPELLING_ERROR_5">LOPD</span> (al menos en lo referente a las medidas de seguridad). </div><div align="justify"></div><div align="justify">En el fondo nos inquieta la percepción o valoración que se pueda tener desde el exterior. Os cuento, en anteriores situaciones nos han requerido la presentación del informe de auditoría más reciente, y de modo expreso, se hacia referencia a que éste fuese de un entidad externa. En su momento ya comenté que por pedir que no quede pero si la <span class="blsp-spelling-error" id="SPELLING_ERROR_6">LOPD</span> dice blanco pues será blanco, por tanto, la auditoría interna es tan legitima como la externa. Otra cosa es que, de forma equivocada o no, se les da mayor o menor valor. </div><div align="justify"></div><div align="justify">Como breve resumen intentaré detallar bajo mi criterio los pros y <span class="blsp-spelling-error" id="SPELLING_ERROR_7">contras</span> que supone llevar a cabo la auditoría <span class="blsp-spelling-error" id="SPELLING_ERROR_8">LOPD</span> internamente: </div><div align="justify"></div><div align="justify"><strong>Pros<br /></strong>- mayor conocimiento del "negocio", en ocasiones la auditoría externa implica un curso formativo <span class="blsp-spelling-corrected" id="SPELLING_ERROR_9">acelerado</span> del auditor externo<br />- mayor transparencia/sinceridad de la parte auditada<br />- mayor nivel de <span class="blsp-spelling-error" id="SPELLING_ERROR_10">autocrítica</span> interna<br />- mayor dedicación en las carencias o puntos de mejora (perfectamente identificados)<br />- menor coste económico<br />- constitución de un equipo auditor <span class="blsp-spelling-error" id="SPELLING_ERROR_11">multidisciplinar</span> (a priori SS.II., <span class="blsp-spelling-error" id="SPELLING_ERROR_12">RRHH</span>, área sanitaria y área jurídica) </div><div align="justify"></div><div align="justify"><strong><span class="blsp-spelling-error" id="SPELLING_ERROR_13">Contras</span></strong><br />- dudas, por parte de terceros, acerca de su objetividad<br />- externamente poco valorada, quisiera remarcar que el "problema" lo tienen quienes opinan así no nosotros<br />- riesgo de ver un único árbol en lugar del bosque entero<br />- los componentes del equipo auditor deben hacer un esfuerzo por cambiar de rol </div><div align="justify"></div><div align="justify">En esta otra <a href="http://eddasec.blogspot.com/2008/10/en-esta-entrada-no-voy-plantear-la.html">entrada</a> hablamos un poco más del tema. En definitiva, como lo veis ?? que nos dejamos ?? </div><div align="justify"></div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La elección final es aquella que implica menos inseguridad" </span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com1tag:blogger.com,1999:blog-842360509098056917.post-49169526082979264652009-05-01T07:16:00.000-07:002009-05-01T08:15:54.921-07:00Las botnets en la Shmoocon<div style="text-align: justify;"> Del 6 al 8 de Febrero se celebró en Washington la <a href="http://www.shmoocon.org/">Shmoocon 2009</a>, cita obligada para estar al día en seguridad.<br /><br />Como siempre, me guardé las presentaciones para pegarles un vistazo, pero por la carga que últimamente tenemos de trabajo me ha sido imposible hasta este "fin de semana largo".<br /><br />Como no, representando a España estuvieron Chema Alonso (MVP Microsoft) y Palako (Yahoo), hablando de su tema estrella, BLIND SQL.<br /><br />Entre el repertorio de presentaciones, que podéis encontrar <a href="http://shmoocon.org/presentations-all.html">aquí</a>, me gustaría destacar la de Julia Wolf, acerca del spam y las botnets, especialmente relevante este mes, que se ha descubierto la mayor botnet bajo MAC.<br /><br />Como yo no os lo voy a explicar mejor que de lo que está en las diapositivas, os animo a verlas.<br /></div><br /><div style="text-align: justify;"><span style="color: rgb(51, 51, 255); font-weight: bold;">CITA DEL DIA : "No llores como usuario lo que no has podido defender como administrador"</span><br /></div>Dani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-39901598589111272782009-04-15T07:15:00.000-07:002009-04-15T07:40:43.068-07:00De ti no me lo esperaba....<div align="justify"> Lo había oído de muchas otras, en algunos casos, me lo veía venir, por lo frescas que eran, porque se las veía descuidadas, a simple vista, ya sabía que no me podían traer nada bueno, pero de ti....<br /><br /></div><div align="justify">Todo lo que me pedías te lo daba!! Te tuve entre mis favoritas... y ahora esto...<br /></div><div align="justify"><br /></div><div align="justify">No me importaron los preliminares, te seguí el juego, pero en el momento importante, cuando tuviste que tomar precauciones, no dudaste en dejármela al aire, me fallaste!!<br /></div><div align="justify"><br /></div><div align="justify">Me lo volviste a pedir, una y otra vez, no te cansabas, te contestase lo que te contestase, ahí seguías, preguntando sin cesar.<br /></div><div align="justify"><br /></div><div align="justify">Al final, hice lo que tenía que hacer, sin <span class="blsp-spelling-error" id="SPELLING_ERROR_0">temblarme</span> el pulso, te cerré las p...estañas e intenté olvidarte.</div><br /><img id="BLOGGER_PHOTO_ID_5324922177718549266" style="DISPLAY: block; MARGIN: 0px auto 10px; WIDTH: 400px; CURSOR: hand; HEIGHT: 257px; TEXT-ALIGN: center" alt="" src="http://1.bp.blogspot.com/_2K9PMyNwVpg/SeXsgguDexI/AAAAAAAAADY/EcchkSdF_K0/s400/dani.bmp" border="0" /><br /><strong><span style="color:#3333ff;">CITA DEL DÍA: "Era tan fe@ que me pasó su foto y la detectó el <span class="blsp-spelling-error" id="SPELLING_ERROR_1">antivirus</span>"</span></strong>Dani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-7768625414616001412009-04-10T11:19:00.001-07:002009-04-10T12:16:16.479-07:00Metadatos ? pérdida de tiempo....<div align="justify">Ayer veía <a href="http://www.elpais.com/articulo/internacional/Dimite/jefe/antiterrorista/Scotland/Yard/mostrar/documentos/secretos/elpepiint/20090410elpepiint_4/Tes">esto</a> en las noticias de la caja tonta y la verdad es que me quedé bastante sorprendido. Realmente hay un problema grave de concienciación en materia de seguridad. Lo peor de todo es que en este tipo de "personajes" es algo imperdonable. En su defensa hay que remarcar que tras el desliz ha actuado con un alto grado de responsabilidad y ha dimitido de inmediato.<img id="BLOGGER_PHOTO_ID_5323135664134314818" style="DISPLAY: block; MARGIN: 0px auto 10px; WIDTH: 400px; CURSOR: hand; HEIGHT: 294px; TEXT-ALIGN: center" alt="" src="http://4.bp.blogspot.com/_NiRKri1-Wzc/Sd-Tru_wW0I/AAAAAAAAALU/NBVFXysFgQs/s400/documentos.jpg" border="0" /> <div align="justify"></div><div align="justify"></div><div align="justify"></div><div align="justify">Además, ya tuvieron <a href="http://www.elperiodico.com/default.asp?idpublicacio_PK=46&idioma=CAS&idnoticia_PK=509242&idseccio_PK=1007">experiencias idénticas</a> no hace mucho.......</div><br /><div align="justify"></div><img id="BLOGGER_PHOTO_ID_5323141928619388242" style="DISPLAY: block; MARGIN: 0px auto 10px; WIDTH: 252px; CURSOR: hand; HEIGHT: 400px; TEXT-ALIGN: center" alt="" src="http://3.bp.blogspot.com/_NiRKri1-Wzc/Sd-ZYYBYrVI/AAAAAAAAALc/sxLU0THgZaE/s400/documentos2.jpg" border="0" /> <div align="justify"></div><div align="justify"> </div><div align="justify">Como dice aquel dicho, el hombre/mujer es el único animal que tropieza 2 veces (y más!!) con la misma piedra........ De seguir así no vale la pena preocuparse en recuperar metadatos de documentos y demás, nos ponen la información en bandeja.</div></div><div align="justify"><br /><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La seguridad es como Dios, no existe ......"</span></strong></div></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-56975019954103134062009-04-06T09:09:00.001-07:002009-04-06T09:22:19.948-07:00Todo por vosotros!<div align="justify"> Después de recibir una cantidad enorme de mails pidiéndonos una recopilación de las citas del día que se encuentran en cada entrada, la hemos hecho.</div><br />A disfrutar!!<br /><br />1.- Cuanto más inseguro te sientes más seguro te haces<br />2.- El umbral de seguridad aceptable no existe<br />3.- Los mecanismos de cifrado únicamente retardan lo inevitable<br />4.- La seguridad, ¿se quiere o se necesita?<br />5.- Confianza no es sinónimo de seguridad<br />6.- Mi seguridad empieza donde empieza la tuya<br />7.- No desearás el firewall del prójimo<br />8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción<br />9.- La seguridad es directamente proporcional a los incidentes sufridos<br />10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí<br />11.- Cuidado con lo que te entra por detrás, en informática también<br />12.- La puerta de la cocina sólo debe abrirse desde dentro ........<br />13.- Si tu sigues ahí, nosotros seguiremos aquí<br />14.- ¿Concienciar o imponer?, esa es la cuestión<br />15.- Los límites de la privacidad los establece cada uno<br />16.- La seguridad de la contraseña radica en el propio usuario<br />17.- Los logs ponen a todos en su sitio<br />18.- La seguridad es un puzzle en el que siempre falta una pieza<br />19.- La integridad y la confiabilidad no son sinónimos<br />20.- La seguridad de la información empieza por la formación<br />21.- La gestión de la seguridad debe ser tanto top-down como down-top<br />22.- La seguridad es idéntica a un tornillo sin fin<br />23.- La seguridad es un iceberg y sólo controlamos la parte visible<br />24.- La fuga de información es controlable, pero ¿y la entrada?<br />25.- Los datos son el escalón previo a la información<br />26.- Paquete rechazado, ¿amenaza resuelta?<br />27.- La seguridad es tan volátil como el mercado de valores<br />28.- Para los pesimistas no existe el concepto de seguridad<br />29.- Los PCN funcionan siempre antes de activarse, una vez activados ......<br />30.- La unión hace la fuerza<br />31.- Me siento seguuroooooooooo!!!<br />32.- En seguridad no hay margen de maniobra<br />33.- La anticipación es una buena aliada de la seguridad<br />34.- ¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarseDani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com2tag:blogger.com,1999:blog-842360509098056917.post-25556768555829763192009-04-02T07:20:00.000-07:002009-04-02T07:23:46.702-07:00Prueba de campo<div align="justify"> Hartos estamos, los que nos dedicamos a la seguridad de la información, de repetir la importancia sobre la protección de nuestros datos, hasta el extremo muchas veces de aburrir/cansar (hay que reconocerlo).<br /><br /> El otro día (bueno, hace ya 2 semanas, pero por estar hasta arriba de trabajo no he podido dedicarle tiempo a este hobby) me encontré por la calle un ordenador tirado, en bastante mal estado. Fruto de las ganas de investigar, y de ver como estaba ahí, impasible, el disco duro, me puse manos a la obra. Los cables no fueron problema, pero los tornillos.... es lo malo de no llevar herramientas encima habitualmente. Después de hacer varias pruebas con las llaves, la tarjeta de crédito, etc... conseguí hacerlo mío. Ahora venía lo más divertido.<br /><br /> Gracias a un adaptador externo de HD lo conecté a mi ordenador. ¿Estaría cifrado el HD? jajajaja, seguro que sí. Ahí estaba todo el árbol de ficheros, ahora había que centrarse en qué mirar. Un repaso rápido y podemos sacar diversas conclusiones. Era el único disco duro que poseía ese ordenador (tal vez si hubiera dispuesto de dos, el primer "ladrón" se los hubiera llevado ambos...), como no, usuario habitual del emule, con el incoming casi vacío, aquí vuelvo a imaginar, que antes de tirarlo sufrió problemas con el ordenador y se decidió a borrar cuantos más archivos mejor.<br /><br /> Existe una carpeta llamada documentos (no entiendo por qué la gente no utiliza la habitual y por defecto de Mis Documentos y crean otra paralela, pero esto ya será debate en otro post...). Que hay dentro? Pues bien, unos recibos de nómina escaneados (pobrete, es mileurista....), de aquí ya podemos extraer su sueldo, nombre, DNI, número de cuenta, empresa en la que trabaja, etc... Recibos de otra persona (fémina) escaneados, ummmm, ¿tal vez para pedir un préstamo o hipoteca al banco? Los apellidos no coinciden, a falta de pruebas, en mi imaginación pasan a ser pareja.</div><div align="justify"> </div><div align="justify"> Dentro de la carpeta Documentos hay otra, llamada Fotos (no voy a repetir lo de la carpeta Mis Imágenes...), dentro de ésta, fotografías de... si si, Tenerife, no era reconocible por la playa, pero ver el Teide ha sido definitorio. Se van alternando, pero en casi todas salen las mismas dos personas, un hombre, le hecho unos 28-30, y una chica, de unos 25-26 (a ojo de buen cubero). Sigo mirando fotos. Ummm, coche nuevo pareja!! la verdad es que para ser mileuristas no han tenido reparos... Podrían estar las nóminas escaneadas para financiar el coche? (Se me está cayendo la teoría de la hipoteca)<br /><br /> Pero el documento definitivo es : CVXXXXX (dónde XXXX es el nombre de la señorita). Todo lujo de detalles, la verdad es que en cuanto a datos personales el currículum es bastante extenso. Me sirve para saber que no están casados, ¿vuelve a cobrar sentido la hipoteca? Como dirección consta la calle contigua a donde encontré el disco duro.<br /><br /> Continué con el escaneo, y las cosas que encontré seguían este patrón. Sirva esta entrada como recordatorio acerca de lo que debemos hacer antes de tirar un ordenador a la basura, darlo, venderlo o cualquier cosa que suponga un traspaso. No vamos a entrar a detallar qué cosas son, porque todos las sabemos.<br /><br />P.D.: No, no había fotos guarras, que os veo venir.... (eso significaría que el ordenador es de ella ¿no?)</div><div align="justify"> </div><div align="justify"> </div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA : "¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse"</span></strong></div>Dani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-79510522688625620352009-04-01T08:51:00.000-07:002009-04-01T08:58:09.347-07:00LA INEVITABLE CURIOSIDAD DEL SER<p align="justify">Leyendo <a href="http://www.infosecnews.org/pipermail/isn/2009-April/017627.html">esta noticia</a>, bastante relacionada con <a href="http://eddasec.blogspot.com/2009/03/donde-esta-el-limite.html">esta otra</a>, he de reconocer que es una situación bastante compleja y de difícil solución. La verdad es que es un enorme problema cómo discernir o discriminar cuándo el acceso a una información, formalmente autorizado, está o no justificado.</p><p align="justify">Voy a partir de la base de que si alguien actúa de forma decidida y con actitud maliciosa (interés económico, provocar daños de forma premeditada, etc.) poco se puede hacer. Personalmente creo que en la inmensa mayoría de ocasiones en las que alguien accede a información de forma injustificada se debe a motivos bastante inocentes e inherentes a la conducta humana. Los más habituales acostumbran a ser:</p><ul><li><div align="justify">simple curiosidad puntual en momentos de ocio pasajero y/o circunstancial. Me gustaría comentar que hay personas que estos momentos son bastante prolongados y la dedicación es mayor ;-)</div></li><li><div align="justify">por el irrefrenable morbo que provoca saber determinado aspecto de la vida de otro u otra, poco que comentar no ?</div></li><li><div align="justify">algún "extraño" interés (por ejemplo amor, celos, etc.), ya sabéis que uno se ciega en estos casos y se comporta de forma irracional ....</div></li></ul><p align="justify">En resumen, podéis comprobar que están muy relacionados con el comportamiento humano y normalmente se llevan a cabo de forma casi inconsciente (quizás ese sea el mayor problema, falta de concienciación en materia de confidencialidad y privacidad de la información).</p><p align="justify">En primera persona he vivido algunos casos interesantes aunque éstos estaban centrados en "personajes" famosos, llamémosles VIP. Para este tipo de entes es más fácil tratar el problema puesto que la información está muy localizada y los controles se pueden particularizar bastante (niveles de confidencialidad y de restricción de acceso muy detallados). </p><p align="justify">No obstante, desde mi particular óptica considero igual de improcedentes los accesos (o intentos) injustificados a información de personas "relevantes" como los accesos a la de personas "anónimas". En ocasiones, esas típicas charlas de pasillo comentando tal o cual cosa, comportan más de un problema convirtiendo ese "inocente y desinteresado" acceso a una información en una enorme bola de nieve, u otra sustancia, cuesta abajo.</p><p align="justify">En el entorno sanitario es una práctica muy grave puesto que el acceso y posterior mal uso, intencionado o involuntario, de este tipo de información puede acarrear serios perjuicios. Lamentablemente, este problema es independiente de la tipología de información accedida y se da en cualquier otro sector. Por poner algunos ejemplos prácticos y que con toda seguridad se dan cada 10 segundos aproximadamente:</p><ul><li><div align="justify">empleado de banca que tiene curiosidad por saber si determinada persona que acaba de conocer es cliente de la entidad, y por consiguiente cuantos dineros tiene ?</div></li><li><div align="justify">empleado de RRHH (o informático con privilegios de admin, ummmmm suena mal no?) con una enorme curiosidad por saber cuanto cobra determinada persona, habitualmente el objetivo en primera instancia es el jefe supremo y/o el compañero de la mesa de al lado</div></li><li><div align="justify">empleado de una operadora de telecomunicaciones que sospecha de su novia y "consulta" el registro de llamadas de ésta .....<br /></div></li></ul><p align="justify">Relacionado con lo antes descrito no puedo más que sonreír cuando determinada información únicamente puede ser facilitada si hay un requerimiento judicial previo, recordáis <a href="http://eddasec.blogspot.com/2009/03/espartanos-aaauuuu.html">esto</a>? Lástima que no tenga ningún/a conocido/a en la compañía de telefonía móvil........</p><p align="justify">Soluciones ? sinceramente creo que no hay ninguna que sea aplicable en la vida real (autorizaciones bajo demanda y previamente justificadas?, monitorización on-line de accesos y contrastar necesidades?, etc.). Quizás el único camino posible sea insistir en la concienciación de la gente y apelar a su propia responsabilidad.</p><p align="justify">Para finalizar, sólo señalar que los casos que han motivado esta entrada, y asumiendo la falta de malintencionaldad, encuentro desmesuradas y fuera de lugar las sanciones aplicadas.</p><p align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La anticipación es una buena aliada de la seguridad"</span></strong></p>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-42116796518815573532009-03-31T12:03:00.000-07:002009-03-31T13:45:44.288-07:00Como está el patio ......<div align="justify">Por un lado tenemos:</div><ul><li><div align="justify"><a href="http://www.kriptopolis.org/adios-google">Adiós Google</a></div></li><li><div align="justify"><a href="http://www.kriptopolis.org/si-no-pueden-googleen">Si no pueden, <span class="blsp-spelling-error" id="SPELLING_ERROR_0">Googleen</span></a></div></li><li><a href="http://www.kriptopolis.org/si-pueden-no-googleen">Si pueden, no <span class="blsp-spelling-error" id="SPELLING_ERROR_1">Googleen</span></a></li></ul><p>y por otro:</p><ul><li><a href="http://www.enriquedans.com/2009/03/el-sindrome-de-diogenes-y-el-correo-electronico-en-el-pais.html">Viva Gmail</a></li><li><a href="http://www.enriquedans.com/2008/10/trucos-para-quien-depende-de-gmail.html">Depender de Gmail</a></li></ul><div align="justify">Obviamente, el debate está servido. Hay muchísimas referencias más a este tema en infinidad de sitios pero tampoco es plan de recopilarlas todas, creo que la esencia está clara, además llega un momento que el debate aburre. La verdad es que los extremos opuestos siempre me han atraído, soy así de simple y para mi no hay demasiados puntos medios. Ambos puntos de vista son totalmente respetables pero es precisamente esta contraposición lo que me llama la atención. El bien y el mal, <a href="http://es.wikipedia.org/wiki/Yin_y_yang">el <span class="blsp-spelling-error" id="SPELLING_ERROR_2">Ying</span> y el <span class="blsp-spelling-error" id="SPELLING_ERROR_3">Yang</span></a>, el blanco y el negro, ..... </div><div align="justify"></div><div align="justify">Llegados a este punto la verdad es que poco se puede hacer, personalmente creo que son posturas totalmente antagónicas y difícilmente pueden converger, al menos a día de hoy....... (me estoy refiriendo a las posiciones no a los postulantes de ellas).</div><div align="justify"></div><div align="justify">Está claro que si tuviera que posicionarme por alguna opción lo haría por la visión más "paranoica" y a la vez más cercana a la realidad, creo yo vamos. La otra vertiente me resulta, sin acritud, demasiado cercana a los Mundos de <span class="blsp-spelling-error" id="SPELLING_ERROR_4">Yupi</span> y que todo es maravilloso (debajo de la nubes está la tierra y de vez en cuando conviene darse un paseo por ella). Quizás en estos momentos este tipo de "discusiones" pueden sonar a medio coña pero en un futuro no muy lejano me temo que tendremos que empezar a preocuparnos un poquito, unos más que otros claro.... supongo que la conclusión está en el valor que le das a tu <span class="blsp-spelling-error" id="SPELLING_ERROR_5">privacidad</span>, es así de simple.</div><div align="justify"></div><div align="justify">Y no sólo es la omnipresente Google, si fuera así de fácil...... También está <span class="blsp-spelling-error" id="SPELLING_ERROR_6">feisbuk</span>, <span class="blsp-spelling-error" id="SPELLING_ERROR_7">twitter</span>, <span class="blsp-spelling-error" id="SPELLING_ERROR_8">tuenti</span>, <span class="blsp-spelling-error" id="SPELLING_ERROR_9">youtube</span>, <span class="blsp-spelling-error" id="SPELLING_ERROR_10">flickr</span>, etc. Yo creo que mucha mucha gente está esperando como loca que alguien empiece a correlacionar datos de todos estos "inventos" y empiece a generar perfiles ...... lo que hacen en la serie "<a href="http://es.wikipedia.org/wiki/Criminal_Minds">Mentes criminales</a>" es un juego de niños comparado con lo que está por venir :-).</div><div align="justify"></div><div align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "En seguridad no hay margen de maniobra"</span></strong></div>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0tag:blogger.com,1999:blog-842360509098056917.post-23016400829088245522009-03-30T05:32:00.000-07:002009-03-30T07:08:38.018-07:00Firma tú que a mí me da la risa!!<div align="justify">- "Dani, Dani, que he intentado hacer un amago de migración a Vodafone para ver si mi compañía me regalaba un movil mejor, y ahora no se cómo cancelarlo!"<br /><br />- "No hay problema, entremos en la página de Vodafone y lo anulamos, seguro que hay una pestaña, un número de teléfono, algo..."<br /><br />Et voilà!!! </div><div align="justify"></div><img id="BLOGGER_PHOTO_ID_5318958393323981378" style="DISPLAY: block; MARGIN: 0px auto 10px; WIDTH: 400px; CURSOR: hand; HEIGHT: 260px; TEXT-ALIGN: center" alt="" src="http://1.bp.blogspot.com/_2K9PMyNwVpg/SdC8ekkoikI/AAAAAAAAADQ/DxJjS2kIHAE/s400/vodafone2.bmp" border="0" /> URL : <a href="http://www.vodafone.es/cancela/">http://www.vodafone.es/cancela/</a> <p align="justify">Que gran sorpresa, un formulario en el que tienes que firmar lo mejor que puedas con el ratón. Aparte de la dudosa legalidad que pueda amparar este funcionamiento, no me quiero imaginar la cantidad de firmas estrambóticas que pueden aparecer...<br /><br /><br />En lo referente a seguridad, espero que no haya algún gracioso, que después de comentarle mi portabilidad, y sabiendo mi DNI, algo no muy complicado, quiera cancelarme sucesivamente el cambio....<br /><br /><span style="color:#3333ff;"><strong>CITA DEL DÍA: "Me siento seguuroooooooooo!!!"</strong></span> </p>Dani Puentehttp://www.blogger.com/profile/16329974958945482044noreply@blogger.com1tag:blogger.com,1999:blog-842360509098056917.post-24960185185000280972009-03-27T05:32:00.000-07:002009-03-27T05:34:01.203-07:00Asociación Profesional Española de Privacidad (APEP)<p align="justify">Muy brevemente os hago extensible que en <a href="http://www.linkedin.com/">linkedin.com</a> se está gestando una asociación de profesionales relacionados con la privacidad de la información.</p><p align="justify">El correspondiente grupo lo podéis encontrar <a href="http://www.linkedin.com/groups?home=&gid=1791530&trk=anet_ug_hm&goback=%2Ehom">aquí</a> (obviamente tenéis que estar registrados en esta red profesional).</p><p align="justify">Desde aquí animo a todos l@s interesad@s a que participéis en ella. </p><p align="justify"><strong><span style="color:#3333ff;">CITA DEL DÍA: "La unión hace la fuerza"</span></strong></p>Edgardhttp://www.blogger.com/profile/13136511716591955944noreply@blogger.com0