Aunque les prometimos que el pasado viernes publicaríamos las entradas al primer consultorio LOPD de Security Art Work, la carga de trabajo de la semana pasada ha hecho que tuviésemos que retrasarlo hasta hoy. Aunque la participación ha sido ligeramente inferior a la esperada, hemos intentado unificar las preguntas en la medida de lo posible, de modo que quedasen cubiertas el máximo número de consultas. Como disclaimer previo, simplemente decir que las respuestas dadas a las consultas son según nuestro mejor saber y entender, independientemente de que un estudio pormenorizado de algunas de las situaciones personalizadas pudiera generar una respuesta diferente.

Espero que les haya resultado útil e interesante, y les emplazamos para la siguiente sesión, de fecha todavía por definir. Sin más dilación, les dejo con la parte interesante de la entrada…

La semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

Hace un rato he bajado la última versión del navegador Opera, concretamente Opera 10 Beta, en base a las noticias que dicen que es más rápido, más estándar, y más todo. Lo es, casi puedo asegurarlo. Incluida la parte del “todo”, y eso no siempre es bueno.

La cuestión es que dicho navegador tiene un modo “Turbo”, que se activa pinchando en un icono que hay en la esquina inferior izquierda. Quizá esto no sea nuevo para los usuarios habituales de Opera, pero sí lo es para mí. Accediendo al blog a través de Opera, me doy cuenta de que el acceso no aparece proveniente de mi IP privada, sino como procedente de la IP 94.246.126.147. Qué raro. Indagando lo mínimo, veo que:

¿Se han preguntado alguna vez cual es el activo más importante de una organización?

Creo que estaremos de acuerdo que el primero y más estratégico son las personas (sin ellas una organización no funcionaría), pero el segundo y unido a ellas de forma indivisible, es su conocimiento y experiencia, ya que sin ésta, la persona carece de valor estratégico y por lo tanto no es un activo crítico (duro pero real como la vida misma). ¿Qué es el conocimiento y la experiencia sino el conjunto de sucesos e información aprendidos y procesados por una persona a lo largo de su vida/carrera? Por algún motivo extraño, tanto los sistemas de la gestión de prevención de la seguridad y salud en el trabajo (SST), OHSAS 18002:2002, como el sistema de gestión de la seguridad de la información (ISO 27001:2005) contemplan de forma disociada esta realidad, siendo éstas disciplinas las únicas que velan por la seguridad en aras de minimizar los riesgo que afectan a la integridad de las personas y la información.

El Nmap Scripting Engine (NSE) es una potente funcionalidad del Nmap que permite la ejecución de scripts, que además permite que los usuarios puedan escribir y compartir scripts para realizar multitud de tareas. El propio Nmap en sus últimas versiones incorpora varios scripts, algunos de los cuales me han resultado muy útiles últimamente. Las tareas que se pueden realizar con el NSE se agrupan en:

• Descubrimiento de red.
• Detección de versiones de servicios mejorada.
• Detección de vulnerabilidades.
• Detección de gusanos y backdoors.
• Explotación de vulnerabilidades.

No me cabe duda de que todos ustedes conocen Facebook. Otra cosa es que lo utilicen de manera asidua; yo personalmente todavía no le acabo de encontrar el gusto. La cuestión es que como saben, si buscan ustedes a alguien dentro de esta red social, no es “amigo” suyo y el perfil de la persona no es público, sólo verán lo siguiente:

En una charla a la que asistí hace unos meses sobre continuidad de negocio, uno de los ponentes clasificaba los métodos que existían a la hora de afrontar la materialización de un escenario de siniestro en los siguientes:

• Método israelí: atajar el problema como sea (“enemigo muerto, trabajo bien hecho”).
• Método americano: desplazar a un técnico al campo de trabajo y hacer un procedimiento. A partir de ese momento el procedimiento es sagrado.
• Método británico: el que se desplaza es un segundo del técnico (vestigios del Imperio…).
• Método español: Vamos y lo intentamos arreglar. Después, si podemos, haremos el informe, y el procedimiento….uff, eso ya veremos.

El pasado 15 de Mayo dos miembros del equipo de seguridad lógica de S2 Grupo nos desplazamos a Barcelona para asistir al V OWASP Spain Meeting, donde como siempre pudimos asistir a conferencias de gran interés con ponentes de muy alta calidad:

1. Sintonizar la función de seguridad con el negocio (PDF). Alberto Partida, miembro del Advisory Board de SANS Institute y poseedor de un impresionante curriculum de certificaciones GIAC (entidad de certificación del SANS Institute), nos explicó la manera de compatibilizar los requisitos de seguridad con las necesidades del negocio, y nos explicó algunos trucos para aprender a mostrar la información a los directivos no tecnólogos de tal manera que entiendan a que riesgos se exponen, y nada mejor que ejemplificarlo con ejemplos de incidentes “sonados”. Una charla muy útil para cualquiera que se encuentre en una empresa no tecnológica o que ofrezcan servicios a empresas no tecnológicas.

Con este post me gustaría comenzar una serie sobre seguridad (problemas, situación, etc.) en sectores específicos de negocio: telcos, museos, espectáculos deportivos… Para empezar, he elegido el sector financiero por varios motivos: en primer lugar, es un sector que creo conocer -más o menos- debido a diferentes proyectos en los que he participado, de problemáticas y tipos diversos (seguridad lógica, convergencia, consultoría…). En segundo lugar, considero que el sector bancario -y por tanto su seguridad- es algo que nos afecta a todos y cada uno de nosotros: el que no sea cliente de un banco o caja, vaya de vez en cuando a una sucursal, saque dinero de un cajero, o acceda a sus cuentas a través de internet, que tire la primera piedra.

El departamento de Seguridad de un banco o caja debe enfrentarse a una problemática muy diversa, que va desde la seguridad del papel moneda o la protección del efectivo a la seguridad en la documentación (cheques, órdenes de pago…), pasando por la seguridad informática, en nuevos canales, en medios de pago, la protección de edificios y personas o el blanqueo de capitales. El sector bancario está además fuertemente regulado en materias de seguridad; a diferencia de otros sectores, en banca es obligatoria, por ejemplo, la figura del Director de Seguridad en cada entidad con la responsabilidad, entre otras, de canalizar las relaciones de la entidad con FFCCSE. De la misma forma, son de obligado cumplimiento diferentes normas relativas a cajas de caudales, cámaras acorazadas o blanqueo de capitales que en otros sectores -con excepciones- ni siquiera nos planteamos.

Hasta el próximo viernes 5 de junio a las 15h, Security Art Work inicia el primer consultorio online sobre la LOPD y su Reglamento de Desarrollo, a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 12 de junio.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente. Pueden remitir las preguntas a openlopd@argopolis.es o indicarlas en los comentarios.