Estimados lectores, el post de hoy parte del artículo “Privacy and Security, Security Risks in Next-Generation Emergency Services” escrito por Hannes Tschofenig [ver enlace $] y publicado en Communications of the ACM el pasado noviembre. En éste trataremos de plantear estudiar las implicaciones que conlleva la evolución del servicio 911 de un entorno “analógico” a un entorno “digital” 2.0.

La arquitectura a alto nivel de esta versión 2.0 del servicio 911 fue aprobada en Junio por la National Emergency Number Association (NENA), el nombre elegido es arquitectura “i3” y en ella básicamente se detallada cómo interactúan las redes y servicios para dar soporte a los ciudadanos. Dicha evolución conlleva una serie de riesgos propios de las nuevas tecnologías a soportar tales como los inherentes a la infraestructura del VoIP, o el uso de redes sociales.

Estimados lectores, estoy seguro que todos ustedes conocen la tan socorrida en presentaciones Directiva 95/46/CE, del 24 de octubre de 1995, respecto a la protección de las personas en cuanto a los tratamientos de datos personales. Aprovechando que últimamente la Comunidad Europea está en boga, me gustaría resumir una entrevista realizada en la web VR-ZONE a Sophie Kwansy, secretaria del Comité Consultivo del Consejo Europeo sobre protección de datos.

Sophie Kwansy pone de manifiesto la necesidad de redefinir y actualizar el convenio europeo de protección de datos en vigor, el cual data de 1985, dado que la situación actual ha variado significativamente. Tal y como en la propia entrevista comenta “no existía internet, ni facebook que albergará información personal, ni google que dispusiera de los datos de búsqueda de los usuarios, ni Sony que hackear”. En la convención se incluye a 43 países, de los cuales 27 son estados miembros de la UE y donde cabe destacar la posición de Estados Unidos como mero observador y no partícipe del convenio, alegando importantes diferencias en la forma de afrontar este aspecto (ahora mismo me viene a la cabeza algún libro de Orwell cuyo nombre no recuerdo…).

Estimados lectores, espero que me permitan un post un tanto atípico y no especialmente relacionado con la seguridad pero si con las TIC. A estas alturas de la mañana todos ustedes estarán al tanto de lo sucedido; esta mañana fallecía Steve Jobs, fundador de Apple, con lo que el sector de las tecnologías de la información ha perdido uno de los grandes visionarios de la actualidad, hasta el punto de que en muchos lugares lo equiparan con Thomas Edison. Eso tan solo el tiempo lo dirá.

Por mi parte diré que no soy un consumidor de productos Apple (no por ninguna razón en especial) y no he seguido la carrera de Steve Jobs muy de cerca, así que en un primer momento pienso que Steve Jobs puede dar una imagen un tanto altiva y distante. Sin embargo ayer por casualidad vi un video en el que pronunciaba un discurso especialmente emotivo sobre su vida en la universidad de Stanford. En este discurso se veía a una persona cuya vida ha sido dirigida por una voluntad inquebrantable y una pasión irrefrenable por su trabajo, alguien que no solo ha transcendido a todos los problemas que ha encontrado a lo largo de su vida sino que ha sabido sacar partido de estas situaciones.

Como él mismo dijo en este discurso: en la vida se trata de conectar puntos…

Estimados lectores, a raíz de un reciente proyecto, he podido conocer el significado de la palabra Exitus. Probablemente muchos de ustedes conocerán el significado de esta palabra, pero para los no estén familiarizados con el término éste se emplea en el ámbito medico para hacer referencia a historias clínicas de pacientes que han terminado en la muerte de un individuo.

Este post trata de desarrollar este escatológico término en el ámbito de las TI; es decir, que sucede con la información de un individuo tras su defunción.

Con independencia de las calificaciones morales o éticas que tenga el uso indebido de la información relacionada con un difunto, desde un punto de vista actual con respecto al tratamiento de esos datos por parte de la LOPD, en el informe 61/2008, Aplicación de la normas de protección de datos a los datos de personas fallecidas, de la AEPD, se indica

(Continuamos hoy con la segunda y última entrega de la entrevista a Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, cuya primera parte publicamos el pasado viernes)

7. ¿La Diputación está contemplando la posibilidad de un proyecto de adecuación conjunto para Ayuntamientos?

(Continuando con la serie de entrevistas que comenzamos con Dña. Lourdes Herrero, hoy presentamos la primera parte de la entrevista a D. Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, el cual se ha ofrecido a darnos su propia perspectiva de la seguridad de la información en el ámbito de sus competencias enfocadas al novedoso Esquema Nacional de Seguridad)

Eusebio Moya es Licenciado en Derecho por la Universidad de Valencia, habiendo cursado Master en Nuevas Tecnologías de Gestión en la AAPP, contando en su haber con diversas certificaciones en materia de seguridad como CISA y ACP. El grueso de su actividad se ha desarrollado en la Diputación de Valencia, donde ha desarrollado su carrera desde 1987, inicialmente como Técnico en informática, posteriormente como Responsable de Seguridad de Sistemas de Información y actualmente como Jefe de la Unidad de Protección de Datos.

Entre sus muchas funciones la Diputación de Valencia ofrece servicios a los ayuntamientos situados en su ámbito de actuación.

1. Eusebio, a modo de introducción ¿Cuál es la función que desempeña la Unidad de Protección de Datos en la Diputación de Valencia?

La Unidad Técnica de protección de datos nació con la vocación de capitalizar el impulso, dirección y supervisión del conjunto de obligaciones que para la organización suponía el cumplimiento de la normativa sobre protección de datos. De hecho, este modelo centralizador y especialista en la materia fue pionero en el ámbito de la Administración Local o, tal vez, en el conjunto de las AAPP.

Actualmente, y a consecuencia de la normativa sobre administración electrónica, hemos ido incorporando nuevas funciones, como las derivadas del Esquema Nacional de Seguridad, al considerar que las mismas tienen muchos puntos de comunicación con la protección de datos personales y, sobre todo, por aprovechar las ventajas que nos proporciona un modelo organizativo basado en la centralización y especialización citadas, que nos permite conciliar y aunar las diferentes normativas, los procedimientos y los recursos internos.

A estas alturas de la película todos somos conscientes del encarecimiento del Kw; sin entrar en discusiones sobre la bondad de las renovables, el mantenimiento de Garoña y disquisiciones de carácter político, el coste energético asociado a IT no es algo a infravalorar. Aunque este no es un tema específicamente relacionado con la Seguridad de la Información, voy a hacer una pequeña “parada” en la temática habitual para hablar, cómo no, de Green IT.

Lo primero que hay que decir es que aunque este término ha cobrado mayor importancia en los últimos años, no se trata una nueva corriente New Age, sino que hace referencia a la optimización de recursos IT para reducir el consumo energético, reducción de huella de carbono, etc. En definitiva, el Green IT intenta hacer de las IT algo más “ecológico y sostenible”, o lo que es lo mismo ahorrar en la factura de la luz de su empresa. A su favor podemos destacar que tiene un retorno de inversión tangible inmediato, lo que es una ventaja sobre muchas inversiones en TI a la hora de conseguir la aprobación de la dirección —siempre resulta interesante para gerencia la palabra ahorro—, aunque el coste de inversión es considerable.

Hace unos días leí una noticia que me llamo la atención; por lo visto, algún trabajador de Google había filtrado a la prensa un comunicado interno (el cual indicaba expresamente que era confidencial) donde se informaba sobre un aumento del 10% del sueldo a todo la plantilla de Google y la recepción de una paga extra de 1000 $ (yo pensé mira que majos :) ). Un día más tarde al hilo de esta noticia aparecía una nueva, en la cual se informaba acerca del despido de la persona que había filtrado la información, que ya no podría disfrutar de ese aumento de sueldo.

Esto me hizo reflexionar en que a menudo los empleados firman acuerdos de confidencialidad o NDA (Non-disclosure Agreements), ya sea por la LOPD, por SGSI, por política propia de empresa o por exigencias de un proveedor o cliente, sin que la mayoría sean conscientes de las consecuencias personales que puede tener la violación de dichos acuerdos de confidencialidad; simplemente firman porque hay que firmar. No obstante, existen unas obligaciones en cuanto a la confidencialidad inherentes a cualquier relación contractual.

(N.d.E. Nada más volver del pasado verano hicimos una analogía entre la función de la norma ISO 27001 en seguridad de la información y el cinturón de seguridad en seguridad del automóvil. En ella “prometíamos” hacer un repaso a los “anclajes” de ISO 27001, en especial al Anexo A de ISO 27002. Recuperamos dicha serie con esta primera entrada de Antonio Huerta, que habla del Dominio de Control 8: Seguridad relacionada con Recursos Humanos)

Estimados lectores, muy frecuentemente el primer pensamiento por parte de las empresas a la hora de afrontar la seguridad viene marcado por fuertes inversiones, como pueden ser costosas soluciones en infraestructura de red (IDS, Firewall), la compra de antivirus centralizados, suites de ServiceDesk, o laboriosos proyectos de consultoría. Si bien acometer dichas proyectos o compras de este tipo es un requisito para la consecución de cierto grado de seguridad empresarial, no resulta ser la panacea a la totalidad de los problemas de seguridad.

Cuántas veces han visto ustedes o incluso han empleado en presentaciones la frase: la cadena es tan fuerte como su eslabón más débil. Todos a estas alturas sabemos cuál es el activo que genera mayor riesgos a una empresa y que a menudo no contemplamos en nuestros análisis de riesgos: el empleado. De poco sirve que tengamos las medidas más sofisticadas, si mediante un simple correo electrónico cualquier empleado puede enviar informes clínicos a cualquier persona, no es consciente del problema de tirar los curricula de los candidatos descartados a un contenedor de basura cualquiera o se instala un programa P2P y comparte por descuido el contenido total del equipo. Dejando de lado problemas más graves que involucran a personal responsable o con privilegios de administración a los equipos.

Apreciados lectores, me voy a alejar un poco de la temática de mis anteriores publicaciones, más enfocadas a aspectos organizativos de la seguridad, y en esta publicación hablaré sobre el uso de sistemas proxy cache para optimizar el uso del ancho de banda de red. Como introducción a los proxys, decir que básicamente se trata de un servidor que hace de intermediario en la conexión entre un cliente e Internet. Los proxys se emplean en distintos ámbitos y con distintas funcionalidades como puede ser seguridad (filtrado) o mejora de las prestaciones de las comunicaciones, entre algunas otras. Este artículo se centrará en los servidores Proxy Cache que permiten optimizar el uso de ancho de banda, reducir latencias y por lo general hacer un uso más racional de los recursos disponibles.

El funcionamiento de un proxy cache es el siguiente: cuando un cliente realiza una petición a un servidor web, en la que genera X peticiones a todos los objetos que componen dicha web, la petición llega al proxy, que revisa su cache para comprobar si dispone de los objetos que se van solicitando. En el caso de que el objeto buscado se encuentre en cache, el proxy verifica que no ha expirado: que el objeto se corresponde con el actual, y en ese caso se produce un HIT y el sistema devuelve al cliente el objeto en cuestión. Si por el contrario el objeto buscado no se encuentra en cache o la versión encontrada no está actualizada, se produce un MISS en cache, tras lo cual el proxy descarga el elemento solicitado y lo sirve al cliente.