Hace unos días leía una interesante entrada de Alonso Hurtado sobre la disparidad de jurisdicciones en relación con las redes sociales, basada a su vez en una entrevista a Natalia Martos, directora del Área Jurídica y Privacidad de Tuenti.

En dicha entrada, Alonso hace una reflexión sobre la diferencia de obligaciones y requerimientos en materia de protección de datos que existe entre Facebook y Tuenti, al someterse a jurisdicciones diferentes, la estadounidense y la europea, siendo la primera mucho más laxa que la primera (y más si tenemos en cuenta que la LOPD es una de las leyes más restrictivas de la UE), y parece abogar por una relajación de las restricciones en materia de protección de datos para evitar la ventaja competitiva de empresas como Facebook frente a Tuenti. Al respecto, es cierto que Facebook y otras empresas extranjeras tienen una ventaja significativa frente al “producto nacional”, pero no creo que se limite a las organizaciones estadounidenses, sino a la práctica mayoría de empresas que operan en Internet con datos de carácter personal; la directiva 95/46/CE da el suficiente margen de libertad para que su aplicación entre unos estados y otros sea significativa, por lo que en la práctica, estamos en desventaja no sólo con los EEUU sino con prácticamente todo el globo terráqueo, dado que la aplicación española de la directiva tiene fama de ser la más (o una de las más) restrictiva de Europa.

Cuando comencé mi carrera profesional como técnico de Sistemas hace algo más de nueve años (hay que ver cómo pasa el tiempo), una de las primeras responsabilidades que me “cayó” encima en mi anterior empresa fue la gestión del sistema de monitorización de la infraestructura TIC propia y de clientes. La situación entonces era muy diferente de la actual. Nagios acababa de nacer a partir de NetSaint, y la madurez de este tipo de software distaba mucho de ser la actual; el sistema que utilizábamos (Big Brother) no era el colmo de la usabilidad, aunque su interfaz era extremadamente intuitivo. Los monitores eran bastante más rudimentarios que hoy en día, pero aun así, conseguíamos saber si las cosas funcionaban, por la cuenta que nos traía; teniendo en cuenta que por aquel entonces alojábamos la web de varios clientes importantes, una caída solía ser la antesala de problemas, así que si además no la detectábamos, imagínense. En definitiva, puede decirse que durante un buen puñado de años, tanto en aquella empresa como en la actual, mis andanzas como informático han estado ligadas entre otras cosas a gestionar sistemas de monitorización.

Aunque hoy en día aún es posible encontrar alguna empresa sin ningún sistema de monitorización TIC básico o uno que “ahí está” pero nadie mantiene ni “escucha”, las cosas han cambiado mucho. Ha habido una mejora significativa al menos en el primer paso: la detección de las incidencias. Ahora ya nadie se extraña de que sea necesario un sistema de monitorización TIC que al menos nos avise de cuándo el servidor de correo ha dejado de funcionar y así evitar los gritos de la alta dirección. Podría decirse que casi nos felicitamos por ello, como si eso fuese un gran logro. Vamos a dejar de lado aspectos de monitorización más complejos y todo el capítulo de gestión, tratamiento de las incidencias y análisis histórico; aunque debería ser inseparable de lo anterior, seguramente eso es demasiado.

Como ya hicimos el año pasado, aprovechando que hoy es el Día Europeo de la Protección de Datos y como “pasatiempo” entre la entrada de ayer sobre la cualificación de los auditores y la de mañana sobre RFID, me gustaría recordar a todos nuestros lectores lo siguiente:

1. Si usted es una persona, por perogrullada que parezca, recuerde que los datos de carácter personal son, como indica su propio nombre, de la persona. Es decir, sus datos son de usted y de nadie más.

2. Si “usted” es una empresa, recuerde que los datos que gestiona no son suyos, sino de las personas propietarias de éstos, que los han puesto bajo su responsabilidad. Sea coherente con el punto anterior y piense que sus datos también son gestionados por múltiples empresas.

Por hoy, nada más. Pasen una feliz tarde.

Hasta el próximo viernes 29 de enero a las 15h, Security Art Work inicia el segundo consultorio online sobre la LOPD y su Reglamento de Desarrollo (pueden ver las respuestas al primero en la entrada correspondiente), a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 5 de febrero, según nuestro mejor saber y entender.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente (y lo consideremos necesario). Pueden remitir las preguntas por correo electrónico a openlopd@argopolis.es, indicarlas en los comentarios o remitirlas vía mensaje privado al usuario securityartwork de Twitter.

Según parece, el Consejo de Ministros ha aprobado el Esquema Nacional de Seguridad para la administración electrónica del que tanto hemos hablado últimamente (véase I, II y III). El artículo 13 de la primera propuesta de dicho esquema, que aparece referenciado en la página del Esquema Nacional de Seguridad, dice así:

A la vista de esto, y teniendo en cuenta en particular el texto resaltado en negrita…

¿Qué pasa entonces con MAGERIT?

• MAGERIT sí está reconocida internacionalmente. (33%, 22 Votos)
• MAGERIT no está reconocida internacionalmente, pero los autores del borrador del ENS creen o quieren creer que sí lo está. (20%, 13 Votos)
• ¿MAGERIT? ¿Qué es eso? (20%, 13 Votos)
• Esté o no reconocida internacionalmente, se hará como que el artículo 13.2 no existe. (14%, 9 Votos)
• MAGERIT no está reconocida internacionalmente, por lo que según el borrador del ENS no es una metodología válida. (9%, 6 Votos)
• Dentro de X meses, alguien hará una matización sobre esto. (4%, 3 Votos)

Votantes: 66

 Loading ...

A lo largo de mi carrera como estudiante universitario, y más tarde durante mi etapa como técnico de sistemas, me he encontrado a menudo con el tema de debate preferido por el personal técnico —y no tan técnico— de sistemas: Windows vs. Linux. Será que me estoy haciendo mayor para discutir, o que tengo otras preocupaciones, pero lo cierto es que actualmente no es una cuestión que me preocupe lo más mínimo; si quieren saber mi opinión, cada uno tiene sus ventajas y sus desventajas, y el resto es simple miopía (o ceguera, en los peores casos). De cualquier modo, hay veces esta discusión muta y se convierte en una igual de estéril pero mucho más relacionada a mi parecer con la seguridad, que es de lo que he venido a hablar aquí: open source vs. closed source. Es decir, código abierto vs. código propietario (que me disculpen los puristas del lenguaje y de las licencias si la traducción de Open Source no es la mejor).

Y como por lo general los que más ruido arman son los defensores del open source, lo que vengo a criticar es que sus ventajas ni son tantas ni tan buenas como sus partidarios quieren hacer creer. Aun diría más: la etiqueta en cuestión no sólo no garantiza absolutamente nada en términos de seguridad y/o funcionalidad, sino que puede inducir a engaño y una falsa sensación de seguridad, sobre todo en aquellas personas más “creyentes” en la causa. Ya verán.

Aprovechando que es viernes, se acerca la Navidad y para bien o para mal vamos desconectando poco a poco del trabajo, vamos con un par de ejemplos fáciles de cómo no hacer las cosas. Por partes.

Si viven ustedes en Valencia, verán que la Empresa Municipal de Transportes (EMT) ha sustituido las tarjetas de Bono Bús, habitualmente de cartón, por tarjetas de plástico contact less (ignoro los detalles de la tecnología), no sólo mucho más aparentes estéticamente (eso es lo de menos, en realidad), sino que entre otras cosas permiten ser recargadas con más de 10 viajes, y si se registra el soporte, aunque el soporte se pierda los viajes son recuperables (asumo que la tarjeta original deja de funcionar, porque en otro caso la picaresca daría lugar a situaciones del tipo “¿y si perdemos mi tarjeta?”). Además, para facilitar e incentivar la “migración” a los nuevos soportes, si registras el número de la tarjeta llamando al número de atención al cliente de las oficinas centrales de la EMT, el coste de la tarjeta (2 euros), se reembolsa en forma de viajes directamente en la tarjeta. Hasta aquí, bien.

Cuando uno lleva mucho tiempo relacionado con entornos de monitorización y aspectos relacionados, tanto a nivel técnico como de gestión, acaba viendo sistemas susceptibles de ser monitorizados por todas partes (y las implicaciones derivadas). Verán porqué les digo esto.

En mi empresa, S2 Grupo, tenemos una máquina de vending, ya saben, de esas que sirven botes de refrescos, rosquilletas y chocolatinas varias. Ya conocen la estructura: la máquina tiene varios estantes, uno encima del otro, y cada estante está formado por varias filas con diferentes productos; similar a la de la imagen. El problema es que algunos compañeros hemos observado que existe un significativo margen de mejora que podría ser aprovechado mediante un sistema de monitorización y control del consumo de los productos. En realidad, no es que exista margen, sino que parece que no existe ningún tipo de gestión racional del consumo de los clientes. Veamos cuáles son los problemas:

Para hoy, tenemos un par de breves cuestiones relacionadas tangencialmente con la Seguridad de la Información.

En primer lugar, me gustaría presentarles el blog Spring Art Work, un blog mantenido principalmente por nuestro compañero Néstor Tarín, en el que tratará de cuestiones propias de desarrollo en el uso de frameworks —principalmente Spring, tal y como indica su nombre— utilizados para el desarrollo de aplicaciones (java y .Net) de manera cómoda, sencilla y correcta. Se trata de un blog técnico que incluirá artículos de distintos niveles de dificultad, y puede ser útil para comprender conceptualmente el uso de los frameworks presentados desde un perfil no técnico. Inicialmente su periodicidad será semanal, pero probablemente se incrementará a medida que el blog vaya cogiendo velocidad.

En segundo lugar, si llevan algún tiempo siguiendo el blog, sabrán que de un tiempo a esta parte hemos incrementado la frecuencia de publicación hasta hacerla diaria, exceptuando los fines de semana y algún día suelto que la inventiva está por los suelos. No obstante, teniendo en cuenta la relativa densidad de algunas entradas, tenemos cierta curiosidad por saber cuál sería la frecuencia de publicación ideal para nuestros lectores; si estamos llegando, nos quedamos cortos o nos pasamos. De ahí que hayamos creado la encuesta que les muestro debajo.

¿Qué frecuencia de publicación prefieres?

• Una entrada cada dos o tres días. (53%, 19 Votos)
• Una entrada diaria (y sólo una). (31%, 11 Votos)
• Un par de entradas por día (como mucho). (8%, 3 Votos)
• Me da igual, ya que no las leo el día que se publican. (6%, 2 Votos)
• Dos entradas por día, o alguna más de vez en cuando. (2%, 1 Votos)

Votantes: 36

 Loading ...

Mañana continuaremos con la programación habitual.

Con poco que hayan seguido este blog, sabrán que no hacemos un uso comercial de éste, primero porque no nos gusta, segundo porque existe contenido mucho más interesante, tercero porque no es ese el propósito de un blog, y por último porque eso supondría ahogarlo irremediablemente. Dicho esto, no obstante, en este caso nos disculparán si hacemos una excepción, que en mi opinión está justificada.

S2 Grupo ha iniciado un ciclo de conferencias y cursos especializados en la línea del trabajo que desarrolla, y en este sentido, para el próximo mes de diciembre (concretamente, 14, 15, y 16 de diciembre) hemos organizado, en colaboración con New Horizons (actualmente Tecnofor), el segundo curso de formación especializada en ITIL e ISO 20000 con certificación APM GROUP opcional al finalizar la acción formativa. El curso consta de un módulo de Introducción al código de buenas prácticas ITIL, una revisión a la norma internacional ISO/IEC 20000 y un caso práctico de Gestión de Incidencias basado en lo sucedido en el Apollo XIII.