Mañana, sábado 28 de enero de 2012, se celebrará el día de la Protección de Datos en Europa. Es la sexta vez que se celebra desde sus inicios en 2006 y por este motivo queremos tratar algunas cuestiones sobre éste día.

¿De qué trata este evento?

El día de Protección de Datos en Europa es una jornada que tiene como objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos. Esta jornada está respaldada por las autoridades de Protección de Datos de los estados miembros de la Unión Europea (por ejemplo, la AEPD), el Consejo de Europa y la Comisión Europea.

¿Por qué se celebra el día 28 de enero?

El Comité de Ministros del Consejo de Europa eligió esta fecha para conmemorar el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Dicho convenio se firmó el 28 de enero de 1981 y establece las bases para la protección de datos en Europa.

Recientemente he tenido la ocasión de leer un artículo titulado “Risky business” (Leah Hoffmann, Communications of the Association for Computing Machinery). Ya os adelanto que poco o nada tiene que ver con la película con la que comparte nombre y que protagoniza Tom Cruise. Este artículo ha sido publicado en la revista CACM (Communications of the Association for Computing Machinery) y como ya hemos hablado de esta revista en un post anterior, aprovecho para indicar que CACM es una publicación mensual con alrededor de 80.000 suscriptores donde podemos encontrar muchos artículos relacionados con la computación y los sistemas de información.

El artículo en cuestión, Risky Business, trata distintas cuestiones relacionadas con los ataques informáticos. Se citan, a modo de ejemplo, algunos de los ataques más sonados del último año:

No es que sea un fan de Jimmy Jump, pero en esta entrada quiero comentar algunas experiencias personales relacionadas con saltarse controles de acceso. Para evitar dañar la marca/imagen de algunos de los actores que aparecen en el post, voy a evitar incluir nombres de las compañías involucradas en estas historias.

Buenos días, tengo una reunión con nombre_del_jefe

El contexto de esta historia es el siguiente: en el desarrollo de un proyecto comprobamos que los controles de acceso del cliente no eran todo lo estrictos que debían ser, lo comunicamos al personal responsable del control de acceso y ésto dio pie a que pudiéramos hacer pruebas para ver si conseguíamos evitar las medidas de seguridad. Las distintas pruebas se realizaron durante un periodo que duró aproximadamente tres meses.

Hace unos días recibí la revista de ISACA “ISACA Journal Vol. 5 Governance, tying together the three lines of defense”. En esta publicación encontramos un artículo sobre el Risk Governance (en adelante, Gobierno del riesgo). El artículo me pareció interesante pero un poco alejado de la realidad con la que solemos encontrarnos. Si me permitís la expresión, creo que está redactado un poco “a la Americana“. En más de una ocasión, al leer sobre estos temas de gestión “de tan alto nivel” me quedo con una sensación un tanto extraña, es como si esas empresas con increíbles estructuras organizacionales no existieran por aquí. Eso me lleva a preguntarme: ¿tan distintas son unas organizaciones de otras? ¿O simplemente es que usamos distintos términos para referirnos a lo mismo? Gobernar, gestionar, administrar… el lenguaje es caprichoso.

En lo que resta de entrada quiero aportar mi interpretación sobre el artículo “The three lines of defense related to Risk Governance” (Las tres líneas de defensa relacionadas con el Gobierno del Riesgo) procurando ofrecer una visión más cercana y similar a la que nos podemos encontrar en nuestras empresas. Pero antes de centrarnos en el artículo creo que es conveniente revisar algunos conceptos para situarnos en contexto.

¿Han leído COBIT? Es una de esas lecturas ligeras que pueden llevarse a la playa o para descansar a la sombra de un pino. Es más, si se dispone de la edición de bolsillo pueden llevárselo al dentista para amenizar la espera, no hay nada como la prosa de COBIT para pasar un buen rato. ¿¡Qué dice éste chalao!?, habrán pensado los lectores que conozcan COBIT. Estaba sólo bromeando :)

Como ya sabrán, COBIT no es ningún bestseller que podamos llevar a la piscina para pasar un rato entretenido, sino que son las siglas de “Control Objectives for Information and related Technology”. Es un conjunto de mejores prácticas relacionadas con el Gobierno TI que fue creado por ISACA (Information Systemas Audit and Control Association) y por el ITGI (IT Governance Institute). Se han publicado varias versiones de COBIT. La primera versión fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000; y la cuarta edición en 2005, y la versión 4.1 está disponible desde mayo de 2007.

Este tipo de publicaciones, las que agrupan o recopilan “mejores prácticas”, requieren de actualizaciones para no quedarse desfasadas u obsoletas. Era previsible pensar que una nueva edición de COBIT llegaría en “breve” y si todo sigue según lo previsto, la próxima versión de COBIT (COBIT 5) estará disponible a principios de 2012. A medida que se va concretando la última versión, van surgiendo noticias con las novedades que ésta contendrá. De hecho podemos descargar y consultar un primer borrador en el que se destacan los principales cambios que aportará la nueva versión.

Las organizaciones cambian constantemente; es posible que algunas cambien por capricho pero la gran mayoría cambian para subsistir. El origen de los cambios es diverso: algunos tienen que ver con iniciativas internas de la empresa, otros están condicionados por la relación con terceras partes (clientes, proveedores, socios, etc.) y, por supuesto, hay cambios que vienen forzados por el entorno. Por ejemplo, un cambio en el marco legislativo puede forzar a la organización a modificar sus procesos a fin de cumplir los nuevos requisitos regulatorios.

Todos tenemos claro que los cambios, sea cual sea su origen u objetivo, tienen lugar y por lo tanto, se deben gestionar adecuadamente para evitar que éstos repercutan negativamente en la seguridad de la organización.

Me encontraba esperando turno en una peluquería a la vez que escuchaba (inevitablemente) como una de las peluqueras hacía un repaso de las novedades semanales de la prensa rosa. Nada de lo que comentaban parecía salirse de lo habitual, pero de repente escuché: [...] bla bla bla … hacker … bla bla bla [...]. Un momento, ¿he oído bien?, ¿hacker?. No soy especialmente cotilla pero me toca admitir que habían captado mi atención, así que, sin mucho descaro, me colé en la conversación. Estaba claro que no iban a estar discutiendo sobre los avances de la Black Hat 2011, pero aún así me sorprendió que, aun sin ellas saberlo, estuvieran hablando sobre cuestiones relacionadas con la seguridad de la información. ¡Un hacker había robado la foto de Shakira y Piqué! ¡Vaya notición! Un hacker desvelando este “gran secreto”, resulta que Shakira y Piqué están liados… nadie lo hubiera dicho.

Dejando de lado la parte “rosa” de la noticia me sorprende ver el impacto mediático que ha tenido la foto y, por si esto no fuera suficiente, más me sorprende saber que la foto para la exclusiva estaba valorada en un millón de euros (100.000 € según otras fuentes…). Éste parece un buen ejemplo para ilustrar las repercusiones económicas que puede tener una mala gestión de la seguridad de la información.

“Su tasa de alcoholemia supera los límites permitidos, el vehículo queda temporalmente inhabilitado”. ¡Cuánto ha cambiado el panorama en las últimas semanas! Si recordamos la entrada anterior, nuestro vehículo se mostraba en predisposición de llevarnos a casa o a donde nosotros consideráramos oportuno, ahora en cambio, nos impide conducir.

¡Hola de nuevo! Tras un pequeño descanso volvemos con la serie “Abróchense los cinturones”. En nuestra primera entrega hablamos de los sistemas de seguridad disponibles en los vehículos terrestres y los clasificamos en dos grandes grupos. Por una parte tenemos los sistemas de seguridad activa (ABS, EBV/EBD, ESP, etc. ¡uff!, cuántas siglas) y por otra los elementos de seguridad terciaria (cinturones de seguridad, airbag, etc.). A su vez, agrupábamos todos estos sistemas dentro de lo que llamábamos paradigma clásico y planteamos cómo los nuevos sistemas de seguridad propician un cambio de paradigma en el que, para aumentar la seguridad, se delega la conducción en los sistemas.

“Seleccione destino y abróchese el cinturón”. Estas palabras podían ser, en un futuro no muy lejano, las que escuchemos en nuestro coche antes de iniciar un trayecto. Los avances tecnológicos tienen una fuerte repercusión en la evolución de los transportes que usamos día a día, incluidos nuestros vehículos particulares y por tanto, también en lo referente a la seguridad vial.

En la presente entrada me propongo hacer una breve exposición sobre el estado del arte de los sistemas de seguridad que se emplean en los automóviles y ver cómo los avances tecnológicos están propiciando un cambio del paradigma de la conducción. Ya os adelanto que esta entrada no pretende ser una guía técnica sobre los sistemas de seguridad. Empezaré describiendo algunos de los “clásicos” sistemas de seguridad y, posteriormente, hablaremos sobre los sistemas más vanguardistas analizando los beneficios e inconvenientes. El tema que abordamos es extenso y por este motivo, hemos decidido publicar varias entregas.

Hace relativamente poco, buscando algún entretenimiento que me ayudara a salir de la rutina y estando fuertemente influenciado por mi pareja, decidí apuntarme a una actividad que ha resultado ser de lo más divertida: bailar Rock. ¡No me refiero a salir de marcha por locales! Estoy hablando de asistir a clases de baile. Acotando un poco más os diré que bailamos música swing de entre los años 1920 y 1950. Existen distintos estilos de baile relacionados con la música swing: Boogie Woogie, Lindy Hop, Rock´n´Roll, Balboa,… Las clases a las que asisto se centran principalmente en el estilo Lindy Hop.

Para situaros en escena y sin querer entrar en mucho detalle os diré que el Lindy Hop es un estilo de baile popularizado en Nueva York por bailarines afro-americanos en una sala de baile llamada Savoy Ballroom. El baile tenía como base el Charlestón pero incorporaba elementos de otros estilos como el “Texas Tommy“, el “Black Bottom” y el “Cakewalk“. El Lindy Hop nació cuando estos bailarines empezaron a incorporar posiciones abiertas intercalándolas con las tradicionales posiciones cerradas. En la práctica, se trata de un baile rápido, enérgico y, desde mi punto de vista, bastante divertido. El baile puede enriquecerse con una gran variedad de acrobacias que serán más o menos espectaculares en función de la experiencia y de la forma física de los bailarines.

En lo referente a las lecciones de baile puedo decir que las primeras han sido más bien “introductorias”, lo cual era previsible pues la mayoría de asistentes desconocíamos por completo el estilo de baile. No obstante, he de decir que también acuden algunas parejas experimentadas que ensayan coreografías relativamente complejas.