Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los “eventos LOPD” sería una tarea casi interminable no sólo por la cantidad sino por la “calidad” (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un “evento LOPD”? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

Estaba hace un par de noches viendo la televisión, y ante el maravilloso panorama televisivo que tenemos en este país, decidí dar una vuelta entera por todos los canales; la cuestión es no irse a dormir. Y así seguí un par de veces, hasta que me detuve por curiosidad en uno de esos canales locales en los que cuando no están haciendo tarot televisado están pasando una película porno barata. En este caso no tuve suerte y estaban haciendo tarot, así que me quedé viéndolo diez minutos. Aparte de lo divertido que resulta ver cómo el sujeto de la pantalla en cuestión manipula al oyente para sonsacarle la información (hay algunos realmente hábiles, aunque tampoco crean que soy un forofo de este tipo de “programas”), me sorprendió lo que pasó con una llamada:

—Sí, parece que tenemos una nueva llamada. Dime, bonica.
—Hola. Verás, me han operado del riñón hace unas semanas y quería saber si todo va a ir bien.
—Lo siento mucho, pero ya sabes que desde hace algún tiempo en antena ya no atendemos problemas de salud.
—…

«Saludos Profesor Falken, ¿le apetece una partidita de ajedrez?»

Muchos de los lectores de este blog recordarán esta mítica frase de la película Juegos de Guerra, película de culto para todos los apasionados de las nuevas tecnologías. Fue en esta película, siendo apenas un niño, en la que oí por primera vez el término PUERTA TRASERA, cuando los dos programadores amigos del protagonista le desvelan que suelen ocultar en el código puertas traseras para poder acceder a los sistemas posteriormente a su entrega.

Evidentemente, la posibilidad de que software que controla infraestructuras tan críticas como el lanzamiento de misiles pueda contener puertas traseras es aterradora, y más aún si el acceso está protegido por una contraseña como “Joshua” (¿y por qué no “patata”? Falken, te lo has currado…). Lamentablemente el riesgo existe, ya que los programadores siguen teniendo la costumbre de dejarse algún tipo de acceso oculto que queda fuera del control de los administradores de sistema que les permita entrar en caso de necesidad.

Hace unos meses, después de la contratación de un servicio de “privacidad” para mi dominio personal (ya hablé de ello aquí), tuve un pequeño problema con el usuario y clave que me había sido asignado para la gestión del servicio, que imposibilitaba cualquier tipo de gestión, valga la redundancia. Después de obtener varias respuestas cíclicas y estériles, que sin duda estaban sacadas de algún procedimiento diseñado por idiotas (profundos), la empresa en cuestión me pide que mande un fax con mi fotografía sacada de algún documento oficial. Así que ante la falta de alternativas, ni corto ni perezoso, les mando una fotografía en blanco y negro, a lo que me contestan con lo siguiente:

¿Se imaginan ustedes una empresa virtual de seguridad física que cobrase por proteger… a su avatar y sus posesiones en Second Life? ¿O en un plano más de gestión, se imaginan contratar a una consultora virtual para la adaptación a la LOPD… de su negocio virtual como mutua aseguradora en Second Life?

Ya sé que suena raro, pero cosas más raras se han visto…

(La parte que más me gusta es el argumento del allanamiento de morada…)

La verdad es que, si tuviese uno que valorar la importancia que el Gobierno le concede a la Agencia Española de Protección de Datos en función de los recursos de que ésta dispone, y teniendo en cuenta la terrible —por pequeña— velocidad e incluso inaccesibilidad de su página web www.agpd.es en ocasiones, podría estar uno tentado a pensar que en realidad, todo esto de la protección de datos no importa un comino.

Claro que todos sabemos que la importancia de un organismo no se debe medir por la cantidad de recursos que tiene, ¿verdad?

Desde hace unos meses se están publicando una serie de vulnerabilidades que afectan a los navegadores web más utilizados, Internet Explorer, Firefox, etc., convirtiéndose en un vector de ataque nuevo de gran peligrosidad para cualquier usuario u organización. En el siguiente video pueden ver un ejemplo donde se explota una vulnerabilidad que afecta a Internet Explorer y Adobe Acrobat Reader:

Probando, probando….

Hay una frase en el artículo 9 de la LOPD que a los que nos dedicamos a esto de la seguridad nos hace mucha gracia. Es aquella que dice que “el responsable del fichero […] deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos […] habida cuenta del estado de la tecnología […]“.

Extrapolemos esto al ámbito de la seguridad en general, y no sólo restringida a los datos de carácter personal: el estado actual de la tecnología hace que, por ejemplo, tengamos a nuestro alcance dispositivos del tamaño de un paquete de tabaco (me parece que esta comparación está pasada de moda) que nos permiten hacer fotografías, grabar imagen, voz, hacer fotocopias y un café descafeinado de máquina.

No se si recuerdan que hace unos días lanzamos al aire una serie de reflexiones sobre Google y la gestión de datos personales. Pues bien, hoy aparecía en las noticias que el Defensor del Pueblo había solicitado a la Fiscalía que exigiese a YouTube la retirada de un video en el que unas personas se burlan de un discapacitado [ElPais.com, elmundo.es] y al parecer, la AEPD ha entrado en el asunto realizando una investigación de oficio. Sin entrar en demasiados detalles, y dejando al lector el ejercicio de quién es en este caso el Responsable del Tratamiento y quién el Encargado del Tratamiento, no deja de ser interesante, al menos como punto de partida, que la AEPD haya abierto una investigación de oficio, porque como suele decirse, eso indica al menos que cuando el rio suena, agua lleva…

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).