Análisis de riesgos con MAGERIT en el ENS (I)

Tras la introducción a las distintas metodologías de análisis de riesgos realizadas en anteriores publicaciones (ver parte I y parte II), vamos a profundizar en una de aquellas metodologías, en concreto en MAGERIT. Nuestro objetivo va a ser verificar que MAGERIT en su versión 2 cumple con los requisitos establecidos por el Esquema Nacional de Seguridad (ENS en adelante).

¿Por qué el ENS requiere un análisis de riesgos?

En primer lugar me gustaría introducir al lector en el papel que el análisis de riesgos desempeña en la implantación del ENS. La gestión de riesgos queda identificada como uno de los principios básicos del ENS definidos en el artículo 4. Este principio se desarrolla en el artículo 6, detalla la gestión de la seguridad basada en el riesgo:

Artículo 6. Gestión de la seguridad basada en los riesgos.

1. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado.

2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando lo riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.

[Read more…]

Introducción al análisis de riesgos – Metodologías (II)

OCTAVE

OCTAVE es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation“, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad, esta metodología se emplea por distintas agencias gubernamentales tales como el Departamento de defensa de Estados Unidos.... Leer Más

Introducción al análisis de riesgos – Metodologías (I)

Día tras día, nos exponemos a riesgos de todo tipo. El simple hecho de cruzar la calle implica el riesgo de ser atropellados, lanzarse en paracaídas puede conllevar que el paracaídas no se abra y ya pueden intuir el resultado, o realizar una compra por internet puede entrañar el riesgos de que obtengan nuestros datos bancarios. Está claro que a nivel personal no podemos hacer un análisis de riesgos de cada acción o decisión que tomemos y no hablemos ya de documentarlo conscientemente.... Leer Más

Twitteando al 911

Estimados lectores, el post de hoy parte del artículo “Privacy and Security, Security Risks in Next-Generation Emergency Services” escrito por Hannes Tschofenig [ver enlace $] y publicado en Communications of the ACM el pasado noviembre. En éste trataremos de plantear estudiar las implicaciones que conlleva la evolución del servicio 911 de un entorno “analógico” a un entorno “digital” 2.0. ... Leer Más

Protección de datos europea. Why not?

Estimados lectores, estoy seguro que todos ustedes conocen la tan socorrida en presentaciones Directiva 95/46/CE, del 24 de octubre de 1995, respecto a la protección de las personas en cuanto a los tratamientos de datos personales. Aprovechando que últimamente la Comunidad Europea está en boga, me gustaría resumir una entrevista realizada en la web VR-ZONE a Sophie Kwansy, secretaria del Comité Consultivo del Consejo Europeo sobre protección de datos.... Leer Más

Descanse en paz Mr. Steve Jobs

Estimados lectores, espero que me permitan un post un tanto atípico y no especialmente relacionado con la seguridad pero si con las TIC. A estas alturas de la mañana todos ustedes estarán al tanto de lo sucedido; esta mañana fallecía Steve Jobs, fundador de Apple, con lo que el sector de las tecnologías de la información ha perdido uno de los grandes visionarios de la actualidad, hasta el punto de que en muchos lugares lo equiparan con Thomas Edison. Eso tan solo el tiempo lo dirá.

Por mi parte diré que no soy un consumidor de productos Apple (no por ninguna razón en especial) y no he seguido la carrera de Steve Jobs muy de cerca, así que en un primer momento pienso que Steve Jobs puede dar una imagen un tanto altiva y distante. Sin embargo ayer por casualidad vi un video en el que pronunciaba un discurso especialmente emotivo sobre su vida en la universidad de Stanford. En este discurso se veía a una persona cuya vida ha sido dirigida por una voluntad inquebrantable y una pasión irrefrenable por su trabajo, alguien que no solo ha transcendido a todos los problemas que ha encontrado a lo largo de su vida sino que ha sabido sacar partido de estas situaciones.

Como él mismo dijo en este discurso: en la vida se trata de conectar puntos…

[Read more…]

Exitus digital

Estimados lectores, a raíz de un reciente proyecto, he podido conocer el significado de la palabra Exitus. Probablemente muchos de ustedes conocerán el significado de esta palabra, pero para los no estén familiarizados con el término éste se emplea en el ámbito medico para hacer referencia a historias clínicas de pacientes que han terminado en la muerte de un individuo.

Este post trata de desarrollar este escatológico término en el ámbito de las TI; es decir, que sucede con la información de un individuo tras su defunción.

Con independencia de las calificaciones morales o éticas que tenga el uso indebido de la información relacionada con un difunto, desde un punto de vista actual con respecto al tratamiento de esos datos por parte de la LOPD, en el informe 61/2008, Aplicación de la normas de protección de datos a los datos de personas fallecidas, de la AEPD, se indica

Así, la Agencia ha analizado si la muerte de las personas da lugar a la extinción del derecho a la protección de datos, ya que el artículo 32 del Código Civil dispone que “la personalidad civil se extingue por la muerte de las personas”, lo que determinaría, en principio, la extinción con la muerte de los derechos inherentes a la personalidad.

[Read more…]

Entrevista a Eusebio Moya (2/2)

(Continuamos hoy con la segunda y última entrega de la entrevista a Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, cuya primera parte publicamos el pasado viernes)... Leer Más

Entrevista a Eusebio Moya (1/2)

(Continuando con la serie de entrevistas que comenzamos con Dña. Lourdes Herrero, hoy presentamos la primera parte de la entrevista a D. Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, el cual se ha ofrecido a darnos su propia perspectiva de la seguridad de la información en el ámbito de sus competencias enfocadas al novedoso Esquema Nacional de Seguridad)

Eusebio Moya es Licenciado en Derecho por la Universidad de Valencia, habiendo cursado Master en Nuevas Tecnologías de Gestión en la AAPP, contando en su haber con diversas certificaciones en materia de seguridad como CISA y ACP. El grueso de su actividad se ha desarrollado en la Diputación de Valencia, donde ha desarrollado su carrera desde 1987, inicialmente como Técnico en informática, posteriormente como Responsable de Seguridad de Sistemas de Información y actualmente como Jefe de la Unidad de Protección de Datos.

Entre sus muchas funciones la Diputación de Valencia ofrece servicios a los ayuntamientos situados en su ámbito de actuación.

1. Eusebio, a modo de introducción ¿Cuál es la función que desempeña la Unidad de Protección de Datos en la Diputación de Valencia?

La Unidad Técnica de protección de datos nació con la vocación de capitalizar el impulso, dirección y supervisión del conjunto de obligaciones que para la organización suponía el cumplimiento de la normativa sobre protección de datos. De hecho, este modelo centralizador y especialista en la materia fue pionero en el ámbito de la Administración Local o, tal vez, en el conjunto de las AAPP.

Actualmente, y a consecuencia de la normativa sobre administración electrónica, hemos ido incorporando nuevas funciones, como las derivadas del Esquema Nacional de Seguridad, al considerar que las mismas tienen muchos puntos de comunicación con la protección de datos personales y, sobre todo, por aprovechar las ventajas que nos proporciona un modelo organizativo basado en la centralización y especialización citadas, que nos permite conciliar y aunar las diferentes normativas, los procedimientos y los recursos internos.

[Read more…]

Green IT

A estas alturas de la película todos somos conscientes del encarecimiento del Kw; sin entrar en discusiones sobre la bondad de las renovables, el mantenimiento de Garoña y disquisiciones de carácter político, el coste energético asociado a IT no es algo a infravalorar. Aunque este no es un tema específicamente relacionado con la Seguridad de la Información, voy a hacer una pequeña “parada” en la temática habitual para hablar, cómo no, de Green IT. ... Leer Más