Para el último día de la semana, tenemos una entrada de Marcos García, Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Sirva esta entrada además para iniciar una nueva línea del blog, orientada específicamente a esa vertiente de la seguridad cada vez más importante, dedicada a velar por uno de los activos más importantes de la empresa: la reputación online.

La reputación de cualquier empresa es uno de sus activos más importantes. En un DAFO debería estar siempre entre las fortalezas de la marca y, sin embargo, lo más habitual es que no sea así. ¿Por una mala gestión de crisis? ¿por una imagen deteriorada? ¿por una campaña de desprestigio? En la mayoría de los casos, por ninguna de las tres. La mayor parte de empresas no cuentan con una reputación favorable simplemente porque no se han preocupado nunca de construirla ya que la reputación corporativa es, hoy más que nunca, una cuestión de disponibilidad de la información.

[Read more…]

Para hoy martes traemos una entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que en adelante colaborará periódicamente en Security Art Work.

Cristina está relacionada con la protección de datos y la e-Administración, y actualmente se encuentra realizando el Máster en Sistemas y Servicios en la Sociedad de la Información de la Universitat de València. Esperemos que les guste la entrada.

El pasado 15 de julio de 2010 el Tribunal Supremo, a instancias de la Federación de Comercio Electrónico y Marketing Directo, Experian Bureau de Crédito, S.A y la Asociación Nacional de Establecimientos Financieros y de Crédito, anuló diversos artículos del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante RLOPD, por entender que no eran conforme a derecho.

Pese al gran número de artículos impugnados, la Sala únicamente ha estimado la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD. La supresión de los preceptos citados no constituye un gran cambio en el marco de la Protección de Datos. Sin embargo, podríamos decir que afecta a todos los Responsables de Ficheros con independencia de su naturaleza privada o pública.

[Read more…]

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.

En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.

[Read more…]

(Para empezar la semana de Fallas, una entrada de uno de nuestros colaboradores habituales, Francisco Benet, en la que introduce dos posibles alternativas al control del flujo de la información en una organización)

Uno de los problemas con los que se encuentran hoy en día las organizaciones es el control de la información en todo el ciclo de vida de ésta. Como es natural una organización suele disponer de más de un sistema que alberga información, además de los propios puestos de usuario, los dispositivos móviles y la posibilidad de extraer la información por medios electrónicos; así la información puede ir cambiando de entorno y modificándose, dejando ‘huella’ en varios entornos, resultando al final muy difícil concretar dónde esta residiendo la información realmente y, aspecto mas critico, quien esta siendo capaz de verla. ¿Por qué sucede esto? Básicamente porque los métodos de control de acceso a la información son barreras individuales que residen en cada uno de los sistemas en los que la información está dispersa, y no se trata por tanto de una barrera global que valide si tenemos o no tenemos acceso a ésta.

De hecho lo que realmente está sucediendo en la mayoría de organizaciones es lo siguiente: se dispone de N fuentes de información, las cuales utilizan los usuarios para 2 acciones básicamente: mantener esa información actuando sobre ella (operatoria diaria) y extraer esa información, interpretarla y enriquecerla con información de otras fuentes (información de ‘negocio’). La primera parte del uso de la información estará controlada en más o menos medida, pero es menos importante que la segunda pues requiere de un conocimiento de la acción ejecutada. Sin embargo el segundo tipo de información ha sido elaborada y refinada, y aunque sea menos particular es más precisa sobre el negocio y por lo tanto mas ‘preciada’. Esa segunda información sufre un ciclo de vida mas extenso pero a su vez se le “mima” más y se pretende que menos personal tenga acceso. El problema reside en que ese acceso esta gobernado por varios sistemas de control de acceso NO sincronizados (léase directorios departamentales, equipos de los usuarios, correo electrónico, etc.), sino dependientes del sistema de información, por lo que en muchas de las ocasiones nos podemos encontrar personal autorizado a información privilegiada sin razón alguna.

[Read more…]

(Para hoy martes, una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre la necesidad de dotar de un cuerpo documental a la operación de nuestros sistemas y hacerlo con el menor sufrimiento posible)

La creación de procedimientos es una de esas tareas que muchas veces, por no decir siempre, se pasa por alto dentro de las tareas propias de la gestión de sistemas. Naturalmente no es algo que a los técnicos les agrade mucho, precisamente porque lo que a un técnico le gusta es ‘jugar’ con los cacharros que tiene a su disposición; eso de escribir no es que sea sólo para novelistas, sino que cuando llega la fatídica hora de pasar al papel lo aprendido, o se ha olvidado, o ha pasado a ser la tarea menos prioritaria de las pendientes (a veces porque hay justificadamente otras tareas más urgentes, y a veces porque “se buscan” esas otras tareas). En definitiva, es una de esas cosas que presentan más batalla para el personal que esta operando y explotando los sistemas; según mi experiencia personal, si tuviera que decir cuál es la tarea más problemática que me ha tocado lidiar en el trato con las super-estrellas-técnicos-de-la-muerte, sin lugar a dudas diria que es la procedimentación de una plataforma, no tanto por el contenido sino por la calidad y la dedicación a la redacción, porque un procedimiento mal hecho es casi lo mismo que nada, por la rapidez en que cae en desuso y lo poco que se utiliza.

Algunos de ustedes (no todos) estarán pensando: ¿que tiene que ver esto con la seguridad? ¿esto no es una cosa que se hace una vez al año con los auditores? ¿tú tienes tiempo para esas cosas?

[Read more…]

(Para hoy miércoles, una entrada de uno de nuestros colaboradores habituales, Francisco Benet, elaborada conjuntamente con Manuel Benet)

La suplantación de identidad podría definirse según la RAE como una combinación de suplantar e identidad. Veamos qué dice la RAE al respecto:

[Read more…]

(Comenzamos la semana con la colaboración de un amigo al que muchas veces hemos invitado a escribir, pero hasta ahora no se había decidido. Nos ha pedido, no obstante, que desea firmar anónimamente y que su colaboración aparezca firmada con el pseudónimo Walt Kowalsky. Esperamos que les parezca interesante)

Llevo tiempo siguiendo este interesante blog, que se ha convertido en uno de mis favoritos y después de un tiempo queriendo aportar mi granito de arena, me he lanzado a la piscina y he preparado la siguiente colaboración que espero que les sea de agrado.

A pesar del título del post, no esperen un enfrentamiento a lo Quevedo-Gongora, puesto que por ahí no van los tiros. Voy a ponerles en situación comenzando con el recurso fácil de la pregunta retórica: ¿se han copiado de ustedes en algún examen? Seguramente contestarán que sí y si no me equivoco muchas veces habrá sido de mutuo acuerdo. Pero, ¿se han copiado de ustedes sin su permiso? Si ha sido así traten de recordar la sensación de aquel momento. Llevaban semanas preparando ese examen concienzudamente, noches sin dormir, cafeína recorriendo su torrente sanguíneo para al final tener la certeza de que el día del examen la cosa va a ir bien y que pasaremos la prueba con nota. Entran al examen y comprueban que a su lado se sienta aquel compañero que únicamente vieron el primer día de clase, aquel que se dedicó a salir todos los jueves y a llegar a laboratorio para que el compañero le haga las prácticas. Comienza el examen y todo marcha de acuerdo con su plan maestro, pero entonces se dan cuenta de que el compañero de al lado está copiando descaradamente nuestro examen… Se acaba el examen y unas semanas más tarde cuando salen las notas comprueban que aquel jeta ha sacado casi la misma nota que nosotros, pero sin asistir a clase, SIN DEDICARLE RECURSOS. En ese momento piensan en todo el tiempo y esfuerzo que han dedicado a prepararse para aprobar ese examen, y lo poco que ha invertido nuestro compañero en aprobar, y piensan que la vida no es justa.

Alguien les susurra C´est la vie….

[Read more…]

(Para acabar la semana en que hemos superado los 1000 suscriptores al feed, hoy tenemos una colaboración de Rafael García, amigo, antiguo colaborador de S2 Grupo y con extensos conocimientos y experiencia en la gestión de centros de proceso de datos, como muestra en su blog. Esperamos que les guste la entrada tanto como a nosotros; por lo demás, pasen un buen fin de semana, nosotros nos vamos hasta el lunes, aunque esporádicamente puede que aparezcamos por “el” Twitter)

Hace casi un año, el pasado 28 de Febrero de 2009 YouTube dejó de funcionar durante 2 horas. La incidencia —una incidencia de su conectividad— no se debió ni a la falta de redundancia de sus infraestructuras, ni a un fallo coordinado de todos sus proveedores, ni a un apagón simultáneo de todos sus centros de datos; ni siquiera al súbito interés simultáneo y mundial por el último vídeo de la Obama girl. YouTube dejó de funcionar debido al secuestro de parte de su direccionamiento IP por parte del operador Pakistan Telecom. ¿Secuestro? Sí, secuestro o suplantación del direccionamiento IP, algo tan antiguo como el propio protocolo BGP.

BGP4 (RFC 1771 y RFC 1772) es el protocolo que se utiliza para intercambiar tráfico entre los proveedores de servicios de Internet. Sus funciones son bastante simples: básicamente permite que los sistemas autónomos (AS) —las subdivisones organizativas que gestionan los prefijos de enrutamiento en Internet, habitualmente un ISP— comuniquen a otros sistemas autónomos cómo alcanzar redes en Internet. Específicamente BGPv4 intercambia prefijos de direcciones de Internet seguidas de los identificadores de los sistemas autónomos a través de los cuales se alcanza dicho direccionamiento. Todos los ASs intercambian esta información entre ellos asumiendo que es correcta. BGP, aunque permite implementar políticas sobre los prefijos que anuncia o deja de anunciar, no tiene ningún mecanismo para saber si la información de sus tablas de enrutamiento es válida y si realmente se la está suministrando quien debe suministrársela. Este funcionamiento se denomina confianza transitiva, vamos, que si me creo lo que me dices me estoy creyendo lo que a tí te dicen todos tus vecinos y los míos te creerán. Transitive faith podrían haberle puesto.

[Read more…]

(Esta semana la empezamos con una colaboración de D. Jorge Bermúdez, fiscal especialista en cibercrimen de la Fiscalía Provincial de Guipúzcoa, y miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado, relacionada con la entrada que publicamos hace algún tiempo sobre posesión o distribución de pornografía infantil. Más allá de agradecer a su autor el esfuerzo de escribirla y de intentar acercar dos mundos en principio tan diferentes como es el de la Judicatura y el de las Tecnologías de la Información, estoy seguro de que la encontrarán interesante y muy ilustrativa.)

El pasado 27 de octubre de 2009 di una ponencia en el III ENISE, en León, que pareció ser del agrado de uno de los autores de su blog, José Rosell. Como Google Reader ha tenido a bien recomendarme su blog, y he leído una entrada sobre la posición del Tribunal Supremo en cuestiones de distribución de pornografía infantil a través de redes P2P, he considerado oportuno escribir unas líneas, algo un poco más extenso que un mero comentario, y dar mi opinión como jurista.

Una cuestión esencial al analizar estos delitos es la aparición de un término extraño para los ajenos al mundo del Derecho. Se trata de la palabra “dolo”. En derecho penal, dolo es la voluntad de cometer un delito, y se contrapone a la imprudencia, el mero descuido. Si no hay dolo ni imprudencia, estaríamos en el caso fortuito, que no es sancionable. La imprudencia que da lugar a un delito sólo se castiga cuando ese delito incluye formas imprudentes. Por ejemplo, el homicidio lleva una pena si es doloso, artículo 138, y otra si es imprudente, artículo 142.

[Read more…]

(La entrada de hoy es la quinta colaboración de Francisco Benet, que como ya les hemos comentado anteriormente es un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Para empezar, todo este ’embrollo’ debe comenzar, cómo no, con la generación de una política, que esté en consonancia con la Política de Clasificación de la Información (ver estas dos entradas sobre el tema). Hay que destacar que un aspecto crítico en todo este jaleo es el aspecto legal, ya que el documento en sí mismo puede tener unos aspectos legales importantes que constituyen el principal handicap (y que veremos más adelante).

Por tanto, en la definición de dicha política esta altamente implicado el departamento legal, tanto para definir los periodos de retención, como para poder traducir todos los requerimientos legales en la definición del par categoría del documento-período de retención. Otros participantes deberán ser Dirección y el Responsable de Seguridad, como responsables y encargados de implantar y hacer cumplir dicha política (aunque la figura puede ser otra). Otro de los principales problemas que no debemos olvidar es la destrucción de la información no necesaria; esto deberá estar plasmado en la política.

[Read more…]