¿Me van a investigar?

Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.... Leer Más

Marcas de agua caseras

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias… ... Leer Más

La selectividad no es solo la prueba de acceso a la universidad

Aunque la selectividad, como prueba de acceso a la Universidad, sea ya una gran olvidada para muchos de los que la hemos sufrido, la selectividad, como principio básico de diseño de los sistemas de suministro eléctrico de las salas de ordenadores, no debería ni mucho menos serlo.

Para empezar deberemos recordar que una de las dimensiones fundamentales de la seguridad es la disponibilidad, y que si ésta falla nos enfrentamos a un problema de seguridad que, dependiendo del tipo de servicio y del momento del tiempo en el que se produzca, será de mayor o menor gravedad pudiendo llegar a ser CR?TICO.

Son muchos los factores que inciden en la disponibilidad de los sistemas de información y por tanto en la seguridad de la información, pero sin duda hay un factor básico y trivial y a la vez poco atendido o poco entendido: el suministro eléctrico.

[Read more…]

Confusiones

Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que “permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados”).... Leer Más

Vísteme despacio que tengo prisa

Imaginen la siguiente escena, no sacada de ningún ejemplo real pero que seguro que podría aplicarse fácilmente a muchas empresas. Una mañana cualquiera, suena el teléfono en un Departamento de Sistemas cualquiera, y lo coge Miguel, un técnico cualquiera:

—Sístemas, ¿dígame?
—¿Sí? Hola, soy Juan Tévez, de Recursos Humanos. Verás, acaba de entrar una persona nueva al Departamento de Contabilidad y necesito que le déis algunos accesos.
—Aquí no hemos recibido ninguna solicitud.
—Ya, ya lo sé. Lo cogieron ayer y acaba de entrar, y el tema corre algo de prisa, por la auditoría financiera de la semana que viene. Tengo al director del Departamento Financiero dándome la brasa toda la mañana, así que qué quieres que te diga.
—Ya, pero ya sabes cuál es el procedimiento…
—Mira, te juro que te mando la solicitud dentro de un rato, pero necesito esos accesos ahora para que esta persona pueda ponerse a trabajar esta tarde.
—Bueno, no sé… Bien, vale, ¿qué necesita?
—Supongo que para empezar un PC y una cuenta de correo; se llama Andrés Martínez. En principio, de momento dale también acceso al módulo de Contabilidad de SAP y a las carpetas departamentales; Cristina López es de Contabilidad así que con que le des acceso a las mismas carpetas que ella, va sobrado para empezar. Como supongo que el PC tardará algo más, mándame las contraseñas de su usuario a mi email, que esta tarde se ponga en el equipo de María, y así vamos adelantando.
—¿A tu cuenta?
—Sí, Juan Tévez; imagino que habrá sólo uno. Dentro de un rato te mando el formulario con la firma del responsable y los accesos que necesita.
—Bien, que no se te pase, por favor.
—No te preocupes y muchas gracias.
—De nada, hasta luego.
—Hasta luego.

Click…

[Read more…]

Jornada de Seguridad: D. Salvador Soriano (Ley de Impulso de la Sociedad de la Información)

Siguiendo con la serie de posts sobre las ponencias de la jornada Seguridad 2008 del jueves pasado en Valencia, corresponde a este intrépido reportero dar noticia de las ideas principales de la charla de D. Salvador Soriano, subdirector general de servicios de la sociedad de la información, que habló sobre la Ley de Medidas de Impulso de la Sociedad de la Información o LISI.

Al parecer, una de las barreras principales para la extensión de los servicios de la sociedad de la información es la desconfianza de los ciudadanos. Estamos en las primeras posiciones de la Unión Europea en cuanto a falta de confianza en la seguridad en el uso de las TIC. Además, a pesar de que nuestras administraciones figuran en los primeros puestos en cuanto a servicios telemáticos ofrecidos a los ciudadanos y las empresas, estas últimas están a la cola en cuanto al uso de dichos servicios.

[Read more…]

Jornada de Seguridad: D. Jesús Rubí (comentarios acerca del nuevo RMS)

Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más “oficial”, pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.

* * *

Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de “¿Por favor, podría ir un poco más despacio?”.

Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.

[Read more…]

Jornada de seguridad

Es posible que algunos de nuestros lectores, quizá aquellos que han llegado hasta aquí a través de la web corporativa de S2 Grupo, ya lo sepan, pero para aquellos que no, me gustaría informarles de que el próximo jueves 17 de abril, en la Universidad Politécnica de Valencia, organizamos junto con Equipo Marzo una jornada de seguridad que explorará (o lo intentará, al menos) los principales cambios legislativos que se han dado recientemente en este campo; como pueden imaginar, el título “Seguridad de la Información. Un nuevo marco legislativo; LOPD, LSSICE, y LISI.” no ha sido escogido al azar. ... Leer Más

Cuidado con lo que dice Google de ti

La entrada de hoy, en la serie de colaboradores, viene firmada por José Ignacio Ruiz, Director Tecnológico de la Información de ASEVAL, la entidad de banca-seguros de AVIVA y Bancaja. Y con esa referencia profesional, poco más hay que decir para presentar al autor de la siguiente entrada, que va en la línea de uno de los temas que más me interesan: qué pasa con nuestra información en Internet: quién, cómo y dónde. Espero que disfruten con el post.

Leía hace unos días un artículo titulado Cuidado con lo que dice Google de ti, en el que se hablaba de la popularización de las redes sociales personales y de búsqueda de empleo, así como los blogs, que hacen que Internet pueda ofrecer datos que permitan que la balanza en un proceso de selección se pueda decantar en un sentido o en otro.

[Read more…]

¿Comunicación cifrada con KeeLoq? ¡Ojo, ya no!

Si hace un par de meses se consiguió determinar el sistema de cifrado de las tarjetas Mifare, esta vez le ha tocado el turno a los chicos de microchip en la serie de integrados criptográficos que implementan KeeLoq, dejando en evidencia las deficiencias de seguridad de algunas de las soluciones propietarias criptológicas que pretenden otorgar a sistemas RFID del uso de trasmisiones seguras.... Leer Más