El justiciero que llevamos dentro

A finales del pasado mes leí un artículo de Raúl Morales titulado “Proponen nodos suicidas para proteger las redes de los hackers”. En él se comentaba la propuesta de la Universidad de Cambridge para la protección de redes descentralizadas o distribuidas: permitir a cualquier nodo de una red terminar con un nodo considerado malo con la contrapartida de que el nodo “ejecutor” se vea obligado a “suicidarse” (desconectarse) como justificación al acto de “eliminación” de ese nodo malo (en pocas palabras, doy mi vida por el bien común).... Leer Más

El riesgo de la movilidad

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.... Leer Más

Todos tenemos un pasado…

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de “paranoico”, “fundamentalista”, y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.... Leer Más

Modelos de negocio

facebook.jpgNo se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.... Leer Más

Memorias de un auditor

Reunión en cliente, departamento técnico, durante una auditoría:... Leer Más

¿Todo lo que no son cuentas son cuentos?

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa
... Leer Más

En todas partes…

… cuecen habas.... Leer Más

Sospechosos habituales (y cada vez más y mejor)

facebook.jpgHemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.... Leer Más

Seis más una medidas para evitar la fuga de información

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.... Leer Más

Eventos “LOPD”

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.... Leer Más