tag:blogger.com,1999:blog-58787609057563709922024-03-13T00:27:32.115+01:00LEGALIDAD INFORMATICAUnknownnoreply@blogger.comBlogger69125tag:blogger.com,1999:blog-5878760905756370992.post-86642345338209577292013-06-19T10:06:00.000+02:002013-06-19T10:06:01.456+02:00Congreso: Los retos de la privacidad, innovación, derecho y seguridad.En la actual coyuntura en la que nos encontramos, con temas tales como el caso Snowden, espionajes a mandatarios, entre países, a ciudadanos, etc., parece creado a propósito un congreso sobre Privacidad, Sociedad e Innovación. Sin embargo puedo atestiguar que éste fue planteado con anticipación a todos estas noticias que salpican cada día los medios de comunicación. Esto por lo tanto no hace más que corroborar que existen determinados temas de tal calado que requieren un análisis y visión por parte de múltiples sectores.<br />
<br />
Ese es uno de los objetivos fundamentales del <a href="http://www.uspceu.es/pages/investigacion/catedras/catedra-google-privacidad-sociedad-e-innovacion-congreso-internacional.html" target="_blank">Congreso sobre los retos de la privacidad, innovación, derecho y seguridad</a> que tendrá lugar los días 25 y 26 de Junio, organizado por la Cátedra Google "Privacidad, Sociedad e Innovación" de la Universidad CEU San Pablo. Este evento de inscripción gratuita que se celebrará en el Aula Magna de la Universidad CEU San Pablo, contará con diferentes mesas redondas, agrupando a diferentes personalidades y especialistas de diversos sectores. Casa mesa tendrá una temática concreta y a buen seguro serán múltiples las polémicas, referencias y propuestas que podrán salir del Congreso.<br />
<br />
Tengo la suerte de poder asistir como participante en la mesa, sobre seguridad en Internet, lucha contra la ciberdelincuencia y sistemas de interceptación policial. Sin duda los recientes planteamientos del Ministerio de Justicia o las revelaciones de los sistemas de vigilancia PRISM dará pié a muchas y controvertidas reflexiones. Moderada por José de Peña director de SIC, contará con estos otro cuatro asistentes:<br />
<ul>
<li><div align="left">
<span style="font-family: Verdana;"><span style="font-size: x-small;"><em>Juan Antonio Calles García</em>. Consultor sénior de seguridad en Everis. </span></span><span style="font-family: Verdana;"><span style="font-size: x-small;">Creador de Flu–AD, la herramienta de interceptación policial.</span></span></div>
</li>
<li><div align="left">
<span style="font-family: Verdana;"><span style="font-size: x-small;"></span></span><span style="font-family: Verdana;"><span style="font-size: x-small;"><em>Carlos Represa Estrada.</em> Director del Centro de Seguridad TIC Escolar. </span></span><span style="font-family: Verdana; font-size: x-small;">Coordinador de la Escuela de Seguridad en la Red.</span></div>
</li>
<li><div align="left">
<span style="font-family: Verdana;"><span style="font-size: x-small;"><em>Cesar Lorenzana</em>. Capitán en Grupo de Delitos Telemáticos de la Guardia </span></span><span style="font-family: Verdana; font-size: x-small;">Civil. Jefe de investigación de delitos telemáticos de la Unidad Central </span><span style="font-family: Verdana; font-size: x-small;">Operativa de la Policía Judicial.</span></div>
</li>
<li><div align="left">
<span style="font-family: Verdana;"><span style="font-size: x-small;"><em>Juan Miguel Manzanas</em>. Comisario Jefe de la BIT.</span></span></div>
</li>
</ul>
Todo aquel que quiera asistir al Congreso, deberá descargarse <a href="http://www.uspceu.es/pages/investigacion/catedras/_docs/inscripcion_catedra_google.doc" target="_blank">el fichero de inscripción</a> y seguir con el proceso tal y como se detalla en el mismo. Si vas a asistir, allí nos veremos.Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-5878760905756370992.post-90825793606303016872013-05-24T09:19:00.000+02:002013-05-24T09:19:47.268+02:00Redes sociales. Ellos no pueden, tú no debes
<span style="font-family: Calibri;">Hay que reconocer que los jóvenes
se introducen en el mundo de Internet cada vez a una edad más temprana. Una de
las cosas que más me llamó la atención en el evento reciente que tuve la
satisfacción de conducir “Internet sí… pero seguro”, era el hecho de que un
número considerable de jóvenes con edades comprendidas entre los 11 y 13 tenían
presencia y actividad en las redes sociales más conocidas.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;">Aunque es un hecho evidente que
las relaciones sociales no tienen edad, hay que tener presente la existencia de
una edad legal para hacer uso de una red social convencional. Amparado en la normativa
vigente en España, la edad mínima regulada para acceder a la las redes sociales
tradicionales, es de 14 años. Así lo atestiguan los acuerdos que se ofrecen
cuando se está creando la cuenta en cualquiera de las redes sociales más conocidas.<o:p></o:p></span></div>
<span style="font-family: Calibri;">Esto implica que si tengo 12 años
¿no puedo tener una cuenta por ejemplo en Facebook? La respuesta es: ”no
debes”. Evidentemente con la circunstancia actual no existen mecanismos para
verificar la edad del que crea la cuenta. Se considera exclusivamente un acto
de fe el hecho de que la persona no miente. Sin embargo todos sabemos que
realmente es fácil mentir en Internet <span style="mso-spacerun: yes;"> </span>y
por lo tanto acceder a una cuenta. En caso de que los responsables de la red
social tengan constancia de que el poseedor de una cuenta está vulnerando la
edad mínima legal, deberán borrar dicha cuenta.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;">Los padres deben ser consciente
de este hecho y controlar si los menores poseen cuentas en redes sociales. ¿Por
qué? Fundamentalmente por los riesgos. A determinadas edades no se ha adquirido
la suficiente madurez ni habilidad social para campear con determinadas
circunstancias. Existe una facilidad mayor para un pedófilo conseguir una
víctima cuando esta es menos consciente del riesgo. Y éste, solo se consigue
con experiencia y madurez (aunque hay muchas personas que a edad adulta carecen
aún de ambas cosas, pero así es la vida).<o:p></o:p></span></div>
<span style="font-family: Calibri;">Claro, tampoco es cuestión de que
el mismo día que cumplen 14 años, se levante la veda y se les permita
introducir sin ninguna preparación en el mundo de las redes y relaciones
sociales “de mayores”. Bien bajo supervisión o bajo un aprendizaje previo, el
menor (hay que recordar que la mayoría de edad a los 18 años, pero a efectos
legales ya tiene conciencia de sus actos a partir de los 14) puede entrar en el
complejo mundo de las redes sociales.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;">¿Cómo introducir a un menor en
las artes de relación, sin facilitarle el acceso a las convencionales? Pues
entrando en aquellas que han sido pensadas para ellos. Sí existen. Para muchos
padres resulta una verdadera novedad y por supuesto tienen las garantías del
control absoluto para que los menores puedan estar sin ningún riesgo. Son redes
controladas y promovidas para el aprendizaje y la concienciación, pero a la vez
que resulten divertidas.<o:p></o:p></span></div>
<span style="font-family: Calibri;">Para los sufridos padres os dejo
algunas de las interesantes y con las edades recomendadas.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;"><a href="http://www.tenyten.com/#inicio" target="_blank">TenyTen </a>8 a 14 años.<span style="mso-spacerun: yes;"> </span></span></div>
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;"><span style="mso-spacerun: yes;"></span></span><span style="font-family: Calibri;"><a href="http://pandillatelmex.com/pandilla/Index.aspx" target="_blank">Pandilla Telmex</a> 6 a 10 años. </span></div>
<span style="font-family: Calibri;"><a href="http://www.boombang.tv/esp/safety/" target="_blank">Bombang</a> de 8 a 14 años. </span><br />
<span style="font-family: Calibri;"></span><br />
<span style="font-family: Calibri;"><a href="http://www.clubpenguin.com/es/parents" target="_blank">Club Penguin</a> de 7 a 11 años.<span style="mso-spacerun: yes;"> </span></span><br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;"></span> </div>
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;">
<span style="font-family: Calibri;">No hay que obviar por lo tanto el
hecho de aprender y divertirse como los mayores, sin necesidad de jugar a “las cosas
de los mayores”. Sin embargo debería ser una reflexión para todos el hecho de
que la interacción física puede resultar mucho más plena que la virtual.<o:p></o:p></span></div>
Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-5878760905756370992.post-37826519180458122212013-05-22T21:43:00.000+02:002013-05-22T21:43:03.787+02:00X1RedMasSegura. Un gran principio...
<span style="font-family: Calibri;">Transmitir conocimientos adquiridos a lo largo de los años,
es uno de los grandes retos que cualquier profesional en cualquier sector tiene
en su mano. Esto evidentemente se da gran medida en los complejos mundos
mercantiles existentes a día de hoy. Y esto siempre deja satisfacción
económica, profesional<span style="mso-spacerun: yes;"> </span>y personal. Cada
cual las traduce en un orden de importancia según su personalidad o
circunstancia. Sin embargo la mayor satisfacción personal que uno puede obtener
es el dar sin esperar recibir nada a cambio. Lo más un simple gracias o una
sonrisa, sobre todos cuando llegas a personas que se encuentran fuera de tu
ámbito profesional y sabes que ese poco que les puedes aportar, tiene un gran valor
para ellos.<o:p></o:p></span><br />
<span style="font-family: Calibri;">Este hecho lo he podido percibir <a href="http://sidertia.com/Home/News/2013/04/03/Sidertia-colabora-con-el-Ayuntamiento-de-Alcorcón-en-la-campaña-Internet-sí-pero-seguro" target="_blank">recientemente</a> y afortunadamente la posición de <a href="http://www.sidertia.com/" target="_blank">Sidertia</a> en
este sentido me permite que pueda prodigarme en eventos de este tipo, donde
concienciar es importante, aun no recibiendo nada a cambio. El llegar a
personas que no tienen nada que ofrecer y sin embargo agradecen cualquier
información, gesto o dato que se les pueda dar. Desde Sidertia estamos
concienciados con concienciar a la sociedad, en lo que sabemos y en lo que podemos.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Afortunadamente este hecho no es aislado y hay un nutrido
grupo de profesionales y organizaciones que durante la semana pasada se unieron
precisamente para fomentar este hecho: concienciar,<span style="mso-spacerun: yes;"> </span>transmitir a las personas la necesidad de
conocer y de hacer un uso eficiente de las tecnologías.<o:p></o:p></span></div>
<span style="font-family: Calibri;">El día 5 de abril de este año, me llegó un correo de una
maravillosa persona con una idea de montar un evento para el día de Internet en
la que yo podría participar transmitiendo algo que desde años me apasiona “la Protección
de Datos”. <a href="http://elblogdeangelucho.com/" target="_blank">Ángel</a> lleva muchos años dedicado a garantizar la seguridad de todos
nosotros, pero también desde su blog hace llegar a todos “técnicos y no
técnicos” su visión y su compromiso social. En el evento estaba, como no
(últimamente está a todo,) implicado ya Juanan de <a href="http://www.flu-project.com/" target="_blank">Flu-project</a>. A
este pájaro lo conozco desde hace muuuuuuchos años, y cómo no, solo por ellos
no podría ni imaginarme el negarme. Pero además es que se daba la circunstancia
de que la causa era totalmente proclive a mis ideales. Evidentemente la
respuesta iba a ser sí, pero había que cuadrarlo con la agenda. Esto se fraguó
en el momento que al minuto de llegarme el correo llamo al Director de
Operaciones de Sidertia, le medio cuento el hecho y me dice que por supuesto
que sí. Digo medio cuento porque no me dejó ni acabar, pero es que como he
comentado en Sidertia estamos ya concienciados y transmitir conocimientos es
uno de nuestros legados.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Cuando a las 15:45 horas del 17 de Mayo aparezco en las
instalaciones de Everis, la situación me asombró. En casi un mes se había
preparado <a href="http://x1redmassegura.com/" target="_blank">un evento</a> que ya muchos con los presupuestos
que tienen les hubiera gustado montar. Los talleres desarrollados durante la
semana y que habían sido un éxito, vaticinaban la circunstancia de lo que iba a
pasar ese viernes y sábado. Claro está, que esto solo puede suceder con el
compromiso y esfuerzo personal de determinadas personas. Detrás de Ángel,<span style="mso-spacerun: yes;"> </span>Juanan y el plantel de ponentes, ha existido
un nutrido grupo de personas y entidades que se han volcado con X1RedMasSegura.
Gracias a todos ellos el evento ha sido posible y que haya llegado con la
calidad deseada.<o:p></o:p></span></div>
<span style="font-family: Calibri;">Me siento muy orgulloso de haber podido participar en este
evento y si existe una segunda edición (que seguro que habrá), podéis contar desde
ahora conmigo.</span>Unknownnoreply@blogger.com4tag:blogger.com,1999:blog-5878760905756370992.post-53794288496187350962013-05-19T15:53:00.003+02:002013-05-19T15:55:43.281+02:00Perder la memoriaOlvidar es uno de los grandes problemas a los que se enfrenta el ser humano.
Perder conciencia de hechos y personas es un gran temor al que se enfrenta el
que se acerca a una edad avanzada. Sin embargo olvidar también es bueno en
determinadas circunstancias.<o:p></o:p><br />
<br />
El habeas data reconoce como derecho que todo ciudadano pueda conocer<strong>,</strong>
actualizar y modificar la información que se divulgue sobre su persona en los
diferentes bancos de datos o los archivos de los organismos públicos o
privados. Pero también reconoce el derecho de un sujeto a que una vez que una
información haya cumplido su periodo de caducidad, que se puedan borrar todos
los detalles negativos de su historia (por ejemplo en el caso crediticio). Es
decir que se olviden los datos.<o:p></o:p><br />
<br />
Este hecho reconocido como tal, derecho al olvido, empieza a oírse cada vez más. Sentencias judiciales, voces a favor, voces en contra, etc. Como tal, por su
importancia, ha sido recogido en la <a href="http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF" target="_blank">propuesta del Reglamento del Parlamento Europeo y del Consejo</a> relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.<o:p></o:p><br />
<br />
<em>"(53) Toda persona debe tener derecho a que se rectifiquen los datos
personales que le conciernen y «derecho al olvido», cuando la </em><i>conservación</i><em> de tales datos no se
ajuste a lo dispuesto en el presente Reglamento. En particular, a los
interesados les debe asistir el derecho a que se supriman y no se traten sus
datos personales, en caso de que ya no sean necesarios para los fines para los
que fueron recogidos o tratados de otro modo, de que los interesados hayan
retirado su consentimiento para el tratamiento, de que se opongan al
tratamiento de datos personales que les conciernan o de que el tratamiento de
sus datos personales no se ajuste de otro modo a lo dispuesto en el presente
Reglamento. Este derecho es particularmente pertinente si los interesados
hubieran dado su consentimiento siendo niños, cuando no se es plenamente
consciente de los riesgos que implica el tratamiento, y más tarde quisieran
suprimir tales datos personales especialmente en Internet. Sin embargo, la
posterior </em><i>conservación</i><em>
de los datos debe autorizarse cuando sea necesario para fines de investigación
histórica, estadística y científica, por razones de interés publico en el
ámbito de la salud pública, para el ejercicio del derecho a la libertad de
expresión, cuando la legislación lo exija, o en caso de que existan motivos
para restringir el tratamiento de los datos en vez de proceder a su supresión.</em><o:p></o:p><br />
<br />
<em>(54) Con el fin de reforzar el «derecho al olvido» en el entorno en
línea, el derecho de supresión también debe ampliarse de tal forma que los
responsables del tratamiento que hayan hecho públicos los datos personales
deben estar obligados a informar a los terceros que estén tratando tales datos
de que un interesado les solicita que supriman todo enlace a tales datos
personales, o las copias o réplicas de los mismos. Para garantizar esta
información, el responsable del tratamiento debe tomar todas las medidas
razonables, incluidas las de carácter técnico, en relación con los datos cuya
publicación sea de su competencia. En relación con la publicación de datos
personales por un tercero, el responsable del tratamiento debe ser considerado
responsable de la publicación, en caso de que haya autorizado la publicación
por parte de dicho tercero."</em><br />
<em></em><br />
<o:p>Esta propuesta tiene como objeto actualizar los mecanismos de la protección de datos de carácter personal a nivel europeo y que datan del año 1995. </o:p><o:p>Tal y como se deriva de estos artículos, debemos ser conscientes que se deberán articularán los mecanismos para que Internet puede perder memoria. Pero como se comerá esto con redes sociales, derecho a la información, la dispersión de los datos, las redes P2P, etc.</o:p><br />
<o:p></o:p><br />
<o:p>Un proyecto cuanto menos ambicioso, pero ¿hasta qué punto será realista? Recientemente Richard Allan, director de Asuntos Públicos de Facebook para Europa y Asia, ya anticipó que sería imposible para Facebook el cumplimiento del derecho al olvido. Podrán borrarse los datos existentes en su plataforma, peor no aquellos que proveniente de la popular red social se haya copiado y publicado en otras plataformas fuera de su control.</o:p><br />
<o:p></o:p><br />
<o:p>Se augura por lo tanto un caldo de cultivo interesante. Tendrá voces enfrentadas y que veremos como se va desenvolviendo poco a poco.</o:p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-79538441488351542882013-05-10T09:11:00.000+02:002013-05-10T09:13:39.878+02:00Por una red más seguraCoincidiendo con el día de Internet, el 17 de Mayo se presenta <a href="http://www.x1redmassegura.com/" target="_blank">X1RedMasSegura</a>. Impulsada desde el compromiso con la sociedad, presenta como objetivo la necesidad de enseñar y transmitir la seguridad a los Internautas. Tal y como comunican los organizadores citando al General y Filósofo chino Sun Tzu: el principio básico de la seguridad en Internet es mantener el sentido común y la lógica, al igual que haríamos en la vida real. Pero si además conocemos las intenciones y las debilidades de quien amenaza nuestra seguridad, podremos evitar ser objeto de sus ataques.<br />
<br />
El evento supone además un encuentro entre un plantel de especialistas muy reputado, con personas no técnicas que hacen uso de Internet, que le afecta en su vida diaria, pero que no necesariamente tienen en el día a día la informática como profesión, sino como un accesorio en la vida. El reto es importante, no solo en el hecho de acercar dos mundos que a veces se encuentran tan alejados, sino por la necesidad de concienciar y de ver los problemas, pero también las soluciones. Pero también se trata de aprender y no solo por parte de los asistente, sino que los ponentes conozcan las inquietudes de los internautas y se acerquen a sus necesidades desde una postura cercana.<br />
<br />
Aunque el centro de atención puede parecer en el evento que se llevará a cabo el viernes 17 y el sábado 18, quiero significar también los <a href="http://www.x1redmassegura.com/talleres.php" target="_blank">talleres que durante el resto de la semana</a> se llevarán a cabo. Aquí la capacidad de interactuar será aún mucho mayor que en el propio evento y por lo tanto supone un escenario inmejorable para preguntar, aprender y compartir experiencias y vivencias. <br />
<br />
Me consta muy de primera mano el esfuerzo que han puesto los diferentes organizadores y colaboradores para fraguar X1RedMasSegura. A día de hoy crear un evento de estas características sin ningún ánimo de lucro, supone un esfuerzo que solo se consigue desde la voluntad, pero afortunadamente ya es un hecho y se encuentra todo preparado.<br />
<br />
Para todos aquellos que vayan a asistir, allí nos veremos el viernes día 17. No olvidéis los talleres para los que todavía hay plazas disponibles.Informando, educando y concienciando de los peligros de la red, podremos conseguir que Internet sea la mejor forma de comunicación y aprendizaje de la que cualquier persona pueda disfrutar. Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-61571134693460421842013-04-25T09:19:00.000+02:002013-04-25T09:19:43.905+02:00Una sociedad digital concienciadaA menudo los técnicos tenemos una visión algo distorsionada de la realidad. Este es un hecho bastante frecuente y no somos conscientes que la sociedad en general tiene una visión de la informática "algo diferente". Viene muy bien a veces compartir experiencias con sectores no técnicos para darte cuenta de muchos aspectos importantes de los usos y costumbres. Esto me ha pasado recientemente en unas jornadas en la que hemos participado sobre <a href="http://www.ayto-alcorcon.es/portal/noticias?detalle=37573" target="_blank">concienciación en los usos de Internet a padres y menores en la localidad de Alcorcón</a>. A pesar de que ya en bastantes ocasiones había impartido sesiones no técnicas, una de las que se llevaron a cabo, destinada a estudiantes de 5º y 6º de primaria, me ha permitido tener una visión inmejorable del estado de la sociedad con respecto a los usos de Internet.<br />
<br />
400 chicos y chicas con sus inquietudes, ganas de aprender y hambrientos de Internet se dieron cita en una sesión que me resultó divertida y edificante pero también inquietante. Me sorprendieron algunos aspectos como cuando pedí que subieran la mano todos aquellos que ya tenían móviles y aproximadamente un 80% de las 400 manos se alzaron. Esperaba un gran número pero no tanto. La sorpresa fue tal que tras este hecho replanteé un poco la sesión, puesto que tuve que indicarles los peligros de usos de móviles y de forma "comedida" en los riesgos del "Sexting", hecho que está muy de moda entre los jóvenes y por las caras que pude ver cuando hablé del tema también entre "los más jóvenes".<br />
<br />
Y es que comprendo que las inquietudes de mi generación y la de ésta han cambiado totalmente, pero no es menos ciertos que los padres estaban más preparado socialmente antes que ahora. No porque su cualificación fuera mejor, sino simplemente por que los riesgos eran más tangibles y controlables. También es cierto que a veces como una avestruz que esconde la cabeza se permite con demasiada condescendencia determinados actos para los que los más jóvenes no están preparados. Desgraciadamente muchos adultos tampoco.<br />
<br />
Me sorprendió también que un nutrido número de los jóvenes asistentes tuvieran perfiles en redes sociales. Las edades de los asistentes se encontraban entre los 10 y 12 años fundamentalmente y la edad mínima legal para estar en una red social es de 14 años. Seguramente muchos padres no sepan que sus hijos tienen cuenta en Facebook, Twitter, Tuenti, etc., seguramente muchos padres no sepan ni que es eso. Y es que la educación en estas lides no son fáciles y pasa en primera medida por educar a los padres en los riesgos.<br />
<br />
La ronda de preguntas, más de 40, (tuvimos que cortar porque se extendía ya demasiado el tiempo) me permitió ver que algunas de las cuestiones que se planteaban eran más profundas que las que yo o cualquiera de mis compañeros de clase hubiéramos planteado con su edad. Y es que en eso también se nota la impronta del acceso a la información. Quizás estén (o quieran) madurando mucho antes que generaciones pasadas, pero eso también supone un riesgo a controlar, puesto que a determinadas edades somos menos conscientes de los riesgos que a otras. Educar concienciando en Internet y sus usos se tiene que convertir en un hecho, puesto que está tan a su alcance y tantas son las posibilidades que les reportan, que sería una indecencia prohibírselos.<br />
<br />
Desde<a href="http://www.sidertia.com/" target="_blank"> Sidertia</a> apostamos por la concienciación. Las acciones que llevamos en Alcorcón no van a ser la únicas que haremos , porque somos conscientes del problema y de la necesidad de educar, no solo a jóvenes, sino también a los adultos. Si los padres no saben y no quieren aprender, no podrán ni entender ni solucionar los riesgos y problemas a los que se enfrenta la sociedad a día de hoy.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-45075985947903769732012-12-11T09:43:00.001+01:002012-12-11T09:43:03.716+01:00Cloud, Google y la protección de datos en EuropaUn aspecto muy significativo que debía llevar implícito el estar dentro del espacio común europeo, lo constituye la unicidad de criterios en cuento a la aplicación de normativas conjuntas. Aunque esto se cumple a medias, es cierto que cada país presenta sus propias normas y adecúan las leyes según sus criterios con un "marco común". En materia de protección de datos sucede así, existe un marco general, pero la aplicación así como la interpretación es propia del país, lo que implica un conglomerado de idiosincrasias muy interesante. <br />
<br />
No obstante existe la tendencia de generar criterios únicos para todos los países integrantes, ahí queda la proposición para una <a href="http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm" target="_blank">reforma general en materia de protección de datos.</a> Un caso interesante del nuevo modelo, es la posición que presenta el grupo de trabajo de la Unión Europea de protección de datos, con respecto al cambio en la política de seguridad que presentó Google en marzo de este año. Emitido a mediados de Octubre, establece la necesidad de que Google aclare una serie de procesos y acciones con respecto al tratamiento de los datos. Es curioso por ejemplo que se solicita la extensión de determinadas operaciones destinadas a la protección de datos únicamente en Alemania para Google Analytics.<br />
<br />
Leyendo <a href="http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/octubre/Carta_Google_EN.pdf" target="_blank">el documento</a> queda claramente evidente que se ha llegado técnicamente a una revísión de las condiciones de seguridad y el tratamiento de los datos, y no solo superficialmente a la revisión testimonial que se ha realizado en ocasiones. Si esta labor continúa con múltiples servicios que se ofrecen por Internet a buen seguro la protección de datos sera poco a poco una realidad.<br />
<br />
Y es que con el auge de la tecnología Cloud, la privacidad es para tomárselo muy en serio. Cada vez los datos que se almacenan son más voluminosos y la información se encuentra más dispersas. Sin un ente regulador podríamos acabar en el más completo de los desamparos. Sirva también de lectura este documento sobre <a href="http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf" target="_blank">el impacto y el estado de la protección de datos europea con el uso de la nube</a>, emitido por Pete Hustinx Supervisor e la Protección de Datos en Europa. Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-5878760905756370992.post-50356852316608614742012-10-14T16:30:00.001+02:002012-10-14T16:32:50.703+02:00Windows Essentials 2012: protección infantilEn un post anterior hablaba de la importancia de que los <a href="http://legalidadinformatica.blogspot.com.es/2012/05/ser-padres-en-la-era-digital-y-no-morir.html" target="_blank">padres asuman su responsabilidad con la educación de los hijos en el uso de Internet y de medios tecnológicos</a>. Desde ese momento algunas personas me han solicitado información sobre alguna herramienta para el control parental. Aunque sigo argumentando que la concienciación supone el mejor camino, no soy menos consciente de la necesidad que supone en ocasiones el saber qué está pasando. Desgraciadamente hay muchos casos en el que el desconocimiento de las acciones que realizan los hijos puede acabar en un problema difícil de solventar. <br />
<br />
Para la plataforma Microsoft, los padres disponen del sistema de protección infantil que proporciona <a href="http://windows.microsoft.com/es-ES/windows-live/essentials-other-programs" target="_blank">Windows Essentials 2012</a>. Este programa permite la vinculación de las cuentas del equipo con una identidad tipo Windows Live, de tal forma que se puede controlar múltiples aspectos del uso de un equipo a través del servicio de <a href="http://familysafety.microsoft.com/" target="_blank">Family Safetely</a>. Activado el control sobre una cuenta de usuario local, se pueden establecer:<br />
<ul>
<li>Listas blancas y negras de aplicaciones Web.</li>
<li>Límites de tiempo para el uso de los sistemas.</li>
<li>Control de acceso a sitios mediante aprobación.</li>
<li>Restricción y control de aplicaciones locales.</li>
<li>Restricción de juegos.</li>
</ul>
Adicionalmente la solución proporciona un informe muy interesante de actividades, donde se detallan las actividades por sesiones, aplicaciones utilizadas, archivos descargados y otras acciones. <br />
<br />
Evidentemente este servicio se centra en las actividades que se producen en los equipos donde hay control de actividad. Sin embargo no hay que obviar el hecho de que en la actualidad la conexión a Internet se puede realizar de múltiples formas y por lo tanto el control necesario en todos ellos.<br />
<br />
SaludosUnknownnoreply@blogger.com1tag:blogger.com,1999:blog-5878760905756370992.post-40066750593799521782012-09-10T16:38:00.001+02:002012-09-10T21:07:50.551+02:00¿Cómo denunciar la vulneración de derechos ante la AEPD?<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En ocasiones muchas personas ven vulnerados sus derechos
contra la intimidad, siendo sus datos de carácter personal tratados de forma
inadecuada. Aunque ante este hecho cabe presentar denuncia, muchas veces no se
sabe dónde acudir o cómo hacerlo. El primer instinto consiste en presentar
denuncia por los procesos convencionales: los cuerpos de seguridad del estado.
Pero se suele desestimar puesto que se piensa que el proceso será lento y a lo
mejor no lo suficientemente importante para que llegue a buen puerto. Así que se
deshecha la idea de presentar denuncia, aun existiendo canales directos y
bastante rápidos.<o:p></o:p></span></div>
<span style="font-family: Calibri;">Es poco conocido que en lo referente a datos de carácter
personal, la Agencia española de Protección de Datos, tiene capacidad de dictamen
sancionado a través de su Director por las denuncias presentadas. <span style="mso-spacerun: yes;"> </span>Por lo tanto ante ella puede realizarse
reclamación. Pero ¿cómo puede realizarse este trámite de forma rápida?</span><br />
<span style="font-family: Calibri;"></span><br />
<span style="font-family: Calibri;">En mayo de este mismo año la Agencia de Protección de Datos,
puso a disposición de todo el mundo <a href="http://sedeagpd.gob.es/sede-electronica-web" target="_blank">su nueva sede electrónica</a>
donde se amplia la oferta de servicios de administración electrónica que ya
ofrecía la Agencia como el del sistema NOTA para la solicitud de inscripción,
modificación o eliminación de ficheros. Dentro de las posibilidades que
proporciona esta sede electrónica, se encuentra la de presentación de denuncia.<o:p></o:p></span><br />
<span style="font-family: Calibri;"></span><br />
<span style="font-family: Calibri;">Para ello el propio proceso ofrece dos posibilidades, la del
uso de certificado electrónico o a través de soporte en papel. En ambas
circunstancias hay que tener presente que la denuncia nunca es anónima y
requiere de la identificación de la persona que la realiza. En el caso del
certificado electrónico es directa, en el caso del formato en soporte papel,
debe escanearse el NIF/NIE/NIF y remitirlo junto con el formulario de forma
telemática. También si no se hace uso de certificado electrónico, la solicitud
deberá imprimirse, firmarse y presentarse ante la Agencia Española de
Protección de Datos en C/Jorge Juan nº6, 28001 Madrid o en cualquiera de las
formas que reconoce la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de
las Administraciones Públicas y Procedimiento Administrativo Común.<o:p></o:p></span><br />
<span style="font-family: Calibri;"></span><br />
<span style="font-family: Calibri;">Esta posibilidad permite que la denuncia llegue directamente
ante quien jurisprudencia administrativa para emitir procedimiento sancionador.
El proceso de la Agencia pone fin a la vía administrativa, pudiendo poner
posteriormente un recurso de reposición ante el propio Director de la Agencia o
un recurso administrativo en la Audiencia Nacional.<o:p></o:p></span><br />
<span style="font-family: Calibri;"></span><br />
<span style="font-family: Calibri;">Por lo tanto si consideras que se ha vulnerado la protección
de los datos de carácter personal, tienes a tu disposición un procedimiento
rápido ante el que ejercer tu derecho de denuncia.<o:p></o:p></span>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-40291135592856531002012-08-01T23:30:00.000+02:002012-08-01T23:33:02.236+02:00Windows Server 2012 a punto. Sidertia está preparada.Parece mentira pero hace ya algo más de cuatro años, que salió Windows Server 2008. Tuve la suerte por aquellas fechas de participar en el lanzamiento del producto junto con un gran profesional como es <a href="http://www.sidertia.com/Home/Technologies#Departamentos" target="_blank">Julián Blázquez</a>. Recuerdo como días antes de tener que presentar a profesionales IT, en un evento que organizó Microsoft para el lanzamiento del producto en España, preparábamos en un equipo in extremis el servicio de Hyper-V que se encontraba aún en fase Beta (en aquella época no resultaba fácil conseguir un equipo en condiciones para realiza las pruebas de funcionalidad de Hyper Visor) y otras características que resultaban innovadoras. Años después vemos aquellas intensas jornadas como una anécdota, que recordamos intentando obviar los malos momentos que pasamos para que aquello andara como nosotros queríamos que hiciera.<br />
<br />
Mañana Julián, compañero con el que tengo la grandísima suerte de trabajar en <a href="http://www.sidertia.com/" target="_blank">Sidertia</a>, inicia a través de un Webcast que se coordina junto con Technet un nuevo ciclo de eventos online sobre la nueva solución de Microsoft: Windows Server 2012. Me consta de primera mano que la situación en este momento resulta muy diferente a la de hace cuatro años puesto que Julián lleva ya bastante tiempo probando e investigando en la nueva versión de sistema operativo servidor.<br />
<br />
En esta primera sesión Julián abordará las nuevas novedades que ofrece la solución. Desde la perspectiva que le ofrecen años a sus espaldas en la implantación y gestión de infraestructuras de multitud de organizaciones, así como solventando situaciones criticas cual equipo SWAT, nos ofrecerá una visión de las capacidades para lacentralización de administración que se ofrecen. <br />
<br />
Este evento se realiza online mañana día 2 de agosto a las 16:00 horas y como siempre de forma gratuita. Representa un aperitivo puesto que el ciclo de eventos no queda ni mucho menos aquí. Iremos dando en la web de Sidertia avances de las nuevas sesiones, así como su contenido. Somos conscientes que las fechas quizás no sean las más propicias puesto que muchos estaréis de vacaciones pero la sesión se grabará y podrá verse bajo demanda a posteriori.<br />
<br />
Puedes registrarte al <a href="https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032522229&Culture=es-ES&community=0" target="_blank">evento a través de la web de Technet</a>.<br />
<br />
Seguimos trabajando y lo iremos compartiendo con vosotros.<br />
<br />
Saludos<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-25086134368302054302012-07-31T23:11:00.000+02:002012-07-31T23:11:32.331+02:00Cookies legalesEn marzo de este año se hacía pública en el BOE una polémica normativa que acogía una serie de modificaciones que afectaban a diferentes sectores incluido el del comercio electrónico. Motivada por las directivas europeas 2009/136 y 2002/58, de tratamiento de datos de carácter personal y a la protección de la intimidad en el sector de las comunicaciones electrónicas, se establecía la necesidad de reformular determinados artículos de la Ley 34/2002 (LSSI-CE).<br />
<br />
<span style="font-family: inherit;">Como tal, el 30 de marzo se publicaba el<a href="http://www.minetur.gob.es/energia/es-ES/Novedades/Documents/RDL%2013_2012%20transponen%20directivas.pdf" target="_blank"> Real Decreto-ley 13/2012</a>, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Se reformulaba a través de su texto el artículo 22 de la LSSI-CE quedando definido así:</span><span style="font-size: x-small;"></span><br />
<span style="font-size: x-small;"><div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
</div>
</span><div style="text-align: left;">
<span style="font-family: inherit;"><em>"Artículo 22. </em><em>Derechos de los destinatarios de servicios.</em></span></div>
<br />
<em><span style="font-family: inherit;">1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.</span></em><br />
<br />
<em><span style="font-family: inherit;">A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.</span></em><br />
<br />
<em><span style="font-family: inherit;">Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.</span></em><br />
<br />
<em><span style="font-family: inherit;">2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.</span></em><br />
<br />
<em><span style="font-family: inherit;">Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.</span></em><br />
<em><span style="font-family: inherit;">
</span></em><span style="font-size: x-small;"><em><span style="font-family: inherit; font-size: small;">
</span></em></span><br />
<span style="font-size: x-small;"><em><span style="font-family: inherit; font-size: small;">Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."</span></em><br />
<br />
</span>Esta normativa condiciona algunos aspectos de funcionalidad de contenido web de las empresas españolas que hacen uso de los servicios de internet como mecanismo para el comercio electrónico. Por ejemplo de aquellas que se haga un empleo de cookies para almacenar información del usuario y para los que podría ser necesario requerir información de consentimiento. No obstante hay que hacer una serie de matizaciones puesto que no en todas las circunstancias dicho consentimiento es requerido sino que podría consederarse implícito. El grupo de trabajo del artículo 29 de protección de datos de la Unión Europea ha emitido un <a href="https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/junio/120612_pr_cookie_es.pdf" target="_blank">dictamen el 12 de junio</a> al repecto estableciendo las debidas matizaciones.<br />
<br />
Hablaremos con detenimiento en futuros post en qué medida afectan a las organizaciones y que deben hacer para cumplir esta nueva adaptación a la protección de datos.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-51189650970673842502012-07-24T23:28:00.001+02:002012-07-24T23:30:19.319+02:00LOPD. Régimen sancionador<span style="font-family: Calibri;">En un proyecto en el que me encuentro involucrado sobre
análisis de LOPD, ha surgido el tema de la aplicación del régimen sancionador.
A pesar de que la propia Ley Orgánica establecía dicho régimen, de una
u otra forma esta debería adaptarse a las nuevas condiciones y reglas de juego.
<o:p></o:p></span><br />
<br />
<span style="font-family: Calibri;">Me he dado cuenta tras revisar las notas que tengo, que en el
blog no había publicado precisamente que había habido una cambio significativo
con respecto al mismo. Aunque este aspecto es del año pasado quizás para muchos
pasara desapercibido por el contexto en el que hizo público. <o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">El 4 de marzo del año 2011, hacía su aparición la <a href="http://www.boe.es/boe/dias/2011/03/05/pdfs/BOE-A-2011-4117.pdf" target="_blank">ley 2/2011de Economía Sostenible</a>. A
través de su disposición final quincuagésima sexta, se realizaba la
modificación de la Ley Orgánica 15/1999 en el apartado del régimen sancionador.
Se modifican para ello los artículos 44, 45, 46 y 49, reformulando los originales. <o:p></o:p></span></div>
<span style="font-family: Calibri;">Además de adaptar las cuantías económicas al Euro, modifican
algunas causas significativas para condicionar si las faltas son leves, graves
o muy graves. Incorporan también un factor muy importante para el cálculo de
las cuantías sancionadoras, el volumen de negocio o actividad del infractor, aunque no se establece en que medida se valora. De
esta forma se aplica un condicionante corrector. Este de una u otra forma incide
en el hecho de intentar ser equitativo con respecto a la importancia de la organización y su
capacidad para el cumplimiento de la norma.</span><br />
<br />
<span style="font-family: Calibri;">Quizás pueda parecer peculiar el contexto en el que se
presenta la modificación, junto con un conjunto de normas dispares agrupadas
bajo el lema de Economía Sostenible. En el contexto actual resulta irónico el formulismo empleado para la generación de un régimen sancionador que
puede tener el triple carácter de forzar el hacer las cosas bien, de ser
ejemplarizante y no obstante también recaudador.<o:p></o:p></span><br />
<br />
<span style="font-family: Calibri;">Motivador o no el régimen sancionador resulta un factor inspirador
(si no el más importante) para que las empresas se lo tomen en serio y hagan
sus deberes.<o:p></o:p></span>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-5878760905756370992.post-54327906082507621082012-07-04T22:58:00.002+02:002012-07-04T23:01:10.231+02:00Gestión de dispositivos móviles<span style="font-family: Calibri;">Los dispositivos móviles se han convertido en un elemento esencial
en el día a día de muchas personas. Utilísimos mire por donde se miren, constituye
no obstante un verdadero problema para muchas organizaciones. Dispositivos que
se pierden, malas configuraciones implementadas, múltiples sistemas diferentes,
etc., a la larga supone un aumento significativo del coste de administración y
la pérdida de la centralización.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">A día de hoy las organizaciones no pueden permitirse el lujo
de tener sistemas descontrolados, máxime cuando la potencia de estos medios es
tan creciente que en circunstancias pueden sustituir a los equipos más
tradicionales. Cada vez contienen y<span style="mso-spacerun: yes;">
</span>manejan mayor cantidad de información sensible para una empresa. Se
almacenan múltiples contraseñas, se utilizan aplicaciones que, como en el caso
del correo electrónico, pueden interactuar con medios de la organización,
permiten implementar VPN, etc. Supóngase solo por un instante que la
configuración del dispositivo recae exclusivamente en el usuario, sin que un
departamento IT pueda intervenir o modificar su gestión. Es fácil entender <span style="mso-spacerun: yes;"> </span>la cantidad de problemas que pueden plantearse
en un caso como el robo del mismo sin las medidas de seguridad adecuadas. El
control por lo tanto de una infraestructura debe transcender desde los equipos <span style="mso-spacerun: yes;"> </span>tradicionales y saltar también a la gestión de
los dispositivos móviles. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Este viernes 6 de Julio a las 16:00, <a href="http://www.saenzguijarro.com/" target="_blank">Joshua Saenz</a>, Director
Técnico de Arquitectura de Servidores de <a href="http://www.sidertia.com/" target="_blank">Sidertia Solutions</a>,<span style="mso-spacerun: yes;"> </span>conducirá un Webcast de Microsoft abordando
esta temática. Mostrará para ello las nuevas capacidades aportadas por MS System
Center Configuration Manager 2012 y la integración con ActiveSync y MS Exchange
Server 2010, para dotar a una organización de los mecanismos necesarios para
que la administración de los dispositivos sea viable.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Como en todos los Webcast de Microsoft Technet, la
inscripción es gratuita y supone además una excelente oportunidad para poder preguntar
y hablar con un profesional de la calidad y experiencia con la que cuenta
Joshua Sáenz.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;"><a href="https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032515457&Culture=es-ES" target="_blank">Inscripción en el webcast: Gestión dedispositivos móviles.</a></span></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-17768432022556047732012-06-04T14:06:00.001+02:002012-06-04T14:06:58.992+02:00La ley en juego<span style="font-family: Calibri;">Tras la concesión el pasado 1 de Junio de las licencias de
juego, se pone el marcha el proceso final para que las organizaciones se
adecúen a la Ley 13/2011 sobre regulación del juego. Hasta la fecha la
situación se encontraba en un escenario muy incómodo para aquellas empresas que
deseaban regularizar la situación del juego on line, que tan popular se ha
hecho en Internet.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Es cierto que la complejidad jurídica que implica todo lo
relacionado con Internet hace que sea <span style="mso-spacerun: yes;"> </span>muy difícil regular algo tan interesante como
el juego on line, pero la cosa está bastante seria desde la aparición de la
norma. De hecho existe una importante polémica en cuanto a la no posibilidad de
transferir cuentas existentes desde los dominios.com a los nuevos sistemas de
juegos exigidos <span style="mso-spacerun: yes;"> </span>y regulados por la Ley
13/2011 en dominio .es. <span style="mso-spacerun: yes;"> </span>El régimen sancionador
también es para tomárselo en serie con multas de hasta 50 millones de euros y
pérdida de la licencia.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Tengo que decir que la normativa en lo que respecta a la
aplicación técnica tiene su aquel. He podido participar con Sidertia Solutions en
un proyecto de adecuación a dicha norma y la verdad es que la cuestión es
bastante compleja no solo en sí por la propia regulación del juego, sino también
por la aplicación de medidas de índole técnica y organizativa que hacen
necesaria su homologación. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Al plantel de medidas recogidas en otras leyes, debemos sumar
por lo tanto también las necesidades establecidas a través del RD 1613/2011
sobre el desarrollo de la Ley 13/2011 y la orden de 16 de noviembre de 2011 de
la DGOJ de las especificaciones técnicas que deben cumplir los sistemas
técnicos de juego. Cual ISO 27000 se describen las implementaciones técnicas y
organizativas para garantizar la seguridad y control de lo relacionado al juego
y los sistemas que lo soportan. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Está claro que todo lo que se relaciona con el juego (y por
tanto con un factor económico esencial) tiene unas connotaciones a veces
negativas: fraude, operaciones ilícitas, blanqueo, etc. La regulación va
enfocada también a ejercer un control férreo de los procesos e impedir la
manipulación de las operaciones. La cosa es bastante seria, y deja muy atrás en
lo concerniente a exigencias de cumplimiento, a otras leyes como la LOPD o la
LSSI-CE.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">La jugada ya está en marcha y la necesidad de adecuación
corre prisa. Por medio, procedimientos de homologación, auditorías, <span style="mso-spacerun: yes;"> </span>implementaciones, diseños, análisis, gestión
de registros… vamos mucho trabajo y poco tiempo, máxime cuando se acercan
acontecimientos como la Eurocopa o las olimpiadas que estarán en el punto de
mira de muchas organizaciones relacionadas con el juego.<o:p></o:p></span></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-76862605620540668752012-05-23T21:43:00.004+02:002012-05-23T21:43:31.449+02:00Ser padres en la era digital y no morir en el intento<span style="font-family: Calibri;">Que el salto generacional es algo tangible, no extraña a
nadie. Las nuevas generaciones nacen con los sistemas digitales como una forma
natural de comunicación y acercamiento al mundo. Desde muy pequeños se sienten
atraídos hacia el uso de las tecnologías. Han cambiado las formas de jugar, de
interactuar y de estudiar. Las pizarras digitales dejan paso a las odiosas
tizas ofreciendo alternativas que hasta hace bien poco eran inimaginables.<o:p></o:p></span><br />
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Sin embargo todas esas mejoras entrañan también sus
innegables problemas. Uno de los fundamentales es el distanciamiento existente
entre padres e hijos en cuestión tecnológica. Aunque siempre se ha manifestado
en la mentalidad de los más jóvenes cierto rechazo hacia la de los más maduros,
el distanciamiento a día de hoy es considerable. Las diferencias tecnológicas
son cuantiosas y mientras mucho de nosotros empezamos con las famosas “maquinitas”
a día de hoy tener un móvil o una consola a temprana edad es algo cotidiano.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Para muchos, temas como el sexting o el grooming no
representan nada conocido sin embargo es algo con lo que conviven los jóvenes y
los padres deberían conocer. Desasociarse de la era digital supone mucho más
allá de lo que supone el distanciamiento generacional. Si un hijo tiene un
problema difícilmente podremos darle la respuesta o comprensión requerida.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Sería importante para ello compartir tiempo <span style="mso-spacerun: yes;"> </span>con ellos en estos temas y aprender junto a
ellos. Ese tiempo es algo tan preciado a día de hoy, que parece nunca tenerlo
para los más cercanos, sin embargo es indispensable dedicárselo a quien más se
lo merece. Para ello os recomiendo (y también podéis compartir y a buen seguro
os agradecerán) una serie de juegos educacionales relacionados con la seguridad
informática que sirven de entretenimiento, son educativos y permiten acercar
posturas y cercanía con los nuestros.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Como hasta en las edades hay diferencias apreciables en
contenido y en forma de interactuar os propongo dos espacios diferentes.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">El primero de ellos es para los peques de la casa. La web
protege tu información, creada por ISMS Forum Spain, <a href="http://www.protegetuinformacion.com/infantil/practicas.php?id_perfil=100&p=1" target="_blank">propone una serie dejuegos en su sección infantil</a>. Esta web muy cercana a diferentes temáticas
relativas a la vida personal, representa una forma muy efectiva de tomar medida
del mundo digital.</span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">El segundo está más pensado para los más mayorcitos,
cercanos a la edad adolescente (o los que están en ella). Pensado como un
Trivial presenta temáticas más maduras con una reflexión muy importante que
enseña los riesgos existentes en Internet y la importancia de la protección
personal y de nuestros datos. <a href="http://www.cuidatuimagenonline.com/" target="_blank">Privial, de cuida tu imagen online</a>,
supone una apuesta muy interesante para conocer los problemas que existen en Internet
<span style="mso-spacerun: yes;"> </span>y lo importante que es tomarse las cosas
en serio.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">No tenéis ya una excusa para compartir tiempo y conocimiento
con vuestros seres más queridos. Recordad que la distancia supone un abismo a
veces tan insalvable, que las soluciones desgraciadamente pueden llegar muy
tarde. Ellos, que son los más desprotegidos, necesitan de nuestra ayuda aunque
crean que no. No hagáis que el salto tecnológico suponga una distancia
insalvable y que la ayuda sea imposible por no saber.<o:p></o:p></span></div>Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-5878760905756370992.post-19880085680950023102012-05-07T23:17:00.000+02:002012-05-07T23:17:20.942+02:00LOPD y Dropbox<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Recientemente me ha llegado al correo una petición de si
podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio
de Dropbox como un sistema de almacenamiento para el backup de datos e incluso
intercambio de información.<span style="mso-spacerun: yes;"> </span>Aunque ya di
respuesta, considero que puede ser un tema interesante y quiero compartirlo con
todos vosotros.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Inicialmente se plantean desde este hecho dos problemas
fundamentales en lo concerniente a la gestión de datos de carácter personal:<o:p></o:p></span></div>
<br />
<div class="MsoListParagraphCxSpFirst" style="margin: 0cm 0cm 0pt 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;">
<span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;"><span style="font-family: Calibri;">-</span><span style="font-size-adjust: none; font-stretch: normal; font: 7pt/normal "Times New Roman";">
</span></span></span><span style="font-family: Calibri;">¿Dónde se encuentra el servicio y cómo se
aloja la información?<o:p></o:p></span></div>
<br />
<div class="MsoListParagraphCxSpLast" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;">
<span style="mso-ascii-font-family: Calibri; mso-bidi-font-family: Calibri; mso-fareast-font-family: Calibri; mso-hansi-font-family: Calibri;"><span style="mso-list: Ignore;"><span style="font-family: Calibri;">-</span><span style="font-size-adjust: none; font-stretch: normal; font: 7pt/normal "Times New Roman";">
</span></span></span><span style="font-family: Calibri;">¿El proveedor accede a la información alojada en
su sistema?<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En la primera de las circunstancias habría que tener
presente la posible transferencia internacional de datos, y posiblemente estar sujeto
a comunicación a la AEPD e incluso la necesidad de solicitar permiso en
determinadas circunstancias. También hay que tener presente las posibles
condiciones particulares del servicio y la posible necesidad para que el
prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el
acceso a la información en determinadas circunstancias. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En la segunda hay que tener en cuenta que para la prestación
del servicio, el proveedor podría necesitar acceder a la información subida.
Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo
necesario establecer el acuerdo y las condiciones legales requeridas en esta
circunstancia por la Ley Orgánica 15/1999.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Para analizar la situación lo mejor es analizar los <a href="https://www.dropbox.com/terms" target="_blank">términos de servicio y visión de la seguridad</a> que se establece con Dropbox. En algunas
circunstancias se comenta con respecto al tratamiento de datos de carácter
personal, que puesto que la información se transfiere y almacena de forma
cifrada, se cumplen las condiciones necesarias para que no puedan ser
consideradas como un fichero de datos tratable por el proveedor. Sin embargo si
se analiza la política de privacidad puede extraerse la siguiente información:<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<i style="mso-bidi-font-style: normal;"><span style="font-family: Calibri;">“<span class="slugline">Cumplimiento
de las leyes y solicitudes de aplicación de las leyes; protección de los
derechos de Dropbox.</span> Podemos divulgar a partes ajenas a Dropbox los
archivos almacenados en su Dropbox e información relativa a usted que
recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente
necesaria para (a) cumplir con una ley, reglamentación o solicitud legal
obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte
o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus
usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si
proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley
según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los
archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”<o:p></o:p></span></i></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Un dato interesante consiste en que el cifrado es de tipo
reversible y la información almacenada, podrá ser facilitada a otros. La causas
para ello, podrán ser legales o no.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">La condición del cifrado se proporciona definitivamente en
el documento sobre la visión general de la seguridad:<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;"><i style="mso-bidi-font-style: normal;">“Ciframos los archivos
que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de
cifrado usada por bancos para proteger datos de los clientes. El cifrado para
el almacenamiento se aplica después de cargados los archivos y nosotros
administramos las claves de cifrado.”</i> <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En el contrato hay que tener presente que la solicitud de
eliminación de la información, podría implicar que no fuera eliminada
totalmente por parte del proveedor y por lo tanto los ficheros de datos
accesibles por ellos.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<i style="mso-bidi-font-style: normal;"><span style="font-family: Calibri;">“Conservaremos su
información durante el tiempo que su cuenta permanezca activa o bien según
resulte necesario para prestarle servicios. Si desea cancelar su cuenta o
solicitar que dejemos de usar su información para brindarle servicios, puede
eliminar su cuenta aquí. Podemos conservar y usar su información según sea
necesario para cumplir con nuestras obligaciones legales, resolver disputas y
exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos,
intentaremos eliminar su información rápidamente una vez recibida su solicitud.
No obstante, tenga en cuenta que puede existir cierta latencia al eliminar
información de nuestros servidores y después de dicha eliminación, pueden
existir versiones de copias de seguridad. Además, no eliminaremos de nuestros
servidores archivos que tenga en común con otros usuarios.”<o:p></o:p></span></i></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Se recoge también en el documento sobre visión de seguridad,
la política de acceso a la información subida al servicio:<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<i style="mso-bidi-font-style: normal;"><span style="font-family: Calibri;">“Los empleados de
Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu
cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos
(por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría
de servicios en línea, tenemos un grupo pequeño de empleados que tienen que
poder obtener acceso a los datos de usuario por los motivos mencionados en
nuestra política de privacidad (por ejemplo, cuando sea necesario por razones
legales). Pero es una excepción poco frecuente, no la regla. Tenemos una
estricta política y controles de acceso técnico que prohíben que los empleados
obtengan acceso excepto en estas circunstancias poco frecuentes.”<o:p></o:p></span></i></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Tal y como se ha recogido puede entenderse por lo tanto que
existe una transferencia de datos a un servicio con un cifrado reversible y
accesible por parte del proveedor. Es más, establecen que podrán, en
determinadas condiciones y por parte de determinadas personas, acceder a la
información existente. En el caso de datos de Carácter Personal si nos ceñimos
a la normativa, existiría la necesidad de realizar un contrato como encargado
de tratamiento, cuestión que evidentemente no se realiza con Dropbox.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Por lo tanto las organizaciones no deberían utilizar este
servicio para el almacenamiento de datos de carácter personal, por mucho que se
pueda garantizar la seguridad y<span style="mso-spacerun: yes;"> </span>muy
atractivo sea la posibilidad ofrecida.</span></div>Unknownnoreply@blogger.com5tag:blogger.com,1999:blog-5878760905756370992.post-12483062823075686262012-05-01T16:02:00.000+02:002012-05-01T16:02:58.111+02:00Doctor, ¿cuánto he madurado?<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En muchas ocasiones los administradores me piden que evalúe
qué tal va la seguridad de sus sistemas. Este análisis es una de las más
complicados de efectuar, puesto que la referencia requiere de parámetros y
métricas. Cada cual maneja las suyas (dependen a veces de las cualidades
intrínsecas de la organización) y van en función de las condiciones existentes
e incluso de las circunstancias en determinados momentos.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">En estos días estoy mejorando mi
propia experiencia para los procesos de análisis. Para ello estoy realizando
diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta
múltiples aspectos y de los que me ha resultado muy instructivo la lectura de
un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing
Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados
axiomas en los que herramos indefectiblemente cuando queremos establecer
parámetros para cuantificar la seguridad. Las ideas que se manejan son
transgresoras con determinados modelos de métrica y análisis de seguridad… pero
es que en esencia lleva mucha razón en sus planteamientos.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">Hasta la fecha tenía en cuenta la
aplicación de los modelos convencionales para la gestión de seguridad en las
organizaciones, sin embargo los modelos teóricos no se ajustan bien a las
organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y
a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben
dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque
dependen más de la actuación de la organización, ofrecen mejores respuestas
cuando surge la necesidad de ser reactivo.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">Definir un modelo ajustado a la
organización asumo que dependerá de la madurez de la organización y de un
proceso evolutivo, puesto que la mejor referencia de seguridad para una
empresas reside en ella misma. Los parámetros del mercado, aunque interesantes,
no son válidos puesto que no tiene en cuenta las peculiaridades de la misma.
Pueden ser tomados como referencia, pero nunca como objetivos taxativos a
alcanzar. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">La madurez en los usos informáticos
de la propia organización ofrecen esa primera visión necesaria que permite
cuantificar y cualificar la seguridad de la organización. Desde <a href="http://www.sidertia.com/" target="_blank">Sidertia</a>
estamos llevando a cabo campañas de concienciación de seguridad de
organizaciones con las colaboramos y que nos permiten ver por un lado la
evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo
a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance
de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar
con todos y también, muy importante, el explicar a todos el “por qué de
determinadas cuestiones”. Esa visión permite ver realmente la seguridad que
espera el negocio y por lo tanto aplicar la métrica en función de la misma. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">Cada organización es un mundo en sí
misma, y aunque determinados aspectos de la seguridad son comunes a todas (un
antivirus en un antivirus siempre), otros requieren desviar esfuerzos
(económicos y personales) en función de las necesidades. ¿Qué es mejor invertir
en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente
de los sistemas? Pues seguro que esto depende del tipo de la organización.
Seguramente los dos son necesarios pero una empresa que tenga un gran número de
desplazados (como comerciales) y este sea una capa de negocio esencial deberá
maximizar la segunda de las opciones en detrimento de la primera.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt; tab-stops: 21.3pt;">
<span style="font-family: Calibri;">Por lo tanto los axiomas que a
menudo se aplican para medir la seguridad de la organización, resultan caducos.
Cuando aprenderemos que un antivirus y un firewall no es la seguridad que
requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que
sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa
puede abrirte en gran medida a las inquietudes de la organización y hablarte de
sus necesidades.<o:p></o:p></span></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-31762510209046418842012-04-24T21:41:00.001+02:002012-04-24T21:41:28.759+02:00Esto de la LOPD ¿se cumple?<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">En demasiadas ocasiones ya he oído la frase: pero esto de la
LOPD, no lo cumple nadie. En otra más que una afirmación, me la convierten en
una pregunta ¿pero esto de la LOPD lo hace alguien? Evidentemente nadie puede tener
los datos de cuántos realmente cumplen con la LOPD tal y cual los estipula el
RD 1720/2007, pero sí al menos, se da la información de cuantos ficheros se
encuentran inscritos en la Agencia Española de Protección de Datos.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">A finales de Marzo la cifra de ficheros inscritos tanto de
titularidad pública como privada, era de 2.719.739 ficheros. ¿Un dato alto? Aunque
lo parezca, esto no referencia realmente empresas, si no la de los ficheros.
Muchas empresas cuentan con un gran número de ficheros. También hay que tener
en cuenta que asociaciones, comunidades de vecinos, etc., tienen también la
obligación de declarar sus ficheros. Evidentemente la cifra no es tan alta como
debiera, pero realmente supone un logro.<o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Fijémonos en el dato de que con la que está cayendo, solo en
el mes de marzo, se dieron de alta 47.066 ficheros nuevos. Esto establece que
hay voluntad, aunque solo sea que el miedo a la sanción, supera otras
circunstancias. <o:p></o:p></span></div>
<br />
<div class="MsoNormal" style="margin: 0cm 0cm 10pt;">
<span style="font-family: Calibri;">Por sectores el que más ficheros inscritos tiene es el de
las comunidades de propietarios con 335.307, seguido por el comercio con
299.957. Lo dicho anteriormente no era broma aunque muchos así lo crean cuando
lo digo en formaciones o eventos. Las comunidades de propietarios están
obligadas a declarar ficheros y también a aplicar la normativa de
videovigilancia.<o:p></o:p></span></div>
<span style="font-family: "Calibri","sans-serif"; font-size: 11pt; line-height: 115%; mso-ansi-language: ES; mso-ascii-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-language: AR-SA; mso-bidi-theme-font: minor-bidi; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin; mso-hansi-theme-font: minor-latin;">Si quieres ver los datos completos, se publican en <a href="http://www.agpd.es/portalwebAGPD/ficheros_inscritos/estadisticas/common/pdfs/2012/est201203.pdf" target="_blank">las estadísticas mensuales que publica la AGPD</a>. </span>Unknownnoreply@blogger.com5tag:blogger.com,1999:blog-5878760905756370992.post-18719155863565087382012-04-20T00:28:00.000+02:002012-04-20T07:43:48.435+02:00El acuerdo de Schengen en el aire...Uno de los valedores principales de la aparición de la protección de datos de carácter personal, lo supuso el acuerdo de Schengen. Entre otras muchas cosas se establecía la libertad de tránsito dentro del espacio común europeo, legitimando la necesidad de compartir medidas y controles en un marco común. Pues ayer mismo se daban dos noticias bastante curiosas con respecto al mismo.
<br />
<br />
Por un lado Francia y Alemania, hablan de la posibilidad de realizar cierres de fronteras provisionales ante determinadas circunstancias. Por ejemplo en el caso de que no se consiga controlar el flujo masivo de inmigrantes. Esto permitiría que ante una posibilidad de que un país no pueda realizar el control de acceso reglado en el espacio europeo, otro colindante al mismo pueda servir de freno cerrando unas fronteras que llevan casi 17 años sin dar esa funcionalidad.
<br />
<br />
La otra noticia me preocupa más. Ayer 19 de Abril se aprobaba en el Parlamento Europeo un acuerdo que obliga a aerolíneas europeas que vuelan con origen o destino a EEU (o bien hacen escala) a transmitir toda la información de los pasajeros. Incluido entre otros, datos simples como el nombre y apellidos pero otro más peligrosos como el la información de la tarjeta de crédito con el que se haya realizado la compra del billete. También si ha hecho una petición especial de comida por motivos religiosos o de otra índole.
La información se almacenará de acorde a unos tiempos estipulados, de tal forma que inicialmente se eliminará la información sensible, luego se despersonalizaran y finalmente pasarán a una lista inactiva hasta que sean eliminados.
<br />
<br />
De forma previa existía un acuerdo del año 2004 en el que para garantizar la lucha antiterrorista podrían compartir la información. No habría información directa a los datos de los pasajeros sino que habría que solicitar la información al Departamento oportuno y caso por caso, previa justificación de la necesidad y siempre garantizando la seguridad de los datos proporcionados.
Bueno pues parece que lo que nos dan por un lado por otro nos lo acaban quitando. <br />
<br />
Queda claro que esto de la protección de datos se toma en serio en función de determinados intereses. Si hace poco hablaba de las iniciativas que se iban a llevar a efecto para garantizar la seguridad de los datos en Internet, luego no salen con algo como esto, donde nuestros datos más sensibles pasan a formar parte de una base de datos manejada por váyase a usted a saber quien.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-83977195909343511082012-04-16T09:51:00.007+02:002012-04-16T10:03:12.518+02:00Flu ProjectAllá por finales del año 2010 dos prometedores jóvenes me presentaron un proyecto que habían ido madurando durante un tiempo y que se llamaba Flu (como el nombre que recibe un espécimen de virus biológico). En diciembre del año 2010 hacían público el mismo a través de su sitio web <a href="http://www.flu-project.com">Flu Project</a>.<br /> <br />He tenido la suerte de trabajar junto a ellos y ver su progresión. A día de hoy Pablo González y Juan Antonio Calles son dos profesionales como la copa de un pino y con todas aquellas virtudes que hacen que puedan destacar en este mundo competitivo. Puesto que he podido seguir sus carreras desde muy cerca, no podré decir que ha sido algo fácil para ellos en un mundo y escenario tan complejo como el actual, en los que a veces la juventud puede suponer un lastre. Evidentemente, lo han superado con tesón, dedicación y buen hacer, consiguiendo aupar su proyecto personal (y también el profesional) a la envergadura de lo que representa a día de hoy.<br /><br />Ese esfuerzo tiene su recompensa y llega poco a poco. Evidentemente este proyecto supone una inversión muy grande en el terreno personal y en muchas ocasiones como única recompensa, la satisfacción de hacer bien las cosas y un reconocimiento profesional que llega poco a poco. Son ya significativas las intervenciones que han realizado en congresos, presentando y exponiendo su trabajo. Es digno de mencionar las posibilidades que en determinados escenarios (como el de la identificación y detención de pederastas) puede ser utilizado su herramienta principal, tal y como expusieron en la <a href="http://www.flu-project.com/ponencia-en-la-no-con-name-2k11.html">No cON nName 2011</a>, en un ejemplo más de lo insospechado que puede llegar a ser el uso de cierto software. <br /><br />Sirva desde este post mi más sincera enhorabuena por el trabajo realizado y por su puesto con un camino muy grande todavía de recorrer que espero esté repleto de éxitos. Por mi parte tal y como les propuse voy a colaborar a través de vuestro blog, aportando mi granito de arena. A través de mi visión sobre los <a href="http://www.flu-project.com/un-forense-llevado-a-juicio-i-de-x.html">casos forenses y como se deben tratar de un punto de vista judicial </a>en una cadena que comenzó la semana pasada.Unknownnoreply@blogger.com3tag:blogger.com,1999:blog-5878760905756370992.post-44813590118729130412012-04-11T09:43:00.004+02:002012-04-11T09:52:57.485+02:00Legislación informática internacionalDeterminados proyectos, que se acometen especialmente desde multinacionales o empresas que quieren posicionarse en otros países, se enfrentan a la posibilidad de estar sujetas a normativas diferentes e incluso a veces contradictorias. También es importante que los profesionales de las organizaciones conozcan a qué enfrentarse, puesto que sus acciones podrían ser miradas con diferentes raseros en función de donde se encontraran.<br /><br />Para un proyecto en el que me encuentro inmerso, he estado buscando información sobre diferentes leyes y jurisprudencia aplicables a la informática, que pueden darse en diferentes países y me he encontrado con esta pequeña joya: <a href="http://www.informatica-juridica.com/legislacion/">informática-juridica.com</a>. Organizada por países, se encuentran tanto las normativas destacadas y las modificaciones existentes. Así por lo menos lo he podido cotejar de la legislación española y de algunos países europeos de los cuales también conozco parte de su normativa.<br /><br />Esta información como no ofrece una valiosa información para todos aquellos que necesitan conocer como pueden ser afectados sus intereses o en que afectarías a los trabajadores determinadas acciones. Evidentemente esto no es ni más ni menos que la punta del iceberg puesto que queda ir evaluando cada una de las normativas y comparando las acciones, cuestión que será bastante laboriosa pero los resultados serán bastante interesantes. <br /><br />Por ejemplo hay datos significativos como que determinados países tales como Venezuela presenta una normativa específica sobre delitos informáticos. Me han resultado curiosos muchos de los textos en esa norma, quizás porque se aleja mucho de la visión que desde España tenemos de los delitos informáticos o bien de nuestra normativa. Sirva de ejemplo este texto recogido del artículo 17 de esa ley:<br /><br /><em>“Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.”</em><br /><br />Está claro que en cada país tienen su visión de la tipificación de los delitos y las penas que pueden imputarse.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-5448021828762867682012-04-09T10:24:00.001+02:002012-04-09T10:26:53.924+02:00Obligación de informar. RD 13/2012La evolución tecnológica y en materia de protección es algo patente en los mercados actuales y las normativas más tarde o temprano acaban adaptándose a ellas. A veces con una gran norma o en ocasiones con modificaciones puntuales a través de un Real Decreto, se producen cambios que pueden afectar en mayor o menor medida a diversas organizaciones. Este es el caso del <a href="http://www.boe.es/boe/dias/2012/03/31/pdfs/BOE-A-2012-4442.pdf">Real Decreto 13/2012 </a>que se hace público el 31 de marzo de 2012 a través del Boletín Oficial del Estado. Este RD entró en vigor el 1 de abril del mismo año a excepción de una modificación de la Ley 34/1998 y la disposición final segunda.<br /><br />Este RD recoge muchos epígrafes de modificaciones de diferentes Leyes. Aunque en gran medida afectan fundamentalmente a la Ley 54/1997 del sector eléctrico, también se recogen apartados sobre la Ley General de Telecomunicaciones y la Ley de servicios de la sociedad de la información y del comercio electrónico.<br /><br />Entre las diferentes medidas recogidas, establecen la necesidad de fortificación y sobre todo de comunicación a los prestadores de servicios de comunicaciones electrónicas, cuando se detecte por parte de las compañías que ha existido una violación de sus infraestructuras. En algunas circunstancias dicha obligatoriedad podría llegar a que fuera necesaria la comunicación a los abonados cuando afectaran a datos de carácter personal. Dicha modificación viene dada por la necesidad de cumplir las Directivas 2009/136/CE y 2009/140/CE. Este hecho deriva de la necesidad de información, motivada fundamentalmente cuando una organización es atacada, y no teniendo las medidas de seguridad adecuadas, les roban información de sus usuarios. En estos últimos años se han dado muchas de estas casuísticas.<br /><br />Con respecto a las modificaciones de la Ley 34/2002 LSSI-CE, se adecúa su normativa a la Directiva 2009/136/CE del Parlamamento Europeo y del Consejo de 12 de julio de 2002. Se establece la prohibición de enviar correos electrónicos tipo publicitarios sin quedar constancia del remitente. Sin embargo la modificación más importante corresponde a la modificación del artículo 22. En su punto 2 se recoge la necesidad de comunicar y solicitar el consentimiento al usuario sobre los archivos o programas informáticos (tales como las cookies) que almacenan información en el equipo del propio usuario y permitan que se pueda acceder a información vinculada a la Ley 15/1999 LOPD, sin que el usuario inicialmente fuera consciente de este hecho. Para recoger el consentimiento de los usuarios se deberá hacer uso de los parámetros adecuados del navegador o de otras aplicaciones cuando sea técnicamente posible.<br /><br />Esta última modificación, supone ir un poco más allá en lo que respecta al tratamiento de datos de carácter personal. De esta forma, la despreocupación con la que se trataba en determinadas circunstancia la información de los usuarios en sus propios equipos toma un nuevo rumbo. Muchas personas no son conscientes de la importancia de ficheros que como las cookies recoge información de la conexión o de datos personales y que son almacenadas en el equipo, siendo en ocasiones totalmente legibles. Esta información pudiera ser accesible por otros sin que estos fueran conscientes de ello (por ejemplo si utilizan un equipo tipo kiosco). La obligación de informar llega por lo tanto un punto más allá y une aún más la relación entre la LSSI-CE y la LOPD.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-27070627814919394682012-04-04T12:55:00.004+02:002012-04-04T13:11:06.722+02:00Webcast sobre Esquema Nacional de seguridad. Optimiza las operaciones.La implementación de la seguridad en el Esquema Nacional de Seguridad y especialmente la necesidad de análisis y seguimiento inicial, requieren de un esfuerzo personal y económico significativo. A esto hay que sumar que los proyectos de implementación del Esquema Nacional de Seguridad son perdurables en el tiempo y elementos tales como la gestión de activos o el control de la seguridad, pueden llegar a ser un verdadero quebradero de cabeza.<br /><br />“Con la que está cayendo” realizar una inversión en este sentido puede resultar en ocasiones prohibitivo. Como no el reutilizar un sistema existente o maximizar las funciones de algo ya en producción o en previsión de implementarse con otros objetivos, para cumplir estas medidas constituye una previsión muy a tener en cuenta. Pues bien teniendo como objetivos estas premisas voy a conducir dos Webcast junto a <a href="http://technet.microsoft.com/es-es/ms376608">Microsoft Technet </a>donde se tratarán estos aspectos con uno de los productos con el que más tiempo he convivido y de los más queridos para mí: System Center Configurarion Manager. Estas acciones tendrán lugar los días 17 y 19 de Abril a las 16:00 horas y como siempre en este formato, en modo Online y gratuito.<br /><br />A través de estos dos eventos mostraré a extraer el jugo a este producto como apoyo en la implementación del ENS dentro de las medidas de explotación del marco operacional. Gestionar y controlar lo que se tiene, y prever su evolución es un aspecto esencial dentro del Esquema Nacional de Seguridad, y son tareas que SCCM con sus múltiples funcionalidades permiten que puedan ser llevadas a cabo de una forma efectiva. Como siempre en este tipo de acciones se podrán realizar consultas, pudiendo compartir con vosostros la experiencia adquirida en estas lides.<br /><br />Aunque la orientación fundamental de los dos Webcast es hacia la implementación del Esquema Nacional de Seguridad, puede resultar muy interesante también en aquellas organizaciones que vean System Center Configuration Manager como una herramienta más para la evaluación de la seguridad. O bien en aquellas que no se han planteado nunca poder asomarse a esta capacidad de gestión de la seguridad para obtener partido de ella. Por ejemplo en el uso de las funcionalidad de la Configuración Deseada o la generación de informes enfocadas al inventariado de la seguridad en la organización.<br /><br />Estas dos acciones se encuadran dentro de un marco continuado de Webcast, donde el equipo de Sidertia iremos dando cumplida cuenta del uso e implementación del Esquema Nacional de Seguridad con productos Microsoft y del que ya os iré anunciando.<br /><br />Os dejo a continuación los dos enlaces correspondientes para aquellos que queráis asistir al evento que se realizará en modalidad Online.<br /><br /><a href="https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032511034&Culture=es-ES">Gestión de activos en el ENS.</a><br /><a href="https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032511036&Culture=es-ES">Gestión de la seguridad en el ENS.</a><br /><br />SaludosUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-20795085630695802972012-04-03T14:20:00.005+02:002012-04-04T08:39:08.588+02:00MD5. Prohibido su uso en la implementación del ENS.En ciertos análisis que he llevado a cabo recientemente me he encontrado muchos usos todavía del algoritmo de Función Resumen MD5. Determinados Certificados, sistemas de autenticación o implementaciones de VPN hacen uso de este mecanismo. Sin embargo es de sobra conocido que esta función tiene algunos problemas sifnificativos.<br /><br />En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: <a href="http://www.infosec.sdu.edu.cn/uploadfile/papers/How%20to%20Break%20MD5%20and%20Other%20Hash%20Functions.pdf">How to Break MD5 and Other Hash</a>, donde documentaban el ataque mediante colisiones diferenciales.<br /><br />Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.<br /><br />Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.<br /><br />¿Implica eso que su uso está prohibido?<br /><br />Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.<br /><br />No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-5878760905756370992.post-41581649240142774012012-04-02T15:56:00.003+02:002012-04-02T16:06:38.391+02:00La protección del reconocimiento facialLa semana pasada comentaba las evoluciones que en materia de protección de datos la Unión Europea quiere establecer para Internet. Pues bien este 29 de marzo se ha publicado un <a href="http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp192_en.pdf">documento</a> por parte del grupo de autoridades europeas de protección de datos en lo concerniente a un tema altamente sensible como lo es el del reconocimiento facial en Internet. A través de un dictamen analizan los riesgos de la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online.<br /><br />Estos sistemas de reconocimiento facial ofrecen múltiples funcionalidades y pueden ser explotadas con la información que de una persona existiera en Internet. En agosto del año 2011 tres investigadores, Alessandro Acquisti, Ralph Gross y Fred Stutzman, advertían a través de un estudio de los riesgos existentes de poder hacer fotografías de personas en un lugar determinado y cruzarlas mediante un programa de reconocimiento facial, con la información de personas existentes en perfiles de redes sociales. Este hecho por ejemplo facultaría el poder llegar a trazar la vida de las personas. ¿Dónde queda finalmente la privacidad?<br /><br />Pues bien como comentaba previamente esto quiere ser controlado y para ello el Grupo de Trabajo del Artículo 29, ha generado un documento enfocado a garantizar la privacidad personal frente a los servicios. Dicho grupo de trabajo es de tipo consultivo y está compuesto por diferentes autoridades de índole europeo, entre los que se encuentra el director de la AEPD, Jose Luis Rodríguez Álvarez. Así entre otras se establece la necesidad de cuando se realizara la prestación de un servicio de este tipo, se deberá advertir que sus imágenes estarán sujetas a un sistema de reconocimiento facial. <br /><br />Lo más importante reside en que el consentimiento otorgado no puede considerarse aceptado de forma general salvo que el servicio tenga por única finalidad el reconocimiento facial. Por lo tanto nuevos usuarios o los ya registrados, se les deberá solicitar consentimiento explícito para el tratamiento de este tipo de servicio.<br /><br />También es importante destacar que este tipo de información recibe por lo tanto la consideración de datos de carácter personal. Así deberán aplicarse las medidas de seguridad en las mismas condiciones que cualquier otro tipo de información que hubiera facilitado la persona y por lo tanto deberán atenderse las peticiones de tipo ARCO que hubiera lugar.<br /><br />Este hecho da una vuelta de tuerca más en las funcionalidades y usos que se tienen desde las redes sociales. Limitan por lo tanto su campo de acción, principalmente porque estarán obligadas a informar a sus usuarios de los servicios que prestan y obliga a atender los derechos de las personas con respecto al tratamiento de estos datos.Unknownnoreply@blogger.com0