viernes, 30 de octubre de 2009 0 comentarios

Ya es oficial, ISO 27004 nueva norma vinculada a la medición de la seguridad

Paloma Llaneza, con gran alegría por ser en parte madre de la criatura nos anuncia que ya tenemos oficialmente una nueva norma dentro del marco ISO 27000.

La nueva norma, oficialmente denominada "Information technology -- Security techniques -- Information security management -- Measurement" viene a sofocar uno de los grandes abismos que existen en el proceso de construcción de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente.

Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo.

Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.



Estas reflexiones ya las plantee de forma más extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las métricas.

La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más hostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.
martes, 27 de octubre de 2009 1 comentarios

Llega el antivirus de Microsoft

Microsoft salta al mundo de la protección malware con Microsoft Security Essentials, que además es gratuito para todos aquellos poseedores de licencia original de su sistema operativo.

Microsoft Security Essentials proporciona protección en tiempo real contra virus, spyware y otros tipos de software malintencionado para el entorno del PC doméstico. Es simple de instalar y usar y se mantiene siempre actualizado para que tengas la seguridad de tener tu PC siempre protegido con la tecnología más reciente. Es fácil saber si tu PC es seguro: cuando el color indicado es verde, está protegido. Es así de simple.

Habrá que ver frente a las primeras oleadas de malware cómo reacciona y se comporta. Es bien seguro que con el apoyo de Microsoft Malware Protection Center (MMPC) será un apoyo que proporcione información en tiempo real sobre qué especímenes están circulando.
lunes, 26 de octubre de 2009 0 comentarios

Fuentes públicas no son fuentes accesibles al público

En materia de protección de datos, lo que se puede hacer o no con este tipo de datos está perfectamente definido. Esto viene a colación de algunos servicios online que os quiero dar a conocer y que de alguna manera pueden confundir a la gente entre lo que es dato público y dato utilizable por venir de una fuente accesible al público.

Para ello, siempre en toda la legislación lo primero que hemos de hacer es entender bien qué dicen las definiciones. En este caso, el artículo 3 determina:
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Están proliferando un nuevo tipo de servicios que podríamos denominar metabuscadores, muy centrados en objetivos que se dedican a recolectar información de otros buscadores y recolectores de información. Para que véais un ejemplo concreto, podéis consultar la web www.123people.es o www.dateas.com.

A simple vista, parece un recolector de la información "pública" de una persona, utilizando para ellos fuentes como Google, Linkedin, Facebook, etc.

Sin embargo, una cosa es que "el dato esté accesible al público" y otra muy distinta es "que el dato pueda ser utilizado por ser público". A menudo me llegan consultas relacionadas con este asunto. Entiendo que es difícil comprender cómo si una dirección de correo electrónico está en Internet no pueda ser utilizada por cualquier desconocido para ser recolectada. Sin embargo, hemos de ser conscientes de que precisamente para evitar este tipo de situaciones es para lo que está nuestra querida Ley 15/1999 de Protección de Datos de Carácter Personal. Esta regulación limita el uso de información de carácter personal vinculada a varios conceptos:
  • Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

  • Finalidad: para qué van a ser utilizados los datos.

  • Deber de informar: que el afectado sepa quién tiene su información, qué va a hacer con ella y dónde puede ejercer sus derechos si lo desea.


Aunque este tipo de servicios nos pueden proporcionar direcciones de correo que están en Internet, esta información para poder ser tratada por una empresa debe previamente cumplir otros requisitos siendo el más básico el de informar a la persona afectada de que esa información va a formar parte de un fichero y en algún caso, puede requerirse también su consentimiento previo antes de poder dar de alta ese dato. Por tanto, aunque la información pueda ser fácil de localizar, existen restricciones en su uso.

Cualquier persona que entienda que cierta empresa tiene un dato suyo sin su consentimiento, puede ejercer cualquiera de sus derechos o solicitar a la Agencia Española de Protección de Datos para que los tutele. Si en el proceso de recolección de información no se siguen los pasos correctos, se corre el riesgo de sanción cuya cuantía dependerá un poco de qué tipos de datos se hayan recogido, de cómo y de qué se haya hecho con ellos. Por ilustrar algunos casos ya sancionados, podéis ver el caso de Tick Tack Ticket que fué sancionada con 30.001 € por enviar correos electrónicos con fines comerciales sin consentimiento a cerca de 40.000 direcciones de e-mail.
En este caso, se solicitaba a particulares que facilitaran direcciones de
correo electrónico de sus contactos para remitirles comunicaciones comerciales sin
el consentimiento lo que constituye una práctica ilegal. La empresa sancionada, dedicada a la venta de entradas de eventos y espectáculos por Internet, promocionó un concurso en el que para optar al premio había que introducir en un formulario las direcciones de correo electrónico de todos sus contactos y envió los mensajes sin el consentimiento de los titulares de las cuentas de correo, sin existir relación contractual, ni ofrecer un medio para oponerse a la utilización de sus datos con fines comerciales.

En relación a este tipo de situaciones, me gustaría referenciar las reflexiones de Eddasec sobre la extimidad y el video que apunta Paloma Llaneza sobre la "correlación de eventos conocidos y publicados" y cómo estos pueden ser usados en nuestra contra. el video es de la gente de la revista satírica The Onion.


Police Slog Through 40,000 Insipid Party Pics To Find Cause Of Dorm Fire
jueves, 15 de octubre de 2009 3 comentarios

La regulación del photoshop

Hace tiempo ya comenté el peligro que tiene la manipulación interesada de la fotografía cuando aparecieron imagenes alteradas con una pruebas de misiles en Irán. Ahora vuelve a la actualidad por las noticias sobre la posible regulación del uso de herramientas de "retoque fotográfico" en algunos países.

Y es que el tiempo ha demostrado que estas aplicaciones como el photoshop han pasado de ser una ayuda para corregir imperfecciones técnicas a ser manejadas para crear realidades muy distintas. Y claro, tanta potencia era demasiado tentadora para el mundo de la moda que vive de crear ilusiones y fantasías sobre las que proyectar nuestros deseos.



Hemos visto como una herramienta de ajuste se ha convertido en sí mismo en una herramienta de creación y modificación. Las cosas ya no tienen por qué hacerse bien dado que en post-producción van a tener arreglo. Realmente es una ventaja de la fotografía digital sobre la analógica. Sin embargo, el abuso de estas tecnologías para perfeccionar la realidad tiene que finalmente acabar siendo regulada.

No es correcto que se venda como real algo que es pura ilusión y fantasía. Al igual que uno cuando va al cine ya sabe si la historia es ficción o un drama, cuando uno admira una fotografía debería saber si es natural o modificada. En este sentido, entiendo que hay dos tipos de manipulaciones que son de distinta valoración. Una cosa es alterar el color, el brillo, la escena, el balance de blanco, es decir, la escena o las características de la imagen y otra muy distinta manipular las formas, eliminar rasgos del físico, borrar arrugas, adelgazar michelines, alterar el contenido o modificar su físico.

Estas alteraciones que manipulan la realidad creo que sí deberían ser advertidas por parte del medio donde aparezcan, etiquetando la foto de alguna forma que haga que el observador sea consciente de que lo que ve no es la realidad. Sobre todo pensando en gente que puede idealizar ese tipo de imagenes que no son ni serán nunca alcanzables.

Algo tan sencillo como etiquetar con la palabra "falso" o "fake" haría que las espectativas respecto a la foto no idealizaran imagenes que son solo una ilusión.

La polémica ha sido causada por la aberrante y exagerada manipulación realizada por la marca Ralph Lauren en una de sus modelos. Lo preocupante es que se traslade hacia la población adolescente que el éxito como modelo se logra con formas así aunque por suerte esta exagerada alteración ha sido descubierta.



La prensa y la opinión pública empieza a cuestionar la legitimidad de tanto abuso y la perversión que este tipo de herramientas ha generado en el mundo de la publicidad. Las noticias plantean la posible regulación en varios paises poniendo Coto a la dictadura del Photoshop.
Es cierto que a las personas nos gusta evadir la realidad pero lo que hacemos actualmente es autoengañarnos queriendo ver ilusiones pero pensando que son la realidad. Creo que la nueva película de James Cameron titulada Avatar tratará de esta mezcla de realidad y ficción.

Como curiosidad, existe un blog denominado PhotoshopDisasters que recoge también patinazos históricos en el manejo de esta herramienta.
miércoles, 14 de octubre de 2009 0 comentarios

La ciudad anti-Google

Revisando entre los enlaces que había guardado como borrador para postear cosas interesantes de este verano, he recuperado un anuncio curioso de una nueva iniciativa de Google.

Sinceramente, la primera vez que lo leí pensaba que la cosa iba de guasa o podría deberse a una campaña de marketing viral. Se trata de Google Opt-Out Village, una ciudad donde uno tiene solamente garantizada una cosa, la privacidad y la protección frente al propio Google.

Esta ciudad de la intimidad tiene un video colgado en Youtube donde explican en qué consiste todo esto.



Sin embargo, recurriendo a fuentes más solventes como Businessweek.com, podemos descubrir que se trata de una broma irónica que ha realizado la propia gente de Google para parodiar a todos los detractores que ven en la multinacional una gran amenaza. Contra ellos Google ha reaccionado con la única arma posible, la máxima transparencia e información sobre sus entresijos a través del Centro de privacidad de Google. Además, es posible deshabilitar el rastreo publicitario de Google si el usuario lo desea. Para ello, podéis consultar cómo Inhabilite la publicidad basada en intereses.

Hoy todo parece exagerado, pero quizás dentro de unos años, la cosa no tenga tanta guasa. Este tipo de situaciones recuerdan a otras películas que en su momento eran sólo ciencia ficción y que hoy no distan tanto de la realidad, como Enemigo Público o La Junga 4.
viernes, 9 de octubre de 2009 0 comentarios

Videos educativos sobre certificados digitales y factura electrónica

He podido encontrar un par de videos muy didácticos sobre los temas de moda, la factura electrónica y el uso de los certificados digitales. Corresponden a una iniciativa dentro de plan avanza dentro de las catalogadas como "pildoras multimedia"






Para quien quiera contenidos más específicos, en Murcia hace un año se desarrolló una iniciativa a través de un portal denominado e-Factura donde en Firma-e elaboramos varios videos sobre todas las partes del proceso relacionado con la gestión de la factura electrónica.
viernes, 2 de octubre de 2009 0 comentarios

Jornadas SYTE 10.09 en Murcya sobre e-Administración

En Murcia andamos muy activos con los retos jurídicos y tecnológicos de la e-Administración y una asociación a la cual pertenezco, Murcia, Control y Auditoría (www.MURCYA.org) organiza un evento que puede ser de interés para todos los que os podáis desplazar a la Región.



Para más información o inscripciones, se pueden seguir los siguientes enlaces:
 
;