Servicio de recuperación de contraseñas, por Dilbert

La tira de Dilbert es bastante significativa y hace un chiste sobre un tópico en relación a lo triviales que suelen ser las contraseñas de usuario.




También añado esta foto que pude hacer en la entrada de un edificio donde se molestan en poner un dispositivo biométrico pero añaden una etiqueta DYMO para los olvidadizos... un ejemplo de que el tópico de la contraseña en el post-it al lado del PC sigue siendo algo muy cotidiano y real.

Enisa Quarterly, numero de Enero

Ya se ha publicado el número de enero del ENISA Quarterly, el boletín de seguridad elaborado por la Agencia Europea de Seguridad. Los artículos de este número son:

• Information Security and Externalities, de Bruce Schneier




• Enabling User Confidence, de Andrew Cormack




• Computer Viruses, de Jaak Akker




• Security and Dependability, de Stephan Lechner y James Clarke




• What can we achieve with Information Security Certification? de Carsten Casper




• ENISA’s Roadmap for Contemporary and Emerging Risks, de Jani Arnell




• ENISA Authentication Language Workshop and Interest Group, de Giles Hogben




• Strategy to Improve Internet Security in Sweden, de Anders Rafting




• e-discussion on e-security in Poland,de Krysztof Silicki y Mirsolaw Maj

Descarga: Enisa Quarterly

Control 12.6.1. Gestión de las vulnerabilidades técnicas

Dentro del capitulo de controles relacionados con la seguridad informática, el bloque 12 en su apartado 6 habla de gestionar y controlar las vulnerabilidades técnicas que pudieran suponer un riesgo.

Para lograrlo es necesario básicamente dos cosas:
1.- Contar con un buen inventario de activos de información, identificando para cada uno de ellos si son elementos tecnologicos, su sistema operativo y aplicaciones instaladas.
2.- Disponer de fuentes de información técnica que informen sobre las vulnerabilidades descubiertas.

Para este segundo aspecto, es interesante contar con buenas fuentes de información que actualicen al responsable de seguridad de las vulnerabilidades publicadas para que valore si tienen un potencial impacto y tome medidas. En mi opinión, lo más cómodo y práctico es disponer de una lista o cuenta de correo interno, independiente de la personal, donde se reciban boletines y servicios de alarma de aquellos sistemas que tenemos que vigilar.

A continuación voy a proporcionar algunos recursos interesantes a utilizar como fuentes consultables vía RSS o mediante suscripción por email.
Estos son algunas urls interesantes de organismos independientes que informan sobre vulnerabilidades:

@Risk: The Consensus Security Alert del Sans Institute
CertStation
FrSirt

Iré ampliando esta información con las urls nuevas que encuentre o bien me lleguen a través de comentarios las iré incorporando al post.

Entrevista a Artemi Rallo, futuro director de la AEPD

Aparece en el Diario Levante una entrevista al futuro director de la Agencia de Protección de Datos, tras aprobar el Consejo de Ministros su propuesta de nombramiento.

Como todos sus antecesores y a juzgar por sus declaraciones, este nuevo director va a ser tan riguroso en la aplicación de la LOPD como los anteriores. Tal como apunta en la entrevista relación a la protección de datos y citando textualmente "Ocurre porque los ciudadanos en general aceptan agresiones a sus derechos, aceptan una cierta restricción a cambio de tener, por ejemplo, una mayor seguridad en espacios públicos. Es decir que falta concienciación ante determinados abusos. Falta mucho en ese campo de la concienciación. Repito que se aceptan sin más agresiones a derechos. Estamos en la sociedad de la información y la comunicación y hay que tener mucho cuidado. En 2005 se impusieron 21 millones de euros en sanciones por vulneración de derechos sobre privacidad."

La entrevista integra puede leerse en el siguiente enlace: Entrevista a Artemi Rallo

Zona videovigilada, información de los derechos LOPD

La Agencia de Protección de Datos ha colgado en su Web la nueva instrucción respecto a la regulación del uso de videocamaras que no son de las fuerzas y cuerpos de seguridad del estado.

Las camaras en todos sitios se han puesto de moda, pero tal como indica la Ley Organica de Protección de Datos, la imagen es un dato de carácter personal y por tanto, es objeto de protección. La finalidad de esta recolección de datos debe estar clara y la utilización de las imagenes limitada. Al ser una medida muy intrusiva contra la intimidad de las personas, sólo se considerará admisible la instalación de
cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos
para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
Además, las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad
de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

La Agencia de Protección de Datos ha querido aclarar este hecho mediante la Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Además, como anexo indica que todas las instalaciones de videovigilancia deberán informar al ciudadano de este hecho y estarán señalizadas con un rótulo similar al que a continuación podéis ver:



Esperemos que sirva esto para frenar o al menos limitar esa sensación de indefensión que todos tenemos cuando entramos en un sitio que sabemos está plagado de cámaras. Ahora al menos ya está en nuestra mano el ejercicio de nuestros derechos, que tenerlos se tienen. Destacar que esta instrucción deja claro el máximo periodo de retención de estas imagenes, UN MES y que sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras. No en todos los casos estará justificado la instalación de camaras si es posible otra medida de control menos intrusiva.