lunes, 24 de diciembre de 2007 0 comentarios

Próxima publicación del nuevo reglamento de Protección de Datos

Parece que sí, esta es la buena. Por fín ha sido publicado en Consejo de Ministros el futuro reglamento de protección de datos.

En la Web de Moncloa se puede obtener un resumen de las principales novedades que a continuación adjunto:
El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.
  • La norma acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que actualmente existen.

  • Se aplica también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.

  • Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.

  • El interesado dispondrá de un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.

  • Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

Innovaciones más destacables
La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.
Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.
Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
Para mejor garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. En la misma línea, se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.

Incremento de medidas de seguridad
Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:
  • Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.

  • También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.

  • Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.

  • Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

  • Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

  • Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES.


Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.
Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Tratamiento de datos de menores de edad
Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno.

Ficheros sobre solvencia patrimonial y crédito
Se introducen importantes novedades en el tratamiento de estos datos. Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación. En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”. Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.

Regulación de actividades de publicidad y prospección comercial
La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.
Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.
Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Régimen transitorio de aplicación
Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.
En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.
Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.

Se puede ampliar información en la Web La Moncloa. Referencia del Consejo de Ministros o en la nota de prensa publicada por la propia Agencia de Protección de Datos en el siguiente enlace.
viernes, 21 de diciembre de 2007 0 comentarios

Control parental y software anti-phishing freeware

Uno de los tipos de aplicaciones de seguridad más interesantes en el entorno doméstico son las de control parental.
Internet permite el acceso a todo tipo de información, pero dado que la edad del navegante es cada vez menor, los padres deben preocuparse en el uso y los hábitos de navegación de sus hijos. Para ello, las aplicaciones de control parental limitan y restringen el acceso a ciertos contenidos.

Leo en DiarioTI que el software K9 Web Protect de Blue Coat ha ampliado su funcionalidad proporcionando ahora también protección antiphishing. Esta aplicación que he podido probar e instalar es una de las más completas, sencillas y eficientes que me he podido encontrar. Además, para uso doméstico es freeware, aunque es necesario obtener una licencia.
Básicamente la protección la basa en varios aspectos:
- Limitación del horario de conexión.
- Limitación de las categorías de contenidos a consultar.
- Permite definir las cadenas de dominios que se quieren bloquear, como por ejemplo, ".xxx", ."sex" o las palabras que no se autorizan en la URL.

Ahora K9 Web Protection incorpora ahora la misma tecnología de protección anti-phishing en tiempo real de Blue Coat, que también tiene su solución empresarial WebFilter, lo que le convierte en el primer producto de consumo de filtrado de Internet que puede alertar a los usuarios sobre sitios de phishing nuevos o anteriormente no descubiertos utilizando funciones de evaluación en tiempo real.

Tal como explica Diario TI, "La tecnología de protección anti-phishing en tiempo real de Blue Coat analiza la página web a la que se intenta acceder mientras el usuario pulsa el enlace. Si la página no se encuentra en la base de datos, se envía una consulta al centro de datos de Blue Coat Labs, donde se analiza la página web automáticamente en tiempo real. El servicio clasifica entonces la página. Si la incluye entre los sites de phishing, K9 Web Protection bloqueará la página a la que se intenta acceder o avisará al usuario. Todo el proceso se realiza entre 250 y 750 milisegundos."

Para descargar el preoducto, podéis dirigiros a las direcciones:


Más información técnica en la Web de Blue Coat.
miércoles, 19 de diciembre de 2007 2 comentarios

Todos contra el Canon

Hoy el tema de actualidad es el profundo debate entorno al canon digital. Aunque cuando hay ruido mediático sobre un tema no suelen ser buenos días para hablar del mismo, en este blog ya he recogido alguna vez la problemática relacionada con la propiedad intelectual.

Como Ingeniero en Informática los soportes son mis herramientas para trabajar. No puedo comprender como el CD o el DVD o los propios discos duros, que "SON LOS FOLIOS EN BLANCO DEL SIGLO XXI" deben pagar un canon a una ENTIDAD PRIVADA que representa a "los autores".

No hay que confundir estar en contra del canon con estar en contra de los derechos de autor. Todos queremos preservar la cultura y debe existir algún tipo de recompensa para el creador, pero esta forma de recaudar es aberrante. Aquí "AUTORES" somos todos los que disponemos de medios de creación de obras ya sea mediante un ordenador, una camara de fotos o cualquier otra cosa que genere una obra digital. ¿Por qué debe cobrar un asociado a la SGAE por mis fotos, mis videos o los powerpoint que realizo? ¿Por qué debo pagar por poder entregar mis proyectos en soporte electrónico?

Venía en la radio escuchando a oyentes manifestar su opinión sobre el tema y se ha puesto un ejemplo significativo y curioso.
"Es como si la DGT fuera una entidad privada de gestión de sanciones, y el Gobierno decidiera grabar con un impuesto a todos los coches que superen los 120 KM de velocidad por si en algún momento van más rápido y los radares no los pueden cazar."

Por tanto, quiero manifestar mi adhesión a la plataforma "Todos contra el canon" cuyo manifiesto es bastante razonable. No se trata de ir contra los autores sino de ser proporcionales en la recaudación. Porque tal como está planteado el tema, los autores también están indefensos contra una asociación "privada" que hace la gestión que le apetece con el dinero recaudado. ¿Representan estas asociaciones realmente a todos los autores?



Recomiendo que leáis el manifiesto de la plataforma "Todos contra el canon".

Desde luego, este pago por propiedad intelectual debería recaudarse en la obra y no en el soporte, aunque así seguro que los ingresos no serían tan suculentos. Además, si es un impuesto, debería ser recaudado por la Administración Pública y luego que fuera esta, con cierto criterio de proporcionalidad quien repartiera los ingresos. ¿O es que debe la propia Administración pagar por almacenar su información en soportes electrónicos? ¿Es que debe recaudarse propiedad intelectual para los autores asociados a las Entidades de Gestión de Derechos por la ejecución de los actos administrativos cuando estos son almacenados en soportes digitales?

Una de las reflexiones más interesantes es la aportada por Javier De la Cueva, del blog "Derecho e Internet" en el diario Público en este artículo.
viernes, 14 de diciembre de 2007 0 comentarios

La seguridad física comprometida por la seguridad de la información

Aparece en el blog de Bruce Schneier y en
Microsiervos WTF otra de esas noticias de las que traen cola.

Un peluquero ha encontrado ilustraciones detalladas de las medidas de seguridad del banco, incluyendo la ubicación de los detectores de persona, escaleras, rejas y medidas con la profundidad del suelo de la cámara. La fuga de información corresponde ni más ni menos que de una oficina del Bundesbank en cuya renovación se acababan de gastar 150 millones de euros. Tanta inversión para ponerselo así de facil a los cacos. Y es que siempre repetimos una y otra vez que la "en la cadena de seguridad, la protección obtenida es tan fuerte como el más débil de los eslabones". En este caso, quizás el error ha sido no considerar la documentación, planos y las personas que custodian esa información como partes igual de importantes como eslabón de la cadena, que los 150 millones invertidos.

Como los medios ahora devoran este tipo de noticias de impacto, el Diario Bild no ha tenido otra cosa que hacer que situar la información en primera plana.
jueves, 13 de diciembre de 2007 1 comentarios

"Declaración sobre buscadores de Internet" de la AEPD.

En la Web de la Agencia Española de Protección de Datos se ha publicado el informe "Declaración sobre buscadores de Internet". El texto analiza los principales buscadores de Internet en nuestro país (Yahoo!, Google y Microsoft Live Search) desde el punto de vista de la protección de datos personales.

Como conclusiones del estudio realizado, la Agencia Española de Protección de datos destaca:
  • "Los buscadores de Internet son servicios de la sociedad de la información sujetos a las garantías de la Ley Orgánica de Protección de Datos, además de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

  • Los buscadores de Internet tratan y retienen grandes volúmenes de datos de los usuarios a los que ofrecen sus servicios.

  • El tratamiento de dicha información puede permitir registrar las actividades que el usuario lleva a cabo en la red posibilitando configurar perfiles de éste que pueden ser utilizados por la empresa sin que el usuario sea consciente ni esté suficientemente informado.

  • Existen diferencias significativas en las políticas de privacidad de los buscadores (en aspectos como los criterios de retención de datos personales y las políticas informativas), que es preciso aproximar y unificar hacia los extremos más garantistas para que se minimicen los riesgos para la privacidad de los usuarios.

  • La información incluida en las políticas de privacidad de los servicios de búsqueda sobre la utilización de los datos personales de los usuarios es ineficaz. Ésta no se destaca suficientemente, y plantea serias dudas que resulte comprensible para la generalidad de los usuarios de Internet.

  • Es urgente desarrollar nuevos mecanismos informativos, claros y suficientemente visibles que permitan a los usuarios conocer efectivamente el uso de sus datos personales cuando utilizan los servicios de los buscadores.

  • Es necesario limitar el uso y la conservación de datos personales. Una vez que la información deje de ser necesaria para las finalidades propias del servicio, habrá de ser cancelada. Del mismo modo, a partir del momento en que los fines que justifican el uso de los datos pueden conseguirse sin identificar a un usuario específico, deberá procederse a hacerlos anónimos de forma que la información que se conserve no pueda vincularse a usuarios concretos.

  • Los servicios de búsqueda están obligados a respetar los derechos de cancelación y oposición de personas cuyos datos se indexan desde otras páginas web en su función de buscador. Aunque la incorporación inicial de esta información personal a la red pueda estar legitimada en origen, su mantenimiento universal en Internet puede resultar desproporcionado.

  • Únicamente se podrán filtrar las comunicaciones para prevención de virus y de spam, para preservar la seguridad de los servicios. Fuera de estos casos, no se considera conforme con la legislación española la interceptación de los contenidos.

  • Es necesario establecer estándares internacionales que definan reglas consensuadas de garantía de la privacidad para Internet."


El informe completo puede descargarse en el enlace "Declaración sobre buscadores de Internet"
    martes, 11 de diciembre de 2007 0 comentarios

    Catástrofes de pérdida de datos en 2007

    La empresa Ontrack ha publicado un documento con los 10 incidentes más curiosos que les han llegado a través de sus clientes. El e-Zine Insecurity los ha traducido al castellano en e-Zine InSecurity- Catástrofes de pérdida de datos en 2007. y aquí los adjunto, porque algunos son de lo más curioso:
    • 10. Lavado completo - Este año, una mujer llamó a los ingenieros de Kroll Ontrack quejándose de que “había lavado todos sus datos”. Olvidó su memoria USB en su ropa y la echó a lavar. Como era previsible, tras un ciclo de lavado en la lavadora no fue capaz de rescatar ningún dato de ella

    • 9. Padre abnegado - Un entusiasmado padre primerizo vuelve a casa a toda prisa del trabajo para dar de comer a su bebé. Con la emoción y las prisas olvida que había guardado su memoria USB en el bolsillo superior de la camisa. Al inclinarse hacia delante para acercarse a la trona el dispositivo de almacenamiento cae en un pringoso plato de puré de manzana.

    • 8. Morder el anzuelo - Un pescador pensó que sería una buena idea llevarse su portátil en el bote a remos para entretenerse con algunos juegos mientras esperaba que picase algo. Al incorporarse tanto él como su portátil cayeron al agua y toda su información acabó en el fondo del lago.

    • 7. Un fotógrafo presa del pánico - Un fotógrafo de bodas estuvo punto de tener que enfrentarse a la cólera de una recién casada al descubrir que había borrado las fotos de ésta al grabar sobre ellas las de otro evento. Dos días antes de que la pareja regresase de su luna de miel llamó pidiendo ayuda. La novia nunca llegó a enterarse del incidente.

    • 6. Baño de ácido - Un científico volcó accidentalmente ácido sobre un disco duro externo mientras realizaba un experimento. Aún dando por hecho que toda la información se había quemado se consiguieron recuperar todos los datos guardados en la unidad de memoria.

    • 5. Trifulca empresarial - Durante una acalorada discusión en Australia, un empresario lanzó una memoria USB a su socio. El dispositivo, que contenía importantes planos de la empresa, terminó hecho pedazos en el suelo. Por suerte fue posible salvar tanto los planos como la relación empresarial.

    • 4. Fuego indiscriminado - Hace poco un incendio destruyó la mayoría de los contenidos e informaciones de una oficina, sólo se salvaron unos pocos CD. El escollo del asunto es que estos CD se habían fundido en el interior de sus cajas, fue un trabajo notable para los ingenieros.

    • 3. El precio de la tranquilidad - Un científico británico no aguantaba más los chirridos que hacía su disco duro, de forma que hizo un agujero en la caja y echó aceite en el mecanismo interno. Los chirridos pararon, el disco duro también.

    • 2. Aparatoso salto en paracaídas - Con la intención de comprobar el buen funcionamiento de un paracaídas, se incorporó en el paracaídas a modo de carga una cámara y se lanzó desde un avión. Desafortunadamente el paracaídas no superó con éxito la prueba y la frágil carga quedó hecho trizas. Fue posible ensamblar de nuevo la memoria de la cámara y recuperar el vídeo del nefasto salto en paracaídas.
    • 1. Plaga de hormigas - Al ver que una colonia de hormigas había ocupado su disco duro externo, un fotógrafo de Tailandia decidió quitar la cubierta del mismo y rociar el interior con un repelente de insectos. Las hormigas no sobrevivieron.


    Algunos son increíbles y revelan que todavía existe un desconocimiento alto del funcionamiento del PC y sus componentes. Existe una web técnica muy interesante que se dedica a explicar de manera sencilla cómo funcionan las cosas. En concreto, para aquellos que estén ahora intrigados con la mecánica de un disco duro, aquí dejo el enlace sobre cómo funciona por dentro un disco duro.
    viernes, 7 de diciembre de 2007 0 comentarios

    Análisis de la seguridad del Modelo OSI

    Hacía tiempo que no referenciaba documentos de Infosecwriters pero este que quiero comentar, aunque no muy largo, es bastante interesante. Se trata de un análisis de los mecanismos de seguridad de que dispone el modelo OSI de comunicaciones. Con este documento podemos identificar por cada capa cuales son los problemas que se pueden presentar y algunos de los riesgos que éstos generan. En solo ocho folios se puede recorrer la problemática de la seguridad en redes identificando cada problema con su nivel OSI correspondiente. Podéis acceder a este documento en An Analysis of Security Mechanisms in the OSI Model. ¡Buen provecho!
    martes, 4 de diciembre de 2007 0 comentarios

    Publicada por AENOR la UNE-ISO/IEC 27001:2007 en español

    Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuación de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.
    Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traducción se coordina por comités y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos años y medio que se publicó la ISO 27001 en ingles.

    En este boletín de AENOR se informa también de las empresas españolas que han obtenido la certificación UNE 71502 hasta la fecha, que según creo, no es una certificación acreditada todavía bajo el esquema ENAC.
     
    ;