viernes, 29 de abril de 2011

¿Actuará la AEPD ante el posible robo de datos personales a SONY?

Entre el 17 de Abril al 19 de Abril, SONY se dio cuenta de que habían penetrado de forma no autorizada en su sistema de red. Nada más darse cuenta de dicha brecha de seguridad, apagaron los servicios de PlayStation Network and Qriocity para llevar a cabo una invistigación exhaustiva para verificar el estado y la seguridad de los servicios online que ofrecen a través de su plataforma de videojuegos PS3. El usuario cuando intentaba acceder al PSN se le ofrecía la siguiente información "PlayStation Network está en labores de mantenimiento", por lo que en primer lugar se podía pensar que era una de las numerosas labores de mantenimiento que se llevan a cabo por parte de SONY.

Pero esta vez la cosa era más grave, los usuarios veían que pasaban los días y que dichas "labores de mantenimiento" seguían aún activas. Las críticas de los millones de jugadores que hacen uso de estos servicios no paraban de llover, y SONY decidió dar la información que iba rondando por los foros y blogs de videojuegos: "Entre el 17 de Abril y el 19 de Abril, descubrimos que había habido una intrusión no autorizada ilegal en nuestro sistema de red", declaraba SONY en su página oficial.
Esta información junto que los datos personales de millones de usuarios (nombre, apellidos, dirección, tarjeta de crédito, nombre de usuario,dirección de correo,  contraseña..) han podido ser robadas han dejado a la seguridad del sistema de entretenimento por excelencia por los suelos. Está claro que la PS3 de SONY va perder millones de euros por tener dichos servicios apagados, pero también ha perdido reputación/marca frente a sus competidores (X-BOX o WII), pero los usuarios también han salido perjudicados porque posiblemente sus datos personales (incluso mail y contraseña) estarán en posesión de vete tu saber quién, ¿estará la AEPD al tanto de dicho suceso? ¿cómo calificará la posible sanción teniendo la gravedad de la situación?
Esperemos que todo se solucione lo antes posible y que puedan encontrar a los responsables de dicho delito, y por supuesto que los usuarios puedan volver a disfrutar de su PS3 sin tener que poner en tela de juicio la seguridad de la red de PSN y Qriocity.

            FAQ sobre incidencia PSN
            Noticia oficial de SONY



martes, 19 de abril de 2011

Formación “OBLIGATORIA” en Protección de Datos

“No, no es obligatorio asistir a un curso para dar cumplimiento a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, ni, por supuesto, la Agencia Española de Protección de Datos te va a llamar por teléfono para hacerte hincapié en el deber de asistir al próximo curso online que está disponible en la plataforma www.teestoyengañando.com“.


La semana pasada tuve que repetir estas palabras hasta la saciedad seguramente porque, alguna de “estas empresas” que juegan con la interpretación de la LOPD y su Reglamento, se dedicó a hacer telemarketing sobre un sector concreto.

Si bien es cierto que, en el Artículo 89. Funciones y obligaciones del personal, del Reglamento de Desarrollo de la LOPD (Real Decreto 1720/2007), se establece la obligación por parte del Responsable del Fichero de informar al personal sobre “las medidas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”, esto se puede llevar a cabo, entre otras muchas, de las siguientes formas;

• establecer las cláusulas pertinentes en el contrato laboral,

• anexar un documento explicativo de los extremos oportunos junto a la entrega de la nómina,

• realizar un mailing a todo el personal afectado,

• establecer un mensaje de advertencia previo al acceso a los sistemas,

• y por supuesto, con una acción formativa.

jueves, 3 de marzo de 2011

Particularidades de MAGERIT en el ENS

En el anexo 1, se especifica claramente que “Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio”.



Esto nos sugiere que empleemos el criterio de dependencias absolutas del modelo cualitativo de MAGERIT, no relativas, al menos para hacer depender un Sistema de activos de tipo información y servicios, mientras que deja libertad para emplear un criterio de dependencias relativas para hacer depender los activos de información y servicios de otros activos que intervienen en el sistema.

Además, nos sugiere que hagamos depender un Sistema directamente de activos de tipo información, cuando lo usual en MAGERIT es hacer depender las funciones de la organización (Aquí SISTEMAS) de los Servicios y procesos, y estos a su vez de activos de tipo información. Mi opinión es que ambas posibilidades serían válidas, eso sí, teniendo en cuenta el criterio anterior de dependencias absolutas.

jueves, 24 de febrero de 2011

El análisis de riesgos en el Esquema Nacional de Seguridad

Mucho se ha hablado de las similitudes y convergencias del reciente ENS con la ya madura ISO 27001 y su set de controles ISO27002, si bien al ser un Real Decreto muy joven, existen determinados puntos que requieren un rodaje para consolidarse, ya que pueden inducir al error.

Uno de esos aspectos es el del análisis de Riesgos. Las referencias al mismo en el ENS son las siguientes:

1. Conjunto de medidas a adoptar según Anexo II --> Marco operacional--> op.pl.1

Si la categoría del sistema es:

BAJA, “Bastará un análisis informal, realizado en lenguaje natural.”.

Hay que puntualizar que para concluir que la categoría del sistema es BAJA, sí hemos debido de realizar un análisis formal inicial que incluya: inventario de activos de tipo información, servicios y sistema, dependencias entre ellos y valoración de los activos información y servicios. Esto serían los requisitos mínimos en el caso de AAPP con Sistemas de Información de categoría BAJA.


MEDIA, “Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida”.

No tiene por qué seguirse metodología MAGERIT, y podría ser suficiente con un análisis en tablas de Excel sencillo.

ALTA, “Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente.”

Se recomienda MAGERIT y se exige un inventario de “vulnerabilidades”, que no es exigido en las categorías anteriores.


2. En el resto de medidas exigibles por el ENS, se toma como referencia el análisis de riesgos para:



 
3. Más allá de los controles:

  • En la auditoría obligatoria también debe comprobarse que se realiza el AARR, revisa y aprueba anualmente.
  •  En el plan de adecuación se debe incluir el AARR realizado hasta la fecha.
  • En la política de Seguridad se debe incluir un apartado donde la organización se compromete a realizar el AARR y atender a sus conclusiones, además de nombrar a los responsables.
  • El Análisis de Riesgos será elaborado y validado por el Responsable del Sistema, que puede delegar su elaboración.
Finalmente, existe una guía específica del CCN que explica la metodología a seguir en el Análisis de Riesgos en Sistemas de la Administración (CCN-STIC-410).



En el próximo artículo profundizaremos en algunos aspectos particulares que hay que tener en cuenta al aplicar Magerit como metodología de AARR del ENS.

viernes, 18 de febrero de 2011

¿Hacia donde caminan los Sistemas de Gestión en normas ISO?

El mundo de las Normas ISO relacionadas con los Sistemas de Información (ISO20000, ISO27001, BS25999…) ha experimentado un “boom” en la última década, a raíz de la dependencia cada vez mayor de las funciones de Negocio de la organización de los Sistemas de Información.

  • El aumento de esta dependencia ha sido espectacular, y habitualmente al no formar parte de la cadena de valor tradicional de la empresa (siempre se han considerado procesos de soporte), han sido excluidos del alcance de las normas ISO tradicionales enfocadas a Gestión (ISO9001, ISO14001…).
  • Tal ha sido el contraste de enfoques que los consultores de Sistemas de Gestión tradicionales rara vez han dado el salto a la consultoría en normas tecnológicas, puesto que parecía haber una gran dependencia de éstas de los conocimientos técnicos con una curva de aprendizaje larga.

  • A su vez, los consultores informáticos tradicionales, habituados a una auditoría informática muy técnica pero alejada de la gestión de la empresa, han visto la posibilidad de ampliar estas auditorías técnicas a los controles Organizativos, Técnicos, Físicos y Legales de las normas ISO de carácter tecnológico.

  • Finalmente, hemos asistido en la última década a la especialización de consultores legales (principalmente abogados) en derecho aplicado a Nuevas Tecnologías de la Información, especialmente en la Ley Orgánica de Protección de Datos y el Real decreto 1720/2007 que la desarrolla. Los aspectos coincidentes con un Sistema de Gestión de la Información han animado a estos últimos a dar el salto como consultores de Información más amplia que “el dato de carácter personal” (más ahora con la aparición reciente del “Esquema Nacional de Seguridad”).

Un esquema de esta evolución se muestra en el gráfico siguiente:


¿Qué nos deparará el futuro?

Parece ser que la empresa no puede ser víctima de estos diferentes enfoques aplicables a todas las materias, con lo que en el plazo razonable que marque el entendimiento y la sinergia entre todos los colectivos que intervienen en la gestión de la empresa, deberán acabar existiendo grupos de consultores que trabajen sincronizados para permitir a las organizaciones gestionar un único Sistema de Gestión Integral, que ayude a la organización a conseguir sus objetivos, y no que se convierta en una amalgama de procedimientos administrativos diversos para dar cumplimiento a todas las normativas vigentes.

Lo que no está aún definido por los organismos internacionales (ISO especialmente) es… ¿Cuál será el estándar que logre unificar los demás Sistemas de Gestión? De momento BSI ya ha tomado la delantera…

martes, 8 de febrero de 2011

Safer Internet Day 2011

El DIA INTERNACIONAL DE LA INTERNET SEGURA  es un evento que tiene lugar cada año en el mes de febrero, con el objetivo de promover en todo el mundo un uso responsable y seguro de las nuevas tecnologías, especialmente entre menores y jóvenes.

La asociación PROTEGELES, de protección y fomento de un uso responsable de las nuevas tecnologías entre los menores, http://www.protegeles.com/, participa activamente en la organización y difusión de este evento.

PROTEGELES promueve la difusión del spot que ha creado y adaptado a cada idioma y país, lanzando el mismo mensaje en todo el mundo con ocasión de ese día, ¡Piénsalo antes! (Think B4 U post!), apelando a la responsabilidad del usuario a la hora de publicar y gestionar recursos en Internet, especialmente fotografías y vídeos.



lunes, 31 de enero de 2011

Baile de sillas en la consultoría




Accenture, Roland Berger y Atos Origin han cambiado a sus primeros espada en 2010. KPMG ha fichado a 9 rivales, mientras que Ernst & Young, Deloitte y PwC han incorporado a 5 directivos de la competencia. A Indra, le han quitado 5.



Las consultoras que operan en España recrudecen la guerra de fichajes. Las principales firmas del sector han cerrado un año negativo para el negocio con tres cambios de máximo dirigente, ascensos y 44 incorporaciones estrella para reforzar sus plantillas. Parece que la preocupación por la caída del 5% en los márgenes ha dado paso a la acción.
Accenture y Roland Berger han renovado durante 2010 a sus consejeros delegados mundiales con la entrada de Pierre Nanterme y Martin C. Wittig, respectivamente. Ambos son hombres de la cantera y tienen un fuerte perfil financiero, un matiz interesante dado el contexto económico.

jueves, 27 de enero de 2011

La AGPD invita a celebrar la 5ª edición del Día de la Protección de datos el 28 de Enero



El próximo 28 de Enero se celebra por 5ª vez el "Día de la Protección de Datos" en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Euripa y las autoridades de protección de datos de los Estados miembros de la Unión Europea.


  • Tiene por objeto impulsar el conocimiento entre los ciudadanos de sus derechos y responsabilidades en materia de protección de datos.
  • El evento celebra su 5ª edición y conmemora el 30 aniversario de la firma del Convenio 108 del Consejo de Europa.
  • Con motivo de la celebración de esta jornada, la AEPD hará entrega de los "Premios de Protección de Datos 2010", que este año alcanzan su XIV edición.


Fuente: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2011/notas_prensa/common/enero/110124_NP_dia_prot_datos_previa.pdf

viernes, 14 de enero de 2011

Ya tenemos los PODCAST de los cursos!!

Desde que empezó el año, son cada día más las personas que buscan formación para optar a mejores puestos de trabajo o mejorar sus conocimientos en diferentes ámbitos. Hay diferentes métodos para dicha formación, desde apuntarse a una academia hasta iniciarse en una nueva aventura universitaria. Pero también hay otras opciones, que es la que os proponemos desde aquí: la formación online. Tiene muchísimas ventajas, lo único que necesitas es un ordenador y acceso a internet, el resto lo planificas tú. Y eso es así, porque te puedes planificar tus horarios como mejor te convenga y poder realizarlo desde casa y poder compaginarlo con tu trabajo. A continuación os dejamos con un pequeño podcast del curso online "Sistemas de Gestión de la Seguridad de la información ISO 27001 y LOPD" que está disponible en la plataforma virtual de SGS. Espero que sea de vuestro agrado e interés!!

Un saludo!