Privacidad

Por favor, róbame

Feb 23

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

Curiosa iniciativa que ha llamado mucho la atención de bloggers (yo no soy una excepción) y especialistas en seguridad, la página web pleaserobme aglutina a aquellas personas que a través de twitter han dejado un mensaje notificando que abandonan su domicilio y donde se van a encontrar!!!. Claro, lo siguiente será, por favor, dense de alta todos en este servicio de moda de geolocalización en el que todo el mundo podrá saber dónde te encuentras, además podrás ponerlo también en twitter y no olvides dejar en facebook cuando te vas de vacaciones y el tiempo que vas a estar, aunque, no te preocupes, probablemente lo haga tu mujer o tu marido por tí.

No soy partidario de dominizar a las redes sociales puesto que tienen su utilidad. Yo mismo tengo un perfil en linkedin y probablemente algún día haga una cuenta en facebook, más que nada porque de poco sirve no tenerla, en facebook estás quieras o no, el que no lo crea que busque entre los perfiles de sus amigos y noooooooooooo!! ese soy yo!!. Sin embargo, todo debe tener sus límites y en una red social, los límites deben ponerlos los usuarios. Determinada información debe mantenerse en secreto y no ser revelada por simple sentido común y prudencia.

Entrevista a un SCAMMER

Feb 12

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

El SCAM es el intento de captación de víctimas mediante ofertas de trabajo en apariencia suculentas que esconden un sórdido objetivo, la estafa. ¿Quien no ha recibido el típico correo de la empresa “adiconocsed” ofreciéndote ser “Jefe comercial del departamento de intercambio de monedas y divisas”?. Pues bien, hoy podeis ver de primera mano cómo es un SCAM a través de una entrevista realizada por Bruce Schenier a un Scammer Nigeriano, no os lo perdáis, no tiene desperdicio.

http://www.schneier.com/blog/archives/2010/02/interview_with_16.html

Destrucción de Información, referencias legales y normativas (IV)

Dic 14

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:

Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:

Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.

Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:

Privacidad, Seguridad de la Información

Destrucción de Información, referencias legales y normativas (III)

Dic 11

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

Destrucción de Información en soporte papel, la norma DIN 32757

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:

Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.

A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:

LOPD nivel bajo < –> DIN 32757 nivel 2
LOPD nivel medio < –> DIN 32757 nivel 3
LOPD nivel alto < –> DIN 32757 nivel 4 o 5

En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:

ENS Información Pública –> No es necesaria la destrucción
ENS Información No Divulgable < –> DIN 32757 nivel 3
ENS Información de Difusión Administrativa < –> DIN 32757 nivel 4 o 5

No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:

ENS nivel bajo –> DIN 32757 nivel 2
ENS nivel medio –> DIN 32757 nivel 3
ENS nivel alto –> DIN 32757 nivel 4 o 5

Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

Privacidad, Seguridad de la Información

Destrucción de Información, referencias legales y normativas (II)

Dic 10

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

Categoría: Seguridad de la Información

Esquema Nacional de Seguridad

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:

Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.

En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:

Básica, Media y Alta.

Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:

Identificación de la información manejada según lo dispuesto en el artículo 43
Determinar las dimensiones de seguridad relevantes
Determinar el nivel de seguridad correspondiente a cada dimensión
Determinar la categoría del sistema

En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:

La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:

1º Cuando la naturaleza del soporte no permita un borrado seguro.

2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.

c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas

Sobre ISO 15408 hablaremos en un futuro en este blog.

Privacidad, Seguridad de la Información

Destrucción de Información, referencias legales y normativas (I)

Dic 9

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

Categoría: Seguridad de la Información

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;

Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

Privacidad, Seguridad de la Información

Ficheros Temporales y LOPD

May 28

Posteado por Miguel Ángel Hernández Ruiz en Noticias

No hay comentarios

Hace ya una semana que Chema Alonso publicaba una serie de post tratando la problemática referente al cumplimiento de la LOPD en el tratamiento de los datos personales que se realiza por los sistemas informáticos.

Una vez he podido terminar de leerlo, me ha parecido importante reseñarlo aquí por la implicacion que esto tiene y porque sencillamente me parece muy bueno .

Si quereis conocer cómo deberian protegerse los datos durante su procesamiento en el pc y las problemáticas que se plantean con las memorias intermedias no dejeis de visitarlo, muy bueno.

Aquí comienza la serie

Noticias, Privacidad

Tus derechos en Tuenti

May 20

Posteado por Miguel Ángel Hernández Ruiz en Privacidad

No hay comentarios

Hace ya algunas semanas que quise llamar la atención sobre las condiciones de uso de las diferentes redes sociales, para lo cual analicé las de los servicios Facebook, Tuenti y Linkedin en un post titulado do you practice social networking?.

Pues bien, esta mañana he encontrado que en Security Art Work han profundizado sobre tuenti ofreciendo información que complementa la que en su día yo proporcioné. Para aquellos usuarios de este servicio que quieran saber a fondo a qué se exponen.

Salu2!

Privacidad

La AEPD se pone las botas

Abr 21

Posteado por Miguel Ángel Hernández Ruiz en Noticias

No hay comentarios

La Agencia Española de Protección de Datos incrementa el número de denuncias y el montante recabado por las sanciones, datos que se desprenden de la publicación de su memoria 2008.

Algunos de los principales hechos que se desprenden del citado documento son los siguientes:

Incremento de las actuaciones inspectoras previas a la iniciación de procedimientos sancionadores se de un 45,4%.
Los sectores de telecomunicaciones, entidades financieras y videovigilancia son los que han sufrido más inspecciones suponiendo, en conjunto, el 50,9% de todas las realizadas.”
“Las sanciones a las Administraciones públicas crecieron un 19,7% en su conjunto.
22,6 millones de euros en sanciones que suponen un incremento del 15% con respecto a las de 2007

Aquí teneis algunas conclusiones más pero esto pone los pelos de punta a cualquiera…

Noticias, Privacidad

Google Chrome

Abr 15

Posteado por Miguel Ángel Hernández Ruiz en Noticias

No hay comentarios

Bueno, bueno bueno, ya estamos de vuelta de vacaciones, espero que no se me haya perdido nadie y que todos lo hayais pasado de… vamos, todo lo mejor posible.

Mientras trabajo en un post acerca de sensores en dispositivos de alarma os dejo una referencia muy pero que muy interesante a un post de Security Art Work donde podeis leer las virtudes y problemas desde el punto de vista de la privacidad que tiene el uso del nuevo navegador de Google; Chrome. No os alarmeis porque como vereis, todo tiene solución .

Éramos pocos… y Google parió a Chrome.

Salu2.

Noticias, Privacidad

Privacidad

Por favor, róbame

Entrevista a un SCAMMER

Destrucción de Información, referencias legales y normativas (IV)

Destrucción de Información, referencias legales y normativas (III)

Destrucción de Información, referencias legales y normativas (II)

Destrucción de Información, referencias legales y normativas (I)

Ficheros Temporales y LOPD

Tus derechos en Tuenti

La AEPD se pone las botas

Google Chrome

Licencia

Búsqueda

Últimas Entradas

Suscripciones

Suscripciones e-mail

Estadísticas

Mis ultimos tweets

Análisis Forense

Hacking

Legal

Peritaje Informático

Seguridad de la Información

Seguridad Global

Seguridad Informática

Tecnología

Privacidad

Licencia

Búsqueda

Últimas Entradas

Suscripciones

Suscripciones e-mail

Estadísticas

Mis ultimos tweets

Etiquetas más Usadas

Análisis Forense

Hacking

Legal

Peritaje Informático

Seguridad de la Información

Seguridad Global

Seguridad Informática

Tecnología