viernes, 29 de abril de 2011

Oficina flexible: trabajando en el tercer lugar

En el marco de los encuentros Picnic4Working que organiza ATI Catalunya ayer tuvimos ocasión de debatir sobre el tema "Trabajar en el tercer puesto y oficina flexible".

El llamado "tercer lugar" o "tercer puesto" de trabajo es aquel espacio, distinto a nuestra oficina y nuestro hogar, donde poder seguir desarrollando la actividad laboral fuera de éstos dos ámbitos concretos.  Las nuevas tecnologías de la comunicación permiten tener conectividad (Wi-Fi, 3G, ...) allá donde estemos, y los dispositivos móviles (notebooks, iPads, smartphones, etc.) ofrecen la posibilidad de trabajar con nuestras herramientas de productividad habituales como si estuvieramos trabajando delante del ordendor de sobremesa.

Sin lugar a dudas, el avance del Cloud Computing y el SaaS (Software as a Service) han dado un empujón considerable a esta forma de "trabajo móvil".  Hemos pasado del "teletrabajador", aquel personaje que se queda en su casa, en pijama, realizando un informe en el PC para terminar enviándolo por e-mail a su empresa cuando lo tiene listo, al "trabajador móvil", aquel que puede responder e-mails mientras va en tren a una reunión, que puede revisar un informe mientras espera la salida de su vuelo en el aeropuerto, o, por ejemplo, que es capaz de organizar una reunión con sus colaboradores en una tranquila cafetería.

Los ponentes en el encuentro de ayer destacaron la alta productividad que puede alcanzar un trabajador móvil, en parte por la libertad que tiene el trabajador para organizarse sin estar sometido a la presión del entorno empresarial.  No obstante, todos coincidieron en la importancia de la auto-disciplina que uno debe imponerse en estos casos.

También se habló del papel de las Administraciones, en cuanto a la provisión de una buena infraestructura de telecomunicaciones.  Propuestas como equipar los trenes con Wi-Fi o asegurar la cobertura 3G en todo el recorrido de estos trenes o en las areas de servicio de la red de carreteras serían un esenciales para el aumento de la productividad de estos trabajadores.

Podes consultar la iniciativa TercerLugar.es (http://www.tercerlugar.es/) que representa muy bien la esencia de esta cuestión.

miércoles, 27 de abril de 2011

Aumentan un 25% las impugnaciones a correos electrónicos presentados como prueba en un juicio por errores de forma

Notícia que leo en Difusión Jurídica: "Aumentan un 25% las impugnaciones a correos electrónicos presentados como prueba en un juicio por errores de forma"

"Incide, división especializada en el tratamiento e investigación de la información digital y que forma parte del Grupo Winterman, constata que en los dos últimos años han aumentado un 25% los correos electrónicos que se presentan como prueba en un juicio y que son impugnados por presentarse en formato papel o por errores de forma."

Desconozco que tipo de estudio han realizado en Incide para obtener esa cifra del "25% de aumento" en las impugnaciones, pero sí que puedo constatar que la aportación de correos electrónicos como prueba en procedimientos judiciales es cada vez mayor. 

Las comunicaciones electrónicas están intimamente ligadas a  gran parte de las transacciones económicas, comerciales o laborales que realizamos a diario (adquisiciones de bienes y servicios, contratos o pre-contratos, acuerdos de pago, negociaciones, etc.) quedando muchas de ellas formalizadas a través de un correo electrónico.  En caso de disputa o desacuerdo, la prueba que necesitamos aportar ante el órgano judicial competente es -a menudo- uno o varios correos electrónicos que corroboran nuestros argumentos.

En la notícia de referencia, Abraham Pasamar, director de Incide, comenta que "la manipulación de un correo electrónico es relativamente sencilla lo que provoca que sean susceptibles de ser impugnados y que, para probar su autenticidad, sea necesario realizar un análisis pericial del correo electrónico, y otras informaciones relativas al mismo, y que siempre debamos tener acceso al correo original y no a copias ni a reenvíos del mismo".

Los abogados deben prepararse para este nuevo escenario, para llegar a tener la seguridad de que las pruebas sean legalmente admisibles por los tribunales.  Deberán contar con la colaboración de péritos informáticos, analistas forenses de sistemas de información, capaces de presentar la prueba electrónica de forma que no se pueda dudar de su autenticidad y que no ha sufrido ninguna manipulación.

Los expertos en informática forense, por su parte, deberán adaptar también su metodología y sus informes periciales acorde con los requerimientos que el sistema judicial exige para dar por válida una prueba electrónica.

miércoles, 20 de abril de 2011

VII OWASP Spain Chapter Meeting

Se me complicó la agenda y al final no pude asistir al VII congreso de la OWASP (Open Web Application Security Project) que se celebró en Barcelona el 15 de abril de 2011.  Una lástima porque se realizaron ponencias de gran calidad:
  • Web Attacks In The Wild: An overview of last year's probes. Adrián Pastor. Principal Security Consultant. Corsaire.
  • SAP: Session (Fixation) Attacks and Protections (in Web Applications). Raúl Siles. Founder & Senior Security Analyst. Taddong.
  • Seguridad OWASP en la certificación PA DSS de Aplicaciones de Pago. Marc Segarra. Consultor en Seguridad. Internet Security Auditors.
  • Respuesta a incidentes de infección web. Carles Fragoso. Responsable de Respuesta a Incidentes. CESICAT-CERT.
OWASP es una comunidad abierta y libre de nivel mundial enfocada en mejorar el nivel de seguridad de las aplicaciones de software. Su misión es hacer visible la seguridad en aplicaciones, especialmente de las aplicaciones web, aportando información y herramientas de manera que las organizaciones puedan tomar decisiones informadas sobre las vulnerabilidades y los riesgos de seguridad de sus aplicaciones web.

Aquí dejo el enlace a las presentaciones del evento:


sábado, 16 de abril de 2011

Sanción de 60.000 Euros por grabar a personas en la calle


En fecha 10 de febrero de 2011, la Audiencia Nacional ha confirmado la multa de 60.101,21 Euros que la Agencia Española de Protección de Datos impuso a El Corte Inglés en octubre de 2009 por grabar con cámaras de videovigilancia imágenes de coches y personas que circulaban por las vías públicas colindantes a los accesos al edificio del centro comercial en la ciudad de Málaga.

Se trata de una infracción del artículo 6 de la LOPD (Consentimiento del afectado), tipificado como infracción grave según el artículo 44.3 de la misma Ley.  

El importe de la multa (60.101,21 Euros) corresponde a la cuantía mínima para las infracciones graves (de 60.101,25 a 300.506,25 Euros) según establecía el redactado original de la Ley , en pesetas en 1999: de 10.000.000 a 50.000.000 Ptas.  Recordemos que con la entrada en vigor de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, en su disposición final quincuagésima sexta se modifican los importes de  las sanciones, siendo, en la actualidad, para las infracciones graves, de entre 40.001 y 300.000 Euros.

Si bien en cada uno de los accesos al edificio hay un cartel informativo de zona videovigilada, en el que se identifica al responsable del fichero ante quién pueden ejercitarse los derechos recogidos en el artículo 5 de la LOPD, los inspectores comprobaron que todas las cámaras tienen un ángulo de giro de 360º y disponen de función de "zoom" pudiendo captar imágenes de la vía pública, de las personas físicas que circulan por la acera, y de los vehículos estacionados. 

A tenor de lo dispuesto en la Ley Orgánica 4/1997, de 4 de agosto, la grabación en lugares públicos debe realizarse por las Fuerzas y Cuerpos de Seguridad del Estado, quedando limitados los usos de las cámaras de videovigilancia privada únicamente para grabar en los espacios privados objeto de la protección.  Por tanto, la captación de imágenes de la vía pública por parte del centro comercial, entraría en discrepancia con los principios de calidad y proporcionalidad establecidos en el artículo 4 de la Instrucción 1/2006 de la AEPD sobre videovigilancia. 

Finalizo con algunas afirmaciones concluyentes extraídas de los Fundamentos Jurídicos de la Sentencia (Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, Sentencia de 10 de febrero de 2011, Recurso 95/2010):

"En el caso analizado, ha quedado acreditado que el sistema de videovigilancia instalado en El Corte Inglés, permite seleccionar cualquiera de las cámaras y desplazar su enfoque 360º, alcanzando su ángulo de visión la vía pública y a las personas que circulan por la misma, realizando por tanto un tratamiento excesivo y no proporcional de las imágenes, en relación con el ámbito y las finalidades que podrían justificaban su recogida..."
 
"Por lo tanto aun cuando dicho sistema de videovigilancia haya sido instalado conforme a la normativa de seguridad, este hecho no le autoriza, a realizar grabaciones de imágenes en la vía pública, como es el caso que nos ocupa, mucho más allá de lo que resulta idóneo, adecuado y proporcional."

viernes, 1 de abril de 2011

¿Cuándo cambiar la contraseña?

Bruce Schneier iniciaba así un artículo publicado en Dark Reading el 10 de noviembre de 2010:

"¿Cada cuanto tiempo se debe de cambiar la contraseña?  Me han realizado esta pregunta en numerosas ocasiones, generalmente por personas que encuentran incómodidad en las políticas de caducidad de las contraseñas de sus empresas o entidades financieras - gente que, después de haber conseguido memorizar una contraseña, son requeridos para cambiarla por una nueva."

Seguro que a cualquier Administrador de Sistemas o Responsable de Seguridad le han hecho la misma pregunta infinidad de veces.  Y, probablemente, habremos dado la misma respuesta que el experto en seguridad: "The answer depends on what the password is used for." (Bruce Schneier, "When to Change Passwords", 10-11-2010).

En el artículo ya nos avisa que lo peor de ir cambiando las contraseñas es la dificultad de recordarlas.  Si se fuerza a los usuarios a cambiar la contraseña con regularidad, probablemente elegirán contraseñas más fáciles de recordar (¡y de adivinar!) que si tienen una contraseña que puedan utilizar durante varios años.

A priori, parece una buena medida de seguridad implantar un sistema de contraseñas con "fecha de caducidad".  En caso de robo o descubrimiento de la contraseña, su uso (o mal uso) queda limitado al periodo de tiempo hasta la siguiente renovación.  No obstante, en el contexto actual, no parece ser éste un argumento válido.  Un atacante que posea la contraseña de acceso a nuestra cuenta bancaria on-line, puede acceder y transferir nuestro dinero a otras cuentas al instante; de poco sirve, en este caso, que vayamos cambiando la contraseña con cierta frecuencia.  Lo que hay que hacer es cambiarla de inmediato ante la menor sospecha de fraude.

Algo parecido sucede si alguien obtiene las credenciales de acceso a nuestro puesto de trabajo.  Puede acceder de inmediato, instalar algún tipo de malware o incluso crear una cuenta propia para posteriores accesos.

Más que preocuparse por cada cuánto tiempo hay que cambiar las contraseñas, hay que preocuparse de crear buenas contraseñas y tenerlas a buen recaudo.  Eso sí, cambiándolas de inmediato al menor síntoma de que alguien las haya podido obtener.