Los delitos informáticos en las Organizaciones

El pasado jueves, 22 de noviembre, ATI (Asociación de Técnicos de Informática) organizó un nuevo encuentro Picnic4Working contando, en esta ocasión, con la colaboración de la ACPJT (Asociación Catalana de Peritos Judiciales Tecnológicos).

La sesión, bajo el título "Los delitos informáticos en las organizaciones" contó con los siguientes ponentes:

• Juan Núñez, abogado, Socio-Director de BD Abogados
• Miguel Santander (@if_security), CEO de If-Security
• Rafael López Rivera, Perito Judicial, autor del blog Perito IT.

Desde la perspectiva de la empresa, de un experto en seguridad, o de un perito judicial, cada uno de ellos aportó su visión sobre la seguridad y los delitos informáticos.

En su intervención, el abogado Juan Núñez destacó que la principal preocupación de un empresario es dar servicio a los clientes de una forma rápida y eficaz para obtener la máxima rentabilidad en su negocio.  Así, en la empresa actual, donde los procesos de negocio dependen de los sistemas informáticos, éstos son considerados como un "coste necesario".  Para un empresario, la seguridad debería ser algo intrínseco a la informática y sus preocupaciones en este sentido vienen por el temor a perder datos, a no tener acceso a los mismos, a la pérdida de confidencialidad, o a la manipulación indebida, lo que, en la mayoría de casos, le impediría prestar sus servicios a los clientes.

Si el abogado nos habló de lo que preocupa a la empresa, el experto en seguridad Miguel Santander, nos habló de lo que debería preocupar a la empresa.  Según sus palabras "Para una empresa el sistema de información representa su valor, es lo esencial que hay que proteger.  Si se compromete esto, la empresa estará comprometida".  El ponente hizo un muy buen resumen sobre conceptos clave en seguridad informática: tipos de amenazas, clasificación de incidentes informáticos, vulnerabilidades, errores comunes, medidas de prevención, etc. todo acompañado de interesantes ejemplos.  A modo de conclusión, destacar la idea de "entender la seguridad como un proceso".

Finalmente, el périto judicial Rafael López Rivera, aportó un punto de vista intermedio entre la empresa -que se preocupa por su negocio- y el que pretende obtener los datos de esa empresa.  Cuando se produce un incidente de seguridad, se genera un conflicto entre el empresario, que quiere continuar trabajando, sin para ningún equipo, y el Responsable de Seguridad que necesita hacerse cargo de la situación para recopilar las evidencias.

El papel del perito judicial es, precisamente, recoger las evidencias cuando se ha cometido una intrusión o un incidente de seguridad que requiera de un análisis forense.  Rafael López explicó con detalle las fases de una actuación pericial de campo, haciendo hincapié en mantener en todo momento la cadena de custodia, de principio a fin, empezando por "no tocar nada si no tengo autorización para ello" y siendo muy meticulosos en seguir adecuadamente todos los procedimientos.

Tras las intervenciones de los ponentes, se inició un interesante debate entre los asistentes en el que se destacó que en la mayoría de empresas no hay una "cultura de la seguridad".  Aunque, sin duda, es esencial formar y concienciar a los usuarios en cuestiones de seguridad, más importante es que esta concienciación empiece en los niveles más altos del organigrama de la compañía, de donde debería partir el compromiso por la seguridad de los sistemas de información.

Como todo Picnic4Working, el debate continuó en el refrigerio posterior, donde de una forma distendida pudimos comentar con los ponentes y aprovechar para realizar networking con el resto de asistentes.

 

Pulsa aquí para ver la agenda del encuentro: http://www.ati.es/spip.php?article2238

Opinión del Supervisor Europeo de Protección de Datos sobre Cloud Computing

El 27 de septiembre, la Comisión Europea publicó el Informe "Liberar el potencial  de la computación en la nube en Europa" [sic] (Unleashing the Potential of Cloud Computing in Europe) donde se expone la estrategia de la Comisión para acelerar e incrementar el uso del cloud computing en Europa.

Como respuesta a este informe el Supervisor Europeo de Protección de Datos (EDPS), por iniciativa propia, acaba de publicar una Opinión sobre la relación entre el cloud computing y la protección de datos personales, aunque no se limita exclusivamente al contenido del citado Informe.  Conviene recordar que la Comisión consultó "informalmente" al EDPS antes de publicar el Informe y que algunos de esos comentarios "informales" fueron tomados en consideración en el Informe final.

(Enlaces a los documentos al final del post)

La Opinión se centra en tres aspectos principales:

• Destacar la importancia de la privacidad y la protección de datos en las iniciativas actuales de entornos en la nube (en particular, que el nivel de protección en la nube no debe ser inferior al que le correspondería en cualquier otro contexto de tratamiento de datos).
• Los retos que derivan para determinar sin ambigüedades las responsabilidades que corresponden a cada una de las partes implicadas.
• Identificar que acciones serán necesarias, por parte de los estamentos europeos, para dar apoyo al despliegue de los servicios en la nube en Europa (guías, estándares, certificaciones, modelos contractuales, etc).

Mes Europeo de la Ciberseguridad

Durante este mes de octubre se ha llevado a cabo la campaña "Mes Europeo de la Seguridad Cibernética" organizada por la Comisión Europea, en sincronía con el National Cyber Security Awareness Month que desde 2004 se organiza cada octubre en Estados Unidos.

ENISA (European Network and Information Security Agency) ha puesto a disposición de los Estados Miembros y de los ciudadanos diverso material de apoyo con fines educativos y de concienciación: publicaciones, videoclips, posters, material gráfico, etc. disponible para su descarga gratuíta en la web: http://www.enisa.europa.eu/activities/cert/security-month/material

Con esta campaña se pretende que los ciudadanos tomen conciencia acerca de la importancia de la seguridad de la información, proporcionando unos simples consejos que les ayuden a proteger sus datos, ya sean personales, financieros o profesionales.  Concienciar y promover hábitos seguros han sido los principales objetivos de la campaña.

En España, INTECO (Instituto Nacional de Tecnologías de la Comunicación) es quien coordina los actos de esta campaña, que tuvo uno de sus grandes momentos en la celebración de la sexta edición de ENISE  (Encuentro Internacional de Seguridad de la Información) que, un año más, reunió a "profesionales del mundo de la seguridad, instituciones y administraciones públicas para debatir sobre los retos más importantes que afronta en la actualidad el sector de la ciberseguridad".

Privacidad en los escáneres corporales de los aeropuertos

En el anterior post comentaba la monografía sobre "Privacidad y nuevas tecnologías" que ha publicado Novática en la que se incluye mi artículo titulado "Privacidad en los escáneres corporales en los aeropuertos de la U.E.".  En esta entrada voy a centrarme en el contenido de este artículo, cuyo contenido completo podeis descargar más abajo, si es de vuestro interés.

 

En él analizo la situación actual de los llamados "escáneres de seguridad de cuerpo completo", conocidos también como escáneres corporales o escáneres de seguridad, desplegados en fase de pruebas en algunos aeropuertos europeos para la mejora de los controles de seguridad aérea. 

 

Estos escáneres realizan una exploración completa del cuerpo del pasajero, mostrando una imagen detallada del cuerpo humano con el fin de detectar tanto objetos metálicos como no metálicos escondidos bajo la vestimenta.  La implantación de estos escáneres puede suponer una invasión en la privacidad de las personas ya que muestra imágenes definidas del cuerpo del pasajero sin ropa, mostrando detalles anatómicos y partes íntimas, incluidas prótesis médicas.

 

 

El objetivo del artículo es analizar como el uso de estos escáneres pueden afectar a nuestra privacidad.  De una parte se repasa el marco normativo en el ámbito de la U.E. y la propuesta de la Comisión Europea para regular el uso de los escáneres corporales y, de otra, para entender el funcionamiento de estos equipos, se da una pincelada técnica sobre las diferentes tecnologías de escaneo: de onda milimétrica - activas o pasivas - y de retrodispersión por rayos X.  Todo ello concluye con un análisis del nivel de implantación en los países que han optado por ello (*): Francia, Gran Bretaña, Italia, Finlandia, Países Bajos y Alemania.

(*) El artículo está redactado en febrero de 2012

 

Desde este enlace podéis descargar el artículo completo en formato PDF [283 Kb]:
http://www.joanfi.net/docs/Nv217-39_JoanFigueras.pdf

  

Y, finalmente, aquí dejo la transcripción de la referencia al artículo que los editores (Gemma Galdón y Gus Hosein) realizan en la presentación de la monografía:

 

« Joan Figueras vuelve a recordarnos que las controversias relacionadas con la tecnología, la privacidad y la seguridad no sólo se producen online, a pesar del evidente peso de los medios y redes sociales en el estudio del impacto social y sobre la privacidad de las nuevas tecnologías.

En su artículo sobre los escáneres corporales en los aeropuertos, Figueras traslada los debates abiertos por el resto de autores al espacio de la gestión de la seguridad en la aviación civil y los debates generados a nivel europeo desde la introducción de esta medida, a principios de 2010, así como la primera propuesta de marco común publicada por la Comisión Europea en 2011. 

 

En los meses de fase de pruebas, diferentes escáneres con diferentes tecnologías han sido instalados en muchos países (el autor aborda con detalle los casos de Francia, Gran Bretaña, Finlandia, Países Bajos, Italia y Alemania), y aunque la propuesta de la CE supone un primer paso hacia la homogenización y el desarrollo de un marco garantista en relación con el respeto a la privacidad y la dignidad de los usuarios, el autor identifica diferentes cuestiones aún no resueltas y que apuntan a la necesidad de un enfoque más amplio y respetuoso con los derechos fundamentales »

Monografía sobre "Privacidad y nuevas tecnologías" en Novática

Hace unas semanas recibí en casa el número 217 de la revista Novática.  Como socio de ATI (Asociación de Técnicos de Informática) recibo todas las entregas de Novática, siempre con artículos de gran calidad y de interesante lectura.  En esta ocasión, me ha hecho especial ilusión recibir la revista, no solo porque el tema central del número "Privacidad y nuevas tecnologías" sea de gran interés para mí, sino porque en la monografía se ha incluido un artículo mío ;-) 

 

Quiero agradecer, desde aquí, al coordinador de la revista, Llorenç Pagés, y a los editores invitados de la monografía sobre privacidad, Gemma Galdón y Gus Hosein, que hayan contado conmigo y hayan incluido mi articulo "Privacidad en los escáneres corporales en los aeropuertos de la U.E." en la misma.

 

Novática, fundada en 1975 y decana de la prensa informática española, es la revista de la Asociación de Técnicos de Informática, organización que edita también la revista REICIS (Revista Española de Innovación, Calidad e Ingeniería del Software).

 

 

(Portada del nº 217 de Novática, "La casa durmiente" - Concha Arias Pérez © 2012 ATI)

 

El contenido completo de Novática 217 está disponible en la Intranet de ATI accesible solo para socios, mientras que en la parte pública se pueden consultar los resúmenes y el bloque editorial:
http://www.ati.es/novatica/2012/217/nv217sum.html

El índice de la monografía sobre "Privacidad y nuevas tecnologías" es el siguiente:

Presentación. Privacidad y nuevas tecnologías: redes sociales, datos personales y tecnologías de vigilancia ante el reto del respeto a los derechos de las personas Gemma Galdon Clavell, Gus Hosein [contenido completo en formato PDF] La protección de datos en Europa y la inquietante presencia de la privacidad Gloria González Fuster, Rocco Bellanova [resumen] Tecnología de vigilancia y controles territoriales: Gobernanza y el pulso de la privacidad Darren Palmer, Ian Warren [resumen] Google: Navegando entre la seguridad, el derecho de información y la privacidad Cristina Blasi Casagran, Eduard Blasi Casagran [resumen] Rastros humanos en Internet: privacidad y seguimiento online en sitios web populares del Brasil Fernanda Glória Bruno, Liliane da Costa Nascimento, Rodrigo José Firmino, Marta M. Kanashiro, Rafael Evangelista [resumen] Las redes sociales y la tutela de la privacidad. Cuando la privacidad no se contempla como un derecho Massimo Ragnedda [resumen] Privacidad en los escáneres corporales en los aeropuertos de la U.E. Joan Figueras Tugas [resumen]

El contenido completo del artículo "Privacidad en los escáneres corporales de la U.E." en el próximo post.

BYOD (o TSPD "Traiga su propio dispositivo")

A raíz de uno de los encuentros Picnic4Working organizados por ATI Catalunya, ya cité en un post anterior el concepto de consumerización (fenómeno por el cual las nuevas tecnologías de la información surgen primero en el mercado de consumo y después se implantan en las empresas). Ahora, con la consumerización nos ha llegado un nuevo concepto: BYOD (Bring your own device), al que aquí podríamos llamar TSPD (Traiga su propio dispositivo) ¿no?.

Recuerdo reuniones para redactar las políticas de seguridad de las empresas en las que era usual incluir una cláusula mediante la cual se prohibía el uso (o la conexión) de cualquier dispositivo ajeno a la compañía. “- Por motivos de seguridad” intentaba explicarles, aunque Dirección solo viera en ello una manera de impedir que los empleados utilizaran esos recursos para cuestiones extralaborales. No les negaré sus razones, ya que en una ocasión recibí una petición de un usuario (formal, eso sí, siguiendo todo el circuito) solicitando acceso a la Wi-Fi corporativa ¡para la PSP!.

Pues bien, actualmente en el mismo tipo de reuniones se genera un controvertido debate sobre si autorizar a los usuarios a utilizar sus propios dispositivos (generalmente smartphones, tablets y notebooks). Aunque con conclusiones diversas - según la tipología de la empresa - observo una tendencia generalizada a permitir el uso de smartphones y tablets personales. Eso, claro está, para los que han debatido esta cuestión; muchas empresas ni siquiera se lo han planteado y de repente se encuentran con que los usuarios están utilizando sus propios BYOD sin ningún control.

#limpiandomisfavoritos 3

Esta es una recopilación de enlaces a vídeos de eventos, cursos o jornadas que me han interesado.  Espero que os puedan ser de ayuda.

SEGURIDAD:

Una interesantísima charla de Andrés Velázquez (www.crimendigital.com) en la Campus Party México sobre "Cómputo Forense Reloaded (porque todo deja rastro)".

http://youtu.be/fZ2kPqtFBEs

Desde GlobbTV podemos revisionar la mesa redonda moderada por Security By Default en la NoConName que trató el tema ¿Se toman en serio la seguridad las empresas?

http://www.globbtv.com/49/microsite/1535/no-con-name-se-toman-en-serio-la-seguridad-las-empresas

En marzo de 2012 asistí al congreso de seguridad informática /RootedCON.  En su página web han publicado los vídeos de las ponencias:

http://www.rootedcon.es/index.php/videos-de-rooted-con-2012/

INTECO organizó el seminario técnico "Navega a través del interior del DNIe" de forma presencial y on-line.  El webcast del seminario ya está disponible:

http://zonatic05.webcastlive.es/

DERECHO Y TIC:

El 29 de junio de 2012 se celebro el Digital Law World Congress (http://www.digitallawworldcongress.com/) en el ICAB (Barcelona).  En la web de Nubbius disponemos de los vídeos de las ponencias:

http://nubbius.com/blog/digital-law-world-congress


Y, para finalizar, en la web de la AEPD (www.agpd.es) están disponibles los vídeos de la 4º Sesión Anual Abierta de la Agencia Española de Protección de Datos, celebrada en Madrid en enero de 2012:

http://www.agpd.es/portalwebAGPD/jornadas/4_sesion_abierta_2011/index-ides-idphp.php