Se ha aprobado la Ley Orgánica de Protección de Datos y desde el viernes 6 de diciembre está en vigor.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
Estaremos pendiente del recorrido a partir de ahora.
domingo, 16 de diciembre de 2018
miércoles, 5 de diciembre de 2018
La Política de Actualización del Software (II)
En la primera parte pudimos comprobar cómo la ausencia de un parche puede provocar un gran daño económico a la compañía, paralizando sus operaciones, perdiendo datos o bloqueando el acceso a la información. Pero tampoco se pueden instalar las actualizaciones del software sin una gestión adecuada teniendo en cuenta cuándo, cómo, dónde y una sutil pregunta: por qué.
En esta segunda se van a conocer los elementos que hay que tener en cuenta para desarrollar la política de actualización del software.
domingo, 25 de noviembre de 2018
La polémica nueva Ley de Protección de Datos Personales
Todavía calientes los votos de aprobación de la nueva "Ley Orgánica de Protección de Datos Personales y Garantías de los derechos digitales" y sin publicar en el BOE, han saltado las alarmas por algunos polémicos artículos incluidos.
Aquí hay un resumen de las noticias destacadas en los periódicos más importantes. A ellos remito los detalles.
ABC: "Llega la ley que «espía» tu ideología: los partidos podrán recopilar tus datos sin consentimiento"
El Mundo: "Nace el gran hermano político: los partidos crearán ficheros con datos ideológicos de los ciudadanos"
El Confidencial: "Los partidos políticos te van a spamear: llega la nueva ley espía de tus datos personales"
El Pais: "El Senado da el visto bueno al spam electoral"
La Vanguardia: "Los partidos quieren ser el Gran Hermano"
El Periódico de Aragón: "Protección de Datos avisa de que no permitirá el spam ideológico"
En cuanto a expertos del sector sirvan como muestras los siguientes comunicados:
CCN-CERT: "Aprobada definitivamente la LOPD con la polemica del tratamiento por parte de los partidos.html
ISACA Madrid en Linkedin: "acerca del proyecto LOPD"
Secuoyagroup: "Aprobado el nuevo 58bis LOREG, ocho aspectos a tener en cuenta"
Hay muchos más opiniones al respecto, pero todos en la misma línea, mostrando gran inquietud por las consecuencias, las implicaciones con otras normativas legales e incluso la contradicción con el propio Reglamento General de Protección de Datos.
Hay que estar atentos a todas las noticias y opiniones del sector.
Aquí hay un resumen de las noticias destacadas en los periódicos más importantes. A ellos remito los detalles.
ABC: "Llega la ley que «espía» tu ideología: los partidos podrán recopilar tus datos sin consentimiento"
El Mundo: "Nace el gran hermano político: los partidos crearán ficheros con datos ideológicos de los ciudadanos"
El Confidencial: "Los partidos políticos te van a spamear: llega la nueva ley espía de tus datos personales"
El Pais: "El Senado da el visto bueno al spam electoral"
La Vanguardia: "Los partidos quieren ser el Gran Hermano"
El Periódico de Aragón: "Protección de Datos avisa de que no permitirá el spam ideológico"
En cuanto a expertos del sector sirvan como muestras los siguientes comunicados:
CCN-CERT: "Aprobada definitivamente la LOPD con la polemica del tratamiento por parte de los partidos.html
ISACA Madrid en Linkedin: "acerca del proyecto LOPD"
Secuoyagroup: "Aprobado el nuevo 58bis LOREG, ocho aspectos a tener en cuenta"
Hay muchos más opiniones al respecto, pero todos en la misma línea, mostrando gran inquietud por las consecuencias, las implicaciones con otras normativas legales e incluso la contradicción con el propio Reglamento General de Protección de Datos.
Hay que estar atentos a todas las noticias y opiniones del sector.
L. F. Real
El trámite de la nueva LOPD en el Senado
 |
| Resultado de la votación en el Senado del "Proyecto de Ley Orgánica de Protección de Datos y garantías de los derechos digitales" |
La Ley Orgánica de Protección de Datos ha sido aprobada en el Senado y finalmente por las Cortes Generales en el mes de noviembre. Vamos a dar un repaso muy resumido a la rápida tramitación ha tenido lugar en la Cámara Alta.
El Dictamen de la Comisión de Justicia del Congreso de los Diputados se publicó el 17 de octubre en el Boletín Oficial de las Cortes Generales, BOCG. Al día siguiente, el Pleno del Congreso aprueba en conjunto el proyecto ley por mayoría absoluta, como corresponde por ser una ley orgánica.
El texto que se envió al Senado es el "Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales"
El Proyecto de Ley en el Senado.
El 23 de octubre llega al Senado para su tramitación. Ese mismo día aparece publicado con el nuevo nombre en Boletín Oficial de las Cortes Generales, en las sección del Senado:“Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales”
En el Senado, el proyecto debe seguir un procedimiento similar al que tuvo lugar en el Congreso meses antes.
El proyecto de ley se asigna a la Comisión de Justicia para que recopile las enmiendas de los Senadores y de los Grupos Parlamentarios.
 |
| Sesión de Pleno del Senado |
En la etapa de Comisión se rechazan las enmiendas y el proyecto de ley queda sin cambios. El 20 de noviembre en la sección del Senado del BOCG se publica el Dictamen de la Comisión de Justicia indicando que texto del proyecto sea el mismo que remitió el Congreso de los Diputados y por lo tanto que sea éste el que se vote.
Ese mismo día se celebra la Sesión de Pleno en el Senado para la votación definitiva del Proyecto de Ley. Se aprueba por mayoría absoluta. Al no existir modificaciones o cambios introducidos por el Senado, el Congreso no tiene que volver a votar para ratificarlos o rechazarlos.
Por lo tanto, el Proyecto de "Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales" queda definitivamente aprobado por el Senado y el Congreso; es decir, por las Cortes Generales. En los próximos días deberá publicarse en el Boletín Oficial del Estado y entrará en vigor al día siguiente.
L. F. Real
lunes, 5 de noviembre de 2018
Dictamen de la Comisión para la nueva LOPD
Hace un par de semanas, el Proyecto de Ley de Protección de Datos culminó una nueva etapa en su proceso de elaboración.
La Mesa del Congreso asignó a la Comisión de Justicia que se encargase de la recepción de enmiendas y el debate en comisión sobre las mismas. El resultado es el Dictamen del Proyecto de Ley publicado en el Boletín Oficial de las Cortes Generales (BOCG) el pasado 17 de octubre.
DICTAMEN DE LA COMISIÓN “Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal)” 17 octubre 2018.
El dictamen empieza por cambiar el propio nombre de la ley. Añade la regulación de las “Garantías de los Derechos Digitales” de la que se ocupa el nuevo Título X que se ha incorporado. Porque como se expone en los motivos: “Corresponde a los poderes públicos impulsar políticas que hagan efectivos los derechos de la ciudadanía en Internet promoviendo la igualdad de los ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de los derechos fundamentales en la realidad digital.” Continuando más adelante “el legislador debe abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.”
En el Título X se reconoce y garantiza los derechos y
libertades digitales entorno a Internet, entre ellos:
- La neutralidad de la Red.
- El acceso universal
- El derecho a la Seguridad
- El derecho a la educación digital
sin olvidar los previamente recogidos:
- El derecho al olvido
- El derecho a la portabilidad
Otros derechos:
- El testamento digital
- El derecho a la desconexión en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral
- La protección de los menores en Internet
- Las garantías de la libertad de expresión y el derecho de rectificación
- El derecho a la aclaración de informaciones en medios de comunicación digitales.
Es necesario leer detenidamente los cambios en la ley.
Aunque el proceso legislativo no ha finalizado. Debe de pasar por los
procedimientos del Senado antes de volver de nuevo al Congreso para su
aprobación definitiva. En el Senado se añadirán otras modificaciones a través
de las enmiendas.
No obstante, siguiendo detenidamente la elaboración de la
ley, sin esperar a la aprobación final, se puede conocer las intenciones y los
deseos del legislativo. Tomar el pulso a la administración y al gobierno sobre estos
temas. Sobretodo con los nuevos derechos digitales que se han incorporado a la
ley.
Los nuevos conceptos que deber ser correctamente entendidos e interpretados y tendrán que ser desarrollados en futuros reglamentos. Pero la polémica sobre el tema está serviada. Para muestra destaco esta noticia en una revista digital.
IT User: "Las patronales tecnologicas disconformes con que regulenlos derechos digitales con la nueva LOPD"
El lector deberá estar atento a las opiniones de los sectores implicados.
Los nuevos conceptos que deber ser correctamente entendidos e interpretados y tendrán que ser desarrollados en futuros reglamentos. Pero la polémica sobre el tema está serviada. Para muestra destaco esta noticia en una revista digital.
IT User: "Las patronales tecnologicas disconformes con que regulenlos derechos digitales con la nueva LOPD"
El lector deberá estar atento a las opiniones de los sectores implicados.
L. F. Real
lunes, 15 de octubre de 2018
La Política de Actualización del Software (I)
La “Comisión de Parches”
Hace unas semanas me llamó la atención que mis compañeros corrieran por los pasillos nerviosos e impacientes hacia los ascensores. Iban cargados con papeles y portátiles escurridizos bajo el brazo. Arrastrando los cables que se enredaban en sus piernas. En la cuarta planta se encuentran las salas de reunión más grandes, con potentes proyectores y las mejores facilidades para videoconferencias. Por el aspecto agitado de los convocados debía tratarse un asunto muy urgente. A mis preguntas respondieron que iban a la “Comisión de Parches”. Me quedé perplejo, nunca había oído nada sobre esa comisión en la compañía. El curioso nombre esbozó en mí una sonrisa burlona. ¿Organizarían una excursión en bicicleta?, ¿por la montaña?, ¿tantos pinchazos?, ¿tantos parches? ...
lunes, 10 de septiembre de 2018
Convalidación del Real Decreto-Ley 5/2018 para la adaptación urgente al RGPD
 |
| Panel de votación electrónica del Congreso de los Diputados |
Volvemos a introducirnos en el procedimiento legislativo. Como explicamos en el artículo anterior, para que el “Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos” pase a formar parte del código español, tiene que ser convalidado o derogado en una votación en el Pleno del Congreso. (Todo ello en cumplimiento del artículo 151 del Reglamento del Congreso donde se explica el procedimiento). Esta votación se tiene que celebrar al mes desde que el Real Decreto-Ley se publicó en el BOE.
miércoles, 22 de agosto de 2018
Adaptación urgente al Reglamento Europeo de Protección de Datos mediante Real Decreto-Ley
 |
| Publicación en el Boletín Oficial del Estado |
Tal y como he escrito varias veces en este blog, está pendiente de aprobación una nueva Ley Orgánica de Protección de Datos que se adapte al reglamento europeo ( “Proyecto de Ley Orgánica de Protección de Datos” y "¿Qué novedades trae el Proyecto de Ley de la LOPD?"). La nueva ley deberá derogar toda la normativa anterior como la Ley Orgánica 15/1999 y su desarrollo en el Real Decreto 1720/2007. Debería haber sido aprobada antes del 25 de mayo de 2018, cuando entró en vigor el RGPD. El propio Reglamento insta a que los países miembros completen el desarrollo normativo sobre protección de datos.
Todo el marco normativo debería haber concluido el pasado mayo. Pero no ha sido así. El Reglamento europeo por sí mismo no es suficiente y la legislación actual no suple la ausencia de muchos preceptos en aquél.
Finalizó la primavera y comenzó el verano sin que los legisladores hayan hecho los deberes durante los meses anteriores.
El nuevo Gobierno en minoría.
Las vicisitudes parlamentarias de las últimas semanas han conducido al cambio de un Gobierno a través de una moción de censura. El nuevo presidente consiguió la confianza de la Cámara en la segunda vuelta de votaciones, donde fue elegido por mayoría simple. En estas condiciones, el nuevo Gobierno no tiene el apoyo suficiente en la Cámara Baja para sacar adelante muchos proyectos de ley. Entre ellas, las Leyes Orgánicas necesitan la mayoría absoluta para su aprobación (artículo 81 de la Constitución, CE). En estas circunstancias, el Gobierno no puede continuar con el procedimiento de aprobación del proyecto de ley protección de datos y se queda en el limbo de la tramitación parlamentaria.
¿Por qué un Decreto-Ley?
No obstante, la misma Constitución también limita en lo que puede o no puede legislar el Gobierno con un Decreto-Ley. Éste no puede “... afectar a los derechos, deberes y libertades de los ciudadanos regulados en el Título I,...”. El Título I de la Constitución está dedicado a los “Derechos y deberes fundamentales”. Precisamente, los datos de carácter personal están especialmente protegidos en el artículo 18.4 del Título I de la Constitución y el objeto de la Ley Orgánica 15/1999 (artículo 1) es “...garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.”
El Gobierno se ha visto obligado a recurrir al Decreto-Ley para aprobar un texto articulado que adecue la legislación española al Reglamento Europeo. Pero el Decreto-Ley, como hemos visto, no puede cubrir todo el ámbito de la protección de datos, ni sustituir el proyecto de Ley Orgánica que se encuentra en tramitación porque no puede regular sobre “los derechos, deberes y libertades de los ciudadanos”. Éstos se corresponden con los “aspectos de rango orgánico” que menciona el Decreto-Ley en su exposición de motivos y explica que no puede regular sobre ellos. Los derechos, deberes y libertades deben regularse mediante Ley Orgánica y su aprobación se consigue con el voto de la mayoría absoluta. El Decreto-Ley es un puente que permite cruzar las aguas turbias normativas que puedan existir entre el Reglamento Europeo y la futura Ley Orgánica de Protección de Datos.
En resumen, el Decreto-Ley tiene limitaciones en cuanto a la materia que puede legislar. No puede hacerlo sobre los derechos y deberes fundamentales, y los datos personales lo son. También limita en el tiempo porque debe ser convalidado en el Congreso.
Aquí está: “Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.”
L. F. Real
sábado, 4 de agosto de 2018
Eduardo Casas Herrer ilumina la red oscura
 |
| "La Red Oscura", Eduardo Casas Herrer. La Esfera de los Libros |
La red ha cambiado mucho en dos décadas. Ya no hay narrativas épicas de hackers. La Internet 3.0 esconde en sus entrañas la red oscura, la “dark net”. Las tecnologías como TOR facilitan el mercadeo de productos ilegales, divulgan los conocimientos para la maldad y facilita la insaciable actuación de mafias entre sus recovecos encriptados. (Casas describe sucintamente las características funcionales y organizativas de las mafias en la red)
Otra diferencia entre ambos libros es la mirada “hacia abajo” que nos ofrece Mitnick. Tiene su enfoque en la tecnología. No obstante, él fue un “pheaker”, un heacker versado en el uso no autorizado de los servicios telefónicos y por ello, condenado a prisión durante los años 80. Actualmente dirige una empresa de ciberseguridad. Casas nos induce a mirar “hacia arriba”, a los delitos en sí mismos y las consecuencias en las víctimas. Su perspectiva es opuesta porque es técnico superior en informática y además es policía especializado en delitos informáticos. Las descripciones técnicas son muy sencillas y sirven para enmarcar el contexto tecnológico donde se “mueve” hoy en día la delincuencia. Pero ambos autores coinciden en la importancia que tiene el uso de la denominada ingeniería social que aprovechan los malvados, la "colaboración" de la víctima en el éxito del delito. A veces es involuntaria y consecuencia de la ignorancia, otras muchas es la curiosidad y el atrevimiento irresponsable el que trae graves consecuencias. La lectura del libro de Casas es muy recomendable.
Lo mejor que podemos hacer es conocer a Eduardo Casas a través de la entrevista que le realizó el presentador Miguel Blanco en el programa de radio “Espacio en blanco” de Radio Nacional de España con motivo de la presentación del libro.
“Espacio en blanco, La red oscura”, (2 de abril 2017)
La entrevista también se encuentra en YouTube
“Deep Web Red Oscura // Espacio en Blanco // 02-04-17”
L. F. Real.
viernes, 27 de julio de 2018
Exposición: la máquina Enigma en Madrid
MÁQUINA ENIGMA. COMUNICACIÓN CODIFICADA
Espacio Fundación Telefónica, C/ Fuencarral nº 3, Madrid
Espacio Fundación Telefónica, C/ Fuencarral nº 3, Madrid
 |
| Exposición. En el centro Enigma, a la izquierda "Clave Norte" y a la derecha dos teléfonos de campaña |
Durante estos meses veraniegos, la Fundación Telefónica realiza una pequeña exposición temporal dedicada a la criptografía con la máquina Enigma como pieza central. Es un buen momento para disfrutar de este icono de la tecnología.
Los paneles explicativos están dedicados a la historia de los códigos, Enigma, Bletchley Park y Alan Turing. Las vitrinas que acompañan muestran aparatos de telefonía y de radio de la Segunda Guerra Mundial cedidos por otros museos y colecciones.
Son conocidos los matemáticos e ingenieros que "rompieron" los códigos alemanes, sobre todo Turing. Quiero destacar un panel de la exposición dedicado al importante trabajo que realizaron las mujeres, tanto civiles como militares, en Bletchley Park. Poco a poco se van saliendo a la luz sus nombres y las actividades durante la guerra. Así ocurre con las matemáticas Joan Clarke y Margaret Rock, o la traductora de alemán Mavis Lever. La actriz Keira Knightley interpreta a Clarke en la película “The Imitation Game (Descifrando Enigma)” ("The Imitation Game". Wikipedia) devolviéndola un protagonismo merecido.
No voy a insistir en descripciones de Enigma ni en el relato histórico porque hay bastante escrito.
Prefiero dar un repaso rápido a los aparatos de esta exposición.
miércoles, 4 de julio de 2018
Hace un mes entró el RGPD: esta es su situación
La sensación común entre los expertos que han publicado sus observaciones iniciales es la de “desconcierto” en las empesas. Con prisas y cierto desasosiego parece que lo tienen que tener todo listo y preparado, aunque haya habido dos años previos para proceder a su implantación gradual.
Los primeras manifestación que hemos notado los usuarios fue la abrumadora recepción de correos electrónicos de diversas organizaciones solicitando nuestro consentimiento expreso para que los datos fuesen tratados por ellas. Como ha expuesto Jesús Yáñez en el artículo del periódico Expansión, dicho reenvío habría sido inerario en la mayoría de los casos. Siendo sobre todo, consecuencia de un contagio de las actuaciones de unas organizaciones y otras. “Implantación del RGPD: problemas y soluciones” Expansión. A. O. 31 mayo 2018
Otros autores extraen más conclusiones al comienzo de la entrada vigor.
“La resaca del nuevo Reglamento de Protección de Datos: "Esto es un caos"”. Bruno Toledano. 29 mayo 2018
Mientras tanto, el Proyecto de Ley Orgánica de Protección de Datos sigue emplazado en la Comisión de Justicia. En esta dirección se podrá encontrar durante el tiempo que dure el proceso de tramitación.
Congreso de los Diputados > Iniciativas > Proyecto de Ley Orgánicas de Protección de Datos de Carácter Personal
Los cambios de gobierno de la nación española han paralizado estos meses su proceso de aprobación. Se pueden leer las novedades con respecto la LOPD 15/1999 en la entrada que publiqué: "¿Qué novedades trae el Proyecto de Ley de la LOPD?"
Son los pequeños negocios, micropymes o autónomos los que encuentran más dificultad en implantar las medidas obligatorias del nuevo Reglamento.
Seguiremos atentamente los procesos de implantación para descubrir los escollos más importantes que se encuentran, sobre todo los grupos indicados más arriba, con menos recursos disponibles. También es interesante cómo evoluciona en otros países europeos.
Luis F. Real
martes, 12 de junio de 2018
Kevin Mitnick y los hackers del “El arte de la Intrusión”
 |
| El Arte de la Intrusión, Kevin Mitnick y William L. Simon |
Estoy leyendo el libro de Kevin Mitnick y William Simon “El Arte de la Intrusión”. Llego a él con retraso. La edición tiene unos años; pero se sigue vendiendo. Lo he podido comprobar la semana pasada en la Feria del Libro de Madrid.
Los libros de ciencia y tecnología, sobre todo estos últimos, rápidamente se quedan anticuados. Por lo tanto debemos afrontar su lectura como la historia reciente del “hackerismo”, amena y didáctica.
Como indica el propio autor, recopilar hechos reales de la actividad hacker es difícil. Las empresas ocultan los incidentes. Las técnicas utilizadas no se divulgan. Mencionar los nombres verdaderos de las personas, cuando son conocidos, no es posible porque han participado en hechos ilegales. Los sucesos, únicamente narrados por boca de los propios hackers, pueden ser exagerados, desfigurados y por qué no, inventados. No obstante, Mitnick nos ofrece su compañía como asesor crítico velando por la verosimilitud de las hazañas recopiladas en el libro.
Las historias son muy variadas. Ofrecen una amplia muestra de casos: recopilan diferentes técnicas, indagan en la mentalidad de los hackers, sus artimañas, motivaciones y objetivos.
sábado, 14 de abril de 2018
El ciclo de vida de las vulnerabilidades frente al riesgo
Aparentemente, la presencia de un parche que está disponible sugiere a que una vulnerabilidad ha sido resuelta. Induce a creer que el "terreno" es seguro. Pero esto no es cierto.
El estudio de las vulnerabilidades en el tiempo es esencial, éstas cambian y diversifican. Inicialmente, el fabricante o proveedor lanza un parche sin que se hayan conocido ataques o exploits. Posteriormente aparecen informes y noticias de un exploit que aprovecha la vulnerabilidad que motivó el parche. Es la primera referencia sobre ésta. Suelen ser publicados por los investigadores que la descubrieron. En pocas semanas los hacker tratan de explotar la vulnerabilidad antes que los parches comiencen a instalarse globalmente. A la vez, se crean herramientas para probar la eficacia del parche.
Esta cadena de acontecimientos aumenta el riesgo en general de nuestros sistemas y organización.
Estos son algunos de los factores de riesgo de la vulnerabilidad en los que se debe profundizar. Están relacionados con el conocimiento del ciclo de vida:
¿Cómo se identifica y describe la vulnerabilidad?
Conocer las vulnerabilidades no es suficiente, hay que revisar los activos que pueden ser afectado.
Cuando se han identificado las vulnerabilidades, ¿cómo se pueden relacionar con la configuración de nuestros activos?, ¿éstos cumplen las condiciones descritas en las vulnerabilidades?
Ahora podemos reflexionar ¿Cómo estamos de expuestos al riesgo con estas informaciones?
Tenemos las siguientes tareas pendientes:
Podemos concluir que siempre hay que estar pendiente de las vulnerabilidades y los parches, aunque haya pasado tiempo desde su descubrimiento y resolución. Nuestra exposición al riesgo cambia y evoluciona conforme lo hacen aquellas amenazas que puedan beneficiarse de las vulnerabilidades . Las amenazas es esconden agazapadas en los rincones de los sistemas esperando su momento.
El estudio de las vulnerabilidades en el tiempo es esencial, éstas cambian y diversifican. Inicialmente, el fabricante o proveedor lanza un parche sin que se hayan conocido ataques o exploits. Posteriormente aparecen informes y noticias de un exploit que aprovecha la vulnerabilidad que motivó el parche. Es la primera referencia sobre ésta. Suelen ser publicados por los investigadores que la descubrieron. En pocas semanas los hacker tratan de explotar la vulnerabilidad antes que los parches comiencen a instalarse globalmente. A la vez, se crean herramientas para probar la eficacia del parche.
Esta cadena de acontecimientos aumenta el riesgo en general de nuestros sistemas y organización.
Estos son algunos de los factores de riesgo de la vulnerabilidad en los que se debe profundizar. Están relacionados con el conocimiento del ciclo de vida:
¿Cómo se identifica y describe la vulnerabilidad?
- ¿Dónde y quién la ha publicado?
- ¿Cuándo se descubrió?
- ¿Cuándo se ha explotado?
- ¿Cuándo se publicó el parche?
- ¿Cuándo se aprovechó por primera vez la vulnerabilidad en los ataques?
- ¿Es difícil de explotar?, ¿Qué elementos adicionales se necesitan?
- ¿Está disponible el código para realizar pruebas?
- ¿Existe un software comercial que solucione la vulnerabilidad? O por el contrario ¿hay que desarrollar uno específico?
- ¿Cuáles son los requisitos previos para explotar la vulnerabilidad?
- ¿La vulnerabilidad está siendo utilizada actualmente en ataques?
- ¿Los ataques son dirigidos o generalizados?, si son dirigidos ¿persiguen algún objetivo concreto?
Conocer las vulnerabilidades no es suficiente, hay que revisar los activos que pueden ser afectado.
- ¿Cuán crítico es el activo para el servicio?, ¿y para el negocio en su conjunto?
- ¿Qué tipo de información guarda?
- ¿Está en la infraestructura crítica?
- ¿Forma parte de algún proceso crítico del negocio?
Cuando se han identificado las vulnerabilidades, ¿cómo se pueden relacionar con la configuración de nuestros activos?, ¿éstos cumplen las condiciones descritas en las vulnerabilidades?
Ahora podemos reflexionar ¿Cómo estamos de expuestos al riesgo con estas informaciones?
Tenemos las siguientes tareas pendientes:
- Corregir nuestra exposición al riesgo hacia un conocimiento más preciso.
- Redactar informes más detallados a la administración de la exposición al riesgo en el momento actual. Estos informes deben ir acompañados de la valoración de las medidas de reducción del riesgo.
Podemos concluir que siempre hay que estar pendiente de las vulnerabilidades y los parches, aunque haya pasado tiempo desde su descubrimiento y resolución. Nuestra exposición al riesgo cambia y evoluciona conforme lo hacen aquellas amenazas que puedan beneficiarse de las vulnerabilidades . Las amenazas es esconden agazapadas en los rincones de los sistemas esperando su momento.
L.F.Real
martes, 10 de abril de 2018
Monográfico Temas Investigación y Ciencia: "La sociedad hiperconectada"
Cada trimestre la revista "Investigación y Ciencia" edita un número monográfico con la recopilación de artículos publicados.
En número del primer trimestre de 2018 está dedicado a las tecnologías de la información con el título "La sociedad hiperconectada". Los artículos se seleccionan por temática destacando:
internet, ciberseguridad, computación, tecnología, sociología, economía, ... De este modo, ofrece un panorama bastante amplio, tratado desde diversos puntos de vista y cubriendo novedosas áreas de investigación.
Voy a dedicar unas notas a algunos artículos con la intención de motivar el interés, para que el lector averigüe más por su cuenta.
viernes, 2 de marzo de 2018
¿Qué novedades trae el Proyecto de Ley de la LOPD?
El Proyecto de Ley Orgánica de Protección de Datos se presentó en la Mesa del Congreso y su publicación en el Boletín Oficial de las Cortes Generales, BOCG, durante el mes de noviembre de 2017. Deberá ser aprobado antes de mayo de 2018, cuando entre en vigor el Reglamento (UE) 2016/679. Hasta esa fecha, el Proyecto de Ley podrá sufrir modificaciones a través de las enmiendas parciales o a la totalidad que puedan presentarse. Por lo tanto, los comentarios al Proyecto de Ley de los siguientes párrafos deberán ser corregidos o matizados en el futuro.
El Proyecto de Ley se ha debatido durante el mes de febrero de 2018 en el Congreso de Diputados estando en fase de enmiendas.
El objeto del Proyecto de Ley es trasladar el Reglamento (UE) 2016/679 (de aquí en adelante nos referimos como Reglamento) al derecho español. Los cambios que impone el Reglamento son tan amplios y profundos que exigen la elaboración de un nuevo marco legislativo sobre la protección de datos. La “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” y el “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999” serán derogados y sustituidos por otras leyes y reglamentos similares.
 |
| Sesión solemne del Congreso de los Diputados (origen de la imagen es.wikipedia) |
Como es de suponer, el Proyecto de Ley reconoce a la Agencia Española de Protección de Datos, AEPD como la autoridad de control principal y a las Agencias de las Comunidades Autónomas como otras autoridades de control. El Título VII “Autoridades de protección de datos” regula las Agencias y sus relaciones tal como establece el Reglamento. En un futuro habrá que aprobar el Estatuto de la AEPD mediante Real Decreto.
Situados en el papel que juega la AEPD, procedemos a destacar algunos puntos interesantes del Proyecto de Ley.
jueves, 15 de febrero de 2018
3 Notas sobre servicios SOC: qué son, su evolución y la relación con NOC
La entrada de enero donde reflejamos el anuncio de la implantación de un Security Operations Center, SOC, para la Administración General del Estado, nos motiva para añadir unas notas sobre estos servicios ( "Implantación de un SOC para la Administración General del Estado" ).
En los siguientes párrafos explicamos brevemente su relación con los servicios Network Operations Center, NOC, y dejaremos unas líneas sobre la evolución de los servicios SOC.
En los siguientes párrafos explicamos brevemente su relación con los servicios Network Operations Center, NOC, y dejaremos unas líneas sobre la evolución de los servicios SOC.
miércoles, 24 de enero de 2018
Proyecto de Ley Orgánica de Protección de Datos
Hace unos meses recopilé en una entrada las grabaciones en vídeo de conferencias que explicaban las novedades del Reglamento Europeo de Protección de Datos.
La entrada en 3temastic: "Reglamento Europeo de Protección de Datos a la espera"
En la conferencia que ofreció Ana Mazo Portera en octubre de 2016 anunciaba que serían necesarios cambios en la legislación española para trasponer el reglamento europeo. Pues bien, en noviembre de 2017 la Mesa de la Cámara del Congreso admitió el Proyecto de Ley Orgánica de Protección de Datos.
El proyecto de ley se puede consulta en:
Proyecto de Ley Orgánica de Protección de Datos. BOCG-12-A-13-1.PDF
En cuanto a las fases de elaboración del Proyecto de Ley, así como temas pendientes podemos consultar en el Portal de Transparencia:
Anteproyecto de Ley Orgánica de Protección de Datos
Habrá que estar atentos a la evolución de dicha normativa.
La entrada en 3temastic: "Reglamento Europeo de Protección de Datos a la espera"
En la conferencia que ofreció Ana Mazo Portera en octubre de 2016 anunciaba que serían necesarios cambios en la legislación española para trasponer el reglamento europeo. Pues bien, en noviembre de 2017 la Mesa de la Cámara del Congreso admitió el Proyecto de Ley Orgánica de Protección de Datos.
El proyecto de ley se puede consulta en:
Proyecto de Ley Orgánica de Protección de Datos. BOCG-12-A-13-1.PDF
En cuanto a las fases de elaboración del Proyecto de Ley, así como temas pendientes podemos consultar en el Portal de Transparencia:
Anteproyecto de Ley Orgánica de Protección de Datos
Habrá que estar atentos a la evolución de dicha normativa.
miércoles, 17 de enero de 2018
Implantación de un SOC para la Administración General del Estado
Durante los días 13 y 14 de diciembre se celebraron las XI Jornadas CCN-CERT.
Como cada año, en estas jornadas los expertos revisan la situación entorno a la Ciberseguridad, tanto en el sector público como en el privado.
Las conclusiones que se presentan son las que se extraen después del análisis y evaluación de los incidentes que han ocurrido en el año que finaliza, las deficiencias y dificultades que se han encontrado en la gestión de amenazas y percances, las soluciones implementadas y los retos futuros.
Hay que prestar especialmente atención a los temas de cumplimiento, al desarrollo normativo y legislativo. En estas conferencias se presentan las propuestas del gobierno.
miércoles, 10 de enero de 2018
Tendencias en la ciberseguridad y ciberamenazas para 2018
Como cada año, con la llegada de la Navidad, es el momento
de recopilar y leer los las estadísticas de ciberseguridad del año que termina.
Buscar y leer los informes predictivos para el nuevo año, con la esperanza que
no sean tan nefastos como generalmente vaticinan.
Destacamos tres conclusiones para el 2018:
miércoles, 3 de enero de 2018
Legislación para el vuelo de drones
 |
| Congreso de los Diputados en la ciudad de Madrid |
Después de muchos años de espera, llega la primera legislación sobre el vuelo de los drones. Esta tecnología está desarrollada y se encuentra a la espera de regulación para que las empresas puedan proyectar y desplegar servicios basados en el uso de estos aparatos.
Se ha publicado en el BOE del 29 de diciembre el Real Decreto 1036/2017 del 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto.
El objeto y ámbito de aplicación son ...
Suscribirse a:
Entradas (Atom)