El estudio ha identificado que los CERTs no están utilizando todos los recursos externos posibles que tienen a su disposición, que tampoco recopilan ni comparten datos de incidentes sobre otros distritos con otros CERTs. Esto está relacionado, ya que el intercambio de información es clave para combatir efectivamente las actividades maliciosas y malware, que es extremadamente importante en la lucha de ciber amenazas internacionales.  

“Los responsables de CERT nacionales/gubernamentales deberían emplear el informe para lograr la identificación de los defectos, mediante el uso de más recursos externos de información de incidentes y herramientas internas adicionales para recoger información para cubrir los vacíos” dijo el director ejecutivo de la Agencia, Profesor Udo Helmbrecht .

Para los proveedores de datos, las principales recomendaciones se centran en cómo mejorar el alcance de los CERTs, mejor formato de datos, distribución, así como mejora de la calidad de datos.

Para los consumidores de datos, incluyen actividades adicionales por un CERT para verificar la calidad del suministro de datos, y despliegues específicos de nuevas tecnologías recomendadas.

Por último, a nivel nacional o de la UE equilibrio de la protección de privacidad y de las necesidades de seguridad si es necesario, así como facilitar la adopción de formatos comunes, integración de datos estadísticos de incidentes y la investigación en el informe de filtración de datos.  

Pueden ver el informe completo en: http://www.enisa.europa.eu/act/cert/support/proactive-detection   

Áudea Seguridad de la Información

Departamento de Comunicación y Marketing

www.audea.com

 PortalTic

Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

- Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

 Áudea Seguridad de la Información.

Aurelio J. Martínez Ferre

Departarmento Derecho NNTT

www.audea.com

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.

Áudea Seguridad de la Información

Departamento Derecho NNTT

www.audea.com

El nuevo CDP 6.0. de SonicWALL permite preservar, replicar, archivar, administrar y restaurar tu información más relevante.

 Ventajas del backup

• Copia continua configurada centralizadamente por políticas granulares.  Sin intervención del usuario ni backup manual.
• Soporte agente de Windows, MacOS y Linux.
• La metodología fileset y la deduplicación de datos permite guardar datos de forma cronológica, eliminando los datos duplicados.
• Permite copia nativa de aplicaciones Microsoft como SQL, Exchange, Sharepoint, Active Directory, Outlook. Y recuperación granular, a nivel de tabla en SQL y de correo electrónico o adjunto, en el caso de Exchange. 

 Ventajas de Disaster Recovery

• Backup site to site. CDP 6.0. utiliza encriptación AES 256-bit para transmitir y guardar datos en otros CDPs remotos.
• Local archiving. Archiva la información contenida en un CDP y guárdala en un disco USB que se puede transportar a otro lugar para mayor seguridad.
• Offsite backup. De forma encriptada, CDP puede transmitir y guardar datos en un SonicWALL Data Backup Center.
• Universal System Recovery. Crea una imagen de tu servidor Windows y restáurala en cualquier otro servidor, virtual o físico.

Consulta nuestro servicio BACKUP 

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Por lo tanto y según el artículo 6.1 de la Ley “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

En consecuencia la utilización de videocamaras será posible “siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados “ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente “ Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que “Es necesario constatar si cumple los tres siguientes requisitos o condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que “se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el  artículo 5.1 de la Ley Orgánica 15/1999”. En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: “La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“.

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que “A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”.

El artículo 5.1 e) de la LSP dispone que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”.

Por último, el artículo 7.1 establece que “Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior”.

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que “únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas”.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley  ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que “La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

“e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta”.

Dos. Se añade una Disposición adicional sexta:

 “Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que “No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

- El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.”

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando “que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento”.

Áudea Seguridad de la Información

Aurelio J. Martinez

Departamento Derecho NNTT

www.audea.com

El encuentro, organizado por la Consejería de Turismo, Comercio y Deporte a través de Andalucía Lab, abordó la reputación de marca en Internet

Unos 150 profesionales participaron el jueves 29 de septiembre en los Talleres de Aceleración Empresarial de la Industria Turística, unas jornadas organizadas por la Consejería de Turismo, Comercio y Deporte, a través del centro de innovación Andalucía Lab.

 A través de estas jornadas, que contaron con la presencia de expertos nacionales como  Chimo Soler (ISOC Internet Society), Albert Barra (HotelJuice) y Miguel Arias (Rankia) y José Luis Martínez (Kayak), se abordó la temática de la reputación de la marca en la red, poniendo a disposición de los empresarios asistentes algunos de los programas de asesoramiento de Andalucía Lab.

Estos talleres tendrán continuidad en Granada el próximo 20 de octubre, y en Huelva, el 27 del mismo mes.

Cada una de las jornadas consta de “una ponencia inaugural o mesa redonda, impartida por expertos y de asistencia gratuita”, en la que se tratan temas relacionados con el turismo e Internet, para continuar con “varios talleres simultáneos de seis horas duración y de carácter práctico”, con aforo limitado, que requieren de inscripción previa y tienen una cuota de 15 euros.

 La finalidad de este encuentro es permitir a los empresarios turísticos “diseñar toda la presencia digital de su establecimiento y explotar de forma efectiva la comercialización a través de Internet”, por lo que se estudia “la gestión de canales online, marketing, posicionamiento en buscadores, analítica web, redes sociales, reputación de marca, generación de contenidos y claves de un proyecto online en turismo”.

 En la misma, los técnicos de Andalucía Lab “asesoran a los profesionales turísticos sobre los servicios disponibles y realizarán ‘consultorías express’ a todas las empresas que acuden a los talleres y lo soliciten”.

Este año se celebra la segunda edición de estos talleres, que pretenden trasladar al sector turístico desde un punto de vista eminentemente práctico su incorporación al nuevo fenómeno de la web 2.0 y las redes sociales, así como “el posicionamiento en Internet, las estrategias de fijación de precio y las ventajas de las nuevas tecnologías en la gestión de los negocios”.

Se pone de manifiesto así el creciente interés en la gestión y vigilancia de lo que se dice de una empresa o producto en la red, y la necesidad de buscar soluciones adecuadas al nuevo entorno digital en el que nos desenvolvemos.

Áudea Seguridad de la información

Departamento Derecho NNTT

www.audea.com

www.turismoandaluz.com

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nominas”.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

Desde el punto de vista técnico existen distintos puntos de revisión de una base de datos MySQL, fundamentalmente:

• Asignación de privilegios
• Fichero de configuración
• Cuentas de usuario
• Acceso remoto

Una de las primeras acciones de revisión se debe centrar en la revisión de las cuentas por defecto, en este caso root. Para ello se puede comprobar si existe la cuenta y contiene contraseña en blanco:

SELECT User, Host

FROM user

WHERE User=’root’;

El acceso remoto (puerto 3306) a la base de datos debe ser monitorizado y controlado. Es muy común que el servidor de aplicaciones resida en la misma máquina que la base de datos, por lo que se podría limitar las conexiones a la base de datos desde fuera de localhost. Para ello se puede configurar esta opción en el fichero my.cnf añadiendo:

MYSQLD_OPTIONS=”–skip-networking”

Adicionalmente existen algunos parámetros de configuración o arranque de la base de datos interesantes desde el punto de vista de la seguridad:

• skip-grant-tables: Arrancar el sistema con esta parámetro supone una grave brecha de seguridad, ya que supone que cualquier usuario tiene privilegios para hacer cualquier cosa sobre la base de datos. En algún caso puede ser útil para recuperar la contraseña de root.

• safe-show-database: Permite mostrar solamente aquellas bases de datos sobre las que un usuario tiene algún tipo de privilegio

• safe-user-create: permite determinar si un usuario puede crear nuevos usuarios siempre y cuando no tenga privilegios de INSERT sobre la tabla mysql.user

Finalmente, y partiendo de la base de asignación del mínimo privilegio necesario, uno de los aspectos de seguridad a revisar son los privilegios asignados en la base de datos:

Select * from user where

Select_priv  = 'Y' or Insert_priv  = 'Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Reload_priv = 'Y' or Shutdown_priv = 'Y'

or Process_priv = 'Y' or File_priv    = 'Y'

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Select * from host

where Select_priv  = 'Y' or Insert_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

Select * from db

where Select_priv  = 'Y' or Insert_priv  = 'Y'

or Grant_priv   = 'Y' or References_priv = ‘Y'

or Update_priv = 'Y' or Delete_priv  = 'Y'

or Create_priv = 'Y' or Drop_priv    = 'Y'

or Index_priv = 'Y' or Alter_priv = 'Y';

Áudea Seguridad de la Información

Antonio Martínez

Departamento de Seguridad TIC

www.audea.com

En una nota de prensa, donde ésta red social nos informaba de forma oficial, dice que éstas novedades han surgido gracias a varias peticiones generalizadas de los usuarios y cada vez que se añada una aplicación, el sistema preguntará al usuario de forma clara e intuitiva ¿quién puede verlo?, y éste podrá delimitar quiénes de sus contactos o amigos podrán acceder libremente.

Dicho cambio supone que los controles de configuración de las nuevas herramientas que ofrece la red social deberían estar de modo accesible, es decir, presentes en todo momento durante la navegación y no en la opciones de privacidad y otros sitios que hay que buscar para configurarlos; del mismo modo, toda la información que aparezca en el perfil (desde la fecha de nacimiento hasta cualquier relación familiar) del usuario tendrá un menú desplegable y se podrá decidir con quién compartir; esto permitirá al usuario cambiar quienes de sus contactos o amigos pueden acceder a verla o si al día siguiente ya no quiere que lo vean.

También Facebook ha tomado en cuenta las conexiones de los contactos (amigos, amigos de amigos, etc.), para que lo grupos y los distintos modos de relacionar a toda persona que tenga una cuenta abierta en esta red social sean gestionados directamente por el usuario, es decir, se podrá desvincular o compartir cualquier información que se haya seleccionado; igualmente si antes, cuando a un usuario se le etiquetaba en una foto y ésta aparecía inmediatamente en su perfil, ahora pasará por un proceso de revisión y dar la aceptación o el rechazo de la misma.

Entre alguna de las novedades podemos especificar:

• Etiquetar en fotos a usuarios que no son amigos
• Rechazar ó aceptar una foto en la que un usuario aparece etiquetado antes de su publicación
• Añadir ubicaciones a las imágenes
• Controlar qué amigos pueden ver cada contenido que se comparte
• Especificar por qué se desea eliminar una etiqueta.

Audea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: www.20minutos.es

Desde el 2005  los navegadores comienzan a dar la opción de lo que se conoce como “navegación privada” pretendiendo con ella que no se registren datos, cookies, contraseñas…y así no dejar huella.

Consumer deja claro que esto no significa un valor añadido a la seguridad de la información, solamente esta diseñada para no guardar datos. Tampoco resulta una navegación anónima, puesto que no evita el registro del usuario cuando el proveedor de Internet lo controla.

Además aclara que con esta opción el navegador no consigue tener más protección en el campo de la seguridad y que pueden tener fallos, y en ocasiones el historial puede seguir exponiéndose.

Existe otro problema para algunos plugins que no están preparados aun para este modo de navegación privada y por consiguiente continúan guardando datos.

La activación es sencilla. Dependiendo del navegador se activa esta opción en una u otra pestaña: Herramientas (Internet Explorer 8 y Firefox), Archivo (Google Chrome 12), Edición (Safari 5) o en la de Pestañas y Ventanas (Opera 11). Y según qué navegadores existe la posibilidad de que  algunas extensiones se deshabilitan al activar este modo de navegación.

Como conclusión, Consumer pretende no dejar lugar a duda en que si se activa está opción no conseguiremos más protección, en ninguno de los ámbitos de la seguridad de la información, si no que simplemente (si no hay fallos) podremos intentar, al compartir un ordenador, que los otros usuarios no pueda seguirnos el rastro.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: 20 minutos