martes 9 de febrero de 2010

Coches de Segunda Mano: Minimizando el riesgo

Hola de nuevo a tod@s,
Hoy me voy a saltar (solo un poco) la temática del blog en general y os voy a hablar de mi última experiencia en mi afán por conseguir una buena oportunidad en la adquisición de un coche de segunda mano. Como en cualquier otro aspecto de la vida, aquí también hay un riesgo. Sin duda alguna, la compra de un coche de segunda mano es una de las operaciones en la que te la juegas, ya lo decía la madre de Forest Gump, "la vida es como una caja de bombones, nunca sabes lo que te va a tocar".
Hace mucho que persigo un coche en concreto, no procede señalar cual, y hace un par de semanas encontré por Internet lo que parecían ser dos buenas oportunidades, una en Girona en un concesionario de la casa y otra en Valladolid que era una venta de particular (o eso parecía), me decidí a ir en orden a por la primera y voló, el vehículo duró 24 horas y fue rápidamente adquirido, además en Tenerife, con lo que me quedé algo como así 0_0.
Ni corto ni perezoso me dirijo al supuesto propietario del segundo vehículo y bueno... aparentemente todo estaba bien, parece que esta todo en orden y el precio sin llegar a ser el chollo del primero me convence. Me desplacé 650km para poder ver el coche y empecé a ver cosas extrañas... el coche tenía 4 años y medio y 60 y pico mil kilómetros, sin embargo en el libro de revisiones aparecía sólo una, al año de vida del vehículo y con 30000kms con lo que te viene la pregunta, ¿Cómo puede ser esto? si sigue la progresión, el coche debería tener por encima de los 100.000... psshsss pssshss (esto es el sonido de la mosca detrás de la oreja).
Quedamos en que si todo está en orden adquiriré el vehículo y me dispongo a realizar mi particular investigación con el objetivo de reducir el riesgo de la operación. Me dirijo a la Dirección General de Tráfico, cojo un papelito y pago las tasas correspondientes (7,80) y me hago con el historial del vehículo. Allí figura el nombre del propietario que no es quien me lo vende, el que me lo vende es un comercial de otro concesionario de marca distinta a la del vehículo. Bueno, tengo que intentarlo, no me culpen, llamé a San Google y le pregunté y voilá, di con el dueño!!!. El dueño del vehículo me confirmó que había sido suyo y que efectivamente el coche tenía 107.000 kms aproximadamente, cosa que dista bastante de los que a mi me presentaban, además el libro de revisiones había sido manipulado.
Lo peor es que tras hablar esto con un abogado parece ser que es muy difícil meter mano en asuntos de este tipo porque no suponen una contra prestación para el denunciante, simplemente repercutiría negativamente en el denunciado, además de esto, hay que denunciar donde ocurren los hechos e ir a declarar allí en el juicio. Lo único que se podría hacer es pedir daños y perjuicios una vez haya concluido el primer pleito.
¿Cómo termina todo? con el vehículo en su sitio y yo en el mio que estamos los dos mejor. La investigación me salvó.
Pero esto no es todo, las compras de coches de segunda mano por Internet están llenas de timos mucho peores que éste, gente que pone a la venta coches que no existen e intenta vendértelo sin que lo veas o que le pagues una señal a lo que sigue un "ya te has quedado sin tu pasta". Personas que dicen estar en Australia y que han ganado el coche en un divorcio o gente que los vende porque se ha ido a Inglaterra y claro, allí se conduce por el otro lado. La Neurosis es la base de un buen tratamiento del riesgo, en estos casos no te dejes llevar por tus deseos de adquirir el vehículo, sé lógico, piensa lo peor y acertarás.
Salu2!
Publicado por Miguel Ángel Hernández Ruiz en martes, febrero 09, 2010 0 comentarios
Etiquetas:

domingo 7 de febrero de 2010

10 viñetas de seguridad en aeropuertos

Hola,

para que esta mañana de lunes empeceis la semana con buen pié y buen humor os dejos estas viñetas, algunas son muy buenar ;).

Fuente: http://www.schneier.com/
Publicado por Miguel Ángel Hernández Ruiz en domingo, febrero 07, 2010 0 comentarios
Etiquetas:

domingo 31 de enero de 2010

Publicados el ENS y el ENI

Hola a tod@s,
Tras una semana de "vacaciones", ya se sabe, son vacaciones del trabajo habitual pero hay otros cuantos miles de cosas que hacer, me he encontrado con que el viernes pasado se publicó el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad. Por fin y tras un largo camino disponemos de las herramientas que vienen a garantizar un acceso seguro y fiable de los ciudadanos a los servicios ofrecidos vía intenernet por las administraciones públicas.
Aquí podeis encontrarlos:
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1330 - 50 págs. - 1130 KB)
  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1331 - 18 págs. - 311 KB)

Salu2!!

Publicado por Miguel Ángel Hernández Ruiz en domingo, enero 31, 2010 0 comentarios
Etiquetas: ,

jueves 14 de enero de 2010

¿Es válido el enfoque actual de seguridad para el futuro?

Categoría: Seguridad de la Información
Recientemente publiqué en Twitter que analizaría una noticia que encontré en CSO. Esta noticia titula "El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young". Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.

Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.

Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).

La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.


Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).

Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.

Ah!, ahora se a lo que se refería cuando decía: "teniendo en cuenta la emergencia de nuevas tecnologías". Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.
Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no "interpretas" juega malas pasadas, en este caso, por culpa del término "normativa".
Todo comentario es bienvenido, como siempre.
Salu2!
Publicado por Miguel Ángel Hernández Ruiz en jueves, enero 14, 2010 0 comentarios
Etiquetas: ,

lunes 11 de enero de 2010

Aprobado el Esquema Nacional de Seguridad

Hoy estamos de enhorabuena, en realidad lo está toda España sea o no consciente. El Consejo de Ministros ha aprobado el ENS que será publicado bajo un Real Decreto.

Lo único que espero es que el Gobierno se moleste en que este Esquema Nacional de Seguridad sea Auditado e Impuesto a todas las Organizaciones bajo el alcance legal de la ley 11/2007 y no quede en un papel, aunque probablemente, si no lo hace en primera instancia, el devenir de los acontecimientos acabará por dar argumentos de sobra para que así sea.

Este ENS requiere en mi opinión de personal especializado y un cuerpo de auditores capacitado para verificar su cumplimiento ya que aquello que se pretende salvaguardar no es baladí... tiempo al tiempo.

Podéis ver más detalles aquí.

Fuente: sociedad de la información

Salu2!.

Publicado por Miguel Ángel Hernández Ruiz en lunes, enero 11, 2010 0 comentarios
Etiquetas:
Suscribirse a: Entradas (Atom)