Paloma Llaneza

Pesada me pongo, lo sé. Pero para todos aquellos que me preguntan, insistentes, cuando se publica la ISO/IEC 27004:2009  os diré que desde hace una semana ya está disponible en la página de ISO por unos cuantos euros, o dólares u otras monedas de curso legal.

Y a los que me escribís con igual insistencia para preguntar dónde se encuentran las normas por la patilla o si se las puedo mandar en plan “señorita, deme una ISO” os reiteraré que os dirigís a la persona equivocada: si quiero que no me echen del subcomité y me arranquen los galones de editora, no puedo ni debo facilitar ningún texto, sea  de trabajo o ya publicado. Así que o pagáis o buscáis otra fuente.

Además, como se están poniendo las cosas, no quiero que, vía Ley Sinde, me cierren el blog por infracción de derechos de propiedad intelectual de ISO.

La Agencia de Seguridad de la UE, ENISA (the European Network and Information Security Agency) ha presentado un documento relativo a los riesgos de autenticación en los servicios de banca on-line haciendo uso de los “European eID Cards”, los documentos de identificación electrónicos.

El documento analiza 7 vulnerabilidades, identifica 15 amenazas y facilita recomendaciones de seguridad.

Y me subí a un escenario en el que no veías al público y sólo oías a los de sonido y a los de la organización charlando animadamente. Las primeras filas estaban forradas de ordenadores con personas detrás que parecían atender más a lo que saliese de la pantalla que del escenario. Mientras hablo recalculo cómo conseguir que alguien no me insulte por el “tuiter” y como realizar una faena digna, si no de aliño.

Al final la gente pregunta y pregunta cosas muy interesantes, y agradeces no sólo el buen nivel de las preguntas, el debate de altura sino que, a pesar de las pantallas, de la oscuridad, siempre estuvieron allí.
Gracias a todos por vuestra generosidad con una “inclusera” recién llegada al EBE.

Por último, y para solventar el revuelo del lector de DNI-e que veo que colea, aclararé. El DNI provee dos servicios de los llamados de seguridad: el de autenticación (identificación) y el de firma.

La autoridad de registro y certificación es la Policía, quien también lo es de verificación (el root es de la Policía) para sus propios usos, distribuyendo “copias” a otras autoridades, entre las que se cuentan MAP y FNMT, quienes también pueden prestar servicios de validación o verificación. Por ejemplo, si compro en el Corte Inglés usando el certificado de firma del DNI-e el servicio de verificación (de que firmo yo con un certificado vigente) probablemente sea prestado por FNMT basado en unas “listas” en las que aparece los certificados vigentes.

Teóricamente, FNMT no pasará mis datos de compra ni mi comportamiento a la Policía, ya que técnicamente no es necesario para que el servicio de validación se preste. Dicho esto, y siendo consciente de que esta estructura se hizo, precisamente, para evitar la acusación de “gran hermano” que yo lancé al DNI-e, no puedo evitar que mi natural desconfiado me lleve a prefierir usar el DNI-e sólo en su versión cartón-piedra o para mi relación con la administración, quien va a tener los datos de todas maneras.

Y ahora se me puede instalar aquí el troll de Dondado para darme caña, si a su derecho conviene

Imagen extraída de “Así funciona SITEL”.Vista en La información (el original en formato flash)

Visto en AEDEL

Dejando a un lado las disputas políticas, a una asociación como la nuestra no puede por menos que interesarle el debate abierto alrededor de las garantías evidenciales de las grabaciones telefónicas realizadas con el sistema SITEL. Seguir leyendo…

So pena de quitar relevancia al evento de The Public Voice, no me puedo contener la alegría: la 27004 es norma internacional y sólo espera que una servidora tenga un rato para hacer las últimas correcciones editoriales, que serán en nada.

Así que, a finales de año, tendremos publicada la norma.

Permitidme que me de besos yo sola.

Actualización: Se me olvidó deciros que la aprobación fue con el 97% de los votos y que la traducción al castellano ya está acordada en AENOR, así que la tendremos en breve.

La conferencia “Estándares sobre privacidad en un mundo global” con la que os he estado dando la paliza recientemente se acerca.  Muchos vendreis y nos daremos en persona abundantes besos pro-gripe-A. Otros no podréis venir, así que hemos decidido acercaros la conferencia. Vamos a los detalles.

Cuándo: 3 de Noviembre de 2009.

Consulta el horario aquí.  Recordad que Madrid está en la zona horaria CET o GMT+1, así que sincronizad los relojes con vuestra hora local

Cómo: en tiempo real en este enlace.

El equipo de visibilidad on-line usará durante el evento las etiquetas #globalprivacy y #privacidad. Puedes seguirnos  en Twitter, unirte a  Facebook o a la Comunidad The Public Voice.

¿Quieres saber más o inscribirte para acudir a la conferencia de manera presencia?

Aún estás a tiempo. Visita: http://thepublicvoice.org/events/madrid09/register.php

La revista satírica The Onion retrata con fino humor la sobreabundancia de aparatitos y la hipercomunicación a velocidad luz. Y, de paso, nos facilita a los que nos dedicamos a esto de las evidencias electrónicas y a la correlación de eventos, un video-salvavidas para iniciar con humor las tan odiadas presentaciones power-point. Épico el policía.

Police Slog Through 40,000 Insipid Party Pics To Find Cause Of Dorm Fire

Publicado hoy en aedel

Para evitar hablar de la sacrosanta relación abogado-cliente y de cómo algunos magistrados se la saltan a la torera y con ella las garantías constitucionales, conviene centrarnos en el tan traído y llevado USB intervenido al contable de los imputados y de cómo su contenido, parece, se va a convertir en la prueba reina de este proceso.

Si, como espero, las conversaciones entre abogado-cliente sobre la veracidad del contenido del tan sobado USB se sacan del proceso ¿quién asegura que lo las Excel son auténticas? ¿quién asegura su integridad?

La Gaceta de los Negocios nos describe cómo se autentica un pen drive en los juzgados españoles y no podemos dejar de pensar que necesitamos, cada vez con más urgencia, una ley de pruebas que permita hacer estas cosas no ya con más diginidad, sino con mayor rigor.

Si queréis leer el texto, aquí os lo colgamos en pdf.

Nos cuenta Computerworld que Unspam Technologies ha presentado una demanda con el fin de obligar a los bancos a divulgar cualquier información que tengan sobre las actividades de hacking que afecten a las cuentas de sus clientes.

La demanda no deja de ser curiosa: presentada en la Corte de Distrito Federal de EE.UU. para el Distrito Este de Virginia, se basa en la norma estadounidentes anti-spam, la CAN-SPAM Act, y pretende obtener una compensación por daños contra “personas no identificadas”, los “John Does” americanos  responsables de robar pasta mediante el uso de malware y otras hierbas.

Como no hay demandado, el demandante alega que para identificarlos necesitan que los bancos cuenten sus miserias y faciliten la información tendente a su identificación. Si la petición prosperase, sentaría un precedente y daría transparencia a la seguridad de la banca on-line, esa que nunca confesará haber recibido un ataque.

La seguiré con atención, que parece sacadita de la serie “El Abogado” que tanto me entretiene.

Ahora que tanto se habla de la convergencia de la seguridad física con la digital, y con las manías que a uno le quedan después de tanto tiempo en este sector, no dejan de sorprender algunas situaciones como la que acabo de vivir.

No voy a negar que estaba buscando una excusa para deciros que estoy en la Copa de Vela en Palma, disfrutando de un güisquito de 30 años en la sala VIP como una señora… todo ello por gentileza de la gente de Autoritas (¡Gracias!). Para que te traten así sólo hace falta un salvoconducto: la pulserita mágica de la foto.

En la calle de entrada al Real Club Naútico de Palma, la Policía tiene montado el consiguiente chiringo de seguridad, camioncito con scanner mediante. El primer día que llegas, como buen inclusero, tienes que identificarte a la entrada ante un policía, dicho sea de paso, no muy espabilado y bastante malhumorado. A partir del día en que te ajustas la pulsera, ni te vuelven a identificar. Y a una le surgen varias dudas que nadie contesta ¿Y si le paso la pulsera a otra persona el segundo día para que pase hasta la cocina? Alguien me responde que es una pulsera de un sólo uso que si te la quitas no te la puedes volver a colocar ¡Incorrecto! Ayer me la quité porque no me hacía juego con el bolso - hay que decir que la gente no se la quita porque le encanta que le traten como a un VIP en las tiendas de Palma- y me la he vuelto a colocar esta mañana.  Así que, entre esta debilidad, y el hecho de que la mochila pase por el escaner pero uno no, se me ocurren múltiples variables para sortear los controles con éxito.

También se me ocurren muchas maneras de mejorar el control de acceso sin retrasar la entrada de las tripulaciones ni de los visitantes a la zona del Club. Pero no me pagan para ello.

Os dejo que se me está dehaciendo el hielo en forma de pelota de tenis y se me va a aguar el güisqui.