¿hay vida despues de la Expo?

El reglamento tan esperado de la Ley Orgánica de Protección de Datos (LOPD) por fin ha sido aprobado. Se ha aprobado en el Consejo de Ministros del pasado viernes 21 de diciembre de 2007. Aún sin publicar, en la web de La Moncloa, se puede leer un resumen. Se dan tres meses para adaptarse desde que se publique en el Boletín Oficial del Estado hasta que entre en vigor.

El Reglamento consolida la interpretación efectuada a los principios de protección de datos realizada por la Agencia de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo y estipula nuevas medidas legales garantizando una mayor seguridad jurídica.

Se establecen medidas de seguridad específicas para ficheros y tratamientos no automatizados (papel). En el nuevo Reglamento se establece el procedimiento para efectuar el tratamiento de datos de menores, se establecen medidas para garantizar el principio de calidad de los datos, se desarrolla el principio del deber de información, y se desarrolla la regulación relativa a las actividades de publicidad y prospección comercial.

Etiquetas: LOPD, protección, datos

En este vídeo producido en la Universidad Técnica Federico Santa María de Chile se ridiculiza la seguridad informática con la intención de concienzar en mejorar la seguridad interna de las oficinas, al respecto respecto de la información. Muchas veces habéis visto papelitos con passwords en la pantalla, CDs con información importante encima de la mesa, ordenadores conectados sin clave, etc.

Etiquetas: seguridad, informática, security

ENISA, la Agencia Europea de Seguridad Informatica acaba de hacer publico su informe sobre medidas/métricas de Seguridad Informatica y casos de Exito. El informe mide basicamente la percepcion de los resposables de Tecnologías de la Información, y no hace ningún estudio cuantitativo ni cualitativo sobre el tema.

El informe, fue encargado a PWC por esta agencia, lo que nos da una primera y defectuosa aproximación al mismo (sin entrar al tema de independencia). Si te interesa el tema de la seguridad informática, te recomiendo leas el post de David Fernandez Mena en Iurismática.

Etiquetas: Seguridad, Informatica, ENISA, informe

Para aclararnos con los cambios que ha habido estos últimos meses con las normas ISO de seguridad informática, hago un resumen de los estándares que componen la norma ISO 27000. Existe una información más detallada en ISO27000.es.

• ISO 27000: Se encuentra en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

• ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

• ISO 27003: En fase de desarrollo; probable publicación a finales de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

• ISO 27004: En fase de desarrollo; probable publicación a lo largo de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: En fase de desarrollo; probable publicación a finales de 2007 ó principios de 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Etiquetas: ISO, 27000, 27001, 27002, 27003, 27004, 27005, 27006, seguridad, informatica