Luis Molina

tecnologías de la información, experiencias, conocimiento

Posts Tagged ‘seguridad

Seguridad en la venta por Internet

leave a comment »

El pasado 1 de diciembre de 2011 asistí a la jornada “Seguridad en la venta por Internet” organizada por la Cámara de Comercio de Granada, dentro del programa Feria del Conocimiento. Aparte de ser un evento puramente comercial para ofrecer diferentes servicios a las personas y empresas asistentes, anoté algunos detalles que me gustaría compartir.

  • La seguridad de la información con la que trabaja cualquier organización debe ser valorada en dos ámbitos:
    • El ámbito interno de la organización: funcionamiento interno, procesos de trabajo, comunicaciones internas, etc.
    • El ámbito externo de la organización: imagen pública, lo que se percibe desde fuera, lo que transmite esa organización.
  • Las características de una información segura son: disponibilidad, integridad, confidencialidad, autenticación y trazabilidad. La información segura es tratada/afectada/gestionada por personas, procesos y tecnología.

información segura

  • Si guardamos información en países extranjeros, la legislación vigente de ambos países debe ser “compatible” para garantizar la seguridad de la información.
  • En un formulario web en el que pidas cualquier dato personal, debes requerir expresamente el consentimiento de la persona para que esos datos personales sean tratados para llevar a cabo esa solicitud o servicio. Para ello lo habitual es colocar una casilla de verificación (checkbox) que la persona deba marcar obligatoriamente antes de enviar el formulario, indicando así que acepta nuestra política de privacidad de datos y que da su consentimiento. Si no marca esa casilla, el formulario no debería enviarse; dicho de otra manera, si no marca la casilla tú nunca deberías tener ninguno de sus datos personales.
  • Si tienes pensado enviar comunicaciones comerciales a quien te dio un dato de contacto a través de un formulario web, es imprescindible que en ese formulario web también solicites el consentimiento de la persona para recibir publicidad. Esto puedes hacerlo mediante una casilla de verificación para que la persona la marque en caso de aceptar la recepción de publicidad. De esta manera, tendrás menos posibilidad de ser calificado como spam.
  • Es posible que tengas acuerdos con alguna otra organización para pasarle datos de tus clientes o tus contactos. En ese caso, en el formulario web donde recabes datos personales también debes solicitar expresamente el consentimiento a la persona mediante una casilla de verificación, de forma que acepte la cesión de sus datos a terceros. Esto no es necesario si, para completar el servicio solicitado por la persona, es imprescindible que se utilicen sus datos. Por ejemplo, al comprar un producto en una tienda online es necesario que la empresa de logística conozca la dirección de la persona para poder entregar el paquete y así completar el servicio que solicitó y pagó.
  • llaves de coloresA nivel técnico, cuando vas a tratar con información segura a través de Internet deberias conocer estos conceptos:
    • Certificado digital.
    • Firma electrónica.
    • Servidor seguro.
  • Cuando una persona está navegando por un sitio web seguro (esto es, mediante HTTPS) y ese servidor web dispone de un certificado digital, resulta que toda la información que viaja desde el equipo de la persona (cliente) hacia el servidor va encriptada, pero la información que va desde el servidor hacia el cliente no va encriptada.

    Para asegurar que la comunicación entre un equipo cliente y un servidor es segura, y que la información viaja encriptada en ambos sentidos, es necesario que tanto el servidor como el cliente dispongan de certificado digital.

Más información:

Anuncios

Written by Luis Molina

3 diciembre 2011 at 13:44

Publicado en Eventos

Tagged with , ,

Sobre la LOPD y la LSSI-CE

with 6 comments

Gracias a la iniciativa de la Asociación de Webmasters de Málaga, tuve la oportunidad de asistir a una ponencia sobre las leyes de Protección de Datos y de Servicios de la Sociedad de la Información, conocidas como LOPD y LSSI-CE.

El ponente fue Francisco Pardo, quien de una manera amena y sencilla fue comentando algunos de los puntos más interesantes de estas leyes que están directamente relacionados con la creación de sitios web y los negocios en Internet. Las preguntas y comentarios de los asistentes enriquecieron la ponencia y debo decir que fue una experiencia satisfactoria.

Página de información sobre la ponencia

Indico algunos de los puntos que me parecieron relevantes:

  • La Agencia Española de Protección de Datos (AGPD) ha publicado una herramienta llamada Evalúa, que sirve para autoevaluar el grado de cumplimiento de la LOPD.
  • Es importante entender  bien el ámbito de aplicación de la LOPD: cualquier persona o empresa que almacene datos de carácter personal en cualquier medio físico o electrónico debe ajustarse a esta ley.
  • La LOPD contempla un proceso de disociación mediante el cual los datos almacenados no puedan asociarse a ninguna persona identificada o identificable. Por ejemplo, podemos guardar ciertos datos en una tabla de base de datos si identificamos cada registro con un user_id que no permita identificar a una persona  física concreta.
  • Si estamos almacenando datos a los que se le aplica un nivel de seguridad alto, tendremos que utilizar SSL y cualquier otra  herramienta o mecanismo que asegure la privacidad de esos datos.
  • Se contempla también el movimiento internacional de datos, caso que se da cuando almacenamos datos en servidores fuera de España. Debemos estar seguros de que la legislación de esos otros países proporciona al menos la misma garantía de privacidad de datos que la española, cosa que se cumple en cualquier país de la Unión Europea. Por ejemplo, aunque en EE.UU. no existe una ley equiparable a la LOPD española, sí han creado el concepto safe harbor para certificar que una empresa estadounidense está autorizada a tratar con datos de carácter personal europeos.
  • Cuando se cancela (elimina) un dato almacenado, hay que recordar eliminarlo también de archivos históricos tales como las copias de seguridad.

No se profundizó tanto en la LSSI-CE aunque quedó bien claro que jamás se debe enviar comunicaciones comerciales sin consentimiento.

ACTUALIZACIÓN: quiero dar la enhorabuena también a Raúl Jiménez Ortega, de la Asociación de Webmasters de Granada, por su implicación e interés en que este y otros eventos sean un éxito.

Written by Luis Molina

22 febrero 2010 at 17:45

Publicado en Artículos

Tagged with , , ,

Seguridad de los CMS más utilizados

leave a comment »

A través de Barrapunto he leído una comparativa de seguridad de CMS, en la que han seleccionado cuatro de los más utilizados en Internet: Drupal, Joomla, Movable Type y WordPress.

Más que por la comparativa en sí, esto debería estimular a cualquiera que utilice estos CMS para estar al tanto de la seguridad de sus sitios web. Cualquiera es objeto de un ataque porque cualquier sitio web está al alcance de un bot.

Written by Luis Molina

26 mayo 2009 at 06:25

Publicado en Artículos

Tagged with , , ,

Enlaces rápidos

leave a comment »

Llevo semanas con algunos enlaces pendientes de comentar aquí en el blog, y como se me están acumulando y nunca encuentro el momento para dedicarles un tiempo tranquilo a cada uno de ellos, he decidido poner los enlaces todos juntos para que vosotros mismos les echéis un vistazo:

  • ¿Crisis? ¿Qué crisis? Un poco de sentido común en momentos de pánico.
  • Consejos para diseñar la página de inicio de un sitio web. Traduzco, rápida y libremente:
    • Ofrece contenido de calidad en la página de inicio.
    • Ve al grano.
    • Crea promociones para los visitantes/usuarios/clientes.
    • Cuida cada enlace, así como el número de ellos.
    • Cuida el diseño para que no se “rompa” dependiendo del navegador o dispositivo en que se cargue la página.
    • No te pases poniendo anuncios.
    • Haz que la página se cargue rápidamente.
    • Haz un diseño limpio en el que sea fácil encontrar los mensajes clave.
    • Dale a los usuarios sólo la información que necesitan.
    • Mantén un código HTML y CSS válido.
    • Crea buenas páginas de productos (páginas internas).
    • Mantén la confianza de los usuarios.
  • Plantilla para hacer análisis heurísticos de usabilidad.
  • Diapositivas sobre buenas prácticas de programación en PHP.
  • Lista con los errores de código más peligrosos.
  • Este último enlace es una reflexión que me pareció interesante y no tiene nada que ver con los temas aquí tratados hasta ahora… o sí.

Written by Luis Molina

15 marzo 2009 at 18:14

Publicado en Enlaces rápidos

Tagged with , , , ,

Seguridad de las redes Wi-Fi

leave a comment »

inteco_capturaEn el último boletín del Observatorio de la Seguridad de la Información que edita INTECO facilitan una guía para proteger las redes inalámbricas W-Fi que tengamos en la empresa. Creo que viene bastante bien para evitar que las comunicaciones y la información se vean comprometidas o puedan ser capturadas por algún “listillo”.

Como digo, pienso que es conveniente por el hecho de proteger la información y  no tanto para evitar que nadie navegue usando nuestra señal Wi-Fi; creo que debe ser una medida adicional y que sirve para cumplir otro aspecto de la LOPD.

Precisamente hace un par de días aparecía en Barrapunto un artículo sobre la vulnerabilidad de las redes Wi-Fi domésticas mencionando un estudio realizado por BandaAncha; merece la pena leer algunos de sus comentarios.

Es esencial que cuidemos nuestras comunicaciones, que sean robustas y que eviten al máximo el aprovechamiento indebido de las mismas; lo más importante que tenemos son los datos, la información que manejamos, es nuestro tesoro y saber tratarla es lo que genera riqueza.

Written by Luis Molina

5 marzo 2009 at 09:37

Publicado en Artículos

Tagged with ,

Encuesta Global de Seguridad de la Información

leave a comment »

Seguridad de la Información

No sabía yo que se hacía una encuesta global sobre seguridad de la información, y mucho menos que ya se ha llevado a cabo en 11 ocasiones.

Pues gracias a Hispasec y su recomendable una-al-dia, me entero de que así es, y me entero de que el 85% de los encuestados (ojo, el 85%) creen que la consecuencia más problemática de un incidente de seguridad es lo que afecta a la imagen de marca y la reputación. ¿Puede ser esto un reflejo de la sociedad, donde se vende más por la marca (y el estilo que impone) que por hacer las cosas bien hechas a lo largo del tiempo? Bueno, no quiero generalizar, a veces una marca sí es sinónimo de calidad y fiabilidad.

En fin, me ha llamado la atención. Esa encuesta también refleja porcentajes de inversión (¡ejem! gasto) en seguridad de la información… Pienso que, muchas veces, bastaría con hacer las cosas bien hechas para que fueran seguras. Por ejemplo, en una aplicación web, sabemos que debemos validar lo que escriben los usuarios en los formularios, porque en otro caso estamos expuestos a ataques variados como inyección de SQL; entonces, ¿por qué no lo hacemos?

Enlaces:

Written by Luis Molina

25 noviembre 2008 at 10:11

Publicado en Artículos

Tagged with , ,