31 may 2012

Google Apps, ISO 27001 y los centros educativos del Gobierno de Navarra


En principio, he de decir que todo me parece bien, me parece perfecto que Google certifique sus servicios en la nube (Google Apps tal y como se ha publicado en Techcrunch y en Bitelia) en una norma como ISO 27001, ya que aporta credibilidad y seguridad tanto a Administraciones Públicas (como en este caso al Gobierno de Navarra) así como a empresas privadas y usuarios. Ahora bien, tal y como formuló Javier Cao (experto y reconocido profesional del sector de la Seguridad de la Información) en Twitter, lo verdaderamente importante es saber ¿Cuál es el alcance de esa certificación? Pues no es cuestión baladí, ya que no es lo mismo certificar la nube de esos servicios al completo o certificar por decir algo sólo la base de datos o una parte pequeña del área en cuestión y después eso sí, publicar a bombo y platillo que se han certificado esos servicios en ISO 27001. Cosa que ocurre muchas veces con este tipo de certificaciones, ya que esta muy bien ver el certificado colgado en la pared o en la website, pero hay que saber ver más allá y observar cual ha sido el alcance real de esa certificación. Todo ello, en lo que respecta a los servicios recogidos en Google Apps, ya que a día de hoy todavía no he conseguido saber cual es el alcance real de su certificación en ISO 27001, por lo que ya veremos cual es su alcance real y si es criticable o no.

Otra cuestión que ha saltado a la palestra esta semana en relación directa con la anterior, es el hecho de que "El Gobierno de Navarra opta por Google Apps en sus centros educativos" lo cual al igual que la noticia anterior, a priori me parece una buena noticia. Sólo me quedaría mencionar la cuestión de por que no seguir con proyectos modernos y seguir con dicha inercia migrando los sistemas operativos de la Administración Foral de Navarra a software libre aprovechando que probablemente este año deberán migrar de Windows XP a Windows 7 y de aplicaciones privativas de oficina como Microsoft office a Open o libre Office, consiguiendo así un ahorro de unos 102,99€ por sistema operativo y otros 301,35€ por paquete Office por equipo, por poner un ejemplo de medidas "revolucionarias".

Dejando de lado esta cuestión sobre la posible migración de los equipos de la Administración Foral de Navarra a software libre. En principio como decía, es una buena noticia, el hecho de que el Gobierno de Navarra apueste por herramientas como "Google Apps" ya que esto supondrá probablemente un ahorro respecto a la apuesta por otro tipo de herramientas. No obstante en esta cuestión también me planteo al igual que otros profesionales del sector como Gontzal Gallo entre otros, la cuestión sobre ¿Cómo hará el Gobierno de Navarra el tema del contrato de Encargado de Tratamiento regulado en la LOPD en lo que respecta a los servicios de Google Apps? Este, es un tema viejo, tan viejo como los servicios en la nube o "Cloud Computing" (a los que en su día ya hice referencia en mi entrada sobre "Safe Harbour" y Cloud Computing). En este sentido, Google no tendría tantos problemas legales para prestar este tipo de servicios, ¿Pero y el Gobierno de Navarra? ¿Qué ocurre con el citado contrato de Encargado de Tratamiento? ¿Cómo lo va a hacer el Gobierno de Navarra?

Mejor dicho tal y como me planteó Gontzal Gallo en Twitter ¿Cómo lo han hecho ya? ¿Cómo lo ha hecho el Gobierno de Navarra con el tema de opengov y la cuestión del contrato de Encargado de Tratamiento? (Regulado en Proyecto de Ley Foral de la Transparencia y del Gobierno Abierto)

En definitiva, ¿Cómo queda este tema?

A pesar de que tal y como citaba al principio del post en principio ambas son buenas noticias, tanto que Google Apps se certifique en ISO 27001 como que El Gobierno de Navarra en su modernización apueste por herramientas en la nube (que además están acorde con los tiempos económicos que vivimos). Así como el chat que recientemente pondrá en funcionamiento en la línea o estrategia de la Dirección General de Gobierno Abierto y Nuevas Tecnologías de emplear las redes sociales para atender a la ciudadanía, conversar con ella y facilitar su participación, según ha informado el Gobierno en una nota. A pesar de todo esto que en principio es bueno, hay dudas/ claros y sombras como las ya planteadas, las cuales creo que son importantes y sería conveniente aclarar.

Seguiremos de cerca estas cuestiones que se nos planteen en cuanto a Cloud Computing y la vigente normativa.

Actualización 1: Ya conocemos el alcance del SGSI de Google Apps (gracias a Adrian Capdevila) y la verdad es impresionante, hay quien no se lo cree de lo amplio que es, pero bueno, si así lo dicen es que será verdad ¿No?

Alcance completo del SGSI de la certificación en ISO 27001 de Google Apps: http://bit.ly/JOAlWs

Servicios incluidos en el alcance (http://bit.ly/L5hrtu)

¿Dónde están los de Google? No se citan, por lo que ¿Debemos entender que todos los de Google son los que se han incluido en el alcance?

Actualización 3: Gracias a l Google Apps ofrecerá un modelo de contrato con cláusulas ajustadas a la Directiva Europea de Protección de Datos

Google Apps to offer additional compliance options for EU data protection

WEDNESDAY, JUNE 6, 2012



Over four million businesses use Google Apps for enterprise needs, and as this number grows, we want to offer our customers a diverse range of compliance options to help them meet their regulatory requirements.

Today we’re pleased to announce that Google will soon offer model contract clauses as an additional means of meeting the adequacy and security requirements of the European Commission’s Data Protection Directive for our customers who operate within Europe. The Directive is an important piece of privacy legislation passed by the European Union (EU) in 1995. It restricts the movement of data from the EU to non-EU countries that do not meet the EU 'adequacy' standard for privacy protection.

In 2000, to help address these requirements with respect to the United States, the US Department of Commerce in consultation with the European Commission developed the US-EU Safe Harbor Framework as a means by which US companies could achieve compliance with the adequacy standards. Google, as well as 2,500 other US companies that offer services in Europe, is a participant in the US-EU Safe Harbor Framework.

In 2010, the European Commission approved model contract clauses as a means of compliance with the requirements of the Directive. The effect of this decision is that by incorporating certain provisions into a contract, personal data can flow from those subject to the Directive to providers outside the EU or the European Economic Area. By adopting model contract clauses, we’re offering customers an additional option for compliance with the Directive.

Google’s adoption of model contract clauses, along with our continued participation in the US-EU Safe Harbor Framework and our recent ISO 27001 certification, will provide our customers with an even wider palette of EU regulatory compliance options.


Entrada Relacionada:

MIÉRCOLES, 27 DE ENERO DE 2010


28 may 2012

El 30 de mayo se constituirá Pribatua


Un grupo de profesionales vinculados con el derecho y las nuevas tecnologías ultima en estos días la creación de la Asociación Vasca de Privacidad y Seguridad de la Información (Pribatua). La nueva plataforma, se constituirá y aprobará sus Estatutos el próximo día 30 de mayo de 2012 en Bilbao en la sede de Eurohelp Consulting.

La Asociación Vasca de Privacidad y Seguridad de la Información (Pribatua), nace con el objetivo de fomentar, difundir y formar a las organizaciones, tanto públicas como privadas, y, en general a todos los profesionales implicados, en todos los aspectos relacionados con la legislación, normativas, estándares, normas de calidad, metodologías y buenas prácticas relativas a la Seguridad de la Información y a la Privacidad.

Pribatua pretende asimismo evitar el intrusismo "interesado", el denominado "LOPD a coste 0". Creará además, una bolsa de trabajo con la finalidad de promover la inserción en el mercado laboral de los profesionales de la Seguridad de la Información y la Privacidad.

Por todo ello animo a todas aquellas personas que estén interesadas en estos temas a que participen en la elaboración de los Estatutos de la Asociación, para lo cual hemos creado un grupo de trabajo en Google Groups y otro en Linkedin para que todas las personas que lo deseen participen desde el minuto uno en Pribatua, destacar que ambos grupos son abiertos.

¡Entrad y uniros a esta iniciativa y recordad que la reunión de constitución de Pribatua será este próximo miércoles, día 30 de mayo de 2012!

¡Un saludo a tod@s!

Jon Turrillas


PD: Iremos avanzando los pasos que vayamos dando como Asociación.

PD: Entradas Relacionadas:

JUEVES, 12 DE ABRIL DE 2012



17 may 2012

¿Qué es un SGSI?


Un SGSI es un Sistema de Gestión, unSistema de Gestión al que se le aplican unas medidas yprocedimientos sobre como gestionar la Seguridad en los Sistemas deInformación de una organización. En concreto en nuestro caso elSGSI estará fundamentado en la norma UNE-ISO/ IEC 27001/ 2007 con 11dominios (se encuentran así mismo en la norma ISO 27002), 39objetivos de control y 133 controles. Un SGSI basado en ISO 27001 sepuede integrar con SGC (ISO 9001) y con SGMA (ISO 14001).


ISO 27001 está basada en el Ciclo deMejora Continua o también conocido como "Ciclo de Deming".Todo ello para gestionar los Riesgos de Seguridad. A esto se suma ISO27002 (norma no certificable) la cual aporta los 11 dominios decontroles, como conjunto de controles de seguridad de la información.

No hay que confundir SeguridadInformática con Seguridad de la Información, la primera, estáorientada a los sistemas de tecnologías de la información. Lasegunda engloba además de estos, la seguridad física,organizacional y operacional. Por eso es importante distinguir una deotra.

Tampoco debemos confundir laimplantación de la LOPD con la de un SGSI basado en ISO 27001, yaque la primera sólo se ocupa de los recursos y de la informaciónque contenga datos de carácter personal. El resto de la informaciónno la tiene en cuenta la LOPD y en ocasiones para una entidad puedeincluso tener más relevancia la información industrial,intelectual, dirección de la empresa o de contabilidad que la decarácter personal. Un SGSI fundamentado en la norma UNE-ISO/ IEC27001/ 2007en cambio, engloba todas las anteriores además de la LOPDy otras normativas aplicables a la empresa (ejemplo Ley de PropiedadInetelctual o LPI).

Más información en http://www.slideshare.net/EUROHELP


17 De Mayo 2012, día de Internet

Hoy 17 de mayo de 2012, volvemos a celebrar el día de Internet, pero ¿Qué es Internet y para qué sirve? En sentido estricto según Wikipedia, Internet es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. Ya que hoy es el día de Internet, día que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad, no está demás preguntarse ¿Para qué sirve Internet? ¿Cual es su objetivo o finalidad? En mi opinión, Internet o la red sirve y debe servir cada vez más, para hacer llegar entre otras cosas la cultura a cuantas personas se pueda, para comunicarse, para buscar contenidos y auto-informarse de una manera más libre y objetiva, en definitiva para poder relacionarnos, educarnos, formarnos y expresarnos libremente. Por todo ello, hay que celebrar el día de Internet. Porque celebramos que Internet es libre que la información fluye y que los contenidos a día de hoy no los controlan ni los tarifican las grandes compañías de telecomunicaciones y para que esto siga siendo así no hay que olvidar principios tan básicos como la neutralidad de la red, por el que la red o Internet, debe continuar libre de restricciones en cuanto a los modos de comunicación permitidos, o por contenidos y que la comunicación no esté irrazonablemente degradada por otras comunicaciones e intermediarios. En definitiva, que la red siga siendo un marco en el que las personas puedan expresarse y relacionarse de manera diversa y libre sin sufrir la presión y las restricciones que algunos lobbies como las grandes compañías de telecomunicaciones quieren llevar a cabo.

¡Hay que agarrarse al principio de la neutralidad de la red como a un clavo ardiendo!
Feliz día de Internet a tod@s.



16 may 2012

10 Razones para implantar ISO 27001

A continuación se detallan 10 beneficios que obtendremos a lahora de implantar ISO 27001 en una organización:

1.- Mejorar la Seguridad de la Información en la empresa, garantizando su continuidad, la confidencialidad y las mejores prácticas de los empleados.

2.- Mejorar los sistemas productivos, por medio de la revisión de los Sistemas de Gestión de Información (SGI). Es decir, ordenar y definir procesos.

3.- Optimización de los recursos de la entidad a través del control de riesgos.

4.- Incorporar a la empresa la filosofía PDCA o de mejora continua, ¡No hay que pararse nunca! ¡Siempre hay cosas que mejorar!

5.- Alcanzar el nivel exigido en los pliegos de la Administración relativos a servicios TIC. En la actualidad las Administraciones tienen que cumplir con el Esquema Nacional de Seguridad, por ello pueden exigir a sus proveedores que cumplan con algo similar.

6.- Proyección a clientes de la seguridad de trabajar con un proveedor que dispone de sistemas certificados por un tercero de confianza.

7.- ISO puede dar la posibilidad de generar confianza Internacionalmente, lo cual puede ayudar a diversificar el mercado de la compañía en el exterior.

8.- Cumplir con aquellos requerimientos legales (LOPD, LPI, LSSICE...) que son exigibles a la entidad evitando de este modo las posibles sanciones.

9.- Mejorar la imagen de la entidad interna y externamente.

10.- Mejorar el estado de la entidad respecto a su competencia, ser más competitivos, tan sólo 300 empresas están certificadas en todo el Estado en ISO 27001, por lo que puede resultar un elemento diferenciador a la hora de conseguir clientes o mantenerlos.


Por último destacar que en la actualidad existe al alcance anivel estatal para empresas Pyme-TIC, las ayudas de Plan Avanza 2,las cuales facilitarán el coste y la financiación del proceso deimplantación y certificación de dichas entidades a la norma UNE-ISO/ IEC 27001/ 2007.

4 may 2012

Plan Avanza 2 Continuará pese a los recortes


ElPlan Avanza, dirigido al desarrollo de las TIC, seguirá adelantepese a los recortes

  • Así lo ha afirmado el secretario de Estado de Telecomunicaciones y para la Sociedad de la Información (Setsi), Víctor Calvo-Sotelo.
  • Su departamento sufrirá un recorte del 23%.
  • Se ha realizado una reorientación de las ayudas para lograr la "mayor eficiencia" posible y se ha fomentado los recursos, en forma de ayudas para pymes.
Elsecretario de Estado de Telecomunicaciones y para la Sociedad de laInformación (Setsi), Víctor Calvo-Sotelo, ha aclarado que, pese alrecortedel 23%en el presupuesto para 2012 destinado a su departamento, que será de864 millones de euros, se mantendrá el PlanAvanza con una dotación de 506 millones de euros.

seha realizado una reorientación de las ayudas para lograr la"mayor eficiencia" posibley se ha fomentado los recursos, en forma de ayudas, para pymes”.

Sequiere favorecer a las pymes y se ha apostado por las actividades máscercanas al mercado, es decir, las que tienen que ver con proyectosde innovación".

Plande ayudas para el Fomento de la Sociedad de la Información y lasTelecomunicaciones, dotado con 2 millones de euros para formación y49,5 millones para proyectos de I+D+i o el Programa ARTEMIS, dotadocon 4 millones y el Programa Ambient Assisted Living, dotado con 2,5millones, ambos cofinanciados con fondos de la Unión Europea.

http://www.20minutos.es/noticia/1380301/0/plan-avanza/recortes/calvo-sotelo/