Auditorías LOPD

29 08 2008

El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Nuevo Reglamento de desarrollo de la LOPD que establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Como puede extraerse del texto del propio reglamento, este “… viene a abarcar el ámbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados. Por otra parte, la atribución de funciones a la Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar también los procedimientos para el ejercicio de la potestad sancionadora por la Agencia.”

Con este nuevo texto legal queda muy patente la obligatoriedad de que las organizaciones cumplan no sólo con los aspectos púramente normativos de la Ley, sino también que implementen las medidas organizativas y técnicas (principalmente medidas de seguridad de la información), acordes con los preceptos de la Ley. Es decir, tan sancionable es no respetar los contratos de cesión de datos de carácter personal, como no disponer del adecuado procedimiento de copia de respaldo de dichos datos.

Al parecer el Nuevo Reglamento está motivando que muchas organizaciones sean más conscientes de las citadas obligaciones de protección de los datos de carácter personal. Como resultado son varios los proyectos de auditoría de LOPD en los que TATAKI está trabajando y seguiremos haciéndolo en los próximos meses, tanto en el sector privado como en el público, y siempre en colaboración con profesionales expertos en el ámbito legal.


Comentarios : 2 Comentarios »
Etiquetas: ,
Categorías : Protección de datos, Proyectos, Seguridad de la información

Auditoría de seguridad de una plataforma web

20 05 2008

Desde hace un par de meses TATAKI está trabajando en la auditoría de seguridad de una importante plataforma Web . La plataforma está diseñada para el despliegue de servicios telemáticos que incluyen trámites legales y transacciones económicas con diversas entidades.

La auditoría sigue los pincipios de normas estándar como ITIL o la ISO 27002, donde se contempla el proceso de gestión de la seguridad de la información desde tres vertientes diferenciadas:

  • Disponibilidad, mediante auditorías de rendimiento, capacidad, disponibilidad, escalabilidad, etc.
  • Integridad, mediante auditorías de seguridad Web, autenticación, filtrado, code injection, revisión de código, etc.
  • Confidencialidad, mediante auditoría de protección de datos (LOPD y LSSI/CE).

Algunos de los estudios realizados en el proyecto son:

Benchmarking y Tiempo de respuesta: Obtención de indicadores y métricas, para poder evaluar el rendimiento de los diversos componentes del sistema, cuellos de botella, etc.

Análisis de carga y capacidad: Permite definir los parámetros de calidad de acceso a la plataforma según la percepción de los usuarios. Se intenta modelar el comportamiento de los usuarios creando un usuario tipo artificial. El modelo resultante se emplea para generar carga contra un servidor (o cluster) específico o la arquitectura en su conjunto.

Análisis de mecanismos de autenticación y gestión de la sesión: Incluye todos los aspectos relacionados con el control del acceso de los usuarios al sistema y los mecanismos de gestión de las sesiones activas. Para diagnosticar los mecanismos de autenticación y gestión de la sesión se pueden emplear tanto revisiones de código como pruebas de penetración.

Análisis de visibilidad externa de la plataforma: Controlar correctamente el acceso al contenido de un sitio Web es algo crucial para mantener la disponibilidad de la aplicación. Para ello deben evaluarse las posibilidades de sufrir ataques por técnicas como Directory Traversal, Cross Site Scripting, etc.

Revisión de código: Consiste en inspeccionar el código de la aplicación para identificar vulnerabilidades en él. Las vulnerabilidades en el código existen debido a un diseño o implementación inadecuados (desconocimiento, descuidos, código provisional, etc.) durante el ciclo de vida de desarrollo de la aplicación. Algunas vulnerabilidades importantes a localizar en esta revisión son: filtrado incorrecto de las entradas de datos, inyección de código, Cross Site Scripting, tratamiento de errores y excepciones, control de acceso a los componentes de la aplicación (e.g. EJBs), denegación de servicio, etc.

 


Comentarios : 1 comentario
Etiquetas: , , ,
Categorías : Proyectos

TATAKI con el CEE Fundació Xamfrà Sant Miquel

12 01 2008

Desde principios de enero, TATAKI está trabajando para el Centro Especial de Empleo (CEE) de la Fundació Xamfrà Sant Miquel. El CEE está orientado a la inserción laboral de personas con disminución psíquica y realiza trabajos en diversos ámbitos como jardinería, confección, manipulados, etc.

Manipulados CEE

En una primera fase que concluirá a finales de enero, TATAKI trabajará con el CEE en la consolidación de su proceso de informatización, ya iniciado hace varios años, dotando a su personal de instrumentos y formación para lograr el mayor grado posible de autonomía en la gestión de su infraestructura TIC. En una segunda fase, ya en marcha, se plantea la digitalización de los procesos asociados a la gestión de pedidos, órdenes de trabajo, facturación, etc. El objetivo es el desarrollo de una solución informática a medida de las capacidades y recursos del CEE, que permita la digitalización de la mayoría de procesos manuales de la gestión del día a día, reforzando la trazabilidad de dichos procesos para el cumplimiento de la norma ISO 9001, ya certificada, y para el control periódico de las actividades del CEE.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Proyectos

Presentación del plan PIMESTIC.CAT

12 12 2007

Ayer 11/12/2007 se presentó oficialmente el plan PIMESTIC.CAT en el Centre de Cultura Contemporània de Barcelona (CCCB). Se trata de un plan de actuación de la Generalitat de Catalunya para promover la implantación y el uso de las TIC en las empresas catalanas, mayoritariamente Pymes.  El acto contó con la presencia de Jordi Bosch, Secretari de Telecomunicacions i Societat de la Informació; Antoni Soy, Secretari d’Indústria i Empresa; Jordi Vilaseca, Director d’Estudis d’Economia i Empresa de la UOC; Andreu Brú,  Director de Noves Tecnologies de Pimec; y Abraham Arcos, Director de la Fundació Cecot Innovació.El plan se extiende a lo largo del periodo 2007-2010 y cuenta con un presupuesto de casi 5 millones de euros anuales. Contempla actuaciones tanto sectoriales como territoriales para incrementar la percepción del valor de las TIC entre los empresarios catalanes y acelerar el proceso de adopción de nuevas soluciones tecnológicas que potencien la productividad y la competitividad. Entre las acciones previstas en el plan podemos destacar:

  • Jornadas y debates orientados a impulsar las TIC en diversos sectores empresariales.
  • Guías de empresa para la sensibilización en pymes y micropymes, con casos de éxito e información práctica de la aplicación de la tecnología en los procesos de las empresas. 
  • Mapa de recursos tecnológicos con las empresas del sector TIC catalán. 
  • Servicio de orientación PIMESTIC en el que expertos independientes y homologados analizarán el uso de las TIC en la empresa y ofrecerán planes de mejora basados en el uso de la TIC. 
  • Ayudas a proyectos de I+D+i
  • Creación de un paquete informático basado en software libre que cubra las necesidades básicas de las empresas.
  • Etc.

TATAKI está participando en el plan elaborando parte de las guías de empresa y de los casos de éxito, en colaboración con la Fundació Barcelona Digital y con nuestro socio estratégico ALTRIUM. Actualmente buena parte del material elaborado ya está disponible en la web del plan y en breve se publicará en formato DVD. TATAKI tiene previsto seguir vinculada a la ejecución del plan PIMESTIC.CAT homologando a sus consultores para poder ofrecer los servicios de orientación, participar en las jornadas de sensibilización, etc.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Eventos, Proyectos

Proyecto KIS para Intuitiva

15 10 2007

Desde mediados del mes de julio TATAKI ha trabajado junto a Intuitiva en la redefinición de sus procesos e infraestructura de TI, dentro del proyecto Keep IT (Information Technology) Simple.

Intuitiva es una empresa dedicada al diseño gráfico y la comunicación, que ha afrontado recientemente la redefinición de su modelo de negocio. Actualmente la filosofía global de la empresa se puede resumir en una sola palabra: sencillez. Con estas premisas TATAKI debía encontrar una solución tecnológica integral que diese respuesta a todas las necesidades de Intuitiva y se adecuase a la nueva visión.

Así pues, el objetivo fundamental del proyecto era ajustar la infraestructura técnica y los procesos a las necesidades reales del momento, sin comprometer el futuro a medio plazo. Se buscaba la simplicidad de los sistemas pero sin comprometer el rendimiento, con una inversión razonable, y que el reajuste de las infraestructuras se hiciese sin afectar a la actividad diaria. Si esto se lograba, Intuitiva esperaba poder asumir internamente parte de los procesos de TI y reducir necesidades de mantenimiento.

El proyecto ha concluido con éxito al conseguirse los objetivos dentro de los plazos previstos. Al margen de los resultados derivados de la propia implantación de nuevos servicios TI, la simplificación de procesos, etc. cabe destacar que Intuitiva ha conseguido reducir sus gastos de mantenimiento de la infraestructura informática en un 30%.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Proyectos

« Entradas anteriores