lunes, 15 de octubre de 2012

Ley Federal de Protección de Datos Personales en Posesión de los Particulares



¿QUÉ ES LFPDPPP?

Es una ley decretada en  la que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.


La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) define ‘datos personales’ como: “cualquier información concerniente a una persona identificada o identificable”.
Cuando la información está asociada a un titular, es información personal, no por la información en sí, sino por su asociación con la persona física a la que se protege.
Esta normativa define además los llamados datos sensibles, a los que se refiere como “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”.

Finalmente, esta Ley distingue también a los datos financieros o patrimoniales, quenecesitan de consentimiento expreso para su tratamiento.

Los denominados derechos ARCO son el conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales. Estos derechos se regulan en el Título III de la Ley Orgánica de Protección de Datos (LOPD) y en el Título III de su Reglamento de Desarrollo, y son cuatro: Acceso, Rectificación, Cancelación y Oposición.
Se trata de derechos cuyo ejercicio es personalísimo, es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.

El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendidos en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).


Derecho de Acceso

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

    Justificación: no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
    Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
    Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.

Derecho de Rectificación

Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

  • Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
  • Plazo: 10 días hábiles.
  • Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.

Derecho de Cancelación

Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.

    Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.
    Plazo: 10 días hábiles.
    Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

Derecho de Oposición

Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que se trata de ficheros de prospección comerciales o que tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.

    Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
    Plazo: 10 días hábiles.
    Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.


CONCLUSIONES.

Es importante esta ley porque mediante ella podemos controlar quien tiene acceso a nuestros datos personales, en caso de que esta sea vioalda es muy facil el poder demandar a toda aquella entidad que este haciendo uso de ella.


BIBLIOGRAFIA:



Publicado por en 1 comentario:

miércoles, 10 de octubre de 2012

ATAQUE A RSA SECURITY





¿A QUE SE DEDICA LA EMPRESA RSA?

“El enfoque de seguridad centrado en la información que ofrece RSA protege la integridad y la confidencialidad de la información durante todo su ciclo de vida, sin importar adónde se transfiera, quién acceda a ella ni cómo se utilice. RSA ofrece soluciones líderes en la industria para verificación de identidad y control de acceso, encriptación y administración de claves, administración del cumplimiento de normas y de la información de seguridad, y protección contra fraudes. Estas soluciones brindan confianza a millones de identidades de usuarios, las transacciones que estos realizan dichos usuarios y los datos que se generan a partir de dichas transacciones.
RSA permite que los clientes tengan la confianza de que sus recursos de información están protegidos y disponibles para aprovechar nuevas posibilidades del negocio.” [1]
Si bien podemos decir que la empresa RSA SECURITY es una empresa que se dedica a la seguridad informática que garantiza en cierto modo la seguridad de la información, sin embargo este ataque deja muchas cosas que pensar de ella.
A continuación se  explica en qué consistió el ataque.

¿EN QUE CONSISTIÓ EL ATAQUE?

“ El pasado 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y, de paso, que RSA tardó varios días en hacer público el incidente.

En una entrada oficial llamada "anatomía de un ataque" RSA explica cómo ocurrió un grave incidente de seguridad en su compañía. Si bien explica muy bien el ataque, se centra en buena medida en explicar que las APT (Advanced Persistent Threat, amenazas avanzadas y persistentes sobre una misma compañía) son muy complejas, que ocurren en las mejores familias y que ellos hicieron lo correcto. Parece que es así, pero lo interesante es centrarse en los errores para poder aprender de este tipo de situaciones.

Cómo empezó

Según la RSA, el atacante envío dos correos en un periodo de dos días, a dos pequeños grupos de empleados. RSA concreta que "no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos". ¿Quiere decir con esto, que se encontraban menos protegidos que el resto? Dentro de una organización de este calibre, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.

El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. De hecho, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.

De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.


Una vez dentro…


Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida podría ser menor si los atacantes realmente se lo proponen.

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.

El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.

RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.” [2]




CONCLUSIONES.

Podemos concluir que aun cuando una empresa está 100% dedicada a la seguridad de la información, nunca se va a tener el porcentaje máximo de seguridad, tal y como le sucedió a esta empresa de alto prestigio, es común hoy en día no solamente surjan ataques a empresas que no están inmersas en desarrollo en cuanto a la seguridad no sean las únicas que sean atacadas, sino que también es factible el atacar a empresas que manejan altos niveles de seguridad y que este es su giro principal.

Es importante resaltar que los servicios no garantizan la inmunidad a ataques, esto también depende de las medidas de seguridad que tenga la entidad  que está siendo beneficiada por  el servicio, depende de que se sigan las recomendaciones hechas por la empresa y así poder tener un mayor porcentaje de seguridad.


BIBLIOGRAFIA


[1] http://latinamerica.rsa.com/node.aspx?id=1002
[2] http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)