Nuevo Taller de Continuidad Operacional y Recuperación de Desastres

Martes 26 y jueves 28 de JULIO

de 9:30 a 12:30 Hs (6 horas en total)

 Taller Desarrollo de Plan de Continuidad Operacional: Identificación de activos de información. Clasificación de eventos de pérdida. Documentación del plan de continuidad requerido por la normativa bancocentralista.

Se trataran los tópicos principales que permitirán, a pequeñas y medianas empresas, elaborar o supervisar un plan de continuidad. Los asistentes dispondrán de distintos plantillas de trabajo que podrán adaptadas y aplicados a la realidad de cada empresa.

 Coordinador: Oscar Fernando Giudice – Mat. Nro.:T-2479 (COPITEC, Argentina)

 Lugar: Edificio Torre X. Juncal 1378 (Esquina Plaza independencia) – Planta Baja

Cupos limitados (hasta 12 asistentes por taller)

Valor de la inversión: USD 245 + IVA.

Incluye material y certificado de asistencia.

Regístrese ahora aquí, o por email: info@mvcrisks.com, consultas telefónicas al+598 2903.1144

Segundo Taller para el Desarrollo del Plan de Continuidad Operacional

Taller Desarrollo del Plan de Continuidad Operacional

DESARROLLO DE PLAN DE CONTINUIDAD OPERACIONAL

 

Un Río y Dos Orillas en Protección de Datos Personales

Protección de datos personales y la familia de normas ISO 27.000

(Parte II)

En la primer parte de esta serie de notas sobre la familia de normas ISO 27.000 y las leyes de protección de datos me referí, en particular, a la Ley Uruguaya de PDP (Protección de Datos Personales) 18.331 y el decreto 414-009.

Poco tiempo después de posteada esa nota la AGESIC ⁽¹⁾ desarrolla y publica las “Directrices para la aplicación de la Ley 18.331” esta recomendación o guía de buenas prácticas se encuentra basada en la familia de normas UNIT-ISO/IEC 27.000 en particular en la 27.002. Cabe aclarar que esto no es merito personal alguno, nada tuve que ver en ello. Lo que si tuve fue la visión de cuál era el camino adecuado, al menos según mi criterio y pareciera que el de AGESIC también.

Distinto es el caso de Argentina, país donde nací. La Ley de protección de datos personales, Ley 25.326, se sanciono (octubre de 2000) esto es bastante tiempo antes que la Ley Uruguaya homóloga se sancionase. En Argentina las  “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados” fueron establecidas por la DNPDP ⁽²⁾ mediante la  Disposición 11/2006 (Publicación en B.O.: 22/9/2006). Estas medidas se estructuran en tres categorías según la clasificación de los datos que se almacene, medidas de seguridad de nivel: básico (personales en gral.), medio (ej. Datos bancarios) y alto (datos sensibles). Esta clasificación es similar a la LOPD ⁽³⁾ de la AEPD ⁽⁴⁾.

A mi parecer a las medidas de seguridad emitidas por el órgano de control Argentino les falta la referencia o marco de un estándar internacional como son los ISO. Si bien muchos de los puntos exigidos por la DNPDP en las medidas de seguridad se encuentran detallados en la ISO 27.002 en ningún documento se hace mención a esta. Resulta rara esta situación cuando en distintos documentos del ArCERT ⁽⁵⁾ y del ONTI ⁽⁶⁾ se mencionan a las normas de la familia IRAM/ISO 27.000 o su antecesora la IRAM/ISO 17.799.

Más allá de todo esto y, a modo de ejemplo, veamos un caso práctico de aplicación de la noma ISO 27.002 para el cumplimiento de las leyes de protección de datos personales. Voy a tomar para este ejemplo el principio de legalidad o licitud aplicado a una base de datos de carácter personal.

Si se encuentra interesado en seguir leyendo puede descargar el artículo desde la sección de terceros del sitio Segu-Info: http://www.segu-info.com.ar/terceros/, a quienes agradezco su publicación.

www.tecnointegracion.net

Protección de datos personales y la familia de normas ISO/IEC 27000

Protección de datos personales y la familia de normas UNIT-ISO/IEC 27000

(Parte I)

Medidas Organizativas y de Seguridad para la Protección de Archivos con Datos de Carácter Personal

Ley 18.331 y Decreto 414-009

El día 14 de diciembre de 2009 venció el plazo para realizar el registro de las bases de datos que contengan datos personales. El registro debe realizarse en la URCDP, Unidad Reguladora y de Control de Datos Personales. La puesta en vigencia de la Ley y el organismo de regulación pertinente son un paso fundamental en la protección de los datos de las personas y en el derecho a la intimidad. Esta Ley permite a Uruguay ser considerado “país seguro” (en cuanto al tratamiento de datos personales) dentro de la CE y en algunos países de América Latina, que ya cuentan con este tipo de normativa, como la Rep. Argentina.

La inscripción de las bases es sólo una parte de la obligación, para que éstas se encuentren inscriptas debidamente se debe adecuar métodos, procedimientos y sistemas a lo solicitado por la Ley, entre otras cosas “Asegurar la Información”

En cuanto a seguridad se refiere el texto del decreto 414/009 dice:

“Artículo 7º.- Medidas de seguridad. Tanto el responsable como el encargado de la base de datos o tratamiento deberán proteger los datos personales que sometan a tratamiento, mediante aquellas medidas técnicas y organizativas que resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad.”

Vemos que la Ley nos habla de:

Medidas técnicas y organizativas que resulten idóneas para garantizar integridad, confidencialidad y disponibilidad.

El significado de esto según la norma UNIT-ISO/IEC 27000:2009 (tecnología de la información – visión general y vocabulario) es:

Integridad ^(2.25): “ es la Propiedad de salvaguardar la exactitud y completitud de los activos”.

En otras palabras: La información es íntegra cuando es completa, precisa y se encuentra protegida contra modificaciones no autorizadas.

Confidencialidad ^(2.25):“es la Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados”

En otras palabras: La información sólo puede ser accedida por aquellas personas que están debidamente autorizadas y para lo cual están autorizadas.

Disponibilidad^(2.7): es la “Propiedad de ser accesible y utilizable por solicitud de una entidad autorizada”.

En otras palabras: Que la información esté disponible y utilizable cuando sea lo requiera.

Nota: Los números entre paréntesis son las referencias
UNIT-ISO/IEC 27000:2009

Hasta aquí todo parece bastante claro, pero ¿Qué nos quieren decir con Medidas técnicas y organizativas que resulten idóneas?

El término “idóneo“, si de seguridad hablamos, me parece un poco vago e impreciso y en lo que a seguridad de la información se refiere no nos podemos permitir vaguedades e imprecisiones, mucho más si nos vamos a referir a datos personales, y en particular a aquellos que se consideran datos sensibles o especialmente protegidos, esto son:

Datos sensibles o especialmente protegidos

“los datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual”.

Una manera de salir de la imprecisión es la adoptar un estándar o norma reconocida internacionalmente, en este caso y por lo que puede averiguar asistiendo a distintas charlas y conferencias la propuesta es: la familia de normas UNIT-ISO/IEC 27000, en particular la ISO 27002 – “Código de buenas prácticas para la gestión de la seguridad de la información”

Qué nos provee esta famila de normas:

ISO 27002 es el nuevo nombre de ISO 17799:2005 (año de edición). Está es una guía de buenas prácticas que describe: objetivos de control (39 objetivos), controles recomendables (133 controles), éstos se encuentran agrupados en 11 dominios, siendo estos:

* Política de seguridad

* Aspectos organizativos para la seguridad

* Clasificación y control de activos

* Seguridad ligada al personal

* Seguridad física y del entorno

* Gestión de comunicaciones y operaciones

* Control de accesos

* Desarrollo y mantenimiento de sistemas

* Gestión de incidentes de seguridad de la información

* Gestión de continuidad de negocio

* Conformidad

Dentro de cada dominio o sección, se especifican los objetivos de los distintos controles y para cada uno de éstos controles se indica una guía para su implantación, dentro de sus alcances leemos:

“Este Estándar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos delineados en este Estándar Internacional proporcionan un lineamiento general sobre los objetivos de gestión de seguridad de la información generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.

Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales”. *

Nota: cita textual de la Norma.

Es importante tener en cuenta que cada el estándar habla de “lineamientos y principios generales” por lo cual queda en manos de cada organización considerar previamente cuantos y que controles serán realmente los aplicables según sus propias necesidades, posibilidades y objetivos.

En una próxima entrega nos adentraremos en los controles que son aplicables a las bases de datos de carácter personal.

Links:

* UNIT

* ISO

* IEC

www.tecnointegracion.net

Protección de Datos Personales – Charla 11/12/2009

Cómo reciclar máquinas virtuales hechas con Virtual Box, corriendo sobre Windows

Los pasos a seguir son similares a los descriptos en Cómo reciclar máquinas virtuales hechas con Virtual Box, corriendo sobre Linux, Está es solo una guía MUY rápida, mucha más información se puede encontrar en el manual Online

 En primer lugar nos ubicamos en el directorio donde se encuentra instalado Virtual Box, en mi caso:

 C:\Program Files\Sun\VirtualBox>

 Desde aquí escribimos el comando: VBoxManage internalcommands setvdiuuid MaquinaVirtual

(Remplazar MaquinaVirtual por el nombre de tu VM) 

 En mi caso:

 C:\Program Files\Sun\VirtualBox>VBoxManage internalcommands setvdiuuid C:\Users\test\.VirtualBox\HarDisks\WinXP-SP3.vmdk

 Ejemplo:

——————————————————————————————————

C:\Program Files\Sun\VirtualBox>

C:\Program Files\Sun\VirtualBox>VBoxManage internalcommands setvdiuuid C:\Users\test\.VirtualBox\HarDisks\WinXP-SP3.vmdk

VirtualBox Command Line Management Interface Version 3.0.6

(C) 2005-2009 Sun Microsystems, Inc.

All rights reserved.

 UUID changed to: 46812a7f-a782-4854-9fc7-eea52827fdcf

 C:\Program Files\Sun\VirtualBox>

—————————————————————————————————— 

El nuevo UUID ha sido generado y ya se puede impotar la máquina virtual.

Para seguir probando:

 Podes escribir alguno de estos dos comandos sin ningún parámetro y veras las opciones que devuelve:

 C:\Program Files\Sun\VirtualBox>VBoxManage

 C:\Program Files\Sun\VirtualBox>VBoxManage internalcommands

 Luego viendo el manual podrás intentar usarlas.

Virtual Box virtual machines recycling

Experiencias con Virtual Box, Mi proyecto II

Cómo reciclar máquinas virtuales hechas con Virtual Box, corriendo sobre Linux

Una de las ventajas que dan las máquinas virtuales es poder romper el operativo en cada prueba, total instalamos nuevamente. Pero cuando esto se hace frecuente y trabajamos con distintas distribuciones de Linux y versiones de Windows nos empezamos a aburrir de reinstalar a cada rato.
Resulta conveniente entonces tener imágenes “frescas” de los discos de las máquinas virtuales con el OS instalado y actualizado de forma tal de no tener que volver a instalar el sistema y bajar las actualizaciones.
Con copiar la imagen de disco (archivo.vdi) o exportar e importar la VM no alcanza, pues cada máquina tiene una identificación única llamada UUID que es verificada por VirtulBox al momento de montar la imagen del disco.
Para conocer los UUIDs de nuestras VMs podemos usar el comando: VBoxManage list vms (respetar mayúsculas y minúsculas). Éste devuelve el nombre y el UUID de cada una de nuestras máquinas virtuales.

Ahora, para cambiar el UUID encontré este comando que me dio resultado.
VBoxManage internalcommands setvdiuuid “name.vdi”.

Para más datos, sugiero ver el manual Online

Espero que estas notas le sean de utilidad.
Virtual Box virtual machines recycling

Instalación de Virtualbox’s Guest Additions en Fedora 10 (Gnome desktop)

Virtual Box Server (Host Machine): OpenSolaris 2009.06
Virtual Machine: Fedora 2.6.27
Una vez intstalado el operativo huésped (Maquina Virtual) es conventiente la instalación de las Virtualbox’s Guest Additions que nos permitirán, integrar el mouse entre la maquina virtual y la real, ajustar las dimensiones de la pantalla y compartir directorios.

Esta vez no fue como las anteriores, Cuando uno sabe lo que necesita es más fácil!El método:

1. Abrir una consola y acceder como root
2. Ejecutar yum install kernel-headers kernel-devel gcc, esto bajara los paquetes faltantes para poder instalar las VBox Guest Add.
3. Desde el menú de la maquina virtual, Click en Devices -> Install Guest Additions (aparece el ícono del CD en el escritorio) si hay un mensaje de ejecutar, presionar cancelar.

4. cd /media/VB (Tab)

5. ./ VBoxLinuxAdditions-XXX.run, reemplazando las XXX por el que corresponda, en mi caso: VBoxLinuxAdditions-x86.run
6. Seguir las instrucciones.
7. Reiniciar la maquina virtual.
8. Listo
How to install VirtualBox Guest Additions in Fedora Gnome Desktop