Conceptos – IT y algo más

¿Nos dejamos engañar o identificamos nuestras necesidades RGPD?

Ayer leía un artículo que se había publicado en el diario cinco días

https://cincodias.elpais.com/cincodias/2018/05/10/companias/1525982295_623174.html?id_externo_rsoc=LK_CC

En este artículo se detalla un poco lo que está pasando actualmente con el miedo de las empresas al RGPD y la falta de profesionalidad de algunas consultoras a la hora de vender un supuesto «asesoramiento»

Casi todo lo que estoy viendo, y por las consultas que me están llegando, se están solo en 1 de los 6 principios de RGPD, «EL CONSENTIMIENTO DE DATOS», y la frase que más he oído es «una vez que tengas esto ya tranquilo», bueno pues a esto vamos a decir a esta persona que se equivoca y mucho, si bien se puede considerar que el consentimiento de datos es la base sobre la que pivota el resto, no es la única que tenemos que tener en cuenta, por ello os dejo una imagen donde podéis ver los 6 principios del RGPD y a lo que nos enfrentamos como empresa.

Registro de actividad, Evaluación de impacto, Transparencia, Principio de privacidad, Delegación de protección de datos y Notificación de violaciones de seguridad

Se pueden desglosar en muchos apartado y quizás se me pase alguno importante, pero desde mi punto de vista, estos 6 puntos englobarían el nuevo Reglamento General de Protección de Datos.

Y lo mejor de todo es que la Agencia de Protección de Datos española ha puesto a disposición de todo el mundo una herramienta donde podemos ver el impacto y nuestras necesidades

https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Así que os animo a utilizarla y ver si verdaderamente os están vendiendo algo que cubre todas tus necesidades o se queda corto, en el portal de la Agencia Española de protección de datos también podréis encontrar toda la documentación necesaria donde se explica fácilmente todo lo necesario para el cumplimiento de la normativa.

Dos cosas más, primera el seguro de responsabilidad civil de una empresa, y a no ser que el clausulas estipulen lo contrario, no cubre el incumplimiento de una normativa, ya que las aseguradores podrán aludir a una mala práctica o dejadez de funciones, y la segunda, buscad profesionales de apoyo si vuestra empresa tiene tratamiento especial de datos o más de 250 trabajadores, ya que os ayudarán a evaluar el verdadero impacto en vuestra empres.

Un saludo a tod@s como siempre.

RGPD y la seguridad informática ¿la mejora?

Estos días por distintas causas he estado ayudando a algunos compañeros a aclarar un poco la implicación del RGPD que llegará el día 25 de mayo.

Pero lo más curioso es que sigo viendo artículos que solo relacionan el RGPD con los sistemas TI única y exclusivamente, y aunque si que están muy relacionados, no solo abordan estos entornos, sino cualquier entorno que contenga datos, digamos un listado en papel o una pizarra escrita con tiza que publique datos y por supuesto un cartel de publicidad.

Como la mayoría de la gente sabe, uno de los cambios más importantes, o por lo menos así lo veo yo, es el cambio de seguridad pasiva, que es lo mismo que decir «hasta que no me suceda nada no tengo que hacer nada», a ser una norma pro-activa, o lo que es lo mismo decir «tengo que estar preparado por si me sucede algo»

He leído post y comentarios en varias redes sociales que comentaban que esta norma no ayudaría a la seguridad informática, y yo estoy en total desacuerdo con ello, puede que inicialmente la gente no sea consciente de los problemas que pueden llegar a tener si son denunciados con la nueva normativa, y como es típico en casi todo el mundo, hasta que no haya un caso sonado, las empresas no se darán cuenta y empezarán a actuar, pero yo creo que si que puede ayudar mucho a mejorar los servicios y seguridad IT esta normativa (ya que la mayor fuga de datos está claro que puede venir de estos entornos) así como la organización de una empresa, y me explico.

Si partimos de la base, que el RGPD esta en gran medida basado en la normativa

ISO 27001 que es la que aplica a la Seguridad de la Información, creo que es una buena base para empezar a trabajar y mejorar la seguridad y los procedimientos.

Con el RGPD las empresas tienen que tener catalogada su información, dónde esta, que uso se hace de ella y que haremos en caso de un incidente, algo que, en la mayoría de los casos, a día de hoy no son conscientes, quizás el dónde si, pero el resto …….

Si ya tenemos el dónde y el uso, podremos ser conscientes de las necesidades de aplicar seguridad a los datos, ya que al menos tendremos un estudio de su nivel de confidencialidad, así podremos determinar si tenemos que aplicar más medidas de seguridad a estos datos.

También deberemos tener por escrito un pequeño documento donde describamos que protocolo vamos a seguir en caso de un incidente, y esto de nuevo nos puede llevar a determinar como hago las copias de seguridad, dónde las hago, cómo las puedo recuperar y dónde las guardo, y claro esta, las famosas 72 horas que tenemos para comunicar el incidente una vez seamos conscientes del fallo.

Por último, y excluyendo a las empresas de tamaño grande que ya se especifica que deberán realizar una evaluación de riesgos siguiendo alguna metodología adecuada, digamos por ejemplo MAGERIT, las pequeñas-medianas empresas (si no me equivoco son las menores de 250 trabajadores) al menos se deberán preguntar estas cuestiones

¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

Si alguna contestación es positiva, yo les recomendaría contactar con una persona especializada para evaluar sus riesgos, y aunque no sea obligado, sería bueno que designen a una persona como responsable o encargado para la gestión del riesgo.

Para terminar decir que las medidas que se estaban aplicando con la LOPD pueden ser validas, pero se deberá realizar una evaluación del impacto sobre la protección de datos con el nuevo esquema RGPD para comprobar que sigan siendo validad y cumplan con la nueva normativa ¿lo realizarán las empresas?

Sinceramente, creo que esta normativa mejora lo que había.

Un saludo a todos.

y a empezar por sistemas!!!!!

Bueno después de unas semanas trabajando a tope y de descanso vamos a seguir con las auditorias.

Yo siempre recomiendo empezar de dentro hacia fuera, así que vamos a empezar por sistemas, que es la parte más interna que tenemos.

En la parte de sistemas se engloban varias cosas, la mayoría de las personas cuando leen la palabra sistemas piensan que solo engloban la parte de sistemas operativos y lo programas que tenemos instalados sobre ellos, pero es más amplio que solo esto.

Por supuesto, conlleva saber que sistemas hay instalados, así como sus versiones y parches de seguridad aplicados, así como el software instalado y sus correspondientes parches de seguridad.

Una parte que mucha gente olvida, o por lo menos eso he detectado en varios casos, es el hardware. Por ejemplo, ¿está bien refrigerado? ¿tenemos piezas o podemos mover máquinas?, si ya se lo que vais a decir, que lo virtualice y listo 😉

¿Pero y si no existe la virtualización de un servicio? Bueno, al menos tener en cuenta que el hardware que soporta el software, tambien debe ser auditado y catalogado.

Los datos, quien, como y cuando acceden a los datos es algo muy importante, si existen controles, políticas o logs que controlen es algo en caso de tener que determinar quien ha modificado algo o simplemente si se ha accedido sin autorización a un dato, así como las copias de seguridad de estos datos, con que frecuencia se realizan y donde se guardan.

Pero no menos importante es saber que usuarios están dados de alta en el sistema, si hay una política de alta, baja o modificación de los usuarios y que dispositivos tienen autorización para usar.

Más adelante hablaremos de si hay documentos/políticas aprobadas por el comité de dirección sobre seguridad, se puede englobar sobre la auditoria de sistemas o bien sobre la de seguridad, dependiendo de la empresa y la criticidad de sus datos yo lo suelo revisar en la parte de sistema y de seguridad ya que me parece que esta compratido y me parece importante tener este conocimiento.

Algo fundamental es saber si esas copias de seguridad, de las que hemos hablado antes, se han probado, si se realizan pruebas de recuperación de datos o sistemas, y con que frecuencia, ya que en las empresas se dedican a programar las copias de seguridad y luego se olvidan de ellas, PROBAR Y COMPROBAR su funcionamiento el algo indispensable. De que sirve tener algo que cuando lo queramos usar no funcione, púes es como tener un ramsonware pero sin rescate 😉

Por último, y no menos importante, es evaluar la criticidad de los trabajadores, que labores desempeñan, si tienen o no definido su puesto de trabajo, si hay «respaldo» para el trabajo que desempeña y si existe documentación de las instalaciones y mantenimientos que realizan.

Esta última parte lo dejo para la próxima entrada, ya que creo que es muy interesante el factor humano y que factor desempeñan en la auditorias, así que hasta la próxima.

Buen fin de semana.

Efecto «HALO» la mágica del error que todos queremos evitar

Como casi siempre en la vida, a veces predices que algo no se ajusta a las necesidades de una empresa, pero es solo tu opinión y no tiene por que ser la realidad.

Todos aspiramos a un mejor puesto de trabajo, a un mejor salario y a ese reconocimiento social que conllevan, pero muchas veces nos equivocamos.

Hoy un colega con el que he trabajado en varios proyectos me ha llamado para decirme que va a dejar el puesto que hace más o menos un año acepto , y me llamaba para comentar la charla que mantuvimos cunado acepto el puesto, le comente que el gestionar personas no era sencillo, que era mucho más fácil el realizar los trabajos y que otros se ocuparan de buscarlos, gestionarlos, manejar los presupuestos, etc. , y lo que para mi es lo más difícil, ser políticamente correcto en muchas situaciones.

Todo esto se lo dije en su día, porque le conozco bien, se el perfil que tiene y consideraba que gestionar proyectos y recursos no era lo que a él se le daba bien, técnicamente impecable pero ……..

Le he felicitado y le he ofrecido mi ayuda, ya que lo más importante es darse cuenta de la limitaciones y que por ser un gran técnico no indica que seas un buen gestor, le he explicado que a esto se llama «Efecto HALO» y que en casi todas las empresas se da, un técnico realiza bien su trabajo y cuando su jefe directo desaparece, sea por un motivo u otro, suelen seleccionar al mejor técnico del departamento para sustituirle, sin evaluar sus capacidades de gestión.

Ya en tono más cordial le he dicho que desde mi punto de vista dar un paso a tras no es un error y que le permitirá prepararse más si algún otro día decide volver a intentarlo, por ello llamo a todos los responsables de recursos humanos, que evalúen al personal, que promocionen a los empleados, pero que tengan el cuenta siempre, que no el mejor técnico tiene que ser el mejor gestor.

De nuevo felicitar a mi colega por admitir que era más feliz como técnico y ser valiente al volver a su anterior puesto de trabajo, animo y nos vemos en el próximo proyecto, y si, vuelva a sonreír que es lo importante.

¿Por qué a todo le llaman «Big Data»?

Este fin de semana había quedado con unos amigos, algunos de ellos son compañeros de trabajo, y me preguntaron por el Big Data ¿?¿?

Me quede sorprendido, y ellos me contaron que en sus empresas (y en la que trabajo yo) tenían un Big Data muy potente, no pude hacer otra cosa más que sonreír y decirles que explotar un Big Data es algo que no esta al alcance de muchas empresas, así que les explique un poco las diferencias.

De las 4 empresas que estaban representadas en la mesas, a 3 de ellas las conozco y, desde mi punto de vista, ninguna tiene un Big Data.

Veamos, les explicaba que las empresas, por lo general, hoy en día pueden llegar a utilizar varios programas de gestión, sobre todo tipo CRM, pero que si la empresa esta avanzada utiliza un solo programa de gestión para todo, así que tendremos toda la información de la empresa en una sola base de datos y desde esta realizaremos la explotación de los mismo (ventas, clientes, etc), esto NO es un Big Data.

Otras empresas, más grandes y con departamentos bien diferenciados, gestionan grandes cantidades de datos, que pueden estar relacionadas entre ellas o no, por ello, y de nuevo si la empresa esta avanzada, tendrá todo organizado en un Data WareHouse. El Data WareHouse es una base de datos de bases de datos, donde se recopilan todos los datos y después se hace la explotación de los mismo dependiendo de las necesidades.

La gran ventaja de un Data WareHouse es que no tenemos que andar buscando dónde esta la información, sabemos que en este repositorio centralizado está y solo tenemos que solicitarla (bueno esto es la teoría).

Si queremos preparar un cuadro de mando o un reporting para un departamento en concreto a partir de un Data WareHouse, se crea un Data Mart, donde se realizan el análisis especifico para este departamento, se almacena en una base de datos con los datos (por norma general) ya procesados y preparados para la toma decisiones.

Y ya llegamos al concepto de Big Data, los Data WareHouse que han evolucionado por la cantidad masiva de datos que manejaban pasaron a denominarse Big Data(es una explicación sencilla pero no exacta, no me lo toméis en cuenta), pero para ser un Big Data de verdad hay que recibir información desde varios puntos, tanto internos como externos. Imaginaros que un cliente entra en una pagina web para realizar un pedido, realiza el pago a través de su tarjeta y a su vez pincha en un anuncio de publicidad que teníamos en la página y se lo recomienda a un amigo a través de una red social, y por supuesto, sabemos desde dónde ha realizado la petición, un smartphone, tablet, pc etc, navegador usado y toda la información que podamos capturar.

Esto multiplicado por millones y millones de datos, y ahora quedaría lo más importante, analizar los datos y proporcionar información para explotar y conseguir el objetivo de que esos datos sean útiles para la toma de decisiones. Esto último ha sido lo que ha llevado al traste a miles de proyectos (y de dinero), hay datos pero no se sabe muy bien que analizar, para que analizar o como explotar la información, así que ahora hay un nuevo concepto que se esta extendiendo rápidamente, y creo que acertadamente.

El Small Data, es la recopilación de datos en bases de datos más manejables y con objetivos más concretos. El origen de los datos podría ser cualquiera de todos los sistemas que hemos hablado y desde cualquier fuente pero en menor medida que el Big Data.

Este artículo me gusto en su día ya que creo que lo explica muy bien

https://www.bbvaopenmind.com/small-data-frente-a-big-data-de-vuelta-a-lo-basico/

Así que al final de la conversación parece llegamos todos a la conclusión que todo lo llaman BIG DATA pero no todo es BIG DATA.

Creo que es una explicación simple pero necesaria para que intentemos llamar a los conceptos por su nombre y no por último que he leído o explicado.

Otro día hablaremos de bases de datos relacionales y no-relacionales.

Un saludo.