Portada
mis comunidades
otras secciones
#2:
La noticia es errónea o parcialmente incorrecta.
El RLOPD dice exactamente en el artículo 88 sobre el documento de seguridad y lo que debe incluir:
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Es decir, acorde a LOPD tienes que tener un procedimiento de reutilización de soportes. Este procedimiento no está especificado en ningún sitio cuál tiene que ser exactamente, simplemente su existencia. Pero el procedimiento de reutilización de soportes más normal es, por simplicidad: wipe (borrado seguro) + formateo + reinstalación. Y así aparece generalmente en la amplia mayoría de documentos de seguridad. Otra cosa es que luego el borrado seguro se "olvide" en muchos casos pq es un coñazo esperar la reescritura.
Por otra parte, sobre las copias de seguridad, tú tienes que tener una política de copias de seguridad del sistema "actual" que permita la restauración del sistema. Si tú has dado de baja un PC hoy, y lo has reutilizado, la semana que viene. La copia de seguridad del PC de hoy "vivirá" en el sistema, como máximo, el ciclo de vida natural de tu sistema de copias.
Si las haces en cinta, cosa usual, pues vivirá el tiempo que tardes en reutilizar la cinta que contiene la copia del PC de "hoy". Pasado este tiempo, en el sistema esa información no existirá.
¿Cuánto es este tiempo? Depende mucho de la organización, del sistema, y de las política de retención de datos. Generalmente en equipos de usuario: meses. En servidores: años. En sistemas muy concretos: décadas. Paralelamente, cuando más pequeña es la organización, menos capacidad para almacenar backup histórico tiene.
El RLOPD dice exactamente en el artículo 88 sobre el documento de seguridad y lo que debe incluir:
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Es decir, acorde a LOPD tienes que tener un procedimiento de reutilización de soportes. Este procedimiento no está especificado en ningún sitio cuál tiene que ser exactamente, simplemente su existencia. Pero el procedimiento de reutilización de soportes más normal es, por simplicidad: wipe (borrado seguro) + formateo + reinstalación. Y así aparece generalmente en la amplia mayoría de documentos de seguridad. Otra cosa es que luego el borrado seguro se "olvide" en muchos casos pq es un coñazo esperar la reescritura.
Por otra parte, sobre las copias de seguridad, tú tienes que tener una política de copias de seguridad del sistema "actual" que permita la restauración del sistema. Si tú has dado de baja un PC hoy, y lo has reutilizado, la semana que viene. La copia de seguridad del PC de hoy "vivirá" en el sistema, como máximo, el ciclo de vida natural de tu sistema de copias.
Si las haces en cinta, cosa usual, pues vivirá el tiempo que tardes en reutilizar la cinta que contiene la copia del PC de "hoy". Pasado este tiempo, en el sistema esa información no existirá.
¿Cuánto es este tiempo? Depende mucho de la organización, del sistema, y de las política de retención de datos. Generalmente en equipos de usuario: meses. En servidores: años. En sistemas muy concretos: décadas. Paralelamente, cuando más pequeña es la organización, menos capacidad para almacenar backup histórico tiene.
#3:
Lo más importante en el ordenador del tesorero es eliminar toda la contabilidad, para que el siguiente se haga una a partir de cero.
Comentarios
La noticia es errónea o parcialmente incorrecta.
El RLOPD dice exactamente en el artículo 88 sobre el documento de seguridad y lo que debe incluir:
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Es decir, acorde a LOPD tienes que tener un procedimiento de reutilización de soportes. Este procedimiento no está especificado en ningún sitio cuál tiene que ser exactamente, simplemente su existencia. Pero el procedimiento de reutilización de soportes más normal es, por simplicidad: wipe (borrado seguro) + formateo + reinstalación. Y así aparece generalmente en la amplia mayoría de documentos de seguridad. Otra cosa es que luego el borrado seguro se "olvide" en muchos casos pq es un coñazo esperar la reescritura.
Por otra parte, sobre las copias de seguridad, tú tienes que tener una política de copias de seguridad del sistema "actual" que permita la restauración del sistema. Si tú has dado de baja un PC hoy, y lo has reutilizado, la semana que viene. La copia de seguridad del PC de hoy "vivirá" en el sistema, como máximo, el ciclo de vida natural de tu sistema de copias.
Si las haces en cinta, cosa usual, pues vivirá el tiempo que tardes en reutilizar la cinta que contiene la copia del PC de "hoy". Pasado este tiempo, en el sistema esa información no existirá.
¿Cuánto es este tiempo? Depende mucho de la organización, del sistema, y de las política de retención de datos. Generalmente en equipos de usuario: meses. En servidores: años. En sistemas muy concretos: décadas. Paralelamente, cuando más pequeña es la organización, menos capacidad para almacenar backup histórico tiene.
#2 Hay una pregunta que no se hace nadie, o no lo he visto.
¿Por que se habla de LOPD?
¿Acaso había algún fichero de datos alojado en ese equipo?
¿Estaba declarado como fichero en la AEPD?
Si no lo estaba porque no hay ningún fichero... ¿A cuento de que viene todo esto?
La LOPD se aplica a los soportes que contengan FICHEROS DE DATOS DE CARÁCTER PERSONAL.
Por esta misma razón a los mafiosos en general habría que imputarles un delito contra la LOPD por llevar las cuentas...
Creo que se está sacando de madre todo esto y se está intentando aplicar cosas que no tienen lógica aplicar cuando el delito penal (borrado de evidencias de un delito fiscal/penal) es muy superior a la infracción administrativa por la lista de los sobornados.
#13 Se habla de LOPD porque la LOPD es un coñazo como un piano de cola. Al ser un coñazo como un piano de cola, existe en ella un concepto que es el de "fichero temporal".
¿Qué es un fichero temporal? Básicamente cualquier fragmento de cualquier fichero registrado en la AGPD.
Y qué dice la LOPD. básicamente art. 7 RD 994/1999: “Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento”.
Por eso, las medidas de seguridad para el cumplimiento de LOPD, en el caso de equipos de usuario, incluyen procedimientos de destrucción y reutilización de soportes, de cifrado de discos, etc, etc. En función del nivel de seguridad de los ficheros declarados.
¿Por qué? Porque dado que no sabes qué hay en un equipo de un usuario de la organización, aplicas el criterio de que "hay framentos ficheros declarados en la AGPD".
¿Qué hay en los doc, xls, mdb? ¿Qué hay en los correos electrónicos? ¿Qué hay en los PDF? No tienes ni idea, ni te importa un carajo. Tú aplicas las medidas y primero paz y después gloria.
#14 De acuerdo, pero, ¿estaba declarado ese equipo como equipo con acceso a datos en el Documento de Seguridad?
¿Tenia realmente acceso a ficheros declarados?
¿Alojaba esos ficheros u otros?
En serio, seamos coherentes.
Si es que no, estamos llevando todo a situaciones absurdas. Los primeros los del PP por mezclar esto para intentar protegerse de algo que debería costarles la ilegalización por financiación ilegal, sobornos, etc...
#15 Vamos a ver. Te voy a dar mi opinión como persona que come de esto y que ha escuchado la excusa de la LOPD muchas veces a lo largo de muchas investigaciones forenses.
Estoy, al 99% convencido, en base a mi experiencia profesional, que esos equipos los han borrado/modificado intencionadamente y cercionado de que no contienen datos. Y estoy seguro que si han sido cuidadosos no sólo los han formateado, primero han sobreescrito todo el disco, si es menester varias veces, luego han formateado y luego han reinstalado. Es más, uno de los equipos parece que va directamente sin disco alguno.
Dicho esto ... te digo que, lamentablemente, con la legislación en la mano, han hecho JUSTAMENTE lo que tenían que hacer ( y por otra parte, sobre todo en organizaciones pequeñas, ni dios hace ). Por eso, cuando lo hacen con tanta diligencia apesta.
Sobre tus dudas:
¿Estaba declarado ese equipo en el docuemento de seguridad? Si no lo está, debe estarlo. Es lo coherente.
¿Tenía realmente acceso a ficheros declarados? Sin duda. Más cuando hay declarados ficheros declarados tan genéricos como:
Nombre del fichero: CONTACTOS
Finalidad: GESTIÓN DE LOS DATOS DE PERSONAS DE CONTACTO QUE MANTIENE LA ORGANIZACIÓN
Un fichero que se fragmenta en toda la organización (agenda de outlook, calendarios, ...).
¿Alojaba esos ficheros u otros? Es irrelevante. Aplicas el criterio general de "fichero temporal".
#16 Yo también trabajo en Seguridad y LOPD aunque últimamente LOPD hago poco.
Y creo que tenemos criterios dispares.
En una cosa te doy la razón al 100%:
Estoy, al 99% convencido, en base a mi experiencia profesional, que esos equipos los han borrado/modificado intencionadamente y cercionado de que no contienen datos.
Pero no puedes hacer un uso tan tan amplio de la LOPD. Hay situaciones de compromiso.
¿En tus Documentos de Seguridad incluyes todos los dispositivos con acceso a las agendas del Exchange?1
O sea, ¿Todas los ordenadores, pdas y smartphones?
No puedes, desde mi criterio, tirar con posta tan gorda. Eso es inmanejable.
Si ya de por si la LOPD es una aberración llevada a papel mojado, encima tienes que manejar un registro de incidencias más grande que el propio heldesk de sistemas, apaga y vámonos.
En cualquier caso, hablar de la LOPD es hablar de si el asesino llevaba pantalones verdes o azules.
Es desviar la atención y generar ruido informativo.
Lo importante, y lo que debería perseguirse, es el delito de destrucción de pruebas.
La LOPD, despues de lo que han estado haciendo es una minucia de menos de 600.000€ en el peor de los casos.
¿Eso es relevante?
No, lo relevante es lo otro, el fraude, el robo, la financiación ilegal, los sobornos ensobrados, los cohechos, las legislaciones a medida. La LOPD, me vais a perdonar, pero solo estorba en este momento.
1Puedes definir la agenda del Exchange como base de datos de contactos empresariales. Los clientes van aparte y de esa forma ajustas mejor al situación de compromiso de las libretas de direcciones. Aunque depende de cada caso. Nosotros recomendamos eso.
#17 Bien, ya estamos de acuerdo en 2 cosas. En para qué usa el PP este asunto y en que el equipo ha sido alterado.
Sobre el tema de discrepancia técnico, me parece un tema conceptual / formal. En el que mi opinión es clara. Con buenas prácticas en la mano, con marcos de control, con LOPD, con un SGSI, con un... las mejores prácticas aconsejan fervientemente homogeneizar las medidas de protección sobre los dispositivos manejados por usuarios internos del sistema de información.
¿Por qué? Por coherencia. De nada sirve gastarte dinero en seguridad perimetral, o en auditorías técnicas, o en [aquí lo que tú quieras], si luego dejas que tus usuarios salgan con un portátil sin cifrar a la calle o con un smartphone sin securizar de forma correcta, en el que por mucho que digas en "políticas", termina siendo verdaderamente difícil saber qué hay y qué no. Y dado la principal brecha de seguridad actualmente está en los dispositivos cliente, y sobre todo en los dispositivos con movilidad: portátiles, tablets y smartphones, etc. Yo en este aspecto no tengo duda. Las medidas de seguridad, sean pocas o sean muchas, para reducir de forma efectiva el riesgo, lo que prima son dos cosas: homogeneidad y la atención a las áreas críticas de riesgo.
Por tanto, ¿cuál es la recomendación óptima? Alinearse con la buena práctica.
Obviamente esto es matizable. ¿Por qué? Porque no siempre hay recursos, pq no siempre hay capacidad humana, pq no siempre hay ... y pq en última instancia el cliente es quien acepta el riesgo, y si a él le parece bien, primero paz y después gloria.
¿Qué pasa cuando no te puedes alinear por falta de recursos / complejidad / ...? Pues intentas soluciones intermedias. Y cuando hay que cumplir con legislación, usas atajos para simplificar, en el caso de LOPD las consabidas: eliminas el tratamiento automatizado (típica solución a trámites de nivel alto que pasan a hacerse en papel), eliminas ficheros por considerarlos exclusivamente de uso profesional, ...
En función de lo que hagas, pues así reducirás los riesgos. Lo importante es que el cliente lo tenga claro y esté conforme.
Lo más importante en el ordenador del tesorero es eliminar toda la contabilidad, para que el siguiente se haga una a partir de cero.
#3 La contabilidad no está en el ordenador personal de ningún tesorero, la contabilidad está en un ordenador central, al que asceden desde sus ordenadores el tesorero y todos los administrativos que introducen los datos.
#5 Teniendo en cuenta el tipo de ordenadores que usan en ese partido, que ni siquiera tienen USB, me extraña mucho que tengan ordenador central.
Normal por otro lado. Tanto va en los sobres, que no queda nada para el departamento de informática.
#6 Tampoco tiene porqué ser así. Una de las ventajas de centralizar el software es que se pueden usar ordenadores antiguos como terminales.
Pero de todas formas eso es lo de menos. Si el juez no confiscó los ordenadores sobre la marcha da igual lo que diga la LOPD, o que el ordenador sea nuevo o antiguo, o que utilizara un programa u otro. En todo este tiempo se pueden haber hecho muchas cosas, como buscar el ordenador más viejo que había en el sótano y dárselo al juez, y así nadie se queda sin ordenador
Era simplemente imposible que se encontrase algo en estos ordenadores. Tal vez Bárcenas y algún que otro analfabeto digital pensase que esa información estaba segura, tal vez así se explique la gran cobertura que los medios hacen de este tema. La excusa de la LOPD no es más que una entre cientos de posibilidades.
#8 Pero si no son los mismos ordenadores, Bárcenas podría no identificarlos como suyos. Demasiado arriesgado, con lo fácil que es asegurarse de que todo se borra y luego contar cualquier milonga.
#6 Los ordenadores aunque no tengan USB tienen conector Lan para la red interna.
Inclusive en muchas empresas los conectores USB se desconectan o se desactivan para evitar accesos (entrada o salida de datos) no autorizados.
#9 Menos aún, el del segundo directivo de la "empresa", que además tiene 40 kilos de euros en Suiza y que tanto les interesa a los del pepé encontrar. ¿Ellos mismos borran las huellas del delito que denuncian?
#10 Por suerte en muchas empresas no funcionan como un partido político que ha estado durante más de 20 años repartiendo sobresueldos en negro a sus dirigentes. Aunque si hay muchas empresas que hacen donaciones que luego son debidamente troceadas para cumplir con la legalidad. Tampoco muchas empresas realizan indemnizaciones en diferido. Pocas empresas te despiden pero te mantienen sueldo, chófer, secretaria y despacho. En fin. Es lo que hay.
Transparencia cero.
#10 Diga lo que diga el PP, ese ordenador sí tiene puerto USB (en un dock):
http://www.toshiba-europe.com/bv/computers/products/notebooks/libretto100ct/product.shtm
http://www.eldiario.es/politica/PP-entrega-ordenador-Barcenas-disco_0_169733153.html
#22 Vale, cuando se conecta en un docking
Y mi portatil antiguo tiene teclado expandido de 104, ratón y monitor de 24" ... cuando lo conecto al switch kvm porque los docking ya estaban descatalogados.
#23 El caso es que Toshiba incluía en las especificaciones técnicas de ese ordenador que sí tenía USB, mientras que el PP afirma que no era posible que Bárcenas hubiera podido sacar los archivos de ese ordenador en un pen USB. Apaños para mover datos se pueden hacer muchos, pero en este caso no era necesario ningún apaño.
#24 Como me pusistes entre parentesis (en un dock) creia que sabias lo que era, según las caracteristicas son los interfaces soportadas con el dock:
With Mini Card Station: serial, parallel, RGB, PS/2 mouse and keyboard, USB
Viene en opciones Mini Card Station, es esto http://www.toshiba-europe.com/bv/computers/products/docking/minicardstation/index.htm
#25 Hombre, claro que sé lo que es. Te lo pongo de otra manera:
Versión del PP: "no es posible usar un dispositivo USB en ese ordenador"
Versión de Toshiba: "sí es posible usar un dispositivo USB en ese ordenador"
#26 Aparte de que hace 10 y 20 años muy poca gente sabiamos lo que era un docking station, y hoy es un recuerdo para muy pocos.
La gente solo mira los conectores externos, si hasta he visto a "informaticos" poniendo hub usb que no sabian que la placa base tenia conectores internos
Es una práctica habitual en el PP
http://elpais.com/diario/2008/12/20/espana/1229727603_850215.html
Bien, ya estamos de acuerdo en 2 cosas. En para qué usa el PP este asunto y en que el equipo ha sido alterado.
Y ahí dejé de leer.
Es broma. Estoy contigo
Y por qué no destruir el universo donde se contienen esos datos y recrear un nuevo universo desde 0?
¿Y qué más da? Para los "afectados" siempre será mejor una multa de la AEPD que datos comprometedores en manos de Ruz.
Siguiendo la teoría del PP en breve finaliza el caso Bárcenas ya que en cuanto se vaya el juez Ruz borrará todos los datos del sumario
Son unos mentirosos, no lo dudéis. En ninguna empresa borran los discos duros porque entre uno nuevo.
No. Siguiente pregunta.
Vamos a ver, esto es de esas veces que los árboles no nos dejan ver el bosque.
Vamos al punto de fuga de la perspectiva que nos interesa no olvidar: aunque no esté demostrado legalmente, el hecho es muy simple: el pp ha robado, el robo ha quedado registrado en el disco de bárcenas, y ahora el pp ha destruido ese disco para que el juez no tenga pruebas y no les pueda pillar en lo referente al robo cometido.
Pero claro, el pp no va a decir: "Señor juez, hemos destruido el disco porque tenía pruebas de que hemos robado", sino que intentan inventarse cualquier cosa, como motivo de la destrucción del disco.
Así que esto es lo que tenemos ahora mismo en esta caricatura de país: todos sabemos que el pp ha robado, y ahora todos estamos siendo simplemente espectadores de cómo el pp intenta destruir pruebas e intenta utilizar la ley para que no se les pueda pillar en relación con dicho robo.
A todo esto sumad que, lógicamente, de partida el pp nunca robaría dejando sobre ello documentos oficiales jurídicamente válidos que sirviesen como pruebas.
En general, el ladrón nunca confesará abiertamente el robo que cometió.
Así que la investigación sólamente podrá dirigirse a pruebas indirectas, en cuanto una cosa como una "prueba indirecta" pueda existir, porque nunca tendremos documentos oficiales ni extraoficiales procedentes del pp que describan el robo cometido por el pp. Es decir, el pp nunca confesará sus crímenes.
Me pregunto si la destrucción de este disco podrá calificarse como una destrucción de pruebas en el futuro.
Pero cuando estamos en un país tan defectuoso y corrupto como éste, en realidad apenas tiene sentido preocuparse incluso por el hecho en sí de que un juez diga que esté investigando.