domingo, 9 de diciembre de 2018

Las gemas del infinito y los principios de tratamiento de datos personales


He estado poniéndome al día de cómics esta mañana y también he releído "Thanos Quest" y el "Guantelete del Infinito" (ambos de Jim Starlin)

Y luego se me ha ocurrido que podría revisar y contrastar dónde salen cada una de las gemas del infinito en la película en comparación con el cómic. Y que me podía hacer una tabla para no olvidarme. Y así me servirá para la clásica revisión de películas de Marvel que me suelo dar en las fiestas del solsticio de invierno para olvidarme de que es navidad.

Luego se me ha ocurrido que posiblemente las gemas del infinito pudieran correlacionarse con los principios del tratamiento de datos de carácter personal.

Pero antes de esa correlación, dejo por aquí la tabla comparativa entre las gemas del infinito en las películas y los cómics.

La tabla podría ser un espoiler. No menciono nada del argumento de las películas ni del cómic. Pero sí que menciono dónde están ubicadas, hasta que Thanos las consigue, y en qué películas salen.
Respecto a la ubicación de las gemas en el cómic mientras las va recopilando Thanos, la historia está completa en el cómic "Thanos Quest" incluida la explicación de para qué sirve cada gema.


Gema del tiempo:

Con ella se puede alcanzar el pasado primordial y contemplar el más distante futuro.

En las películasCómic
Ubicación: dentro del Ojo de Agamotto del Doctor Strange
Protegida por el gran Hechicero Supremo que es el Doctor Strange 
                       
Películas en las que aparece:
Doctor Strange (2016)
Infinity War (2018)

Color: Verde                                                                                                                               
Ubicación: en posesión de El Jardinero
Un arcano muy molón preocupado por la belleza floral que acelera sus ciclos de crecimiento gracias a la gema.

Color: Roja







Gema del espacio:

La distancia se convierte en un concepto intelectual. Se puede estar donde se quiera.

En las películasEn el cómic
Ubicación:
En poder de Cráneo Rojo.
Y luego es custodiada es Asgard.

Color: Azul

Películas en las que aparece:
Capitán América Primer Vengador (2011)
Los Vengadores (2012)
Thor. El Mundo Oscuro (2013)
Thor Ragnarok (2017)
Infinity War (2018)
Ubicación: en poder de El Corredor.

Color: Morado


                                                                             





Gema de la mente:

Ningún pensamiento es un secreto. Cada mente está abierta a un examen. Se pueden alcanzar y sentir los sueños y esperanzas de cada ser del universo.

En las películasEn el cómic
Ubicación: en el cetro de Loki.
Y luego en la frente de Visión.

Color: Amarillo

Películas en las que aparece:
Los Vengadores (2012)
Capitán América. El soldado de invierno. (2014)
Los Vengadores. La era de Ultrón (2015)
Infinity War (2018)
Ubicación: en posesión del Gran Maestro

Color: Azul



                                                                       


Gema del poder:

Extrae la energía de los límites del infinito. Es el pegamento que apoya el poderío de las otras gemas.

En las películasEn el cómic
Ubicación: Xandar
Protegida por el Cuerpo Nova

Color: Morado

Películas en las que aparece:
Guardianes de la Galaxia (2014)
Infinity War (2018)
                                                                                                                                                                                          
Ubicación: en posesión de El Campeón
En el planeta Tamarata.

Color: Rosa (o morado, nunca tengo claro lo de estos dos colores. Afortunadamente mi sobrina de  5 años me lo suele aclarar.





Gema del alma:

Instrumento de manipulación. Se puede retorcer las almas de los enemigos a su merced, por ejemplo, se puede convertir una raza de seres pacíficos e inteligentes en caníbales.

En las películasEn el cómic
Ubicación: Planeta Vormir.               
Custodiada por Cráneo Rojo.

Color: Naranja.

Películas en que aparece:
Infinity War (2018)                                                  
Ubicación: en posesión de El Intermediario
Prisionero de los señores del Caos y el Orden.

Color: Verde




Gema de la realidad:

Las leyes de la física pierden su significado pues pueden ser alteradas.

En las películasEn el cómic
Ubicación: en el éter haciendo poderoso al maloso elfo oscuro Malekith

(Offtopic: los elfos oscuros, por lo general, son malosos, pero la grandeza y bondad de Dritz Do'urden de los Reinos Olvidados compensa a todos los demás elfos oscuros). 

Y luego en Sapiencial, en la colección de El Coleccionista.

Color: Rojo

Películas en las que aparece:
Thor. El mundo Oscuro (2013)
Infinity War (2018)



Ubicación: en posesión de El Corredor.                                                                   
Color: Amarilla                                                                                                                                                                                                                                                 











      


Se me ha ocurrido que, si cada una de las gemas del infinito pudiera correlacionarse con los principios del tratamiento de datos de carácter personal, la correlación sería la siguiente:

Gema del poder -> Con el principio de lealtad, licitud y transparencia.

¿Por qué? Porque facilitar información legal y transparente es lo que garantiza al titular de los datos el poder de control sobre sus datos y, además, es el "adhesivo" (que diría Thanos) que permite un correcto tratamiento de los datos.

Gema la mente -> Con el principio de limitación de la finalidad

¿Por qué? Porque si cada tratamiento está sujeto a examen, igual que cada pensamiento de la mente con la gema, no deberían poder realizarse con posterioridad tratamientos incompatibles a los inicialmente pensados (informados).

Gema del espacio -> Con el principio de minimización de datos

¿Por qué? Porque como el tratamiento de los datos tienen que ser limitados a lo necesario en relación con los fines, se me ha ocurrido que, cuanto menos datos se traten, menos espacio ocupan.

Gema de la realidad -> Con el principio de exactitud.

¿Por qué? Porque los datos no tienen que ser alterados. Es decir, tienen que ser reales.

Gema del tiempo -> Con el principio de limitación del plazo de conservación

¿Por qué? Porque los datos sólo pueden ser conservados durante el tiempo necesario para su finalidad de tratamiento.

Gema del alma -> Con el principio de integridad y confidencialidad

¿Por qué? Porque se tiene que evitar que los datos puedan ser manipulados.



sábado, 20 de enero de 2018

El viaje del héroe en la gestión de riesgos


El concepto de "El viaje del héroe" fue definido por Joseph Campbell a quien le dio por estudiar mucha mitología durante toda su vida y descubrió un patrón, una serie de principios, que gobiernan la narración de las historias e incluso la conducta de la vida. Según Christopher Vogler en su libro "El viaje del escritor", basado en los estudios de Campbell sobre El Viaje del Héroe:
"resulta difícil eludir la sensación de que, en efecto, el viaje del héroe existe en alguna parte, existe de algún modo como una realidad eterna...".
La cuestión con este Viaje del Héroe, con esta estructura eterna, es que cualquier historia, cualquiera, tiene un hilo narrativo basado en una serie de etapas que son las que marco en negrita en el siguiente párrafo:


Los héroes se nos presentan en el mundo ordinario, donde reciben la llamada a la aventura. Y aunque inicialmente se muestra reticentes y rechazan la llamada, sin embargo, un mentor, los anima a cruzar el primer umbral. Ahí encontrarán pruebas, aliados y enemigos. Para posteriormente aproximarse a la caverna más profunda, atravesando un segundo umbral, donde empezará su odisea o calvario. Y se apoderarán de su recompensa para ser perseguidos en el camino de regreso al mundo ordinario. Al cruzar el tercer umbral, experimentarán una resurrección, vivencia que les transforma, y retornarán con el elixir, una bendición o un tesoro del que se beneficiará el mundo ordinario.

Para verlo en ejemplo práctico, si tomamos La Guerra de las Galaxias (Episodio IV) nos encontramos a nuestro héroe, Luke Skywalker, en el mundo ordinario siendo un granjero en un planeta perdido de la mano de dios. Y recibe la llamada a la aventura a través de un mensaje de la princesa Leia oculto en R2-D2. Pero rechaza la llamada porque debe quedarse ayudando a sus tíos en la granja. Y entonces aparece el mentor que es Obi  Wan para darle a Luke la espada láser que perteneció a su padre. Y finalmente atraviesa el primer umbral, empujado por la muerte de sus tíos, cuando los soldados del imperio queman su granja. En la cantina conoce a enemigos y a aliados que le acompañarán en el viaje, como Han Solo. Y a partir de la cantina comienzan las pruebas de Luke para ser un Jedi. El héroe se aproxima a la caverna más profunda, en este caso Luke y sus aliados se ven en la Estrella de la Muerte donde van a tener que rescatar a la princesa Leia. Y entonces sucede la odisea o calvario, ese duro momento cuando Luke, Leia y demás compañeros se encuentran atrapados en el triturador y no sabemos si saldrán vivos de ahí y tampoco si Luke morirá ahogado al ser atrapado por el monstruo en el agua. Una vez que el héroe sobrevive al calvario puede hacerse con la recompensa, en este caso, los planos de la Estrella de la Muerte, que pueden permitir encontrar el punto flaco de la nave para reventarla. Y ya, casi al final de nuestra historia en la que - como diría gritando una abuela vecina mía cuando la llaman a cenar ("espera hija que está ya en la cumbre la película") - nos situamos en el camino de regreso, cuando a Luke y Leia les toca huir de un Darth Vader muy cabreado que les persigue. Y de ahí a la batalla final que, tras ser ganada por el héroe, experimenta la resurrección. Para poder retornar con el elixir que es su aportación para restablecer el equilibrio en la galaxia. Cualquier novela, película, cómic, historia, tiene una estructura similar. No tiene que ser en orden secuencial, no tiene que ser una etapa detrás de otra, algunas pueden darse en paralelo. Algunas pueden ser tan breves o sutiles que parece que no están. Pero desde que integré en mi estructura mental que cualquier historia tiene estas etapas, soy capaz de vez el hilo secuencial en cualquier historia. Incluso en una Tesis Doctoral sobre "Modelos de elementos finitos explícitos para explosiones en estructuras reticuladas de hormigón armado con aplicaciones al estudio del colapso en edificios". En esta tesis está el camino del héroe. En más de un sentido. Y hoy me ha vuelto a pasar. Me hallaba esta tarde empollando la metodología de gestión de riesgos de privacidad publicada por el CNIL y de repente me he dado cuenta "¡es el viaje del héroe!".  Yo lo veo claro:
Resulta que un riesgo es un hipotético escenario que describe el modo en que las fuentes de riesgo pueden explotar una o varias vulnerabilidades en los activos de apoyo que contienen los datos personales. Y eso en un contexto de amenazas  que permite que ocurra un evento temido sobre datos personales, lo cual genera impactos en la privacidad de los datos de las personas físicas. Ahí están las etapas del viaje del héroe:
  • Tenemos a nuestro héroe: el dato de carácter personal
  • Que está en su mundo ordinario: bajo el control de su titular que no divulga el dato a cualquiera.
  • Y es llamado a la aventura: por ejemplo, una empresa desarrolladora y propietaria de una aplicación informática que le puede decir al titular del dato si tiene gases. (podría llegar a pasar. ¿Por qué no?)
  • Pero rechaza la aventura: el dato que no se siente seguro en manos de un tercero, siendo además información sensible como el de flatulencias de su titular.
  • Y aparece el mentor: el clausulado de información y consentimiento de la aplicación es muy largo, tiene muchas palabras legales. Sí. Parece serio y dice que velan por la seguridad. Y de esta manera el dato cruza el primer umbral y decide ponerse en manos de la empresa
  • Y así conoce a los aliados, los activos de apoyo en los que va a quedar bien almacenado que, en este caso, es el servidor de la empresa. Y conoce a los enemigos: las vulnerabilidades que pueden explotar los activos de apoyo a través de un parche desactualizado del sistema operativo que permite un inyección de código malicioso.
  • Y nuestro héroe se aproxima a la caverna más profunda cuando es ubicado, por error, en una base de datos a la que tiene acceso todo el personal de la empresa. Y justo en ese momento, aparece una fuente de riesgo, un trabajador muy cabreado con la empresa que ha discutido con su superior y quiere irse a la competencia. Y se da cuenta de que tiene acceso a esos datos compartidos con él por error y se empieza a fraguar en su cabeza la idea que puede venderlos si los extrae de la base de datos. Y ahí llegamos a la odisea o calvario de nuestro héroe, cuando se produce un evento temido que es el acceso ilegítimo al dato personal, es decir, el acceso ilegítimo a nuestro héroe por parte del trabajador cabreado.
  • Y entonces, en una revisión periódica programada por la empresa para los casos en que se producen cambios significativos en los sistemas de información, justo en el camino de regreso de nuestro héroe, cuando el trabajador cabreado se dispone ya a secuestrarle al día siguiente, la persona responsable de seguridad se da cuenta de que los permisos de la base de datos están mal otorgados y establece una medida de control, lo cual evita que se produzca un impacto en la organización con el robo del dato: nuestro héroe. Quien sobrevive a su secuestro por parte del trabajador cabreado. Y así nuestro héroe se hace con la recompensa que es el haber sobrevivido a un contexto de amenazas que hubieran provocado un serio impacto en nuestro héroe que hubiera percibido una clara invasión en su sensación de privacidad.  Y todo gracias a una revisión periódica programada.
  • Y así, tras librarse por los pelos de ver expuesta su privacidad, nuestro héroe experimenta la resurrección y vuelve con el elixir que es sentirse seguro en manos de la empresa propietaria de la aplicación y la gestión del riesgo residual.
Es El Viaje del Héroe. Yo lo veo claro

lunes, 8 de enero de 2018

Metodologías para gestión de riesgos en materia de protección de datos en trajes de super héroes


Esta es una versión alternativa de un post menos friki que he publicado hoy en Linkedin. Lo que añado aquí en azul son las aclaraciones fundamentales para que se entienda en el contexto de este blog :)
La aplicación del RGPD y el concepto de la privacidad por defecto y desde el diseño nos va a meter de lleno en la aplicación de metodologías de análisis de riesgo que no nos pillará de nuevas a aquellos que venimos aplicando desde hace tiempo normas estándares de seguridad que vienen de la línea de las 27K.
Cuando Cisco tiene que hacer un traje para The Flash sabiendo que va a enfrentarse a metahumanos que tienen poderes desconocidos, por defecto y desde el diseño, introduce toda una serie de funcionalidades al traje para evitar riesgos que pueda sufrir The Flash al enfrentarse a los malos. Para ello ha aplicado una análisis de posibles maldades que le pueden hacer los malos.

¿Qué es un análisis de riesgos? Es un proceso sistemático que nos permite identificar los riesgos a los que está expuesta, por ejemplo, una organización. En definitiva, en líneas generales, un análisis de riesgo implica:

  • Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
  • Identificar los activos que quedan incluidos dentro de dicho alcance.
  • Identificar las amenazas que afectan a dichos activos.
  • Identificar vulnerabilidades
  • Identificar salvaguardas
  • Evaluar el riesgo
  • Tratar el riesgo.
El INCIBE publicó un post en el que resumía éstos pasos aplicados al ámbito de la seguridad de la información que pueden servir como punto de partida para tener un contexto de ejemplo. Puede consultarse aquí.
Por ejemplo, si el alcance del análisis es "tipos de malos a los que puede enfrentarse Ironman teniendo en cuenta las capacidades de su traje". El activo incluido en el alcance es: el propio Tony Stark, es decir, su supervivencia a la hora de enfrentarse a un villano. 
Las amenazas posibles: ataque por visión láser; ataque por lanzamiento de meteorito; ataque por objeto contundente. 
Las vulnerabilidades posibles pueden ser: resaca por ingesta de alcohol de Tony Stark, Tony Stark está descentrado porque Pepper Post no le entiende; Tony Stark tiene un mal día porque le han pinchado las ruedas del coche. 
Las salvaguardas posibles pueden ser: Jarvis tiene todos los parches de seguridad actualizados; Jarvis tiene a punto el piloto automático; Jarvis tiene los mapas del GPS actualizados; Jarvis se encarga de mandar flores a Pepper. 
A la hora de evaluar el riesgo ya contamos con los elementos anteriores para poder evaluar la probabilidad y el impacto, por ejemplo:
  • La amenaza de que Iron Man sea atacado con un objeto contundente se materializa 3 veces al mes.
  • El impacto, es decir, el daño derivado de la materialización de la amenaza implica un gasto en reparaciones del traje de Iron Man que tiene consecuencias leves porque Tony Stark es multimillonario.
  • Calculamos el riesgo con las variables de la probalidad y el impacto.
Y a partir de ahí tratamos el riesgo que implica, por ejemplo, añadir funcionalidades nuevas al traje de Iron Man para que el objeto contundente no destroce el traje.

Si nos llevamos el análisis de riesgos al ámbito de la protección de datos el alcance aplica a la identificación de riesgos, en las operaciones de tratamiento de datos personales que se van a llevar a cabo por parte de una organización. ¿Fácil no? :D

¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece: "Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización. Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos."
Por ejemplo, si detectamos que el riesgo de que Jean Grey siga siendo un miembro de la patrulla X es muy peligroso porque es muy posible que se le vaya la pinza y, por tanto, implica un alto riesgo para el resto de sus compañeros, tendríamos que hacer un análisis de evaluación de impacto para establecer qué medidas de seguridad son necesarias para que Jean Grey pueda seguir siendo parte del grupo, o bien, determinar que no puede seguir siendo miembro de la Patrulla X

Lo que también añade la Guía de la Agencia es que: "no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc."
Esto quiere decir que Cisco no puede saber de entrada todas las contramedidas que puede poner en el traje de The Flash. Sólo cuando sabe a qué metahumano va a enfrentarse puede poner las medidas en el traje.

¡Andá! ¿Y entonces? ¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad básico, medio y alto es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal? ¡No! las medidas del RDLOPD no son una metodología. Lo que viene al recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta: ¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo? La respuesta de la Agencia fue: "Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD Luego, efectivamente, las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
Es decir, que aunque Cisco tenga una imaginación desbordante en la que pueda imaginarse todas los posibles metahumanos a los que va a enfretarse The Flash, no puede saber a qué riesgos concretos se va a enfrentar hasta que aparece el malo de turno en el capítulo para poder meterle los juguetes al traje.

La Agencia de Protección de Datos, en la guía comentada menciona algunas metodologías cuya aplicación puede ser posible: "Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), he- rramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005" En principio, según uno de los post relacionados con el análisis de riesgos publicados por la Agencia Española de Protección de datos: "En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.” En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre. Y quien sí se ha puesto mucho las pilas desde hace muchos años para facilitar el análisis de riesgos y ahora aplicado a la privacidad es el CNIL, el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS. Además han liberado una aplicación bajo licencia GPL 3 (mola mucho el CNIL ;)) para la elaboración de análisis de evaluación de impacto por si tenéis curiosidad.

lunes, 6 de enero de 2014

El hechizo multiplicador y los objetos mágicos

Hay muchos tipos de magia y de hechizos. También hay distintos modos de invocarlos. Son cuestiones que van a depender mucho del mago o de la necesidad o no de utilizar un instrumento para canalizar la magia. Instrumentos del tipo varita (Harry Potter), bastón (Harry Dresden) o báculo (Gandalf).

En el caso de Gandalf ha surgido un conflicto en casa acerca de si necesita o no báculo para utilizar magia.

Harry Dresden, por ejemplo, utiliza el bastón para que la magia no se le desmadre. Después de revisar la obra original de Harry Potter de J.K Rolling y los tipos de hechizos que se invocan, no he encontrado ningún hechizo multiplicador. Existe un hechizo duplicador, el hechizo “Geminio” aunque tiene truco porque los objetos duplicados no tienen las propiedades mágicas de los objetos originales.

Sí que he encontrado un hechizo multiplicador en un fanfic de Harry Potter. No se profundiza mucho en el hechizo multiplicador pero tampoco se menciona nada acerca de que los duplicados pierdan las características del original.(Confieso que no lo he leído este fanfic así que no sé cómo va a poder salir Harry indemne contra tres señores oscuros). Personalmente me siento más cómoda con la utilización de objetos mágicos que generando yo la magia directamente. Algunos podréis tildarme de muggle pero la realidad es que me gusta mucho más el rollo que lleva Drizzt Do´Urden. Donde estén unas buenas cimitarras mágicas y una pantera negra que se quiten los báculos. El caso, que me disperso, es que lo del hechizo multiplicador tenía una lógica cuando me he puesto a buscarlo. Ahora, con treinta pestañas abiertas en el navegador, sobre hechizos y objetos mágicos, he olvidado cuál era el punto de todo esto.

Pero da igual. Voy a aprovechar para hacer una prueba empírica y demostrar mi punto de vista con el tema de los objetos mágicos.

Allá voy, poneos las gafas protectoras:
Estoy utilizando un objeto mágico en este blog y en este post. El objeto mágico se llama “licencia” y en este caso es de tipo Creative Commons con efecto multiplicador.
Zas!!!!
Preparo mi objeto licencia del tipo “Creative Commons” y otorgo unas “propiedades” a mis textos: Propiedad “by” – la magia debe garantizar que, si alguien utiliza los contenidos de mi blog tenga que decir que yo soy la autora de dichos contenidos e indicar qué cambios ha realizado sobre dichos contenidos.
Propiedad “share alike” – la magia debe garantizar que si se reutilizan los contenidos de mi blog, por ejemplo transformándolos o mezclándolos con otros contenidos de quien los reutiliza, deben distribuirse siempre con las mismas propiedades mágicas. Es decir, con una licencia Creative Commons con las mismas “propiedades” que la que utilizo yo.
Prueba demostrada. Tenemos un objeto mágico que permite la multiplicación y transmite las propiedades mágicas cuando se reutiliza el objeto. ¿Mola o no mola? Si no mola, siempre podéis utiliza el hechizo anticopias. Allá vosotros :)

jueves, 17 de octubre de 2013

Las cookies o el poder mutante de Kitty Pride

Kitty Pride es una mutante que se unió a los X-Men. Aunque hay versiones alternativas en la Era de Apocalipisis, yo conocí bien a  Kitty Pride en el volumen de Atonishing X-Men de Joss Whedon (altamente recomendable, como todo lo que hace este muchacho). La capacidad de esta mutante es la intangibilidad. Cuando entra en fase puede atravesar materia sólida mediante la alteración de la vibración de sus átomos. En principio, el poder de Kitty Pride le permite combinarse con la materia sin interactuar con ella, de tal manera, que tanto ella como el objeto, quedan de la misma forma que estaban cuando dejan de combinarse.

Sin embargo, el adamantium la deja bastante tocada y la combinación no es tan aséptica como con el resto de materiales. Por eso el poder de Kitty Pride me recuerda a las cookies. Porque, cuando navegamos por algunos sitios web, ciertos archivos se nos instalan en el dispositivo (ordenador, móvil, tablet) y algunos de ellos son inocuos y otros pueden estar captando información de nuestros hábitos de navegación.

Por esa razón, porque algunas cookies no son “inocuas” y recaban datos personales, se introdujo una modificación en el artículo 22.2 de la Ley de Comercio Electrónico y la sociedad de la información (Ley 34/2002), regulando el uso de cookies (por tanto, la aplicación de la obligaciones sobre cookies afecta a los prestadores de servicios de la sociedad de la información que define la Ley), cuestión que, por cierto, hay a quien le ha dado por llamarle “Ley de cookies”. Lo que viene a decir la ley al introducir la modificación de las cookies, es similar a lo de la cura de los mutantes, que uno no tiene razón para estar en contra, en principio, siempre y cuando, se haga por voluntad propia y con el consentimiento del mutante.

Con las cookies es igual, se pueden instalar sí, pero primero hay que informar al usuario que accede a la web para qué finalidad se van a recabar datos con las cookies que se instalan en su equipo.

Hay menos tipos de cookies que poderes mutantes, con todo y con eso, también hay muchos tipos de cookies. Según la entidad que las gestione, según el tiempo que estén activas, según su finalidad.

No todas las cookies susceptibles de instalarse en el dispositivo del usuario requieren que se solicite el consentimiento. El Grupo 29 excluye el siguiente tipo de cookies del consentimiento:
  • cookies de entrada de usuario (por ejemplo, las utilizadas para rastrear acciones del usuario al rellenar formularios en línea que tienen varias páginas o por ejemplo, cesta de la compra para el seguimiento de artículos seleccionados por el usuario)
  • cookies de autenticación o identificación de usuario (de sesión)
  • cookies de seguridad del usuario (por ejemplo, las utilizadas para detectar intentos erróneos y retirados de conexión a un sitio web)
  • cookies de sesión de reproductor multimedia
  • cookies de sesión para equilibrar la carga
  • cookies de personalización de la interfaz de usuario
  • cookies de complemento plugin para intercambiar contenidos sociales
Si las cookies que se instalan en el sitio web están exentas, basta con informar del tipo de cookies en una página que podemos llamar “Política de cookies”. Ahora bien, si las cookies que instala el sitio web no están entre el grupo de exentas entonces, sí, se debe informar al usuario de las cookies que se van a instalar, finalidades del tratamiento de los datos de dicho usuario y, el usuario debe dar su consentimiento para la instalación de las cookies. Además se le tiene que informar de cómo retirar su consentimiento y cómo eliminar las cookies instaladas de su navegador. También para este caso vale un documento que llamemos “política de cookies“.

Existen varias opciones para informar al usuario. Puede ser a través de pop-ups, a través de cabeceras o pies visibles en el Sitio web, o páginas de bienvenida. Cualquiera de estos métodos debe tener un elemento común, y es que la instalación de las cookies debe ser siempre posterior al consentimiento del usuario.

De poco sirve un aviso del tipo “si sigues navegando entendemos que das tu consentimiento para instalar las cookies” si el site instala las cookies según el usuario resuelve la URL cargando la página. Eso no es consentimiento previo. Eso es dar por hecho que el usuario va a dar su consentimiento. Así que, no vale.

Hay diversos plugins, ya sea en WordPress, Drupal, Joomla (cada CMS tendrá distintos) que permiten introducir estas cabeceras en los Sites. Sería cuestión de probar para ver cuál afea menos el sitio.

miércoles, 26 de junio de 2013

Las tres pruebas para ser un gran pirata

Si eres una víctima de los 80 has jugado al Monkey Island y sabes que, para convertirse en un gran pirata, hay que superar tres pruebas. El arte del robo, el dominio de la espada y la búsqueda de tesoros.

Si te has enfrentado alguna vez a la implantación de la normativa de protección de datos en tu empresa ya sabes qué es lo de pasar las tres pruebas para convertirse en pirata. Lo que no quieres es a tipos como Guybrush tratando de ser piratas a costa de pasar sus pruebas robándote tus datos.

Lo primero que querrá hacer es robarte tu idolo de múltiples brazos. Es decir, tratará de poner en entredicho la integridad de los datos de carácter personal contenidos en los ficheros de los que es titular tu empresa. Es tu misión garantizar que dichos datos se almacenan con unas medidas técnicas adecuadas para garantizar que no se pierden, no se alteran y, sobre todo, que Guybrush no las roba.

En segundo lugar, tienes que evitar que gane al Sword Master. Así que, aún cuando consiga entrenarse y conseguir destreza suficiente con la espada, tu misión es evitar que llegue siquiera a la casa del Sword Master (en el metaverso hay un spin-off donde el juego es así).
La ubicación de la casa del Sword Master es el secreto mejor guardado. Garantizando la confidencialidad de la ubicación de la casa evitarás que la gane porque no podrá ni enfrentarse a ella. Igual que garantizando la confidencialidad de los datos contenidos en los ficheros, evitarás que tenga acceso a los mismos quien no deba.

En tercer y último lugar, la búsqueda del tesoro. No te interesa que Guybrush encuentre el tesoro de Mêlée Island pero tampoco quieres fastidiar a tus camaradas, grandes piratas todos ellos, que se han ganado el derecho desde hace años a buscar y encontrar el tesoro. A ver si te vas a poner tan terco en evitar que Guybrush encuentre el tesoro, que perjudicas la disponibilidad del tesoro a tus camaradas. Tienes que encontrar un equilibrio. Igual que tienes que encontrar un equilibrio para que, todos los trabajadores de tu empresa, tengan acceso a aquellos datos de carácter personal que necesitan para llevar a cabo las funciones propias de su puesto de trabajo.

Una vez implantas unas medidas técnicas de seguridad, encontrando un equilibrio adecuado entre la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal, eres un gran pirata y te has ganado tu grog. A tu salud!!

martes, 2 de abril de 2013

Qué pasa detrás de El Muro

En Canción de Hielo y Fuego, (“la novela río más espectacular jamás escrita”), uno de los elementos más característicos es El Muro.
El Muro es una enorme muralla que está en el Norte, más allá de Invernalia y que separa a la civilización de Los Otros. Para evitar spoilers no voy a explicar quiénes son Los Otros ni por qué creo que soy muy benévola llamando, a los de este lado del muro, “civilización”.

En cualquier caso, a nuestros efectos, es suficiente saber que El Muro es una muralla de contención entre seres chungos que están más allá y los seres, no tan chungos que están al otro lado.

Uno podría pensar que está protegido por esta fría pared. Por usar la analogía, es lo que podría pensar yo cuando recaban mis datos de carácter personal y me siento muy informada. Me están explicando la finalidad de tratamiento de mis datos, me piden mi consentimiento y, además, me garantizan que los van a tratar con las máximas garantías de seguridad técnicas y organizativas.
Oye, perfecto, me dices que los vas a custodiar con garantías de seguridad. Aquí está El Muro ¿lo veis?

Básicamente es lo mismo que te diría un habitante de Invernalia si le citas a Los Otros.
Te diría “chist que El Muro, nos protege de Los Otros, me han dicho claramente que está ahí para protegernos y me han garantizado que así es”.

Y yo digo, vale, pero ojo, que has mandado a la Guardia de la Noche a cuidarlo. Y en la Guardia de la Noche hay de todo. Tienes gente muy concienciada con la seguridad de El Muro como Jon Nieve, todo un paladín (un poco inocentón, eso sí, pero paladín) que protege la seguridad de los que están a este lado de la fría muralla. Pero también tienes gente complicada en El Muro eh, para los que la seguridad no es precisamente la mayor de sus prioridades. Que, madre mía, lo que puede terminar allí.

Aquí pasa igual, detrás de El Muro hay de todo. Organizaciones que, efectivamente, están concienciadas con la seguridad de los datos personales que recaban. Que una vez que me piden mis datos personales los custodian en ficheros debidamente protegidos con garantías técnicas, y organizaciones que te dicen que lo hacen pero, en realidad, a la que te descuides se les han colado en el fichero Los Otros, los dragones, los jinetes de Dothraki y, hasta un elfo doméstico, si te descuidas.

Por eso, una correcta implantación de la normativa de protección de datos maneja tres aspectos o ámbitos, uno puramente legal y otro técnico y organizativo.

En el ámbito legal, entre otras muchas cosas y a modo de ejemplo, quien recaba los datos (generalmente una empresa u organización del tipo que sea) facilita la información sobre la finalidad de tratamiento y solicita el consentimiento a las personas cuyos datos recaba y les explica si va a comunicar esos datos a terceros, por ejemplo.

En el ámbito técnico, una vez que tiene los datos en sus ficheros esa empresa, debe garantizar que se custodian de manera adecuada. Y aquí hay muchos riesgos porque, puede haber unos responsables de sistemas muy competentes en esa empresa, pero luego esos responsables de sistemas puede que tengan que lidiar con usuarios (trabajadores) que están poco o nada concienciados con la seguridad de la información y, en este caso concreto, con la seguridad de los datos personales. Ya sea por puro desconocimiento, por falsa sensación de seguridad o porque consideran que no es su guerra.

Por eso una implantación de protección de datos debe ir siempre acompañada de un buen proceso de formación de esos trabajadores que, al final, son los que van a tratar los datos de carácter personal y deben custodiarlos de manera adecuada. Y el establecimiento de políticas de respecto de la información que deben cumplir los trabajadores (ámbito organizativo).

Al final el eslabón más débil de la Guardia de la Noche es siempre el trabajador en último término. Eso dando por hecho que la seguridad está debidamente implantada por la empresa de base. Porque, como decía, muchas veces la empresa u organización te dice que tiene El Muro pero luego ni siquiera tiene Guardia de la Noche para custodiar El Muro.