DANIEL MONZON

Los 10 principales errores de seguridad que cometen los departamentos informaticos

2009-07-03T14:53:00.002-06:00

Hola como estan, a continuacion les comentare sobre un tema que afecta a varias y empresas y me imagino que se la mayoria se vera identificada, saludos :

Demasiada carga de trabajo, poco tiempo para acometerla y la presión para ajustarse a estrictos plazos de entrega, así como de mantener contentos a los superiores, lleva a los administradores informáticos a cometer errores de diagnóstico que en algunas ocasiones pueden resultar fatales. Para evitarlos, GFI detalla los diez principales errores o descuidos que cometen los administradores de red:

Conectar sistemas TI a Internet antes de protegerlos. Este es un error clásico. Los ordenadores no están diseñados para conectarse a Internet nada más salir de la caja de embalaje. Antes de adquirir una línea de teléfono, un cable Ethernet o una tarjeta inalámbrica para un puesto de trabajo, es recomendable instalar al menos una solución de protección contra virus y detección de spyware, así como un programa para prevenir la instalación de software malicioso.
Conectar a Internet sistemas de prueba con cuentas y contraseñas por defecto. Es el sueño de un hacker, ya que dejar las claves y cuentas por defecto facilita enormemente su acceso a la red informática de la empresa. La solución a este error, ciertamente habitual, es cambiar las contraseñas y borrar o renombrar las cuentas por defecto inmediatamente.
No actualizar los sistemas operativos de los equipos corporativos. Existen múltiples agujeros de seguridad en los sistemas operativos. Ningún software es perfecto y, una vez que se encuentra una vulnerabilidad, ésta se explota en muy poco tiempo, por lo que es conveniente instalar los parches de seguridad disponibles lo antes posible.
Falta de una adecuada autentificación de los usuarios que solicitan servicios técnicos por teléfono. Facilitar a los usuarios contraseñas por teléfono o cambiárselas en respuesta a una solicitud telefónica o personal cuando el usuario no se ha identificado debidamente puede ser la mejor manera de reducir las solicitudes de soporte al área TI, pero facilita enormemente la labor de los hackers involucrados en tareas de ingeniería social. Lo mejor es aplicar las normas de autenticación adecuadas, incluso cuando la voz del interlocutor resulta familiar.
No mantener ni probar las copias de seguridad. La pereza es una de las mayores amenazas de seguridad; sin embargo, la creación de copias de seguridad adecuadas es mucho más fácil que recopilar los datos desde cero. Por ello, es conveniente realizar a menudo copias de seguridad y mantenerlas incluso fuera de las instalaciones de la compañía (no en la caja fuerte del jefe).
No confirmar que el plan de recuperación ante desastres realmente funciona. Una vez que se tienen las copias de seguridad, hay que verificar si funcionan, si son buenas y si se tiene un plan de recuperación ante desastres. Si las tres respuestas son negativas, nos encontramos ante un problema.
No implantar o actualizar programas de detección de virus. ¿Qué sentido tiene tener soluciones anti-virus y anti-spyware si no se actualizan? Las soluciones actualizadas aseguran que las últimas modalidades de software malicioso serán detectadas inmediatamente.
Ø No formar a los usuarios en materia de seguridad. Los usuarios necesitan conocer las amenazas a las que deben enfrentarse. Los empleados no formados en temas de seguridad, son aquellos que suelen ser víctimas de virus, spyware y ataques de phising, diseñados para corromper sistemas o filtrar información personal a terceros sin el consentimiento del usuario. No hay que dar por sentados los conocimientos de los usuarios, ni confiar demasiado en ellos.
Hacerlo todo uno mismo. Las grandes compañías cuentan con departamentos informáticos específicos, pero los administradores TI de las PYMEs muchas veces se encuentran solos ante el peligro. Estos últimos deben pedir consejo y ayuda en caso de necesidad y si se topan con cualquier problema, ya que la ayuda externa, aunque a veces costosa, asegura un trabajo bien hecho a la primera.
Fallos a la hora de reconocer las amenazas internas. Demasiada confianza puede aniquilar la seguridad informática de la empresa. Los empleados descontentos pueden causar grandes problemas si no se les monitoriza adecuadamente. Los responsables TI deberían monitorizar la actividad de la red, especialmente el uso de dispositivos portátiles como iPods, memorias USB, etc. Seguramente ninguna empresa querrá que sus datos se vendan a la competencia por un empleado airado.

2009-07-01T09:17:00.002-06:00

La Auditoría Centralizada está aquí y ¡es Gratis!

Discutiendo la Auditoría Centralizada, enfocado en los requerimientos fundamentales y principales ventajas.

Introducción

"¿Cómo centralizo los registros generados en el Visor de Sucesos de las distintas computadoras?". Con el lanzamiento de Windows 2008 y Windows Vista, es posible el registro centralizado de eventos. Antes que deje de leer este artículo porque no tiene Windows 2008 o Vista instalado, por favor ¡siga leyendo!

Microsoft ha diseñado el registro centralizado para reportar a un equipo con Windows 2008 o Windows Vista pero también lo ha hecho compatible con versiones anteriores para Windows 2003 o clientes Windows XP.

Es así, en tanto uno tenga un equipo con Windows 2008 Server ó Windows Vista, uno puede tener registro centralizado de sus computadoras Windows.

Requisitos y Configuración para el Equipo de Registro Centralizado

Cualquier equipo con Windows 2008 Server o Windows Vista puede convertirse en su equipo de registro centralizado. Esto quiere decir que todos los registros que configure en sus equipos con Windows 2008 Server, Windows 2003 Server, Windows Vista o Windows XP serán enviados a este equipo centralizado de registros donde queden registrados todos los eventos clave.
Si quiere que su equipo Windows 2008 Server o Vista contengan el registro centralizado, no es mucho lo que se necesita hacer. Sin embargo, necesita configurar el equipo para que soporte el registro; puede hacerlo ejecutando unos pocos comandos desde una linea de comandos con los privilegios elevados.

Nota:La linea de comandos debe elevarse cuando está habilitado el UAC (User Account Control).
El primer comando que debe ejecutar configurará la Administración Remota (Remote Management) en el equipo. Es el comando siguiente:

winrm qc

Este comando generará una respuesta informándole que se deben realizar ciertas tareas en el sistema, sólo debe confirmar con “Yes” que uno desea que se realicen.

Nota:Si utiliza el parámetro –q al final de su comando, el comando y las acciones se realizarán automáticamente y de forma silenciosa.

Configurando la administración remota en un equipo Windows Vista

Después de ingresar Y para realizar los cambios, aparecerán instantáneamente los resultados indicando que las acciones fueron exitosas.

El segundo comando configurará el servicio Recolector de Eventos (Event Collector service):
wecutil qc /q

Nuevamente, recibirá confirmación que la acción fue exitosa.

Requisitos y Configuración para el Equipo de Registro Centralizado

Si usa Windows 2008 Server o Windows Vista como su equipo origen, entonces sólo necesita ejecutar un comando para tener preparado el equipo para reenviar al equipo de registro centralizado. Es el mismo comando que usó para conseguir que el equipo centralizado tenga la administración remota configurada correctamente:

winrm qc –q

Si está usando Windows Server 2003 o XP, necesitará descargar e instalar la parte de Reenvío de la administración remota para estos sistemas operativos.

Nota:Debe tener SP1 para Windows Server 2003 y SP2 para Windows XP instalados antes de configurar correctamente el reenvío.

Puede descargarlo aquí. Después de la instalación, ejecute la el mismo comando e configuración de administración remota:
winrm qc –q
Nota:Debe tener credenciales administrativas para realizar esta configuración.
Puede verificar que la configuración funcionó abriendo el Visor de Eventos. Cuando este está abierto, verá un nuevo nodo llamado Microsoft-Windows-Forwarding/Operational

Configurando una Suscripción

La configuración de suscripciones se realiza en equipo de registros centralizados. Para estos pasos, necesitará configurar lo siguiente:

Nombre de equipo del cual quiere recolectar información
Tipo de Evento (crítico, error, advertencia, etc.)
Por registro (Sistema, aplicación, etc)
Por orígen (Lista enorme de opciones!)
ID(s) de Evento/s (típicamente no querrá recolectarlos todos, así que lístelos separando los números con coma)
Palabras clave
Usuario o Equipo

Nota:No se requieren todos los mencionados, ¡son todas las opciones disponibles!
Su primer paso es determinar de que equipo quiere recolectar información. Esto se hace con clic derecho sobre el nodo de Suscripciones en el Visor de Eventos, luego seleccionando Crear Suscripción. En el cuadro de Propiedades de la Suscripción, seleccione el botón Seleccionar equipos.

Dentro del cuadro de selección de equipo, se pueden "Agregar Computadoras del Dominio" a la lista de equipos de los que se desean recolectar eventos. Esto es útil, ya que así uno puede crear una suscripción para recolectar eventos similares de muchos equipos definiendo sólo un conjunto de eventos. También tiene una opción de Prueba, para asegurarse que el equipo centralizado pueda ver a los equipos remotos de donde recolectaran los eventos.

Después de configurar los equipos de los cuales se desea recolectar eventos, solo se necesita configurar los eventos y detalles de lo que se quiere recolectar.

Cada suscripción le permite ser muy detallado en lo que se desea recolectar

Después de configurar cuales eventos desea recolectar, basado en la miríada de opciones que tiene disponibles, solo necesita esperar a que recolecten los eventos en los equipos de origen y se envíen al equipo de registro centralizado.

Ver los Eventos Recolectados

Para ver los eventos recolectados en su equipo centralizado, solo necesita ir al Visor de Eventos. Allí verá un nodo debajo de los registros de Windows denominado Eventos reenviados. El equipo origen está configurado para enviar todos los eventos a esta ubicación. Por supuesto uno puede configurar Vistas Personalizadas para separar u organizar sus eventos en otros registros personalizados (lo cual podría ser beneficioso si está recolectando de muchos equipos y distintos tipos de eventos). La figura 6 ilustra un conjunto ejemplo de eventos que están siendo recolectados desde un equipo Windows XP en un equipo Windows 2008 Server.
Figura 6: Eventos recolectados por un Windows XP y enviados a un equipos de registro centralizado Windows Server 2008

Resúmen

Microsoft vino al rescate si usted es responsable por administrar y revisar los registros de eventos. Hay una nueva tecnología en Windows 2008 Server y Windows Vista que le permite crear un equipo de registros centralizados. Una vez configurado ese equipo, solo necesita iniciar el componente de Administración Remota en su equipo origen. El equipo origen puede ser Windows XP SP2, Windows Server 2003 SP1, Windows Vista, o Windows Server 2008.Las suscripciones son configuradas en el el equipo de registros centralizados. Todo lo que debe hacer es establecer de cuales equipos desea recolectar, y que tipo de eventos desea obtener. Con respecto a los demás equipos, solo revise en el Visor de Eventos del equipo de registros centralizados para ver eventos de la red mientras que les presta servicio.

Autor: Derek Melber

Mas informacion :

http://blog.segu-info.com.ar/2009/06/la-auditoria-centralizada-esta-aqui-y.html

Ser un auditor de seguridad y no morir en el intento

2009-07-01T09:13:00.001-06:00

Ser un auditor de seguridad y no morir en el intento!!

Adjunto información en base a los Webcast realizados en noviembre y diciembre sobre las auditorias de seguridad o de como verificar el nivel de seguridad de la plataforma Windows.

Cada artículo posee la URL que los lleva al sitio de Microsoft donde están alojadas las grabaciones:
1) Hágalo Usted mismo: Auditorias de Seguridad. Parte1.
2) Hágalo Usted mismo: Auditorias de Seguridad. Parte2.
3) Descubre lo nuevo de MSAT 4.0.
4) Analiza la seguridad de tu red
5) Plataforma actualizada, plataforma segura
6) Conversa con el Auditor

Fuente: http://seguridadit.blogspot.com/2009/01/ser-un-auditor-de-seguridad-y-no-morir.html

El derecho a la intimidad y el derecho a la informacion

2009-06-19T11:45:00.000-06:00

Les coloco el articulo completo el cual a mi parecer da para mucho mas estudio y nos muestra un escenario conocido pero muchas veces ignorado.

El Derecho a la Intimidad y el Derecho a la Información: ¿garantías encontradas?

1.- El Derecho a la intimidad y el Derecho a la información: ¿garantías encontradas?

De la misma forma en que el hombre nace libre físicamente, tiene la libertad de dar a conocer de sí mismo, a la sociedad lo que su voluntad le sugiera, pero con el desarrollo de la tecnología y la creciente demanda de información de nuestros días, esto parece ser imposible. Esta consideración encuentra una explicación bipolar, ya que por un lado puede tratarse de la inseguridad que representa el almacenamiento, ensayo, recopilación o transmisión de datos, en las redes internas de las empresas publicas o privadas, así como de la misma red mundial, o bien, a pesar de la seguridad, debido al ingenio que poseen personas que por diversas razones se aplican en la manipulación de sistemas informáticos ajenos, ya sea por una u otra de las alternativas, la intimidad de las personas se ve conculcada.

Así pues en el presente apartado justificaremos la urgente e indispensable legislación respecto de la protección de los datos que se almacenan, investigan, recogen o transmiten por medios electrónicos.
Si bien la información es un elemento indispensable para la toma de decisiones y que el hombre nace con la garantía de acceso a las noticias y demás acontecimientos, también lo es que el hombre nace con la plena facultad de decidir con quien compartir sus ideas, sentimientos o hechos de su vida personal o simplemente reservarlos para si mismo.
Ya que el derecho de disponer de los datos es de quien los ha tratado, podemos decir que si tal garantía es violada estaríamos en presencia de un atentado a las libertades individuales.
Según el Jurisconsulto RAFAEL DE PINA VARA, las libertades individuales son:
“Las Facultades reconocidas al individuo en todo estado de Derecho, para el desenvolvimiento de su personalidad”. (1)

Sin duda los adelantos tecnológicos y el progreso ideológico han venido a facilitar la vida del hombre, pero, tales son las facilidades que nos ha brindado la tecnología, que hemos abusado de ella. La capacidad de almacenaje, la velocidad de consulta y de transmisión de información, de una computadora, da para quien cuente con una de ellas una especie de poder, económico, psicológico, social, político.

El título de este cuarto capitulo encuentra su fundamento en la consideración de que, tanto el derecho a la información como el derecho a la intimidad, son derechos fundamentales en la vida del hombre de estos tiempos. No obstante, la distancia que guardan estos dos conceptos, se encuentran hoy en día, estrechamente vinculados, esto debido al mal sentido que se le ha dado al derecho de ser informado, pues abusando de este ultimo, es como se transgrede el derecho de la intimidad.

1.1.- Derecho a la información.
El derecho a la información es una garantía individual de carácter social. Retomemos lo expuesto en el primer capítulo respecto de la información. La información es el intercambio de ideas, la comunicación de acontecimientos, pensamientos, sentimientos, etcétera. La comunicación de la información puede ser masiva o de “difusión” o puede ser comunicación interpersonal. El legislador se ocupo de adicionar esta garantía al lado de la de la libertad de expresión, por medio de las cuales el estado se compromete a proteger el derecho de unos a manifestar las ideas o comunicar los hechos y de que otros se enteren de toda esa información.

El derecho a la información es una garantía constitucional, contenida en el articulo sexto de la Constitución Política de los Estados Unidos Mexicanos, que a la letra dice: ".. Artículo 6°.- La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, los derechos de tercero, provoque algún delito o perturbe el orden público; el derecho a la información será garantizado por el Estado...”

El estado nos garantiza, el derecho a la información, que en un principio estaba dirigido únicamente a fines electorales, lo que podemos corroborar con la siguiente tesis relativa a la interpretación del artículo sexto de nuestra ley primaria.
Derecho a la Información. La Suprema Corte interpretó originalmente el Artículo 6o. Constitucional como garantía de Partidos Políticos, ampliando posteriormente ese concepto a garantía individual y a la obligación del Estado a informar verazmente.

Inicialmente, la Suprema Corte estableció que el derecho a la información instituido en el último párrafo del artículo 6o. constitucional, adicionado mediante reforma publicada el 6 de diciembre de 1977, estaba limitado por la iniciativa de reformas y los dictámenes legislativos correspondientes, a constituir, solamente, una garantía electoral subsumida dentro de la reforma política de esa época, que obligaba al Estado a permitir que los partidos políticos expusieran ordinariamente sus programas, idearios, plataformas y demás características inherentes a tales agrupaciones, a través de los medios masivos de comunicación (Semanario Judicial de la Federación, Octava Época, 2a. Sala, Tomo X, agosto 1992, p. 44).

Posteriormente, en resolución cuya tesis LXXXIX/96 aparece publicada en el Semanario Judicial de la Federación y su Gaceta, Novena Época, Tomo III, junio 1996, p. 513, este Tribunal Pleno amplió los alcances de la referida garantía al establecer que el derecho a la información, estrechamente vinculado con el derecho a conocer la verdad, exige que las autoridades se abstengan de dar a la comunidad información manipulada, incompleta o falsa, so pena de incurrir en violación grave a las garantías individuales en términos del artículo 97 constitucional. A través de otros casos, resueltos tanto en la Segunda Sala (AR. 2137/93, fallado el 10 de enero de 1997), como en el Pleno (AR. 3137/98, fallado el 2 de diciembre de 1999), la Suprema Corte ha ampliado la comprensión de ese derecho entendiéndolo, también, como garantía individual, limitada como es lógico, por los intereses nacionales y los de la sociedad, así como por el respeto a los derechos de tercero.

Nuestra concepción respecto de la anterior interpretación de la Suprema Corte de Justicia de la Nación, es que el derecho a la información es la facultad de cualquier persona de solicitar sin manifestar su motivo, la información que requiera y a recibirla de cualquier autoridad, también es el derecho a conocer la verdad, siempre que esta no atente contra la moral, el Derecho, el país o a terceros. De esto ultimo se desprende que el estado por un lado, garantiza en el sexto precepto constitucional la información y que esta sea veraz, completa y oportuna y por el otro lado protege la información personal o privada.
El derecho a la información comprende dos vertientes, a saber, el deber de informar y el derecho a ser informado.

a) El deber de informar. Esta vertiente comprende desde los actos la investigación, recopilación y demás actividades destinadas a la obtención de infamación hasta los de difusión de la información, es decir, es la parte garantizada por la constitución denominada libertad de expresión.

b) El derecho a ser informado. Es el derecho de los individuos a estar comunicados respecto de los sucesos públicos y en general de todo acontecimiento o idea que pueda afectar su vida personal o le pueda hacer cambiar su forma de pensar. Pues como lo dijimos la información nos dota de poder y nos permite realizar con mayor eficacia nuestras relaciones sociales y laborales.
Por último diremos que una garantía constitucional no puede de ninguna manera quebrantar algún otro derecho.

1.2.- Derecho a la intimidad.
La necesidad de esconder hechos, opiniones, pensamientos y sentimientos es imprescindible para los seres humanos. Todos tenemos un espacio en nuestras mentes, nuestros documentos, inclusive en nuestros archivos secretos de nuestras computadoras, en el que guardamos antecedentes que mantenemos en secreto momentánea o permanentemente, tal espacio debe mantenerse en la calidad que se guarda en tanto el titular lo desee, por lo tanto, el respeto a esa determinación no solo obedece a los valores éticos, sino que lo respalda el Derecho. Como anteriormente observamos, el derecho a la intimidad se desprende de la interpretación del articulo sexto de la Constitución, sin embargo la protección legal de la intimidad no existe, y tener la interpretación que ha dado la Suprema Corte de Justicia de la Nación, como única medida de seguridad para los datos personales o privados, esto es, para garantizar el derecho a la intimidad, resulta pobre, pues si bien existe una tesis que ampara este derecho, también es cierto que la mayoría de las personas la desconoce.

Aunque el derecho a la intimidad es un derecho considerado como de la tercera generación, tiene ya en nuestro país un antecedente de mas de 23 años, tiempo que no ha sido suficiente, para nuestros legisladores, para dar fuerza legal a tal garantía. Empero no solo el articulo sexto le ha dado vida en nuestro país al derecho a la intimidad, pues en el año de 1966 la asamblea general de las Naciones Unidas adopto un pacto de derechos civiles y políticos, mismo que manifiesta en su articulo 17 que “ Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio, su correspondencia ni ataques ilegales a su honra y reputación.” México firmo, ratifico y se adhirió a este pacto según consta en la publicación del Diario Oficial de la Federación del día 20 de mayo del año 1981.

Si consideramos que la definición de la intimidad es la parte reservada o más particular de los pensamientos, afectos o asuntos interiores de una persona, familia colectividad, es fácil deducir que a esa información, solo tendremos acceso con la autorización de su titular (es), por el valor moral, social, político o de otro tipo que guarda determinada información.

Definitivamente el derecho a la intimidad se encuentra en conflicto con la cultura informacional, específicamente y por lo que atañe a la presente investigación, con la información automatizada, empero no con el derecho a estar informado, pues el derecho a la información no comprende los datos de una persona o empresa que no son susceptibles de publicar. La Corte Suprema Argentina sostuvo que el derecho a al intimidad contenido en el articulo 19 de la Constitución ampara la autonomía individual integrada por sentimientos, hábitos, costumbres, relaciones familiares, posición económica, creencias religiosas, salud mental y física y todos los hechos y datos que integran el estilo de vida de una persona que la comunidad considera reservadas al individuo y cuyo conocimiento o divulgación significa un peligro para la intimidad. (2)

En síntesis el derecho a la intimidad es la facultad que le reconoce el estado al hombre de mantener reservada la información que considere no comunicable. Entonces el hombre decide cuales son los datos que debe limitar a su saber y el Derecho es el que se encarga mediante sus leyes de evitar la intromisión de terceros a dicha información.
1.2.1.- El Habeas Data.
Antes de hablar del Habeas Data hablemos un poco de la figura en la que se basa esta institución, a saber, El Habeas corpus.

Es una figura jurídica que encuentra su origen en el Derecho Ingles, el Habeas corpus tiene como finalidad la libertad personal de los individuos. Esta institución se debe a la reacción de los sujetos pasivos de abusos a su libertad por parte de personas que no eran autoridad jurídica, es decir, por parte de la corona y otros. Los monarcas eran arbitrarios y ordenaban privación de la libertad y estas se llevaban a cabo sin orden judicial alguna.

El Habeas corpus ha tenido un gran desarrollo en países como Inglaterra y Estados Unidos aunque consta en un cuerpo legal muy antiguo (1679 en Inglaterra), tiene su fundamento en la jurisprudencia y costumbre de estos países y tiene una gran fuerza jurídica por el sistema de Derecho anglosajón, un Derecho consuetudinario.

En pocas palabras podemos definir al Habeas corpus como una institución jurídica destinada a proteger la libertad personal de las personas. De la misma manera que nacemos con la libertad física, tenemos la libertad de disponer libremente de disponer sobre la información que nos pertenece, como los sentimientos, las ideas y en general todo lo que nuestra imaginación y cultura nos permite crear.
El habeas data puede ser concebido como un derecho que nos protege de las personas que se dedican a acceder a registros o bancos de datos y de esta forma conocer los datos personales que han sido almacenados y darles diferentes utilidades, comerciales, políticos y personales principalmente.

El habeas data garantiza la vida privada de una persona, que nadie viole las áreas de actividad de una persona no destinadas a ser difundidas, sin su consentimiento. También ampara la intimidad ante las autoridades, las que solo podrán acceder a la información privada cuando esta ponga en peligro la seguridad de la nación o exista el peligro de un bien jurídico superior si determinada información no es revelada.

Al realizar un estudio acerca de esta figura no intentamos solo justificar y fomentar el estudio del derecho a la intimidad, sino queremos informar acerca del manejo de la información por parte de personas públicas y privadas sin previa autorización de los titulares de tales datos. La manipulación de nuestros datos sin nuestro permiso, se ha vuelto una práctica normal en nuestra sociedad, pensamos que esto se debe a la omisión de cuidar nuestra intimidad o lo que es lo mismo, no hemos puesto barreras limitativas a las personas que se encargan de manejar nuestros datos.

El principal factor de creación del Habeas Data consideramos que ha sido el cambio radical que ha impuesto en nuestras vidas la Informática y demás herramientas tecnológicas de punta, esta es la postura de estudio que adoptaremos en este análisis del habeas data. Cabe hacer la aclaración de que el habeas data no solo protege la intimidad del hombre, sino también la verdad e identidad de los datos del individuo que han sido registrados.

De lo anteriormente expuesto resulta que el Habeas Data protege un "complejo de derechos personalísimos", que incluyen la privacidad y la identidad, relacionados a su vez con la imagen y con los conceptos de verdad e igualdad. (3); sin embargo, El sentido que queremos darle al Habeas Data en la presente investigación es que su propósito se dirige a evitar las lesiones morales que atentan contra la intimidad de las personas. Y en este concepto han coincidido la mayoría de los autores que estudian el Derecho de la Informática.

1.2.1.1.- Información reservada e información publica.
Existe información que por el interés que importa debe ser publicada a la sociedad por los medios que mayor audiencia tengan. Empero no todos los datos deben ser publicados, esto en razón de que la publicidad de algunos datos podrían atacar el honor, los sentimientos o las creencias de algunas personas. En atención a lo anterior consideramos que la información procesable se divide en: datos reservados y datos públicos.

1. Consideramos como datos reservados la información que también se conoce como “sensible” y que comprende todas aquellas situaciones intimas de las personas, como lo es la religión, las ideas socio-político y económicas, la situación económica personal, las preferencias sexuales, la raza y demás condiciones que atañen únicamente al individuo y que de reservárselas no perjudica a nadie, no obstante, de ser revelados o publicados podrían ocasionar un perjuicio.

Entre los datos sensibles que consideramos que de ser difundidos sin consentimiento y que por obvias razones vulnerarían el derecho a la intimidad, tenemos los siguientes:
- La preferencia sexual de una persona.
- La religión que profesa una persona.
- El password o clave del e-mail de una persona.
- La dirección o numero telefónico de una persona.
- Etcétera.

2. Los datos públicos son aquellos que importan a toda la sociedad y que se publican cumpliendo con el derecho a ser informado. Esto es que, el estado esta obligado a mantener a sus habitantes informados de los hechos que en el país acontecen con las reservas pertinentes y por lo tanto al publicarse provoca un beneficio para la sociedad.

Algunos ejemplos de los datos públicos son los siguientes:
- Los resultados de las jornadas electorales.
- El presupuesto nacional.
- La declaración patrimonial de los servidores publicos.
- Los accidentes y crímenes.
- Las ofertas de trabajo.
- Etcétera.
Cabe señalar que un dato por insignificante que parezca puede llegar a provocar un daño irreparable, por lo que antes de la utilización de un dato sensible, por intrascendente que parezca, es indispensable solicitar el consentimiento del titular.

1.2.1.1.1.- Control de la información reservada.
Como lo dijimos con antelación la definición del Habeas Data obedece al reconocimiento de que es el individuo a quien pertenecen los datos quien debe ejercer el control de los mismos. Empero no es de sorprenderse el hecho de que la información que nos pertenece, pase de las manos de una empresa pública (como mero ejemplo: el IFE) a las de un Banco, o a las de una empresa que nos ofrece sus productos o servicios, o a las de un partido político o a las de una empresa que vende vía telefónica, todo esto sin que nosotros tengamos el conocimiento y aún mas grave sin que nosotros consintamos tal trafico de nuestros datos.

A ninguna persona se le consulta respecto de la inclusión de su información a determinada base de datos, simplemente nos requieren la información, para realizar algún tramite, principalmente en las empresas publicas. Generalmente no existe en los formatos que llenamos con información personal, una leyenda que nos consulte si la información puede ser anexada a un archivo (tradicional o electrónico), o por lo menos una leyenda que nos avise que nuestra información será incluida en una base de datos. Considerando la inexistencia de notas como las que anteriormente mencionamos, cuanto mas existirán las que nos avisen que nuestra información será compartida con una serie de empresas publicas o privadas o inclusive con personas físicas.
De esta manera es como los datos de millones de personas se encuentran registrados en bases de datos de personas y empresas que en ocasiones ni siquiera conocemos y que tales datos están disponibles para ser utilizados en el momento que tales personas consideren pertinente. De cualquier forma vivimos una situación de control opresivo de nuestra información y nuestros datos pueden ser utilizados sin que nos consulten y para los fines que terceros desean.

Como dijimos anteriormente nuestros datos suelen ser fáciles de obtener pues las empresas para la realización de cualquier tramite nos la solicitan y nosotros sin cuestión alguna la proporcionamos. No obstante, esta ultima no es la única forma de obtener información y en nuestro país no alarmaría a nadie la forma ilegal de obtener estos datos, nos referimos al contrabando informático. (4)

El mercado negro de bases de datos es la explicación que a todas luces podemos encontrar, respecto de las cuestiones que muchas personas se hacen al recibir propaganda comercial y política generalmente. Sin embargo, las personas que reciben esta publicidad no se tornan ofendidas respecto a la disposición de sus datos sin su permiso, debido a que las campañas comerciales o políticas logran en el publico un efecto psicológico, haciendo pensar a los receptores que son personas importantes para las grandes empresas o que son amigos de los politicos.

Otra vía de obtención es el alquiler de las bases, esta ultima también es ilegal. No queremos hacer conjeturas, sin embargo lo evidente nos hace pensar que el trafico ilegal de información o la venta o alquiler se realiza generalmente del sector publico al privado, esto responde a la completa información que el estado tiene de sus ciudadanos, esto ultimo en el campo político y comercial que es lo mas común, sin embargo, en cuestiones mas confidenciales los bancos cuentan con información mas detallada, estamos hablando de datos de los cuales se puede deducir la forma de vida de una persona. Simplemente al hurgar en las operaciones de crédito realizadas por una persona podemos saber los lugares que frecuenta, el monto de dinero del que dispone diariamente, los productos que consume y los servicios que contrata, información que puede ser muy útil para las empresas inclusive hasta para los delincuentes.

1.2.1.1.2.- Titularidad y administración de la información.

Reiteradamente hemos asegurado que la disposición de los datos corresponde a quien la información pertenece, entonces el titular de la información para defender esa facultad de dar o no a conocer tales datos tiene ciertos derechos y entre todos esos nombraremos los siguientes (5):
- Acceso a los datos propios. Esta es la facultad que tiene el individuo de saber acerca de sus datos registrados en una base de datos o archivos y la utilización que se les puede dar. De este derecho prácticamente se desprenden los demás respecto de la titularidad de la información frente a la administración de la misma.

- Corrección y actualización de la información. Al tener el individuo el derecho de acceder a su información, también tiene el derecho de rectificar la veracidad de los datos y en su caso exigir la corrección, así como la actualización de tales datos.

- Confidencialidad y exclusión. En algunas bases de datos se registran datos de los que hemos clasificado como “sensibles” o información reservada, en tratándose de este tipo de registros el titular tiene todo el derecho de exigir al administrador de los comunicados la mas estricta confidencialidad en relación con sus datos y en caso de conculcar esta facultad, el titular tiene el poder jurídico suficiente para exigir la exclusión de su información de la base de datos o archivo respectivo, independientemente de la acción judicial que tendrá por los perjuicios que le cause la revelación de su información “sensible”.

Por otro lado los operadores de los datos también tienen prerrogativas, pero todas ellas se reducen al derecho a ser informado, sin embargo este derecho esta limitado a la voluntad del titular y a los derechos anteriormente señalados, por lo que el abuso de la información no tiene justificación alguna.

REFERENCIA BIBLIOGRAFICA.
(1) Cfr: DE PINA, Rafael, DE PINA VARA, Rafael. DICCIONARIO DE DERECHO. Editorial Porrúa. México 1998 p. 360.
(2) PALAZZI, Pablo Andrés El Hábeas Data en el Derecho Argentino. http://www.alfa-redi.com/rdi-articulo.shtml?x=179
Por Pablo Andrés Palazzi. Abogado y Doctor en Derecho (tesis en preparación). Coordinador del Posgrado en Derecho de la Alta Tecnología. Universidad Catolica Argentina Facultad de Derecho. Profesor de Derecho Constitucional UCA. (Argentina)
(3) Ibídem.
(4) BELTRAMONE, Guillermo. ZABALE, Ezequiel. El derecho en la era digital. Editorial Juris. Santa fe, Argentina, 1997. pp. 60 y 61.
(5) Ibídem.

Saludos cordiales. :-)

Quality Management

2009-06-17T14:11:00.000-06:00

Hi today let's talk about Quality Management.

This document introduces the eight quality management principles on which the quality management system standards of the ISO 9000:2000 and ISO 9000:2008 series are based.

These principles can be used by senior management as a framework to guide their organizations towards improved performance. The principles are derived from the collective experience and knowledge of the international experts who participate in ISO Technical Committee ISO/TC 176, Quality management and quality assurance, which is responsible for developing and maintaining the ISO 9000 standards.

The eight quality management principles are defined in ISO 9000:2005, Quality management systems Fundamentals and vocabulary, and in ISO 9004:2000, Quality management systems Guidelines for performance improvements.

This document gives the standardized descriptions of the principles as they appear in ISO 9000:2005 and ISO 9004:2000. In addition, it provides examples of the benefits derived from their use and of actions that managers typically take in applying the principles to improve their organizations' performance.

Principle 1: Customer focus
Principle 2: Leadership
Principle 3: Involvement of people
Principle 4: Process approach
Principle 5: System approach to management
Principle 6: Continual improvement
Principle 7: Factual approach to decision making
Principle 8: Mutually beneficial supplier relationships
The next step

Principle 1: Customer focus
Organizations depend on their customers and therefore should understand current and future customer needs, should meet customer requirements and strive to exceed customer expectations.

Key benefits:

Increased revenue and market share obtained through flexible and fast responses to market opportunities.

Increased effectiveness in the use of the organization's resources to enhance customer satisfaction.

Improved customer loyalty leading to repeat business.

Applying the principle of customer focus typically leads to:

Researching and understanding customer needs and expectations.
Ensuring that the objectives of the organization are linked to customer needs and expectations.
Communicating customer needs and expectations throughout the organization.
Measuring customer satisfaction and acting on the results.
Systematically managing customer relationships.
Ensuring a balanced approach between satisfying customers and other interested parties (such as owners, employees, suppliers, financiers, local communities and society as a whole).

Analisis forense en correo electronicos

2009-06-16T18:49:00.000-06:00

Analisis Forense en correo electrónicos - Outlook Express

Voy a hablar de un tema quizas más complicado de lo normal, como es el análisis forense en correos electrónicos.
La búsqueda, parametrización y reconstrucción de correos es fundamental ante casos como denuncias, insultos, amenazas, etc. en el que el medio utilizado es el correo electrónico.(por ejemplo esto ha sido clave para la detención del jefe del aparato militar de ETA, 'txeroki')

Pocas herramientas son capaces de reconocer los formatos mas usuales que se utilizan en clientes y servidores de correo electrónico. Quizas la suite comercial más completa es FTK. Mientras que enl mundo Open, son muy pocas las que existen y dan cobertura.
En la siguiente lista vemos las suites comerciales y/o Open Source y los formatos que soportan
Comerciales
FTK:Outlook (PST), Outlook Expres (DBX), AOL, Netscape,Yahoo, Eudora, Hotmail, MSN
Paraben's E-mail: Microsoft Exchange, Lotus Notes (NSF)

Open Source
Eindeutig:Outlook Express
libPST:Outlook
Como vemos casi no hay soporte para servidores de correo como Exchange o Lotus Notes, dos de los más utilizados en las empresas como servidores de correo. Por lo tanto en un análisis de correo es muy importante analizar los clientes, ya que como diria 'Grissom' del CSI: 'todo contacto deja rastro'.

Quiero destacar que si se utiliza un webmail, las técnicas son distintas, poniendo foco en los servidores de correo.
FORENSICO DE OUTLOOK EXPRESS
Outlook y outlook express son unos de los clientes más utilizados en las empresas y particulares dado que viene con el sistema operativo (a excepción de Outlook que viene con el office)
El 'outlook express' se compone de una serie de ficheros con extensión DBX.

¿En que consiste el formato DBX?

Por cada carpeta de mensajes y cada newsgroup en Outlook Express, corresponde un archivo con extensión dbx. Este archivo contiene los mensajes e información adicional para acceder rápidamente a estos.
El nombre de este archivo normalmente coincide con el nombre de la carpeta de mensajes o newsgroup.
Por ejemplo, Inbox.dbx o 'bandeja de Entrada.dbx'corresponde a su carpeta de correo entrante.
Por cada cuenta, todos los archivos dbx son almacenados en un directorio llamado store root directory, que puede ser definido seleccionando el comando:

* Tools | Options | Maintenance | Store folder

También existen otros archivos dbx predeterminados en el store root directory pero no contienen una carpeta dentro del Outlook.
Folders.dbx
almacena una estructura de árbol de las carpetas y otra información.
Offline.dbx
contiene los datos de acceso interactivo a cuentas IMAP y Hotmail si es que estan disponibles para Ud.
Pop3uidl.dbx:

almacena información de los mensajes que residen en un servidor POP3.
Normalmente estos elementos DBX, suele estar en la siguiente ruta 'c:\Documents and Settings\usuario\Local Settings\Aplicattion Data\Identitites\{identificador largo que suele ser alfanúmerico}\Microsoft\Outlook Express\'
La utilidad 'Eindeutig' reconoce este tipo de formatos y permite desde extraer su contenido a exportarlo a hoja de calculo. Una de las ventajas que incorpora es que además de ver la cabecera (DBX ID) y el cuerpo del mensaje, también muestra los adjuntos si estos existen.(prácticamente obtendriamos todo el contenido de los correos).
Esta utilidad 'recupera' los correos electrónicos aunque el usuario los haya eliminado (siempre que exista el fichero DBX)

Daniel Monzon

Guatemala

2008-04-16T15:36:00.000-06:00

Hola, bienvenidos a mi blog el cual tratara de tecnologia y una pequeña parte de mi pasatiempo favorito, el anime, espero que les sea de utilidad. !Que la fuerza los acompañe!