Intypedia: Historia de la criptografía y su desarrollo en Europa

En Septiembre de 2010 Intypedia publicó si primera lección de la Enciclopedia de Seguridad de la Información. Un video de 12 minutos hace un breve repaso sobre la historia de la critografía en Europa.

El autor del vídeo, D. Arturo Ribagorda Garnacho, ingeniero de Telecomunicación por la Universidad Politécnica de Madrid y Doctor en Informática por la misma Universidad introduce de forma sencilla y clara los principales conceptos subre criptografía: Criptografía por trasposición y por sustitución, el método cesar, la ciencia del criptoanálisis, los métods de cifrado monoalfabéticos y polialfabéticos, criptografos, criptanalistas,….

Una lección realizada con mucho arte, introduciendo conceptos que pueden parecer complejos pero de forma que por momentos parece devolvernos a la infancia cuando jugábamos a cifrar comunicaciones con los amigos (¿quien no ha jugado a eso utilizando el método cesar aún sin conocerlo?)

Esta lección incluye documentación para su libre difusión, incluyendo ejercicios de cifrado.

Enhorabuena de nuevo a Criptored por esta iniciativa. Aqui os dejo con el vídeo

Material Didático:

Ficheros manuales: ¿Cuál es la medida de seguridad más importante?

Si bien en la actualidad nos encontramos en el ámbito de las Administraciones públicas en un profundo cambio hacia una “Administración sin papeles”, todavía nos queda un largo camino por recorrer para que todos los trámites o cualquier actuación que suponga una prestación de un servicio público se realice en su totalidad electrónicamente.

Por ello, debemos ser especialmente diligentes a la hora de custodiar la documentación en papel. Aún más si cabe en los centros de salud y hospitales, no sólo por el tratamiento de los datos de salud, calificados por la LOPD como “especialmente protegidos” y que tienen un régimen jurídico especial más garantista, sino también por el gran volumen de documentos que se tramitan en los citados servicios, como puede ser toda la documentación obrante en la historia clínica en formato papel.

En este sentido, una de las novedades más importantes que introdujo el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LODP, fue la regulación de las medidas de seguridad de los ficheros manuales (también llamados no informatizados).

Respecto a estas medidas, podríamos estructurarlas en tres grupos:

–      Aquellas que ya eran de aplicación a los ficheros informatizados, y que son factibles de adoptar respecto a los manuales, como el documento de seguridad o el registro de incidencias;

–      Las que tienen en cuenta las características del “papel”, como puede ser el artículo 106 cuando se refiere a los “criterios de archivo”;

–      Y las que introducen el sentido común, como es la obligación en el caso de los ficheros manuales con datos de nivel alto de que cuando la documentación se encuentre en armarios y archivadores, deberá existir un área en la que se encuentren los mismos, área que se protegerá con una llave u otro dispositivo.

Pues bien, sobre dicho sentido común me gustaría hacer unos breves comentarios: la medida de seguridad más importante, sobre todo respecto al papel, es la diligencia debida que tenga cada trabajador.

Incluso, en ocasiones, ser diligente, en el sentido de colocar una destructora de papel, no ponerle a un enfermo un cartel o pegatina con su medicación que no a la vista de cualquiera (salvo que obviamente dé su consentimiento) o no dejar la documentación en cualquier sitio es algo que no cuesta nada. Tampoco es muy aconsejable sacar la documentación fuera del lugar de trabajo, puesto que al final, dado su carácter volátil, se pierde el contacto de la misma. Ocurre lo mismo, en formato electrónico con el almacenamiento de información en los conocidos pendrives.

Sobre estas cuestiones, recuerdo que una amiga abogada me decía hace unos años, justo cuando se aprobaba el Reglamento de la LOPD, “Ahora resulta, que con la normativa esa de protección de datos cuando trato con un cliente no puedo tener en la mesa los papeles de mis otros clientes”. Yo le contesté “Para eso, no es necesario, ningún Reglamento de protección de datos. Es de sentido común”.

Cesión de datos de Salud. Jueces y Tribunales

Comenzamos hoy una serie de post relativos a la Cesión de Datos de Salud. Analizaremos brevemente diferentes situaciones que se presentan con cierta frecuencia en los centros sanitarios y que en ocasiones pueden dar lugar a dudas sobre si se deben o no ceder dichos datos.

El post de hoy analiza la cesion de datos de salud solicitada por jueces y tribunales.

La cesión de datos de salud aparece claramente permitida en el art. 11.2.d de la LOPD

La Agencia Española de Protección de Datos, considera la negativa del profesional/gestor  a facilitar la información, o bien facilitarla parcialmente, como una infracción de lo dispuesto en el art. 118 de la Constitución.

Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y Tribunales, así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo resuelto

La conducta del facultativo/gestor en tal sentido podría aparejar la comisión de un delito de desobediencia.

Ante cualquier petición de una autoridad judicial, con independencia del orden jurisdiccional al que pertenezca, o bien del Ministerio Fiscal, siempre que se haga en el ámbito de sus funciones jurisdiccionales o de investigación, respectivamente, deberá ser atendida, en los términos en los que se produzca la misma.

No obstante, nada impide que si en la documentación solicitada, por cualquier circunstancia, se encontraran datos personales ajenos al interesado, o bien datos sanitarios que no se refieran o afecten a los hechos objeto de enjuciamiento, los mismos puedan no ser entregados, ante la enventualidad de vulnerar el derecho a la intimidad de terceros o incluso del propio afectado.

Por tanto, si ante una petición de un órgano jurisdiccional, realizada de forma genérica y respecto de la cual se pueda presumir razonablemente que no requiere el acceso a todos los datos médicos existentes sobre un determinado paciente, se puede pedir aclaración al órgano jurisdiccional o al Ministerio Fiscal sobre los términos en que se realiza la petición, manifestándole las razones o argumentos en que se fundamentan las dudas sobre la procedencia de la entrega total de los datos.

Si el órgano jurisdiccional precisa o concreta los términos de la solicitud, se habrá evitado una entrega “masiva” e innecesaria de información especialmente protegida. Si en cambio, se mantiene la petición orginal en los mismos términos, la institucición no habrá incurrido en una vulneración del derecho a la intimidad del paciente al cumplir un requerimiento judicial en la forma exigida por la ley.

Os dejo aquí el modelo utilizado en los centros del SAS para solicitar al organo jurisdiccional la reducción en la entrega de datos

 

intypedia – Information Security Encyclopedia

Quiero presentaros en este post a INTYPEDIA un proyecto de la red temática CRYPTORED con pocos meses de vida.

INTYPEDIA es una enciclopedia virtual sobre seguridad de la información. INTYPEDIA se ha diseñado en vídeos de unos pocos minutos de duración en los que un par de presentadores virtuales nos cuentan los conceptos fundamentales sobre la Seguridad de la Información en la Red.

Cada vídeo es una lección sobre un tema de seguridad concreto, unos destinados al público en general y otros más específicos mas propios de especialista.

El proyecto es impulsado por la Universidad Politécnica de Madrid, pero participan en el más de 300 empresas.

Los videos van acompañados de otros materiales didácticos (presentación y documentación) que te puedes descargar, y todo realizado bajo las normas Creative Commons.

Aquí os dejo el vídeo de presentación de INTYPEDIA. En sucesivos post ire comentando los vídeos que se vayan publicando periódicamente

 

 

Aprende a cifrar tus mensajes cuando te comunicas en internet

Aprende a cifrar tus mensajes cuando te comunicas en Internet

Es la última entrada del blog de Fran Sanchez en su Cuaderno de bitácora. Una entrada que bien podría haber sido publicada en la Brújula dada su temática.

Fran Sánchez, Subdirector Médico en el Hospital Reina Sofía, al que estoy seguro muchos de los lectores ya conocéis es un médico muy especial. Muy especial por ser un médico con un enorme bagaje tecnológico y que hasta hoy ha sido una pieza importante en el Reina Sofía de Córdoba. Importante por su conocimiento de la organización e importante por su conocimiento en la aplicación de las nuevas tecnologías a la gestión sanitaria. Fran ha sido ese “enlace” siempre tan necesitado entre los informáticos y los directivos.

Pero no me enrrollo más. Esta entrada es un pequeño homenaje al que ha sido quizas la figura más importante en tecnologías de la información en la historia del Reina Sofía (y puedo decirlo con perspectiva, ya llevo 20 años allí).

Y digo ha sido, porque desde hoy ya no está con nosotros porque ha decidido tomar nuevos rumbos profesionales. Siendo fiel a su lema “La Medicina, mi vocación… la informática, mi pasión”

Una gran pérdida para el Hospital…. pero solo queda decir,

Buen viaje y que la fuerza te acompañe ;). Gracias por todo Maestro!!!

Así que después de estrenar este blog con este rollo sentimental os dejo con su última entrada en “El cuaderno de bitácora de Fran Sánchez” (Reproduzco la entrada literalmente)

/————————–/

Hoy es día de videotutorial. En esta ocasión os muestro cómo funciona una herramienta muy interesante que nos permite cifrar el texto que enviamos a través de cualquier aplicación web que podamos usar en nuestro día a día: Gmail, Facebook, Twitter, Linkedin…

¿Qué utilidad puede tener? Pues, por ejemplo, si queremos mandar un correo electrónico con información confidencial (de salud, por ejemplo), la ley nos obliga a que dicha información viaje cifrada. Me podréis decir que muchos servicios ya funcionan cifrados (tienen en su dirección la HTTPS)… y tenéis toda la razón, pero, al igual que si perdemos una unidad USB sin cifrar, cualquiera podría leer la información, si alguien entrara en nuestra cuenta de correo o perfil social con o sin nuestro permiso, podría leer nuestros mensajes.

Está claro que lo ideal sería que no nos quitaran la cuenta nunca… al igual que estaría bien no perder un disco USB. Pero, ¿y si ocurre? Si ocurriera y tuviéramos nuestra información cifrada, podríamos estar más tranquilos (el 100% no existe :( ) sabiendo que nuestra información está protegida de ojos ajenos.

En la blogosfera ya hablé de una herramienta para cifrar ficheros completos (AxCrypt), pero más de una vez me han preguntado… ¿y si lo que envío no va en un adjunto? ¿Cómo puedo proteger el texto en sí? Pues tenemos solución para esto también: encipher.it.

¿De qué se trata? Pues de un “programita” que se “instala” en nuestro navegador (como si fuera un favorito/marcador) y que nos permitirá cifrar cualquier texto que estemos escribiendo en una página web (como he dicho: Gmail, Facebook, Twitter, Linkedin…).

¿Cómo funciona? Para explicar esto, creo que lo mejor es que veáis los vídeos.

¿Para qué lo puedo usar? Pues para proteger los mensajes que necesites. Por ejemplo: comunicarte por correo con tus pacientes. Cuando la información sea confidencial, para consejos genéricos de salud, no sería necesario.

¿Algún consejo adicional? Simplemente recordaros que no enviéis la contraseña en el mismo mensaje en el que va el texto cifrado. De hecho, es recomendable enviarlo por otra vía. Por ejemplo: acordarla previamente cuando os veáis; si envías un correo, enviar la contraseña por SMS; una llamada telefónica… Como siempre digo, cuanto más complicada sea la contraseña (números, mayúsculas y minúsculas, signos de puntuación), más protegido estará el mensaje ante ataques de fuerza bruta… ya os dije, el 100% no existe. El cifrado busca que el tiempo y los recursos que habría que dedicar a “romper” el mensaje sobrepasen el valor del mensaje en si.

Bueno, no me quiero enrollar más. Creo que lo mejor es que veáis los vídeos. Son dos:

  1. Enseño cómo instalar la aplicación en 3 navegadores diferentes: Google Chrome, Firefox e Internet Explorer. Así como su uso básico en la página de ejemplo del desarrollador.
  2. Muestro cómo usar la aplicación con 4 aplicaciones web muy conocidas y usadas a diario: Gmail, Facebook, Twitter y Linkedin.

La intención de los vídeos es que los podáis recomendar a aquellos con los que os queráis comunicar (por ejemplo, vuestros pacientes) para que puedan instalarse la aplicación por sí mismos y puedan comenzar a comunicarse con vosotros.

Como siempre, si tenéis algún problema, no dudéis en preguntarme; haré todo lo posible por ayudaros.

INSTALACIÓN Y USO BÁSICO DE ENCIPHER.IT

USO DE ENCIPHER.IT CON MIS APLICACIONES WEB MÁS FRECUENTES

.

Protección de Datos y Seguridad de la Información