jueves, 30 de marzo de 2006

Registro de Base de Datos en Argentina - LEY 25326

Atentamente
Tengo una noticia que les va a interesar y mucho. La DNRBDP ha prologando la fecha del registro por última vez, siendo el 30 de abril la fecha limite final.
Les recomiendo que más allá de registrar la base y de cumplir con este proceso burocrático, deban verificar que los procedimientos de ALTA, RETIFICACION, CERTIFICACION, CONSULTA y BAJA estén dentro de los lineamientos de la ley.
En caso contrario la registración ha sido un paso anecdótico para la Dirección.

Hemos recibido preguntas como las siguientes:
- La base de personal se debe registrar?. RESPUESTA : SI . La ley establece que debe registrarse toda base de datos que contenga datos sensibles. Se define a dato sensible si la base posee datos sobre afiliación política, religiosa o de salud. En el caso de los empleados de una compañía, los datos de salud son relevantes sobre todo que figura : La obra social, el seguro de trabajo, hijos , etc. Estos datos son de alto grado de sensibilidad y muy buscados por empresas que por efectos del marketing desean que cambien sus datos afiliatorios.

- La base de stock debe registrarse ?: RESPUESTA: NO. No hay datos personales.

- La base de datos de proveedores ? : RESPUESTA : NO siempre y cuando no se tenga datos sensibles de los mismos.

Hasta la próxima...

Actualizaciones de seguridad

Amigos:
En los últimos webcast no han preguntado mucho sobre las actualizaciones. Microsoft provee varias herramientas gratuitas de monitoreo y distribucion de paquetes. Es decir, que ya contamos con herramientas para asegurar nuestros escenarios, es cuestión de dedicarles un poco de tiempo y hacer algunas pruebas, según el escenario de nuestra compañía.
En este sitio http://www.microsoft.com/latam/technet/seguridad/technet-tools.asp van a encontrar mucha información sobre el uso de las herramientas, incluso algunos "papers" muy utiles.
Recordemos las herramientas:

- MSBA : Ms Security Baseline Analizer :Analiza el equipo o la red informándonos sobre la falta de actualizaciones sobre los equipos e incluso (sobre todo en la nueva versión) nos dá información muy util sobre los niveles de configuración adecuados y como deberían configurarse nuestros equipo de la compañía.
- WSUS : Permite realizar un deploy de actualizaciones mediante la aprobación de las mismas.
- MSAT : Microsoft Security Assessment Tool: Esta herramienta está muy poco difundida por Ms. NO sirve para que evalue automaticamente la red, si no más bien, para realizar una encuesta al personal de IT y que de manera correcta responda las preguntas. Al final vamos a tener un reporte de como esta nuestra red y que deberíamos mejorar. Está basado en el modelo de Defensa en Profundidad. (Pueden encontrar mas información de este modelo en los webcast de seguridad de marzo). Reemplaza al consultor de seguridad externo en una primera instancia.

Espero que les sea de utilidad y puedan avanzar con estas herramientas.
Recuerden que son gratuitas, por lo tanto no hay excusa de no armar escenarios seguros !!

Saludos

Quique Dutra

miércoles, 15 de marzo de 2006

Actualizaciones de seguridad de Microsoft - Marzo/06

Gente
Esta disponible el boletin de seguridad de Ms del mes de marzo/06 y con ella las actualizaciones que se publican son:

1) MS06-012 - Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (905413)
Impact: Remote Code Execution.
Version Number: 1.0

2) MS06-011 - Permissive Windows Services DACLs Could Allow Elevation of Privilege (914798)
Impact: Remote Elevation of Privilege
Version Number: 1.0

Recuerden que cada actualizaci'on hace referencia a un número de artículo técnico, al cual pueden acceder desde el sitio de Microsoft y obtener toda la información del mismo.
Para aquellos que tienen dudas aún de como realizar el deploy de estas actualizaciones, les recomendamos que visualicen dos webcast que pueden encontrar en el sitio de Microsoft (http://www.microsoft.com/latam/technet/video/seguridad.mspx).
Recuerden de leer los documentos técnicos antes de aplicar los boletines.
Saludos

Quique