Os planteo el caso:

Médico que trabaja en diferentes clínicas privadas. En ocasiones puede atender a un mismo paciente en diferentes ubicaciones (entiendo que se debe a que diferentes clínicas de un mismo grupo ofrecen servicios distintos).

En casi todas se sigue trabajando en papel, por lo que necesita algún medio para tener la información localizada en todo momento independientemente de la ubicación.

Me pregunta cómo puede resolver esto de forma gratuita (a ser posible) y sin que tenga que complicarse demasiado la vida.

Premisas que me planteo:

• Prioridad absoluta: cumplir con la legislación vigente. Por este motivo, es fundamental el cifrado de la información.
• Necesidad de aportar una solución que sea multiplataforma, pues le interesa manejarlo desde su iPad y puede necesitar trabajar en ordenadores con diferentes sistemas operativos.
• La solución propuesta debe ser muy sencilla, no requiriendo instalación de software complejo (por ejemplo, en un servidor).

Solución propuesta:

• Usar Evernote y cifrar las notas confidenciales.

Requisito importante:

• El responsable del fichero (de la información) de cada clínica debe conocer y autorizar el dispositivo (o dispositivos) con los que se va a realizar esta tarea.

Ventajas:

• Programa muy extendido, multiplataforma y fácil de usar.
  • Un inciso. Evernote no está disponible oficialmente para Linux, pero podéis utilizar Nevernote en su lugar (un clon de software libre).
• El procedimiento es muy fácil.

Inconvenientes:

• El cifrado sólo puede realizarse en la versión de escritorio del programa (es decir, no puede hacerse ni en la web ni en las versiones para iOS o Android). Eso sí, el descifrado posterior sí puede hacerse en cualquier plataforma.

¿Cómo lo hago? Os dejo un rápido videotutorial mostrando el procedimiento.

Espero que os haya resultado de ayuda.

Quedo a vuestra disposición para resolver cualquier duda.

Cualquier comentario para corregir algo en lo que me haya equivocado o ampliar información será bienvenido y agradecido

Créditos de la imagen  FutUndBeidl via Compfight

The post Vídeo: ¿Cómo proteger tus notas y seguir disfrutando de la nube? Con el cifrado de las mismas appeared first on La bitácora de Fran Sánchez Laguna.

En http://akae.es

En mHIMSS: “Verizon launches cloud storage services for healthcare“.

La infraestructura que tiene que soportar nuestros sistemas de información no son nada baratos. Uno de los principales problemas está en dimensionarla adecuadamente: si nos quedamos cortos, tendremos problemas y si nos pasamos, habremos gastado más dinero del necesario.

El problema es que el uso de la infraestructura no es algo lineal y, para poder cubrir los picos de demanda, necesariamente estaremos “desaprovechando” infraestructura en los momentos de menos uso. Eso sin contar con posibles incidencias (como la avería de un servidor) que pueden reducir drásticamente la capacidad de nuestra estructura.

Para resolver esto, hace tiempo que existen servicios en la nube que te proporcionan la infraestructura que necesitas, cuando la necesitas, de forma dinámica. De este modo, estás rentabilizando al máximo tus recursos. El producto más conocido en este ámbito (y usado por muchos de los grandes) pertenece a Amazon: Amazon Web Services.

Pero, en el ámbito de la información sobre la salud, la sensibilidad y criticidad de la información, así como la especial legislación que regula su uso, dificulta el salto a la nube.

Verizon parece haber dado un primer paso para atajar esto lanzando un servicio de almacenamiento en la nube específico para salud que cumple con la normativa relativa a privacidad en Estados Unidos: la HIPAA.

Parece pues que empieza a abrirse un camino en este sentido. ¿Imagináis un servicio en la nube similar de ámbito europeo que cumpliera con la normativa vigente? ¿Y uno similar en España que cumpliera con la LOPD?

Nuestras instituciones ya han invertido en las infraestructuras actuales. Pero estas necesitarán ampliarse/actualizarse algún día. ¿Sería viable un salto a este modelo? Bajo mi punto de vista tiene más ventajas que inconvenientes pero, ¿sabrán verlo quienes tienen que decidir? Y, si no hubiera ninguna empresa privada que creara el servicio, ¿creéis posible que Gobierno y Autonomías se unieran para crear uno de ámbito nacional? Yo la veo como una alternativa lógica y eficiente, aunque puedo estar equivocado… ¿qué opináis?

The post Verizon lanza servicios de almacenamiento en la nube para salud appeared first on La bitácora de Fran Sánchez Laguna.

De la mano de mi amigo Manuel Gimbert y acompañado de excepcionales compañeros, nos embarcamos en un nuevo proyecto: un libro abierto sobre seguridad de la información.

Podéis ampliar la información en el enlace al blog de Manuel: “La Brújula“.

Intentaré seguir informando por aquí de nuestras evoluciones.

Esperamos que sea de vuestro interés.

The post Participando en un libro abierto sobre seguridad de la información appeared first on La bitácora de Fran Sánchez Laguna.

Pone de manifiesto el creciente interés de los usuarios por el control de su información en la nube… a más demanda de algo, más oferta.

Ponen el ejemplo de SyncBox, una aplicación en la que tú pones el servidor en el que se guardará la información. Consta de una aplicación que iría al servidor (por ahora sólo para Windows, un importante punto flaco) y luego los clientes, que están disponibles para las plataformas habituales (iOS, Android, Windows, Mac y Linux).

Supongamos que lo instalamos en el ordenador de nuestra casa. ¿Cuál sería el problema? El ancho de banda de subida de nuestras conexiones lo haría muy poco práctico. Es cierto que las conexiones cada vez tienen más capacidad de subida, pero todavía nos intentan deslumbrar con la velocidad de bajada y no suelen publicitar la otra (que también es importante).

¿Qué opción tenemos? Contratar un servidor a alguna empresa de alojamiento. De este modo, los anchos de banda serían lo suficientemente aceptables para poder usar el servicio con normalidad. Un servidor virtual básico viene a costar unos 300 euros al año… ¿estaríamos dispuestos a pagarlo? ¿Merecería la pena?

El principal handicap de administrar nosotros mismos nuestro servidor es que seremos nosotros los que tendremos que solucionar los problemas del mismo (y creedme, siempre los hay )… ¿qué pasará entonces con la información que perdamos? Lo que me lleva a otro punto, ¿administraremos bien las copias de seguridad?

Otro problema, ¿seremos capaces de mantener nuestro servidor seguro? Cifrado, solución de agujeros de seguridad, contramedidas a posibles ataques…

En resumen, creo que no merece la pena meterse en tanto berenjenal.

Porque, al final, ¿para qué? La pega que se le suele achacar a Dropbox, por poner un ejemplo, es que el Gobierno de EE.UU. podría acceder a nuestra información si lo solicitase. ¿Y qué? ¿Acaso creemos que aquí no sucedería lo mismo si alquilamos nuestro propio servidor? Si un juez necesitara acceder a nuestra información, por lo que sea, la empresa con la que tuviéramos contratado el servidor le daría acceso con total seguridad.

Pero, si no estamos haciendo nada malo, ¿qué podría ocurrir? ¿Acaso algún gobierno puede estar interesado en las fotos de mi hija o mi trabajo de doctorado? Lo dudo mucho. Y, si quieres tener algo verdaderamente protegido… ¡no lo pongas en la nube!

Otra cuestión serían los ataques ilícitos a nuestra información, es decir, aquellos que no vienen amparados por alguna legislación. En ese caso, sí debemos proteger nuestra información de la mejor forma que podamos. Para esto, tenemos gran cantidad de herramientas (muchas de ellas de software libre) que nos permitirán cifrar nuestra información. Una vez cifrada, podemos ponerla en la nube con más tranquilidad… aunque nunca será completa, pues todo código se puede romper; es cuestión de tiempo.

Cuando vayamos a proteger nuestra información, debemos seguir la siguiente regla: “Que el tiempo y los recursos necesarios para romper la clave que lo protege supere con mucho el valor de la misma“. Si lo hacemos así, iremos por el buen camino.

Para terminar, ¿os habéis parado a pensar en lo siguiente? Solemos ponernos muy exquisitos con los servicios de alojamiento de ficheros en la nube pero luego nos relajamos mucho con otros servicios que manejan mucha más información sensible sobre nosotros. ¿A qué me refiero? Por ejemplo, con Facebook:

• usamos una contraseña muy débil para proteger la cuenta,
• aceptamos cualquier aplicación que se nos cruce, por peregrina que sea, sin mirar a qué información accede.
• aceptamos amistades que no lo son y nos apuntamos a grupos a los que nunca entraremos.

La seguridad de nuestra información en la nube es un asunto de vital importancia y al que hay que dedicarle mucho tiempo… no hay soluciones fáciles ni rápidas, tenedlo siempre en cuenta.

The post ¿Cuánto pagarías por tener tu propio Dropbox? ¿Merece la pena? appeared first on La bitácora de Fran Sánchez Laguna.

Comentémoslas:

Robo: Está claro que, cuanto más sensible e importante es una información, más interés en robarla puede haber. A pesar de lo que se pueda pensar, la mayoría de los robos de información se producen “desde dentro”, no en plan ‘hackers‘ expertos de película.

¿Cómo podemos paliar esto? Pues, en contra de lo que mucha gente piensa, yo creo que lo mejor es dar usuarios y contraseñas a todo el mundo. Me explico. Si un trabajador necesita acceder a cierta información, pues démosle acceso controlado por usuario y contraseña… si no lo hacemos, ocurrirá lo que ocurre tantos centros: contraseñas compartidas (incluso puestas en ‘post-it‘ pegados al puesto de trabajo, en más de una ocasión). ¿No es mejor que cada uno tenga su usuario restringido a aquello que necesite para su trabajo? Así podremos eliminar la necesidad del “préstamo de credenciales” y hacer una correcta trazabilidad del acceso a la información, en caso necesario.

Dispositivos móviles: Esto incluye móviles, tabletas, unidades USB… cualquier dispositivo que pueda llevar información. Uno de los mayores peligros de estos dispositivos es su pérdida, ya sea accidental (hace poco le ocurrió a un ministro ) o por robo.

¿Cómo podemos paliar esto? Pues protegiendo adecuadamente dichos dispositivos: poniéndoles contraseñas adecuadas y cifrando su contenido. Otra medida sería que estos dispositivos nunca almacenaran información sensible, sino que accedieran a ella de manera remota en el servidor correspondiente, que es mucho más fácil de proteger.

Diseminación de la información: Está claro que cuantas más puertas tengamos que vigilar, más difícil será la tarea. En este sentido, los esfuerzos por centralizar la información que siguen nuestros sistemas corporativos van en esta línea. Lo malo es que, si se hace mal, sin los recursos suficientes, los afectados por la centralización son los usuarios: por la lentitud de los sistemas… ¿a que os suena este problema?

Externalización de servicios: Esto es cada vez más frecuente y, hasta cierto punto, necesario, pues no podemos (ni debemos) hacer todas las tareas por nosotros mismos. Pero, para que estas terceras empresas puedan trabajar, debemos darles acceso a nuestros sistemas y… ¿os acordáis del primer punto? La mejor forma de paliar esto es dar el acceso justo sólo a quien lo necesite estrictamente y controlarlo estrechamente: mediante monitorización y unos contratos bien hechos, que tengan en cuenta todas las eventualidades.

La nube: Yo no voy a referirme al peligro tal y como lo define el artículo. Voy a hablar del uso que hacemos de la nube en el ámbito profesional. Ejemplo: el uso de Dropbox en nuestro hospital. ¿Debe permitirse? Pues para uso personal, no habría problema… pero, ¿qué pasa si usamos esta herramienta para la información de índole profesional? Digamos, informes, imágenes, historias clínicas, consultas… la legislación vigente es muy clara a ese respecto. ¿Qué se hace? Pues que se cortan esos servicios en nuestros centros. ¿Es lo correcto? Creo que es una estrategia equivocada, pues servicios de estos salen a diario y se hace bastante complicado controlarlos todos. ¿Qué deberíamos hacer? Lo tengo muy claro: concienciación y formación… enseñemos a nuestros profesionales a usar la nube de forma segura para la información que manejamos. Y, si tan necesario es su uso, ¿por qué no plantearnos el montar nuestra propia nube para uso profesional? Existen muchas herramientas de software libre que nos permiten crear nuestro propio Dropbox en el que somos nosotros los que controlamos el nivel de protección de la información. Es cuestión de visión y estrategia corporativa… algo que, por desgracia, no siempre tienen las personas que dirigen nuestras organizaciones.

The post Conocer para proteger: 5 vulnerabilidades problemáticas de la información appeared first on La bitácora de Fran Sánchez Laguna.

Recomiendo echar un ojo a los consejos del punto 1 sobre protección de contraseñas.

Pero voy a comentar un poco más el tercero, que habla sobre la nube, tema muy de actualidad:

• Debes entender qué estás cediendo a cambio de comodidad… cedes el control de tu información.
• Evalúa cuidadosamente qué información pones en la nube. No es recomendable poner aquella que resulte especialmente sensible pero, si tienes que hacerlo, sube aquello que hayas cifrado tú mismo… existen muchas herramientas libres para hacerlo.
• Por supuesto, no confíes la única copia de tu información a la nube. Es muy recomendable tener una copia en local (preferiblemente en una unidad externa -USB- que puedas tener guardada en algún lugar seguro). Y recuerda refrescar la copia con cierta frecuencia Es algo tedioso que cuesta mucho hacer pero, cuando tengas un problemón, lo agradecerás.
• Y sobre todo, ningún servicio en la nube puede garantizarte con total certeza la seguridad de tu información… ¡y mucho menos un servicio gratuito! Curiosamente, somos legión los que usamos servicios gratuitos en la nube… ¿cuántos de nosotros estaríamos dispuestos a pagar por algo más de seguridad y privacidad? Debemos ser conscientes de lo siguiente: “Cuando algo es gratuito, nosotros somos el producto“. Aún así, los accidentes ocurren, como éste que sucedió con Dropbox (uno de varios).

Espero que estos consejos y el artículo os resulte útiles e interesantes.

Si necesitáis alguna ayuda sobre cifrado, no dudéis en contactar conmigo.

Un saludo.

The post Seguridad y privacidad: 5 formas de protegerte en el mundo digital appeared first on La bitácora de Fran Sánchez Laguna.

Hoy vamos a hablar de otro concepto no menos importante: la reidentificación.

En ocasiones, el proceso de desidentificación será sólo de ida. Pero habrá otras ocasiones en las que necesitaremos volver a relacionar estos datos con las personas a las que pertenecen.

Independientemente del caso en el que nos encontremos, siempre existirá el riesgo de que personas ajenas al proceso puedan revertir el proceso de desidentificación, poniéndose en peligro la privacidad de las personas.

Esto es algo similar al tema de las contraseñas. Si quieres proteger tu información, debes tener una buena contraseña. Pues, del mismo modo, debemos seguir un proceso de desidentificación potente con el fin de proteger la información personal en usos secundarios de la información clínica.

Me gustaría compartir con vosotros un estudio que “… ha identificado un algoritmo de decisión que permite medir el riesgo de reidentificación de una forma fiable…“.

Creo que es una lectura recomendable. Podéis encontrarla en el siguiente enlace.

The post Para proteger la identidad… ¿sabemos evaluar el riesgo de reidentificación? appeared first on La bitácora de Fran Sánchez Laguna.

Obscuracam en la Play Store

Durante la investigación que dio cuerpo a las dos últimas entradas, pude descubrir algunas aplicaciones muy interesantes.

Hoy os quiero hablar de ObscuraCam (para Android, en la Play Store).

Como sabéis bien, cuando subimos una foto a una red social (como Google+ o Facebook), éstas son procesadas para identificar y reconocer las caras de las personas que aparecen en la misma.

Si en la foto aparecemos sólo nosotros y estamos conforme con ello, no hay problema. Pero, ¿qué ocurre cuando aparece en la foto alguien que no queremos que sea identificado? Se me ocurren varios ejemplos: personas que no conocemos, niños (especialmente protegidos por la ley de protección de datos), pacientes que atendemos en nuestras consultas…

ObscuraCam nos ayuda a ocultar sus caras de una forma muy sencilla. Podemos cargar una foto ya hecha o hacer una sobre la marcha desde la propia aplicación. El programa localizará las caras de forma automática y las pixelará, haciéndolas irreconocibles.

También tenemos la opción de ocultar otras partes de la fotografía (como pueden ser carteles informativos que puedan dar idea de dónde se hizo la foto, publicidad, algo que no queremos que aparezca…). Otra función muy interesante es hacer la inversa, es decir, pixelar toda la foto excepto las caras que seleccionemos.

Pero esta aplicación no sólo nos sirve para las fotos. También puede procesar vídeos y ayudarnos a ocultar las caras de los que aparecen en el mismo. Aunque, para ser sincero, las pruebas que he hecho con vídeo no han ido nada bien

Aplicaciones como esta hay muchas, pero ésta pertenece a los mismos desarrolladores de las que comenté en las dos entradas anteriores, cuestión que me da un plus de confianza.

De todos modos, os animo a que la probéis y veáis si se adapta a vuestras necesidades.

Una última cosa a tener en cuenta. Esta aplicación sólo trabaja con la imagen, pero no hace nada con los metadatos que pueda contener la misma. Como ejemplo más importante, destacaré la geolocalización. El hecho de subir una foto geolocalizada a Internet, puede comprometer nuestra privacidad. Por tanto, deberemos tener cuidado con la configuración de nuestro móvil a este respecto.

Si necesitáis ayuda en este aspecto, no dudéis en contactar conmigo; haré lo posible por echaros una mano.

The post Protege a los que aparecen en tus fotos antes de subirlas a Internet appeared first on La bitácora de Fran Sánchez Laguna.

La iniciativa de Silent Circle me parece muy necesaria en los tiempos que corren. Protección de todas tus comunicaciones teniendo tú el poder (es decir, la clave de cifrado). Así se disipa la eterna duda cuando usamos servicios de terceros en los que no decidimos nada a la hora de cifrar nuestra información: “Ellos siempre podrán acceder a mi información y dársela a quien tengan que dársela“. No hace mucho hemos tenido noticias en este sentido sobre servicios muy conocidos.

Si nosotros ponemos las claves, siempre podrán romperlas, pero al menos, nosotros decidiremos cuán difícil le hacemos la tarea

Lo que me parece más interesante de esta iniciativa es que no sólo protege tus correos y mensajes (texto en general), sino que también protege tus comunicaciones de voz.

En la noticia, comentan que este proyecto empezará en iOS (para iPhone/iPad), pero si entramos en la web vemos que es un proyecto multiplataforma (como era lógico).

El precio del servicio es 20 dólares al mes… ¿qué os parece? ¿Caro o barato? Pues depende de lo importante que nos resulte nuestra privacidad y seguridad Yo, de entrada, me he apuntado a la beta para ver de qué va

Quizás tampoco merezca la pena cifrar TODAS nuestras comunicaciones y se podría buscar un modelo intermedio, más barato.

Por ejemplo, yo siempre he echado de menos un botón en Gmail que nos permita cifrar nuestro correo (poniendo nosotros la clave, claro) y facilitando la tarea para los usuarios (haciendo el proceso transparente). Entendería que este servicio fuera de pago, para empezar, porque Gmail no podría “leer” nuestro correo para insertar publicidad (que es por donde le vienen los ingresos). Pero, ¿qué os parecería pagar una cantidad pequeña por cada correo cifrado en lugar de tener un plan mensual (que posiblemente desaprovecharíamos)? Digamos, 50 céntimos por correo cifrado… ¡yo lo pagaría! Eso sí, si tuviera garantías de que la clave la pongo yo.

Lo que está claro es que, desde que nos estamos “mudando” a la nube, la concienciación sobre la seguridad de nuestra información está creciendo, lo que una genial noticia.

Desde mi punto de vista, todos estos cambios son buenos y el panorama de nuestra información en la nube va a cambiar… pero, lo que es más importante, está cambiando nuestra actitud hacia estos temas.

The post Silent Circle promete cifrar todas tus comunicaciones y darte el poder appeared first on La bitácora de Fran Sánchez Laguna.

En la entrada de hoy, hablaremos sobre cómo navegar de forma segura y anónima desde tu móvil.

El navegador que usaremos funciona sobre Tor: una red de comunicaciones que vela por privacidad de sus usuarios y el secreto de la información. Por tanto, tendremos que instalar Tor primero: Orbot (para Android, en la Play Store).

Volviendo al navegador que necesitaremos, se llama Orweb (para Android, en la Play Store). Orweb nos proporciona un plus de privacidad cuando navegamos. Por ejemplo, evita que alguien pueda observarte mientras navegas y sepa qué páginas visitas. También previene que las páginas que visitas puedan recopilar información sobre ti (como tu ubicación física, por ejemplo).

Como podéis ver, esta alternativa resulta perfecta cuando estamos conectados en una wifi pública (cosa cada vez más habitual).

Ya que hablamos de wifis públicas, me gustaría aclarar algo. Cada vez es más frecuente que los locales comerciales ofrezcan Internet a sus clientes. Lo pueden hacer de dos formas:

• Redes wifi abiertas (es decir, sin contraseña alguna): No debemos confundir aquellas redes que nos piden un usuario y contraseña cuando arrancamos el navegador. Esto sólo sirve para identificarnos como clientes (de cara a un proxy, habitualmente) y poder navegar, pero el tráfico wifi no está cifrado y puede ser captado fácilmente por cualquiera.
• Redes wifi encriptadas (como las que tenemos en casa): Debemos tener claro que el hecho de que cualquier persona pueda conocer la contraseña, debería ser motivo suficiente para que nos comportáramos como si estas redes fueran abiertas al estar conectados a las mismas (es decir, aplica todo lo explicado en el punto anterior).

Espero que esta información os resulte útil. Si tenéis algún problema o pregunta, ya sabéis que podéis contactar conmigo y haré todo lo que esté en mi mano por ayudaros.

The post Navega de forma segura y anónima desde tu móvil usando Tor + Orweb appeared first on La bitácora de Fran Sánchez Laguna.