Archivo de la categoría: Seguridad

Seguridad Jurídica en Medios de Pago

Deja un comentario

Mañana y pasado (7 y 8 de octubre de 2008) participaré en el evento Seguridad Jurídica en Medios de Pago organizado por el IIR.

Mis módulos (3 y 4) los impartiré la tarde de mañana y seguiré la mañana del miércoles.

MODULO 3
Gestión del fraude y evidencias electrónicas. Métodos especiales de autenticación

MODULO 4
Implicaciones jurídicas de la contratación electrónica mediante DNIe y otros certificados

En unos dias, el 15 y 16 de Octubre de 2008 tambien participaré en el Seminario Especificaciones Técnicas de la nueva normativa de Facturación Electrónica (facturae) organizado por IIR España, Institute for International Research y que lo desarrollamos completamente personas de Albalia Interactiva

Posteriormente,  el 28 y 29 de Octubre de 2008 tambien participaré en el Seminario PCI DSS organizado por IIR España, Institute for International Research, junto con Lara Fiorani (PCI DSS Technical Manager de Visa Europa) y Pedro Sánchez (Director de Seguridad de ATCA).

Peritos informáticos e Ingenieros forenses

3 respuestas

Es un título de post quizá un poco pretencioso, pero es lo que quisiera destacar del artículo que ayer publicó El Pais, con la pluma de Jesús García.

‘Colgar’ delitos en Youtube se paga

Los usuarios de Internet se creen libres, pero la Red ya no es el territorio de la impunidad – Policía e investigadores privados tienen cada vez más medios para rastrear huellas y cazar a los infractores

JESÚS GARCÍA 13/08/2008

Un novio despechado que cuelga fotos de su ex, ligera de ropa, en una página de contactos. Un joven que intenta batir récords de velocidad con su coche tuneado por una carretera comarcal, lo graba y lo comparte con la audiencia mundial de Youtube. O una mujer que exhibe, en su blog personal, fotos de sus amigos sin que éstos lo sepan. Estos comportamientos se han extendido con Internet. Por ignorancia o temeridad, sus autores se creen libres de actuar así sin que haya consecuencias. Pero los responsables policiales, los abogados expertos en delitos informáticos y las asociaciones de usuarios lo tienen claro: Internet no es un oasis de impunidad. Ojo porque, advierten, delinquir en la Red se paga.

«Al usar Internet, la gente cree que todo vale. Y ocurre lo contrario: se persigue cualquier delito», opina Jordi Bertomeu, abogado experto en la materia. Su confianza se basa en una certeza: la Red deja rastros. El más evidente, la dirección IP. Es un número que identifica el ordenador, una suerte de DNI con el que los investigadores llegan al lugar desde el que se envía la información y cazan a su autor.

Hay otras fórmulas. El contenido de una imagen delictiva (vídeo, fotografía) ofrece una ingente información que, analizada, resulta reveladora. El estilo de escritura también puede ser, en el caso de amenazas vertidas desde un correo electrónico o un foro anónimo, una pista definitiva.

El portal de vídeos Youtube, propiedad de Google, es ahora un depósito de material delictivo. No es el único, pero su popularidad lo ha situado como destino preferente para que cientos de usuarios vuelquen allí gamberradas que, a veces, resultan ser actividades castigadas en el Código Penal.

Ramón, una persona con esquizofrenia de 46 años, sufrió en sus carnes la perversión de la Red cuando, hace meses, unos chicos le grabaron con cámara mientras se burlaban de él. No tardaron ni dos minutos en colgarlo en Youtube. Su familia, de Móstoles (Madrid), consiguió que se retirara la ofensa. En abril pasó algo parecido en Martorell (Barcelona). Tres chicos obligaron a un discapacitado psíquico a romper baldosas con la cabeza, hacer flexiones y consumir droga, mientras captaban la escena con el móvil. Fueron detenidos y las imágenes, apartadas de la circulación.

«En las webs hay cosas que han pasado toda la vida, como los críos que se pegan en el colegio. La diferencia es que, ahora, eso se difunde por puro exhibicionismo», opina el abogado Carlos Sánchez Almeida. «Una paliza puede ser un delito de lesiones. Pero si esa paliza se publica en Internet, se convierte en un delito de incitación a la discriminación», señala.

La policía detuvo, semanas atrás, a unos jóvenes por mantener relaciones sexuales con una menor en un parque de Asturias. La adolescente accedió a practicar sexo, e incluso consintió que la grabaran. Los chicos, por tanto, no fueron detenidos por abuso sexual, sino por un delito contra el derecho a la propia imagen, ya que el vídeo corrió de un teléfono a otro hasta aterrizar en Internet.

Almeida y otros letrados reclaman que la Fiscalía intervenga de oficio en los casos más graves, los que afectan a menores y a discapacitados. «Lo primero es proteger su intimidad. Después ya se verá si hay o no delito», subraya. Hace unas semanas, la Fiscalía de Menores de Granada pidió a Google que indemnice con 1.300 euros a dos menores (un supuesto agresor y su víctima) que protagonizaron una riña en Armilla. Las imágenes fueron colgadas en Youtube, lo que, a juicio de la Fiscalía, supuso «un grave menoscabo de la dignidad» de los dos menores.

El volumen de material susceptible de ser perseguido penalmente crece día tras día. Lo mismo que la sensación de descontrol, de que el vídeo eliminado hace una semana puede estar ahora en otro portal de Internet. Los responsables policiales cuentan con ello. Y tratan de achicar terreno. El Cuerpo Nacional de Policía (CNP) ha creado Grupo de Redes Abiertas. Bajo ese llamativo nombre trabajan decenas de agentes que se pasan el día enganchados a la Red. Hacen lo que buenamente pueden. Cuando no atienden la denuncia de un individuo o una empresa, bucean por el océano de Internet en busca de indicios.

«Esto es inacabable. Aunque fuésemos mil, no llegaríamos a todo. Los delincuentes van a más, por eso es importante que el ciudadano colabore y, si ve una agresión, lo denuncie», admite el jefe de la Brigada de Investigación Tecnológica de la Policía, Enrique Rodríguez. Los funcionarios de este grupo están pendientes de la actualidad. Se produce un curioso efecto llamada: «Esto va por modas. La gente ve una conducta en la tele y la imita. A raíz de un ataque a una tienda de chinos, empezamos a observar agresiones similares en otros locales. Lo mismo pasó con las peleas entre niños en clase, las palizas a mendigos o las carreras de coches».

Rodríguez asegura que, «contra la opinión común de la gente, Internet no es anónimo; siempre deja un rastro». Dice que la policía dispone de medios para perseguir cualquier delito, pero prefiere no dar detalles para «evitar que los malos tengan pistas».

La inmensidad de Internet ha abierto las puertas a los investigadores privados. Mientras la policía concentra sus recursos en casos con impacto criminal (distribución y consumo de pornografía infantil, grandes estafas online, agresiones a menores o discapacitados) el sector privado se ha volcado en las empresas. Éstas han multiplicado las denuncias por fuga de información, competencia desleal o injurias. Y los investigadores les echan un cable. Uno de los más reconocidos es Abraham Pasamar, perito informático y director general de la empresa de investigación digital Incide.

«Un individuo que sepa algo de informática puede lograr que los comentarios difamantes sobre una empresa aparezcan en Google antes que su web corporativa», sentencia Pasamar. Por eso, recomienda a las empresas que, antes que nada, acudan al notario «para dejar constancia de que esa injuria estaba ahí, en esa página, tal día y a tal hora».

La prueba del delito no es suficiente: hay que ir a por el autor. Y hay herramientas para dar con él. «En Youtube, el delincuente cuelga la prueba de su delito, y eso es una gran ventaja. Un analista forense puede sacar punta a cualquier cosa: si aparece un reloj o un calendario, podemos saber en qué país se ha grabado el material», indica Julián Inza, presidente de Albalia Interactiva y coordinador del Foro de Evidencias Electrónicas. El autor exhibe, por lo general, su nombre de usuario. De modo que, «con un poco de picardía», se puede saber en qué otro lugar de la Red ha participado ese mismo usuario-ciudadano.

El cotejo de los escritos también ha ayudado a resolver decenas de casos. El abogado Bertomeu narra uno real: «Un clásico: el hombre que cuelga fotos provocativas de su antigua pareja en una web de contactos. Se hizo pasar por ella. Lo curioso es que siempre se despedía con la expresión ‘besicos’ y dejaba un espacio entre la última sílaba y el signo de interrogación. Comparamos esos mensajes con otros escritos de la mujer y dimos en el clavo». Otro recurso útil es estudiar la metadata, es decir, averiguar con qué programa se elabora un archivo.

Las investigaciones llevan, con frecuencia, hasta el responsable. Pero en el camino hay obstáculos y a menudo cuesta avanzar. Para empezar, la naturaleza de Internet: «Una vez que el contenido está en la Red, es difícil tener la certeza de que ha desaparecido del todo», señala el presidente de la Asociación de Usuarios de Internet, Miguel Pérez. Los afectados ven que «el contenido lesivo tarda mucho tiempo en retirarse, o que salta a otras páginas web», explica el jefe de la unidad de delitos informáticos de los Mossos d’Esquadra, Rubén Mora. Y entonces, el denunciante se cansa.

Cuando el prestador de servicios de Internet colabora con la policía, los tiempos de espera se acortan. Por colaborar se entiende aquí algo muy concreto: que Google (por ejemplo) retire, motu proprio, un contenido nocivo. En casos de alarma social (pederastia) las propias páginas web se prestan a ayudar de inmediato. Pero no siempre es tan fácil. Hay diferencias de clase. «En las grandes empresas todo está profesionalizado y se puede llegar a un acuerdo. Un blogger particular puede llegar a ser muy combativo», incide Sánchez Almeida.

Los prestadores de servicios suelen quedarse al margen en delitos como los de injurias o contra la propiedad intelectual. Y es normal que así sea, razona Alejandro Negro, abogado del bufete Cuatrecasas: «Ellos no supervisan contenidos, de modo que no tienen por qué responder de lo que el usuario publique en una página», subraya.

La clave, de todos modos, radica en conseguir la dirección IP: es lo que, al final, permitirá a los agentes llegar hasta el usuario. Es «el trabajo más laborioso», precisa Sánchez Almeida. Aunque los investigadores pueden conocer por sí mismos algunas IP, al final «siempre hay que pasar por el aro del requerimiento judicial», subraya Pasamar. Un juzgado debe solicitar a la compañía telefónica que facilite esa dirección. «Se produce una colisión entre el derecho a la tutela judicial efectiva y el derecho a la intimidad. Todo el mundo está de acuerdo que la protección de la intimidad de un delincuente ha de tener un límite», precisa el responsable del Foro de Evidencias Electrónicas.

Rodríguez, el jefe policial, asegura que en ocasiones hay que actuar de urgencia. Como en el caso de un chico que estuvo jugando 15 horas seguidas en la Red. El administrador le advirtió de que no podría seguir jugando. «Amenazó con suicidarse. El operador facilitó la información y se localizó al chaval». Con asuntos menores es más complicado. «Tenemos una ley de protección de datos muy garantista. Las empresas se ven entre la espada y la pared, porque si facilitan datos, la Agencia de Protección de Datos les regaña», argumenta Rodríguez.

Todo ello, sin tener en cuenta que los infractores disponen de vías de escape. Así, pueden conectar su ordenador a un sistema wifi (o sea, un acceso a Internet inalámbrico) para colgar los contenidos delictivos. Ya se han dado casos. «La gente usa el wifi gratis de los hoteles para hacer maldades. Te tomas algo desde el bar y, ¿quién te va a pillar? Lo mismo si vas a un cibercafé», bromea Pasamar. Eso ha llevado la confusión a algunas investigaciones. Se ha dado la paradoja de que un juez ha solicitado una dirección IP y se han visto implicados en una investigación personas que nada tenían que ver con los hechos. Por lo general, el enredo se resuelve rápidamente. A un hombre con conexión wifi le interrogaron sobre sus supuestas actividades ilícitas en una empresa. Fue como si le hablaran en chino: no entendía nada. Por fortuna para él, atinó a precisar que su vecino trabajaba, casualidades de la vida, en esa empresa. Voilà.

La escasa formación de la mayoría de jueces tampoco ayuda a resolver los casos, coinciden diversos letrados. Muchos magistrados ignoran el vocabulario y las cuestiones técnicas que sólo un perito informático les puede aclarar. Por eso reclaman que se creen juzgados especializados. «O, al menos, que los jueces dispongan de un grupo de expertos que les orienten», dice Pasamar.

Las populares redes sociales (tipo Facebook) ponen en contacto a amigos y promueven el intercambio de información. También estas webs se han convertido, sin pretenderlo, en un terreno espinoso. Existe la costumbre de colgar fotos de amigos en la Red sin su permiso. De nuevo, asoman la inocencia y la temeridad. «Partimos de la base de la buena fe de la gente. Otra cosa es que yo pida expresamente que se retire mi foto y no se haga. Eso podría ser una infracción al derecho a la imagen», indica Bertomeu, que pide «un equilibrio entre los nuevos usos de Internet, el Derecho y las nuevas tecnologías».

Otra fuente de conflicto son los foros, donde los usuarios suelen descargar su ira. Algunos comentarios que allí se vierten pueden constituir un delito. En opinión de los expertos, la justicia no puede pedir responsabilidades a los gestores de la web que los contiene: es imposible ejercer un control previo porque, además, se trata de sistemas automatizados de publicación de comentarios. El 70% de los casos que atiende la policía catalana son por injurias, calumnias o amenazas.

«Los jóvenes poseen herramientas potentes, pero no tienen claro qué límites no deben traspasar. Y se pueden encontrar con que, un día, la policía les vaya a buscar a casa y ellos no sepan qué han hecho mal. Es un problema de educación en la tecnología», dice el presidente de la asociación de usuarios. Y añade: «Hay que transmitir el mensaje de que la legalidad en Internet existe».

Julián Inza cita un ejemplo real que da a entender la magnitud del «rastro» dejado en Internet: el FBI investigó la muerte de la esposa de un pastor. En principio, parecía una muerte natural: para superar una dolencia, la mujer había consumido una medicación que resultó incompatible con los antibióticos que ya ingería para combatir otra enfermedad. «Los agentes rastrearon el ordenador de la familia. ¿Y qué encontraron? Pues que el pastor había buscado en Google información sobre esos medicamentos. La percepción de impunidad, de que nunca pasa nada, hace que la gente sea imprudente. Y no nos engañemos: para los que investigamos, ya nos va bien que sea así».

Las empresas, las que más denuncian

– Las empresas son las que más denuncias presentan ante los cuerpos policiales; la mayoría, por presuntas injurias y calumnias vertidas en la Red por usuarios anónimos.

– Los expertos recomiendan recabar pruebas físicas del presunto delito, copias de comentarios y vídeos.

– Algunas empresas disponen ya de una nueva figura profesional, el ?oficial de evidencias electrónicas?, encargado de preparar y custodiar las pruebas.

– Pese a la demanda de las empresas, la policía centra sus prioridades en los delitos más graves: pornografía infantil, grandes estafas en Internet y las agresiones a personas especialmente vulnerables, como ancianos, discapacitados y menores.

 

Disponible la norma ISO 27005:2008

24 respuestas

Desde el pasado 4 de Junio, se encuentra disponible la norma ISO de la familia 27000, destinada al análisis y gestión de riesgos relacionados con la seguridad de la información.

ISO/IEC 27005:2008 (Information technology — Security techniques — Information security risk management) proporciona una guía para la gestión de riesgos de seguridad de la información. Da soporte a los conceptos generales incluidos en ISO 27001 y ha sido diseñada por el JTC 1/SC 27 para ayudar en la tarea de gestión de la seguridad de la información basada en una aproximación de gestión de riesgos. Es recomendable conocer los conceptos, modelos, procesos y terminología de ISO27001 e ISO27002 para entender el nuevo estándar ISO 27005:2008.

La norma de gestión de riesgos es aplicable a todas los tipos de organizaciones (empresas, organismos guvernamentales y sin ánimo de lucro) interesadas en gestionar los riesgos que puedan suponer la vulneración de la seguridad de la información de la entidad.

Aviation Security

1 respuesta

La normativa de la Unión Europea que he mencionado estos dias tiene su origen en la de ICAO, la Organización Internacional de Aviación Civil.

Por ello me ha parecido interesante este artículo de Doug Newhouse del 3 de abril de 2007 y que he visto en TREND (Travel Retail Executive News Digest).

ICAO’s new retail security guidelines in full

The International Civil Aviation Organisation (ICAO) has issued its guideline recommendations to its 189 member airports for the specifications of tamper-evident bags plus «proposed security principles for retail liquid, aerosol and gel items for airport retailers and manufacturers”.

While these guidelines carry no obligation on the part of any country to comply, they are expected to be widely adopted as most ICAO guidelines are by international airports.

The new guidelines contain one or two «optional additions» to existing practice such as the inclusion of a security device – meaning a hidden graphic – inside the bag and a green coloured logo on the outside.

Section five of this document is also of particular significance, entitled: “proposed security principles for retail liquid, aerosol and gel items for airport retailers and manufacturers”. These guidelines say that all liquids, gels and aerosols (LAGs) should be handled in accordance with ICAO’s recommendations contained in State letter AS 8/11-06/100 dated 1 December 2006:

a) All LAGs should be carried in containers with a capacity not greater than 100 ml each (or the equivalent in other volumetric measurements, e.g. fluid ounces);

b) Any LAGs carried in a container larger than 100 ml are not to be accepted, even if the container is only part-filled;

c) Containers with LAGs should be placed in a transparent re-sealable plastic bag of a maximum capacity not exceeding one litre. The containers must fit comfortably within the transparent plastic bag, which should be completely closed;

d) Each passenger is permitted to carry only one such bag which is to be presented separately for screening;

e) All conventional security controls and checks, including random hand searches of passengers and cabin bags, are applicable;

f) Flight crew in uniform and on duty the day(s) of the journey are exempted from these restrictions; and

g) Exceptions are allowed for medications, baby milk/foods and special dietary or other medical requirements as enumerated in paragraph 2 of this document.

1.2 LAGs, in any volume, purchased at airport retail outlets or on board aircraft during the day(s) of the journey should not be allowed through security screening points unless they:

a) are carried in a Security Tamper-Evident Bag (STEB); and

b) have been protected from unlawful interference by a process of supply chain security, including the application of appropriate security measures at manufacturers and warehouses, during the delivery process for both LAGs and STEBs from the warehouse to the airport retail outlets and aircraft outlets, and while in stock/on display at those outlets.

ICAO notes: For the purpose of this document, liquids, gels and aerosols are referred to as LAGs and include but are not limited to: water and other drinks, soups, syrups, jams, stews, sauces and pastes; foods in sauces or containing a high liquid content; creams, lotions, cosmetics and oils; perfumes; sprays; gels including hair and shower gels; contents of pressurized containers, including shaving foam, other foam and deodorants; pastes including toothpaste; liquid-solid mixtures; mascara; lip gloss or lip balm; and any item of similar consistency at room temperature.

Empty containers with a capacity greater than 100 ml are permitted. Indicative size of the one litre re-sealable plastic bag: 20.5 cm x 20.5 cm or 25 cm x 15 cm, or equivalent.

1.3 ICAO’s security guidelines, available in the ICAO Security Manual for Safeguarding Civil Aviation Against Acts of Unlawful Interference (Doc 8973) may be adopted for the development of specific measures and incorporated, if needed, into the relevant airport and airline security programmes, regulated agent regimes and quality control measures. A set of minimum security principles for manufacturers and retailers of LAGs and STEBs is in paragraph 5 of this document.

1.4 A harmonized validation template will be available on the ICAO AVSECNET secure website for use by States. Ensuring compliance with the security measures applied to LAGs and STEBs within a State is a matter for the State concerned. Recognition of the robustness of LAGs and STEBs security in another State (or States) could be conducted via bilateral, multilateral or other arrangements as appropriate, which could include on-site verification.

2. EXEMPTIONS FOR MEDICATIONS AND SPECIAL DIETARY REQUIREMENTS, INCLUDING BABY FOODS.

2.1 Passengers.
2.1.1 Liquids, aerosols and gels of any kind carried in containers with a maximum volume of 100ml should be placed in the one litre bag.

However exemptions may be granted for LAGs which cannot be so carried, but which are needed during the journey, either for essential medical purposes or to meet special and essential dietary needs. When required to do so, the passenger or staff member should provide proof of authenticity of the exempted liquid.

2.1.2 This paragraph describes procedures which airports and airlines should follow in order to establish whether LAGs claimed to be essential may be taken by passengers through search points. Persons may be sensitive about medicines they are carrying, and so will need similarly sensitive handling.

If, having followed the procedures in this guidance, doubts remain about the provenance of a LAG, the person in question should be told that they cannot take it into the cabin of the aircraft. It follows that, since the LAG was regarded as essential, he or she should also be advised not to fly.

a) Journey: The liquid is to be used during the journey refers to the journey of the person and so should not, per se, be linked to the length of the flight. A passenger may only be taking a one-hour flight, but may be taking medicine greater than 100 ml.

If the medicine is being carried in a container of more than 100 ml, whether or not it fits into the litre bag is irrelevant. He or she should be asked why the medicine is needed in this amount, and whether it could not be carried in the aircraft hold. Only if the responses give the necessary assurance should the LAG’s carriage in the cabin be permitted.

b) Medical purposes: Liquids required for medical purposes should be interpreted as meaning liquid medicines, both prescribed by a doctor and bought over-the-counter. In determining if medicine with a total volume of over 100ml is indeed essential to be carried in the cabin, and that the amount being carried is no more than is necessary for the trip, the passenger should be questioned on the nature of the medicine; the reasons why it is claimed as essential; the dosage; and the frequency of dose necessary.

However, in principle, derogations for over-the-counter medicines (e.g. nose sprays, cough medicines, contact lens solution) should be more restrictive in the quantity of liquid that is permitted since these are not “life-or death” medicines.

In addition, liquids that are not medicines but are used for medical purposes are permitted, examples of which include ice (if used to maintain the temperature of, for example, a transplant organ), blood or blood products, and even “normal” liquids if their use is justified on medical grounds (e.g. an autistic traveller that “needs” to have a particular brand of drink).

c) Dietary needs: Liquids as a special dietary need should be interpreted as meaning those foods without which the passenger’s health is threatened. Examples include baby food (provided, of course, that a baby is travelling), or foods such as special diets for lactose-intolerant passengers, or gluten-intolerant passengers.

Where the volume of baby food is deemed excessive for the length of the journey, it is not to be allowed through the screening point. Baby products may include: baby milk; sterilised water; baby juice; baby food in liquid, gel or paste form; and wet wipes.

d) Proof of authenticity: When requested to do so, the passenger should provide proof of authenticity of the exempted liquids. It should be established that the name on the label of the prescription medication matches the name on his/her boarding pass.

Where the medication is non-prescription, a determination on reasonable amounts is required. Reasonable amounts include what is required for length of the flight taking into account possible delays and flight diversions. If doubts are felt about the quantity of liquid being carried by a passenger, or that the liquids are for medical purposes or special dietary needs, then a plausibility check should be performed.

The passenger could be invited to sample the items or rub them on their skin to prove they are safe (hydrogen peroxide-based explosives are caustic, and thus could not be safely tasted or rubbed onto the skin).

For medicine prescribed by a doctor, the passenger should be able to show that it is for his/her own use, for example by having their name on the label of the medicine or a note from a doctor. When verifying the proof of authenticity, the following should be taken into consideration:

1) A passenger should not be asked to taste their medication if the dosage/usage instruction or advice from their doctor indicates that it would be dangerous to do so;

2) Passenger should not be made to taste any medication, either their own or their child’s, against their wishes;

3) For children’s prescription medication, the accompanying adult passenger should not be asked to taste the medicine, verification should instead be sought through questioning;

4) If a container is marked in grams, it may be assumed that 100g corresponds to 100 ml; and

5) Where a passenger has been asked to rub a small amount of the LAG onto their skin, the passenger’s skin should be monitored for at least two minutes to see if a reaction occurs.

2.2 Airport Staff
2.2.1 The personal items of airport staff entering a security restricted area and on board an aircraft (i.e. beverages, perfumes, cosmetics, medications and other similar items) should be subjected to the same restrictions and exemptions as passengers.

However, tools of the trade are exempt from LAGs restrictions. Tools of the trade are defined as articles in a person’s possession which are required for the lawful purpose for which he or she is in the sterile area. Tools of the trade may include items such as cleaning products, sealants, degreasers, glues, paints and oils.

2.3 Exempt Persons
2.3.1 The State may decide to exempt from LAGs restrictions (e.g. law enforcement officers and emergency personnel responding to a crisis).

3. TECHNICAL SPECIFICATIONS FOR STEBS.
3.1 Material to be used.

– transparent (high impact low density polyethylene (LDPE) or equivalent);
– recyclable and environment-friendly products if possible; and
– size and thickness (minimum of 50 microns) to be adjusted to the needs.

3.2 On the top face of the STEB
3.2.1 Closure:
– red tamper evident tape (minimum 30 mm tape with 40 mm release liner);
– high tack pressure sensitive self adhesive; and
– integral security device/hidden graphic to show if tampered with.

3.2.2 Border:
– side and bottom weld be no less than 15 mm width in red; and
– printed border of minimum 5 mm with «DO NOT OPEN», airport name, or any other continuous message or design which may bleed over the edge of the bag.
(Optional – integral security device/hidden graphic to show if borders are tampered with.)

3.2.3 Message:
– security sign in green in the middle of the security box; and
– box in red at bottom stating «Do not open until final destination -contents may be confiscated if bag is tampered with».

3.2.4 Confirmation/identification features:
– Receipt space (or jacket, optional) inside the bag visible in the top left of the security box.
The receipt should contain the following information:

a) date of purchase (dd/mm/yy or dd/mm/yyyy);

b) place of purchase (State, airport, airline) using international codes;
c) flight number(s) and name of passenger, if possible;

d) number and list of items purchased and placed in the STEB.

3.2.5 Origin of the bag:
– State three-letter code to determine the State of origin where the STEB was provided to the passenger, or airline international code (for duty free sales on board) to determine the origin of the STEB;
– Manufacturer name (in full pending ICAO’s registration number); and
– Inventory code and security code or device to protect STEB at retailers and shops.

3.3 On the back face of the bag.
– Individual airport/retailers/other branding or logos.

4. OPERATIONAL CONSIDERATIONS FOR THE USE OF THE STEB.
4.1 Ideally, and in order to facilitate the visual inspection, only LAGs purchased at airport shops, and potentially subjected to security screening at a later stage of the journey, should be placed in the STEB. Other items which might not be confiscated should either be placed in another (regular) bag or, if placed inside the STEB, should not compromise the visual inspection performed at security screening points during the journey. No items other than those purchased at the airport shop should be placed in the STEB.

4.2 Receipts should be inside the STEB, face visible from outside, and securely placed in the left top of the security box (either with a jacket inside the bag, or fixed accordingly). If the receipt has moved and is not visible for security screening purposes, the bag will have to be opened and its contents may be confiscated (or placed in a new STEB by security staff at the security screening point).

4.3 State or airline and manufacturer codes are placed by the manufacturers. Inventory and security codes are the responsibility of the retailers. STEBs should be distributed to authentic parties only.

5. PROPOSED SECURITY PRINCIPLES FOR RETAIL LIQUID, AEROSOL AND GEL ITEMS FOR AIRPORT RETAILERS AND MANUFACTURERS.
5.1 Security measures during manufacture and warehousing.
5.1.1 In order to ensure the security integrity of LAGs and STEBs, the following security measures are recommended for implementation at the warehouse where retail LAGs and STEBs are consigned:

a) Access control system, including screening procedures, allowing only authorized personnel into the premises, including verification of staff and visitors’ identities (for airport staff, Standard 4.2.6 of Annex 17, Eighth Edition, is applicable);

b) Surveillance systems (i.e. CCTV or equivalent) to monitor activities in the warehouse for preventing intrusion, tampering with and thefts of goods, or interference in processes; and

c) Access control system upon exit from the warehouse so that nothing could be substituted or used to prepare an act of unlawful interference (for airport staff, exit control measures could be carried out when exiting the Security Restricted Area).

5.2 Security measures during shipments.
5.2.1 Only sealed bins/containers and/or trucks should be used for shipments of LAGs or STEBs to airport shops or airline outlets. Any LAGs or STEBs taken out of the warehouse must be accompanied by appropriate documentation and a delivery manifest, which should be retained for possible future audit.
Security tamper-evident bags at airport shops or airline outlets should always be protected and under surveillance before being used by authorized staff. Staff at airports with access to LAGs and/or STEBs should be subjected to appropriate background checks and physical search regime.
5.3 Quality control.
5.3.1 All security measures for LAGs and STEBs should normally be incorporated into relevant security programmes (retailer security programme if considered as regulated agent according to Standard 4.6.3 of Annex 17, Eighth Edition, airport security programme and operator security programme for airline outlets).

In addition, technical assessments/tests of the security measures on premises should be conducted in order to maintain an adequate level of protection.

Retailers are encouraged to discuss such assessments/tests with the Appropriate Security Authority or Airport Authority. If a security breach is detected, security/duty supervisors, and the Appropriate Security Authorities or the police should be immediately alerted so that appropriate actions are taken. Any suspicious parcels should be dealt with under standard operating procedures.

5.3.2 Details on the implementation of the above-mentioned principles are being developed in the ICAO Security Manual, Seventh Edition, Volume IV.

Secret Law is a non-existing Law

Deja un comentario

Las Leyes secretas son Leyes que no existen.

Es de cajón. Es la base de la seguridad jurídica. De donde surge la norma «el desconocimiento de la ley no exime de su cumplimiento» (o literalmente «1. La ignorancia de las leyes no excusa de su cumplimiento.» artículo 6 del Código Civil español).

A este respecto me hago eco de este artículo «Beyond Imagination» en el blog «EU Referendum»

Used as we are to the machinations of our supreme government in Brussels, there is very little that surprises us. But this one, even by EU standards, is a gem beyond imagining – a law produced by the commission which, although everybody was expected to obey it, it refused to publish.

To its credit, this Kafkaesque situation was picked up by the European Court of Justice, specifically by the Advocate General, Eleanor Sharpston – the British barrister who prosecuted metric martyr Steve Thoburn on behalf of Sunderland Council.

The case itself, which attracted uncommonly robust condemnation from Mz Sharpston, concerned a Dr Gottfried Heinrich. On 25 September 2005, he had committed the heinous crime of boarding a passenger airliner at Vienna-Schwechat Airport carrying as part of his cabin baggage some tennis racquets which he intended to use on his holiday.

He had been stopped at the security control and warned that these were «prohibited items» but nevertheless did board with the tennis racquets in his baggage, only to be summarily ordered off the aircraft.

The point – to which Mz Sharpston took very great exception – was that there was no way that Dr Heinrich could possibly know that his tennis racquets were prohibited items.

Although such items were listed in the Annex to Commission Regulation (EC) No 622/2003 of 4 April 2003 «laying down measures for the implementation of the common basic standards on aviation security», the commission had decided that the Annex should not be published. It should only be made available «to the appropriate authorities». This was even despite two amending regulations stating, in their recitals, the need for passengers to be clearly informed of the rules relating to prohibited items.

Dr Heinrich brought proceedings before the Unabhängiger Verwaltungssenat im Land Niederösterreich (Independent Administrative Chamber for the Land of Lower Austria) which referred questions to the ECJ asking whether regulations or parts thereof «can have legally binding force if they have not been published in the Official Journal».

The ECJ had no hesitation in finding that the commission was in clear breach of Article 254 of the EC Treaty, which provides that regulations shall be published in the Official Journal. Mz Sharpston noted that the duty to publish regulations is, «unequivocal and without exception» and thus considered that the failure to publish constituted «a violation of an essential procedural requirement, resulting, at the very least, in invalidity.»

However, given that that non-publication had been neither accidental nor unintentional, Mz Sharpston suggested that the Court should go further and declare the regulation to be non-existent.

The «persistent and deliberate disregard of the mandatory publication requirement of Article 254 EC», she said, was one «whose gravity is so obvious that it cannot be tolerated by the Community legal order.» Such a step, she added, «would make it very clear that non-publication of regulations or parts thereof – all the more so when deliberate – is unacceptable in the legal order of the European Union.»

Certainly, judgements do not get more unequivocal than that, and this one makes delicious reading. But there is a coda to the story.

The only organ of our loathsome British media to report the ruling (so far) is The Times. Yet, over a by-line from David Charter in Brussels, it offers the headline: «Airlines rebuked over hand luggage racket». And, with the airlines almost completely in the frame, all we get on the EU commission on its secret Annex is that it has «agreed to publish the full list soon.»

Just precisely what does the commission have to do to get criticised in this town?

Incompetencia y normativa secreta

2 respuestas

Ayer viajé desde Atenas (Grecia) a Larnaca (Chipre). En el Aeropuerto de Atenas sufrí, una vez más, una de las arbitrariedades a las que da lugar el Reglamento Secreto.

Al acceder al control de embarque me incautaron un destornillador de relojero de punta roma de 2 centímetros de longitud (sin contar el mango aislante de 4 centímetros, 6 en total). Estuve más de media hora en la zona de control pidiendo que me lo devolvieran ya que no es uno de los objetos prohibidos en el Reglamento (CE) no 622/2003 de la Comisión de 4 de abril de 2003 por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aérea e incluso pidiendo la presencia de la policía que tiene la última palabra. El policía finalmente lo autorizaba si el comandante de la nave daba permiso, lo cual era un requisito imposible de cumplir, ya que en el embarque no hay finger (se accede al avión mediante el típico autobús-jardinera) ni hay posibilidad de hablar con el comandante de forma previa al ambarque.

Al argumento de que una de las llaves del llavero que llevaba era más larga que el destornillador, el operario a cargo del control (no el policía) argumentó que su normativa no decía nada sobre llaves y sí hablaba de «herramientas».

Cuando le expliqué el alcance del Reglamento, reconoció que ignoraba su existencia y contenido y que se regía por la normativa griega (en forma de resumen, no en formato oficial). Aunque me la mostró, tuve algunos problemas para leer el griego, que amablemente me tradujo.

Curiosamente, cuando subía el equipaje de mano al compartimento correspondiente, a bordo del avión, me percaté de que mi esposa traía en su bolso (abierto y a la vista) una de las sombrillas de madera que compramos cuando visitamos la Acrópolis. El soporte principal de la sombrilla, una vara de madera de unos 15 milímeros de diámetro y unos 60 centímetros de largo, tiene, desde cualquier punto de vista, mucho mayor valor como arma que mi destornillador de relojero.

El problema no es el valor real de la herramienta (unos 3 euros) sino la indefensión de los ciudadanos ante normas arbitrarias e inútiles que tienen que interpretar operarios sin criterio, en base a resúmenes cuya redacción es ambigua y poco fiel a la letra y al espíritu de la normativa europea.

Es curioso, ante un tema de seguridad, los criterios de seguridad son irrelevantes. Solo importan ciertos elementos formales sobre cuya discusión se excluye al ciudadano que padece esta arbitrariedad.

El presente anexo es secreto y no se publicará en el Diario Oficial de las Comunidades Europeas

2 respuestas

Ya he explicado en el pasado mi opinión sobre lo mal hecho que está el reglamento sobre seguridad aérea. Al respecto, he apoyado el planteamiento de David Raya. Opino en esto básicamente lo mismo que J.L. Prieto. Hace unos días, aventuraba que podría quedar derogada la norma que impide transportar líquidos en los aviones.

Lo cierto es que ¡es realidad! La norma ha cambiado recientemente y han desaparecido los controles sobre el equipaje de mano.

Esta es la secuencia normativa de los anexos secretos, según lo que he podido recopilar:

Como se puede ver, en el último enlace se dice textualmente:

Las medidas previstas en el Reglamento (CE) no 622/2003 deben revisarse a la luz de la evolución de la técnica, su incidencia en el funcionamiento de los aeropuertos y su efecto sobre los pasajeros. Las nuevas investigaciones han puesto de manifiesto que las ventajas de regular el tamaño del equipaje de mano no compensarían su incidencia en el funcionamiento de los aeropuertos y su efecto sobre los pasajeros. Por consiguiente, esta regla, que debía aplicarse a partir del 6 de mayo de 2008, debe ser suprimida.

Recomiendo llevarse impreso el texto del boletín oficial, para mostrárselo al personal del control de los aeropuertos, para el caso de que no lo conozcan, y así podamos evitarnos molestias mutuamente.

Como veis, se van dando pasos en la dirección correcta. En este sentido es interesante el artículo de Dominique AGUILAR: La legalidad del reglamento de aplicación sobre seguridad aérea cuestionada.

Lo reproduzco por su interés, aunque os invito a visitar su página con abundante Información sobre la actualidad de la Unión europea y el Derecho Comunitario

En el marco de las medidas de lucha contra el terrorismo la Unión europea adoptó en 2002 un reglamento cuyo objeto es «establecer y aplicar las medidas comunitarias adecuadas para prevenir actos de interferencia ilícita contra la aviación civil» (1).

Varios reglamentos han sido posteriormente adoptados por la Comisión europea a fin de dar aplicación al reglamento, particularmente en cuanto a las normas básicas comunes relativas a las medidas de seguridad aérea. El primer de estos es el reglamento nº 622/2003 que dispone en su segundo considerando: « De conformidad con el Reglamento nº 2320/2002 y para prevenir actos ilegales, las medidas fijadas en el anexo al presente Reglamento deberían ser secretas y no publicarse » (2). El mismo considerando esta incluído en los reglamentos posteriores y, aunque todos ellos prevean que « No obstante, los pasajeros deben estar claramente informados de las normas relativas a los artículos que está prohibido introducir en las aeronaves», los textos publicados no conteníen una lista de los artículos prohibidos accesible para el público.

La legalidad del reglamento de aplicación aérea fue cuestionada por un pasajero que había sido interceptado en septiembre de 2005 en el control de seguridad del aeropuerto de Viena-Schwechat porque su equipaje de mano contenía raquetas de tenis y que se trataba supuestamente de artículos prohibidos. No obstante Gottfried Heinrich embarcó en el avión con las raquetas en su equipaje. Los agentes de seguridad le mandaron entonces desembarcar.

Posteriormente, el Sr. Heinrich interpuso un recurso ante el Unabhängiger Verwaltungssenat im Land Niederösterreich y el tribunal austriaco remitió varias cuestiones prejudiciales al Tribunal de Justicia de las Comunidades Europeas para saber si el si el reglamentos o partes de ellos tienen fuerza jurídica obligatoria a pesar de no haber sidos publicados en el Diario Oficial.

Las disposiciones relevantes del Derecho comunitario relativas a la publicación o al acceso del público a los documentos de las instituciones de la Unión Europea son

  • el artículo 254 CE que dispone:«1.Los reglamentos, las directivas y las decisiones adoptados con arreglo al procedimiento previsto en el artículo 251 … se publicarán en el Diario Oficial de la Unión Europea […] 2. Los reglamentos del Consejo y de la Comisión, así como las directivas de estas instituciones que tengan como destinatarios a todos los Estados miembros, se publicarán en el Diario Oficial de la Unión Europea […] 3. Las demás directivas, así como las decisiones, se notificarán a sus destinatarios y surtirán efecto a partir de tal notificación.»
  • el artículo 255 CE que establece: «1.Todo ciudadano de la Unión, así como toda persona física o jurídica que resida o tenga su domicilio social en un Estado miembro, tendrá derecho a acceder a los documentos del Parlamento Europeo, del Consejo y de la Comisión, con arreglo a los principios y las condiciones que se establecerán de conformidad con los apartados 2 y 3. 2.El Consejo, con arreglo al procedimiento previsto en el artículo 251, determinará los principios generales y los límites, por motivos de interés público o privado, que regulan el ejercicio de este derecho de acceso a los documentos, en el plazo de dos años a partir de la entrada en vigor del Tratado de Ámsterdam. 3. Cada una de las instituciones mencionadas elaborará en su reglamento interno disposiciones específicas sobre el acceso a sus documentos
  • y el Reglamento que preve las modalidades de acceso a los documentos a fin de « garantizar de la manera más completa posible el derecho de acceso del público a los documentos y determinar los principios generales y los límites que han de regularlo de conformidad con el apartado 2 del artículo 255 del Tratado CE» (3).

Aunque el Tribunal de Justicia no haya todavía juzgado el asunto, es posible tener un indicio del contenido de la futura sentencia gracias a las conclusiones de la Abogada general (4).

Esta preconiza que el reglamento se declare inexistente con motivo de que la irregularidad que vicia al Reglamento nº 622/2003 (en su versión modificada) –vulneración persistente e intencional de los requisitos de publicación obligatoria del artículo 254 CE, apartado 2, respecto a la sustancia íntegra del Reglamento– es de una gravedad tan evidente que no puede ser tolerada por el ordenamiento jurídico comunitario » (punto 108 de las conclusiones).

La Abogada general recuerda que el Tribunal de Justicia ha declarado que el principio de seguridad jurídica se opone, en general, a que un acto comunitario comience a producir efectos en una fecha anterior a la de su publicación, y que ese principio sufre escasas excepciones (5). Y concluye : « En consecuencia, es limitado el soporte jurisprudencial a favor de la tesis de que los actos jurídicos comunitarios pueden tener efectos jurídicos incluso cuando aún no han sido publicados » (punto 82). A fortiori, cuando nunca se ha pretendido publicarlos…Más, la jurisprudencia relativa a la obligación de notificar las decisiones individuales a las personas a quienes se aplican censura la falta de notificación anulando la decisión.

Resulta, pués, que el deber de publicar los reglamentos es «inequívoco y no admite excepciones«. Un anexo es parte integrante de un acto legislativo, y disponer lo contrario permitiría que el legislador eludiera los requisitos de publicación mediante el simple expediente de establecer disposiciones sustantivas en un anexo no publicado. Esto es precisamente lo que sucedió en el presente asunto : « el lector no puede averiguar los efectos del Reglamento sin conocer el anexo, ya que éste contiene la sustancia íntegra del Reglamento ». La explicación otorgada por la Comisión para justificar la ausencia de publicación es insuficiente.Pero «una motivación más completa tampoco habría bastado para exceptuar la completa publicación del reglamento», subraya la Abogada general que califica además la postura de la Comisión de « absurda » (punto 66) (6).

Esta demostración « implacable » debería lógicamente tener por consecuencia que el Tribunal adopte las conclusiones de su Abogado general y, como esta lo propone, declare el reglamento inexistente. Pero cabe recordar que la opinión del Abogado General no vincula al Tribunal de Justicia .

14/04/2008

1 – Reglamento nº 2320/2002 de 16 de diciembre de 2002 por el que se establecen normas comunes para la seguridad de la aviación civil, DO L 355).

2 – Reglamento (CE) nº 622/2003 de la Comisión, de 4 de abril de 2003, por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aére, DO L 89

3 – Reglamento nº 1049/2001 de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión, DO L 145

4 – 10/04/2008, Conclusiones del Abogado general en el asunto C-345/06, Gottfried Heinrich

5 – Por ej :13/11/1990, C-331/88, Fedesa y otros; 2/10/1997, C-259/95, Parlamento/Consejo; 28/11/2006, C-413/04, Parlamento/Consejo

6 – La Comisión publicó en enero de 2004 un comuinicado de prensa (Comunicado de prensa de la Comisión IP/04/59 de 16 de enero de 2004) dando una lista de articulos prohibidos en aviones. Como lo subraya la Abogada general : « Si la Comisión pensaba que el artículo 8 del Reglamento nº 2320/2002 le exigía mantener en secreto la lista de los artículos prohibidos, la publicación de un comunicado de prensa era una infracción flagrante de ese artículo. Si por el contrario la Comisión pensó que la lista de los artículos prohibidos quedaba al margen del artículo 8, debería sin duda haberla publicado en el Diario Oficial ».
Sin el texto del anexo no publicado no es posible saber si la lista del comunicado de prensa reproduce exactamente la lista de los artículos prohibidos en dicho anexo. Es de notar que las raquetas de tenis…no figuran como artículos prohibidos en esa lista.

Prevención de fugas y pérdidas. La información, bajo control

Deja un comentario

Con 2 convocatorias (Madrid, 24 de junio de 2008 y Barcelona, 26 de junio de 2008), la Revista SIC, la más veterana de las especializadas en seguridad de la información, organiza el evento Respuestas SIC.

La estructura prevista de este VIII Respuestas SIC incluirá tres bloques. En el primero, conformado por dos ponencias, a cargo de las compañías PricewaterhouseCoopers y Davinci, se tratará de enfocar este creciente problema y vislumbrar una posible solución sistemática, que pasa por la realización de una clasificación de la información en función de su criticidad para el negocio, la actividad y frente al riesgo de incumplimiento de leyes y normas (en estos frentes, dicha clasificación suele atenerse preferentemente al criterio de confidencialidad), y al establecimiento de controles internos sobre la información, los usuarios y los posibles medios de fuga.

El segundo bloque consiste en mostrar cuáles son, hoy día, las aproximaciones tecnológicas de la industria para ayudar a que las organizaciones puedan controlar el correcto acceso, uso, tránsito y seguimiento de su información corporativa. Para ello siete compañías de referencia en la materia (Check Point, McAfee, RSA, Symantec, Trend Micro, Websense y Zitralia) mostrarán el estado del arte de sus catálogos especializados para atender este frente de protección, sea mediante soluciones globales, sea mediante soluciones orientadas a la red o a los puestos finales.

El tercer y último epígrafe lo conformará una mesa redonda en la que usuarios de organizaciones de nuestro país –en esta ocasión cualificados expertos del área de riesgos y seguridad de la información de Bankinter, Caja Madrid y Gas Natural– debatirán sobre su visión al respecto, tanto en lo concerniente a los límites de los escenarios actuales como a las necesidades futuras, que, a su entender, demandará el intercambio informativo y de actividad mercantil de las entidades públicas y privadas que operan con TIC, con un enfoque realista y moderno del uso autorizado de la información, y su pertinente seguimiento y control.

El evento es gratuito. pero es imprescindible inscribirse. Más información en el 915758324

Derogada la norma que impide transportar líquidos en los aviones

6 respuestas

Este es un titular que me gustaría que fuera verdad y por el que voy a apoyar todas las iniciativas que ayuden a conseguirlo.

Como la de David Raya que debe superar múltiples inconvenientes en cada viaje. Cuenta su odisea en el Aeropuerto de Berlín en su blog «Luchando por una Europa más justa«.

De su caso se ha hecho eco Avui, a través de una entrevista en la que se resume bastante bien de lo que va esta lucha por derogar la normativa que restringe los líquidos en los aviones.

Por mi parte ya dije lo que pensaba en mi artículo sobre el Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006, en el que hacía referencia a otra lucha en el mismo sentido desarrollada por Ignasi Guardans, diputado en el Parlamento Europeo.

Aclaraciones relativas a PCI DSS

3 respuestas

El pasado 22 de abril de 2008, el PCI SSC (Payment Card Industry Security Standards Council) ha hecho pública una nota aclaratoria sobre el cumplimiento de algunos aspectos de la norma PCI DSS (Data Security Standard).

Según la nota, se publican dos suplementos informativos que aclaran la aplicación de los requerimientos 11.3 relativo a las comprobaciones de penetración (hacking ético) y 6.6 relativo a la revisión del código o su alternativa, el uso de firewalls de nivel de aplicación.

En relación con el requerimiento 11.3, se aclara quien puede llevar a cabo este tipo de análisis de penetración, su alcance y frecuencia, su metodología y los componentes de las técnicas de comprobación.

En relación con el requerimiento 6.6 (el famoso requerimiento que entraba en vigor a finales de junio de 2008 ) se dan varias opciones a las alternativas de revisión de código y de uso de cortafuegos de nivel de aplicación.

Para la revisión de código se admite:

  • Revisión manual del código fuente
  • Uso adecuado de herramientas automáticas de revisión de código fuente (Analizadores)
  • Asesoría sobre adaptación manual de sistemas frente a vulnerabilidades de seguridad de aplicaciones web
  • Uso adecuado de herramientas automáticas de revisión de vulnerabilidades de seguridad de aplicaciones web (Analizadores)

En relación con la alternativa de uso de un cortafuegos de nivel de aplicación (WAF: Web Application Firewall), se indican las funcionalidades recomendadas de ese tipo de soluciones, las funcionalidades que dependen del entono de uso, consideraciones para las organizaciones que los implementan y fuentes de información complementarias sobre seguridad de aplicaciones web.