//
Archivos

medidas de seguridad

Esta etiqueta está asociada a 63 entradas

Herramientas de seguridad gratuitas

Hay una larga historia de software de seguridad gratuito, y aquí están algunos de los productos más conocidos que puede probar dentro de su propia red, aunque sólo sea para descubrir lo vulnerable que eres.

seguridad informatica herramientas gratisObviamente existen decenas de otras herramientas pero el objetivo es identificar al menos las más conocidas:

 

 

  1. Antivirus gratuitos: AviraAvastAVG y Microsoft Security Essentials.
  2. Firewall: Zone Alarm y Comodo
  3. Arpwatch es una herramienta para monitoreo de ancho de banda en redes
  4. Linux Security Toolkit incluye herramientas de seguridad y para el diagnóstico y seguimiento de redes
  5. PacketSquare es herramienta de análisis de protocolos para probar dispositivos de red que incluyen routers, detección de intrusos y sistemas de prevención y switches
  6. Cheops NG, conocido como la navaja suiza de la red, es una utilizada para el monitoreo de la red, con la posibilidad de sondear hosts para analizar lo que está en ejecución.
  7. Hydra Network Logon Cracker se puede utilizar para detectar contraseñas débiles
  8. SNMP Brute es una herramienta para probar contraseñas SNMP por fuerza bruta
  9. Wireshark es un analizador de paquetes y protocolos
  10. Metasploit Framework es la herramienta para realizar pruebas de penetración
  11. Ncat es una herramienta para leer y escribir datos sobre IPv6 e IPv4
  12. NetStumbler es una herramienta de descubrimiento de red inalámbrica
  13. Nmap Security es una utilidad para scanear y realizar auditoría de seguridad sobre redes
  14. Snort es un IDS utilizado para la detección de intrusiones
  15. AirCrack es una suite de herramientas para cracking de 802.11a/b/g/ WEP y WPA
  16. Foca: herramienta para realizar descarga y análisis de metadatos de archivos

Fuente: Networkworld

 

Sanción de 6.000€ por indicar en la ventanilla del sobre “COBRO DE MOROSOS” en la reclamación de una deuda cierta.


La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.

Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.

En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.

En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:

Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.

No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.

Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:

El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.

El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.

También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.

Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.

El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.

En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.

Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.

Siguiendo con los IPAD de sus señorías

La sorprendente noticia que comentábamos hace dos semanas (http://wp.me/pzuzu-ru ) , sobre la pérdida o extravío de, al menos 15 y otros 15, al menos, por avería, por parte de sus señorías del Congreso de los Diputados y el revuelo que ello conllevó, desde el pronunciamiento del propio Congreso sobre la supresión de la sustitución de estos terminales a aquellos diputados que extraviaran los mismos como la aplicación de medidas de seguridad para garantizar la confidencialidad de los mismos.

 Este tipo de noticias no dejan de ser llamativas por el fondo y la forma en que se producen. Llamábamos la atención entonces al hecho de que estábamos ante un claro incidente de seguridad y que la acción correctora por parte del Congreso iría en la línea de aplicar medidas de seguridad concretas a los tablets.

Por esta razón y a fin de conocer mejor las medidas de seguridad que los usuarios de tablets, y concretamente de iPad, los compañeros del blog Seguridad Apple han redactado un excelente artículo que merece la pena leer con detenimiento y, sobre todo, aplicar de forma inmediata en el iPad, si somos usuarios de ellos.

 Os dejo aquí el enlace:

 http://www.seguridadapple.com/2012/11/los-datos-de-los-diputados-robados-o.html

10 consejos para que no usurpen nuestra identidad en Internet

Una guía para usuarios novatos que puede ayudarlos a evitar que su paseo por la red se convierta en un mal viaje

Social Network Security / Imagen: Chris2d (CC)
Social Network Security / Imagen: Chris2d (CC)
Lo más benigno que puede ocurrir cuando alguien usurpa nuestra identidad en Internet es aquel molesto mensaje en Facebook que deja algún amigo que tomó nuestra cuenta como escenario para reírse de uno. Sin embargo, el robo de identidad en Internet puede llegar hasta extremos que podrían chocar con nuestras finanzas o nuestro récord criminal.
Revisemos algunas prácticas para evitar que eso ocurra.
1. Cierra sesión. No importa que estés en la computadora que usas todos los días en el trabajo. La primera medida de seguridad es evitar mantener la sesión de nuestras redes sociales y de correo abiertas. En el caso de Facebook, hay una opción para mantener la seguridad que pocos conocen: la red social nos permite saber desde dónde te has conectado por última vez.
2. El modo incógnito. Una forma de asegurarnos que nuestras sesiones no queden guardadas es ingresar a través del “modo incógnito” o “navegación privada” que varios navegadores usan para no guardar registro de los sitios web visitados. Así la máquina no podrá guardar las contraseñas y nuestra información estará a salvo.
3. Deja de exhibirte (I). No importa que tus fotos estén en modo privado en tus redes sociales, o que se las envíes solo a tus amigos por mail. Puede que quienes tienen acceso a ellas las publiquen o compartan. Es mejor evitar compartir imágenes que luego puedan ser usadas por alguien que quiera usurpar tu identidad.
4. Deja de exhibirte (II). Otra forma en la que la gente suele exhibirse es dando información: presumir del nuevo celular que te costó una millonada puede ser un error, tanto como poner imágenes del auto nuevo o de la casa recién comprada. Todo eso termina siendo información que puede ser usada por alguien que quiera tomar nuestra identidad.
5. La geolocalización. Redes como Foursquare pueden ser un problema: ya se ha visto bromas de gente haciendo check in en el banco, pero el tema va más allá. Las fotos, por ejemplo, tienen la fabulosa opción de registrar dónde han sido tomadas, por lo que alguien que quiera obtener información de uno para robar nuestras contraseñas podría saber hasta dónde queda nuestra casa.
6. Contraseñas fuertes. Olvidémonos de una vez de poner eso de la fecha de nacimiento o el número de teléfono. Evitemos poner preguntas de seguridad muy obvias. Hay algunas que podrían ser averiguadas fácilmente por alguien con acceso a nuestra cuenta.
7. Registrar nuestro nombre. Otra posibilidad es la de empezar a comprar dominios con nuestro nombre para que luego nadie los compre con el fin de incomodar. También podemos crear cuentas en todas las redes sociales que se nos ocurran, sin ninguna información.
8. El https. Las direcciones de Internet suelen estar antecedidas por los caracteres http://. Sin embargo, si es que se te pide algún dato personal como números de cuenta, por ejemplo, ve que la dirección tenga delante los caracteres https://, que garantizan que el pedido se hace desde un servidor seguro.
9. La máquina segura. Un amigo decía que la única computadora a la que no le entran virus es aquella que no está conectada a Internet ni tiene puertos USB. Así que para evitar que ingresen bichos que podrían vulnerar nuestra seguridad, es necesario tener todos los antivirus, firewalls y antispyware posibles, además de seguir algunas reglas de comportamiento que evitarán que descarguemos programas espías.
10. La computadora ajena. Si no estás en una máquina que habitualmente uses, mejor no entres a tus cuentas privadas. Suele pasar cuando estamos de viaje, por ejemplo. Si tu situación es esa, mejor ingresa desde tu laptop, celular o tablet y hazlo a través de una conexión segura.
Fuente: Cryptex y http://www.elcomercio.pe

Asegurando tu Apple iOS I y II: ¡Qué nadie lo use sin tu permiso!

Logotipo de las serie de contenidos Asegurando tu Apple iOS

En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Apple iOS», En esta entrega se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario

En esta primera entrega de la serie «Asegurando tu Apple iOS» vamos a ver las medidas de seguridad que incorpora Apple IOS para evitar que un tercero con acceso físico a tu dispositivo pueda usarlo sin tu permiso.

El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:

  • Pérdida o robo del dispositivo
  • Dejar el dispositivo al alcance de otros y sin vigilancia

Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:

  • Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc.
  • Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propietario legítimo del dispositivo, catalogándose esta situación como un posible «robo de identidad»
  • Acceso a información sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la información que hay en él almacenada como fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales).
  • Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo propietario. Situación que también podría desembocar en un robo de identidad. ¡Imaginad que os secuestran vuestro perfil en Twitter!

Proteger el dispositivo contra este tipo de situaciones es la primera tarea que deberíamos abordar. Mejora la seguridad del dispositivo, protege tu información y evita que te suplanten la identidad conociendo las medidas de seguridad para el bloqueo del dispositivo que incorpora Apple iOS.

Logotipo de ficheros PDF

¡Que nadie lo use sin tu permiso!

Fuente: Inteco

Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?

Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.

Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.

Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.

¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..

¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que “supuestamente” han sido extraviados.

Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.

Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:

Artículo 90. Registro de incidencias.

“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Y, además, el artículo 101.2, bajo el epígrafe “Gestión y distribución de soportes”, señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 

¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.

1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.

2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.

Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.

Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.

Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.

Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.

Hemos hablado en este post de los tablets “perdidos o extraviados” y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que “a buen entendedor pocas palabras bastan”.

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).

La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.

Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.

C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: “Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA”.

Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.

Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.

“Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa”, advierte la Agencia en su correo.

Pide a la AEPD que investigue si se han cedido datos de otros usuarios

FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su artículo 11, la Ley plantea que “los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.

Fuente: Facua

Cloud Computing: Aspectos esenciales técnico-jurídicos del contrato de servicios

La LOPD establece en su art. 12.2 que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito. Por tanto, el contrato de prestación de servicios entre el responsable del tratamiento y su proveedor de servicios Cloud ha de incorporar las previsiones citadas.

 En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata.

 Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos, de modo que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD, en virtud de las cuales, el encargado del tratamiento pasa a asumir la condición de responsable del fichero.

 Es importante destacar que el responsable del tratamiento es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 RLOPD).

 Una fórmula que puede utilizarse a tal efecto es que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

 Por otra parte, existen otros aspectos relevantes que van más allá de normativa de protección de datos de carácter personal y que conviene traer a colación. Son temas que encontrarán su mejor acomodo y resolución en el propio contrato de prestación de servicios entre el proveedor y el cliente.

 Por la novedad de este tipo de contratos, resulta conveniente tratarlos a continuación.

 En definitiva, para garantizar la seguridad jurídica del servicio Cloud contratado, el contrato de prestación de servicios suscrito entre el despacho y el proveedor ha de recoger, un conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

  • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el responsable del tratamiento (y cuente, en su caso, con el consentimiento del titular).
  • Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube”, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

 En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.

  • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al responsable del tratamiento que contrata sus servicios, y a quienes éste determine con los perfiles de acceso correspondientes. En caso de que el responsable del tratamiento trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
  • Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así  como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
  • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
  • Consecuencias previstas para el caso de incumplimiento del proveedor de servicios Cloud de las obligaciones anteriormente recogidas

 Fuente: AGPD

Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

             El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

             En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

 • Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.

• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.

• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.

• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.

• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

             Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

             Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.

Fuente: AGPD

¿Tienes Android en tu teléfono móvil? ¡Cuida las aplicaciones que instalas, el 8% de ellas no protegen tus datos!

Son una gran mayoría los usuarios que usan smartphones o teléfonos inteligentes con acceso a datos. En España, el uso de estos terminales están muy extendido, siendo el país de la Unión Europea con mayor porcentaje de terminales inteligentes.

Uno de los sistemas más demandados por los usuarios de este tipo de terminales es Android, de hecho con la entrada en el mercado de este sistema se ha producido una evolución social interesante, el usuario pasó de definir su terminal por la marca, es decir “tengo un Nokia, o un LG, o un Sony, a decir “tengo Android”.

La popularidad de este sistema se debe, entre otras muchas razones, por la cantidad de recursos que el mercado pone al alcance de los usuarios. Estos recursos, aplicaciones de descarga, gratuitas en muchas ocasiones, o de bajo coste en otras, han echo de Android un sistema muy demandado y popular. Sin embargo, pocas veces nos hemos parado a pensar en la seguridad que nos aporta este sistema o sus aplicaciones. Y ya no solo con Android, sino también en general con todos los smartphones, tablet y dispositivos portátiles.

Me explico, cuando vamos a adquirir un automóvil, independientemente de nuestra capacidad económica de adquisición y de nuestros gustos personales (clásico, deportivos, juveniles, rancheras, todoterrenos, colores, etc., etc..), hay algunas características de los mismos que valoramos muy positivamente, y son, especialmente, las medidas de seguridad que estos aportan. Tanto es así que en nuestro lenguaje se han ido haciendo familiar expresiones como seguridad activa, seguridad pasiva, sistemas de frenos ABS, cinturón de seguridad, etc.. Valoramos mucho estos dispositivos y, hasta en ocasiones, estamos dispuestos a pagar un poco mas a cambio de una mayor seguridad personal y familiar que pueda aportarnos el vehículo. En este ejemplo citado se puede ver de forma clara que la seguridad la consideramos una inversión y no un gasto del que podamos prescindir.

¿Por qué no se extrapola esa lección a otros aspectos de nuestra vida? Por ejemplo, ¿por qué a la hora de bajarnos aplicaciones y darles uso, incorporando datos personales y sensibles, no nos aseguramos previamente que esas aplicaciones cuentan con las medidas de seguridad pertinentes e imprescindibles, antes de bajarlas e introducir en ellas esos datos sensibles?.

¿Por qué llamamos la atención sobre este punto?. Por una razón simple, a veces lo barato puede salirnos caro. Tenemos un botón de muestra de lo que queremos decir en una noticia que ha publicado PORTALTIC en la que nos avisa de que el 8% de las aplicaciones que instalamos en nuestros dispositivos Android no protegen nuestros datos.

Es posible que no nos impacte mucho el porcentaje, “solo un 8%” podrían decir algunos. Sí, un 8%, pero cuando consideramos que en ese 8% se encuentran algunas de las aplicaciones mas descargadas por los usuarios y de mayor uso, la cosa cambia exponencialmente. El estudio realizado por “investigadores de la Universidad Leibniz de Hanóver y del departamento de ciencias informáticas de la Universidad Philipps de Marburgo han realizado un test basado en 13.500 aplicaciones de Android, que ha confirmado la falta de seguridad”.

Cuando pensamos que algunas de esas aplicaciones populares que están dentro de ese 8% las usamos para incorporar datos tales como datos bancarios, correo, redes sociales y permisos de acceso a redes de comunicaciones.

Otro dato relevante de este informe, es que el 50% de los usuarios de estos dispositivos no saben o no han sabido establecer cuál es el estado de seguridad de su terminal.

Es evidente que estamos ante un serio problema de seguridad. Por tanto, tanto si somos usuarios de Android o no, pero somos usuarios de smartphones o estamos pensando en adquirir uno, la moraleja es: “asegúrate que tus datos personales estén seguros, mantén un buen nivel de seguridad de tu terminal y, antes de bajarte aplicaciones fabulosas de esas que nuestros amigos nos dicen que son una maravilla, ANTES… asegúrate que cuentan con herramientas de seguridad… y si tienes dudas, por sentido común, no las instales, no introduzcas tu información sensible en ellas.

Si queréis leer mas sobre esta noticia, podéis verla en el siguiente enlace:

http://www.laprovincia.es/vida-y-estilo/tecnologia/2012/10/22/8-aplicaciones-android-protege-datos/492206.html

Fuente: PORTALTIC/EP

Estadística del blog

  • 50,415 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos biométricos datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 GT29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de consentimiento privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android tratamiento de datos biométricos usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: