//
Archivos

Archivos para

Presentada la memoria 2010 de la Agencia de Protección de Datos

Se acaba de publicar la memoria de actividad de la AEPD del 2010 y a modo de resumen de la misma, merece la pena que prestemos atención a los siguientes puntos:

1.- Aumenta un 4% el número de investigaciones de oficios emprendidas por la agencia, alcanzando las 4.302.

2.- Se han resuelto 767  procedimientos sancionadores, de los cuales 591 acabaron con sanción que ascendió el montante a 17,4 millones de euros.

3.- Se abrieron 168 actuaciones de investigación relacionada con internet.

4.- Se inició de oficio investigación a grandes compañías, como Google, Facebook y Myspace.

5.- Aumentó un 56% las denuncias de los ciudadanos reclamando el derecho al olvido.

6.- 819 actuaciones en el marco de la videovigilancia.

7.- Mas del 50% de las denuncias están agrupadas en el sector de las telecomunicaciones.

8.- En el ámbito de la morosidad, se incrementaron las investigaciones llegando a las 900 actuaciones.

9.- Así como 114 casos en el sector sanitario.

Las redes sociales han aglutinado un buen número de las denuncias presentadas por los ciudadanos, notándose de manera especial, un aumento por la aparición de datos personales en foros, blog, portales de videos, envío de correo electrónico, envío de correo sin copia oculta, etc..

La vulneración del deber de secreto en el sector sanitaria se ha manifestado como un punto a trabajar, de forma concreta, aparición de documentación con historia clínica en la vía pública, difusión de datos en redes P2P, documentación en áreas sin restricción de acceso al público, etc..

La AEPD atendió un total de 104.826 consultas planteadas por los ciudadanos, con un aumento del 8,2% respecto al año anterior. Y, también llama poderosamente la atención, el aumento en el número de ficheros inscritos, ya que solo en el 2010 se inscribieron un total de 497.116 ficheros, un 31% mas que en el año anterior, con lo que al finalizar el año hay en España un total de 2.036.583 ficheros privados  y 108.289 de titularidad pública. Se ha pasado de una media diaria de 2.137 ficheros privados a  2.596 ficheros privados inscritos al día.

Nuestra comunidad autónoma aún sigue muy lejos de lo deseable en el número de entidades registradas ante la AEPD, terminando el año 2010 en un total de 22.035 entidades, de las que 9.898 corresponden a la provincia de Las Palmas y 12.194 a la de Santa Cruz de Tenerife. Unos número tremendamente pobres si los contrastamos con el número de empresas, autónomos y entidades privadas sin ánimo de lucro que tienen obligación de ello.

Y, por último, cabe destacar el aumento de inscripción de ficheros de videovigilancia que se ha producido. En el sector del comercio ha aumentado un 107,25% respecto al 2009; en las comunidades de vecinos ha llegado al 94,58%; actividades políticas, sindicales y religiosas, un 107,14%; turismo y hostelería un 79,74%; transporte un 73,22%; educación un 73,35%; etc…

Anuncios

La provincia de Las Palmas a la cabeza en el número de denuncias y de procedimientos sancionadores

La Agencia Española de Protección de Datos acaba de publicar la memoria de la misma del 2010. Cabe señalar, que en la misma la provincia de Las Palmas aparece en el pelotón de cabeza de las provincias con mayor número de denuncias y con mayor número de procedimientos sancionadores.

De las 4.220 denuncias que tramitó la AEPD en el 2010, 125 corresponden a la provincia de Las Palmas. El ranking lo encabeza Madrid con 1.293, le siguen Barcelona con 320, Valencia 208, Sevilla 171, La Coruña 160, Alicante 139 y luego Las Palmas.

En cuanto al número de procedimientos sancionadores, la AEPD tramitó en el 2010 un total de 767 procedimientos. Madrid se llevó la palma con 470, Barcelona 65, Valencia 20, Las Palmas 18 y Vizcaya con 17.

Preocupa y mucho la posición de la provincia de Las Palmas en este informe, ocupando el 7º puesto en el número de denuncias y el 4º en el número de denuncias. Es evidente que algo no se está haciendo bien.

Qué pasos dar ante una intervención del email de la empresa

Cuando las organizaciones establecen una regla de uso del correo electrónico, tanto del privado como del empresarial, los usuarios están obligados a su cumplimiento, tal como recoge el art. 5 del ETT donde expone que entre los deberes y obligaciones del trabajador está el cumplir con las medidas de seguridad que ha establecido la empresa. Estas medidas de seguridad pueden ser imperativas (leyes: prevención de riesgos laborales; protección de datos personales; etc.) o bien pueden ser medidas establecidas por la propia organización con una finalidad concreta y ajustada a derecho.

Ahora bien, ¿qué pasos debe realizar la empresa antes de revisar o auditar los email de los trabajadores? Los auditores trabajamos siempre con checklist para realizar nuestro trabajo, estos checklist son de gran utilidad pues nos permiten no dejar nada al azar y nos ayudan a atar todos los aspectos implicados.

Pues bien, os adjunto un enlace donde se exponen algunos de checklist que debemos tener presente, en el momento que una organización se vea en la necesidad de realizar una intervención de este tipo. Como todos los checklist, pueden ser mejorados por cada auditor y/u organización.

Fuente: Expansión.

http://www.expansion.com/blogs/ribas/2009/01/15/checklist-para-la-intervencion-del-e.html

Los smartphones, ¿realmente son seguros?

Hace unos días leí con mucho detenimiento un artículo que se titula ¿Son seguros los smartphones?, lo cierto es que me llamó la atención inmediatamente. Acababa de renovar mis terminales de telefonía móvil y todos los que han llegado son de tercera generación.

El problema de estos tipos de terminales son ante todo de seguridad, ya que solemos llenarlos con mucha información con datos de carácter personal y confidenciales. Pero los smartphones son fáciles de hackear, además del posible extravío o hurto del propio dispositivo.

Ante este escenario es necesario que recapacitemos, reconozcamos estos hechos y actuémos en consecuencia. ¿Qué debemos hacer? Os recomiendo leer y guardar el artículo que leí. Os lo enlazo a continuación y que la lectura del mismo os resulte tan interesante como a mí.

Fuente: CSO ESPAÑA

http://www.csospain.es/__Son-seguros-los-smartphones__-/seccion-/articulo-203305

Acceso al correo electrónico personal en la empresa… un problema de seguridad.

Las comunicaciones electrónicas y los medios para realizarlas están logrando cierta dósis de dependencia personal por parte de los usuarios. La necesidad de consultar los mensajes recibidos, la necesidad de enviar un correo a alguien, o el mero ejercicio de ocio que resulta el abrir correos y contestar, se está convirtiendo en todo una cultura que está creando dependencia.

Hasta el punto de que muchos usuarios desean, en sus horas laborales y desde sus puestos de trabajo, acceder a sus cuenas de correo. ¿Es esta una medida oportuna? ¿Se trata de un derecho del trabajador? ¿Puede la empresa impedirnos el acceso a nuestras cuentas de correo en horario de trabajo? ¿Qué consecuencias podría traer para la seguridad de la información de una empresa el que sus empleados accedan a sus cuentas personales (tipo hotmail, yahoo, gmail, msn, etc.)?.

Lo primero que debemos tener presente es la doctrina jurídica implicada. Esta doctrina ha venido a establecer que el ordenador que usamos en la empresa es una herramienta DE LA EMPRESA. La sentencia del TS 26-9-2007 viene a decir que declara que “lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales”.

¿Por qué es conveniente que las empresas establezcan las reglas de uso de esos medios y las divulguen? Desde el punto de vista de la seguridad, que es el enfoque que queremos dar, al establecer unas reglas básicas, los usuarios sabrán si cuentan o no con autorización para acceder a sus cuentas de correo personal. Lo normal, es que desde un punto de visto pragmático, se prohiba el acceso a las mismas.

Para entender cómo esta decisión de la empresa cuenta con motivación suficiente pensemos un poquito en las consecuencias que se pueden derivar del acceso a las cuentas de correo personales en los dispotivos informáticos y de comunicaciones de la empresa.  Ya no hablamos solo de la posibilidad de que el usuario abra el correo personal que pueda estar infectado o de abrir algún fichero adjunto que contenga algún tipo de malware, sino que también estamos hablando de correos que con tan solo la VISTA PREVIA del mismo lanzan un script desde una url remota.

¿Qué pasa si un trabajador accede a su correo personal y algunos de esos email recibidos contiene este tipo de malware? El atacante puede acceder a la información mas sensible de la empresa , incluyendo contactos y correos electrónicos. Este tipo de actos COMPROMETEN LA SEGURIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD de la información de la empresa. De ahí la necesidad de extremar la vigilancia, la necesidad de concienciar a los trabajadores, la necesidad de establecer REGLAS.

Pero no solo bastan con establecer estas reglas, y que el trabajador las conozcan en el momento que firma su contrato de trabajo, sino que es necesario ir mas lejos, se necesita una verdadera política de comunicación y de concienciación. Es aquí donde entra los planes de formación de las empresas, donde deben incluirse jornadas y/o seminarios que ayuden a tomar conciencia a los trabajadores sobre la vulnerabilidad de la información.

Algunas empresas, en su afán de lograr esta concienciación han diseñado planes de comunicación como si se trataran de una política de marketing. Diseñan almanaques, tazas, alfombrillas, salvapantallas, etc… con mensajes de recordatorios sobre la necesidad imperiosa de salvaguardar la seguridad de la información. Estos planes, cuidadosamente elegidos y renovados cada cierto tiempo, son muy eficaces y son muy valorados por los auditores de seguridad.

Facebook, redes sociales y menores de edad.

Vivimos en un mundo sumamente volcado hacia las nuevas tecnologías. El marketing ha fabricado una dependencia partiendo de una necesidad, la de relacionarnos con otras personas. Ha llegado hasta tal punto el embrujo de la tecnología que la sociedad se ha quedado encandilada con la luz que estas desprendes. Una luz tan intensa que no nos deja ver las sombras que estas traen consigo.

Una de estas sombras está alcanzando a millones de hogares, desde el que muchos usuarios, millones de usuarios, han visto en las comunicaciones, especialmente en las redes sociales, una gran oportunidad para relacionarse con otras personas, recuperar viajas amistades y hacer nuevas amistades. Víctimas de este encandilamiento están siendo los menores de edad, como bien decía un dicho popular… “los hijos no hacen, imitan”…  así los jovencitos, imitando a sus padres, se han incorporado a las redes sociales y con ello, se exponen y exponen a otros, ya que con la ternura infantil y juvenil viene acompañada de una gran dosis de inocencia.

Mas de siete millones y medio de menores de edad usan las redes sociales tan solo en Facebook, ¿cómo es posible esto? Para controlar el acceso a la red, Facebook exige una declaración de edad, con una casilla que obliga a indicar la fecha de nacimiento, hecha la ley, hecha la trampa, dice el dicho. Basta con que un menor de edad diga que nació en vez de en el año 2000 diga que nació en 1990 y ya ha salvado el obstáculo para formar parte de la red. Así que está claro que una parte de la culpa de la existencia de estos menores en Facebook es de la propia empresa.

Ahora bien, seamos francos, ¿cómo es posible que un menor de edad acceda  a la red? ¿Dónde están los padres o tutores? En realidad, lo que está pasando en Facebook es un reflejo de la sociedad en la que vivimos, donde muchos padres dan excesiva libertad a sus hijos, permitiéndoles contar con sus propios equipos informáticos y libertad para navegar por internet, sin supervisión, ni medidas de seguridad, sin pautas de comportamiento. No es nada nuevo lo que comentamos, primero fue la Tv, se permitió que los niños se educaran viendo la Tv, luego se pasó a que contaran con un Tv en su propia habitación y ahora el Pc/portátil/dispositivo móvil.

Son muchas las pautas, recordatorios y advertencias que se nos dan desde distintos medios y entidades sobre peligros que conllevan el uso de estos medios tecnológicos. La administración también ha llamado la atención sobre estos peligros y desde hace algunos años la Agencia Española de Protección de Datos ha tenido sendas reuniones de trabajo con los representantes de las redes sociales mas importantes a fin de que mejoren las medidas de seguridad encaminadas a lograr una mayor privacidad y garantía de confidencialidad.

Aún nos queda mucho camino por recorrer, pero los padres no podemos dejar de ser padres, y esta es la primera lección que hemos olvidado. Nuestros hijos nos necesitan, y nos necesitan en la vertiente de padre/madre, sin confundir los roles, padre/madre sí, amigo no.

Fuente: http://www.itespresso.es

http://www.itespresso.es/75-millones-de-usuarios-de-facebook-menores-de-13-anos-50910.html

Los dispositivos con Android, objetivo del malware

La aparición de nuevos sistemas y dispositivos no están exentos de problemas de seguridad. La reciente aparición en el mercado de los dispositivos de telecomunicaciones dotados con Android ha hecho que sean los nuevos objetos del deseo de los amigos de lo ajeno. un reciente estudio publicado por Juniper Networks, advierte que en los últimos meses ha habido un aumento del 400% de malware en Android.

Lo mas interesante de este informe, es que señala cuál es el origen común de la mayor parte de este problema. Y la dirección es la misma que en otros problemas de seguridad, el usuario. Así, el uso y envío de sms premium ha sido la fórmula preferida de difusión de este malware.

Fuente: http://www.pcactual.com

http://www.pcactual.com/articulo/actualidad/noticias/8604/software_malicioso_para_smartphones_dispara.html

Facebook y sus agujeros de seguridad exponen datos personales

Nueva alarma para los usuarios de esta red social, pues hoy FACEBOOK  ha reconocido un fallo en su arquitectura que habilitaba el paso a terceras empresas a los datos de los usuarios de esta red.

El error ya ha sido subsanado, pero la avería está hecha y el daño a la confidencialidad de los datos personales ha sido grave. Este error ha sido de tal calibre y que no solo ha expuesto los datos de los usuarios sino que además daba la posibilidad a estas empresas terceras de publicar en el muro del usuario.

Ha sido la empresa de seguridad Symantec la que ha dado la alarma, se RECOMIENDA cambiar la contraseña de acceso, esto invalidará los tokens existentes.

Fuente: WWW.PCACTUAL.COM

http://www.pcactual.com/articulo/actualidad/noticias/8602/facebook_admite_fallo_seguridad_proteccion_datos.html

Enviar por fax datos de salud es sancionable

El uso del fax como herramienta de comunicación está muy extendido. La denominación fax viene de la abreviación facsímil, y permite enviar y recibir a distancia por línea de teléfono documentos.

Es cierto que actualmente está cediendo mucho del espacio ganado con el empuje de internet, mas rápido, barato y ecológico. Pero aún se sigue usando especialmente en sectores donde predomina el uso del papel como soporte. Pensemos en sectores como la sanidad, la justicia, los seguros, etc., donde predomina aún el uso de los documentos en papel.

Este uso, especialmente en sectores tan críticos, desde el punto de vista de la naturaleza de la información, como lo son el sanitario y el judicial, lo convierten en un arma de doble filo. Por un lado, nos permite dar traslado de la información y de los datos a otra persona o entidad con cierta rapidez, pero por otro lado, no nos permite controlar la integridad, la disponibilidad o la confidencialidad de la transmisión.

Es por ello, que tanto el anterior reglamento como el nuevo reglamento de desarrollo de la normativa de protección de datos hace hincapié en la seguridad de las transmisiones electrónicas cuando en la misma estén implicados datos de nivel alto de seguridad, como lo son los datos sanitarios o de salud.

Sinteticemos los pasos:

1.- En envío de datos por fax constituye un tratamiento de datos, así lo define el art. 3.c de la Ley 15/1999 cuando dice que considera tratamiento cualquier operación o procedimiento técnico que permita la comunicación o consulta de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados o no.

2.- El art. 9 dice: El responsable del fichero, y, en su caso, el encargado del tratamiento,deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

El transcrito artículo 9 de la LOPD establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen tal seguridad, así como para impedir el acceso no autorizado a los mismos por ningún tercero.

3.- Para completar el sistema de protección de datos de carácter personal, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

4.- El RD 1720/2007 ya mencionado, expone en su título VIII las medidas de seguridad en el tratamiento de datos de carácter personal, y en el Capítulo III las aplicables a ficheros y tratamientos automatizados, entre las que figuran las de nivel alto y en el artículo 104, con relación a las telecomunicaciones, establece: “Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien
utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.” Esta redacción es la misma que ya recogía la anterior normativa sobre esta materia, el artículo 26 del Real Decreto 994/1999, Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal.

5.-El artículo 44.3.h) tipifica como infracción grave la siguiente:

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”

Ante estos hechos y pasos enumerados es evidente que el envío de un fax con datos de salud o nivel alto de seguridad es sancionable, ya el fax en sí mismo, como elemento de comunicación y transmisión, no puede aportar el nivel de seguridad exigible por la normativa. Como tantas veces ha hecho referencia a este tema la Agencia Española de Protección de Datos.

Un procedimiento sancionador de reciente publicación por la AGPD en su página web sirve de ejemplo clarificador sobre este punto que tratamos de explicar. Se trata del PS/00353/2010 instruido a la entidad CENTRO DE ANGIOLOGÍA Y CIRUGÍA BASCULAR DE BARCELONA, S.L..

Se puede leer íntegramente este procedimiento en el siguiente link:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00353-2010_Resolucion-de-fecha-09-12-2010_Art-ii-culo-9-LOPD.pdf

Sony y su negligencia… no tener actualizado su software

Siempre que se produce un incidente de seguridad hay que hacer un análisis cuidadoso del por qué se ha producido este. El incidente reciente de seguridad de Sony no podía ser menos, y el primer vistazo ha señalado que el motivo por el que este se ha producido ha sido debido a una negligencia propia del fabricante.

Según publica hoy The Inquirer, Sony usaba un software desactualizado y sin firawall de sus servidores Apache, y lo mas curioso de este tema, es que Sony era consciente de esta situación y no hizo nada al respecto. Esto representa una negligencia seria del fabricante y una mancha en su imagen de cara a sus usuarios. Al costo económico que las consecuencias de esta pérdida de datos ha producido y producirá en los tribunales, habrá que añadir el costo comercial que esta noticia habrá lanzado sobre la marca.

Esta noticia no hace sino subrayar algunos puntos que los especialistas y auditores comentamos muchas veces a nuestros clientes: la necesidad de ser diligentes en la custodia y tratamiento de la información y de los datos de los que somos responsables. Esa diligencia se pone de manifiesto en el compromiso de la dirección para lograr este fin. Este compromiso se materializa en medios económicos, técnicos y humanos suficientes para garantizar ese fin.

¿Por qué muchas veces nos encontramos con el mismo problema que se ha comentado sobre Sony? ¿Por qué el software no se actualiza o se usa sin licencia? El erróneo concepto de la interpretación de la seguridad como un gasto dentro de las partidas económicas de una empresa. Considerar gasto la seguridad es el primer gran error. Proteger la información es tan importante o mas, que proteger nuestros inmovilizados materiales (locales, naves, vehículos, mobiliario, etc..). Nadie, en su sano juicio, al comprar un vehículo para su familia le dice al fabricante que, a fin de ahorrarse algunos eurillos en la compra, que retire algunos de los elementos de seguridad activa o pasiva que el vehículo traiga de fábrica. Al reves, estamos dispuestos a pagar mas por incorporar aquellos elementos que hagan mas confortable y SEGURO nuestro vehículo, ya que nuestra seguridad y la de nuestras familias dependen de ello. Por tanto, la seguridad aquí no la vemos como un gasto sino como una INVERSIÓN. Lo mismo debemos pensar cuando hablamos de la seguridad de la información de nuestras empresas, debe ser una inversión. Como toda inversión, revierte en beneficios tangibles e intangibles. Una mejor imagen al exterior, mayor confiabilidad en la relación con nuestros proveedores y clientes. Tiene un impacto positivo en la economía de nuestras empresas y esto significa que el valor de nuestro activo aumenta exponencialmente.

Desgraciadamente, a veces, para aprender esta importante lección económica debemos pagar el peaje que significa perder esa credibilidad, como le ha pasado a Sony.

Controlar y revisar períodicamente el software que tenemos instalado, que cuente con las debidas actualizaciones y controlar e impedir que se instalen programas sin la debida autorización, son pequeñas pautas o consejos que nos deberán ayudar a evitar el daño que le ha pasado a Sony. Nuestro refranero nos advierte: “Cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar”.

Es un aviso a nagegantes.

Podéis leer el artículo en:

http://www.theinquirer.es/2011/05/06/sony-usaba-un-software-desactualizado-y-sin-firewall-en-psn.html

Fuente: The Inquirer

Estadística del blog

  • 113,059 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: