Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.
Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.
Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.
¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..
¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que «supuestamente» han sido extraviados.
Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.
Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:
Artículo 90. Registro de incidencias.
“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “
Artículo 100. Registro de incidencias.
1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Y, además, el artículo 101.2, bajo el epígrafe «Gestión y distribución de soportes», señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:
2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.
1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.
2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.
Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.
Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.
Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.
Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.
Hemos hablado en este post de los tablets «perdidos o extraviados» y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que «a buen entendedor pocas palabras bastan».
PROTEC-DATOS 
Comentarios
Aún no hay comentarios.