//
Archivos

medidas de seguridad

Esta etiqueta está asociada a 65 entradas

¿Tu casa también es tu oficina? ¡Protégela!

Publicado por Deja un comentario

¿Tu casa también es tu oficina? ¡Protégela! Actualmente la tecnología que poseemos en nuestros hogares nos permite continuar con nuestras «tareas de oficina» cuando llegamos a casa. Abrir el correo de la empresa para estar al día de las últimas notificaciones recibidas, realizar un pedido a uno de nuestros proveedores o actualizar la lista de clientes son solo algunas de las tareas corporativas que podemos realizar cómodamente desde nuestro hogar. Hasta aquí todo parecen ventajas pero, ¿y si hablamos de la seguridad? ¿Tomamos en casa las mismas precauciones que en la oficina? ¿Realmente conocemos todas las medidas de seguridad que necesitamos? Por si acaso, toma nota y sigue nuestros consejos.

Cómo teletrabajar de manera segura

  • No regales tus datos a la primera de cambio. Protege tu equipo y tus dispositivos móviles con credenciales de acceso y diferencia tus cuentas personales de las profesionales. Recuerda utilizar siempre contraseñas robustas y el doble factor de autenticación siempre que sea posible.
  • Mantén los sistemas operativos y las aplicaciones actualizados, tanto los que usas profesionalmente como a nivel usuario. Instala software de repositorios oficiales y nunca olvides disponer de un antivirus.
  • Cifra tus soportes de información para proteger los datos de tu empresa de posibles accesos malintencionados y garantizar así su confidencialidad e integridad.
  • Realiza copias de seguridad periódicas de todos tus soportes para garantizar la continuidad de negocio en caso de que ocurra cualquier incidente de seguridad o cualquier otro posible desastre (robo o pérdida del dispositivo, avería, etc…). Comprueba regularmente que estas copias pueden restaurarse.
  • Si necesitas acceder a la información almacenada en los equipos de la empresa, evita el uso de aplicaciones de escritorio remoto. Estas herramientas pueden crear puertas traseras (backdoors) a través de las cuales podría comprometerse el servicio o las credenciales de acceso de usuario y por lo tanto permitir el acceso a los equipos corporativos. Además, al usar este tipo de aplicaciones aceptamos ciertos términos y condiciones de uso que podrían otorgar algún tipo de «privilegio» a las mismas sobre nuestros equipos e información.
  • En lugar de las aplicaciones de escritorio remoto, conéctate a tu empresa de forma segura a través de una red privada virtual o VPN, del inglés Virtual Private Network. De este modo, la información que intercambiamos entre nuestros equipos viaja cifrada a través de Internet. Documéntate sobre las diferentes opciones para elegir una VPN segura y que mejor se adapte a tu organización.
  • Si en casa disponemos de conexión Wifi, debemos asegurarnos de que la configuración es correcta y segura. Así evitaremos que un ciberdelincuente pueda conectarse a ella y robar nuestra información o la de nuestros clientes.
  • Recuerda que aunque trabajes desde casa, siempre debes garantizar la seguridad de tus datos y cumplir con las exigencias de seguridad marcadas por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
  • Si utilizas dispositivos móviles (smartphonestablets, ordenadores portátiles, etc.) para acceder a tu información corporativa, instala aplicaciones de administración remota. En caso de robo o pérdida, te permiten localizarlo o realizar un borrado de los datos si fuera necesario.
  • Si no dispones de una VPN, cuando viajes evita el uso de redes wifi públicas (hoteles, cafeterías, aeropuertos, etc.), utiliza las conexiones 4G/5G en su lugar y accede a servicios utilicen comunicaciones seguras (SSL, HTTPS, etc.).
  • Cuando la información deje de ser necesaria para tu organización, debes borrarla de forma segura. Si se trata de soportes no electrónicos (papel, negativos fotográficos, radiografías, etc.) será necesario utilizar una trituradora. Para los soportes electrónicos utiliza el proceso de sobrescritura, si quieres reutilizar el dispositivo, o el de desmagnetización o destrucción física, en el caso de que quieras desecharlo.

Si tu casa a veces también es tu oficina, ahora ya sabes cómo protegerla. ¡Protege tu empresa esté donde esté!

Fuente: Incibe

La AEPD elabora un decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados

Publicado por Deja un comentario

La Agencia Española de Protección de Datos ha elaborado un listado de claves imprescindibles a tener en cuenta en los dispositivos con conexión a internet.

(Madrid, 15 de diciembre de 2016). Uno de los ejes principales de actuación de la Agencia Española de Protección de Datos (AEPD) es apostar de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. La Agencia ha elaborado un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta en los dispositivos conectados.

1.  Tu cuerpo dice más de lo que crees. La tecnología ‘vestible’ (pulseras, relojes, podómetros, etc.) incorpora sensores que registran y pueden transferir información sobre hábitos y costumbres del usuario, tanto al fabricante como a terceros. Si los utilizas para monitorizar tu actividad física, es recomendable comprobar quién está recogiendo los datos que aportas, para qué los va a utilizar y si los va a ceder a otros. Si vas a subir estos datos a una red social intenta dar la menor información personal posible al registrarte y elimina o limita el acceso a tu ubicación siempre que puedas, ya que a partir de este dato se puede inferir mucha más información sobre ti de la que imaginas.

2.  Una ventana indiscreta. Buena parte de los dispositivos incorporan cámaras que aportan funcionalidades añadidas. Desconéctala o tápala con una cinta adhesiva si no la estás utilizando para evitar que un extraño pueda verte si se hace con el control del dispositivo sin que te des cuenta. Por otro lado, en el caso de un dron, además de la normativa aeronáutica, ten en cuenta que si difundes por internet imágenes en las que se pueda identificar a las personas que aparecen en ellas, necesitarás tener su permiso o consentimiento.

3.  Dispositivos vulnerables. Bloquea la pantalla de inicio y utiliza un código de desbloqueo lo más largo posible. Además, actualiza el software de tus dispositivos siempre que sea posible para evitar que sean vulnerables ante un posible hackeo y valora instalar algún programa que te proteja ante el software malicioso. Desactiva el bluetooth si no vas a utilizarlo y la conexión automática a wifis abiertas, ya que pueden ser una puerta de entrada para posible ataques.

4.  Protege tus datos ante pérdidas o robos. Localiza en las opciones de configuración del terminal la forma en la que podrías acceder a distancia a su contenido para eliminarlo y piensa si te interesa utilizar una aplicación para realizar el borrado remoto. Valora si además quieres bloquear algunas aplicaciones que contengan información sensible y, en cualquier caso, realiza copias de seguridad con frecuencia.

5.  Apps: no aceptes sin leer. Antes de instalar una aplicación, consulta su política de privacidad para comprobar quién va a recoger qué datos sobre ti y qué va a hacer con ellos. Valora también los comentarios de otros usuarios, ya que en ocasiones pueden aportarte información útil. Además, comprueba periódicamente las apps instaladas y qué permisos les has concedido, y elimina aquellas que ya no utilices.

6.  La ubicación no siempre es necesaria. Configura tu dispositivo móvil para que las apps te pidan permiso para acceder a tu ubicación y comprueba si tus redes sociales difunden tu posición. Activa la geolocalización manualmente sólo cuando la necesites.

7.  Juguetes conectados. Comprueba en primer lugar si pueden captar la voz o la imagen de los menores, entre otros datos, mientras juegan con ellos y dónde se almacenan. Revisa la política de privacidad para consultar qué permisos estás concediendo y a quién sobre esos datos. Si te piden que registres el juguete online para obtener funciones adicionales, averigua cual será el destino de la información personal facilitada y para qué se utilizará.

8.  Demasiadas contraseñas. Las contraseñas deben ser robustas y es necesario utilizar una diferente para cada servicio. ¿Cómo recordarlas todas? Es recomendable utilizar un gestor de contraseñas que las almacene cifradas en el dispositivo y que, para acceder a ellas, utilices lo que se conoce como una contraseña maestra. En cualquier caso, evita tener las contraseñas almacenadas en tu correo electrónico o en un documento sin seguridad.

9.  Menores: edúcales. El diálogo y la supervisión son las mejores herramientas cuando los menores entran en contacto con la tecnología. Es recomendable acordar con ellos para qué van a utilizar los dispositivos y valorar si se quieren instalar herramientas de control parental. Es aconsejable que si los padres quieren instalar un software de localización en el dispositivo para conocer la ubicación del menor, lo hablen previamente con él.

10. ¿Sabes dónde compras? Asegúrate en primer lugar de que la dirección web de la página es en la que realmente quieres comprar y, antes de facilitar tu información, comprueba quién y para qué la utilizará, revisando especialmente si la política de privacidad identifica al responsable y si muestra su domicilio social. Presta especial atención a las casillas que te piden permiso para utilizar tu información para enviarte publicidad y no las marques si no te interesa, ya que no es obligatorio. Sospecha de las páginas que ofrecen precios excesivamente bajos y si te surgen dudas busca una alternativa que te aporte más confianza y seguridad.

Se puede ampliar información sobre estos consejos, así como encontrar recomendaciones adicionales en la ‘Guía de privacidad y seguridad en internet’ realizada por la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad (INCIBE), que incluye 18 fichas con consejos prácticos para reducir los riesgos en un mundo hiperconectado.

Herramientas de seguridad gratuitas

Publicado por Deja un comentario

Hay una larga historia de software de seguridad gratuito, y aquí están algunos de los productos más conocidos que puede probar dentro de su propia red, aunque sólo sea para descubrir lo vulnerable que eres.

seguridad informatica herramientas gratisObviamente existen decenas de otras herramientas pero el objetivo es identificar al menos las más conocidas:

 

 

  1. Antivirus gratuitos: AviraAvastAVG y Microsoft Security Essentials.
  2. Firewall: Zone Alarm y Comodo
  3. Arpwatch es una herramienta para monitoreo de ancho de banda en redes
  4. Linux Security Toolkit incluye herramientas de seguridad y para el diagnóstico y seguimiento de redes
  5. PacketSquare es herramienta de análisis de protocolos para probar dispositivos de red que incluyen routers, detección de intrusos y sistemas de prevención y switches
  6. Cheops NG, conocido como la navaja suiza de la red, es una utilizada para el monitoreo de la red, con la posibilidad de sondear hosts para analizar lo que está en ejecución.
  7. Hydra Network Logon Cracker se puede utilizar para detectar contraseñas débiles
  8. SNMP Brute es una herramienta para probar contraseñas SNMP por fuerza bruta
  9. Wireshark es un analizador de paquetes y protocolos
  10. Metasploit Framework es la herramienta para realizar pruebas de penetración
  11. Ncat es una herramienta para leer y escribir datos sobre IPv6 e IPv4
  12. NetStumbler es una herramienta de descubrimiento de red inalámbrica
  13. Nmap Security es una utilidad para scanear y realizar auditoría de seguridad sobre redes
  14. Snort es un IDS utilizado para la detección de intrusiones
  15. AirCrack es una suite de herramientas para cracking de 802.11a/b/g/ WEP y WPA
  16. Foca: herramienta para realizar descarga y análisis de metadatos de archivos

Fuente: Networkworld

 

Sanción de 6.000€ por indicar en la ventanilla del sobre «COBRO DE MOROSOS» en la reclamación de una deuda cierta.

Publicado por Deja un comentario


La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.

Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.

En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.

En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:

Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.

No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.

Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:

El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.

El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.

También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.

Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.

El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.

En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.

Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.

Siguiendo con los IPAD de sus señorías

Publicado por Deja un comentario

La sorprendente noticia que comentábamos hace dos semanas (http://wp.me/pzuzu-ru ) , sobre la pérdida o extravío de, al menos 15 y otros 15, al menos, por avería, por parte de sus señorías del Congreso de los Diputados y el revuelo que ello conllevó, desde el pronunciamiento del propio Congreso sobre la supresión de la sustitución de estos terminales a aquellos diputados que extraviaran los mismos como la aplicación de medidas de seguridad para garantizar la confidencialidad de los mismos.

 Este tipo de noticias no dejan de ser llamativas por el fondo y la forma en que se producen. Llamábamos la atención entonces al hecho de que estábamos ante un claro incidente de seguridad y que la acción correctora por parte del Congreso iría en la línea de aplicar medidas de seguridad concretas a los tablets.

Por esta razón y a fin de conocer mejor las medidas de seguridad que los usuarios de tablets, y concretamente de iPad, los compañeros del blog Seguridad Apple han redactado un excelente artículo que merece la pena leer con detenimiento y, sobre todo, aplicar de forma inmediata en el iPad, si somos usuarios de ellos.

 Os dejo aquí el enlace:

 http://www.seguridadapple.com/2012/11/los-datos-de-los-diputados-robados-o.html

10 consejos para que no usurpen nuestra identidad en Internet

Publicado por Deja un comentario

Una guía para usuarios novatos que puede ayudarlos a evitar que su paseo por la red se convierta en un mal viaje

Social Network Security / Imagen: Chris2d (CC)
Social Network Security / Imagen: Chris2d (CC)
Lo más benigno que puede ocurrir cuando alguien usurpa nuestra identidad en Internet es aquel molesto mensaje en Facebook que deja algún amigo que tomó nuestra cuenta como escenario para reírse de uno. Sin embargo, el robo de identidad en Internet puede llegar hasta extremos que podrían chocar con nuestras finanzas o nuestro récord criminal.
Revisemos algunas prácticas para evitar que eso ocurra.
1. Cierra sesión. No importa que estés en la computadora que usas todos los días en el trabajo. La primera medida de seguridad es evitar mantener la sesión de nuestras redes sociales y de correo abiertas. En el caso de Facebook, hay una opción para mantener la seguridad que pocos conocen: la red social nos permite saber desde dónde te has conectado por última vez.
2. El modo incógnito. Una forma de asegurarnos que nuestras sesiones no queden guardadas es ingresar a través del “modo incógnito” o “navegación privada” que varios navegadores usan para no guardar registro de los sitios web visitados. Así la máquina no podrá guardar las contraseñas y nuestra información estará a salvo.
3. Deja de exhibirte (I). No importa que tus fotos estén en modo privado en tus redes sociales, o que se las envíes solo a tus amigos por mail. Puede que quienes tienen acceso a ellas las publiquen o compartan. Es mejor evitar compartir imágenes que luego puedan ser usadas por alguien que quiera usurpar tu identidad.
4. Deja de exhibirte (II). Otra forma en la que la gente suele exhibirse es dando información: presumir del nuevo celular que te costó una millonada puede ser un error, tanto como poner imágenes del auto nuevo o de la casa recién comprada. Todo eso termina siendo información que puede ser usada por alguien que quiera tomar nuestra identidad.
5. La geolocalización. Redes como Foursquare pueden ser un problema: ya se ha visto bromas de gente haciendo check in en el banco, pero el tema va más allá. Las fotos, por ejemplo, tienen la fabulosa opción de registrar dónde han sido tomadas, por lo que alguien que quiera obtener información de uno para robar nuestras contraseñas podría saber hasta dónde queda nuestra casa.
6. Contraseñas fuertes. Olvidémonos de una vez de poner eso de la fecha de nacimiento o el número de teléfono. Evitemos poner preguntas de seguridad muy obvias. Hay algunas que podrían ser averiguadas fácilmente por alguien con acceso a nuestra cuenta.
7. Registrar nuestro nombre. Otra posibilidad es la de empezar a comprar dominios con nuestro nombre para que luego nadie los compre con el fin de incomodar. También podemos crear cuentas en todas las redes sociales que se nos ocurran, sin ninguna información.
8. El https. Las direcciones de Internet suelen estar antecedidas por los caracteres http://. Sin embargo, si es que se te pide algún dato personal como números de cuenta, por ejemplo, ve que la dirección tenga delante los caracteres https://, que garantizan que el pedido se hace desde un servidor seguro.
9. La máquina segura. Un amigo decía que la única computadora a la que no le entran virus es aquella que no está conectada a Internet ni tiene puertos USB. Así que para evitar que ingresen bichos que podrían vulnerar nuestra seguridad, es necesario tener todos los antivirus, firewalls y antispyware posibles, además de seguir algunas reglas de comportamiento que evitarán que descarguemos programas espías.
10. La computadora ajena. Si no estás en una máquina que habitualmente uses, mejor no entres a tus cuentas privadas. Suele pasar cuando estamos de viaje, por ejemplo. Si tu situación es esa, mejor ingresa desde tu laptop, celular o tablet y hazlo a través de una conexión segura.
Fuente: Cryptex y http://www.elcomercio.pe

Asegurando tu Apple iOS I y II: ¡Qué nadie lo use sin tu permiso!

Publicado por Deja un comentario

Logotipo de las serie de contenidos Asegurando tu Apple iOS

En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Apple iOS», En esta entrega se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario

En esta primera entrega de la serie «Asegurando tu Apple iOS» vamos a ver las medidas de seguridad que incorpora Apple IOS para evitar que un tercero con acceso físico a tu dispositivo pueda usarlo sin tu permiso.

El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:

  • Pérdida o robo del dispositivo
  • Dejar el dispositivo al alcance de otros y sin vigilancia

Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:

  • Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc.
  • Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propietario legítimo del dispositivo, catalogándose esta situación como un posible «robo de identidad»
  • Acceso a información sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la información que hay en él almacenada como fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales).
  • Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo propietario. Situación que también podría desembocar en un robo de identidad. ¡Imaginad que os secuestran vuestro perfil en Twitter!

Proteger el dispositivo contra este tipo de situaciones es la primera tarea que deberíamos abordar. Mejora la seguridad del dispositivo, protege tu información y evita que te suplanten la identidad conociendo las medidas de seguridad para el bloqueo del dispositivo que incorpora Apple iOS.

Logotipo de ficheros PDF

¡Que nadie lo use sin tu permiso!

Fuente: Inteco

Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?

Publicado por Deja un comentario

Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.

Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.

Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.

¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..

¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que «supuestamente» han sido extraviados.

Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.

Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:

Artículo 90. Registro de incidencias.

“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Y, además, el artículo 101.2, bajo el epígrafe «Gestión y distribución de soportes», señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 

¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.

1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.

2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.

Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.

Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.

Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.

Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.

Hemos hablado en este post de los tablets «perdidos o extraviados» y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que «a buen entendedor pocas palabras bastan».

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Publicado por Deja un comentario

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).

La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.

Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.

C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: «Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA».

Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.

Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.

«Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa», advierte la Agencia en su correo.

Pide a la AEPD que investigue si se han cedido datos de otros usuarios

FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su artículo 11, la Ley plantea que «los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».

La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.

Fuente: Facua

Cloud Computing: Aspectos esenciales técnico-jurídicos del contrato de servicios

Publicado por Deja un comentario

La LOPD establece en su art. 12.2 que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito. Por tanto, el contrato de prestación de servicios entre el responsable del tratamiento y su proveedor de servicios Cloud ha de incorporar las previsiones citadas.

 En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata.

 Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos, de modo que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD, en virtud de las cuales, el encargado del tratamiento pasa a asumir la condición de responsable del fichero.

 Es importante destacar que el responsable del tratamiento es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 RLOPD).

 Una fórmula que puede utilizarse a tal efecto es que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

 Por otra parte, existen otros aspectos relevantes que van más allá de normativa de protección de datos de carácter personal y que conviene traer a colación. Son temas que encontrarán su mejor acomodo y resolución en el propio contrato de prestación de servicios entre el proveedor y el cliente.

 Por la novedad de este tipo de contratos, resulta conveniente tratarlos a continuación.

 En definitiva, para garantizar la seguridad jurídica del servicio Cloud contratado, el contrato de prestación de servicios suscrito entre el despacho y el proveedor ha de recoger, un conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

  • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el responsable del tratamiento (y cuente, en su caso, con el consentimiento del titular).
  • Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube”, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

 En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.

  • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al responsable del tratamiento que contrata sus servicios, y a quienes éste determine con los perfiles de acceso correspondientes. En caso de que el responsable del tratamiento trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
  • Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así  como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
  • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
  • Consecuencias previstas para el caso de incumplimiento del proveedor de servicios Cloud de las obligaciones anteriormente recogidas

 Fuente: AGPD

« Entradas anteriores

Estadística del blog

  • 172.292 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: