protección de datos

Nuevo curso: Introducción a la LOPD y GDD paso a paso

1. CURSOS DE PROTECCIÓN DE DATOS Y PRIVACIDAD.
   1. INTRODUCCIÓN A LA PROTECCIÓN DE DATOS.
      1. Objetivos. Formar a los trabajadores sobre las normas de seguridad existentes en materia de protección de datos personales. Adquiriendo los conocimientos y habilidades necesarios para poder tratar los datos personales en sus organizaciones de forma adecuada y legal.
      2. Temario.
         1. Unidad 1: La protección de datos y sus obligaciones. Introducción.
         2. Unidad 2: Obligaciones del responsable del tratamiento. Registro de actividades de tratamiento.
         3. Unidad 3: Principios de la protección de datos.
         4. Unidad 4: Derechos de los interesados.
         5. Unidad 5: Evaluación de impacto y análisis de riesgos.
         6. Unidad 6: Medidas de seguridad para la protección de datos.
         7. Unidad 7: Delegado de protección de datos.
         8. Unidad 8: Programa de cumplimiento interno.
         9. Unidad 9: Derechos digitales y su protección.

• Material: Manuales del curso completo y ejercicios.

1. Tiempo: 20 horas. 12 horas de formación teórica y 8 de ejercicios.
2. Precio: 360 €/alumno. Mínimo 10 alumnos.
3. Solicitud de inscripciones: info@protec-datos.com
4. Convocatoria: junio-2019
5. Lugar de celebración: Gran Canaria

La AEPD elabora un decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados

La Agencia Española de Protección de Datos ha elaborado un listado de claves imprescindibles a tener en cuenta en los dispositivos con conexión a internet.

(Madrid, 15 de diciembre de 2016). Uno de los ejes principales de actuación de la Agencia Española de Protección de Datos (AEPD) es apostar de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. La Agencia ha elaborado un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta en los dispositivos conectados.

1.  Tu cuerpo dice más de lo que crees. La tecnología ‘vestible’ (pulseras, relojes, podómetros, etc.) incorpora sensores que registran y pueden transferir información sobre hábitos y costumbres del usuario, tanto al fabricante como a terceros. Si los utilizas para monitorizar tu actividad física, es recomendable comprobar quién está recogiendo los datos que aportas, para qué los va a utilizar y si los va a ceder a otros. Si vas a subir estos datos a una red social intenta dar la menor información personal posible al registrarte y elimina o limita el acceso a tu ubicación siempre que puedas, ya que a partir de este dato se puede inferir mucha más información sobre ti de la que imaginas.

2.  Una ventana indiscreta. Buena parte de los dispositivos incorporan cámaras que aportan funcionalidades añadidas. Desconéctala o tápala con una cinta adhesiva si no la estás utilizando para evitar que un extraño pueda verte si se hace con el control del dispositivo sin que te des cuenta. Por otro lado, en el caso de un dron, además de la normativa aeronáutica, ten en cuenta que si difundes por internet imágenes en las que se pueda identificar a las personas que aparecen en ellas, necesitarás tener su permiso o consentimiento.

3.  Dispositivos vulnerables. Bloquea la pantalla de inicio y utiliza un código de desbloqueo lo más largo posible. Además, actualiza el software de tus dispositivos siempre que sea posible para evitar que sean vulnerables ante un posible hackeo y valora instalar algún programa que te proteja ante el software malicioso. Desactiva el bluetooth si no vas a utilizarlo y la conexión automática a wifis abiertas, ya que pueden ser una puerta de entrada para posible ataques.

4.  Protege tus datos ante pérdidas o robos. Localiza en las opciones de configuración del terminal la forma en la que podrías acceder a distancia a su contenido para eliminarlo y piensa si te interesa utilizar una aplicación para realizar el borrado remoto. Valora si además quieres bloquear algunas aplicaciones que contengan información sensible y, en cualquier caso, realiza copias de seguridad con frecuencia.

5.  Apps: no aceptes sin leer. Antes de instalar una aplicación, consulta su política de privacidad para comprobar quién va a recoger qué datos sobre ti y qué va a hacer con ellos. Valora también los comentarios de otros usuarios, ya que en ocasiones pueden aportarte información útil. Además, comprueba periódicamente las apps instaladas y qué permisos les has concedido, y elimina aquellas que ya no utilices.

6.  La ubicación no siempre es necesaria. Configura tu dispositivo móvil para que las apps te pidan permiso para acceder a tu ubicación y comprueba si tus redes sociales difunden tu posición. Activa la geolocalización manualmente sólo cuando la necesites.

7.  Juguetes conectados. Comprueba en primer lugar si pueden captar la voz o la imagen de los menores, entre otros datos, mientras juegan con ellos y dónde se almacenan. Revisa la política de privacidad para consultar qué permisos estás concediendo y a quién sobre esos datos. Si te piden que registres el juguete online para obtener funciones adicionales, averigua cual será el destino de la información personal facilitada y para qué se utilizará.

8.  Demasiadas contraseñas. Las contraseñas deben ser robustas y es necesario utilizar una diferente para cada servicio. ¿Cómo recordarlas todas? Es recomendable utilizar un gestor de contraseñas que las almacene cifradas en el dispositivo y que, para acceder a ellas, utilices lo que se conoce como una contraseña maestra. En cualquier caso, evita tener las contraseñas almacenadas en tu correo electrónico o en un documento sin seguridad.

9.  Menores: edúcales. El diálogo y la supervisión son las mejores herramientas cuando los menores entran en contacto con la tecnología. Es recomendable acordar con ellos para qué van a utilizar los dispositivos y valorar si se quieren instalar herramientas de control parental. Es aconsejable que si los padres quieren instalar un software de localización en el dispositivo para conocer la ubicación del menor, lo hablen previamente con él.

10. ¿Sabes dónde compras? Asegúrate en primer lugar de que la dirección web de la página es en la que realmente quieres comprar y, antes de facilitar tu información, comprueba quién y para qué la utilizará, revisando especialmente si la política de privacidad identifica al responsable y si muestra su domicilio social. Presta especial atención a las casillas que te piden permiso para utilizar tu información para enviarte publicidad y no las marques si no te interesa, ya que no es obligatorio. Sospecha de las páginas que ofrecen precios excesivamente bajos y si te surgen dudas busca una alternativa que te aporte más confianza y seguridad.

Se puede ampliar información sobre estos consejos, así como encontrar recomendaciones adicionales en la ‘Guía de privacidad y seguridad en internet’ realizada por la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad (INCIBE), que incluye 18 fichas con consejos prácticos para reducir los riesgos en un mundo hiperconectado.

Sanción por envío de email a múltiples destinatarios sin copia oculta

La AEPD ha sancionado a la entidad Fundación Santa María la Real por el envío de un correo electrónico realizado el pasado 31 de mayo de 2012 sin copia oculta, figurando en el mismo la dirección electrónica de unos 1.000 destinatarios distintos.

La entidad sancionada reconoció los hechos que se le imputan a fin de atenuar la graduación de la sanción que fue tipificada como GRAVE. En las diligencias abiertas quedó acreditado como hecho probado la realización del envío del correo electrónico objeto de la denuncia con los datos de múltiples destinatarios a la vista.

El artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

Teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 y el contenido del art. 45.5.d) de la LOPD, al haber reconocido el denunciado su culpabilidad y en especial la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento procede aplicar lo dispuesto en el art. 45.5 de la LOPD e imponer la sanción dentro del intervalo de las calificadas como
leve.

Tomando en consideración la obtención licita de los datos de correo electrónico del denunciado, el número de destinatarios (más de mil), así como el tipo de información a la que hacía referencia el correo (información sobre la presencia de la misma en la Feria del Libro), por todo ello procede la imposición de la sanción en el importe de 2000 €.

Impresiones de la nueva ISO 27000 para 2013

Hay más de 30 normas de la serie ISO 27000, las cuales están en constante cambio porque la seguridad de la información y las mejores prácticas evolucionan constantemente. Estos son los cambios que probablemente ocurrirán en 2013 con estas normas:

ISO/IEC 27001: dado que esta es la norma principal de la serie, su revisión se espera con gran expectación. Fue publicada en 2005, por lo que los cambios seguramente no serán menores. El cambio más grande (además de los controles del Anexo A, véase la norma ISO 27002 a continuación) será en la estructura de la norma. De acuerdo con las directivas ISO anexo SL (anteriormente denominado ISO Guide 83), la estructura de cada estándar de administración debe ser alineado, por lo que el mismo destino tendrá esta revisión de la norma ISO 27001. Estos cambios son visible en la norma ISO 22301, la norma de continuidad de negocio nuevo, que fue la primera en cumplir con la Guía 83.

La fecha de publicación de la norma ISO 27001 no se ha establecido aún, pero podría ser en la segunda mitad de 2013.

ISO/IEC 27002: la revisión de esta norma se publicará junto con la norma ISO 27001, ya que brinda directrices para la aplicación de los controles de la ISO 27001 Anexo A. Por lo tanto, estas dos normas deben alinearse completamente. ¿Cuáles serán las revisiones?

ISO/IEC 27004: este es el estándar que define las métricas de seguridad de la información, en otras palabras, la forma de medir seguridad de la información en una organización. Se ha publicado inicialmente en 2009 entrará en proceso de revisión durante 2013.

ISO/IEC 27006: esta norma define los requisitos para los organismos de certificación que prestan los servicios de auditoría. Como otras normas de auditoria (ISO 19011 e ISO 17021) están actualmente en proceso de revisión. Se espera que la versión revisada de la norma ISO 27006 se publicará en 2013 o 2014.

ISO/IEC 27011: es el estándar que proporciona directrices para la gestión de seguridad de la información en las telecomunicaciones. Como se basa en gran medida en la norma ISO 27002, se revisará una vez que la nueva versión de la norma ISO 27002 se publique. Puede ocurrir en el 2013, pero es más probable en 2014.

ISO/IEC 27014: define la gobernanza de la seguridad de la información, ya que esta norma está, al momento de escribir este artículo en estado FDIS (final), se espera que se publicará en el primer semestre de 2013.

ISO/IEC TR 27016: es el estándar que define la economía organizacional para la gestión de información de seguridad. Dado que esta norma se encuentra todavía en la versión preliminar, es teóricamente posible que se publicará en 2013, sin embargo, 2014 es mucho más realista como un año de publicación.

ISO/IEC 27017: es el estándar que define la seguridad en Cloud Computing. Ya que dependerá en gran medida de revisar la norma ISO 27001 e ISO 27002, a lo sumo se publicará a finales de 2013 o el primer semestre de 2014.

ISO/IEC 27018: es el estándar que va a proporcionar el código de prácticas para el control de la protección de datos para los servicios públicos de Cloud Computing. Similar a la norma ISO 27017, esta norma debe esperar hasta que se publique la norma ISO 27002.

ISO/IEC TR 27019: es la norma que se centra en las directrices de gestión de seguridad para la industria de la energía. Al estar basado en la norma ISO 27002, no se espera que se publicará hasta finales de 2013 o en 2014.

ISO/IEC 27033-5: se encuentra todavía en la fase de borrador, y define cómo utilizar comunicaciones seguras mediante red privada virtual (VPN). Su publicación se espera hacia finales de 2013.

ISO/IEC 27036: está todavía en la fase de borrador y se especifica la forma de regular la seguridad de la información en las relaciones con los proveedores. Esta norma se publicará en cuatro o cinco partes, tres de los cuales podrían ser publicados en 2013 o principios de 2014.

ISO/IEC 27040: define la seguridad de almacenamiento. Está programado para ser publicado en 2013, pero puede ser empujado hasta 2014.

Como se puede ver, muchas normas se publicarán pronto, o por lo menos van a ser revisadas. ¿Quién dice que la seguridad informática es un negocio aburrido?

Fuente: ISO 27001 Standard

Fuente: Segu-Info

Sanción de 6.000€ por indicar en la ventanilla del sobre «COBRO DE MOROSOS» en la reclamación de una deuda cierta.

La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.

Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.

En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo “COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.

En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:

Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.

No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.

Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:

El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.

El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.

También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.

Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.

El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.

En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.

Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.

Siguiendo con los IPAD de sus señorías

La sorprendente noticia que comentábamos hace dos semanas (http://wp.me/pzuzu-ru ) , sobre la pérdida o extravío de, al menos 15 y otros 15, al menos, por avería, por parte de sus señorías del Congreso de los Diputados y el revuelo que ello conllevó, desde el pronunciamiento del propio Congreso sobre la supresión de la sustitución de estos terminales a aquellos diputados que extraviaran los mismos como la aplicación de medidas de seguridad para garantizar la confidencialidad de los mismos.

 Este tipo de noticias no dejan de ser llamativas por el fondo y la forma en que se producen. Llamábamos la atención entonces al hecho de que estábamos ante un claro incidente de seguridad y que la acción correctora por parte del Congreso iría en la línea de aplicar medidas de seguridad concretas a los tablets.

Por esta razón y a fin de conocer mejor las medidas de seguridad que los usuarios de tablets, y concretamente de iPad, los compañeros del blog Seguridad Apple han redactado un excelente artículo que merece la pena leer con detenimiento y, sobre todo, aplicar de forma inmediata en el iPad, si somos usuarios de ellos.

 Os dejo aquí el enlace:

 http://www.seguridadapple.com/2012/11/los-datos-de-los-diputados-robados-o.html

10 consejos para que no usurpen nuestra identidad en Internet

Una guía para usuarios novatos que puede ayudarlos a evitar que su paseo por la red se convierta en un mal viaje

Social Network Security / Imagen: Chris2d (CC)

Lo más benigno que puede ocurrir cuando alguien usurpa nuestra identidad en Internet es aquel molesto mensaje en Facebook que deja algún amigo que tomó nuestra cuenta como escenario para reírse de uno. Sin embargo, el robo de identidad en Internet puede llegar hasta extremos que podrían chocar con nuestras finanzas o nuestro récord criminal.

Revisemos algunas prácticas para evitar que eso ocurra.

1. Cierra sesión. No importa que estés en la computadora que usas todos los días en el trabajo. La primera medida de seguridad es evitar mantener la sesión de nuestras redes sociales y de correo abiertas. En el caso de Facebook, hay una opción para mantener la seguridad que pocos conocen: la red social nos permite saber desde dónde te has conectado por última vez.

2. El modo incógnito. Una forma de asegurarnos que nuestras sesiones no queden guardadas es ingresar a través del “modo incógnito” o “navegación privada” que varios navegadores usan para no guardar registro de los sitios web visitados. Así la máquina no podrá guardar las contraseñas y nuestra información estará a salvo.

3. Deja de exhibirte (I). No importa que tus fotos estén en modo privado en tus redes sociales, o que se las envíes solo a tus amigos por mail. Puede que quienes tienen acceso a ellas las publiquen o compartan. Es mejor evitar compartir imágenes que luego puedan ser usadas por alguien que quiera usurpar tu identidad.

4. Deja de exhibirte (II). Otra forma en la que la gente suele exhibirse es dando información: presumir del nuevo celular que te costó una millonada puede ser un error, tanto como poner imágenes del auto nuevo o de la casa recién comprada. Todo eso termina siendo información que puede ser usada por alguien que quiera tomar nuestra identidad.

5. La geolocalización. Redes como Foursquare pueden ser un problema: ya se ha visto bromas de gente haciendo check in en el banco, pero el tema va más allá. Las fotos, por ejemplo, tienen la fabulosa opción de registrar dónde han sido tomadas, por lo que alguien que quiera obtener información de uno para robar nuestras contraseñas podría saber hasta dónde queda nuestra casa.

6. Contraseñas fuertes. Olvidémonos de una vez de poner eso de la fecha de nacimiento o el número de teléfono. Evitemos poner preguntas de seguridad muy obvias. Hay algunas que podrían ser averiguadas fácilmente por alguien con acceso a nuestra cuenta.

7. Registrar nuestro nombre. Otra posibilidad es la de empezar a comprar dominios con nuestro nombre para que luego nadie los compre con el fin de incomodar. También podemos crear cuentas en todas las redes sociales que se nos ocurran, sin ninguna información.

8. El https. Las direcciones de Internet suelen estar antecedidas por los caracteres http://. Sin embargo, si es que se te pide algún dato personal como números de cuenta, por ejemplo, ve que la dirección tenga delante los caracteres https://, que garantizan que el pedido se hace desde un servidor seguro.

9. La máquina segura. Un amigo decía que la única computadora a la que no le entran virus es aquella que no está conectada a Internet ni tiene puertos USB. Así que para evitar que ingresen bichos que podrían vulnerar nuestra seguridad, es necesario tener todos los antivirus, firewalls y antispyware posibles, además de seguir algunas reglas de comportamiento que evitarán que descarguemos programas espías.

10. La computadora ajena. Si no estás en una máquina que habitualmente uses, mejor no entres a tus cuentas privadas. Suele pasar cuando estamos de viaje, por ejemplo. Si tu situación es esa, mejor ingresa desde tu laptop, celular o tablet y hazlo a través de una conexión segura.

Fuente: Cryptex y http://www.elcomercio.pe

Asegurando tu Apple iOS I y II: ¡Qué nadie lo use sin tu permiso!

En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Apple iOS», En esta entrega se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario

Guía para empresas: identidad digital y reputación online

 

La identidad online de la empresa viene definida por el conjunto de información que aparece en Internet sobre la misma: datos, imágenes, registros, comentarios, etc. Dicha información engloba tanto aquellos contenidos que activamente genera la organización, como los comentarios y opiniones que los demás vierten en la corriente social.

Este hecho hace que cada vez sea más importante la monitorización de la valoración que el público hace de la compañía en la Red y llevar a cabo una adecuada gestión de reputación online corporativa, sin dejar de considerar los aspectos relativos a la protección de la información empresarial y los datos personales de clientes y proveedores.

INTECO publica la Guía para empresas: identidad digital y reputación online con el objetivo de dar a conocer los principales aspectos relacionados con la privacidad y seguridad y aportar pautas para la correcta creación y gestión de la identidad digital corporativa.

Para ello, se analizan los conceptos de identidad digital y reputación online en el ámbito empresarial, describiendo y ejemplificando diversas situaciones de riesgo desde el punto de vista de la seguridad y privacidad que pueden provocar un impacto reputacional para la organización. Asimismo, se profundiza en el marco legal que asiste a las organizaciones que han visto dañada su reputación online y se aportan pautas y recomendaciones de gestión de la presencia de la empresa en la Red y de control de los impactos reputacionales.

El establecimiento de una estrategia integrada de gestión de la identidad y reputación online permite a las organizaciones alcanzar una determinada posición en los medios sociales y comunicarse mejor con los clientes, proveedores y público en general.

Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?

Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.

Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.

Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.

¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..

¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que «supuestamente» han sido extraviados.

Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.

Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:

Artículo 90. Registro de incidencias.

“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Y, además, el artículo 101.2, bajo el epígrafe «Gestión y distribución de soportes», señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 

¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.

1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.

2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.

Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.

Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.

Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.

Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.

Hemos hablado en este post de los tablets «perdidos o extraviados» y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que «a buen entendedor pocas palabras bastan».