LOPD Proteccion de datos: 2011

miércoles, 14 de diciembre de 2011

ISO 27001: Incidentes seguridad

Entre otras muchas cuestiones, la norma ISO 27001 se preocupa por la regulación de los incidentes de seguridad que puedan afectar a la información (perdida de datos, destrucción de equipos informáticos, documentación, etc…). Estos incidentes deberán ser registrados y comunicados al responsable de la organización, y para ello se establecerá un procedimiento concreto.

Se trata, además, de una obligación legal que viene ya impuesta por la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y por el Real Decreto 1720/2007, por el que se aprueba el Reglamento que la desarrolla.

Así, en el artículo 90 del citado Reglamento, ya se dispone que “deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”.

La norma ISO 27001, establece una serie de posibles controles a aplicar para gestionar los incidentes que afecten a cualquier tipo de información dentro de la FGUMA, con el objetivo final de asegurar que los eventos y debilidades de seguridad de la información sean comunicados de una manera tal que permita que la acción correctiva sea tomada oportunamente. Los controles pueden consistir en:

Reporte de los eventos de seguridad: Se ha de dejar constancia y comunicar los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.

Reporte de debilidades: Se pedirá a empleados, contratistas y usuarios que detecten e informen sobre cualquier debilidad en la seguridad de los sistemas o servicios que se haya observado o sospechado.

Responsabilidad y procedimientos: La organización fijará quiénes son los responsables de la gestión de incidentes y los procedimientos a seguir, a fin de asegurar una respuesta rápida, eficaz y ordenada.

Aprendizaje de los incidentes: Se establecerán mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad.

Recolección de evidencias: Si a consecuencia de un proceso judicial se hiciera un seguimiento contra una persona u organización por incidentes de seguridad, se recolectarán, conservarán y presentarán las pruebas conforme a la legislación aplicable en cada caso.

domingo, 27 de noviembre de 2011

Implantar un SGSI

¿Cómo se implanta un Sistema de Gestión de Seguridad de la Información?

La norma ISO 27001 es un modelo para poder establecer, implementar, monitorear, revisar, mantener y mejorar un SGSI para cualquier tipo de organización. El SGSI estará influido por las necesidades de cada empresa, sus objetivos, sus requisitos de seguridad, sus procesos, sus empleados, su tamaño, sus sistemas de soporte y su estructura, por lo que cada SGSI se confeccionará de la forma más adecuada para cada empresa, pero siempre respetando las normas y el modelo de la ISO 27001.

La norma ISO 27001 sigue el denominado CICLO DEMING del Plan, Do, Check, Act:

PLAN (PLANIFICAR): Es el establecimiento del SGSI: en esta primera fase se trata de determinar el alcance del SGSI (si se va a aplicar a todos los procesos internos de la empresa o sólo a algunos), identificar los activos de información (software, hardware, personal, servicios que se prestan, etc…) y valorar su importancia en la empresa, analizar y evaluar los riesgos que pueden afectar a esos activos (virus informáticos, falta de formación del personal, averías de ordenadores, incendios, inundaciones, etc…), y qué se puede hacer para controlar esos riesgos en la medida de la posible.

DO (HACER): Es la implementación del SGSI: Consiste en llevar a la realidad las medidas y acciones a aplicar para hacer posible el control de los riesgos a que está sometida la información de la empresa (por ejemplo: instalación de antivirus, plan de formación para los trabajadores en materia de seguridad de la información, implantación de un buen sistema de copias de seguridad, etc…).

CHECK (VERIFICAR): Es la fase de monitoreo y revisión, por la cual la empresa establece procedimientos y rutinas para poder revisar el desenvolvimiento y la eficacia de ese sistema de medidas de seguridad implantado.

ACT (ACTUAR): Es la fase de mejora continua, donde se toman las acciones oportunas para reaccionar ante incidentes de seguridad y tomar también acciones preventivas.

domingo, 9 de octubre de 2011

SGSI e ISO 27001

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?.

Es una parte más del sistema de gestión general de cualquier empresa, pero centrado en mejorar la seguridad de la información. Se trata de definir y establecer un sistema que determine qué hay que proteger en una empresa (archivos en papel, ordenadores, routers, formación de los trabajadores…) y por qué; de qué hay que protegerlo (incendios, inundaciones, robos, virus informáticos, desinformación de los empleados…) y cómo debe protegerse (instalación de contraseñas en ordenadores, antivirus, controles de acceso físicos, formación para los empleados…).

Este sistema se articulará por medio de una serie de normas y de procedimientos concretos y detallados.

¿Por qué implantar un Sistema de Gestión de Seguridad de la Información en mi empresa?

La información (ya sea en formato papel o en cualquier ordenador) que se maneja hoy día en cualquier empresa, organismo o entidad, tiene una importancia vital para el funcionamiento de la misma. La pérdida, por ejemplo, de una base de datos en una empresa, podría dejar paralizada su actividad, impidiendo que se sigan prestando los correspondientes servicios a sus clientes.

Evitar, en la medida de lo posible este tipo de situaciones (así como cualquier pérdida de información debida a desastres naturales o de otra índole, ataques de terceros a través de los sistemas informáticos e internet, etc…), saber cómo actuar cuando sucedan y tener una capacidad de respuesta ante las mismas, son las razones fundamentales por las que se debe implantar un Sistema de Gestión de Seguridad de la Información.

¿Qué es la ISO/IEC 27001?

Es la norma internacional que da las instrucciones y define los pasos para llevar a cabo ese Sistema de Gestión de Seguridad de la Información (SGSI), y sirve para la evaluación de la conformidad, es decir: para obtener un Certificado de una entidad debidamente autorizada sobre la idoneidad de ese SGSI, al igual que ocurre con el sistema de gestión de calidad certificable según la norma ISO 9001, popularmente más conocida.

lunes, 26 de septiembre de 2011

Borrado de imágenes-LOPD

Son muchos los locales donde existen cámaras de videovigilancia que registran imágenes del personal, proveedores, usuarios, clientes y cualesquiera otras personas que acceden a los mismos.

En este artículo se analiza el plazo de conservación durante el que se han de conservar las imágenes y la forma en que se ha de proceder a su cancelación.

Para ello, hemos de atender al Informe emitido por la Agencia Española de Protección de Datos en el año 2009 con el número 472, del que destacamos lo siguiente:

1 - Debe señalarse, sobre el período de conservación de las imágenes, que según el artículo 6 de la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia, que “Los datos serán cancelados en el plazo máximo de un mes desde su captación.”

- Establece el artículo 4.5 de la Ley Orgánica 15/1999 que “Los datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.” Dicha previsión se reitera en el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica. El criterio de la Agencia, atendiendo a dicho principio, ha sido entender que las imágenes grabadas, para cumplir con la finalidad de seguridad, deben de conservarse como máximo durante un mes, una vez cumplida dicha finalidad, éstas deben de cancelarse. Por lo que dicho plazo sigue vigente tras la entrada en vigor del Reglamento dado que no se opone a las previsiones contenidas en el mismo.

- - Los datos serán cancelados en el plazo máximo de un mes desde su captación, lo que quiere decir es que una vez transcurrido dicho plazo las imágenes deberán de ser canceladas, lo que implica el bloqueo de las mismas pues así lo establece, la Ley Orgánica 15/1999 que en el artículo 16.3 señala que “la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión”.

- El Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”

- En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe de la Agencia de 5 de junio de 2007 que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”

- Sobre el plazo de conservación de las imágenes bloqueadas, “resulta imposible establecer una enumeración taxativa de los mismos, debiendo, fundamentalmente, tenerse en cuenta, como ya se ha indicado con anterioridad, los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria o el plazo de prescripción de tres años, previsto en el artículo 47.1 de la propia Ley Orgánica 15/1999 en relación con las conductas constitutivas de infracción muy grave.”

viernes, 19 de agosto de 2011

Seguridad en internet

Para dar cumplimiento a las previsiones del artículo 9 de la LOPD, son de gran utilidad las recomendaciones publicadas por la Agencia Española de Protección de datos, que se relacionarán a continuación en el presente artículo, y en lo relativo a la navegación por internet y al uso del correo electrónico por parte de los usuarios.

Según el referido artículo 9.1, “El responsable del fichero, y, en su caso, el encargado de tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Este es el listado de recomendaciones que ha publicado la AEPD:

RECOMENDACIONES A USUARIOS DE INTERNET, 2009.

NAVEGACIÓN EN INTERNET

Los riesgos existentes al navegar a través de la red pueden ser numerosos. A la vista de los mismos, conviene tener presentes las siguientes recomendaciones:

1. El equipo deberá protegerse adecuadamente utilizando para ello un software de antivirus y de seguridad específico.

2. Debería configurarse de manera adecuada el software del navegador con las opciones de seguridad más restrictivas y eficaces.

3. El software instalado en el equipo se deberá actualizar periódicamente con objeto de disponer en el mismo de la última versión, prestando especial atención al sistema operativo, al software antivirus, al propio navegador y a las opciones disponibles de seguridad.

4. El intercambio y la entrega de datos de carácter personal deberá efectuarse, exclusivamente, en aquellos sitios que cuenten con protocolos seguros y en los que se respeten los principios previstos en la legislación en materia de protección de datos. En todo caso, antes de facilitar datos de carácter personal hay que asegurarse de que el sitio web dispone de política de privacidad y que en la misma consta, entre otra información en materia de protección de datos, la identidad y dirección del responsable y la finalidad con la que se recaban los datos, los cuales deberán ser los estrictamente necesarios para la finalidad de que se trate.

5. El equipo deberá protegerse a través de una contraseña que restrinja el inicio de sesión y que impida que un tercero pueda acceder a él. Las contraseñas deberán mantenerse, por supuesto, en secreto, no revelándose a ningún tercero y no serán anotadas en lugares fácilmente accesibles.

6. Deberá evitarse acceder a los sitios web a través de enlaces incluidos en mensajes de correo electrónico o en sitios web de terceros en los que no confiemos.

7. Con objeto de evitar que se pueda realizar un seguimiento de las visitas efectuadas a otros sitios web, se borrarán del equipo periódicamente los archivos temporales y las "cookies", teniendo en cuenta que, en este último caso, el usuario puede configurar el navegador para evitar la grabación de las "cookies" en el equipo.

8. La mayor parte de los navegadores incorporan sistemas de bloqueo de ventanas emergentes y de descarga de programas y archivos. Es recomendable mantener actualizado siempre su navegador.

9. Deberán adoptarse las precauciones oportunas antes de proceder a la descarga de archivos asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.

10. En aquellos equipos que no sean de uso personal, deberá desactivarse la opción que poseen los navegadores que permite el almacenamiento de las contraseñas o el guardar información relativa al inicio de las sesiones (usuario y contraseña). También se prestará especial atención para deshabilitar la opción de los navegadores que permite mantener un historial de direcciones web, nombres de usuarios y contraseñas con el fin de permitir su uso en la cumplimentación automática de formularios. Resulta especialmente conveniente que, al finalizar la sesión de navegación en esos equipos, se eliminen todos los archivos temporales, las "cookies" y el historial de Internet que se encuentra en el navegador.

11. En todo momento, habrá que estar atento para detectar si el equipo da señales de que ha sido instalado un software malicioso. Entre los signos que podrían indicar que este software se encuentra instalado en el equipo se encuentran los siguientes: la página principal u otros elementos de la configuración del navegador han cambiado, algunas páginas web no son accesibles, las ventanas emergentes aparecen de manera interminable, se han instalado nuevas barras de herramientas o el equipo funciona con gran lentitud.

USO DEL E-MAIL

El correo electrónico (e-mail) es el servicio de comunicación que ha alcanzado un mayor nivel de desarrollo en Internet, tanto a nivel de comunicación privada como en el ámbito de las relaciones profesionales y comerciales. En ese sentido, el mismo hecho de su éxito y nivel de utilización lo convierte en uno de los medios más utilizados de difusión de software malicioso y de contenidos no solicitados que pretenden tener una difusión masiva con un coste reducido para sus autores.

En todo caso, las recomendaciones relativas al uso del servicio de correo electrónico son las siguientes:

1. Para acceder a su cuenta de correo electrónico, además de su código de usuario utilice una contraseña. Elija una contraseña que no sea una palabra de los idiomas más utilizados (una combinación aleatoria de letras mayúsculas y minúsculas, números y símbolos es una buena elección) y cámbiela de forma periódica. La contraseña debería contar con un mínimo de ocho caracteres y cambiarse al menos en una ocasión al año.

2. No utilice la opción de "Guardar contraseña" que, en ocasiones, se le ofrece para evitar reintroducirla en cada conexión.

3. Si no quiere hacer pública su dirección de correo electrónico, configure su navegador para que no se la facilite a los servidores Web a los que accede. Conviene tener en cuenta, antes de proporcionarlos, que tanto nuestra dirección de correo electrónico como el resto de datos que proporcionamos para su inclusión en un directorio o lista de distribución, son susceptibles de ser utilizados sin nuestro conocimiento para fines diferentes de aquellos para los que fueron suministrados.

4. Sea consciente de que cuando envía mensajes de correo a una variedad de destinatarios, está revelando las direcciones de correo electrónico de los mismos que figuran en los campos "Destinatario" o "Con Copia (CC)" a todos los receptores del mensaje. Para evitarlo, puede incluir los destinatarios del mensaje en el campo "Con Copia Oculta (CCO)" de tal forma que ninguno de los receptores podrá acceder a la dirección de correo electrónico del resto de los destinatarios.

5. Configure su programa de correo en el nivel de seguridad máximo. Si es Vd. usuario de correo web, decántese de ser posible por un proveedor de servicios que ofrezca análisis del contenido de los mensajes; Además, configure su navegador en el máximo nivel de seguridad posible.

6. Mantenga actualizado su programa cliente de correo electrónico, su navegador y su sistema operativo.

7. No abra los mensajes que le ofrezcan dudas en cuanto a su origen o posible contenido sin asegurarse, al menos, que han sido analizados por su software antivirus.

8. Active los filtros de correo no deseado de su programa de correo electrónico.

9. Procure no utilizar para usos personales la dirección de correo electrónico que le haya sido proporcionada en el marco de su relación laboral. Tenga en cuenta que, en algunos casos, los mensajes de correos de esas cuentas pueden ser monitorizados por la entidad responsable de las mismas. En todo caso, solicite ser informado de las limitaciones de uso establecidas así como de la posibilidad de que sea monitorizado el contenido del buzón de correo asociado.

10. Evite reenviar cadenas de mensajes.

11. Si ha de remitir mensajes a un conjunto de usuarios conocido, utilice, si su programa cliente de correo lo permite, las direcciones de grupo.

12. Lea cuidadosamente las condiciones del servicio que su proveedor de correo electrónico ha de poner a su disposición, haciendo especial hincapié en todo lo referido a la obtención y uso de sus datos de carácter personal, así como los medios de los que dispone para garantizar la privacidad de sus mensajes.

13. Si va a enviar por Internet documentos privados, es conveniente utilizar sistemas que permitan el cifrado de su contenido.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.