Publicado en el BOE el Reglamento de la LOPD

Hoy se publica en el BOE el Reglamento de desarrollo de la LOPD (PDF), que entrará en vigor dentro de tres meses. La principal novedad es la extensión de las medidas de seguridad al soporte papel. Mañana iniciaré la publicación en este blog de una serie de presentaciones multimedia que explicarán el contenido de esta norma y su impacto en las empresas.

Acceso al Reglamento (PDF)

 

Conclusiones del desayuno de trabajo de Madrid

El pasado jueves se celebró en Madrid el desayuno de trabajo sobre control empresarial del correo electrónico, al que asistieron más de 100 empresas. Los resultados del sondeo indicaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total = 0%
2. Uso moderado =   95%
3. Sin restricciones =  5%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación = 7%
2. Comunicación + aceptación expresa del trabajador = 93%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta =  21%
2. Información datos de contacto del sustituto = 6%
3. Autorización para acceder a la cuenta = 3%
4. Combinación de las anteriores = 42%
5. No tiene protocolo = 28%

Nuevo modelo de informe anual de buen gobierno

El BOE de hoy publica el nuevo modelo de informe anual de buen gobierno que las sociedades anónimas cotizadas deben utilizar para comunicar a la CNMV el nivel de cumplimiento del Código Unificado de Buen Gobierno Corporativo. Sigo pensando que tanto el código como el informe anual deberían contener una sección dedicada al buen gobierno de las tecnologías de la información y de las comunicaciones. Las razones para ello son claras:

1. Nivel de dependencia de estas tecnologías.
2. Influencia en la continuidad de la empresa.
3. Alineamiento con los objetivos del negocio.
4. Carácter estratégico de las TIC.
5. Contribución al principio de imagen fiel del estado financiero de la sociedad.
6. Influencia en la confianza de los stakeholders y especialmente de los accionistas.
7. Extensión progresiva del modelo SOX.

Acceso al modelo (PDF)

Desayuno de trabajo sobre control empresarial del e-mail

El próximo jueves, 17 de enero, tendrá lugar en el hotel Miguel Ángel de Madrid un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores. La asistencia es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

En la edición de Barcelona, en la que hubo una representación de unas 100 empresas, se hizo un sondeo en el que se manifestaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total de uso personal: 0%
2. Autorización uso personal sin restricciones / uso moderado: 3%
3. Autorización uso personal con restricciones: 70%
4. NS/NC: 27%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación: 10%
2. Comunicación y aceptación expresa del trabajador: 90%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta: 10%
2. Información datos de contacto del sustituto: 8%
3. Autorización para acceder a la cuenta: 2%
4. Combinación de las anteriores: 25%
5. No tiene protocolo o NC: 55%

Actualización normativa sobre seguridad física

El BOE de ayer publicó el Real Decreto 4/2008 por el que se modifican determinados artículos del Reglamento de Seguridad Privada. Esta norma tendrá un mayor protagonismo con la entrada en vigor del Reglamento de desarrollo de la LOPD, ya que regula la actividad de empresas que acostumbran a prestar servicios de encargado del tratamiento y a realizar funciones delegadas en materia de seguridad física.
Entre los servicios prestados por estas empresas en relación a la LOPD, destacan los siguientes:

1. Control de acceso físico a edificios y locales donde se conservan o tratan datos personales.
2. Tratamiento de datos sobre personas que están legitimadas para el acceso a las instalaciones.
3. Tratamiento de datos sobre las personas que acceden a las instalaciones.
4. Mantenimiento de sistemas de seguridad.
5. Traslado y custodia de documentos con datos personales o información confidencial.
6. Traslado y custodia de soportes informáticos con datos personales o información confidencial.
7. Servicios de escrow de ficheros.

El Nuevo RD modifica los requisitos para el desarrollo de esta actividad empresarial, en cumplimiento de una sentencia del TSJCE que condenaba a España por restringir el libre establecimiento y la libertad de prestación de servicios de seguridad privada en nuestro país.
En este aspecto, destacan los siguientes puntos de la norma:

1. Permite el establecimiento en España de empresas de seguridad privada de otros países de la UE.
2. No será necesario la cumplimentación de requisitos ya acreditados en el país de origen.
3. Las empresas de seguridad privada podrán ser personas físicas o jurídicas.
4. Son válidos los depósitos de garantía establecidos en otros países de la UE.
5. Podrán reconocerse las habilitaciones y cualificaciones profesionales obtenidas en otros países UE.

Entre los requisitos que debe cumplir una empresa de seguridad privada, destacan:

1. Certificado acreditativo de la instalación de un sistema de seguridad.
2. Memoria explicativa de los planes de operaciones de sus actividades.
3. Relación del personal empleado.
4. Seguro de responsabilidad civil, aval o garantía financiera.
5. Depósito de garantía.

Adicionalmente, las empresas que se dediquen a la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, así como a la planificación y asesoramiento de actividades de seguridad, deberán disponer de una zona o área restringida que, con medios físicos, electrónicos o informáticos, garantice la custodia de la información que manejaren y de la que serán responsables.

Todo ello sin perjuicio de los requisitos establecidos en el artículo 12 de la LOPD, cuando éste sea aplicable al servicio prestado.

Acceso al Real Decreto (PDF)

Espionaje comercial a través de Echelon

La información sobre la red Echelon siempre ha rozado la categoría de leyenda urbana. Hoy  he  vuelto a ver un documental de Canal de Historia sobre sus inicios y principales hitos. En él se mencionaba el uso de esta red para capturar información sobre contactos comerciales entre empresas europeas y grandes clientes de otros países. El documental hablaba de la pérdida de estos proyectos debido a la aparición de competidores anglosajones en la fase final de la operación comercial. Éstos conocían los detalles técnicos y económicos de la oferta y podían irrumpir en el proceso con una propuesta altamente competitiva. La existencia de estas operaciones comerciales fallidas fue una de las razones que motivaron una resolución del Parlamento Europeo en abril de 2001 en la que se constataba la existencia de Echelon y se instaba el uso de sistemas de cifrado. Un año después, en una nueva resolución, el Parlamento Europeo se lamentaba de que la Comisión Europea no hubiese hecho nada al respecto.

Ciencia ficción para compensar la falta de imaginación

Esta semana al salir de un taxi me pareció oír una noticia que decía que la Comisión Europea está contratando el asesoramiento de escritores de ciencia ficción para que les ayuden a predecir cómo será nuestra vida dentro de unos años. Al intentar ampliar la información, he encontrado una noticia en USA Today sobre un proyecto cuya existencia desconocía. Parece ser que desde hace más de 15 años, existe un grupo de escritores y expertos en ciencia ficción que ha asesorado al Departamento de Seguridad norteamericano sobre eventuales riesgos (nuevos tipos de armas, etc.) que el futuro podía deparar. Parece ser que este grupo se ha especializado en la actualidad en analizar nuevas formas de ataque terrorista, incluyendo los ciberataques.

Interceptación legal de llamadas en VoIP

Acabo de leer en la revista SIC un interesante artículo de Manuel García sobre los procedimientos que siguen los operadores VoIP para interceptar las comunicaciones que se producen en estas redes tras recibir un requerimiento judicial. Según el autor, las técnicas más extendidas son las aplicaciones especializadas para VoIP, las soluciones específicas para la captura de tráfico a nivel IP y las aplicaciones ya existentes para redes TDM. En todas ellas se utilizan las interfaces de intercambio de información normalizadas a nivel europeo por el ETSI para poner a disposición de la autoridad judicial las comunicaciones del usuario sin que éste sea alertado de ello. Los procedimientos de interceptación de llamadas en voz IP se encuentran en la actualidad en un estado tan avanzado, que sorprende el uso que todavía se da a este medio de comunicación para eludir el riesgo de interceptación en una red de telefonía convencional.

Diligencia debida ante un ataque informático

Además de las acciones preventivas y las medidas de seguridad diseñadas y aplicadas para evitar un ataque, en el momento de valorar la eventual responsabilidad de un ISP por el robo de los datos a de sus clientes, hay que tener en cuenta el protocolo aplicado después del ataque.

Parece ser que el ataque sufrido esta semana por un ISP español podía haber sido evitado si hubiese aplicado un protocolo correcto de actuación depués de recibir el primer ataque. Según lo manifestado por el propio ISP, en abril hubo un primer ataque en el que se accedió a las claves de FTP que los clientes utilizaban para mantener actualizadas sus páginas web, en el marco de un acuerdo de hosting con el ISP. En el segunto ataque se utilizaron las claves usurpadas para acceder a las cuentas FTP, modificar las páginas web y dirigir a los visitantes a otros servidores, donde se les instalaba software malicioso. De ser cierta esta información, el protocolo seguido fue incorrecto. Después del primer ataque, el ISP debía haber hecho lo siguiente:

1. Bloquear inmediatamente las cuentas FTP o el acceso mediante este protocolo.
2. Informar a los usuarios sobre el alcance del ataque.
3. Suministrar nuevas claves a través de medios seguros o permitir su modificación utilizando un factor de autentificación adicional ya que sus claves estaban comprometidas.

Es claramente reprochable que un mes después del primer ataque el mismo ISP sufra un segundo ataque en el que se utilicen los datos obtenidos en el primero. El ISP tuvo tiempo suficiente para cambiar las claves FTP e informar a sus clientes.

Finalización plazo de adecuación a la Instrucción 1/2006 AEPD

El 13 de marzo finaliza el plazo de adecuación a la Instrucción 1/2006 de la Agencia Española de Protección de Datos (AEPD), que genera nuevas obligaciones de registro e información para todas las empresas que tengan cámaras de videovigilancia, interiores o exteriores.

El cumplimiento de las obligaciones puede ser comprobado fácilmente por la AEPD, ya que sólo tiene que verificar si el fichero de videovigilancia está inscrito en su registro y si se ofrece información sobre la existencia de las cámaras al entrar en la zona vigilada.

Entre las comprobaciones y medidas a aplicar para adecuar la empresa a esta nueva instrucción, destacan las siguientes:

1. Existencia y situación de las cámaras
2. Captura de imágenes en espacios públicos o privados
3. Finalidad, alcance e idoneidad del uso de las cámaras
4. Afectados: trabajadores, clientes, visitantes, proveedores, transeúntes, etc.
5. Nivel de identificabilidad de los afectados
6. Requisitos de información mediante logos o distintivos de advertencia
7. Requisitos de información mediante cláusulas contractuales y hojas informativas
8. Requisitos LOPD comunes a todos los ficheros con datos personales
9. Procedimiento de acceso, rectificación y cancelación
10. Análisis de los soportes en los que se almacenan las imágenes
11. Cancelación de los datos a los 30 días de la captura
12. Contrato y cláusulas LOPD con empresa de seguridad que accede a los datos
13. Contrato y cláusulas LOPD con otros proveedores que accedan a los datos
14. Notificación del fichero de videovigilancia al Registro General de Protección de Datos
15. Transmisión de imágenes a través de redes de telecomunicación
16. Copias de seguridad de los soportes que almacenan las imágenes capturadas
17. Inclusión del fichero en el documento de seguridad de la empresa
18. Revisión normas y obligaciones del personal en materia de datos personales y seguridad
19. Otras medidas de seguridad exigidas por el Reglamento de la LOPD