Archivo para: Julio, 2006

Equipos portátiles y seguridad

Jul 28 2006 Publicado por Felix Haro en Seguridad

Seguridad portátilesEl mayor problema que plantea el almacenamiento de datos en ordenadores y otros dispositivos portátiles es que su movilidad implica un riesgo directo de robo o extravío. Uno de los objetivos a conseguir es que en estos casos no pueda utilizarse la información que contienen: datos de clientes, de prospectos, de la estrategia del negocio, etc.

¿Qué soluciones están a nuestra disposición?

-Autenticación: pueden utilizarse las “Smart Cards”, donde se almacenan las contraseñas, o dispositivos de autenticación biométricos (huella digital). Prefiero los últimos, porque a nadie se le puede olvidar su propio dedo

- Servicios de “tracking”: quizá todavía suene a ciencia-ficción en España, pero ya hay empresas que empiezan a ofrecer la recuperación de la información del equipo perdido, e incluso el borrado del disco duro. Eso siempre que el ladrón de turno se conecte a internet, claro.

- Encriptación: ¿y si se separa el disco duro del portátil?, ¿dónde quedan los medios de protección mediante autenticación?… Debe buscarse una solución que permita encriptar cualquier tipo de fichero. Y que además no almacene la clave en el mismo disco duro.

Una combinación de las anteriores soluciones a la que se sume la debida concienciación del personal permitirá minimizar los riesgos. Aunque el 100% de seguridad siempre es inalcanzable

Sin comentarios

Oportunismo y nuevo reglamento LOPD

Jul 26 2006 Publicado por Felix Haro en AEPD, Legislación, Protección de datos

Reglamento LOPDHe recibido en mi correo electrónico una oferta de un prestigioso centro de formación sobre un seminario sobre “cómo elaborar una política integral de protección, privacidad y seguridad de datos”.

Cuando sigo leyendo veo que se afirma que está “adaptado al nuevo Reglamento LOPD”.

Y me pregunto, ¿cómo es posible, si aún no ha sido aprobado y publicado? ¿cómo pueden afirmar que este seminario está adaptado a algo que no se ha publicado?

Están proliferando los cursos y seminarios sobre este “misterioso” nuevo reglamento, mientras que la Agencia Española de Protección de Datos no se ha dignado en difundirlo. ¿Por qué?

En la web de la AEPD aparece una nota informativa donde su Director, D. José Luis Piñar Mañas, afirma en cuanto a este reglamento que “se ha retrasado la aprobación del texto, pero ha sido por contar con la opinión de los sectores afectados, porque se trata de aprobar un reglamento que a todos nos va a afectar como ciudadanos, responsables o encargados

¿Cuándo se ha contado con la opinión de los sectores afectados? Algo me he debido perder. Me he vuelto loco buscando en la web… y no he visto ninguna apertura de período de consulta pública, ni ningún resultado o informe final que resuma las inquietudes y observaciones de “ciudadanos, responsables y encargados”

A pesar de que algún miembro que otro de la Agencia está más tiempo dando conferencias sobre este nuevo y futuro reglamento que en su puesto de trabajo.

Aún no se han dignado en colocar un borrador en la página web, a hacerlo público… Y sin embargo, este borrador ha pasado a manos de entidades privadas de formación, “prestigiosos” aplicadores de la LOPD, y demás fauna ibérica. De alguna parte ha salido: o de la misma Agencia, o del Ministerio de Justicia.

Quizá sale más rentable así, pero es de dudosa ética. O a mí me lo parece.

Sin comentarios

Prestación de servicios y medidas de seguridad

Jul 06 2006 Publicado por Felix Haro en Empresas, Protección de datos, Seguridad

Medidas de SeguridadAcabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros a los que había que entregar su equipaje, que previamente Iberia había perdido. La encargada de hacer esto es una empresa subcontratada, que es la que perdió este listado.

Al no incluirse en el contrato de prestación de servicios las previsiones del artículo 12 LOPD, la Agencia Española de Protección de Datos sancionó a Iberia: no se garantizaron las medidas de seguridad, y se consideró el tratamiento de la tercera empresa como una cesión no consentida por los titulares.

Esto me hace pensar en las empresas de mensajería que acceden a la identificación del destinatario del paquete/carta, y a su dirección postal, siendo esto es necesario para prestar su servicio.

La LOPD las considera encargadas del tratamiento (artículo 12, acceso a datos por cuenta de terceros). Se deben responsabilizarse de las medidas de seguridad que corresponden a los datos que reciben para el cumplimiento de su servicio. Datos a los que corresponde el nivel de seguridad básico.

Entre otras cosas se ha de evitar su pérdida, pero…¿no es este el riesgo más alto que corre una empresa de paquetería, los extravíos de paquetes o cartas? Tratando un grandísimo volumen de envíos, mayor es el porcentaje de riesgo que asumen.

¿Qué ocurre si no se incluyen las condiciones que marca el artículo 12 en el contrato de prestación de servicios? La consecuencia es que se les tratará igual que a Iberia, quien era responsable de la seguridad de los datos que cede para que le presten el servicio.

¿No debieran tener una especial diligencia estas empresas de paquetería en el tratamiento de datos? Debieran observar por sí mismas las medidas de seguridad. De lo contrario, con no firmar el contrato que impone el artículo 12 LOPD, o no marcar sus estipulaciones en el contrato de prestación de servicios, quedarán exentas de responsabilidad en caso de extravío de datos personales. Y esto no es lógico.

Sin comentarios