Jornada LOPD sobre el Nuevo Reglamento

Con fecha 5 de Junio de 2008 y acompañando a Germán Díaz, Product Manager de Microsoft Ibérica, mi compañero Chema Alonso y yo, participaremos en la Jornada Gratuita que organiza Borrmart sobre la Puesta en marcha del Nuevo Reglamento de la LOPD.

Fig.- Agenda del Evento

En dicho evento nosotros hablaremos de las nuevas funcionalidad que aportan los Nuevos sistemas Microsoft, de cara a la implementación del nuevo Reglamento. La jornada parece muy interesante además puesto que participarán otros ponentes destacados y entre ellos por parte de la Agencia Española de Protección de Datos, María Jose Blanco Antón, Subdirectora General del Registro General de Protección de Datos de la AEPD. Este encuentro permitirá además la resolución de dudas que serán tratadas por parte de los diferentes ponentes.

La Jornada se realizará en una jornada de mañana en el Hotel Meliá Castilla (C/ Capitán Haya nº 43) de Madrid y hay que tener en cuenta que la asistencia es gratuita pero las Plazas limitadas. La inscripción a la jornada puede hacerse a través de este contacto: Carmen Granados(eventos@borrmart.es o en el teléfono 914029607).

Un saludo a todos y para el que asista al evento, allí nos vemos.

La privacidad en el Correo Electrónico de la Empresa.

Uno de los asuntos que más controversia suele surgir en los cursos técnicos/legales es el relativo a la privacidad de los buzones y el correo electrónico que la empresa proporciona a los empleados. En este sentido unos esgrimen que puesto que es un medio proporcionado por la empresa, ellos pueden controlarlo, mientras que otros articulan que deben garantizarse una serie de derechos fundamentales con respecto a la intimidad y por lo tanto no debe ser controlado por la empresa.

En este sentido y en el sentido estrictos hay dos condiciones legales que pueden contraponerse:

• Estatuto de los trabajadores. Que concede a la empresa las garantías para poder velar por el patrimonio empresarial y la productividad de los empleados:
  
  20.3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

• Constitución. En el Artículo 18 se establece las garantías para el honor y la intimidad donde se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial" , y además "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Adicionalmente en el Código Penal se recoge en su articulado la siguiente información:

“Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

La última norma a tener en cuenta es la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece la necesidad de que los estados miembro garanticen la privacidad de datos en comunicaciones, incluidas las del correo electrónico.

Aunque en estos sentidos las normas fundamentales sobre el derecho a la intimidad son las garantías fundamentales y las que deben prevalecer, es bueno conocer en este sentido como se aplica la justicia. En este sentido los jueces declaran despido improcedente en aquellos casos en los que se había producido un despido donde la empresa había accedido al contenido de los correos electrónicos enviados por los empleados, salvo en los casos en los la empresa había notificado y recogido por parte de los trabajadores de una serie de conductas y normativas de uso de los sistemas informáticos en la empresa, donde sean notificadas que malos usos de las Tecnologías Informáticas pueden incurrir en despido, así como la ejecución de controles tal y como queda previsto en el Estatuto de los Trabajadores.

Así pues como condición, mientras no haya una notificación, puesto en conocimiento y aceptación por parte del empleado de los controles sobre el correo y los mecanismos sancionadores en caso del incumplimiento de las normativas, el correo se puede considerar a todos los efectos privados y no controlables.

Sanciones y demás.

En numerosas circunstancias los asistentes a eventos y cursos de formación me han preguntado si realmete se aplican sanciones, porque se aplican y como actúa las Agencia de Protección de Datos.

En este sentido la respuesta es siempre la misma, si se sanciona, por incumpliento de la normativa y el reglamento de seguridad y la Agencia (hasta el momento) actúa bajo denuncia previa.

En el sentido sancionador o bien la gente empieza a estar más concienciada con el asunto o realmente las cosas se hacen muy mal, porque cada vez es más habitual el la aparición de resolución de denuncias efectuadas a la Agencia de Protección de Datos y la cuantía aplicada a las misma.

Una de las últimas que parece un típico ya, es la sanción a la clínica ginecológica Centro Médico Lasaitasuna de Bilbao, que ha sido sancionada con 150.000 Euros tras localizar 11.300 datos de Pacientes que estaban circulando por Internet. La peculiaridad del caso reside que la base de datos estaba circulando por Internet en una plataforma P2P y cuando se realizó la inspección, se detectó que uno de los ordenadores que tenía acceso a los datos en la clínica tenía instalado una versión del Emule.

Aunque la sanción debería haber sido superior (de 300.000 a 600.000 Euros), debido a la falta de intencionalidad y colaboración por parte de la clínica se ha rebajado la sanción.

Desde el punto de vista técnico, muchos se estarán planteando que pintaba una aplicación tipo Emule en un Ordenador que puede manejar información crítica, aunque desgraciadamente este hecho no es una excepción y ya se ha dado con anterioridad. De aquí se ve que el gran problema de la aplicación de elementos de Seguridad basado en el reglamento de la LOPD, no se encuentra solamente en que mecanismos y procedimiento en base al Documento de Seguridad de la empresa, si no, que otras cosas deberemos evitar además para no incurrir en una falta Muy Grave.

Ya sabéis no montéis el Emule en una máquina que pueda tener o acceder a datos de Carácter Personal,... y mil cosas más.

Un saludo

La importancia de los Datos Cifrados

La semana pasada muchos oiríais una noticia peculiar, por el escenario, pero no atípica entre aquellos relacionados con el mundo de la seguridad: el robo de un equipo de un directivo. La noticia hubiera sido intranscendente o hubiera pasado desapercibida si no hubiera sido de relevancia la persona contra la que se cometió el delito: Joan Laporta.

La noticia publicada en muchos periódicos , supone para muchos una anécdota pero sabemos realmente que la cuestión va más allá de todo esto, puesto que el equipo portarí información crítica por los motivos que fueran. Claro, este tipo de sucesos nos lleva a plantearnos muchas cuestiones: fallos en los procedimientos, inseguridad en los datos, necesidad de aplicación de sistemas de cifrado, consecuencias legales... Lo que puede acarrear un simple portátil.

Muchos pensarán que eso ha pasado por el mal hábito de almacenar los datos en el puesto de trabajo; que para algo están los servidores ¿No?, pero esto es demasiado habitual y cualquiera puede llegar a cometerlo: para llevarme trabajo a casa... porque tarda menos en abrir... total si conmigo está más seguro que en ninguna otra parte...

Si no confiamos al 100% en los procedimientos, deberemos por lo tanto disponer de otros mecanismos para salvaguardar los datos, y no es una necesidad impuesta por una Ley como la LOPD, si no el sentido común. Hay que tener en cuenta que cuando abandonamos nuestro puesto de trabajo dejamos a su suerte a nuestro sistema informático y el punto vulnerable lo constituye el Puesto de Trabajo. Si alguien tiene acceso físico al equipo, o hemos planteado un sistema de seguridad robusto (y eso no consiste en una Password de Bios o la contraseña del usuario de 40 caracteres), o hemos utilizado correctamente el protocolo de que en los puestos de trabajo se trabaja y el servidor almacena.

Con otro sentido, pero siguiendo la misma filosogía expuse en el Blog de Vista Técnica motivos para el Cifrado de la información. Esto daba pie a una serie de artículos sobre Bitlocker que no solo mostraban la necesidad de implantar un sistema de cifrado de disco, si no también los procedimientos técnicos para utilizar Bitlocker en un equipo.

Cifrando evita problemas legales y en muchas circunstancias que acabes con la cara roja porque tus proyectos o datos de clientes han caído en manos de un desaprensivo y los ha publicado indiscriminadamente en un sistema P2P.

Un saludo

Jugemos a las diferencias

Dentro del reglamento de Seguridad para la LOPD, hay un elemento que me inquieta significativamente y del cual he intentado buscar soluciones como elemento diferenciador para Datos de nivel básico y alto. Este es el caso relativo a la salida de soportes con datos de carácter personal fuera de la organización.

Esto es lo que nos cuenta el reglamento relativo a este tema:

Para datos de tipo básico:

Artículo 92. Gestión de soportes y documentos.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.


Para datos de tipo Alto.

Artículo 101. Gestión y distribución de soportes.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.


Pues en este sentido para los datos de tipo básico, ya tengo claro que recomendar a mis clientes para aplicar las medidas:
- Sustracción: Rodear al portador de los datos de 4 matones.

- Pérdida: Meter los datos en un maletín y esposarlo al portador.

- Acceso indebido: Que el portador aprenda técnicas de defensa personal y al que se acerque indebidamente le aplique un correctivo o en su defecto que la técnica la apliquen los 4 sujetos del primer punto.

Porque todo esto, ¡Pues porque no voy a cifrar ya que eso me lo exigen solo para datos altos!, parecería excesivo que aplicara cifrado a datos de tipo básico, habiendo otras soluciones :) (un poco más caras pero no por ello no efectivas).

Si alguno puede aportar alguna idea se aceptarán gustosamente.

Un saludo.

El problema de registros de accesos en la LOPD

Cuando planteamos en las empresas la necesidad de realizar un tratamiento de seguridad en función de la normativa vigente, no solo planteamos la aplicación una serie de medidas de seguridad, sino también una inversión en coste ecnonómico y lo que a veces es más importante, en tiempo.

Evidentemente este no cae en saco roto, pero a veces los planteamientos son tan exigentes que son difíciles de cumplimentar. El mejor ejemplo que puede plantearse, es la necesidad impuesta por el reglamento de seguridad, para datos de Carácter Personal de Nivel Alto, del mantenimiento de un sistema de registro de acceso a la información:

"Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad."

Si alguno no se ha fijado bien, hay dos elementos aquí que puden considerarse cuanto menos complicados para su cumplimiento:

4. El período mínimo de conservación de los datos registrados será de dos años.

Hombre casi todos pensaréis que todo depende de los Logs y que yo tampoco genero tantos, pero el administrador de un hospital, por poner un ejemplo, seguro que se estará echándo a temblar, puesto que habría que evaluar la cantidad y capacidad necesaria de almacenamiento para mantener todos estos registros durante 2 años. Cintas, cintas, cintas,... y un buen sistema de gestión y almacén para salvaguardarlas convenientemente.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Puff, pues ya puede armarse de un cargamento de tila, para ir analizando los logs en busca de una posible incidencia (claro si hay alguna, pero mejor mirarlo todo por si acaso), que implique la aplicación de una medida correctora. Si tenemos en cuenta que el responsable de seguridad tendrá numerosos cometidos, la dedicación a la generación del informe, supondría un coste en tiempo (y también en paciencia) que implicará otras cuestiones adicionales a la del puro análisis.

En este sentido yo suelo recomendar el uso de consolidadores de logs, que permiten la recolección de las auditorías, permitiéndonos establecer un sistema de preaviso y reactivo ante incidencias, a la vez que nos permite la generación de un sistema de informes que con un golpe de click nos ahorre la tediosa tarea de su generación manual. Si nunca habéis trabajo con un consolidador de logs, y tenéis entornos Windows os recomiento uno que es relativamente fácil de configurar y utilizar, pero no por ello deja a un lado la potencia: GFI Event Manager.

Para otros entornos existen otros tipo de consolidadores de logs que dan respuesta a múltiples necesidades.

Un saludo y que no os coman los informes.

Webcast legales

Para los días 25 y 26 de Marzo tengo previsto en horario de 17:00 horas realizar dos webcast más que tratarán nuevamente de aspectos legales.

En esta circunstancia y siguiendo con el ciclo abierto en los anteriores wecast, realizaremos una nueva incursión en el mundo de la LOPD, esta vez tratada desde el punto de vista de las Bases de Datos, Correo Electrónico y los sistemas Documentales.

Para el siguiente Webcast, tendremos como temática la aplicación de una normativa muy importante para muchas empresas, que basan sus negocion en el comercio electrónico y donde se abordarán aspectos legales sobre el Spam entre otras y casuisticas aplicables a la misma: La LSSI

Para todos aquellos preocupados con la seguridad y ya en formato tipo Hand on Lab, en la primera semana de Abril realizaremos un laboratorio ProtegeIT, con la temática de la protección del puesto de trabajo Cliente. Para todos aquellos que quieran conocer un poco más de los Hand on Lab o la información disponible para este laboratorio u otro de los que impartimos podéis consultar la página Web de Informática64 o bien a través del enlace correspondiente en la página de Microsoft.

Un saludo y nos vemos.