Categoría: Seguridad

bookmark_borderJornada en el Instituto de Empresa

Posted on by Félix J. Haro

CRSIEsta mañana he estado en la Jornada Final de la Primera Edición de la Cátedra de Riesgos en Sistemas de Información del Instituto de Empresa. Han sido presentados los resultados de los estudios que se han realizado por su Director, Fernando Aparicio, y también han intervenido el Director de la AEPD, Artemi Rallo; Pablo Pérez, Gerente del Observatorio de Seguridad de la Información (INTECO), y cómo no, D. Jesús Rubí Navarrete, Adjunto al Director, y María José Blanco, Subdirectora Gral. del Registro de la AEPD.

El Director de la AEPD ha expuesto sucintamente los objetivos del nuevo reglamento, haciendo hincapié en que “no crea nada nuevo” y que tiene algunas novedades relevantes (consentimiento de los menores, medidas de seguridad de los ficheros no automatizados… etc.). Muy interesante su afirmación de que “a un autónomo o a una Pyme, adaptarse a la LOPD no debiera costarle ni un euro”(sic), ya que con la información que ofrece la página web de la Agencia… pues bueno, es suficiente. Si se hubiera quedado al turno final de preguntas de casi dos horas seguro que cambiaría de opinión. Hace un año, con ocasión de esta Jornada, afirmé que la mayoría de las cuestiones de los asistentes no hicieron más que demostrar la ignorancia en la que se mueven las empresas españolas, e incluso supuestos expertos que se dedican a asesorar en la materia. Y lo sigo manteniendo.

Fernando Aparicio ha resumido los resultados de un estudio realizado entre más de mil empresas. De entre las conclusiones, destacó el escaso interés por parte de las direcciones generales de las empresas en cuanto a la seguridad de la información, y las prioridades que tienen las empresas, que son fundamentalmente el cumplimiento legal y la implantación de medidas técnicas de seguridad. La falta de organización y una clara definición de responsabilidades internas también destacaba como problema, así como la no realización de las auditorías pertinentes y el desconocimiento de las diferentes metodologías, herramientas y aplicaciones prácticas de la seguridad de la información.

Pablo Pérez mostró el estado real de las Pymes españolas, que realmente es desolador. Aquí sí que bajamos a la más absoluta despreocupación en la materia. Y teniendo en cuenta que suponen más del 98% del tejido empresarial, y que son el motor de la economía…

El turno de preguntas no merece mayor comentario: más de lo mismo. Jesús Rubí y Mª José Blanco dando clases de fundamentos de protección de datos.

Las presentaciones estarán disponibles en la página de la Cátedra en breve.

bookmark_borderA veces pasa

Posted on by Félix J. Haro

exclamacionEl Ministro de Economía de UK ha pedido disculpas ante el Parlamento por la pérdida de los datos de 25 millones de beneficiarios de ayudas a familias con hijos menores de 16 años. El responsable del Departamento de Hacienda y Aduanas ha dimitido.

En un principio culparon a un funcionario de bajo rango, que según un portavoz del Ministerio, jamás debiera haber hecho el envío. Para eso existe un grupo de personas que se ocupan de hacer los envíos de datos a otros departamentos, y que conocen y aplican los procedimientos establecidos. Este hombre no utilizó el sistema apropiado (con seguimiento) para hacer el envío de los datos copiados en dos CDs a través de la empresa TNT, y se desconoce el paradero del paquete. Tardó tres semanas en comunicar la pérdida a sus superiores, porque pensaba que simplemente se había retrasado.

Gordon Brown ha pedido también perdón, y ha anunciado una revisión general de todos los procedimientos para proteger la información, y que se dará potestad a la autoridad de protección de datos (Information Comissioner) para que pueda auditar a los organismos públicos sin aviso previo.

El organismo receptor de los CDs, NAO (National Audit Office), se apresuró a declarar había solicitado datos para un seguimiento independiente, pero que nunca había pedido que se incluyeran direcciones, información de las cuentas bancarias o detalles de los padres.

Esto es de traca, como diría mi vecina “Mariajo” mientras se pelea con su nueva aplicación. Los datos de casi la mitad de la población británica por ahí dando vueltas. No quiero ni pensar en esos procedimientos que dicen los ingleses que se ha saltado el funcionario. Si un funcionario “de bajo rango” puede copiar en dos CDs semejante cantidad de datos, no estará muy bien dibujado el sistema.

El jefe ha dimitido. Pero es que a este individuo alguien le habrá dado la orden de copiar semejante cantidad de datos en dos CDs, y enviarlos. Y si no, muy simple: a ver, funcionario, ¿por qué tocas eso?¿entra dentro de tus competencias?¿eres tú el que tiene que hacerlo?… ah, ¿no? ¡Pues no lo toques!

Si le hubieran dado un papelito o una notificación con sus OBLIGACIONES respecto de cómo tratar los datos, y se las hubiera leído, no la habría pifiado. Si hubiera calibrado la responsabilidad que se tiene al manejar “eso” y las consecuencias que tiene el hacerlo mal, se hubiera estado quietecito. Seguro.

He escrito obligaciones con mayúscula porque me gusta la palabreja. Es preciosa. Sin embargo, tengo una colección de afirmaciones de terceros muy variopinta, archivada en una carpeta que llamo “barbaridades LOPD”:

– cómo les vamos a dar a los trabajadores un documento donde pone obligaciones… es violento;

– es que es un término muy militar;

– esto es burocratizar mucho, pero bueno, si es por cubrir expediente y sirve para cumplir la ley…

Pues señores, entre otras cosas es para poner todos los medios posibles para que no ocurran asuntillos de este tipo. Que es muy, muy triste, y no es tan complicado. Luego, cuando pasa, todos huyen de la peste de otra palabra que también adoro, la RESPONSABILIDAD. Nadie quiere saber nada.

Hay que aplicarse el cuento. Ya comenté el año pasado que hay que tener más que ojo con los contratos que se firman con las empresas de paquetería, incluyendo todos los requisitos que menciona el artículo 12 LOPD; realizar los envíos con “tracking”, haciendo constar qué se envía, un emisor y destinatario concretos (personas, sí, con su nombrecito y apellidos, que es que parece que todo el mundo huye de las responsabilidades como de la peste). Y no sólo eso, sino molestarse en comprobar de vez en cuando que eso que hemos escrito en el papel se cumple de verdad. Si no, papel mojado.

Para finalizar: ¿cuántas empresas de paquetería se interesan por cumplir con lo dispuesto en el artículo 12 LOPD?; ¿cuántas empresas que utilizan los servicios de éstas les exigen este cumplimiento? Porque no tenemos que perder de vista que el transporte de un soporte físico que contiene datos de carácter personal es un tratamiento de datos a todos los efectos. Por mi experiencia, ni la quinta parte, ni de unas, ni de otras. Qué lástima.