El Día Internacional de la Seguridad de la Información será el 30 de noviembre y desde el 28 al 4 se realizarán acciones dirigidas a concienciar a los usuarios de la importancia de este tema, El lema será “Tu Sentido Común”.

Coincidiendo con el Día Internacional de la Seguridad de la Información está previsto una mesa redonda, para analizar retos a los que se enfrenta la seguridad en Internet con expertos de marketing digital y de redes sociales, “Tu Sentido Común en Internet”.

Además durante la “Semana de la Seguridad” participarán blogueros a través de vídeos exponiendo sus experiencias personales en estos temas, habrá un taller práctico para ciudadanos denominado “Compra Electrónica Segura”, realizaran charlas en colegios para la concienciación de las nuevas generaciones y realizarán un seminario de carácter técnico junto con el Clúser de Seguridad de la Comunicad de Madrid.

Para más información http://tusentidocomun.com/

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Pero antes, hagamos repaso de lo que hemos analizado en los tres primeros volúmenes:

• Volumen I: Inscripción de ficheros, principio de calidad y deber de información.
• Volumen II: El Consentimiento.
• Volumen III: Datos especialmente protegidos.

Siguiendo la misma metodología de análisis que en anteriores ocasiones, llevando la estricta aplicación de la norma hasta sus últimas consecuencias, hoy trataremos ciertas curiosidades de los derechos de los ciudadanos a acceder a sus datos, rectificarlos, cancelarlos, y también a oponerse a que sean utilizados con determinada finalidad. En definitiva, los denominados Derechos ARCO.

¿Sabías que…

… en la mayoría de los casos, podrían desatenderse libremente estos derechos?

Las empresas y demás responsables de fichero tienen la obligación de ofrecer un cauce, sencillo y gratuito para que los afectados puedan ejercer sus derechos.

Es precisamente la exigencia de gratuidad lo que suele llevar aparejada una carencia de valor probatorio. Sabiendo, además, que en derecho administrativo sancionador opera el principio de presunción de inocencia, el ciudadano que denunciase tal infracción, tendría que acreditar la recepción de su solicitud por parte del responsable del fichero.

… en la mayoría de los casos, no atender debidamente el derecho, no implicará una sanción económica?

La Agencia Española de Protección de Datos es famosa por sus multas, que no van dirigidas a satisfacer al afectado, sino a castigar al infractor (es decir, no son indemnizaciones, sino multas).

Sin embargo, no es tan conocido que cuando la Agencia recibe una denuncia porque una empresa no ha atendido debidamente un derecho (ha ignorado la solicitud, o no lo ha hecho efectivo en el plazo fijado), no suele abrir un procedimiento sancionador, sino un procedimiento de Tutela de Derechos.

El procedimiento de Tutela de Derechos no tiene como fin sancionar, sino obligar a la empresa, en caso de que proceda, a atender la solicitud.

…para ejercer tus derechos ARCO es necesario que facilites una copia de tu DNI, aún cuando no hayas tenido que acreditarla cuando tus datos fueron recogidos?

La normativa establece que los derechos ARCO son derechos personalísimos, y que sólo pueden ser ejercidos por el propio afectado, previa acreditación (o por representante, con autorización firmada por el afectado, debiendo acreditarse ambas personas).

Es decir, por un lado, la normativa establece que la empresa deberá creerse los datos que le des cuando te los pida directamente. Y, sin embargo, deseas ejercer uno de tus derechos, la misma normativa te pone la traba de tener que acreditar tu identidad.

Aunque no lo parezca, puede llegar a tener todo el sentido del mundo.

Si una esposa celosa ejerciese un derecho de acceso sobre datos de su alegre marido, con engaño suficiente para que la empresa que tiene los datos se creyese que se trata de su esposo, la empresa podría llegar a ceder un historial completo de infidelidades, incumpliendo así toda base de la protección de datos.

… para ejercer los derechos ARCO de tus hijos/as, menores de 14 años, no bastará con que facilites copia del DNI, sino que también deberás facilitar copia del libro de familia, y si lo tuviesen, del DNI de tus hijos?

La normativa es tajante: “Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél”.

Es decir, ejercer un derecho ARCO en nombre de tus hijos, supone acreditar tu identidad, la identidad del representado, y el poder de representación que ostentas.

Tiene tanto sentido como en el caso anterior.

El problema en este caso, no es de la normativa de protección de datos, sino que actualmente no disponemos de mecanismos de acreditación de identidad y representación que sean tan ágiles como deberían.

Será que todavía no soy padre, pero antes de hacer todo eso, preferiría que siguiesen recibiendo publicidad no deseada.

Nos vemos en la próxima edición de los Grandes Éxitos de la LOPD.

Áudea Seguridad de la Información

José Carlos Moratilla

Responsable del Departamento Derecho NNTT

www.audea.com

El pasado 29 de Julio veía la luz la –por muchos- esperada actualización de ITIL v3. La denominación de la “nueva” versión es “ITIL 2011”, es decir, no estamos ante ITIL v3.1 ni v4 ni nada parecido, aunque en nuestra opinión si se hubiera seguido versionando como hasta ahora, estaríamos ante una versión 3.1 ya que los cambios introducidos no nos parecen de suficiente entidad como para plantearse hablar de una versión 4.

Si que es cierto que la actualización 2011 pasa por todas las fases del ciclo de vida y que ha supuesto algunas modificaciones interesantes.

Entre las modificaciones generales, y aunque algunas puedan parecer anecdóticas, debemos destacar:

• La supresión de las mayúsculas para los nombres de los términos de ITIL. Por ejemplo, lo que hasta ahora veíamos escrito como “Service Level Agreement”, ahora lo leeremos como “service level agreement”. Puede parecer un detalle menor pero nosotros creemos que era más clara la nomenclatura anterior.

• Si antes se hablaba siempre de “buenas prácticas”, ahora se habla directamente de “mejor” práctica, es decir, la mejor entre las prácticas existentes. Sobre este punto seguro que más de uno pensará que se ha pecado de falta de modestia.

• Respecto a los roles y responsabilidades que encontramos a lo largo del ciclo de vida, podemos decir que se ven mejor explicados y resultan más claros. Es curioso que ya no existirá más la denominación de “Service Manager”.

• Se ha actualizado también el glosario de ITIL, que será traducido a numerosos idiomas incluso de forma aislada en aquellos países que no traducen los libros de ITIL de inglés a su idioma propio, sino que se limitan a traducir el glosario.

• Y por último, entre los cambios generales a destacar, todos los procesos tienen ahora su flujograma detallado, y se incluyen los inputs y outputs de cada uno de ellos.

Entrando ya en cada una de los cinco libros de los que constaba ITIL v3, y que se mantienen ahora en esta versión 2011, vamos a ver si realmente la actualización es interesante o no:

• Service Strategy: Con dos procesos nuevos, es el centro de la actualización, buscando mayor claridad y concisión, pero ha crecido considerablemente en extensión, doblando a su antecesor.

Ahora se diferencia entre estrategia de negocio y estrategia de TI y se tiene en cuenta el impacto del cloud computing.

En cualquier caso, se sigue hablando de clientes, valor y servicios como ejes fundamentales.

• Service Design: Mejor alineación con Service Strategy, tanto en los inputs como en los outputs.

Se ha introducido un nuevo proceso, denominado Coordinación del Diseño.

• Service Transition: Cuenta con más información sobre Gestión de Activos, especialmente en los relativo al desecho de activos para evitar, entre otros, problemas de seguridad de la información.

El anterior proceso de Evaluación pasa a denominarse Evaluación de Cambios buscando una mayor claridad sobre el objeto del proceso.

Otra novedad es que puede haber CIs (elementos de configuración, es decir, activos) fuera de la CMDB o Base de Datos de la Configuración (podrán estar en el SKMS o Sistema de Gestión del Conocimiento del Servicio).

• Service Operation: Se han clarificado los conceptos de “solicitud de servicio” y de “modelos de solicitud”.

En el proceso de Gestión de Operaciones de TI se han ampliado las recomendaciones para la gestión de instalaciones físicas.

• Continual Service Improvement: La mejora continua queda en siete pasos, con una mayor claridad en su relación con el ciclo PDCA (Plan, Do, Check, Act) o ciclo de Deming.

Se ha introducido un Registro de Mejora Continua del Servicio.

La medición y los informes de servicios ya no son procesos, sino que a partir de ahora se consideran elementos de cada proceso.

Estas son, a grandes rasgos, las principales novedades que nos trae ITIL 2011. Sin duda habrá que profundizar con más detalle en los nuevos libros y que cada uno saque sus propias conclusiones.

Para los que puedan estar preocupados por su certificación Foundation o superiores, la nueva versión no supone la anulación de las mismas, si bien siempre se valorará más estar certificado en una versión más reciente.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com

Mallorca y Cádiz han sido las elegidas de acuerdo a las valoraciones de los usuarios en la red, tomando como referencia más de 28 millones de opiniones.

Gestionarse una buena reputación en Internet no es fácil ni inmediato; requiere de un esfuerzo constante de los que se podrán ver resultados a corto-medio plazo. En este mismo ejemplo, de otra manera, ¿qué consecuencias tiene que se publique el lugar de España con peores opiniones de los usuarios? ¿Y si fuese su empresa la peor valorada por los clientes en el sector?

Consultar en Internet de forma previa a irse de vacaciones es algo muy frecuente; localización, servicio y estado de un hotel, puntualidad y problemas con la línea área, etc. Son condicionantes clave que marcan la línea de decisión de un cliente y radicalmente la posición de una empresa en el mercado.

El traslado de la reputación real a la reputación online hace vulnerable a cualquier empresa. Tradicionalmente era el boca a boca el que hacía que la imagen de una compañía se viera afectada por ello, teniendo un alcance muy limitado. La reputación ahora tiene características cualitativas, pero especialmente cuantitativas que la separan del pasado. Bajo esta nueva dinámica, si tenemos una mala experiencia con un cliente, solo nos queda la opción de conocer y vigilar la generación de contenidos negativos que pueden adquirir un efecto viral y destruir su posición en cuestión de días.

Pero, ¿cómo velar por aquellos contenidos que construyen miles de usuarios sin límite en el tiempo ni en el espacio?

La empresa no tiene absoluto control sobre el desarrollo de su reputación online. Es necesario que se comprenda las consecuencias que pueden generar las opiniones nocivas, no solo por su contenido, sino por su capacidad para propagarse en muy poco tiempo, debiendo reaccionar a tiempo, canalizando y gestionando todo lo referente a la empresa y su reputación.

Iván OntañónRamos

Áudea Seguridad dela Información

Departamento Legal

www.audea.com

Luego están los certificados falsos para engañar al prójimo y hacerle creer que está visitando lo que no es. Ese era el objetivo de los hackers que accedieron al sistema de la certificadora holandesa DigiNotar. Se señala a Irán.

En tal caso el asalto digital y el uso de los certificados falsos habrían puesto en peligro la vida de disidentes iraníes. Hoy el gobierno holandés elevó las cifras a 531 certificados e incluye los sitios de la CIA, el MI6, Facebook, Microsoft, Skype, Twitter o el Mossad de Israel. El gobierno ha tomado el control de Diginotar a la vez que se teme por la seguridad de al menos 300.000 usuarios iraníes.

El problema, tal y como informan desde la empresa de seguridad que está llevando el caso, es que Diginotar sólo reconoció en un primer momento la intrusión de los certificados a Google y Mozilla. Este informe “menor”, hablando de un número que no hacía referencia a la verdad, podría comprometer y poner en serios aprietos a los disidentes en el país.

Áudea Seguridad de la Información

Departamento Seguridad TIC

www.audea.com

Áudea, con sede en Madrid, cuenta con más de 10 años de experiencia como empresa pionera la gestión integral de la seguridad de la información, constituyéndose como un referente obligado en este ámbito, habiendo desarrollado importantes proyectos para grandes compañías y grupos empresariales nacionales e internacionales, organismos públicos, así como para pequeñas y medianas empresas de todo tipo.

Con una clara orientación al cliente, y en base a la política de expansión de la compañía, nace esta delegación, con el fin de aportar al tejido empresarial andaluz y a los organismos públicos nuestra experiencia y conocimiento en la seguridad de la información, además de proporcionar un trato más directo y cercano con los clientes con los que ya cuenta Áudea en el sur de España.

Queremos anunciar que próximamente Áudea continuará con su proceso de expansión abriendo más delegaciones hasta cubrir todo el territorio nacional y trasladar nuestro agradecimiento a todos los que hacen posible que Áudea siga en crecimiento.

Atentamente.

Departamento de Comunicación

www.audea.com

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

- detectar, informar y evaluar los incidentes de seguridad de información;
- responder a incidentes y gestionar incidentes de seguridad de la información;
- detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes

Departamento Gestión de la Seguridad
Áudea, Seguridad de la Información, S.L.

Recientemente también se conoció que los iPhone de Apple obtenían los datos de ubicación y .los almacenaban durante un año, aún cuando se desactivaba el software de ubicación. Apple en su momento ideó un parche para corregir el problema; lo cual no evitó la polémica.

Legisladores estadounidenses ya acusaron a la industria tecnológica de recabar dichos datos con fines comerciales y sin consentimiento. Los usuarios ahora quieren ir más allá; buscan una medida cautelar y una indemnización por atentar contra su privacidad, entre otras reparaciones.

Áudea Seguridad dela Información

Departamento Legal

www.audea.com

Fuente: www.abc.es

Como todos sabéis Áudea está en las redes sociales más importantes, Twitter y Linkedin. Y desde está semana, también podéis encontrarnos en Facebook. 

Compartiremos actualidad, noticias, artículos redactados por nuestros profesionales, promociones, servicios, y todo lo que podamos ofreceros relacionado con la seguridad de la información (implantación LOPD, reputación online, derecho al olvido, propiedad intelectual ISO 27001, gestión continuidad, BS- 25999, GRC, ISO 20000, COBIT, ENS, PCI-DSS, hacking ético, firma electrónica, seguridad perimetral, endpoint-dlp, gestión de eventos de seguridad, backup, recuperación de sistemas).

Podéis encontrarnos en las distintas redes:

• Facebook
• Twitter
• LinkedIn 

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com