Según el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, para las medidas de seguridad de nivel medio para ficheros automatizados, se establece en el artículo 99 el “control de acceso físico”, de manera que exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.
Responsabilidad y Compromiso de los actores de la Ciberseguridad
Una vez más, el ISMS como viene haciendo dos veces al año –y ésta ya es la XIII-, nos convocó a todos los asociados a una de las dos grandes jornadas internacionales que organiza cada ejercicio, y una vez más, debemos descubrirnos ante la capacidad de organización y convocatoria de esta asociación. Otra gran oportunidad para conocer de primera mano aspectos relacionados con la seguridad de la información desde la perspectiva de grandes y relevantes ponentes del sector.
El acto de apertura de la jornada corrió a cargo de GIANLUCA D´ANTONIO Presidente del ISMS Fórum Spain. Resaltó el papel que juegan los actores de la ciberseguridad nacional, ante un escenario en que amenazas como el ciberespionaje o el ciberterrorismo y en el que cada vez somos más dependientes de los recursos tecnológicos (infraestructuras críticas). Destacó que estos actores van adquiriendo todo lo necesario para el desarrollo de nuevas estrategias, pero falta coordinar a todos ellos… Se hace necesaria una buena dosis de liderazgo para alinear a todos los que tienen algo que ver en ello. (más…)
Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.
¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?
La propuesta de Reglamento de Protección de Datos
Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs. (más…)
La semana pasada se reunieron los Ministros de Justicia e Interior de los países de la Unión Europea para debatir la propuesta de reglamento de protección de datos, que tanto está trayendo de cabeza a más de uno por esa lucha entre los defensores del texto y lo que vamos a llamar la “sección lobby”.
Durante la reunión, y según ha aparecido en la prensa, el Ministro de Justicia Gallardón, manifestó que si bien está de acuerdo con proteger la privacidad habría que eliminar las llamadas cargas burocráticas.
Pero, ¿A qué cargas burocráticas se refiere el Ministro? (más…)
Como si se tratase de una continuación de la mesa que sobre el BYOD “Traiga su dispositivo móvil” tuve el honor de moderar en la reciente II Euskal SecuriTIConference (resumen y conclusiones, aquí) y en la que participaron como ponentes David Maeztu, Jorge Campanillas (acaba de publicar sobre el BYOD aquí), Gonzal Gallo y Jon Turrillas (todos ellos ilustres blogeros y tuiteros), acaba de aparecer una Guía sobre el BYOD publicada por la Autoridad de Protección de Datos del Reino Unido.
Dejando a un lado si el BYOD es positivo o negativo, una moda, línea de negocio o cualquier otra cosa que se nos ocurra, lo que más dudas genera es el control de estos dispositivos, que son propiedad del trabajador, por parte del empresario. (más…)
Este evento, al que he tenido el gusto de asistir y participar, y de cuya organización se ha ocupado Pribatua (Asociación Vasca de Privacidad y Seguridad de la Información) se celebró el pasado 5 de marzo en Bilbao con una asistencia de 270 personas. Para el desarrollo del evento se utilizó lo que podríamos llamar un “sistema mixto”, es decir, conferencias y mesas redondas.
La apertura correspondió al Director de la Agencia Vasca de Protección de Datos que hizo un resumen sobre la reforma de protección de datos y su incidencia en las nuevas tecnologías. Le acompañaron Mikel García Larragan (Presidente de Pribatua) y José Antonio Martínez Decano del COIIE/EIIEO). (más…)
En el seno del Grupo de Trabajo sobre Intercambio de Información y Protección de Datos (DAPIX en sus siglas) ha visto la luz el pasado 11 de febrero de 2012, un documento (en inglés) donde se expone la postura de varios países sobre la reforma de la protección de datos a nivel europeo. Ya saben, la famosa “propuesta de Reglamento” que sustituirá, si se aprueba, a la vigente Directiva 95/46.
Lo primero que llama la atención sobre el citado documento es que el pobre e improductivo españolito de a pie hace más observaciones al texto citado que el resto de países que aparecen.
Como si de Eurovision se tratase, podemos decir aquello de “Spain, 40 points (páginas)”, mientras que “los del Skoda” (Chequia) se queda en unas míseras 4, los “amigos de Sabonis” (Lituania) ni eso y llegan a 2, los “del barrio rojo” (Holanda) aumentan hasta 16, los “del anterior Papa” (Polonia) bajan 7, los portugueses que son igual de desgraciados que nosotros bajan aún más y se quedan en 3, la parte pobre de Chequia (Eslovaquia) gana a la parte rica sumando 8, y finalmente, los “del té a todas horas” (Reino Unido) alcanzan las 13 páginas. (más…)
La Comisión Europea ha aprobado recientemente una estrategia para impulsar este tipo de servicios con la que espera generar 2,5 millones de puestos de trabajo y un beneficio económico de 160.000 millones de aquí al año 2020.
Otro de los puntos importantes de esta iniciativa es el objetivo de desarrollar unos modelos de contratos que permitan cumplir con la normativa de protección de datos en todos sus aspectos.
Siguiendo con este tema de radiante actualidad, el ICO (Information Commissioner, la Autoridad de Protección de Datos del Reino Unido) ha publicado recientemente una “Guía sobre el uso del cloud-computing”, en la que además de definir este tipo de servicio así como sus diversas modalidades, describe los pasos para cumplir con la normativa de protección de datos. (más…)
Por Alfonso Pacheco, Luis Salvador y Javier Sempere
Tras haberse agotado la lírica sobre la videovigilancia y el “cloud computing”, con un “derecho al olvido” que va y viene sin solución alguna –parece ser a la espera de que se pronuncie el Tribunal de Justicia Europeo-, y un proyecto de Reglamento de Protección de Datos de la Unión Europea que parece que se lo ha tragado un abismo, el llamado “BYOD” (es decir, “a ver, López ya que lo tiene, tráigase usted al trabajo su ipad y así la empresa se ahorra comprar uno”) aparece como el nuevo referente de discusión y divagación, también de trabajo, para los próximos tiempos. (más…)
Como muchos sabrán, la propuesta de Reglamento de Protección de Datos de la Unión Europea, en sus artículos 31 y 31 regula la comunicación de las brechas o violaciones de seguridad que se produzcan (como pueden ser la pérdida de datos, el borrado de los mismos, o un acceso no autorizado).
Esta comunicación debe realizarse en una doble dirección:
– A la Autoridad de Control, de manera inmediata y no superior a 24 horas, salvo que esté justificado realizar la comunicación fuera de ese plazo (deberá motivarlo).
– A los afectados, cuando la violación/brecha los afecte negativamente. (más…)