![[ eZone solutions ]](/img/logo-eZone-solutions.gif){kind=logo}
![[ Actualidad - Seguridad informática y Protección de Datos: eZone Solutions ]](/img/titulares/2/actualidad.gif)
![[ eZone solutions ]](/img/fotoapartado/actualidad.jpg)
- Home
- Información corporativa
- Servicios
- Prensa
- Ezone news
- Actualidad
- SSP: Security Service Partner
- Trabaja con nosotros
- Contacto
08036 Barcelona
28043 Madrid
Creado por Signia
![[ ACTUALIDAD ]](/img/titulares-contenido/2/actualidad.gif)
Noticias de Mundo Internet La Ley de Protección de Datos y la Seguridad Informática
[20/02/2008]
La Ley Orgánica de Protección de Datos, más conocida como LOPD, exige que las organizaciones establezcan una serie de medidas jurídicas y organizativas que garanticen el correcto tratamiento de los datos que son diariamente recogidos de sus clientes, proveedores y colaboradores.
Debido a las importantes labores realizadas por la Agencia Española de Protección de Datos en los últimos años, podemos constatar que casi la totalidad de las grandes empresas españolas y multinacionales que poseen sedes en nuestro país demuestran un grado muy importante de cumplimiento de la LOPD. No obstante, existen estudios que comprueban que pasados 10 años de la implantación de la Ley de Protección de Datos, casi el 90% de las PYMES no la cumplen, o en el mejor de los casos, la cumplen parcialmente.
Existen algunos factores que conllevan a las grandes organizaciones a cumplir con la normativa de forma más amplia:
• Participan constantemente de licitaciones publicas que exigen el cumplimiento de una serie de normativas, inclusive la LOPD;
• Recogen diariamente una cantidad ingente de datos que les incrementa de forma importante el riesgo de pérdida de información, y que les acaba obligando a adoptar mecanismos de tratamiento más rígidos;
• Disponen de condiciones financieras que les permite mantener un personal dedicado exclusivamente al mantenimiento de las normas;
• Están muy expuestas al público y consecuentemente, más vulnerables a eventuales denuncias.
La Ley de Protección de Datos está compuesta actualmente de 49 artículos que deben ser cumplidos integralmente por cualquier organización que recoja y realice tratamientos de información que contenga datos de carácter personal.
Sin embargo, un ciudadano común no tiene condiciones de saber si la empresa que maneja sus datos cumple integralmente con la normativa. La única forma visible de saberlo es a través de una consulta pública a la página de la Agencia de Protección de Datos, donde se puede verificar si la empresa realmente tiene sus ficheros registrados.
Además, cuando una empresa dispone de cupones o formularios de recogida de datos, normalmente estos documentos traen en el pié de pagina un texto legal en que se informa de la existencia de un fichero y de los derechos que el ciudadano tiene de acceder, rectificar o cancelar sus datos. Y nada más…
No obstante, existe un detalle que el ciudadano común y muchas organizaciones desconocen: Que La LOPD es complementada por el Real Decreto 994/99 de 11 de junio, que establece las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
Para empezar, toda organización deberá confeccionar y mantener actualizado un Documento de Seguridad de obligado cumplimiento cuya inexistencia conlleva a importantes sanciones. A la hora de plantearnos la elaboración del Documento de Seguridad, empiezan a surgir las dificultades derivadas de la dificultad del cumplimiento de determinadas medidas de nivel alto.
Muchas organizaciones se limitan a confeccionar un Documento de Seguridad en líneas generales, que es prácticamente una copia literal de los artículos del reglamento. De esta forma, estarán cumpliendo únicamente con una obligación formal, mientras que lo que realmente importa es que se establezcan en la práctica medida que de hecho aseguren la confidencialidad y la integridad de los datos recogidos de sus clientes y colaboradores.
Algunos de los procedimientos de seguridad informática más importantes exigidos por la normativa son:
• Procedimientos de Acceso Lógicos: La organización debe establecer una relación actualizada de los usuarios que tienen autorización de acceso al sistema de información de la empresa. Esta autorización de acceso se da a través de un mecanismo de autenticación de usuarios y contraseñas que deberán ser cambiadas con la periodicidad determinada por el Responsable de Seguridad de la Empresa.
• Procedimiento de Control de Accesos Físicos: Los servidores, carpetas y armarios en que es almacenada toda la información de carácter personal de la empresa, deben estar acondicionados en un espacio protegido y restringido al personal autorizado.
• Procedimiento de Accesos a Datos a través de Redes de Comunicaciones: Un número importante de empresas españolas dispone de redes de comunicación muy amplias, como son las intranets y la propia Internet. Es a través de estos medios por donde circula toda la información de la empresa, y por esta razón es importante que se establezcan los medios que proporcionen un nivel de seguridad adecuado.
• Procedimiento del Régimen de Trabajo fuera de los locales de la ubicación del fichero: Las nuevas tecnologías están permitiendo que cada día más trabajadores puedan desarrollar sus actividades a distancia, accediendo a la información de la empresa a través de sus portátiles, PDA´s y blackberries que no siempre cuentan con una protección adecuada. Para poder mantener este flujo bajo control, es importante que todo el trabajo realizado fuera del local de trabajo cuente con una autorización del Responsable del Tratamiento, que además debe aportar los medios necesarios para que el trabajador disponga de equipos protegidos de amenazas externas.
• Procedimiento de Gestión de Soportes: Actualmente las empresas generan, reciben y transmiten una cantidad ingente de información, que en muchos de los casos se pierden o no se controlan como es debido. Para aportar un control efectivo de toda esta información, la organización debe establecer un sistema de registro de entrada y salida de soportes. La normativa entiende como soporte, cualquier medio que pueda almacenar una cantidad importante de datos (carpetas, ordenadores, cajas, etc.). Estos soportes deben ser organizados a través de etiquetas que los identifiquen de manera sencilla, inventariados y almacenados en un local cuyo acceso será limitado al personal autorizado.
• Procedimiento de Desecho y Reutilización de Soportes: Cada vez son mas frecuentes las noticias sobre aparición de documentos tirados en la calle. En muchos de los casos, se trata de información de historiales médicos, cuyos datos son considerados de nivel alto. Normalmente, se suelen tirar al contenedor cintas, discos, disquetes y mucho papeleo, sin que se tomen las debidas precauciones. En muchos de los casos, toda esta información puede ser recuperada y utilizada de forma fraudulenta. El reglamento en su artículo 20, punto 3, determina que se deben tomar las medidas de seguridad pertinentes para impedir cualquier tipo de recuperación de la información que va a ser desechada o reutilizada. Las formas más eficaces de destrucción de la información es el uso de maquinas destructoras de papel y desmagnetizadores en el caso de que se traten de soportes magnéticos.
• Procedimiento de Notificación, Gestión y Respuesta ante las Incidencias: El Real Decreto 994/99 en que se aprueban el reglamento de medidas de seguridad para los ficheros de carácter personal, describe como incidencia, en el artículo 2, punto 9 como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”. Es decir, cualquier evento o circunstancia que ponga en riesgo la seguridad, la integridad o la confidencialidad de los datos de la empresa. El articulo 10 del reglamento exige que se adopte la utilización de un libro de incidencias en que hagan constar: a) el tipo de incidencia; b) El momento en que se produce; c) La persona que realiza la notificación; d) A quién se le comunica; e) Los efectos que se deriven de la incidencia. Además, la empresa deberá adoptar también procedimientos prevención de incidencias y de respuesta efectiva en el caso que se produzcan.
• Procedimiento de Copias de Respaldo: Independientemente de la normativa, este es un procedimiento que debería ser tomado muy en serio por todas las organizaciones que manejan información. La perdida de datos puede ocasionar trastornos importantes a una empresa que podría perder su base histórica de datos, conllevando a perdida de operaciones importantes. En el caso de las copias de respaldo, la ley trata de formalizar este procedimiento, que muchas veces es realizado sin que exista documentación alguna y que es gestionado de forma oral sin un monitoramento constante. Además, la copia debe de ser realizada de forma periódica (preferentemente a diario) y su recuperación debe ser capaz de reconstruir toda la base dañada antes de la incidencia.
• Procedimiento de Registro de Accesos (NIVEL ALTO): Se trata de uno de lo procedimientos más difíciles de cumplir, sobretodo por la dificultad de aplicar en todos los sistemas de tratamiento de datos y por el masivo almacenamiento de información que conlleva la puesta en marcha de esta medida. El procedimiento de registro de accesos (aplicable solamente a empresas que realizan tratamientos en ficheros de nivel alto) establece que cada acceso que se realice a un fichero, sea registrado en un “log” que identifique el usuario que ha accedido el fichero, la fecha y hora que ha realizado el acceso, que fichero ha accedido, que tipo de operación ha sido realizada (modificación, supresión, etc.) y si el acceso ha sido autorizado o denegado. Estos registros deben tener una revisión periódica y deben conservarse durante un periodo mínimo de dos años.
• Procedimiento de Cifrado (NIVEL ALTO): Este procedimiento que hace algunos años también resultaba difícil de cumplir, es actualmente una medida sencilla de ser llevada a cabo, sobretodo por la oferta de aplicaciones informáticas disponibles en el mercado, que realizan cifrados de datos de forma sencilla y eficaz. La norma establece que todos los soportes que contengan datos de carácter personal de nivel alto deberán estar cifrados cuando sean distribuidos, evitando que la información contenida no sea inteligible ni manipulada durante su transporte.
Además de estos procedimientos, el Documento de Seguridad deberá mantener una serie de anexos que deberán estar siempre actualizados. Entre los anexos más importantes están los inventarios de hardware y software de la empresa, la utilización de un libro de incidencias, el listado nominal del personal y de los terceros autorizados para acceder y tratar los datos de la empresa y las políticas de seguridad en que se determinan las funciones y obligaciones de todo el personal.
Son muchas las implicaciones legales que pueden afectar a las empresas por el incumplimiento de todas estas medidas, una vez que tratan una cantidad ingente de datos personales, y por esta razón, adaptarse a la normativa es algo además de prudente, obligatorio. Cada vez más la Agencia Española de Protección de Datos recibe denuncias por violación a la normativa y es muy importante que las empresas estén en día con el integral cumplimiento de la ley.
La Agencia Española de Protección de Datos es el órgano responsable pela aplicación y verificación del cumplimiento de la ley que actúa de manera independiente a las Administraciones Publicas.
Implantar las normas de la LOPD no es un trabajo extremamente complicado; sin embargo, es muy recomendable hacerlo asistido por alguna consultoria especializada. Existe una serie de interpretaciones sobre muchos artículos de la ley, son muchos los detalles implícitos y un consultor especializado además de asegurar una implantación adecuada, podrá ofrecer una serie recomendaciones que serán de gran valía para el empresario.
Fuente: www.diariodirecto.com
Fecha: 13.2.2008
Otras noticias
- Un fallo de seguridad pone al descubierto datos confidenciales de los clientes de Vodafone.
- El papel de las nuevas tecnologías en la protección de datos personales.
- Multa a Telefónica por hacer contratos de móviles a niños.
- La SGAE usa el vídeo de una boda como prueba de violación de derechos de autor.
- La Agencia de Protección de Datos multa a la SGAE por una "infracción grave".
- Supremo confirma la sanción al Consejo de Médicos por ceder datos a Banesto.
- La Agencia Catalana de Protección de Datos multa con 60.000 € a Acesa.
- La AEPD pide a las empresas más protección de datos de menores.
- Denuncia contra Fadesa por grabaciones ilegales.
- Telefónica deberá pagar una multa de 60.000 euros por dar de alta a un cliente sin su permiso.
- Protección de Datos obliga a mejorar el sistema informático de los centros de salud.
- La inconsciencia de las PYMES
- Protección de Datos amenaza a Mapfre con inmovilizar su fichero de clientes
- Facua denuncia por 'spam' a Tick Tack Ticket
- Protección de Datos sancionará al Concello coruñés por no informar que tiene un registro de imágenes
- La Agencia de Protección de Datos sanciona a ONO con 60.000 euros de multa.
- Protección de Datos impone a Santander dos multas por 120.000 euros
- Protección de Datos multa a Mapfre, Banco Cetelem y Eurocrédito.
- Las pymes podrían ser sancionadas con 600.000 euros.
- El número de denuncias ante Protección de Datos creció el 7% en 2007
- Protección de Datos impone una multa de 60.100 euros a Aresa
- A mayor seguridad, más beneficios.
- A raíz de la información emitida en un medio de comunicación
- La Agencia de Protección de Datos pondrá en marcha planes para controlar las cámaras de seguridad y
- 4.000 historias clínicas de abortos se filtran en la Red a través de eMule
- Un 72 por ciento de las empresas están infectadas de virus
- Entró en vigor el nuevo reglamento de la Ley de Protección de Datos
- La AEPD exige acceso limitado en el uso de datos vinculados a la interrupción voluntaria de embarazo
- La AEPD participa en el encuentro organizado por la InternationalsAssociation of PrivacyProfessional
- Multa de 60.000 euros a Telefónica por revelar datos de clientes en 2005
- La Audiencia Nacional confirma la multa a Gestión de Ingresos por el uso del padrón
- MÁS DEL 30% DE LOS EMAILS ENVIADOS POR LAS EMPRESAS SE QUEDAN ATRAPADOS EN LOS FILTROS ANTI SPAM
- La Cámara de Comercio y la Comunidad de Madrid apoyan a las microempresas con el plan Pyme Digital
- Las Autoridades reclaman especiales cautelas con datos menores en centros escolares
- Una empresa de filtros anti-spam alerta del ataque informático 'Phising' que capta datos bancarios
- Detenida en España una banda nigeriana por estafar a través de email
- El Gran Hermano de la seguridad
- España se posiciona como uno de los países del mundo con más fraudes en Internet
- La AEPD advierte del riesgo de que menores faciliten datos en Internet sin ningún tipo de control
- Google traslada a la AEPD su compromiso en la mejora de la información que ofrecen a los usuarios
- El 96% de los correos enviados en 2007 fue basura
- España es el tercer país del mundo con mayor número de intentos de 'phishing'
- El PSOE sugiere que Educación filtró datos privados de docentes
- Protección de Datos recibe las primeras denuncias por inserción de imágenes en Youtube o el intercam
- Su ordenador puede ser un 'zombi'
- Las denuncias por incumplimiento de protección de datos se duplican
- Google tendrá que olvidar tu pasado
- Publicado el nuevo Reglamento que desarrolla la LOPD
- Protección de Datos endurecerá las garantías de seguridad en el acceso de menores a Internet
- Los buscadores de Internet deberán limitar la conservación de datos
- La AEPD valora positivamente la aprobación del nuevo Reglamento de desarrollo de la LOPD
- Una tienda tira en la calle 500 contratos con datos de clientes
- Ciudadanos espiados por los ojos de las cerraduras
- Más vale prevenir que... perder los datos
- Plan para infectar un millón de ordenadores
- Protección de Datos alerta sobre los riesgos contra la privacidad en Internet
- “¿Por qué no te callas?” reclamo para troyano bancario
- Protección de Datos expedienta a la SGAE por grabar una boda sin permiso
- El timo global 'del euromillón'
- Un libro alerta de la excesiva videovigilancia en las empresas
- Tarjetas, DNI y cedés requisados aparecen tirados en una finca de Padrón
- Es más fácil cambiar de compañía telefónica que darse de baja de la Iglesia
- Un informe policial alerta de fraudes en ofertas de trabajo por Internet
- Condenan a un hospital por facilitar datos de un paciente
- La Agencia de Protección de Datos investiga la difusión del vídeo de un enfermo mental en Youtube
- La apostasía se debe anotar
- El Supremo da vía libre a Sanidad para hacer un registro de infectados de VIH
- Las reclamaciones ante la Agencia Española de Protección de Datos se incrementaron en 2006 en un 11%
- El Movimento polos Dereitos Civís critica la instalación de cámaras en la zona azul de aparcamiento
- Caja Madrid y Banesto sufren ataques de 'phishing'
- La AEPD pregunta a bancos y cajas si informan a sus clientes del acceso de EEUU a sus transacciones
- La Agencia de Protección de Datos pide a Google cambios al almacenar la información
- Una decena de gobiernos vigilan lo que sus ciudadanos hacen por Internet
- Un 59% de las grandes empresas puede tener 'malware'
- Proteger los datos es proteger el negocio
- Sesenta casos al año de inclusiones erróneas en el registro de morosos
- Protección de Datos tipifica como «grave» el vertido de historiales del Hospital de Calahorra
- La Xunta advierte a los municipios de que no protegen los datos de sus vecinos
- Protección de Datos sentencia que publicar sueldos públicos es legal
- Unos piratas informáticos roban los datos de miles de usuarios del portal de empleo Monster.com
- Los populares podrían sufrir una sanción de 600.000 euros por vulnerar la protección de datos
- Las compañías aéreas comienzan a dar a EE UU datos personales de sus viajeros
- Protección de Datos multa a la CIG por revelar el sueldo de personal municipal
- La Agencia de Protección de Datos archiva el "uso indebido" del padrón
- La Fiscalía actuará si los gallegos incluidos en las listas del PP vasco presentan denuncia
- El aumento de la videovigilancia evidencia la necesidad de control sobre las grabaciones
- Agencia Española de Protección de Datos (AEPD) sanciona con 120.000 euros a France Telecom
- Primera inspección internacional confirma seguridad en la transferencia datos
- La privacidad se convierte en un arma arrojadiza en la red
- Las 'cookies' de Google se autodestruirán a los dos años
- El Ayuntamiento decide retirar todas las cámaras de grabación de los autobuses
- Multan a un banco por utilizar datos de un empleado después de despedirlo
- Garante dice es preocupante la facilidad con que se viola privacidad
- La Agencia Española de Protección de Datos multa a una empresa de Autobuses Urbanos
- La UE y EEUU pactan la transmisión de datos secretos de pasajeros
- El 10% de las pymes desconoce las normas de protección de datos
- Más del 50% de las empresas que sufren pérdidas catastróficas de datos informáticos cierra en 2 años
- INTECO publica 77 consejos de seguridad
- La Agencia de Protección de Datos analiza si los buscadores vulneran la privacidad
- La gemela guasona de la web del Congreso de los Diputados
- Arrestan en Estados Unidos a comerciante apodado el 'Rey del Spam'
- Ausbanc denuncia el uso de datos de ciudadanos sin su consentimiento
- La humanidad en una base de datos
- Mérida: La Junta Electoral abre expediente sancionador por las 'cartas del PP'
- El RGPD ha superado la cifra de 865.000 ficheros inscritos
- eZone crea su exclusivo canal de distribución
- Normativas que afianzan la auditoría y seguridad informática
- Impuesta una sanción de 1,08 millones de Euros a la productora de `GRAN HERMANO´
- ¿Cómo inicio este proceso en mi empresa?
- Factores críticos de éxito de un Business Continuity Plan
- ¿Qué es un Business Continuity Plan?
- Norma BS 25999 –1
- ¿Qué es Business Continuity Management?
- La mayoría de los corredores de seguros gallegos no cumplen con las obligaciones de la LOPD.
- Normativa LOPD - Cámaras Videovigilancia
- El BCI confía en los consultores de eZone para su representación en España