Guía de buenas prácticas y Argumentario

El pasado 3 de diciembre tuvo lugar, en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la sesión de trabajo sobre uso legal del software en las empresas. BSA y PricewaterhouseCoopers acaban de publicar dos documentos que recogen los principales puntos de las ponencias y el debate. También se recogen las conclusiones de las jornadas de Barcelona y Sevilla, celebradas los días 1 y 2 de diciembre, respectivamente.

El primer documento es una Guía de Buenas Prácticas, y va dirigido al CIO y, en general, a los departamentos que gestionan las TIC en las empresas.

El segundo documento es un Argumentario que incluye los argumentos legales, reputacionales y de seguridad que la asesoría jurídica interna o el CIO pueden utilizar para sensibilizar a la Dirección General sobre la necesidad de adecuar el presupuesto de la empresa a las necesidades reales de software existentes.

Ambos documentos se encuentran en el blog creado con motivo de las sesiones de trabajo, en el que se recopilan los riesgos, los argumentos y las buenas prácticas que se debatieron en las sesiones de trabajo. El blog permite realizar aportaciones y comentarios que serán incorporados en las sucesivas ediciones de la guía y del argumentario.

Evaluación de la seguridad física

Los distintos niveles de robustez y fiabilidad de los productos destinados a la seguridad física no son siempre fáciles de determinar. En unos casos existen normas y procedimientos de homologación que permiten conocer el nivel de resistencia de un cristal, una cerradura, una puerta o una cámara inífuga a las distintas amenazas a las que se halla expuesta. En otros casos hay que atender a las especificaciones técnicas del material (dureza del acero, temperatura de fusión, etc.) o a los niveles de resistencia establecidos unilateralmente por el fabricante.

Por ejemplo, en el caso de cerraduras y candados, hay fabricantes que acuden a homologaciones y otros que establecen su propia escala de seguridad. En un caso concreto, analizado en una auditoría, el fabricante había establecido una escala del 1 al 15 y aseguraba que el producto ofrecía los siguientes niveles de resistencia:

– Nivel 13 de resistencia a la congelación y fractura mediante gas licuado.
– Nivel 14 de resistencia al corte mediante sierra convencional.
– Nivel 15 de resistencia al corte mediante cizalla o herramienta similar.
– Nivel 15 de resistencia a la acción de un taladro sobre el bombín.
– Nivel 15 de resistencia al uso de ganzúas o llaves falsas.

Algunos fabricantes acuden a la homologación A2p (APSAD) y a las normas VDMA, NFPA, etc.

En cualquier caso, hay que reconocer que, mientras en el análisis de la seguridad lógica el auditor puede realizar pruebas directamente sobre el sistema (análisis de la robustez de las contraseñas, comprobación de privilegios, pruebas de intrusión, etc.) en el análisis de la seguridad física el margen de maniobra es menor y hay que acudir a información facilitada por el fabricante. Ante la dificultad para realizar pruebas de resistencia sin destruir o dañar el material instalado, deberán tenerse en cuenta las homologaciones, normas técnicas, certificaciones y especificaciones facilitadas por el fabricante, así como el nivel de confianza que ofrece la marca.

Algunos datos publicados en el ISMS Forum

1. En septiembre entró en vigor en Inglaterra una nueva normativa que permite realizar transferencias rápidas de dinero. El número de correos electrónicos de phishing se multiplicó inmediatamente por 10. En España, este año se ha duplicado.

2. Paypal ofreció seguridad de doble factor a sus clientes mediante un generador de claves aleatorias y muy pocos se adhirieron al nuevo sistema de autenticación para no renunciar a la comodidad del sistema actual de pago mediante dos clics. Ello hace prever una escasa aplicación del DNI electrónico al comercio B2C en Internet.

3. Hay más de 2.000 millones de dispositivos móviles en el mundo. Todos ellos tienen datos personales que pueden ser objeto de apropiación con suma facilidad. Ello obliga tanto a empresas, gobiernos y particulares a extremar la seguridad de estos dispositivos.

Seguridad y comodidad

A veces, la buena intención del fabricante de un producto para ofrecer una mayor comodidad en su uso puede afectar gravemente la seguridad. Voy a poner un ejemplo de seguridad analógica que tiene un evidente paralelismo con la seguridad digital. Mi mujer tiene un scooter con una caja trasera en la que guarda un casco auxiliar. La caja puede abrirse con la llave de contacto de la moto, lo que permite no tener que ir con dos llaves distintas. La semana pasada se encontró la caja forzada. Se habían llevado la cerradura pero habían dejado el casco. En el taller le dijeron que era una técnica habitual. Al tener la cerradura de la caja podían obtener un duplicado de la llave de la moto y robarla de forma más fácil que cargándola a una furgoneta. Las medidas que ha adoptado ahora han dejado la comodidad en un segundo término.

El año de los PIGS

Ha sido entretenido ver el uso que se ha hecho en los últimos meses  de la palabra PIG.  El primer uso ha sido para recuperar, en el artículo "Pigs might fly" (PDF) de Andrew Clare, el acrónimo utilizado en los años ochenta para los países del sur de Europa: Portugal-Italy-Greece-Spain (PIGS). La polémica se avivó con el artículo "Pigs in the muck" publicado en el Financial Times, que tuvo su respuesta con la carta publicada en el mismo periódico por el presidente de Dircom. El segundo uso ha tenido lugar en el debate político norteamericano con la polémica originada por la frase de Barck Obama: "You can put lipstick on a pig, but it´s still a pig" frase equivalente a la española "aunque la mona se vista de seda, mona se queda". Los repúblicanos entendieron que el término PIG iba referido a Sarah Palin que había dicho previamente: "The difference between a pitbull terrier and a hockey mom like myself is lipstick". El tercer uso es mucho más coloquial y menos "off topic" para este blog.  Corresponde a la respuesta que podría darse al acrónimo PIGS utilizado por los ingleses al referirse a los países del sur de Europa. En este caso, podría denominarse PIGS a las personas incapaces de generar seguridad o a las personas insensibles ante la gravedad de la seguridad, a la vista de las reiteradas pérdidas de datos que se producen en el país que acuñó el primer acrónimo. De hecho, es habitual utilizar el término PIG al hablar de seguridad informática. Un ejemplo es la expresión "Dancing pigs" utilizada para referirse a la actitud de los usuarios informáticos en relación a la seguridad. Otro es el término "piggyback", tradicionalmente utilizado para referirse a los accesos no autorizados realizados "a cuestas" del usuario legítimo, y recientemente aplicado al acceso a Internet a través de redes inalámbricas ajenas.

Publicado en el BOE el Reglamento de la LOPD

Hoy se publica en el BOE el Reglamento de desarrollo de la LOPD (PDF), que entrará en vigor dentro de tres meses. La principal novedad es la extensión de las medidas de seguridad al soporte papel. Mañana iniciaré la publicación en este blog de una serie de presentaciones multimedia que explicarán el contenido de esta norma y su impacto en las empresas.

Acceso al Reglamento (PDF)

 

Conclusiones del desayuno de trabajo de Madrid

El pasado jueves se celebró en Madrid el desayuno de trabajo sobre control empresarial del correo electrónico, al que asistieron más de 100 empresas. Los resultados del sondeo indicaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total = 0%
2. Uso moderado =   95%
3. Sin restricciones =  5%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación = 7%
2. Comunicación + aceptación expresa del trabajador = 93%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta =  21%
2. Información datos de contacto del sustituto = 6%
3. Autorización para acceder a la cuenta = 3%
4. Combinación de las anteriores = 42%
5. No tiene protocolo = 28%

Nuevo modelo de informe anual de buen gobierno

El BOE de hoy publica el nuevo modelo de informe anual de buen gobierno que las sociedades anónimas cotizadas deben utilizar para comunicar a la CNMV el nivel de cumplimiento del Código Unificado de Buen Gobierno Corporativo. Sigo pensando que tanto el código como el informe anual deberían contener una sección dedicada al buen gobierno de las tecnologías de la información y de las comunicaciones. Las razones para ello son claras:

  1. Nivel de dependencia de estas tecnologías.
  2. Influencia en la continuidad de la empresa.
  3. Alineamiento con los objetivos del negocio.
  4. Carácter estratégico de las TIC.
  5. Contribución al principio de imagen fiel del estado financiero de la sociedad.
  6. Influencia en la confianza de los stakeholders y especialmente de los accionistas.
  7. Extensión progresiva del modelo SOX.

Acceso al modelo (PDF)

Desayuno de trabajo sobre control empresarial del e-mail

El próximo jueves, 17 de enero, tendrá lugar en el hotel Miguel Ángel de Madrid un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores. La asistencia es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

En la edición de Barcelona, en la que hubo una representación de unas 100 empresas, se hizo un sondeo en el que se manifestaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total de uso personal: 0%
2. Autorización uso personal sin restricciones / uso moderado: 3%
3. Autorización uso personal con restricciones: 70%
4. NS/NC: 27%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación: 10%
2. Comunicación y aceptación expresa del trabajador: 90%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta: 10%
2. Información datos de contacto del sustituto: 8%
3. Autorización para acceder a la cuenta: 2%
4. Combinación de las anteriores: 25%
5. No tiene protocolo o NC: 55%

Actualización normativa sobre seguridad física

El BOE de ayer publicó el Real Decreto 4/2008 por el que se modifican determinados artículos del Reglamento de Seguridad Privada. Esta norma tendrá un mayor protagonismo con la entrada en vigor del Reglamento de desarrollo de la LOPD, ya que regula la actividad de empresas que acostumbran a prestar servicios de encargado del tratamiento y a realizar funciones delegadas en materia de seguridad física.
Entre los servicios prestados por estas empresas en relación a la LOPD, destacan los siguientes:

  1. Control de acceso físico a edificios y locales donde se conservan o tratan datos personales.
  2. Tratamiento de datos sobre personas que están legitimadas para el acceso a las instalaciones.
  3. Tratamiento de datos sobre las personas que acceden a las instalaciones.
  4. Mantenimiento de sistemas de seguridad.
  5. Traslado y custodia de documentos con datos personales o información confidencial.
  6. Traslado y custodia de soportes informáticos con datos personales o información confidencial.
  7. Servicios de escrow de ficheros.

El Nuevo RD modifica los requisitos para el desarrollo de esta actividad empresarial, en cumplimiento de una sentencia del TSJCE que condenaba a España por restringir el libre establecimiento y la libertad de prestación de servicios de seguridad privada en nuestro país.
En este aspecto, destacan los siguientes puntos de la norma:

  1. Permite el establecimiento en España de empresas de seguridad privada de otros países de la UE.
  2. No será necesario la cumplimentación de requisitos ya acreditados en el país de origen.
  3. Las empresas de seguridad privada podrán ser personas físicas o jurídicas.
  4. Son válidos los depósitos de garantía establecidos en otros países de la UE.
  5. Podrán reconocerse las habilitaciones y cualificaciones profesionales obtenidas en otros países UE.

Entre los requisitos que debe cumplir una empresa de seguridad privada, destacan:

  1. Certificado acreditativo de la instalación de un sistema de seguridad.
  2. Memoria explicativa de los planes de operaciones de sus actividades.
  3. Relación del personal empleado.
  4. Seguro de responsabilidad civil, aval o garantía financiera.
  5. Depósito de garantía.

Adicionalmente, las empresas que se dediquen a la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, así como a la planificación y asesoramiento de actividades de seguridad, deberán disponer de una zona o área restringida que, con medios físicos, electrónicos o informáticos, garantice la custodia de la información que manejaren y de la que serán responsables.

Todo ello sin perjuicio de los requisitos establecidos en el artículo 12 de la LOPD, cuando éste sea aplicable al servicio prestado.

Acceso al Real Decreto (PDF)