En momentos de crisis .....

hay que ahorrar como sea ............... :-)

Leyendo esta resolución de la AEPD no he podido evitar una carcajada pensando sobre la posibilidad de que se trate de un ejemplo más de la típica picaresca que desde siempre nos caracteriza.

En esencia, se trata de una ciudadana que reclama ante la AEPD que no se ha atendido una solicitud de ejercicio de derecho de acceso a su historia clínica. Según la afectada la historia clínica entregada estaba incompleta.

Para no extenderme más, sirva este párrafo de la resolución como conclusión de la situación planteada:

"En segundo lugar, en relación a las pruebas realizadas con posterioridad al 03/01/2007 y que la reclamante afirma no haber recibido, éstas se encuentran en el mencionado Hospital a disposición de la misma, previo abono del importe de su realización, hecho éste ajeno a las competencias de la Agencia Española de Protección de Datos."

Desde luego lo primero que me viene a la cabeza es que se trata de una buena estratagema para intentar ahorrarse unas perrillas. Una anécdota más de como la LOPD puede ser utilizada como arma arrojadiza o como mecanismo para intentar obtener "beneficios" personales .........

En cualquier caso, pido disculpas públicamente a la ciudadana en caso de que mi interpretación sea totalmente ajena a la realidad.

CITA DEL DÍA: "El desconocimiento es el caldo de cultivo de la inseguridad"

Evento INTECO : SGSI

El martes dia 4, Inteco organiza en Barcelona una jornada sobre SGSI que parece interesante. Nosotros asistiremos, así que si alguien tiene pensado acercarse, es un buen momento para conocernos e intercambiar opiniones.

Los detalles del enlace están en catalán, ya que la jornada está organizada en colaboración con la Cámara de Comercio de Barcelona, lo sentimos.

Abra la boca y diga LOPD

Vamos a relatar otro caso más (por desgracia no cesan) de incumplimento de la LOPD, y como si de una película americana de sobremesa se tratara, esta vez está "basado en hechos reales".

Ayer, por desgracia, acudí a un centro odontológico. Era la primera vez que acudía a esta clinica, y procedieron a "ficharme". Ni que decir tiene que el deber de información no había venido ese día a la consulta. Una vez que empezaron el cuestionario me sorprendió mucho que me preguntaran el DNI y el estado civil.

¿Es necesario mi DNI para tratarme una caries? A lo mejor es para facturarme...
¿Importará si estoy casado en el tratamiento que me den? Si no lo estoy, ¿será más cariñosa la enfermera? :-)

Uno, que lleva la deformación profesional siempre encima, no podía hacer otra cosa más que preguntarlo, la respuesta fue clara, y la que se suele recibir en estos casos: "a mí me han pasado el formulario y yo lo pregunto" con el tono claramente me estaba diciendo "¿No vendrás a tocarme las narices no?".

Como se puede comprobar estamos ante un flagrante caso de incumplimiento de los principios de información y de calidad de los datos. Se está recabando información excesiva y además no se informa, lo cual, vulnera de lleno la LOPD. Este anecdótico hecho hace que volvamos a acordarnos del informe de INTECO en el que se reflejaba la penosa, si se me permite la palabra, calidad y cantidad de implantaciones de la LOPD en las PYMES.

En estos casos, ¿qué podemos hacer? nosotros porque somos buena gente y no vamos a denunciar, pero otro usuario que salga enfadado por el trato, el desembolso o incluso el dolor, ¿qué le impide denunciarlo a la Agencia? Está claro que las empresas desconocen el riesgo que corren en estos casos, tal vez un aviso diciéndole al empresario "¿Sabes que estos incumplimentos te pueden suponer miles de euros de sanción?" le haga espabilar, o tal vez no...

No obstante, el empresario juega con ventaja puesto que el pobre ciudadano de a pie está todavía menos concienciado y puesto en estos temas.

CITA DEL DIA : "El que mucho abarca... sufrirá para defender..."

Las PYMES y su in-seguridad

Desde aquí felicitar a Samuel y Nacho por la estupenda presentación que presentaron, valga la redundancia, en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Aquí os dejo el enlace a la entrada del blog de Samuel.

Se trata de un claro ejemplo que retrata como las soluciones/servicios en materia de seguridad de la información enfocadas a las PYMES no son las más adecuadas. En muchas ocasiones se intentan matar moscas utilizando misiles Tomahawk.

Por cierto, muy bueno el detalle del sello de la ITV en las certificaciones del Sr. Gómez-Cebolla :-).

Lo dicho, estupenda exposición, lástima de no haberla visto en vivo y en directo. Y felicidades por vuestra obra maestra IS2ME!

CITA DEL DÍA: "Seguridad o inseguridad, esa es la cuestión ...."

¿Hay que informar sí o sí?

Os voy a plantear un tema que tengo sobre la mesa y ya no sé que hacer ante las negativas de la empresa X (página web de bolsa de trabajo que por motivos obvios mantendré en secreto, de momento ........). Os planteo brevemente el caso (sin términos ni referencias jurídicas para no aburrir) y el “problema” que se origina:

Existe una relación mercantil con la empresa X a través de la cual se publican las pertinentes ofertas de empleo. La empresa X informa al candidato en los términos que establece la LOPD. Con la empresa X se establece una comunicación/cesión de datos y a tal efecto recogen el debido consentimiento.

Ahora bien, desde nuestro punto de vista en ningún momento se le informa claramente del destinatario de los datos, en este caso nosotros. Obviamente está implicito en la oferta a la cual se inscriben pero no se ajusta a los requisitos de la LOPD. A tal efecto, se ha propuesto incluir una advertencia legal con nuestros datos (en calidad de responsables “temporales” del tratamiento) en el correo de respuesta que automáticamente reciben todos/as los/as candidatos/as que se inscriben a las ofertas.

La empresa X no permite que se incluya este tipo de información puesto que aparece información de contacto (para el ejercicio de derechos) y sus condiciones de uso no permiten facilitar datos de contacto a los candidatos.

Pues eso es todo. ¿Os habéis encontrado en esta tesitura? ¿Creéis que, como destinatarios de los datos debemos informar a los/as candidatos/as? ¿Debería hacerlo en cualquier caso la empresa X?

Cualquier opinión, observación, matización, etc. será bienvenida. Gracias.

CITA DEL DÍA: "Tu controlas la seguridad pero la inseguridad te controla a ti"

El enemigo en casa y que dure .............

De todos es sabido que muchos de los problemas o incidentes de seguridad tienen su origen en la propia organización. Por lo general, ya sea de forma accidental o malintencionada, el usuario acostumbra a estar implicado. Por ello, es lógico que se dediquen muchos recursos a campañas de concienciación, sensibilización, formación, etc. con objeto de "educar" a los usuarios en el uso de los sistemas de información y haciendo especial hincapié en aquellos aspectos relativos a la seguridad.

Lo anteriormente expuesto es lo más sensato aunque también debo decir que no va nada mal que existan "ovejas negras" en nuestro rebaño. Al igual que el cuerpo humano tiene que estar "infectado" previamente (vacuna) para combatir un virus y desarrollar las defensas adecuadas, en el caso que nos ocupa podríamos decir que se trata de una situación similar por no decir idéntica. Si pensásemos en un escenario utópico y las campañas antes mencionadas tuvieran un éxito absoluto podríamos asegurar que internamente nunca más tendremos problemas. No obstante, esto nos llevaría a una falsa seguridad puesto que no tendríamos la certeza de si disponemos o no de un entorno seguro.

Además, tarde o temprano, siempre que haya un usuario involucrado (comportamiento totalmente impredecible e imaginación sin límites) existe un riesgo directamente proporcional al espíritu investigador y afán de superación del susodicho. Por tanto, particularmente creo que es bueno que convivan usuarios “avanzados” que intenten saltarse las reglas, de esta forma podremos evaluar de forma empírica la robustez de nuestra seguridad.

Obviamente, detrás de este planteamiento deben haber mecanismos o herramientas de monitorización de amplio espectro con objeto de identificar que los usuarios no experimenten más de la cuenta. A lo largo de mi experiencia he podido comprobar como se desarrolla la “inteligencia” del usuario con objeto de saltarse las barreras que se le ponen delante. Os aseguro que en ningún momento se nos hubiera pasado por la cabeza contemplar según que métodos se han aplicado para vulnerar las reglas de uso.

Como caso destacable tuvimos a un ejemplar varios días “vigilado” para comprobar hasta donde era capaz de llegar. En concreto, su objetivo era navegar por Internet sin estar autorizado. Para ello, además de descargarse e instalar “utilidades” de captura de contraseñas también llego a instalarse el famoso Tor para navegar de forma anónima. Lástima que la jugada le saliera mal porque la verdad es que poquito a poquito iba avanzando en su empeño.

En resumen, tampoco es tan grave que hayan usuarios “rebeldes” ya que, viendo la parte positiva, nos ayudan a mejorar la seguridad de nuestros sistemas. Otra forma de verlo es que disponemos de un servicio de testeo permanente, no viciado y sin coste añadido. Evidentemente, siempre debe haber un límite y un control exhaustivo con objeto de que los experimentos no nos exploten en las manos.

CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"

EEUU y su watch list

Hace algún tiempo leí este artículo de Xavier Ribas que me llamó la atención, y hoy "discutiendo" con un compañero de trabajo me ha vuelto a la cabeza, y creo se merece unas cuantas líneas.

Anualmente Estados Unidos, a través del USTR (United States Trade Representative), confecciona una lista negra, en la que relaciona los paises más deficientes en cuanto a propiedad intelectual, con objeto de tomar las medidas adecuadas en cualquier transacción que se realice con ellos.

Este año ha sido incluida por primera vez España, y a ello le acompaña una descripción de que motivos han propiciado esta inclusión. Entre estos motivos nombran la preocupación que tienen por el pobre papel del gobierno español a la hora de atajar la piratería en Internet, relatando que en España el compartir archivos por internet mediante p2p es legal. Mientras el gobierno español no tome estas medidas, seguirá incluido en su watchlist.

SPAIN
Spain will be added to the Watch List in 2008. The United States is concerned by the Spanish government’s inadequate efforts to address the growing problem of Internet piracy, described by
U.S. copyright industries as one of the worst in Europe. There is also a widespread misperception in Spain that peer-to-peer file sharing is legal. While Spanish law enforcement authorities have taken some positive measures against pirate Internet websites, prosecutors have failed to pursue IPR cases, judges have failed to impose deterrent-level sentences against IPR infringers, and right holders do not have access to important legal tools needed to bring meaningful civil infringement suits. The United States will continue to work closely with Spain to address these IPR enforcement issues during the next year.

Desde aquí no vamos a opinar sobre si el Gobierno debería permitir o no estas descargas, pero si opinaremos sobre la posición de EEUU. Está claro que no es una postura nueva la de que los EEUU se consideren los mandamases del mundo, pero si nos sorprende ver con que "libertad" juzgan a la justicia española (valga la redundacia). ¿Es posible que esta catalogación venga motivada en gran medida por que las grandes industrias cinematográficas y musicales se encuentran allí? ¿Realmente España se encuentra al mismo nivel que paises como Indonesia, Líbano, Filipinas, Tajikistán....?

CITA DEL DIA : "Si tu sistema es seguro es que no lo ha atacado la persona adecuada"