domingo, 20 de marzo de 2011

euskal securiTIConference (IX)

En este post información sobre la última ponencia del evento "euskal securiTIConference".


DATOS DE LA PONENCIA

Organización: METAPOSTA.

Ponente: Rafael Gárate (Director Técnico).


Título: "METAPOSTA: TU INFORMACIÓN SIEMPRE ACCESIBLE Y SEGURA".

Subtítulo: "La seguridad en METAPOSTA, ante todo y sobre todo...".

Resumen: METAPOSTA es un proyecto incluido en el "Plan Euskadi en la Sociedad de Información - 2010"  que crece y se consolida cada día. METAPOSTA es una "caja fuerte electrónica postal en internet" en la que se almacenan documentos de interés personal. Su fundamento principal, la SEGURIDAD, tanto en la transmisión de datos, como en las medidas e infraestructuras utilizadas. METAPOSTA explicará cómo garantiza la seguridad de la información depositada, sin merma en la accesibilidad y simplicidad de uso.


En el siguiente post el programa completo del evento.

jueves, 17 de marzo de 2011

euskal securiTIConference (VIII)

Como complemento al post anterior, indicar las personas concretas que participarán en la mesa redonda:


Moderador:

COIIE: D. Rubén Llana (Miembro de la Comisión de Seguridad).

Participantes:

OSATEK: D. Daniel Villar (Responsable de Tecnología y SS.II.).

 IZENPE:  D. Iñigo Barreira (Responsable Área Técnica).

NEXTEL:  D. Joseba Enjuto (Security Manager).

CONSULTEC: D. Andoni Martin (CISA, IRCA Lead Aud. ISO 27001).

DELOITTE: D. Ignacio González (Gerente de Riesgos TI).

Muy en breve, detalles sobre la última ponencia y programa definitivo del evento.

lunes, 7 de marzo de 2011

euskal securiTIConference (VII)

En este post información sobre la mesa redonda del evento "euskal securiTIConference".


DATOS DE LA MESA REDONDA:

Organizaciones: COIIE (moderador), OSATEK, IZENPE, NEXTEL y CONSULTEC.

Título: ¿CÓMO ASEGURAMOS LA INFORMACIÓN?.

Subtítulo: ¿Se protege convenientemente la información, uno de los principales activos de las organizaciones?.

Resumen: La información que se procesa en las organizaciones posee un significado, una importancia, tiene una vigencia, una validez y valor. Todas estas características hacen que la información esté expuesta a unos riesgos con una probabilidad de ocurrencia determinada y por tanto a un impacto económico. ¿Cómo aseguran las organizaciones la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de la información?, ¿Qué normativas y estándares aseguran la información?, ¿Qué grado de cumplimiento existe en el mercado de las mismas?. Ésta es un área de radiante actualidad no solo para las administraciones públicas sino también para la empresa privada, al fin y al cabo todas las organizaciones trabajan con datos y por consiguiente con información.


En esta mesa redonda se contrastarán las opiniones y experiencias de participantes de diferentes organizaciones, y por tanto desde perspectivas diversas, sobre la importancia que se concede a la seguridad de la información y sobre las normativas y estándares empleados para asegurarla.

sábado, 5 de marzo de 2011

Reforma del régimen sancionador de la LOPD

Ya se ha publicado en el BOE (http://boe.es/diario_boe/txt.php?id=BOE-A-2011-4117) la famosa Ley de Economía Sostenible.

Aunque esta Ley es mucho más conocida por otros asuntos (e incluso por otro nombre, Ley Sinde), su Disposición final quincuagésima sexta modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, reformando el régimen sancionador previsto en la misma.

Aspectos que me parecen relevantes sobre las modificaciones realizadas, y mi opinión sobre los mismos, son los siguientes:

a) Se establece como falta leve "La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley", es decir, sin que se regule la relación entre el Responsable de Fichero o Tratamiento y el Encargado de Tratamiento en un contrato que establezca expresamente las exigencias para el acceso a datos por cuenta de terceros.

En este caso, en mi opinión se trata de un aspecto positivo de la reforma, ya que, hasta este momento, ante la inexistencia del citado contrato el acceso a los datos por parte del Encargado del Tratamiento se entendía como una cesión o comunicación de datos sin consentimiento del interesado, lo que podía dar lugar a una sanción por infracción muy grave y, también en mi opinión, esto resultaba un tanto excesivo.

b) Se establece como falta grave "La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley".

Hasta este momento, el incumplimiento del deber de secreto era considerado como una falta leve, salvo que constituyera una infracción grave o muy grave en función del tipo de datos que se divulgaran. Esto hacía que en la práctica la mayoría de los inclumplimientos de este deber fueran considerados como falta leve y, en consecuencia, daban lugar a una sanción, en mi opinión, muy baja e incluso rídicula. Por esta razón, también creo que se trata de una modificación positiva.

c) Se modifican los importes económicos de las multas, de la siguiente manera:

 - Las infracciones leves serán sancionadas con multa de 900 (antes 600) a 40.000 euros (antes 60.000).
 - Las infracciones graves serán sancionadas con multa de 40.001 (antes 60.001) a 300.000 euros.
 - Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

En este caso, mi opinión es que se trata de una modificación negativa, ya que me parece un poco excesivo el que la sanción más baja se incremente en un 50%.

d) Las modificaciones correspondientes a los criterios establecidos para graduar la cuantía de las sanciones y los supuestos en los que se podrá aplicar la escala relativa a la clase de infracciones inmediatamente anterior a la cometida, en mi opinión, pueden hacer que las sanciones se ajusten más a cada caso concreto y en consecuencia ser más justas. Por tanto, también entiendo esta modificación como positiva.

e) Además, se establece que en el caso de haberse cometido una infracción leve o grave: "Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes", siempre y cuando el infractor no hubiese sido sancionado o apercibido con anterioridad, modificacación que también me parece positiva.

martes, 1 de marzo de 2011

euskal securiTIConference (VI)

En este post, detalles de la ponencia de la Agencia Vasca de Protección de Datos en el evento "euskal securiTIConference".


DATOS DE LA PONENCIA:

Organización: AVPD – Agencia Vasca de Protección de Datos / Datuak Babesteko Euskal Bulegoa.

Ponente: Pedro Alberto González (Encargado del Registro de Ficheros y NNTT).

Título: “La arquitectura de la Privacidad”.

Subtítulo: “Privacy  by Design”: Construyendo soluciones que garanticen la privacidad desde el primer diseño.

Resumen: La frase “Eso no se puede hacer por Protección de Datos” suele aparecer como algo sobrevenido e inesperado en muchos procesos cuando ya están desplegados. Ello lleva a abordar “procesos de adaptación a la LOPD”, que suelen consistir en asegurar el cumplimiento formal de determinados requisitos legales. Por esta razón, muchos desarrolladores e ingenieros de sistemas suelen percibir la Protección de Datos como una “piedra en el engranaje” que sólo supone dificultades.

El reciente paradigma de diseño basado en los principios de “Privacy by Design” pretende darle la vuelta a estos planteamientos y adoptar una visión proactiva de la Protección de Datos. Nos enseña a incorporar en la arquitectura de nuestras aplicaciones los requisitos de garantía de privacidad de las personas cuyos datos de carácter personal se tratan en ellos, de la misma forma que ya hoy en día se han incorporado los requisitos de seguridad, modularidad, usabilidad, accesibilidad, etc. Este enfoque se ve complementado con otras tendencias actuales, como son la elaboración de análisis de impacto sobre la privacidad (PIA – Privacy Impact Assesment) y la utilización de técnicas de fortalecimiento de la privacidad (PET – Privacy-Enhancing Technologies).
 
 
 
Muy en breve, detalles de la cuarta ponencia, mesa redonda y programa definitivo del evento.