Blog para intercambios de consultores de Estandares, especialmente en Calidad y TI
viernes, 29 de abril de 2011
¿Actuará la AEPD ante el posible robo de datos personales a SONY?
martes, 19 de abril de 2011
Formación “OBLIGATORIA” en Protección de Datos
La semana pasada tuve que repetir estas palabras hasta la saciedad seguramente porque, alguna de “estas empresas” que juegan con la interpretación de la LOPD y su Reglamento, se dedicó a hacer telemarketing sobre un sector concreto.
Si bien es cierto que, en el Artículo 89. Funciones y obligaciones del personal, del Reglamento de Desarrollo de la LOPD (Real Decreto 1720/2007), se establece la obligación por parte del Responsable del Fichero de informar al personal sobre “las medidas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”, esto se puede llevar a cabo, entre otras muchas, de las siguientes formas;
• establecer las cláusulas pertinentes en el contrato laboral,
• anexar un documento explicativo de los extremos oportunos junto a la entrega de la nómina,
• realizar un mailing a todo el personal afectado,
• establecer un mensaje de advertencia previo al acceso a los sistemas,
• y por supuesto, con una acción formativa.
jueves, 3 de marzo de 2011
Particularidades de MAGERIT en el ENS
jueves, 24 de febrero de 2011
El análisis de riesgos en el Esquema Nacional de Seguridad
Uno de esos aspectos es el del análisis de Riesgos. Las referencias al mismo en el ENS son las siguientes:
1. Conjunto de medidas a adoptar según Anexo II --> Marco operacional--> op.pl.1
Si la categoría del sistema es:
• BAJA, “Bastará un análisis informal, realizado en lenguaje natural.”.
Hay que puntualizar que para concluir que la categoría del sistema es BAJA, sí hemos debido de realizar un análisis formal inicial que incluya: inventario de activos de tipo información, servicios y sistema, dependencias entre ellos y valoración de los activos información y servicios. Esto serían los requisitos mínimos en el caso de AAPP con Sistemas de Información de categoría BAJA.
• MEDIA, “Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida”.
No tiene por qué seguirse metodología MAGERIT, y podría ser suficiente con un análisis en tablas de Excel sencillo.
• ALTA, “Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente.”
Se recomienda MAGERIT y se exige un inventario de “vulnerabilidades”, que no es exigido en las categorías anteriores.
2. En el resto de medidas exigibles por el ENS, se toma como referencia el análisis de riesgos para:
- En la auditoría obligatoria también debe comprobarse que se realiza el AARR, revisa y aprueba anualmente.
- En el plan de adecuación se debe incluir el AARR realizado hasta la fecha.
- En la política de Seguridad se debe incluir un apartado donde la organización se compromete a realizar el AARR y atender a sus conclusiones, además de nombrar a los responsables.
- El Análisis de Riesgos será elaborado y validado por el Responsable del Sistema, que puede delegar su elaboración.
En el próximo artículo profundizaremos en algunos aspectos particulares que hay que tener en cuenta al aplicar Magerit como metodología de AARR del ENS.
viernes, 18 de febrero de 2011
¿Hacia donde caminan los Sistemas de Gestión en normas ISO?
- El aumento de esta dependencia ha sido espectacular, y habitualmente al no formar parte de la cadena de valor tradicional de la empresa (siempre se han considerado procesos de soporte), han sido excluidos del alcance de las normas ISO tradicionales enfocadas a Gestión (ISO9001, ISO14001…).
- Tal ha sido el contraste de enfoques que los consultores de Sistemas de Gestión tradicionales rara vez han dado el salto a la consultoría en normas tecnológicas, puesto que parecía haber una gran dependencia de éstas de los conocimientos técnicos con una curva de aprendizaje larga.
- A su vez, los consultores informáticos tradicionales, habituados a una auditoría informática muy técnica pero alejada de la gestión de la empresa, han visto la posibilidad de ampliar estas auditorías técnicas a los controles Organizativos, Técnicos, Físicos y Legales de las normas ISO de carácter tecnológico.
- Finalmente, hemos asistido en la última década a la especialización de consultores legales (principalmente abogados) en derecho aplicado a Nuevas Tecnologías de la Información, especialmente en la Ley Orgánica de Protección de Datos y el Real decreto 1720/2007 que la desarrolla. Los aspectos coincidentes con un Sistema de Gestión de la Información han animado a estos últimos a dar el salto como consultores de Información más amplia que “el dato de carácter personal” (más ahora con la aparición reciente del “Esquema Nacional de Seguridad”).
martes, 8 de febrero de 2011
Safer Internet Day 2011
La asociación PROTEGELES, de protección y fomento de un uso responsable de las nuevas tecnologías entre los menores, http://www.protegeles.com/, participa activamente en la organización y difusión de este evento.
PROTEGELES promueve la difusión del spot que ha creado y adaptado a cada idioma y país, lanzando el mismo mensaje en todo el mundo con ocasión de ese día, ¡Piénsalo antes! (Think B4 U post!), apelando a la responsabilidad del usuario a la hora de publicar y gestionar recursos en Internet, especialmente fotografías y vídeos.
lunes, 31 de enero de 2011
Baile de sillas en la consultoría
Accenture, Roland Berger y Atos Origin han cambiado a sus primeros espada en 2010. KPMG ha fichado a 9 rivales, mientras que Ernst & Young, Deloitte y PwC han incorporado a 5 directivos de la competencia. A Indra, le han quitado 5.
Las consultoras que operan en España recrudecen la guerra de fichajes. Las principales firmas del sector han cerrado un año negativo para el negocio con tres cambios de máximo dirigente, ascensos y 44 incorporaciones estrella para reforzar sus plantillas. Parece que la preocupación por la caída del 5% en los márgenes ha dado paso a la acción.
Accenture y Roland Berger han renovado durante 2010 a sus consejeros delegados mundiales con la entrada de Pierre Nanterme y Martin C. Wittig, respectivamente. Ambos son hombres de la cantera y tienen un fuerte perfil financiero, un matiz interesante dado el contexto económico.
jueves, 27 de enero de 2011
La AGPD invita a celebrar la 5ª edición del Día de la Protección de datos el 28 de Enero
- Tiene por objeto impulsar el conocimiento entre los ciudadanos de sus derechos y responsabilidades en materia de protección de datos.
- El evento celebra su 5ª edición y conmemora el 30 aniversario de la firma del Convenio 108 del Consejo de Europa.
- Con motivo de la celebración de esta jornada, la AEPD hará entrega de los "Premios de Protección de Datos 2010", que este año alcanzan su XIV edición.
viernes, 14 de enero de 2011
Ya tenemos los PODCAST de los cursos!!
Un saludo!