0

El Nuevo Reglamento Europeo de Protección de datos

-

El 14 de abril de 2016 se ha aprobado el esperado Nuevo Reglamento Europeo de Protección de datos. Este Reglamento entrará en vigor 20 días después de haber sido publicado en el Diario oficial de la Unión Europea, que previsiblemente será a finales de junio y los países miembros tendrán una vacatio legis de dos años para adaptarlo a sus legislaciones nacionales, es decir hasta mayo de 2018

Entre las novedades más significativas destacamos:

  • Evaluación de Impacto relativa a la protección de datos. Se trata de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos. Es un análisis de riesgos. La AEPD ya se pronunció sobre éste asunto, creando una guía. A través de ésta evaluación se consigue la protección de datos desde el diseño y por defecto.
  • Ventanilla única (One Stop Shop) a través de la cual las empresas españolas con sedes en otros Estados Miembros, podrán tratar con, en nuestro caso, la AEPD o con la del Estado Miembro donde se encuentre su matriz.
  • Elaboración de perfiles para evaluar determinados aspectos personales de una persona física.
  • Seudonimización que consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable.
  • Derecho al olvido mediante la rectificación o supresión de datos personales.
  • Derecho a la portabilidad de datos de un proveedor de servicios a otro.
  • Multas de hasta 20 millones de euros o el 4% de su facturación global (optándose por la mayor cuantía)
  • Licitud del consentimiento. El consentimiento queda como un acto afirmativo claro.
  • Delegado de Protección de Datos, DPO.
  • Notificar una vulneración de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al interesado.
  • Datos genéticos (datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas) / Datos biométricos (datos que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos).
  • Responsabilidad proactiva. Las empresas deben de adoptar medidas para demostrar que se está cumpliendo con el Reglamento, es decir, los responsables tienen que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
  • Transparencia de la información. Las políticas de privacidad deberán cambiar para adaptarse a lo que exige el Reglamento.
  • Protección de datos desde el diseño y por defecto.
  • Cambia del concepto de encargado del tratamiento, hacia un “encargado seguro” de forma que el contrato que regula la relación de estos prestadores de servicios se refuerza, exigiendo que quede todo estipulado, con nuevas medidas como el derecho a auditar por parte del responsable del tratamiento hacia el encargado.

Con respecto a las medidas de seguridad en los tratamientos España de los pocos países que disponemos ya de una norma (Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), que regula las disposiciones que exigen el nuevo Reglamento Europeo, por lo que en principio, no nos supondrá tanto impacto como a otros países, a expensas de que como hemos comentado, se pronuncie la AEPD.

Puedes descargar el contenido del RU 2016/679 en este enlace.

captura-de-pantalla-2016-12-04-a-las-14-47-42

 

0

Las 7 novedades más importantes de la nueva ISO 27001:2013 Gestión de Seguridad de la Información

-

A finales de 2013 salió publicada la nueva versión de la norma ISO/IEC 27001:2013, el estándar por excelencia de la Gestión de la Seguridad de la Información, norma que por ejemplo en España ya cuenta con cerca de 700 certificaciones en diversas empresas, sobre todo del sector TIC y que se ha convertido en una verdadera herramienta para mejoras algunas empresas TI, dando valor en mercado y haciendo que esta certificación se convierta en un auténtico must para algunos proveedores de servicios en la nube.

Fuera de un análisis más profundo, que publicaremos más adelante, y dirigido esta primera entrada a profesionales del sector, podemos resaltar 7 novedades de la nueva versión del estándar, tras las primeras experiencias de formación y consultoría en empresas y con la opinión de diversos profesionales:

  1. El proceso de Análisis de Riesgos más sencillo y real. Uno de los grandes mitos de la ISO 27001 es que Magerit y Pilar son herramientas indispensables. Más bien y como opinión del autor, suponen un riesgo porque muchos análisis de riesgos realizados en empresas certificadas no aportan ningún valor y hasta en ocasiones descuidan las acciones más relevantes que se deben implementar. La versión 2013 nos da la luz a un proceso donde se identifican riesgos y oportunidades, es decir la famosa acción correctiva identificada en auditoría pasa a formar parte del análisis de riesgos, dando pie a otra norma ISO 31500.
  2. El nuevo concepto de LIDERAZGO. No es necesario ni comité ni parafernalias administrativas, lo importante es que alguien en la organización lidere la gestión de la seguridad, el CISO
  3. Lenguaje ITIL. La nueva norma respira conceptos de Operación, Support, Configuración, etc. un lenguaje total de la gestión de servicios que junto al nuevo Anexo SL de las normas de gestión se abandona un poco el famoso espíritu PDCA para dar paso a una gestión por procesos más real en la empresa.
  4. La Comunicación de la Seguridad, un requisito. Dentro del nuevo apartado de Support aparece la comunicación de la seguridad como un hito obligatorio a realizar sobre las partes interesadas del sistema de seguridad. Anteriormente era un punto de la mejora contínua, pero éste era uno de los GAP identificado en muchas auditorías donde ni siquiera se identificaba este punto.
  5. Menos controles, más dominios de control, como la gestión de Proveedores (suministradores) como uno de los focos principales para transmitir seguridad. Lo malo es que cambian completamente los números, haciendo un trabajo de gestión en las actuales declaraciones de aplicabilidad.
  6. La definición de objetivos en base a la Política, con una gestión de indicadores y elementos de gestión.
  7. Gestionar la ISO 27001 como un proyecto, uno de los nuevos controles de la Declaración de aplicabilidad que nos da la pista definitiva que se deben gestionar recursos, personas, tareas, calendarios, etc. Es decir poner la palabra “proyecto” en algo que desde los inicios de las normas ISO le llamaban “sistema de gestión” y que alguno no sabía todavía definir

Continuaremos hablando de la norma ISO 27001:2013 con más detalles.

blogimg-15

0

La formación avanzada y especializada, para los más listos

-

blogimg-14

Hace poco he leído un articulo que me llamó poderosamente la atención y en el cual según mi punto de vista se puede tener las claves para paliar el desempleo y por ende la crisis, soy partidaria de que para que un país salga de una dificultad sus ciudadanos deben tomar una actitud activa en conjunto con la administración y las empresas.

El  IESE Business School y Citi Foundation, la fundación de la entidad financiera Citi con las opiniones de 275 empresarios y de directivos de portales de empleo clasifica a los jóvenes de nuestro país en tres grupos con muy distintas oportunidades de empleo en función de sus estudios y su formación complementaria, aunque me resulta un poco odioso y arriesgado “encasillar” el mercado laboral es necesario a la hora de emprender soluciones, veamos cuales son estos 3 grupos:

    1.  Los achievers, se les define como titulados que demuestran ambición profesional, gran motivación por el trabajo y una muy buena formación. Los achievers no tiene tantos problemas como el resto de jóvenes para emplearse cuando se incorporan al mercado laboral. En este colectivo altamente cualificado estarían incluidos los perfiles científicos, los investigadores, los arquitectos y los ingenieros. Por lo general, graduados en titulaciones universitarias de las ramas técnicas, de ciencias o de salud, con carreras exigentes y complicadas, y buena formación complementaria incluidos los idiomas. Es en este grupo en el que se produce la fuga de cerebros al exterior.
    2. Los averages, es en el que se incluye la gran mayoría de nuestros jóvenes. Gran número de titulados en carreras como Empresariales o Derecho, por ejemplo, sin idiomas, sin experiencia laboral, sin plantearse una carrera profesional internacional, con una formación complementaria escasa y aptitudes limitadas, y que están desanimados por la pésima situación actual del mercado de trabajo. El consejo de los empresarios y directivos para este colectivo es que se animen a salir fuera del país para poder desarrollar las capacidades que ahora no les brinda España y que entiendas su carrera internacional no como una necesidad impuesta, sino como una oportunidad y un reto personal.
    3. Los llamados unskilled, son los más numerosos, aproximadamente la mitad del paro juvenil, y son los mas problemáticos a la hora de insertarse en el mercado de trabajo. Han abandonado los estudios, muchos de ellos para trabajar en la construcción en el pasado boom inmobiliario, se encuentran actualmente desorientados por la ausencia de salidas laborales para ellos y muchas veces son los que tienen menos recursos para afrontar la situación. Suponen todo un reto para las administraciones, que no tienen fácil reorientarles profesionalmente para facilitarles una oportunidad. Los empresarios recomiendan tratarles específicamente, con políticas de empleo adaptadas a sus circunstancias.

En DOITsmart estamos convencidos de que la formación es el arma mas eficaz ante cualquier crisis, ya lo decía Mandela “La educación es el arma más poderosa que puedes usar para cambiar el mundo”.

 

1

Para un sistema certificado en ISO 20000,¿es obligatorio que exista una política pública de servicios operados por terceros?

-
0

¿Cuáles son los niveles o categorías de Seguridad en el ENS? Infografía.

-

Al mismo estilo que la LOPD y el Real Decreto 1720/2007 de Protección de datos personales, los sistemas de información se clasifican en tres niveles: ALTO, MEDIO y BÁSICO, pero a diferencia de la legislación de protección de datos los niveles no se definen por el tipo de información que tratan sino por las consecuencias de un potencial incidente de seguridad.

La siguiente infografía explica los tres niveles de seguridad según el ENS

niveles-ens2

0

¿Cuál es el ámbito de aplicación del ENS?

-

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007, de manera que es de aplicación:

  • A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • A las relaciones entre las distintas Administraciones Públicas.

Están excluidos del ámbito de aplicación del ENS los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Como regla general, podemos afirmar que el ENS es de aplicación a:
  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo

Cualquier caso que se aleje de la lista anterior conviene examinarlo con detalle y determinar si se encuentra o no comprendido dentro del marco de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos. Si es así, habrá que entender que también le es de aplicación lo dispuesto en el ENS.

0

¿Qué es el Esquema Nacional de Seguridad (ENS)?

-

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica da cumplimiento a lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

El ENS es necesario para establecer elementos comunes relativos a la seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, al objeto de crear las condiciones necesarias para la confianza en el uso de los citados medios electrónicos que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Sus objetivos principales son los siguientes:

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
  • Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
  • Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad.