Seguridad – Ataques Informáticos en Cliente

Desde hace años la seguridad informática viene tomando cada vez más protagonismo en todos los ámbitos: empresarial, personal o doméstico y, por supuesto, gubernamental. Esta creciente importancia ha proporcionado grandes avances en la seguridad perimetral fundamentalmente a través de sofisticados firewalls, sistemas de detección y de prevención de intrusiones, monitorización constante de la red, servidores mejor asegurados, etc.

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

  • Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.
  • Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.
  • Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.
  • Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.
  • Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.
  • Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.
  • Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com

La formación de Empleados como elemento fundamental para proteger la información de nuestra Empresa

No cabe duda de que cuando hablamos de información en el ámbito profesional, nos estamos refiriendo a uno de los activos más importantes que manejan las empresas como elemento básico sobre el que fundamentan, realizan y prestan sus servicios. Por ello la gestión de esta información, sea personal, económica, estratégica u organizativa cobra una importancia vital para la consecución de los objetivos marcados y el buen desarrollo del negocio.

Esta importancia de la información crea una necesidad de control y gestión de la seguridad sobre la misma y no solo desde un punto de vista legal en cuanto a datos personales se refiere, sino con carácter general a toda la información manejada por una compañía, convirtiéndose en un complemento importante y que aporta un plus de confianza y compromiso ante clientes o terceros ajenos a la empresa. Como ejemplo de este punto es la cada vez más aceptada e incluso exigida aplicación de normas ISO en la contratación entre empresas a nivel internacional.

Pero en este artículo quería resaltar no la conveniencia o incluso necesidad de adoptar este tipo de normas, sino uno de los puntos más importantes que acompañan a su implantación y requisito necesario para su éxito, la formación. Como cualquier proyecto en que se incluye un nuevo elemento en la estructura de funcionamiento de una empresa, la implantación de un sistema de gestión de la seguridad de la información pasa por las fases de estudio, desarrollo, aprobación y aplicación, quedando en este punto los nuevos protocolos instaurados y activos, pero no se puede entender como finalizado sin las necesaria labor formativa y de concienciación al personal afectado. Podríamos utilizar la analogía de que de poco sirve comprarse un coche si no se sabe conducir, por lo que el factor formación cobra una importancia capital.

El usuario medio, que maneja información confidencial de la empresa a diario, por lo general no tiene unos conocimientos avanzados sobre seguridad de la información, basando su manera de trabajar en normas que podríamos llamar de ‘sentido común’, propiciando que este conocimiento básico deje lagunas de seguridad que pueden causar no solo perjuicios económicos a la empresa en forma de sanciones sino perdida de confianza de clientes presentes y futuros y por lo tanto perdida de negocio. Se debe considerar por lo tanto un elemento fundamental que dentro de una organización se promuevan de forma continua acciones formativas dirigidas a los empleados buscando una concientización sobre la importancia y necesidad de la aplicación de las normas establecidas por la propia empresa en materia de seguridad, buscando que entiendan el por qué y para qué se hacen y su compromiso para su cumplimiento.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio

Departamento de Gestión

www.audea.com

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”. En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

Áudea abre delegación en la Zona Sur de España

Desde el departamento de comunicación de Áudea, nos complace anunciar la apertura de una nueva delegación de nuestra empresa en Sevilla, con lo que conseguiremos tener un trato directo y mejorar en nuestra atención a nuestros clientes sitos en Andalucía y Extremadura.

Áudea, con sede en Madrid, cuenta con más de 10 años de experiencia como empresa pionera la gestión integral de la seguridad de la información, constituyéndose como un referente obligado en este ámbito, habiendo desarrollado importantes proyectos para grandes compañías y grupos empresariales nacionales e internacionales, organismos públicos, así como para pequeñas y medianas empresas de todo tipo.

Con una clara orientación al cliente, y en base a la política de expansión de la compañía, nace esta delegación, con el fin de aportar al tejido empresarial andaluz y a los organismos públicos nuestra experiencia y conocimiento en la seguridad de la información, además de proporcionar un trato más directo y cercano con los clientes con los que ya cuenta Áudea en el sur de España.

Queremos anunciar que próximamente Áudea continuará con su proceso de expansión abriendo más delegaciones hasta cubrir todo el territorio nacional y trasladar nuestro agradecimiento a todos los que hacen posible que Áudea siga en crecimiento.

Departamento de Comunicación

www.audea.com

Información Corporativa en Peligro

Un reciente estudio elaborado por la consultora Harris Interactive revela la preocupante cifra del número de empleados que estarían dispuestos a vender información corporativa con una finalidad clara: el beneficio propio.

Parece ser que la lealtad a una empresa, o cualquier principio ético, pueden ser comprados por una módica cantidad de dinero, principalmente cuando se mezclan con situaciones problemáticas en la empresa, como despidos o bajas. El 14% de los encuestados admiten que copiarían datos electrónicos y archivos para llevárselos cuando se vayan de la empresa, además de mostrarse cómodos en caso de que tuvieran que vender esa información confidencial por Internet, sin importar el destino final y su uso posterior.

No solamente una empresa está sometida a ataques externos de Hacking; el peligro puede encontrarse en su interior. El acceso a la documentación está al alcance de una serie de usuarios que incluyen empleados, personal externo, socios comerciales o proveedores. Las infraestructuras en las que se trabaja cada vez son más amplias y complejas, pero también más accesibles.

La información confidencial exige controles de acceso, niveles de clasificación de documentos según la sensibilidad de los datos y un preciso seguimiento de las normas en vigor. Se han invertido décadas tratando de trabajar en redes cada vez más extensas y fuertes frente a intrusos. Pero estas medidas han sido diseñadas para frustrar únicamente el acceso no autorizado, dejando libre el acceso autorizado. Es necesario crear una conciencia en empresas y organizaciones para aprovechar los recientes casos de fugas de información o incidentes con datos personales para analizar el impacto que tendría si saliese a la luz información confidencial de su negocio por no tener las medidas necesarias a tiempo.

 Áudea Seguridad de la Información

Iván OntañónRamos

Departamento Legal

www.audea.com

Comunicación de las direcciones del correo electrónico de empresa de los trabajadores afiliados a sus organizaciones Sindicales

Respecto de las comunicaciones de la información sindical realizadas en el ámbito empresarial se ha pronunciado en repetidas ocasiones el Tribunal Constitucional. En su sentencia 281/2005 de 7 de noviembre ha confirmado que la divulgación de la información sindical forma parte del contenido esencial del derecho fundamental de la libertad sindical recogido en el artículo 28.1 de la Constitución Española y desarrollado por la Ley Orgánica 11/1985 de Libertad Sindical, de 2 de agosto.

Sin embargo el Tribunal Constitucional viene a indicar también, que el desarrollo legislativo no agota las posibilidades de difundir la información sindical, por lo que el sindicato puede ejercer este derecho fundamental tanto a través de los cauces previstos en la ley como por medio de otros que libremente adopte siempre que respete la normalidad productiva de la empresa.

A su vez, el empresario tiene que asumir ciertas cargas tasadas en la Ley y dirigidas a hacer efectivo el hecho sindical informativo. ¿No obstante, puede un empresario realizar las comunicaciones de las direcciones del correo electrónico asignados por la empresa a los trabajadores afiliados a sus organizaciones sindicales? Para responder a esta pregunta, debemos traer a colación

la Ley Orgánica 11/1985 de Libertad Sindical, que en su artículo 2 obliga a los empresarios a realizar las acciones positivas favorecedoras de las comunicaciones entre el sindicato y los trabajadores y mejorar la difusión de la información sindical como por ejemplo facilitar en determinados casos a las secciones sindicales de los sindicatos más representativos ciertos medios materiales y/o instrumentales. Concretamente, para cumplir con esta exigencia legal, los empresarios deberán poner a su disposición en los centros de trabajo un tablón de anuncios o, en las empresas con más de doscientos cincuenta trabajadores, un local adecuado.

En este sentido deberá calificarse equivalente a estos medios el uso del correo electrónico ahí donde es posible realizar tales comunicaciones que no interfieren en el normal desarrollo de la actividad de la empresa. Asimismo, procede considerar que el envío de información sindical a través del correo electrónico no puede considerarse sujeto al régimen establecido en el artículo 21 de la Ley 34/2002, dado que estas comunicaciones no pueden ser consideradas como comerciales o publicitarias a los efectos previstos en dicha norma.

Por consiguiente tampoco sería necesario recabar el consentimiento expreso del interesado sin perjuicio del ejercicio de su derecho de oposición. En el mismo sentido ha venido a aclarar dicha habilitación el Reglamento de desarrollo de la LOPD aprobado por RD 1720/2007 de 21 de diciembre entendiendo que no será necesario el consentimiento del interesado cuando los tratamientos o cesiones de los datos están habilitadas por Ley. En este caso debemos remitirnos otra vez a la Ley Orgánica 11/1985 de Libertad Sindical, que les impone a los empresarios obligaciones dirigidas a la promoción del derecho a la libertad sindical y el adecuado desenvolvimiento de su actividad.

Por consiguiente, podemos concluir que los empresarios están legitimados a ceder las direcciones de correo electrónico empresarial de los afiliados a las organizaciones sindicales y éstas están también legitimadas a tratar estos datos, y remitir la información sindical a sus afiliados y trabajadores respetando la vigente legislación y las sentencias del Tribunal Constitucional.

Áudea Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com