Publicación en el tablón de anuncios de la comunidad de propietarios de las deudas de un comunero

Contemplamos el supuesto de los Comuneros que por diversas razones no pagan las cuotas de comunidad o cualquier otro gasto generado y aprobado por la Junta de Propietarios y no se les puede requerir de pago o cualquier intento resulta infructuoso. Para estos casos la Ley de Propiedad Horizontal habilita un mecanismo de notificación a través del Tablón de anuncios colocado en la propia comunidad, normalmente en el zaguán y a la vista de todos los propietarios. La cuestión entonces es saber si esta publicación, parecida a la edictal, se ajusta a lo establecido en la Ley de protección de datos. Debemos distinguir que la Ley admite este supuesto, pero la publicación no se puede realizar de cualquier modo, debe seguir un procedimiento. La publicación de estos datos sin el consentimiento del titular de los datos puede conllevar la sanción por parte de la Agencia Española de Protección de datos con una multa que va de40.001 a300.000 euros por la comisión de una infracción grave.

Esta cuestión queda resuelta por la Agencia de protección de Datos entre otros en el Informe 188/2008 de la AEPD.

En primer lugar, esta publicación implicará una cesión de datos de carácter personal, definida por el artículo 3.i de la Ley 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”.

En relación con la cesión, el artículo 11 de la Ley dispone que los datos personales sólo podrán ser comunicados a un tercero, con la única finalidad de cumplir con las funciones legítimas del cedente y del cesionario, y contando con el previo consentimiento del interesado. Es de suponer, que el propietario deudor, que además no ha podido o no ha querido ser localizado, no va a prestar el consentimiento para que todos los vecinos se enteren que es un moroso. En este supuesto debemos acudir a la segunda solución adoptada por la LOPD, y es que este consentimiento sea sustituido por una Ley. Es importante indicar que sólo las normas con rango de Ley habilitan para sustituir este consentimiento, y por tanto no sirve cualquier norma.

En este sentido entre las obligaciones impuestas por la Ley de Propiedad, en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta establece, “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.

Pero la convocatoria de la junta no faculta por sí sola la publicación de estos datos en el tablón de anuncios. Para cualquier citación o notificación a un propietario se debe seguir unos trámites tasados. En primer lugar se debe intentar la notificación en el domicilio que para estos efectos designe el propietario deudor, que podrá ser distinto al piso o local perteneciente a la Comunidad de Propietarios. Sólo si esta citación resulta infructuosa, la ley de propiedad horizontal faculta al Secretario de la Comunidad para intentar la citación en el piso o local, perteneciente al propietario moroso en la propia Comunidad. En este sentido la citación entregada al ocupante de este piso o local se entenderá que tiene plenos efectos jurídicos, por lo que podrá ser entregada al inquilino arrendatario, si fuese el caso.

Hacer hincapié que cualquier intento de notificación debe quedar completamente acreditado para evitar posteriores sanciones. En este sentido una carta certificada y con acuse de recibo no acreditaría el contenido de la notificación, por lo que el consejo sería que se realizase bien a través de un requerimiento notarial, o mediante una opción más barata, el envío de un Burofax, certificado, y con acuse de recibo. Este método acredita el contenido de la notificación, y la recepción o no de la misma, con el motivo de la no entrega si fuese el caso.

Por último, y tras el largo peregrinaje intentando la notificación, y si esta resultase infructuosa, la Ley de Propiedad horizontal faculta al Secretario para que pueda colocar esta comunicación en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto. Pero además esta citación deberá cumplir con una serie de requisitos de fondo y formales, sin los cuales no se puede considerar válidamente efectuada. Cualquier notificación efectuada a través del tablón de anuncios deberá contener la fecha,  los motivos por los que se procede a esta forma de notificación, deberá estar firmada por quien ejerza las funciones de secretario de la comunidad, y deberá contar con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

En consecuencia, siempre que la publicación obedezca al hecho de que la Convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el artículo 16.2 de la Ley de Propiedad Horizontal, no haya podido ser notificada a alguno de los propietarios por el procedimiento que acaba de describirse, la cesión que implica la publicación de la Convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la Ley Orgánica 15/1999.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como «toda revelación de datos realizada a una persona distinta del interesado». En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que «El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.», y el apartado 9° atribuye a dicho órgano «Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley». En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de Datos.

Recientemente se ha publicado en la página Web de la AEPD una resolución cuanto menos curiosa, que pone de manifiesto la necesidad de fundamentar motivadamente los hechos y motivos por las que una persona considera que una información publicada en Internet atenta contra su derecho a la dignidad y protección de datos. La resolución en cuestión es la R/01545/2011.

La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores.

La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en America, y por lo tanto allí no se aplica la legislación Española.

Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

  • Que exista un motivo legítimo y fundado.
  • Que dicho motivo se refiera a su concreta situación personal.
  • Que el motivo alegado justifique el derecho de oposición solicitado.

En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. “Toma ya”, eso se llama tirar la pelota en el tejado de otro.

En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que “en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos”. Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos  TD/266/2.007  que indica “ que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”. En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal).  A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

Audea seguridad de la información S.L.

Departamento Legal

www.audea.es

Publicado estándar para la Gestión de Incidentes de Seguridad de la Información – ISO/IEC 27035:2011

ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información es el nuevo estándar publicado por ISO para ayudar a las organizaciones a mejorar la gestión de los incidentes relativos a la seguridad de la información.

Los controles de seguridad existentes pueden fallar, no se han aplicado bien o simplemente no son perfectos.

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y «aprender las lecciones» en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

  • Detectar, informar y evaluar los incidentes de seguridad de información;
  • Responder a incidentes y gestionar incidentes de seguridad de la información;
  • Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
  • Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes.

Puede verse la norma original visitando el sitio oficial de la ISO.

Departamento Gestión de la Seguridad

 Áudea, Seguridad de la Información, S.L.

Anonymous roba datos de escoltas de Zapatero

La Policía Nacional dio el pasado Junio por desarticulada a la red de hackers que más ciber- ataques estaba causando con la detención de 3 de sus más importantes intrigantes. Días después la red realizó otro ataque a la Policía en protesta de esa detención, dejando claro que para nada estaba desarticulada.

En esta semana, se ha subido a diferentes portales de descarga un archivo firmado por Anonymous que contiene datos de 30 escoltas de la Presidencia del Gobierno, y advirtiendo que en breve sacarán datos de carácter personal del Grupo de Operaciones Especiales (GEO).

La web de la Policía Nacional permanece inactiva hasta que la Brigada de Investigación Tecnológica (BIT) termine de investigar si es real que los hackers han vuelto ha traspasar las medidas de seguridad de su sitio web.

Anonymous no conforme con desvelar estos datos, arremete contra el candidato del PSOE Rubalcaba acusándolo de “violencia policial” y “manipulador de informes y pruebas” en su etapa como Ministro de Interior. Utilizan el “20-N, No Rubalcaba” para reclamar que dimita.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Ataques de Fuerza Bruta

Lo cierto es que acceder a las contraseñas de los usuarios no es fácil, puesto que se guardan de forma encriptada, y la única forma “manual” es adivinándolo. Una técnica para obtener contraseñas es mediante el uso de «sniffers» es decir programas que interceptan nuestras comunicaciones y registran las contraseñas. Hay maneras de agilizar este proceso, mediante un keylogger.  Sin embargo, cuando estas herramientas del hacker fallan, puede recurrir a la fuerza bruta.

WIKIPEDIA define fuerza bruta como: “La forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.”

A pesar de lo que pudiera parecer, es uno de los métodos más empleados por los hackers, que explota la vulnerabilidad  más recurrente en la seguridad de la información: el factor humano. Los usuarios no disponen de contraseñas lo suficientemente robustas, como distintos tipos de caracteres y de números que  impliquen una cierta complejidad. Por el contrario, para evitar olvidarse de su clave de acceso, prefieren contraseñas fáciles de recordar, pero al mismo tiempo de adivinar.

Con este fin, los hacker, utilizan herramientas que disponen de diccionarios de contraseñas, cuya función es ir probando contraseñas una por una. No obstante, como usuarios, sabemos que únicamente  con la contraseña, no es posible acceder a un puesto, puesto que es necesario contar con un código de usuario.

Para conseguir tanto el código de usuario como la contraseña, a través de este tipo de ataque, existe diferente herramientas como BrutusAET 2 para fuerza bruta a contraseñas de FTP, Essential Net Tools para fuerza bruta a contraseñas de servicio de red (NetBIOS), o John the Ripper – Windows, Linux para fuerza bruta a contraseñas “hasheadas” de Windows.

Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas. De esta forma se bloquea el sistema automáticamente después de un número de intentos fallidos predeterminados. Sin embargo, aún cuando exista un Directiva de bloqueo de cuenta, o de complejidad de las contraseñas que obligue a cambiarla cada cierto tiempo, también son fácilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Por tanto, lo más recomendable sería establecer Directivas de contraseñas lo suficientemente robustas, por una empresa especializada.

Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.

Áudea Seguridad de la Información

Eduardo de Miguel Cuevas.

Departamento Legal

www.audea.com

Importancia de los “Backups”

En el Departamento de sistemas de cualquier empresa es más que importante tener “Backup” al día, puesto que se deben mantener actualizados todos los sistemas de gestión y la continuidad de negocio como pilares fundamentales de seguridad, lo cual es siempre recomendado por los expertos.

¿Qué es un “Backup”?

 Un “Backup” es un sistema que almacena “información importante” fuera de la organización, realizando una comprobación de forma periódica. Para que sea realmente eficiente debe estar dispuesta en cumplimiento con el marco legal y las mejores prácticas.

Un backup eficiente es posible encontrarlo en puntuales empresas que ofrecen éste tipo de servicios, generalmente se realizan a través de sus Partners para así asegurarse de garantizar la disponibilidad y la continuidad de los sistemas de información, tal como: copia online, copia continua local, copia continua remota, copia local histórica bunker de guarda y custodia de soportes y lo más importante un buen servicio de destrucción de soportes.

¿Porqué hacemos énfasis en esto?, pues porque la mayoría de las empresas “creen tener” un cierto derecho y potestad de desaparecer, eliminar ó bien destruir sus documentos, datos e informaciones que para ellos ya no tienen utilidad y solo ocupan espacio y resultan más frecuentes los casos de fraude, malas gestiones de seguridad, pérdida de datos personales ó confidenciales, etc. y si bien pueden ser fallas humanas, del personal ó fallos informáticos en los ordenadores, finalmente terminan siendo “fallas” del usuario también, que es quién lo opera.

 ¿Consecuencias?

Víctimas o responsables que acaban envueltos en delitos graves de elevados costes, con pérdidas importantes de información y una nefasta reputación corporativa difícil de limpiar. Por ello es imprescindible crear consciencia a nivel general y tomar en cuenta todo lo que puede beneficiarnos un buen almacenaje de datos “Backup” y, posteriormente, la realización de una correcta destrucción de soportes.

Áudea Seguridad de la Información

Eugenia Moreau González

Departamento de Comunicación

www.audea.com

Información Corporativa en Peligro

Un reciente estudio elaborado por la consultora Harris Interactive revela la preocupante cifra del número de empleados que estarían dispuestos a vender información corporativa con una finalidad clara: el beneficio propio.

Parece ser que la lealtad a una empresa, o cualquier principio ético, pueden ser comprados por una módica cantidad de dinero, principalmente cuando se mezclan con situaciones problemáticas en la empresa, como despidos o bajas. El 14% de los encuestados admiten que copiarían datos electrónicos y archivos para llevárselos cuando se vayan de la empresa, además de mostrarse cómodos en caso de que tuvieran que vender esa información confidencial por Internet, sin importar el destino final y su uso posterior.

No solamente una empresa está sometida a ataques externos de Hacking; el peligro puede encontrarse en su interior. El acceso a la documentación está al alcance de una serie de usuarios que incluyen empleados, personal externo, socios comerciales o proveedores. Las infraestructuras en las que se trabaja cada vez son más amplias y complejas, pero también más accesibles.

La información confidencial exige controles de acceso, niveles de clasificación de documentos según la sensibilidad de los datos y un preciso seguimiento de las normas en vigor. Se han invertido décadas tratando de trabajar en redes cada vez más extensas y fuertes frente a intrusos. Pero estas medidas han sido diseñadas para frustrar únicamente el acceso no autorizado, dejando libre el acceso autorizado. Es necesario crear una conciencia en empresas y organizaciones para aprovechar los recientes casos de fugas de información o incidentes con datos personales para analizar el impacto que tendría si saliese a la luz información confidencial de su negocio por no tener las medidas necesarias a tiempo.

 Áudea Seguridad de la Información

Iván OntañónRamos

Departamento Legal

www.audea.com

Consejos para protegerse en las Redes Sociales

La protección y privacidad de los datos en las redes sociales debe ser un punto a tenerse en cuenta cuando nos registramos en varias de ellas y exponemos al público la gran mayoría de nuestros datos más sensibles y los que más buscan los delincuentes informáticos.

Cosas como nombres completos, direcciones, lugares más visitados, número de celular, relaciones más cercanas, familia y lugares de estudio o trabajo, son cosas que se publican abiertamente sin tener en cuenta el peligro al que podemos exponernos si no damos un buen uso de estas redes.

Por esto Microsoft tiene publicada en su sitio de Seguridad, una guía que contiene 11 consejos muy útiles para protegernos en las redes sociales, y mantener una privacidad y reserva de nuestra información con el fin de estar más tranquilos en la Web.

Consejos:

  • Sea precavido al hacer clic en vínculos
  • Sepa qué ha publicado acerca de usted mismo.
  • No confíe en que un mensaje realmente es de quien dice ser. 
  • Para evitar revelar las direcciones de correo electrónico de sus amigos, no permita que los servicios de redes sociales examinen su libreta de direcciones de correo electrónico.
  • Escriba la dirección de su sitio de redes sociales directamente en el explorador o use su marcador personal. 
  • Sea selectivo a la hora de decidir a quién acepta como amigo en una red social. 
  • Elija su red social cuidadosamente. 
  • Dé por sentado que todo lo que pone en una red social es permanente.
  • Tenga cuidado de instalar elementos adicionales en su sitio.
  • Piense dos veces antes de usar sitios de redes sociales en el trabajo
  • Hable con sus hijos acerca de las redes sociales.

Revisa la explicación detallada de cada uno de los consejos en el sitio oficial de la guía publicada por Microsoft.

Guía Oficial

La Destrucción de Soportes

“…Recuerdo un caso que aconteció cuando  trabajaba en una compañía de telecomunicaciones hace unos años.  Nos encontrábamos en pleno proceso de cambio del Call Center. Se producía el cambio de un edificio a otro. Lo cierto, es que los ordenadores de sobremesa se encontraban apilados en una sala porque iban a ser vendidos. Alguien comentó que había gente que se había llevado varios ordenadores..”

La pérdida de estos equipos implicaba no solo el valor económico de los mismos, sino también de datos de negocio relacionados con la gestión de clientes, que son fundamentales para una  empresa de telecomunicaciones. Lógicamente no se perdió la BBDD relacional de clientes pero sí se filtraron datos esenciales de negocio fuera de la organización, y cuyo destino fue impredecible.

Lógicamente nos hubiéramos quedado más tranquilos si se hubieran establecido procesos de destrucción de soportes.

Para evitar este tipo de problemas, lo primero que hay que tener es un inventario. Ya que “si no se lo que tengo”, “no sé lo que debo destruir”. En el propio inventario es importante especificar qué soportes son destruidos y cuáles no. Es decir, aquellos que han agotado su ciclo de vida.

Una vez que sabemos lo que tenemos y lo que vamos a destruir, a los soportes hay que despojarles de toda la información que contienen. En el caso de soportes informáticos hay que poner especial atención en los soportes extraíbles, como son cintas, discos, discos de flash, unidades (drives) de disco duro, CD, Dvds.

En cuanto a los soportes impresos su destrucción pasa por la no utilización de papeleras. Es muy recomendable el uso de destructoras de papel, que desde nuestro punto de vista es el mecanismo más efectivo de destrucción de la información, incluso frente a la utilización de contenedores por parte de empresas de tratamiento de papel que se encarguen de su posterior destrucción. Quizás la solución hubiera estado en las buenas prácticas de ISO 27002.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

¿Necesita mi empresa una Auditoría de Hacking Ético?

Nuestros sistemas pueden ser vulnerables y, quizás, no somos conscientes de lo que un ataque tanto interno como externo nos puede suponer, y ¿qué mejor comprobación de que nuestros sistemas son seguros o no, que la de realizar un “ataque ficticio” o lo que actualmente se llama como hacking ético?

El objetivo de esta auditoría se centra en evaluar todos sus sistemas de seguridad, intentando encontrar algún agujero para acceder a la información, cómo si de un hacker se tratase. Para realizar una buena auditoría de Hacking Ético, y siguiendo la metodología internacionalmente reconocida OSSTMM, se deberían evaluar y comprobar los siguientes aspectos:

  • Information Gathering: Mediante la fase de Information Gathering se pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a estudiar.
  • Estudio y análisis de la red: La fase de estudio de la red se efectúa desde un punto de conexión a la red a estudiar y se considera intrusiva, obteniéndose La información que se desea obtener es: Listado de equipos activos y sus servicios, mapa de red, etc.
  • Detección de vulnerabilidades: El objetivo es listar todas las posibles vulnerabilidades para todos los equipos y servicios detectados.
  • Obtención de acceso: En esta fase se pretende la obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.

El informe de la auditoría contrastaría las deficiencias detectadas y el plan de acción para mitigar los riesgos, es decir,  tendremos la información necesaria para saber donde tenemos “agujeros” y qué necesitamos para “taparlos”. Así podremos conseguir que ningún Hacker nos robe datos de carácter personal o cualquier tipo de información de la empresa.

Por tanto creemos que es fundamental realizar este tipo de auditorías que nos aportan datos reales de dónde necesitamos y tenemos que reforzar en nuestra seguridad para no vernos atacados.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

Elisa Sánchez

www.audea.com

Servicios de búsqueda en Internet

A nuestro juicio, resulta de interés una reclamación formulada por un ciudadano contra Google Spain S.L. (Google) y contra un periódico por la falta de atención al derecho de oposición.

El ciudadano ejercitó el derecho de oposición al tratamiento de sus datos personales ante Google. En concreto, solicitó la
eliminación de sus datos personales y de salud (relacionados con un accidente en el que sufrió lesiones) que aparecían en Internet mediante la herramienta de búsqueda de Google.

De especial interés, resulta la identificación de fases que realiza la AEPD en relación al proceso del buscador de Google: En primer lugar, la fase de “recolección de palabras clave” que se desarrolla “de forma constante e inadvertida” por el usuario, mediante unos dispositivos que navegan permanentemente por la Red, visitando los sitios web que encuentran y analizando su contenido. Durante esta visita, estos dispositivos extraen las palabras que consideran “útiles” y las incluyen en una lista con la referencia a la dirección del sitio web de donde las extrajeron.

En segundo lugar, la “comparación de palabras” que como señala la AEPD “esta fase se desarrolla mediante una comparación entre las palabras incluidas por el usuario como criterio de búsqueda y la lista que incluye las palabras extraídas y las referencias a los sitios web, facilitando al interesado una lista de resultados en la que se incluyen las referencias a los sitios web en que aparecen las palabras del criterio de búsqueda, ordenándolos en atención a la mayor o menor relevancia de la coincidencia”.

También resultan interesantes los siguientes argumentos de la AEPD:

Primero.- Idioma de redacción de los documentos / localización geográfica

La versión española del servicio de buscador permite al usuario discriminar el resultado de su búsqueda en función del idioma de redacción de los documentos o de la localización geográfica de los servidores web que los alojan. De esta forma, el propio usuario puede decidir que los resultados de su búsqueda se refieran a “páginas de España”, acotándolo en la página principal del buscador, o bien, mediante la funcionalidad “búsqueda avanzada”.

Segundo.- Medios técnicos en España

Para la prestación del servicio de búsqueda a los usuarios españoles, es requisito ineludible que se utilicen medios técnicos ubicados en territorio español.

Tercero.- Servicio dirigido específicamente al territorio español

A juicio de la AEPD, el servicio de búsqueda está dirigido específicamente al territorio español en base a los siguientes hechos:

  • El lenguaje de la página www.google.es está redactada en lengua castellana.
  • El dominio bajo el que se aloja el servicio de buscador Google en España es [.es], dominio territorial correspondiente a
  • España.
  • Los resultados de las búsquedas de Google que aparecen están dirigidos a usuarios ubicados en el territorio español.

Estos argumentos condujeron a la AEPD estimar la reclamación formulada por el ciudadano

Áudea Seguridad de la Información
Departamento Jurídico
www.audea.com
Fuente: AEPD