Monthly Archives: noviembre 2010

CDPP, CISA, CISM, Lead Auditor, …, y el resto de certificaciones

Posted by admin on noviembre 28, 2010 None comments

Hace unas semanas asistí a un evento sobre seguridad de la información, y en la última mesa redonda, los nombres de los cuatro ponentes iban precedidos de unas siglas que a priori casi nadie entendía… Cada nombre y apellido llevaba delante la denominación “CDPP”, a lo que el moderador de la mesa explicó que se trataba de la certificación “Certificied Data Privacy Profesional” que acredita al profesional como experto en protección de datos y privacidad. De aquella sesión, saqué algunas conclusiones prioritarias.

Parece que en el momento en el que nos encontramos, está “muy de moda” ser CISA, CISM, LA ISO 27001, CISSP, CIA, y más recientemente CDPP, que es en concreto la que me implica. En general, esas siglas (incomprensibles para el que desconoce el mundillo) tienen detrás algo más que una definición en inglés ya que, tanto a nivel práctico como teórico, define unos conocimientos, así como una experiencia que diferencia al que la posee, que da credibilidad al que la acredita y, en contrapartida, que proporciona garantías a la empresa que contrata los servicios del consultor/auditor responsable de ejecutar los mismos. Esas siglas no sólo son un adorno al nombre y apellidos del profesional, casi es una obligatoriedad si se desea conseguir un buen resultado en el trabajo contratado.

En cuanto a la recién creada CDPP, no en vano, para conseguirla se exige un examen sobre muy diferentes aspectos que van desde los fundamentos de la protección de datos, el marco normativo general y sectorial tanto en España, como a nivel internacional, así como aspectos más técnicos en materia de seguridad, además de poder acreditar, al menos, tres años de experiencia en el sector. Para los profesionales que puedan reunir ciertos requisitos previos (formación específica con postgrado en la materia, experiencia profesional tanto a nivel de consultor, como auditor, como formación de, al menos, seis años, participación con artículos en medios de divulgación) obtener la certificación también resulta un proceso arduo de análisis, revisión y aprobación por un comité examinador.

Por otro lado, hay que aclarar que no existe en nuestro país ninguna obligatoriedad de que quien efectúe una serie de servicios en materia de protección de datos, como consultoría o auditoría, disponga de una formación adecuada y veraz en la materia, ni que se deba acreditar experiencia anterior, a pesar de que esto es precisamente lo que va dotando de cierta garantía y seriedad al servicio. Como consecuencia de lo anterior, no deja de ser infrecuente, y más en los tiempos que corren, que todo tipo de profesionales y no profesionales, lean la normativa y se dispongan a trasladarla sin más garantías que la de la aplicación literal de una norma que tiene sus recovecos, lagunas e interpretaciones profundas.

El propio Reglamento de Desarrollo de la Ley Orgánica de Protección De Datos perdió una oportunidad única de regular la profesión, cuando en su artículo 96, indica que la auditoría bianual (obligatoria para los responsables de ficheros de nivel medio y alto) podrá ser efectuada de forma interna o externa. Si en este punto, el RLOPD hubiera detallado algo más los requisitos exigibles para quienes externamente están habilitados en tal tarea, la seguridad del servicio estaría más que acreditada.

Hasta entonces, los responsables de fichero que quieran asegurarse un cumplimiento íntegro y no literal de la normativa, deberán confiar sus servicios a profesionales lo suficientemente cualificados, que en sus tarjetas de visita puedan (y deban) hacer visibles las siglas que les acrediten, y no otros.

Dicho esto, solo quedar por decir que nosotros somos también CDPP (entre otras!).

Planes de continuidad y la realidad.

Posted by admin on noviembre 13, 2010 None comments

INTECO ha publicado hace un par de semanas una guía sobre cómo implantar un plan de continuidad de negocio en PYMES. Son 80 páginas, muy prácticas, donde se abordan todos los aspectos necesarios para poder implantar  y mantener un PCN que nos de la tranquilidad y seguridad de que nuestra empresa está preparada para hacer frente a incidentes que en un momento dado pueden ser tan sencillos como un pico de tensión que nos estropea equipos y servidores. No hace falta pensar en robos, incendios, terremotos o inundaciones (ni en aviones que se caen).

Que nos ocurra un incidente que afecte a la disponibilidad de nuestros servicios es mucho más fácil de lo que parece. Pensemos en una empresa que vende ropa. Obviamente su activo más valioso es la ropa, y para venderla depende directamente de tener dicha ropa, tener gente que la venda y tener una oficina donde ubicar ropa y gente. ¿Qué pasa si esa empresa pierde los datos de facturación y contabilidad?, obviamente no peligraría la empresa, pero se necesitarían días, o incluso semanas de trabajo, para volver a la normalidad. Con lo sencillo que es hacer copias de seguridad (poco más habría que hacer para tener continuidad de negocio).

Ahora pensemos en un despacho de abogados, una inmobiliaria, una tienda de informática, un pequeño supermercado; en definitiva, cualquier empresa que tenga una infraestructura informática con varios equipos y algún servidor, donde tiene toda la información de clientes y proveedores, estado de sus proyectos/productos/servicios/lo_que_venda. Para esa empresa, un simple pico de tensión un día de tormenta, o la avería del disco duro del servidor puede ser una incidencia que le haga perder en primer lugar muchísima información muy valiosa, en segundo lugar imagen, y en tercer lugar ventas y clientes.

Piense ahora mismo en su propia empresa: ¿qué pasaría si perdiese la información que tiene alojada en sus equipos?. Si además su empresa tiene cierto volumen de equipos y servidores, piense los días que tardará en volver a la normalidad la actividad…en fin, queda bastante claro.

¿Cómo solucionarlo?,  como digo, no hace falta invertir grandes cantidades de dinero, con el simple hecho de embarcarse en un proyecto interno de continuidad de negocio usted podrá dormir tranquilo por las noches, sabiendo que todo está preparado y planificado y que todo aquello necesario para minimizar el impacto del incidente también lo tendrá controlado. Medidas típicas son backups de toda la información, backups de los servidores, planificar la implantación de una nueva infraestructura de los sistemas y algunos formalismos que no vienen al caso pero que son muy útiles.

Cloud Computing y La Protección de Datos

Posted by admin on noviembre 5, 2010 None comments

Recuerdo que la primera vez que oí hablar del “cloud computing” estaba reunida en un cliente con su alta dirección en materia de sistemas de información, y como el tema se trataba de soslayo, lo apunté en la esquina de mi cuaderno y cuando regresé a la oficina, busqué la definición en Internet para saber más sobre el tema. Así es como comencé a familiarizarme con un término que tiene tanta incidencia en la protección de datos de carácter personal, aunque en ese momento yo aún solo podía pensar a grandes rasgos.

En pocas palabras, “cloud computing” es la práctica de “colgar” en Internet una serie de servicios, prestaciones consistentes en alojamiento de aplicaciones, sistemas, archivos, etc en la propia Internet. Lo que hasta ahora se alojaba en servidores ajenos, de las empresas de hosting o de housing que nos proporcionaban sus sistemas y que tenían sus instalaciones fuera de la ubicación del cliente, se ha convertido en un fenómeno cada vez más habitual y que se conoce como la contratación de servicios “en la nube”.

La diferencia es que contratar estos servicios a proveedores externos localizados, suponía cierta seguridad sobre dónde estaban sus oficinas, sus servidores y, por ende, la información alojada y tratada por ese tercero.  En estas circunstancias se pueden firmar contratos que garanticen las obligaciones de las partes, y cumplir así el artículo 12 de la Ley Orgánica de Protección de Datos que requiere que responsable del fichero y encargado del tratamiento regulen sus relaciones en cuanto al acceso a datos personales que se produce para poder hacer efectiva la prestación de servicios.

Y algo más: con la prestación de servicios “local”, se conoce si el prestador está, al menos, en el mismo país que el cliente. A efectos de la normativa de protección de datos, es fundamental tener claro este aspecto, puesto que ello determinará la existencia o no de una transferencia internacional de datos personales, cuya legitimación es bastante complicada a efectos burocráticos, si se realiza fuera de los países admitidos por la Agencia Española de Protección de Datos. Una comunicación de datos a empresas o personas que no estén ubicadas en el territorio de la Unión Europea, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), necesitará que el mismo Director de la Agencia de su aprobación a la transferencia internacional.

Este punto, que ya es complicado efectuar cuando se sabe con certeza si la prestación de servicios o comunicación de datos se efectúa con transferencia internacional, por las formalidades que ha que seguir, se complican en cierta manera cuando el fenómeno del “cloud computing” entra en juego. Preguntas como: ¿dónde está la información?, ¿está siempre en el mismo sitio?, ¿está toda en el mismo sitio?, ¿qué medidas de seguridad deben aplicarse?, ¿qué normativa se ha de aplicar?… no dejan de sucederse y hacen que la aplicación de la LOPD llegue a su máxima expresión, mientras que el día a día será el que nos vaya determinando cómo conjugar las necesidades de la técnica a día de hoy con la obligación de cumplir con las leyes que nos aplican en cada momento.