Auditoría, Certificacion y Calidad de Sistemas Informáticos

Los estudiantes de la asignatura de Auditoría comparten sus avances en la elaboración de su trabajo personal. Las temáticas son variadas y en contexto de trabajo es una empresa ficticia que contrata a ... ¡nuestros aprendices de auditor!

¿Qué nos contarán sobre sus progresos? A medida que se documentan, investigan, revisan y sintetizan materiales, nuestros aprendices de auditor contriburán en este foro, contándonos su avances, reflexiones, curiosidades, etc. Eso sí, todo perfectamente referenciado a las fuente externas.

Qué es BYOD y su cercana relación con el Mundo Móvil

Download PDF

Buscando información sobre el mundo móvil, encontré una presentación de ISACA (“La información se mueve”) relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

[Read more…]

Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1]. [Read more…]

La privacidad de los datos en el futuro

Download PDF

En este último post hablaremos de la perspectiva de futuro de la privacidad de
los datos. Con la llegada dela RGPD y el cambio a esta desde la LOPD. Las
empresas han tenido un periodo de dos años desde el2016 para adaptarse a la
nueva ley, pues bien, se estima que casi el 70% de las empresas españolas no
cumple con la nueva ley a día de hoy. [1]
Este dato es especialmente llamativo puesto que la antigua ley de protección
de datos española, la antigua LOPD, era una de las más restrictivas de europa,
si no la más restrictiva, con lo cual el cambio a la RGPD debería haber sido
más sencillo.

Esto nos hace plantearnos:
¿Cómo está el resto de Europa si en España el 70% no cumple?
Pues bien, se estima que en Europa un 85% de las empresas no cumple con la
RGPD [2], esta cifra es alarmante puesto que hace ya meses que superamos el
plazo permitido para adaptarse a la misma. Esto no solo quiere decir que no se
cumple con la normativa actual y que se arriesgan a sanciones, tal y como
hemos visto en los post anteriores, que podrían ser millonarias. Es más grave
puesto que implica que la mayoría de empresas que trabajan en la Unión
Europea o con datos de ciudadanos europeos no cumplen con los estándares
de seguridad, esto es, no garantizan la privacidad de los datos.
Pensando entonces en el futuro, me vino la duda: ¿Queda por venir
próximamente alguna otra ley o normativa que fortalezca la seguridad y
privacidad de los datos?
La respuesta es sí, en un tiempo aún por determinar se espera que se integre
un nuevo reglamento conocido como ePrivacy[3].
¿En que consiste ePrivacy?
El 10 de enero del pasado año 2017 se propuso en el parlamento europeo un
nuevo reglamento sobre la privacidad y las comunicaciones electrónicas, con el
objetivo de actualizar las normas actuales para adaptarlas en consonancia con
las nuevas tecnologías y la RGPD.
Lo más relevante de este nuevo reglamento es que en el caso de ser
aprobado, obligará a las empresas a ofrecer sus servicios de comunicaciones a
los usuarios independientemente de si aceptan o no que se recopilen sus
datos. Esto afecta directamente por ejemplo a muchos sitios web que requieren
de que para emplear sus servicios aceptes las cookies que la propia página
ofrece al acceder a ella.
Esta novedad viene descrita en el artículo 1 punto no 2:
“El presente Reglamento garantiza la libre circulación de datos de comunicaciones electrónicas y servicios de comunicaciones electrónicas en la Unión, que no será posible restringir ni prohibir por motivos relacionados con el respeto de la vida privada y las comunicaciones de las personas físicas y jurídicas y la protección de las personas físicas en lo que respecta al tratamiento de datos personales.”
Otro tema muy interesante que se propone, es el hecho de que dejen de
aparecer en los sitios web los avisos de aceptación o no de términos y
condiciones de las políticas de cookies. El plan del nuevo reglamento es que
los propios navegadores sean los que se encarguen, mediante una
configuración de privacidad previa, de gestionar que datos pueden filtrar a los
sitios web y cuáles no. Esta medida implica hacer directamente responsables a
los navegadores de la privacidad de los usuarios, obligándoles así a implicarse
directamente en la seguridad de sus datos personales mucho más de lo que
actualmente les corresponde hacer por ley.
Además, se comenta que los navegadores deberán venir ya de serie con
diferentes configuraciones de privacidad, que permitan a los usuarios finales
elegir para que desean que se traten sus datos y de que forma.
Por otro lado, en el reglamento también se introducen conceptos nuevos como
el de integrar metadatos en las comunicaciones electrónicas, de forma que los
sitios web puedan percibir si los usuarios reciben correctamente su contenido,
incluido el spam o publicidad que aparece sin recibir consentimiento o
comprobar si los usuarios están usando programas como el AdBlock para
bloquear ciertas ventanas emergentes y demás contenido multimedia. [4]
Como podemos observar, aunque la mayoría de las empresas no cumplen
actualmente con la normativa establecida para con la privacidad de los datos,
existen propuestas de ley que se integrarán en un futuro próximo, que junto con
la RGPD ya vigente ayudan a que los datos de los usuarios de todas las
empresas europeas estén más protegidos y gocen de una mayor seguridad y
privacidad.

[Read more…]

La privacidad de los datos y la auditoría

Download PDF

En este post se hablará de la auditoria respecto a la privacidad de los datos y más
concretamente respecto de la RGPD.
La visión de la RGPD sobre la auditoría va muy ligada a la labor del DPD (delegado de
protección de datos) y al análisis de riesgos e impacto, ambos temas han sido tratados en
post anteriores. A pesar de dejar claras las líneas generales, no se determina claramente
cuál es la función del DPD sobre la auditoría, si no que más bien se recomienda establecer
una figura como el DPD, en caso de no haber DPD, que lleve acabo las funciones del mismo
y que además supervise el análisis de riesgos. Si se establece que, aunque la labor del DPD
este relacionada con procesos de supervisión ligados a temas de auditoría, en algunos
casos, no es la labor del DPD realizar la auditoría.
Pero antes de meternos en materia vamos a empezar por el principio, ¿Qué es la auditoría?
¿Que es auditar?
La auditoría es un proceso sistemático, independiente y documentado mediante el cual se
busca obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado
en que se cumplen unos criterios previamente establecidos. Estos criterios se basan en
estándares, leyes o normativas que aquello que auditamos o aquello a lo que sometemos al
proceso de auditoría debe cumplir.
La finalidad de la auditoría puede ser completamente definida, buscando un objetivo muy
concreto, o referirse a más de un objetivo, siendo más general. Lo habitual es querer conocer
las debilidades e incumplimientos, puede hacerse también como garantía de que una entidad
está cumpliendo con los requisitos establecidos o con lo que se haya comprometido a
cumplir y así disminuir riesgos. También se puede dar el caso de que lo exijan sus clientes, o
que sin una exigencia específica la entidad quiera tener un informe que, en caso de ser
favorable, constituya una ventaja comercial.
Según el objetivo podemos basarnos en diferentes fuentes de información para llevar a cabo
la auditoría, en el caso de la protección de datos se sugiere la ISO 27001, que se basa en la
protección de la información y en los propios datos de carácter personal. Ambas normativas
se consideran complementarias (RGPD e ISO 27001). [1]
La profundidad mínima será la que permita alcanzar evidencias para sustentar los informes
requeridos, puede ser suficiente mediante entrevistas, análisis y muestreos, pero en
ocasiones se requiere verificar los perfiles de todos los usuarios, el seguimiento de todas las
incidencias, investigar hechos anteriores, etc.
Hay cuatro artículos concretos de la RGPD en los que se hace referencia a la auditoría:

  • Artículo 28, Encargado del tratamiento: punto 3 en el apartado h): “Pondrá a
    disposición del responsable toda la información necesaria para demostrar el
    cumplimiento de las obligaciones establecidas en el presente artículo, así como para
    permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del
    responsable o de otro auditor autorizado por dicho responsable”. [2]
  • Artículo 39, Funciones del delegado de protección de datos (DTD): entre ellas:
    “supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”. [3]
  • Artículo 47, Normas corporativas vinculantes: entre ellas: “los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado”. [4]
  • Artículo 58, Poderes: referido a los de “cada autoridad de control”, definido entre los poderes de investigación: “llevar a cabo investigaciones en forma de auditorías de protección de datos, que en el caso de las autoridades de control en España puede que establezcan como inspecciones, que con frecuencia asociamos con posibles sanciones”. [5]

Además, es importante hablar de diferentes tipos de auditoría que podemos realizar o la que
las entidades se pueden someter en este ámbito.

  • Auditoría interna: Control interno que realiza la empresa para supervisar
    determinados procesos o evaluar el funcionamiento de la misma.
  • Auditoría externa: Una empresa externa es la encargada de realizar la auditoría a la
    entidad.
  • Auditoría de seguridad: se basa en la verificación del análisis de riesgos que haya
    llevado acabo la entidad, y la valoración de las amenazas existentes y controles
    implantados, para determinar la vulnerabilidad y la gestión del impacto que estas
    vulnerabilidades puedan tener.
  • Auditoría de cumplimiento: suele abarcar muchos aspectos jurídicos, es la parte
    más técnica, se refiere a la verificación del correcto cumplimiento de las normativas y
    leyes.

Espero que este post haya sido de ayuda de cara a introducirnos en el ámbito de la auditoría
en el campo de la privacidad y protección de los datos, especialmente en lo referente a la
RGPD.

[Read more…]

La privacidad de los datos y los riesgos

Download PDF

En el post anterior vimos que cambios ha supuesto la nueva ley de privacidad y protección
de los datos, la RGPD a las empresas europeas. Que obligaciones tienen y que intencionalidad tiene la nueva ley.
En este post nos centraremos en los riesgo que atañen a la privacidad de los datos y
analizaremos diferentes formas de enfrentarnos a los mismos, mostrando una breve
introducción a la herramienta FACILITA.

Un riesgo es toda aquella posibilidad de que se produzca un contratiempo o una desgracia,
que alguien o algo sufra algún tipo de perjuicio o daño. En cuanto a la privacidad, el riesgo
que a todos se nos viene a la cabeza es el de la filtración de información sensible, clasificada
o confidencial. Por tanto, ¿si queremos evitar que estos riesgos se cumplan que debemos
hacer? Una de las formas más comunes y eficaces de combatir los riesgos es mediante el
proceso conocido como Gestión de riesgos.

La gestión de riesgos son el conjunto de actividades y/o tareas que permiten controlar la
incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la
identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.[1]
Esta gestión de riesgos implica por lo tanto la identificación de los riesgos, la evaluación o
categorización de los mismos y por último la elaboración de planes de acción para mitigar los
mismos.

La gestión de riesgos se divide generalmente en 3 fases principales:

1. Identificación de Amenazas
2. Evaluación de los riesgos
3. Tratar los riesgos

Todas estas fases están sometidas a una monitorización continua, de esta forma de trata de
conseguir que por el camino no se cometan errores que puedan repercutir gravemente más
tarde.

Fase 1: Identificar Amenazas y Riesgos
El riesgo viene dado por la exposición a amenazas, por tanto, desde la perspectiva de la
privacidad, es fundamental comprender qué es una amenaza y cómo se pueden identificar
escenarios de riesgo para los datos personales a partir de la misma.

Una amenaza implica cualquier factor de riesgo con potencial para provocar daños o
perjuicios. En el caso de la privacidad de los datos, las amenazas son principalmente de tres
tipos:

  • Acceso ilegítimo a los datos: Relacionado con la confidencialidad, son los casos en
    los que personas acceden a datos a los cuales no deberían poder acceder, sobre los
    que no tienen permisos.
  • Modificación No autorizada de los datos: Relacionada con la integridad, cuando los
    datos con los que se trabaja tienen riesgo o han sido dañados o corrompidos, esto es modificaciones sobre los datos sobre las que no se tiene conocimiento o no han sido solicitadas o aprobadas.
  • Eliminación de los datos: Relacionado con la disponibilidad, estamos ante aquellos casos en los que se pierden o desaparecen datos.

Otra forma diferente de definir un riesgo sería verlo como una posibilidad de que se cumpla
una amenaza y por lo tanto esta trajese consigo consecuencias negativas. El nivel de riesgo
se mide en función de la probabilidad de que se cumpla y del impacto que este tendría en
caso de cumplirse. Lo que nos lleva a la segunda fase.

Fase 2: Evaluar los riesgos

Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se
haría efectivo. La evaluación de riesgos es el mecanismo mediante el cual se valora el
impacto de la exposición a la amenaza, junto a la probabilidad de que esta se cumpla.

El impacto, por su parte, se determina en base a los posibles daños que se pueden producir
si la amenaza se vuelve realidad, por ejemplo, un impacto sería despreciable o leve si no
tuviera consecuencias sobre los usuarios (teniendo en cuenta que lo que estamos valorando
es la privacidad) o, por el contrario, un impacto sería significativo o grave si el daño
ocasionado sobre los derechos y libertades del usuario fuese crítico. Según la probabilidad y
el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo. Los riesgos
se suelen categorizar en función de escalas que midan estos impactos y la probabilidad de
que sucedan, ejemplos de estas categorías podrían ser Alto, Medio, Bajo o Grave, Común y Leve.

Fase 3: Tratar los riesgos

Con ello llegamos a la última fase del proceso de gestión de riesgos. En esta fase se
elaboran metodologías y mecanismos que permitan reducir la probabilidad y/o el impacto de
los riesgos en caso de llegar a producirse, de forma que el valor asociado a el riesgo en
cuestión pueda reducirse.
Básicamente sería elaborar un plan de acción en el cual apoyarnos para no caer en estos
riesgos o en caso de que se produzcan tener mecanismos que reduzcan el impacto de los
mismos.

Para terminar, toca hablar de la herramienta FACILITA. FACILITA es una herramienta que ha
creado la Agencia Española de Protección de Datos (AEPD) para ayudar a las empresas a
realizar el tratamiento de datos personales, con un riesgo asociado bajo, de forma
sistemática. Agilizando así todo el proceso y haciendo así más sencillo el cumplimiento para
con la RGPD.

Su uso es muy sencillo, se basa en en tan solo tres pantallas con preguntas muy concretas
que permite a aquel que la utiliza determinar su situación en cuanto al tratamiento de datos.
En función de las respuestas que se den a las preguntas propuestas obtendremos uno de
dos posibles resultados: Si se adapta a los requisitos exigidos para utilizar FACILITA o si se
debe realizar un análisis de riesgo más concienzudo. En caso de que la herramienta pueda
usarse, el resultado del empleo de la misma será la obtención de diversos documentos adaptados a la empresa o cliente concretos, cláusulas contractuales, clausulas informativas, registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas.

[Read more…]

La privacidad de los datos en la empresa

Download PDF

El 25 de mayo de este año, 2018, se terminó el plazo de adaptación que se había dado para
que las empresas y entidades de la EU se adaptasen a la nueva ley de protección de datos, la
RGPD. A partir de este día el cumplimiento de la RGPD empezó a ser obligatorio, pudiendo ser
sancionadas aquellas personas u organizaciones que no cumplan con sus normativas. Por lo
tanto, la pregunta es simple, ¿Cuáles son los principales cambios que se deben implantar en las
empresas para cumplir con la RGPD? Pues bien, a lo largo de este post hablaremos de los
principales cambios que ha traído consigo la RGPD, como afecta a las empresas y que
sanciones puede traer el incumplimiento de estas normativas.
Lo primero que debemos saber es quienes están obligados a cumplir con la RGPD, pues bien,
tal y como establece la ley, la RGPD es de obligado cumplimiento para todas las entidades
europeas, autónomos y administraciones públicas. Pero además también están sujetos a esta
ley todas las personas y entidades que presten sus servicios desde fuera de la UE a usuarios de
la UE o que reciban datos desde la UE, para prestar un servicio fuera.
La RGPD, está basada en el principio de responsabilidad proactiva. Esto significa que además
de exigir un debido cumplimiento de todas sus cláusulas es necesario poder demostrar que se
cumplen estas cláusulas. Esto implica que las personas y entidades que responden ante la
RGPD están obligados a aplicar las medidas necesarias para garantizar la seguridad y
privacidad de los datos (cumplir con la RGPD) y además poder demostrar que estas medidas se
están aplicando, funcionan correctamente y son efectivas.
Otro concepto especialmente relevante que trae la RGPD es el enfoque de riesgo. El enfoque
de riesgo no es otra cosa que tener en cuenta que las medidas que se apliquen por parte de las
empresas. Para garantizar la seguridad de los datos, deben tener en cuenta la naturaleza, el
ámbito del contexto y los fines de tratamiento, así como el riesgo y los derechos y libertades
de las personas. En resumen, que datos se manejan, para qué, cómo se tratan y recogen estos
datos y el riesgo que implica trabajar con esta información.
La RGPD además de tratar de unificar todas las políticas de protección de datos en una para
toda la UE, como comentábamos en el post anterior, trata de instaurar una filosofía de buenas
prácticas y protección de los datos de los usuarios, entendiendo siempre a los usuarios como la
parte más débil en todos los procesos, centrándose por tanto siempre en su protección. Por
ello la RGPD establece que también la concepción, por parte de una empresa o sujeto, de un
servicio ya debe tenerse en cuenta la RGPD, por tanto, la privacidad de las personas debe estar
garantizada.

Esto nos lleva a dos principios que se integran en la ley:

  • Principio de minimización: Los datos personales que se recojan deben de ser los
    mínimos necesarios para prestar el servicio. Además, los datos requeridos deben de
    estar en consonancia con el servicio que se presta, tener coherencia.
  • Principio de No compartición: No se podrán compartir datos de usuarios o clientes a
    terceros a menos que se reciba un consentimiento expreso de los mismos. En este
    punto es necesario destacar que la respuesta que se reciba del usuario de cara a su
    consentimiento debe de ser positiva y que garantice que el usuario comprende
    perfectamente lo que está aceptando.

Es también obligatorio llevar un registro de todo tratamiento que se haga con los datos.
Además, cuando se manejen datos que se cataloguen como alto riesgo, se deberán recoger
cuales son estos riesgos y además prever medidas que minimicen el impacto de los mismos.
Este análisis de riegos no es de obligado cumplimiento para todas las empresas, solo están
obligadas aquellas empresas que manejen datos sensibles de una cantidad relevante de
personas o aquellas que trabajen con especialmente sensible de una o más personas. Es
también obligado para estos casos en los que se requiera el análisis de riesgos, contar con un
Delegado de Protección de Datos o DPD que puede ser interno de la propia empresa o
subcontratado de terceros. De este delegado se debe conocer el nombre y los apellidos.
En caso de que pase lo peor, por ejemplo, una brecha de seguridad la RGPD obliga a las
empresas a notificar de la intrusión con un plazo máximo de 72 horas. Está notificación deberá
ser dirigida a la Agencia Española de Protección de Datos, en el caso de nuestro país, al
organismo pertinente en el caso de que la empresa pertenezca a otro país de la UE o sea de
fuera de la UE. En el caso de que los datos perdidos o comprometidos sean sensibles es
necesario, además de notificar al organismo pertinente, a las personas afectadas por dicha
brecha de seguridad.
La RGPD no obliga, pero si invita a las empresas a certificarse, de cara a demostrar que se
cumplen con las normativas de la misma. Por otro lado, la certificación es una forma de
mostrar una intención activa de cumplir con la protección de los datos y la privacidad de los
usuarios.
Al contratar a una empresa o entidad, se debe llevar un registro de actividades. A esto se le
conoce como el deber de información, esto es, revisar el clausulado que se emplea en todas
las comunicaciones: correos electrónicos, cartas, albaranes, facturas y fichas de clientes entre
otras.
Por último, debemos conocer las sanciones a las que empresas y todas las entidades o sujetos
pueden enfrentarse en caso de infracción. Con respecto a la LOPD han crecido enormemente.
Las sanciones vigentes en la RGPD pueden alcanzar en su máximo, en la categoría de leve, los
10.000.000€ o un 2% del volumen global de negocio y en infracciones graves hasta
20.000.000€ o un 4% del volumen global de negocio. Mientras que en la LOPD eran de 40.000€
y 600.000€ en infracciones leves y graves o muy graves, respectivamente.

[Read more…]

Perspectiva internacional de la privacidad de los datos

Download PDF

Según la RAE la privacidad es: “ámbito de la vida privada que se tiene derecho a proteger de
cualquier intromisión” [1]. Hoy en día esta intromisión en cuanto a nuestros datos personales
se da constantemente en Internet. La sociedad moderna se ha acostumbrado a que se les
pidan o incluso se les exija aceptar protocolos y herramientas que captan y usan este tipo de
información o directamente que a los usuarios se les pida compartir información de carácter
privado para poder hacer uso de servicios de distintas índoles en la red.

En muchos casos esta información que se comparte con entidades concretas, es usada por
terceros a través de las mismas. Esto implica un riesgo real de cara a nuestra privacidad, ya
no solo por el hecho de que se esté empleando la información personal de miles de usuarios
para fines comerciales por parte de terceros, si no que surgen otras dudas inmediatas como
podrían ser: ¿Dónde se guarda esta información? ¿Durante cuánto tiempo? ¿Quién tiene
acceso a ella? ¿Es seguro el sitio en el que se almacenan estos datos? Todo esto nos hace
plantearnos, ¿no hay ninguna ley o decreto en el que se contemple este tipo de intromisiones
en nuestros datos personales? La respuesta es sí, el derecho a la privacidad es un derecho
recogido en la Declaración Universal de los Derechos Humanos. [2]

En esta serie de post sobre la privacidad, se analizarán las vulneraciones, protocolos y
medidas de protección que amparan a los ciudadanos de las diferentes naciones, poniendo
el foco en las medidas empleadas en el ámbito de la privacidad de los datos y la RGPD.

Conceptos Básicos y Relacionados

Política de privacidad: Documento que explica como una organización maneja cualquier
información de sus clientes, proveedores o empleados que haya reunido en sus operaciones.[3]

Derechos Digitales: Comprende el conjunto de permisos que una persona posee para
realizar acciones legítimas con un ordenador, red de comunicaciones o cualquier tipo de
dispositivos electrónicos. [4]

Aviso de privacidad: Documento generado por la persona física o moral responsable de la
recopilación y tratamiento adecuado de datos personales, debe ser puesto a disposición del
titular de los datos. [5]

Cookies: Pequeña herramienta o programa que es enviada desde un sitio web al navegador
de un usuario y que se emplea para registrar la actividad del mismo en ese o en otros sitios
web, recogiendo muchas veces información de carácter personal del usuario.

Política de Cookies: Documento donde se establece la forma en la que se emplean los datos
recogidos por las cookies que un sitio web instala en un navegador, así mismo también se
recoge que tipos de Cookies se instalan, su propósito y su durabilidad en el navegador, entre
otros.

Protección de datos: Disciplina jurídica que se encarga de velar por la intimidad y la
privacidad de los datos de las personas ante riesgos como la recopilación y el uso
indiscriminado de los datos de carácter personal por parte de entidades ajenas a la persona.

Por último, vamos a pasar a hablar brevemente de cómo funciona la ley en cuanto a las
políticas establecidas de protección de datos y privacidad centrándonos en España, la Unión
Europea y Estados Unidos.

España

En España hasta mayo de este mismo año estaba en vigor la LOPD o Ley Orgánica de
Protección de Datos, esta ley velaba por la seguridad de los datos de carácter personal de
las personas tanto en la red como fuera de ella. Pero la ley no era común a la que se
aplicaba en el resto de la Unión Europea, que, aunque tenía una intencionalidad semejante
difería en algunos ámbitos (la LOPD de la EU era menos restrictiva). Además, en España
existe la AEPD o Agencia Española de Protección de Datos, que se encarga del debido
cumplimiento de las leyes sobre actividades que implican el tratamiento o la obtención de
datos personales de las personas. [6]
A partir de mayo de este año, como se ha mencionado anteriormente, la LOPD se ha
cambiado por la nueva ley de protección de datos que es la RGPD, de la que se hablará a
continuación.

Unión Europea

Como comentábamos antes existía una necesidad de equiparar todas las leyes vigentes en
el ámbito de la protección de datos a nivel europeo. Para responder a esta necesidad surge
la RGPD [7] o Reglamento General de Protección de Datos, este decreto ley obliga a todas
las instituciones de los países de la Unión Europea a garantizar unos estándares de
protección, seguridad, tratamiento y obtención de los datos de los clientes, usuarios o
proveedores de dichas empresas o entidades. La RGPD ha entrado en vigor en mayo de
2018 y ha supuesto un cambio bastante grande en la mayoría de empresas europeas que se
han visto en la necesidad de cambiar y adaptar sus políticas y mecanismos de forma que
cumplan con la vigente ley.

Estados Unidos

En estados unidos existen otras leyes de protección de datos [8] que no son la RGPD, estas
leyes son:

  • HIPPA: Ley de Transferibilidad y Responsabilidad del Seguro Sanitario, promulgada
    en 1996 crea protecciones para la información relativa a la salud individual.
  • FACTA: Ley Federal de Transacciones Crediticias Justas y Exactas, diseñada para
    proteger la información de crédito de los consumidores y los riesgos asociados con el
    robo de datos.
  • COPPA: Ley de Protección de la Privacidad de Menores de los Estados Unidos, fue
    integrada en 1998 como un medio para proteger la privacidad de los niños menores de
    13 años. En particular la ley se centra en los sitios web que están dirigidas a menores
    o que poseen el conocimiento de que sus sitios web es visitado por menores.

 

[Read more…]

Valoración final y conclusiones del mundo Cloud

Download PDF

83En este quinto y último post, mencionaré brevemente cuáles han sido los puntos más importantes de los últimos 4 posts, continuaré con la explicación de algunas de las cuestiones que me deje en el tintero y finalmente haré una valoración de todo el trabajo realizado y que me ha supuesto la realización de este trabajo.

En primer lugar, debo decir que el mundo del Cloud Computing es tan amplio que la mayor dificultad que he tenido para la redacción de estos Posts ha sido el poder filtrar y mostrar aquella información más relevante. Dicho esto, considero que si bien es cierto que en el tercer y cuarto post hable de los riesgos y controles respectivamente, hubo algunas cuestiones que no trate respecto a la mitigación de riesgos.

Antes de definir algunas técnicas de mitigación, conviene repasar algunos de los riesgos más comunes en Cloud computing [1], como son la pérdida de propiedad intelectual, la confianza y la calidad de los acuerdos firmados con el tercer y seguramente el más importante de todos, la protección de los datos.

En este sentido, según se detalla en la presentación elaborada por Protiviti y publicada en KnowledgeLeader [2], una vez se identifican las áreas de riesgos, se deben implementar controles con un claro objetivo: la mitigación de los riesgos estos riesgos.

Por ejemplo, en el caso de la propiedad intelectual, se propone la instauración de controles de monitorización, un diseño seguro y encriptado de la propia arquitectura y una gestión adecuada de las políticas de copias de seguridad. Las empresas, dependen en gran medida de uno de los activos más valiosos: el conocimiento que poseen y la información que respalda a dicho conocimiento. Por lo tanto, en el caso de tener dicho conocimiento almacenado en un tercero, es realmente importante asegurarse de que se estén implementadas unas buenas políticas de seguridad.

Por otro lado, se menciona como uno de los puntos clave el implantar políticas de control de acceso efectivas y un sistema de autenticación seguro para tener acceso al CSP. Como ya he mencionado anteriormente, el punto central es la protección de los datos y por ende, la forma de mitigar posibles problemas y brechas de seguridad viene por tener sistemas que sean seguros por defecto y por diseño. Para hacer estas dos características efectivas, es necesario definir de antemano la segregación de roles y funciones y después implantar estas políticas.

Por último, con el fin de llevar a cabo controles más exhaustivos es igual de importante la tenencia de unas gestión de logs adecuada. Los logs, son el mejor sistema para comprobar y revisar  el funcionamiento de los sistemas alojados en la nube. Por lo tanto, es necesario que estos logs sean accesibles en todo momento y que mediante una gestión segura se asegure su integridad.

Una vez explicado este breve apartado sobre la mitigación de los riesgos, me gustaría concluir esta serie de Posts con unas valoraciones generales.

Considero que el Cloud Computing es el futuro y debido a sus grandísimos potenciales todas las empresas que cuenten con recursos suficientes adoptarán de una forma u otra la tecnología Cloud. No obstante, antes de adoptar la tecnología es necesario estudiar el sistema que mejor se adapta a las necesidades de cada empresa. No hablo solo de la parte IT sino también a aquellas cuestiones que he enfatizado como son los acuerdos contractuales o el derecho a la realización de auditorías independientes (el estándar SAS 70 entre otros) [3].

Por otra parte, desde mi punto de vista las empresas deben seguir una regla de oro básica: aplica al menos los mismos criterios de seguridad a los sistemas que tienes en la nube, respecto a los sistemas propios. El hecho de externalizar los recursos no implica una externalización de responsabilidades.

Finalmente, creo que esta serie de Posts me ha permitido enriquecer mis conocimientos sobre este campo en particular, y también considero que la parte de auditar estos sistemas en la nube, no difiere mucho a una auditoría IT de los sistemas tradicionales. No obstante, aunque la metodología pueda parecer similar, el impacto que pueden tener estos riesgos y radicalmente diferente.

 

[1] “Risks in Cloud Based Services: A Primer | KnowledgeLeader.” https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/gurisksincloudbasedservicesaprimerguide. Se consultó el 1 diciembre 2018.

[2] “Cloud Computing Training Guide | KnowledgeLeader.” https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/GUCloudComputingTrainingGuide. Se consultó el 1 diciembre 2018.

[3]  “SAS 70 Service Organization Auditing Standards, Public Accounting ….” http://sas70.com/. Se consultó el 1 diciembre 2018.

Post 5: Experiencia de auditar Blockchain y reflexiones

Download PDF

Buenas de nuevo! En este último post haremos un resumen de lo aprendido para el proceso de auditar, desde el punto de vista de las TIC. En mi caso, decidí utilizar Blockchain como temática para comprender primero cómo funcionaba la tecnología y segundo (más importante), conocer de primera mano todo el ciclo de vida de un proyecto de investigación para auditar a cerca de esta temática.  Para resumir brevemente y quedarnos con la idea de un vistazo, he resumido el proceso en la siguiente imagen (figura 1), donde trato de simplificar y exponer de manera sencilla todo el proceso seguido hasta ahora. A groso modo, he realizado cuatro sprints de investigación donde en cada uno, ponía el foco en tareas y cuestiones concretas.

 

Captura

Figura 1: Proceso de auditoria.

 


Como punto de partida, dentro del objetivo de auditoría se debe definir el objetivo del proyecto. En mi caso (me repito nuevamente), decidí simular la todo el proceso con Blockchain. Los pasos se pueden resumir en cuatro: “Contextualización”, “Evidencias del sector”, “Riesgos Asociados” y “Controles”.

 

  1. Contextualización: Lo primero que hice fue investigar cómo funcionaba la tecnología. Las preguntas a las que tenía que responder eran básicamente tres:
  • ¿Qué es BlockChain?
  • ¿Cómo funciona?
  • ¿Qué arquitectura tiene?

De esta manera, me nutri de información suficiente para comprender sus beneficios, posibles casos de uso, funcionamiento y palabras clave dentro de este contexto. Básicamente, aprendí la tecnología. Lo publiqué en el post 1.

  1. Evidencias del sector: Una vez conocía la tecnología, expandí mi conocimiento a cerca del mismo. Las tareas que realicé fueron las siguientes:
  • Investigar si existen agentes reguladores
  • Ver si existen leyes, directivas o normativas acerca de Blockchain (a nivel nacional e internacional)
  • Leer noticias recientes o, en su defecto, relevantes para la rama tecnológica

 

De esta manera, lo que obtuve como resultado es no sólo la visión de la propia tecnología, sino además la perspectiva global de a día de hoy, esto es, cómo se movía en el sector. Si quereís echarle un vistazo, lo dejé redactado en el post 2. Seguramente sea el post en el que más me he entretenido y disfrutado, realicé un pequeño estudio que subí a LinkedIn y todo!


  1. Riesgos Asociados: Conociendo la tecnología y madurez dentro del sector, en esta tercera fase me metí de lleno en tratar de identificar riesgos asociados a la propia naturaleza de la tecnología. Estos riesgos, debían de ser medibles, para poder ponderarlos después y priorizar. En mi caso, decidí utilizar dos variables sencillas: el impacto (daño que causaría) y probabilidad. Cabe destacar que me sorprendió para bien el aprender además de la los riesgos inherentes que debían de tenerse en cuenta, existían otros ajenos a los mismos como pueden ser las personas o ataques de terceros. En este apartado debo sincerarme y admitir que gran parte del post fue basado en una investigación de ISACA, son pioneros en auditar y sin ellos y la información obtenida por parte de Rebeca me hubiera costado mucho más (además, estoy convencido de que no hubiera acertado para nada).

 

  1. Controles: Una vez identificamos los riesgos, quedaba la parte de pensar en la manera de cómo afrontarlos. No tiene sentido ser consciente de problemas potenciales si luego no hacemos nada. De la misma manera, en el post 4, ofrecí una tabla de riesgos (resultado de la investigación del punto 3) donde primero prioricé los mismos y después fui desgranando uno a uno para poder aplicar métodos o soluciones para poder mitigar los posibles daños, en el caso de querer implantar esta tecnología en una organización tipo.

 

Esto ha sido todo el trabajo realizado, de manera individual. A modo reflexión, me he dado cuenta de que es necesaria la tarea de auditar: por precariedad, un organización debería  realizar una investigación para cada tecnología clave del sistema. No sólo contento con esto, en un mundo tan hipercambiante como en el que hoy en día vivimos quizás deberíamos tratar de ir más allá e investigar en tecnologías innovadoras para valorar si realmente nos compensa implantarlos. Bajo mi punto de vista, las empresas deberían explotar nuevas vías, de mano con procesos iterativos de auditoria (al menos desde el punto de vista de implantación de nuevas tecnologías). Para mi ha sido todo un placer compartir este proceso de aprendizaje que espero que a su vez, haya valido para aportar mi granito de arena.

¿Cómo nos afecta la nueva ley de copyright?

Download PDF

En este último blog os voy traer una noticia reciente que me ha parecido bastante interesante relacionada con la propiedad intelectual y que nos afecta a todos, tanto como consumidores como creadores de contenido en Internet.

Hace unos meses saltaba la noticia cuando el parlamento europeo aprobaba una reforma de la ley de copyright actual. Los artículos más polémicos han sido el 11 y 13 que ponen en peligro la libertad de expresión y el acceso a la información como lo conocemos hoy en día. [1]

Con el artículo 11 se pretende proteger a los medios de comunicación y creadores de contenido. Dentro de este artículo se contempla los siguientes puntos:

  • Los usuarios de redes sociales u otras plataformas de Internet no podrán compartir fragmentos de noticias y ningún tipo de contenido con derechos de autor durante 20 años contando desde la creación del contenido. [2]
  • Se contempla el pago de licencias para la utilización de fragmentos protegidos por derechos de autor. [2]

Por otra parte, el artículo 13 propone regular el uso de contenidos protegidos por parte de proveedores de servicios de la sociedad de la información como pueden ser redes sociales, motores de búsqueda como Google o plataformas de contenido como YouTube. [2] Concretamente se contemplan los siguientes puntos:

  • La responsabilidad de los contenidos pasa a ser de quien los hospeda, no del que los produce. [3]
  • Se contempla también el pago de licencias a los propietarios de los derechos para permitir el uso de su contenido en la plataforma. [2]

Con esta medida plataformas como YouTube serán responsables de los vídeos subidos y deberán implementar sistemas que se encargan de detectar y eliminar todo aquel contenido que se suba a la plataforma y este protegido por derechos de autor. [3]

Con la instalación de estos sistemas surge un nuevo problema ya que no son del todo fiables. Si tomamos como ejemplo YouTube, su sistema hace lo siguiente: [4]

  1. Los propietarios de los derechos envían a YouTube archivos sonoros y visuales sobre sus contenidos.
  2. YouTube crea una huella digital del contenido y la almacena en su base de datos.
  3. Un sistema se encarga de comparar los vídeos subidos con las huellas almacenadas con el objetivo de detectar si se ha utilizado contenido protegido. En caso positivo el contenido será eliminado inmediatamente.

El problema de estos algoritmos es que no son capaces de entender muy bien el contexto. Por ejemplo, si una persona sube un cover de una canción protegida por derechos de autor, el sistema es probable que detecte que está incumpliendo la propiedad intelectual del autor de la canción, ya que puede pensar que la está cantando el propio autor. Evidentemente un cover es totalmente legal, aunque se pueden dar casos de vídeos con un cover que quedarían eliminados por este motivo. Del mismo modo, también es posible que el algoritmo no detecte correctamente los casos realmente ilegales. [5]

Hasta ahora, la baja fiabilidad de estos sistemas no era problema para las plataformas como YouTube ya que no eran responsables del contenido subido por terceros y hay muchas otras plataformas que ni siquiera utilizan este tipo de sistemas. Con la llegada de la nueva ley, todas las plataformas se van a ver obligadas a implementar sistemas mejorados de este tipo para evitar que se suba ningún contenido protegido. Estos algoritmos mejorados probablemente sean capaces de detectar al 100% los casos de infringimiento de la propiedad intelectual. Sin embargo, el número de veces que el sistema detecta contenido legal como ilegal también aumentará.

Evidentemente, en los casos que el algoritmo detecte como ilegal un contenido totalmente legal, se puede enviar una reclamación a la plataforma (si tiene los recursos y cuenta con este tipo de servicios) para demostrar que el contenido es legal. Esto implica más trabajo y recursos tanto para la plataforma como para los usuarios. Al fin y al cabo, ¿quién va a perder el tiempo enviando una reclamación para intentar recuperar un “meme” que publicó en Twitter por ejemplo? Y en caso de hacerlo, lo más probable es que se tarde horas o incluso días en poder tener tu contenido publicado de nuevo cuando ya probablemente no tenga ningún sentido.

Aparte de los propios usuarios, los principales perjudicados de todo esto serían las pequeñas plataformas que no cuentan con los recursos económicos necesarios para poner en marcha sistemas de monitorización que permitan comprobar que contenido infringe la ley y cuál no, por lo que probablemente tengan que cerrar. [3]

En definitiva, la nueva ley de copyright propone un aumento de la persecución de los delitos contra la propiedad intelectual, pero a mi parecer a un coste demasiado elevado, limitando nuestro derecho a la libertad de expresión en Internet.

 

Referencias:

[1]https://www.elconfidencial.com/tecnologia/2018-09-12/ley-copyright-parlamento-europeo-link-tax-upload-filter_1614760/

[2]https://www.adslzone.net/2018/09/12/articulos-11-13-directiva-derechos-autor/

[3]https://hipertextual.com/2018/07/articulo-13-reforma-derechos-autor-afecta-internet

[4]https://marketing4ecommerce.net/lo-debes-saber-la-politica-copyright-youtube/

[5]https://www.youtube.com/watch?v=ilEsBgbm7Fo