RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD

Pues eso, que el finde ha traído la publicación en el BOE del Nuevo Reglamento de desarrollo de la LOPD. Enlace al documento aquí.

Nuevo Reglamento de desarrollo de la Ley Organica de Proteccion de Datos (LOPD)

Ya me extrañó ver programado, el pasado jueves, un curso de formación acerca del Nuevo Reglamento de desarrollo de la LOPD entre las actuaciones formativas del próximo ciclo en la empresa donde trabajo. Eso es estar al día y disponer de capacidad de reacción ante los cambios. Pues bien, dicho y hecho: viernes 21 de diciembre y noticia de aprobación por parte del Consejo de Ministros del Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ante esta noticia, la Agencia Española de Protección de Datos, emitió una nota informativa, donde expresa su satisfacción por el particular. La nota puede descargarse aquí.

Para hacer consideraciones más exactas y de primera mano, espero poder ver el documento una vez sea publicado. Mientras tanto, os dejo la información emitida por http://www.la-moncloa.es/, referente a la aprobación del documento y estractos de su contenido, así como de su espíritu:

APROBADO EL DESARROLLO DE LA LEY DE PROTECCIÓN DE DATOS

(Fuente: http://www.la-moncloa.es/)

La norma acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que actualmente existen.

Se aplica también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.

Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.

El interesado dispondrá de un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.

Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

Innovaciones más destacables

La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.

Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.

Para mejor garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. En la misma línea, se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.

Incremento de medidas de seguridad

Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:

Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.

Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.

Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.

Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.

Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.

Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.

Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Régimen transitorio de aplicación

Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.

En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.

Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.

Tratamiento de datos de menores de edad

Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno.

Si, además, se pretende recoger datos con información relativa a los miembros del grupo familiar o sus características, será necesario que los titulares de los mismos den su consentimiento.

Además, los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.

Ficheros sobre solvencia patrimonial y crédito

Se introducen importantes novedades en el tratamiento de estos datos.

Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación.

En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”.

Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.

Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.

Regulación de actividades de publicidad y prospección comercial

La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.

Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.

Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.

Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Tarjeta sanitaria

Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.

Transferencias internacionales de datos

Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.

También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.

Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.

Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

Sobre la potestad sancionadora de la Agencia Española de Protección de Datos, no se modifican las infracciones, sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración de la incoación de un expediente sancionador. Transcurrido ese plazo sin un procedimiento sancionador, estas actuaciones previas se entenderá como caducadas.

Esto redundará, sin duda, en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción.

Por otra parte, la tramitación de este proyecto se ha caracterizado por la continua colaboración entre en el Ministerio de Justicia y la Agencia Española de Protección de Datos, así como la más absoluta transparencia, llegando a ser comunicado a más de sesenta entidades y asociaciones representativas de derechos e intereses afectados y recibiendo observaciones al respecto de cuarenta de ellas.

Asimismo, se han tenido en cuenta los comentarios y observaciones de las Autoridades Autonómicas de protección de datos que existen en la actualidad (Madrid, Cataluña y País Vasco). Igualmente se han estudiado las cuestiones referentes a la Ley Orgánica de Protección de Datos que durante sus casi ocho años de vigencia han sido planteadas por distintas instancias y Órganos Constitucionales, como las Cámaras Parlamentarias, el Defensor del Pueblo u organismos similares de las Comunidades Autónomas.

Casi el 20% de las empresas europeas tienen problemas reales para encontrar perfiles TI

Es uno de los resultados contenidos en el estudio realizado en el seno de EUROSTAT Data in Focus de la Comisión Europea. Dicho estudio, incluye datos referentes al porcentaje de empresas con acceso a Internet, con conexiones de banda ancha, con websites, con externalización de TI, ...

Enlace al estudio aquí.

Encuesta de ISO sobre certificacion en el mundo. Primer año de ISO 27001

La encuesta de ISO proporciona una visión del nivel de certificación de distintos sistemas de gestión empresarial a lo largo del último año cerrado, esto es, 2006. La encuesta incluye estudios sobre certificaciones de los siguientes sistemas:

- ISO 9001:2000 (Quality)
- ISO/TS 16949:2002 (Quality - Automotive)
- ISO 13485:2003 (Quality - Medical Devices)
- ISO 14001:2004 (Environmental)
- ISO 27001:2005 (Information Security)

Es de destacar, que por primera vez, el estudio incluye las certificaciones otorgadas para ISO/IEC 27001:2005.

Los principales resultados son:

ISO 9001:2000

Total mundial: 897866 certificados

Crecimiento mundial: 123999 certificados

Lugar de España: 4 mundial con 57552 certificados

Líder mundial: China con 162259 certificados

ISO 14001:2004

Total mundial: 129199 certificados

Crecimiento mundial: 18037 certificados
Lugar de España: 3 mundial con 11125 certificados
Líder mundial: Japón con 22593 certificados

ISO/IEC 27001:2005
Total mundial: 5797 certificados
Crecimiento mundial: - (es el primer año en el estudio)

Lugar de España: No aparece en el Top 10 (23 certificados)

Décima posición: Hungría con 54 certificados

Líder mundial: Japón con 3790 certificados

Para todos los detalles y datos ampliados, os dejo enlace al estudio oficial de ISO aquí.

Estandar de buenas practicas en Seguridad de la Información

No sé si alguno de los medios de la blogosfera habrá puesto de manifiesto la existencia del siguiente documento. Si es así, mil perdones, pero me parece lo suficientemente interesante como para referirlo. Se trata de: "The Standard of Good Practice for Information Security", emitido por el Information Security Forum (ISF), y que es un documento que especialmente me gusta. Se requiere cumplimentar un formulario para proceder al download, pero merece la pena. El enlace para la descarga aquí.

¿Cumple Santa Claus con la Ley Organica de Proteccion de Datos?

Expertos británicos alertan sobre el uso al que pudiera destinar Santa Claus los datos de carácter personal de los niños del Reino Unido. Este particular puede extrapolarse a nuestro país, ya que la verdad es que no se detectan implementados muchos de los requisitos a los que nuestra legislación obliga, en la recolección y posterior uso de los datos de carácter personal 'trincados'.

Y el tema está en que, para enviarle una carta a Santa, a veces es necesario suministrar una ingente cantidad de datos para no tener que franquear la misma. Informar acerca del tiempo que los datos permanecerán retenidos, de las finalidades para la que son recogidos, los destinatarios de tal información, ..., debería ser obligatorio en todos los casos. ¿Pero a ver quién le explica a los niños qué significan todas esas coletillas legales en su comunicado, patrocinado por aquella gran superficie de reconocido prestigio?

Out-Law, se hace eco del particular e insta a Santa Claus a responder determinadas preguntas, como: '¿Se utiliza la información para algo más que la entrega de regalos?'

Funciones principales prioritarias a reestablecer cuando ocurra un desastre

Es el tema fundamental del White-Paper que SANS Institute nos acerca en su sitio web y que tenía en mente 'linkar' cuando tuviese un instante. Estas funciones, naturalmente quedarán priorizadas por nuestro análisis BIA de impacto en el negocio. El interés fundamental del paper, radica en que nos presenta (es a nivel ejecutivo) una serie de preguntas que debemos de hacernos a la hora de analizar el particular, así como que nos muestra una panorámica global del tema sin entrar en tecnicismos excesivos. Enlace al documento aquí.

Lo que los responsables de negocio pueden esperar de los titulos relacionados con seguridad

Es el título del último de los podcasts editados por CERT en su website. Interesante bloque de información, el cual, como en otros sitios, recomiendo visitar. Dejo el enlace al podcast aquí.

Podcast ISO 20000 a miembros de Telefonica

Dando eco nuevamente a cada uno de los podcast realizados por www.ISO27000.es, en esta ocasión doy entrada al realizado a Miguel González Simancas responsable del Sistema de Gestión de Servicios TI según ISO 20000 de Telefónica, quien comenta cómo se ha realizado la implantación de un SGSTI en coincidencia con el alcance de su SGSI según ISO 27001 así como con su Sistema de Gestión de Calidad según ISO 9001. Por su parte, Julio José Ballesteros aporta detalles sobre el trabajo de implantación en el que ha participado directamente, recorriendo de forma resumida, los datos más significativos del esfuerzo para la implantación y certificación acreditada según ISO 20000.

Me suenan dichos nombres de ponencias en Congresos de itSMF, precisamente la cual versó sobre ISO 20000.

La entrevista se encuentra aquí.

Y llego UNE-ISO/IEC 27001:2007 ...

Por fin tenemos Norma UNE-ISO/IEC 27001:2007 - Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005).

Después de todo lo esperado, ya cuelga del repositorio normativo de AENOR el, tan esperado, documento (36 páginas, 30,70 €, 315 Kb disponible en .pdf). Esperemos su repecursión en el mercado.

Este documento, facilita aún más la implantación de Sistemas de Gestión de Seguridad de la Información salvando la barrera del idioma que, aunque parezca mentira, en algún que otro caso, ha supuesto una barrera importante.

Gestion de Riesgos, cuestion de sentido comun

Martín Pérez, nos acerca en su blog, alguno de los resultados del estudio que The Economist Intelligence Unit ha realizado para KPMG. De él, destaca que se nombra a la Gestión de Riesgos como el cuarto factor clave para el rendimiento de la organización. Ello formaría un cuarteto de poder compuesto por: PERSONAS, PROCESOS, TECNOLOGÍA y GESTIÓN DE RIESGOS.

La verdad es que, de vez en cuando te preguntas para qué hacen encuestas de éstas, con lo que cuestan, para poner de manifiesto cosas que son de sentido común. Pues la respuesta para mí, es que me aportan excusas. Fundamentalmente, me ponen de manifiesto las excusas que esgrimen los directivos para no acometer las principales conclusiones del estudio.

Es decir: 'LA GESTIÓN DE RIESGOS ES VITAL PARA LAS ORGANIZACIONES', gran conclusión, la cual sabemos todos. Lo interesante es cuando, en un acto de sinceridad, los directivos te dicen por qué no han tenido en cuenta este factor en concreto: 'PUES NO LO HE HECHO PORQUE NO TENGO PELAS'. 'NI ME LO HE PLANTEADO PORQUE ME LA TRAE AL PAIRO'. 'AQUEL DÍA YO NO FUI A CLASE' ...

Las organizaciones no sólo deben trabajar claramente sobre esos cuatro factores, sino que en nuestros días, lo que se hace es ir más allá, trabajando en la integración de ellos. Fundamentalmente, lo que se persigue es alinear NEGOCIO y TI, en un entorno que identifique los RIESGOS existentes para minimizarlos y, naturalmente, en un contexto del que forman parte de forma primordial las PERSONAS. Todo ello en búsqueda de la flexibilidad de la organización para poder adaptarse de forma rápida a todos los cambios a los que ve avocada (flexibilidad, entre otros beneficios).

Por todo ello, me atrevería a decir que la gestión de los riesgos 'ES' el cuarto factor clave para el rendimiento de la empresa, junto con las personas, los procesos y la tecnología. Y no sólo lo es, sino que lo viene siendo desde hace un tiempo, otra cosa es que, por múltiples motivos (dejadez, recursos, ...), no se venga teniendo en cuenta.

Cuánta razón llevan, al decir que la gestión de riesgos "gana importancia, lentamente en el día a día de los consejos de administración". Este es el tema: la concienciación de la necesidad y la puesta en práctica de metodologías.

Me adhiero totalmente a lo expuesto en la entrada de Martín, donde se expone que "uno de los principales obstáculos al respecto parece ser la falta de entendimiento de las cuestiones de riesgos o el hecho de no contar con una cultura corporativa debidamente sensibilizada con los riesgos de su propio negocio". Es que es vital.

ISO 27001 El que la sigue la consigue

Sírvase esta entrada, para mostrar mi felicitación al equipo de Firma, Proyectos y Formación, S. L., del cual tuve el placer de conocer personalmente, por fin, a Javier Cao en el pasado acto celebrado por el ISMS Forum en Madrid.

El motivo fundamental es que ya han conseguido certificar a su primer cliente según ISO 27001, Administración Pública para más señas, lo cual vienen persiguiendo desde hace tiempo, cuando ya empezábamos a hablar de BS 7799-2 en estos pequeños foros para amigos, cuando ambos estábamos en PyMe.

La salida a escena del estándar, la fuimos viviendo, haciendo cada uno de nosotros los primeros aportes que se nos venían ocurriendo, o que veníamos tratando, conforme los pequeños proyectos en los que participábamos nos permitía. Felicidades.

Javier nos deja las siguientes palabras en su blog:

"También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación. De esta forma, una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría."

ISO 27001-ISO 27002 Guia de implementacion y metricas

Esperando que el comentario no afecte a sus respectivas vidas conyugales, que a Javier Ruiz y Agustín López les va la marcha, ya va siendo conocido por todos. Felicitarles, otra vez más, y comienza a ser repetitivo, por sus aportes a la hora de acercarnos temas relacionados con la familia normativa ISO 27000. ¿De dónde sacáis el tiempo?

Lo que han hecho esta vez es traducir la Guía de Implementación y Métricas de ISO27k implementers' forum, documento el cual, puede obtenerse aquí.

Los riesgos de seguridad del personal temporal

Out-Law, nos acerca los datos de una encuesta de Websense, donde se pone de manifiesto que más del 80% del personal temporal de nuestras organizaciones, tiene el mismo nivel de acceso a la información de la compañía que el personal fijo. Todo esto, sin tener el mismo nivel de responsabilidad, claro está. Como resultados, se desprende que:

- 88% pueden acceder a documentos de alto nivel

- 62% han usado ID/PASS de otro usuario para acceder a equipos

- 52% han utilizado cuentas de correo de compañeros

- 81% tienen acceso ilimitado a Internet desde su equipo

- 21% sólo, han firmado políticas de seguridad para PC y navegación

- 91% pueden imprimir cualquier documento de trabajo que quieran

- 37% tienen claves de acceso a sistemas clave

- 42% pueden conectar dispositivos personales a sus equipos

- 67% utilizan sitios de redes sociales durante horas de trabajo

- 21% acceden a aplicaciones de intercambio de ficheros peer-to-peer

Estafas mas frecuentes en Internet

La Organización DragonJAR, nos presenta en este artículo las 10 estafas más frecuentes en Internet en nuestros días. Nos hablan de:

- Fraudes en supuestas subastas
- Timos de Proveedores de Servicios de Internet (ISP)
- Diseño y promoción de determinados sitios web
- Abusos en tarjetas de crédito
- Marketing multinivel o redes
- Oportunidades de negocio falsas
- Planes de inversión para hacerse rico rápidamente
- Fraudes en viajes o paquetes vacacionales
- Fraudes telefónicos
- Fraudes en recomendaciones sanitarias

Podemos acceder al artículo completo aquí.

(Vía http://www.segu-info.com.ar/)

Los datos personales de los españoles hacen las Americas

Es el título del ilustrativo artículo que podemos leer en la página de la Asociación de Internautas, firmado por Ana Tudela de publico.es. Transferencias internacionales, casos, morosos inocentes, call centers, 902, ... Acceso al mismo aquí.