11 of Agosto
3º JORNADA DE DIVULGACIÓN
CÁTEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN
2ª EDICIÓN
16 septiembre 2008
IE Business School - Serrano 105 - 28006 Madrid
Tratamiento de Datos en el ámbito de los Recursos Humanos: Aspectos regulatorios y prácticos
Introducción
Cuando
una empresa contrata un trabajador se inicia un consentimiento
bilateral para el manejo y tratamiento de los datos personales. La Ley
Orgánica 15/1999 se encarga de regular el tratamiento de los datos de
carácter personal. Su principal finalidad es garantizar y proteger, las
libertades públicas y los derechos fundamentales de las personas
físicas y principalmente el honor e intimidad personal y familiar.
Esta
jornada es una oportunidad única para conocer más y salir de dudas en
un tema tan importante como el tratamiento de datos por parte del área
de RRHH dentro de las empresas. Asimismo, analizaremos los
requerimientos de la LOPD y el punto de vista de la Agencia de
Protección de Datos sobre este tema.
Programa
• 9:15 - 10:00 hrs. Recepción de los asistentes
• 10:00 - 10:10 hrs. Bienvenida. Jose Esteves, Director de la Cátedra de Riesgos.
• 10:10 - 10:30 hrs. Tratamiento de Datos. María José Blanco, Subdirectora General del Registro General de Protección de Datos, Agencia de Protección de Datos.
• 10:30 - 11:00 hrs. Consideraciones
claves, práctico-legales, en la aplicación de la Protección de Datos de
Carácter Personal en la gestión de Recursos Humanos en las Empresas. José Mozo Fernández, Bonal Abogados.
• 11:00 - 11:30 hrs. Coffee Break.
• 11:30 hrs - 12:00 hrs. Buenas prácticas sobre aplicación de seguridad de la información en personas / empresas. Marcos Gómez Hidalgo, Subdirector eConfianza, INTECO.
• 12:00 hrs - 13:30 hrs. Round Table. Visión práctica de los Directores de RRHH.
Moderador: Cristina Simón, Directora académica del Centro de Recursos Humanos, IE Business School.
- Ricardo Barthe, Director de RRHH de INTECO.
- Ignacio Ramos, Director de RRHH de GMV.
- Almudena Capell, Directora de RRHH de Oracle Ibérica.
La asistencia es gratuita, previa inscripción en la página web de la Cátedra de Riesgos en Sistemas de Información: www.crsi.ie.edu, en la sección Eventos. Plazas limitadas.
Permalink
Comments (0)
5 of Junio
Hoy viene la vicepresidenta de HP España a dar una charla sobre TI y capital humano, dentro del programa MET.
Es curioso que HP hable de estos temas cuando hace unos pocos años HP tuvo uno de los mayores escandalos de mal uso ético de las TIC para espionar a sus empleados. todos nos recordamos del escandalo de su Presidenta Patricia Dunn y algunos miembros de la directiva de HP que fueron acusados de tal delito y tuvieron que demitir...
Quizas HP antes de dar consejos a los demás, deberia empezar por aplicar internamente sus proprias mejores praticas.
Ya lo mismo le pasó con el fracaso de la implantacion de SAP hace unos años, cuando en ese mismo momento HP estaba intentando posicionarse como consultora de implantación de SAP en Pymes...vamos que el fracaso no fue como que una buena refrencia a incluir en su proprio CV como consultora que digamos.. curiosmante la mayor parte de los problemas vinieron por problemas de "personas" dentro de HP.
A ver si la vicepresidenta comenta algo sobre todos estos interesantes temas y como HP los ha superado....
Es curioso que HP hable de estos temas cuando hace unos pocos años HP tuvo uno de los mayores escandalos de mal uso ético de las TIC para espionar a sus empleados. todos nos recordamos del escandalo de su Presidenta Patricia Dunn y algunos miembros de la directiva de HP que fueron acusados de tal delito y tuvieron que demitir...
Quizas HP antes de dar consejos a los demás, deberia empezar por aplicar internamente sus proprias mejores praticas.
Ya lo mismo le pasó con el fracaso de la implantacion de SAP hace unos años, cuando en ese mismo momento HP estaba intentando posicionarse como consultora de implantación de SAP en Pymes...vamos que el fracaso no fue como que una buena refrencia a incluir en su proprio CV como consultora que digamos.. curiosmante la mayor parte de los problemas vinieron por problemas de "personas" dentro de HP.
A ver si la vicepresidenta comenta algo sobre todos estos interesantes temas y como HP los ha superado....
30 of Mayo
Ya tenemos más de 100 personas confirmadas para la jornada que
realizamos de la catedra de gestion de riesgos y seguridad de la
informacion!
Esta vez tendremos como invitados de Honor a Scott Thompson, presidente mundial de Paypal y a Juan Comte - Jefe del Grupo de delitos Telematicos de la Unidad Central Operativa de la Guardia Civil.
os animo que hagais vuestra inscripción lo más rapido posible.
2º JORNADA DE DIVULGACIÓN CÁTEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN
2ª EDICIÓN
4 Junio 2008
Aula Magna IE - Maria de Molina 11 - 28006 Madrid
Riesgos, Fraude y Sistemas de Pago Online, la Visión Nacional e InternacionalSegún
los últimos estudios de prestigiosas organizaciones de Seguridad de la
información, el fraude online empieza a crecer a niveles alarmantes, y
las amenazas a empresas y a individuos es cada día mayor. En esta
jornada intentaremos analizar la realidad de los riesgos y el fraude
online y de una de las principales preocupaciones de los negocios
online y de los clientes: los sistemas de pago online.
Esta
jornada es una oportunidad única para conocer la opinión de altos
ejecutivos como Luis Fernando Pérez - Director General de GMV
Soluciones Globales Internet, Nicola Toombs (Business Development
Director of Banking at Oracle EMEA) y Juan Salom Clotet Comte - Jefe
del Grupo de delitos Telematicos de la Unidad Central Operativa.
En relación a los sistemas de pago online, nuestro invitado de honor es Scott Thompson - Presidente Mundial de Paypal.
Agenda:
10.00 - 10:10 - Bienvenida - José Esteves
10:10 -10:30 - Fraude y riesgos informáticos en España - Elena Garcia, Responsable Fraude Electronico, Inteco-CERT
10:30
- 11:00 - Fraude Online: Realidad y Mejores Prácticas para Combatirla -
Luís Fernando Álvarez-Gascón Pérez, Director General de GMV Soluciones
Globales Internet.
11:00 -11:30 - Trusted online services?- Nicola Toombs, Business Development Director of Banking at Oracle EMEA
11:30- 12:00 - Coffee Break
12:00 -12:40 - Managing the Online Payments Risk: The Paypal Experience -, Scott Thompson, President of Paypal
12:40 -13:30 - Round Table - Moderator : Fernando Aparicio, Director general Paypal España
- Juan Salom Clotet Comte - Jefe del Grupo de delitos Telematicos de la Unidad Central Operativa
- Scott Thompson
- Nicola Toombs
- Luis Fernando Gascón Perez
- Elena Garcia
La asistencia es gratuita, previa inscripción enviando un email a la siguiente dirección: catedra.riesgos@ie.edu . Plazas limitadas.30 of Mayo
Nada como empezar la mañana con una llamada a tu movil de un desconocido...asi empezó hoy la mia..y curiosamente de quien era? pues de MOVISTAR, de la cual no soy cliente. El señor que me llama, me pide que me identifique, y si yo era titular del movil...de inmediato me dice que me querian hacer una oferta de movistar si yo estaria interesado en cambiarme de compañia etc. y me empieza a hacer una serie de preguntas cuando le respondi que no estaba interesado y que no le iba a dar mis datos a alguien que me llama de un movil desconocido y que yo no habia dado autorizacion ni a Movistar ni a ninguna otra empresa para venderme produtos atraves de mi movil y de donde el habia conseguido mi movil.
Parece que en Movistar, empresa de Telefonica no sabe lo que es la LOPD, ni la ética ni la moral, asiq ue me pregunto si en Movistar sabe que lo que hacen es ilegal? Ademas de abusivo y mala prática de negocio?
Parece que en Movistar y en Telefonica pueden saber mucho de teleocmunicaciones pero les falta saber que el uso de las TIC no todo está permitido...alguien deberia darles formacion en etica y TIC digo yo...que no vale todo en estrategias de negocio....mucho business strategy pero lo demas...
Quizas la asociacion de protección de datos deberia empezar a controlar este tipo de abusos por empresas como estas y la forma abusiva como intentan hacer marketing de sus produtos. Ademas es un pcoo sorprendente que una empresa como Movistar llame de un telefono "desconocido" cuando uno de los problemas de la sociedad digital es exactamente la falta de confianza en los medios digitales y la seguridad, aunque claro Telefonica de esto sabe poco, ya que hace años las facturas de telefono "navegan" por internet y todos podian verlas...
Por si Movistar no sabe, en E.U.A. Dell acaba de ser condenada por malas praticas de negocio, fraude y publicidad falsa...y Telefonica ya lleva unas cuantas multas de la UE por sus praticas monopolistas, pero parece que aún no le es suficiente...yo me pregunto si alguien dentro de Movistar y Telefonica se está preocupado con una cosa que en gestión de riesgos se llama "riesgo de imagen" y como esto puede afectar su negocio y a sus directivos?
31 of Marzo
Los últimos dias mucho se ha hablado de los problemas de la justicia, y sobre sus errores, muchos de carácter humano. Y se piden más medios materiales. No digo que no sean necesarios, pero quizás lo que necesitaria la justicia es tambien mejorar sus Sistemas de Información (SI), pues es la forma mas eficiente para reducir determinados errores. Con tantos millones invertidos en informática en el área de justicia sigue sorpreendiendo que el SI avisen de cuando terminan las vacaciones de un determinado funcionario y no avisa de cuando hayq ue enviar a la carcel a una persona. Del punto de vista técnico es muy sencillo implantar este tipo de controles, no es por dinero que estas cosas no están funcionando, es por una ineficiente gestión de procesos, definicion de requisitos etc. Los responsables de justicia deben ser conscientes que necesitan de la informatica para gestionar tanta información y hacerlo de forma eficaz e eficiente implantando SI donde se incluyan sistemas de control, de la misma forma que ya lo han hecho otros sectores.
Otro aspecto es la falta de integración entre los diferentes SI de justicia. Algo nuevo? no, cualquier profesional de SI sabe que este aspecto es critico y donde realmente se obtiene mayor valor añadido usando las TIC es exactamente en la integracion de informacion y que se pueda compartir en tiempo real, de forma facil y única. Los SI no pueden ser controlados como islas, pues de esta forma nunca se conseguirá obtener valor de ellos, al reves solo aumentará su complejidad y costes de mantenimiento. de que vale tener bonitos portatiles si despues no sabemos gestionar de forma eficiente nuestra información, o peor aún, tener esa información pero no compartir o hacer acesible a las personas que la necesitan para toma de decisiones?
Infelizmente, la educación en SI en el área juridica y legal es muy deficiente, basta ver cuantos grados y master en estos áreas tiene cursos de SI, y si los tienen es para enseñarles a usar word y excel...Asi sería importante que en el área de justicia se eduque sobre los SI empresariales, desde los ERP, a los CRM, a los BI al valor de los SI, a como mejorar la visión de procesos etc. En una economia digital no nos podemos dar al lujo de no desarrollar y comprender estas competencias tecnologicas a nivel profesional. Esto no implica solo inversión en SI, implica tambien un cambio de mentalidad en los propios usuarios que deben ser conscientes de la necesidad de conocimiento sobre estas herramientas para desarrollar sus actividades.
27 of Marzo
1º JORNADA DE DIVULGACIÓN
CÁTEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN
2ª EDICIÓN
10 Abril 2008
Aula Magna IE - Maria de Molina 11 - 28006 Madrid
Creación e Implantación de un Plan de Seguridad
y el Valor Agregado para el Negocio
Introducción
Hoy en día es crítico la definición e implantación de un plan de seguridad de la información que agregue valor al negocio. La presente jornada tiene como objetivo comentar en detalle la definición de un plan de seguridad, las fases a seguir, el analizar las mejores prácticas de cómo hacerlo y también analizar la forma más adecuada de cómo implantar y mantener ese plan de seguridad de la información.
Programa
• 9:15 - 10:00 hrs. Recepción de los asistentes
• 10:00 - 10:15 hrs. Apertura Jose Esteves Director de la Cátedra de Riesgos
• 10:15 - 10:45 hrs. El análisis de la situación real a nivel de plan de seguridad en las empresas españolas.
Marcos Gómez Hidalgo, Subdirector eConfianza de INTECO, Director Asociado de la Cátedra de Riesgos
• 10:45 - 11.30 hrs. El plan de seguridad en organizaciones multinacionales.
Roberto López, Consultor de Seguridad de GMV
• 11:30 - 12:00 hrs. Coffee-break.
• 12:00 - 12:30 hrs. Ejemplos prácticos del uso de la tecnología en la implantación de un plan de seguridad. David Nuñez Escobedo, CISA Principal Sales Consultant-Seguridad
• 12:30 hrs - 13:15 hrs. Como hacer seguimiento y mantenimiento de un plan de seguridad. Juan Ignacio Sánchez, Jefe del Departamento de Seguridad de la Información de MAPFRE
• 13:15 hrs - 14:00 hrs. Turno de preguntas.
Moderador: Fernando Aparicio, Director General Pay Pal España.
Se planteará un debate abierto entre ponentes y asistentes sobre aspectos susceptibles de aclaración, y/o modificación dentro de lo previsto en el desarrollo e implantación de un plan de seguridad de la información y analizar el valor agregado para el negocio.
La asistencia es gratuita, previa inscripción enviando un email a la siguiente dirección: catedra.riesgos@ie.edu . Plazas limitadas.
4 of Enero
JORNADA FINAL DE LA PRIMERA EDICION DE LA
CATEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN
RESULTADOS DE LOS ESTUDIOS DE LA CATEDRA Y PRESENTACIÓN DEL REGLAMENTO DE DESARROLLO DE LA LEY ORGANICA DE PROTECCIÓN DE DATOS (LOPD)
DIA: 31 DE ENERO
HORARIO: DE 9.30 A 14.30 HRS.
LUGAR: AULA MAGNA, INSTITUTO DE EMPRESA
C/MARIA DE MOLINA, 11
1 Introducción
Una vez transcurrido un año desde el inicio de las actividades de la Cátedra, es tiempo para compartir con todos nuestros invitados los resultados de los estudios que durante el año 2007 se han venido desarrollando en nuestro marco de actuación, la gestión de los riesgos en sistemas de información.
La observación de los resultados deja patente el camino por recorrer para que los estamentos directivos identifiquen la gestión de los riesgos de su información como una materia de su estricta competencia, al mismo tiempo que despeja algunas dudas sobre ámbitos concretos de la seguridad de la información.
Asimismo, en la Jornada contaremos con la presencia de un representante del Instituto Nacional de Tecnologías de la Comunicación (INTECO), institución pública de referencia obligada en el ámbito que nos ocupa, aportando su visión en relación a la situación actual de seguridad de la información en el ámbito de las pequeñas y medianas empresas españolas.
Entre otros aspectos, se expondrá la tipología, frecuencia y efectos de los incidentes de seguridad sufridos por estas empresas, su percepción y respuesta ante fenómenos como el fraude online o el correo no deseado (spam), así como su grado de cumplimiento normativo respecto de la gestión de los datos de carácter personal.
A este respecto, y como demuestran los diversos estudios realizados, la preocupación por el cumplimiento de la normativa de protección de datos personales representa uno de los principales catalizadores para la adopción de una razonable cultura de la gestión de riesgos de seguridad. La aprobación el pasado 21 de Diciembre del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (LOPD), introduce nuevos retos e incertidumbres en la implantación efectiva de las medidas legales, organizativas y técnicas que exige la normativa.
Durante la Jornada, diversos representantes de la Agencia Española de Protección de Datos desgranarán los cambios existentes en los ámbitos legal y técnico, así como las posibles implicaciones prácticas en las organizaciones españolas. El formato elegido favorece la exposición de problemas particulares de sectores diversos y el intercambio de experiencias entre los distintos responsables del fichero.
2 Programa
9.15 hrs. Recepción de los asistentes.
9.30 hrs - 9.50 hrs. Introducción al Reglamento de Protección de Datos.
Intervención de Artemi Rallo, Director de la Agencia Española de Protección de Datos.
9.50 - 10.10 hrs . Presentación de resultados de la Cátedra de Gestión de Riesgos en Sistemas de Información: barómetro de la seguridad de la información, análisis de riesgos y continuidad de negocio.
Intervención de Fernando Aparicio, Director de la Cátedra de Gestión de Riesgos en Sistemas de Información
10.10 - 10.30 hrs. Diagnóstico de las incidencias, percepción y necesidades de seguridad de la información en las pymes españolas.
Intervención de Pablo Pérez, Gerente del Observatorio de Seguridad de la Información, Instituto Nacional de Tecnologías de Comunicación (Inteco)
Coffee-break. 10.30 - 11hrs.
11 hrs- 12.30 hrs Presentación detallada de las novedades más destacadas del Reglamento de Protección de Datos en los ámbitos legal y técnico.
Intervención de representantes de la Agencia Española de Protección de Datos
12.30 - 14.30 hrs. Turno de preguntas. Al objeto de cubrir el espectro de dudas particulares más amplio posible, se planteará, en formato de mesa redonda, un debate abierto entre ponentes y asistentes sobre aspectos controvertidos en la aplicación práctica del reglamento de protección de datos en los diversos sectores.
La asistencia es gratuita, previa inscripción enviando un email a la siguiente dirección: catedra.riesgos@ie.edu . Plazas limitadas.
5 of Noviembre
En la entrada hacking for dummies (I), se describía el proceso evolutivo de democratización progresiva de la tecnología que ha propiciado un mercado floreciente de malware-kits accesible a todos los niveles de conocimiento y profundidades de bolsillo.
Claro que tampoco necesitamos mucho esfuerzo intelectual para, vía denuncia ante la Agencia Española de Protección de Datos , poner en aprietos a más de un Responsable de Seguridad por el transparente e irreprochable motivo de defensa de mis derechos. A más de una entidad financiera se le ha negociado una bajada de hipoteca con el argumento de "o eso o te denuncio por incumplimiento de los artículos, X, G e Y de la normativa"; las cartas conminatorias exigiendo una "compensación satisfactoria" en estos mismos supuestos son ya una realidad que se convertirá en pandemia en cuanto la Agencia se dé un poco más a conocer mediante, por ejemplo, un par de campañitas de televisión.
Menos mal que el desconocimiento de la normativa no es patrimonio exclusivo de las organizaciones (más de un 90% plantean graves insuficiencias en el cumplimiento de la misma) y que el probo ciudadano no es consciente del arma arrojadiza que, malintencionadamente o no, puede blandir ante bancos, telcos, aseguradoras, etc.
Para cerrar el círculo de prevención, sólo nos queda llamar "hacking por dummies (III)" a una entrada anterior, para involucrar de manera definitiva y pertinaz a los guardianes de la seguridad física.
Perpetradores múltiples a mí....
5 of Noviembre
Via Slashdot we learn about and armed robbery in a Chicago-based datacenter, in a long-expected fear about this type of action being committed...The funny thing is that it was the fourth time in two years!
The "hacking tools" were a power saw and a blunt instrument to strike the night manager.....As usual, the colocation company took longer than desired to give a convincing explanation to their customers, taking several days to admit the breach and being "router failues" the official excuse.
Does someone still doubt the main goal was the information itself ? Maybe the thugs are selling the mainframes in any grey market but most probably the information will be for sale right away.
Reality beats fiction once again. Danny Ocean's got more food for thought for the following sequels, hopefully focused on information robbery?
More about it in The Register
19 of Octubre
Buena noticia la aparecida ayer con respecto a la creación del Servicio de Criminalidad Informática de la Fiscalía del Estado, con el objetivo de combatir un delito que ha crecido desde 51 delitos en 2005 a 135 en 2006, según la propia Memoria de la Fiscalía.
Este incremento se basa en la facilidad para cometer delitos como la pornografía infantil, las infecciones de troyanos, phishing y demás malware, etc. Para abrir boca, en la operación "Santiago", publicitada ayer, se ha detenido a 30 personas, de las cuales se ha pedido prisión para 15, y se ha imputado a 43, todas ellas implicadas en delitos consistentes en descargar e intercambiar imágenes de pornografía explícita de menores (y en algunos casos de producir estas imágenes), por lo que se enfrentan a penas de entre 4 y 8 años de cárcel.
La idea de la fiscalidad es llegar al medio centenar de fiscales, lo que deberá llevar aparejado un movimiento simliar por parte de la Judicatura, siguiente eslabón por remendar. Veremos cómo se las apañan para perseguir los crimenes cometidos desde servidores siberianos, por ejemplo.
No queda sino desearlos la mejor de las suertes, fuerza, coraje y los conjuros que hagan falta, ya que los van a necesitar. En cualquier caso, sin duda un paso en la dirección adecuada.
18 of Octubre
Muchas de los términos de la jerga hacker como script kiddies o lamers hacen referencia a la descripción de actividades altamente peligrosas para la seguridad de individuos y organizaciones sin necesidad de altos conocimientos de programación. En realidad, están proliferando en los últimos años, con máxima intensidad en los últimos meses, kits de hacking (provenientes en su mayoría de Rusia) que hacen de la actividad de intrusión en sistemas ajenos un pasatiempo de fin de semana. Herramientas como Mpack o Shark 2 están detrás de múltiples incidentes de seguridad ocurridos recientemente, como el ataque al Banco de la India, por ejemplo.
Hay dos asuntos especialmente preocupantes al respecto: el primero es la confirmación de que los señores del malware se han dado cuenta de que es más rentable vender empaquetado su software que arriesgarse a acabar en alguna cárcel de Minnesota por actividades ilícitas. Impunidad legal y pingües beneficios mediante el aprovechamiento de su conocimiento.
El otro asunto es la responsabilidad de las webs infectadas, al ser los servidores de la web atacada la correa de transmisión de, por ejemplo, troyanos bancarios. En este caso, ya no hablamos de que, mediante ataques de phishing o pharming, el usuario insensible a estos asuntos cometa un error (bien por morder el anzuelo del phisher o bien por no disponer de una suite de seguridad que impida la actividad del pharmer), sino de que páginas de confianza sufran ataques y se conviertan en foco de infección.
Y que sean los bancos los principales "afectados" es pura ironía plagada de coherencia. Por supuesto, se enfrentan, por tanto, a un problema de confianza difícilmente recuperable entre los verdaderos afectados, sus incautos clientes.
10 of Octubre
Once again, a recent piece of news hit the headlines with another laptop mishap: an unnamed contractor is being blamed for a data breach at Gap that has compromised the data of about 800 000 people who applied for jobs with the US clothing retailer.
Gap said the data had been stored on two laptop computers that were stolen from the contractor's offices. The laptops had information on people who applied for positions at Gap stores, including Banana Republic and Old Navy, between July 2006 and June 2007. This information was supposed to be encrypted but it was not.
The response to the incident, from a PR point of view, has been quick; GAP has set up a Web site to assist those who may have been affected by the breach. Victims are being offered one year of credit monitoring and fraud resolution assistance.
The main conclusion of this ever-growing type of incident is that boundaries of my security perimeter spread the moment I outsource any business functions, (e.g, data processing). Consequently, my security strategy needs to follow suit and be really effective. Otherwise my customers will always claim against my company, no matter which other companies are really involved in the process. Another reason to demand, legally and technically speaking, more safeguards to our outsourcers.
Another conclusion is the convergence between logical and physical security. Which responsible is to blame in this case? The answer is both. Any internal laptop or outsourcers' need to safeguard its information (by encryption and synchronization with central systems prone to be backed up) and physical security should control and register any media coming in or going out of our company.
We'll see many more of these incidentes, for sure.
6 of Octubre
La jornada celebrada el pasado jueves en el marco de la Cátedra de Gestión de Riesgos en Sistemas de Información , sobre Estrategias de Continuidad de Negocio, demostró, a juzgar por el número de inscritos como de asistentes, el creciente interés por parte tanto de directivos IT como de directivos de negocio.
El heterogéneo perfil de los asistentes demuestra, por tanto, que esto del alineamiento entre tecnología y negocioo empieza a ser una realidad palpable en situaciones, como por ejemplo, qué hacer en caso de desastre (incendios, epidemias, terremotos, inundaciones, etc) . Las experiencias prácticas mostradas en la Jornada demuestran que los casos son tanto más exitosos cuanto más involucrado ha estado la Dirección General, no sólo en la supervisión del proyecto sino en su propia elaboración, al incluir a todos los departamentos de la empresa.
Se debatió la respuesta que se ha dado en casos concretos a preguntas como las siguientes:
¿Dónde se presentarán a trabajar los empleados en caso de desastre?
¿Cómo se recibirán las órdenes mientras los sistemas se restablecen?
¿A qué directivo de la organización debo contactar primero?
¿A qué proveedores debo llamar para restablecer el servicio de
suministro?
¿Debe detallar la organización a la prensa lo sucedido?
¿Cuándo una incidencia se convierte en un desastre?
¿Qué coste puede suponer las diferentes alternativas y cual sería el coste de la no-estrategia?
Tanto las presentaciones como los videos de la intervención de los ponentes serán colgados en breve dentro de la web de la Cátedra
6 of Octubre
The same old story says how often legal problems regarding email mismanagement end up in court. However we tend to forget than issuing corporate rules about email management and storage is a legally-binding requirement under Spanish law, for instance.
The revolving conclusion is about General Management non-involvement in tech issues. As managers, we shouldn not care about the specific tool to filter non-authorized outgoing mails, ingoing spam or web navigation but to issue rules for all the organization users about whether the corporate mail can be monitored, for instance. Once again, it is not an IT department competence but a general management's.
Another collateral problem is the trouble to state whether an email has been sent for its user legitimate user, given the extreme easyness to spoof an email address. Any court gets into trouble to judge these facts and to extrat general conclusions, as many contradictory sentences prove.
The progressive use of electronic signature will mitigate this risk in most cases. Although it is not a silver bullet for all identity incidents, at least is the only technology backed by default by a legal framework, which is an obvious advantage.
Where and how long are we storing our email files ? No answer from most companies.
3 of Octubre
Just ask Google about it....the privacy issues raise the most concern in online strategies where an unidentified crowd is involved. The thin line between consent in a private circle falls apart when a picture can be endlessly registered all over the world. This case appeared in Dallas shows how easy is to damage the 15-year-old student image by misusing a casual photograph taken by a friend.
Many companies use unauthorized and copyrighted material more often that they should, which raises the risk of legal complaints and reputation damage. The internal control system should carefully review the images, software modules (such as javascripts, e.g), pictures, etc likely to be legally protected. By way of example, let's think of the liberties taken by some web designers to polish up their web sites with "borrowed" material.
Another major control to be taken into account with due diligence.
12 of Marzo
Aunque tradicionalmente el entorno DRM ha venido muy ligado al control de activos digitales en el mundo audiovisual (ITunes, IRM de Microsoft, etc), resulta muy interesante las posibilidades que ofrece para la protección de la información en el entorno corporativo.
Que, por ejemplo, un archivo digital multimedia sólo pueda escucharlo una vez, o sólo durante un tiempo determinado, o sólo desde un dispositivo determinado es el caballo de batalla de dicha industria, aunque es obvio el interés de su aplicación sobre, por ejemplo, el plan estratégico de la compañía, pergeñado en un simple word....
El artículo completo en: Cinco Días
28 of Febrero
Pues al hilo de la consideración del email como dato personal, una reciente sanción de la Agencia Española de Protección de Datos apostilla la no consideración de Internet como "medio de comunicación" y, por tanto, niega su carácter de fuente accesible al público a cualquier dato personal (por ejemplo, el email) recogido en, pongamos, una página web.
La sanción castiga el envío de 42 direcciones de email en una campaña promocional de telefonía móvil, en el que se copiaba en CC a toda la lista de correos. El simple despiste de no incluir la lista en copia oculta (CCO) puede ocasionar que alguno de los receptores sienta violada su intimidad y denuncie esta infracción ante la Agencia Española de Protección de Datos, que, en este caso, sancionó a la persona encargada del envío.
Lo curioso es que en su defensa la denunciada alegó que "en Internet se pueden encontrar dichas direcciones de correo en diferentes páginas web". La sanción despeja cualquier duda sobre el uso que podemos hacer de los mails recogidos en Internet: ninguno, salvo que dispongamos del consentimiento del interesado.
En este caso, la sanción se fundamentó como infracción del deber de secreto profesional, su grado leve (600 euros). Sin embargo, una interpretación más severa podía haber catalogado el envío como cesión de datos sin consentimiento, con lo que la broma ascendería a 300.000 euros como mínimo.
Lo más divertido del artículo es la conclusión del articulista que detalla la noticia, y cito textualmente "En cualquier caso, la lección que se saca de esta multa es que en ningún momento se debe de copiar en el apartado CC (Copia Carbón) las direcciones de nuestros destinatarios si estamos realizando cualquier tipo de comunicación, que se salga del ámbito doméstico o personal".
Es decir, realicen Vds. spam a mansalva con tal de que los receptores no sepan qué otros incautos padecen sus comunicaciones no solicitadas.....Una cosa es el mantenimiento de la privacidad y otra muy distinta es enviar comunicaciones publicitarias sin consentimiento, actividad perseguida por la LSSI, aunque sancionada dentro del ámbito competencial de la Agencia Española de Protección de Datos.
Conclusión: por mucho que la recomendación de usar el CCO en listado de correos sea una buena práctica para el mantenimiento de la privacidad (y adicionalmente por profilaxis anti-spam, es decir, poner las cosas un poquito más difíciles a los caza-emails), lo importante es asegurar que aquellos a quienes les envío los emails lo han consentido previamente.
Este caso me recuerda mucho a otro más longevo (nada menos que del prehistórico 2001) en el que la compañía farmacéutica Eli Lilly and Co, debido a un error informático, se difundieron los emails de 600 pacientes 600 que se habían registrado para que les recordaran periódicamente la toma de Prozac y diversas prescripciones médicas....Ufff, pues menos mal que les sucedió en EE.UU....
Más información sobre estos dos incidentes que ilustran el coste de los errores de seguridad producidos por el usuario final:
13 of Febrero
An interesting decision of a Californian Court has extended a legal protection designed for ISPs to employers whose workers commit offences using work e-mail and Internet access.
The decision relieves Hewlett-Packard spin-off Agilent of any responsibility for actions carried out by its employees, which, though not carried out on behalf of the company, used the company's infrastructure. An Agilent employee sent and posted threatening messages directed against employees of another company, Varian, using work-provided e-mail and Internet access.
It seems different legislations are following the responsability exemption path established for ISP's.
Full report available in http://www.out-law.com/page-7728
28 of Enero
The news about detectives hacking into computers in British Prime Minister Tony Blair's offices, as they searched for evidence in the probe into alleged party political corruption, has set off all the alarms on the official authorities Internet abuse to breach any privacy, including Prime Minister's.
According to some British media, there are strong suspicions that Metropolitan Police gave permission to detectives to use all legal means to find out whether anything was being withheld, given the "very slim" pile of documents they received from the political parties.
Obviosly, no court had authorized the hacking or being informed about this illegal activity. Is this British present and our impending future? We'd better be scared....
14 of Enero
Although it is one of the pillars of any information security program, most organizations lack the existence of a data classification scheme. This consists in assigning both a level of sensivity and an owner to each document, memo, report, letter, etc of the organization. The main advantage is not only to provide the most critical information of the company with the strongest controls (another practical application of risk analysis) but also defining the security clearance of individual or groups authorized to access the classified information.
Once again, this definition implies management involvement and leadership (so that the CISO efforts don't go wasted) not to treat all information just the same. We cannot apply the same security measures to every piece of information, which would lead to innecessary restrictions and loss of information security personnel efficiency.
Several methodologies provide the organizations with guidelines to classify information (e.g, Magerit, in Spain), although common sense is enough to single out a few points (secret, confidential, public, etc) to establish a simple data classification set of criteria.
In practice, the development of this shemes faces quite a few challenges: the end user has to be awared of and trained about data classification; if most users are ignorant of basic information security rules, any effort to implement this scheme, all the more since it is an ongoing process, will be a waste of time and money. The employees need to know how and when to classify the information, so that the simplest the data classification scheme is, the better.
Another major factor is the cost: the definition, implementation and training expenses will likely to join the acquisition of a software tool to grant restricted access depending of the sensitivity levels (e.g, DRM tools). As it usually goes with information security, it is not easy for management to justify these efforts as a necessary part of doing business, when they do not directly lead to revenue generation.
Therefore, when will a data classification will be in the pipeline? Most probably the moment it becomes a regulatory compliance issue: in US, healthcare and financial firms are already required by law to classify data. To say, another junction between management commitment, technology and law.