Ir al contenido principal

La normativa interna de uso de recursos informáticos y de comunicaciones (I)

Noticias como ésta: http://www.iustel.com/v2/diario_del_derecho/noticia.asp?ref_iustel=1042217, nos dan una idea de lo importante que para una organización es establecer una normativa interna sobre el uso de los recursos informáticos y de comunicaciones, e implantar las medidas de índole técnico necesarias para velar por su cumplimiento por parte de los usuarios.

Estas situaciones son mucho más frecuentes de lo que podría parecer. Otro ejemplo de una situación muy similar fue la sanción de 150.000 Euros impuesta a un centro médico de Bilbao por dejar disponibles en la red 11.300 historias clínicas, algunas de ellas (un porcentaje bastante significativo) correspondientes a interrupciones de embarazo. En este caso, como en el anterior, los datos también quedaron a disposición del público a través de la utilización del programa eMule.

Estos dos casos tienen una especial relevancia desde el punto de vista de la protección de datos de carácter personal porque se divulgan datos muy sensibles (hay otros casos muy similares), pero se pueden citar otros muchos, que tienen que ver de forma directa con la protección de datos de carácter personal, y también otros en los que se deja a disposición de cualquier persona otro tipo de información confidencial de las empresas.

Todos estaremos de acuerdo en que la información constituye un activo estratégico de las organizaciones, ya que de ella depende en gran medida la propia continuidad del negocio, pero es que, además, la divulgación de información confidencial puede acarrear muy diversas consecuencias, algunas de ellas traducibles directamente a pérdidas económicas, y otras, aunque difícilmente cuantificables en este sentido, también con un indudable impacto económico (tales como: pérdida de ventajas competitivas – filtración de clientes, características de productos/servicios, ofertas,… – , pérdida de credibilidad o confianza, etc.), además de las posibles sanciones en el caso de que se vean involucrados datos de carácter personal (como en el citado caso del centro médico de Bilbao).

Por otra parte, la utilización inadecuada de los recursos informáticos y de comunicaciones por las personas que integran una organización puede, además, tener otros efectos igualmente dañinos con respecto a las otras dos vertientes que se consideran tradicionalmente en los proyectos de seguridad, es decir, tanto sobre la integridad de los datos como sobre la disponibilidad de la información.

Por ejemplo y referido a la integridad de los datos, todos sabemos que una utilización inapropiada del correo electrónico o la descarga de archivos desde sitios web no confiables son una de las vías más frecuentes de infección por virus y por otro tipo de software malicioso.
Mientras que en lo que se refiere a la disponibilidad de la información, prácticas como la descarga de archivos muy voluminosos (películas, etc.) o el envío masivo de correos electrónicos pueden comprometer el rendimiento de los sistemas e, incluso, llegar a su indisponibilidad por sobrecarga de los mismos.

Por todo ello, desde mi punto de vista, se hacen imprescindibles, tanto la sensibilización y formación a los usuarios sobre los riesgos que conlleva una utilización inadecuada de los recursos informáticos y de comunicaciones que la organización pone a su disposición, como el establecer una normativa clara sobre el uso de dichos recursos e implantar las medidas técnicas pertinentes para velar por su cumplimiento (monitorización de los sistemas, filtrado de páginas web accesibles y de los tipos de archivo que se reciben como anexos a los correos electrónicos, imposibilitar la modificación de la configuración de los sistemas y la introducción de elementos extraños, tanto hardware como software, etc.).

Esta normativa, además de considerar otra serie de aspectos (uso de los medios para fines no profesionales, etc.), deberá advertir también de las consecuencias que para el trabajador podría suponer su incumplimiento.

Dicho todo lo anterior y ya que este post lo he iniciado haciendo referencia a casos concretos relacionados con la protección de datos de carácter personal, me gustaría terminar con una breve reflexión sobre el valor añadido que puede aportar a las organizaciones el acometer un proyecto de adecuación a la LOPD (“preguntas del millón” que nos hacen los clientes. Pero, ¿esto para que sirve?. Lo tengo que hacer porque lo dice la Ley, ¿No?, ¿Vale con que parezca honrado o, además, debe serlo?).

Pues bien, en mi opinión, a parte de otros aspectos (implantar y sistematizar determinados procesos - identificación y autenticación, control de accesos, gestión de incidencias, inventariado de recursos, etc. - para la mejora en la gestión de los sistemas e infraestructuras), un proyecto de LOPD debería servir como base de un proyecto de seguridad de la información en sentido más amplio, es decir, tanto para la sensibilización y obtención del compromiso de los usuarios sobre la seguridad de TODA la información manejada por la organización, como para establecer "las reglas de juego" respecto a la utilización de los recursos y la implantación de las medidas tendentes a preservar dicha seguridad o, al menos, a mitigar los riesgos a los que la información se encuentra expuesta.

Comentarios

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im