jueves, 7 de junio de 2012

Auditorías sobre seguridad informática y protección de datos en el marco de los grandes fallos ocurridos en las empresas

En un entorno cada vez más cambiante y  con unas tecnologías de la información cada vez más avanzadas y complejas, las empresas deben adaptarse a todos los cambios que se producen en ellas, si no quieren perder su posición competitiva.
Por ello, todos los sistemas que se manejan en las empresas, deben ser correctamente aplicados y controlados, con el fin de evitar fallos que pudieran desencadenar en graves problemas.
El Real Decreto 1720/2007 , Reglamento de desarrollo de la LOPD, dice en su artículo 96:
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título”
Aun así, las empresas deberán valorar las alternativas de elaboración de la auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:
“Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.”
No obstante y a pesar de lo anterior, las compañías que más riesgos tiene son aquellas en las que utilizan servicios que salen al exterior, tales como conexiones VPN, mails, conexiones bluetooth, éstas serian realmente las empresas mas vulnerables a sufrir algún tipo de agresión.

En nuestra sociedad, existen ejemplos claros de la vulnerabilidad en la seguridad, como los siguientes:

  •  Hotmail  quien  cometió un fallo de seguridad, que comprometió  a miles de usuarios. Los ‘hackers’ consiguieron el acceso a las cuentas en menos de 1 minuto y además publicaron en foros la forma de hacerlo. Hotmail tuvo que solucionarlo rápidamente, enviando  correos  a los  usuarios para restablecer sus contraseñas debido a la filtración sometida. Esto generó muchas altas en el servicio de Gmail durante esos días y sus correspondientes perjuicios para la Compañía de Bill Gates.
 
  • Otro ejemplo fue el lanzamiento del Google Street View, servicio que permite ver lugares de todo el mundo desde el propio ordenador, y no sólo eso, los usuarios podían ver sus propios coches, casas e incluso a ellos mismo.  Por ello y después de haberse presentado una demanda ante la Agencia Española de Protección de Datos por fotografiar y publicar sin permiso imágenes de casas, coches y personas, denuncia pendiente de sentencia judicial a fecha de hoy. Aun asi Google, ha mejorado su política de protección de datos y privacidad para no caer de nuevo en el mismo error.

  • Linkedin, sufrió ayer mismo una filtración de sus sistemas, que comprometió contraseñas de muchos usuarios. Linkedin  envió correos electrónicos a aquellos miembros cuyas contraseñas fueron afectadas explicándoles cómo cambiarlas, pues las anteriores ya no les permitirán acceder.
La auditoria además de comprobar que las medidas tomadas por la empresa coinciden con lo que determina la LOPD, es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en un área tan sensible para cualquier empresa como es la protección de datos.

Fuentes texto e imágenes:

4 comentarios:

Anónimo dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

Este artículo refleja unos de los problemas que atraviesan las empresas para adaptarse a la era digital 2.0 en sus negocios, en un mundo globalizado en la que tanto la empresas como los usuarios están más interconectados entre ellos, esto supone una ventaja pero también un peligro sino se está correctamente adaptado a los continuos cambios que se producen. Para su control son necesarias la realización de auditorías adaptadas a estas cuestiones así como de controles internos cada vez más comunes en las empresas que supervisen y salvaguarden el correcto sistema de gestión de información que se manejan en ellas

Irene S. dijo...

Un post muy interesante. Estoy totalmente de acuerdo contigo en que la seguridad informática es uno de los problemas de la nueva "era digital". Sin duda las empresas deben tener un complejo sistema de seguridad que no sea vulnerable y que vigile tanto la información que sea posea como aquellos datos personales que les confiamos. Habría que comunicar a la empresa que un sistema no es más seguro porque se escondan los defectos que pueda tener, sino porque sean conocidos y corregidos
estableciendo las medidas de seguridad adecuadas.

Fernando Ávila dijo...

Estoy totalmente de acuerdo con lo que expone esta entrada. La mayoría de la gente no es consciente de que internet entraña un gran peligro para sus datos personales. Las empresas que gestionan su información personal no ponen los medios adecuados para proteger la misma. Normalmente es mucho más barato incluir clausulas en los contratos de términos de prestación del servicio que la mayoría acepta sin ni siquiera mirar que mantener a un equipo de ingenieros velando 24horas por la seguridad de los sistemas. Además, los servicios como facebook, linkedin, hotmail, etc que arrancan sin fama alguna (ni beneficios económicos dicho sea de paso) y de la noche a la mañana se ven desbordados por la altísima demanda no se plantean poner a salvo la seguridad de la información de sus clientes hasta que pasan por una primera crísis y ello les supone la baja de usuarios y la vergüenza a nivel mundial saliendo como noticia de portada en todos los telediarios. El caso más sangrante para mi gusto es el de Whatsapp que hasta ni hace un año no encriptaba los mensajes enviados por medio de su sistema, lo que dejaba al alcance de cualquier usuario con cierta experiencia que compartiese la red con un terminal móvil que estuviese haciendo uso de dicho programa el contenido de las conversaciones. Recordemos que a día de hoy muchas empresas de prestación de servicios comienzan a incorporar whatsapp como aplicación en los terminales móviles de sus empleados para mejorar la propia comunicación dentro de la empresa.