Conexiones 56: la web del GDT

GDT son las siglas del Grupo de Delitos Telemáticos de la Guardia Civil. En su sitio web, además de denunciar delitos informáticos, se pueden consultar consejos de seguridad para usuarios de Internet, PYMES, comercio electronico, pequeños internautas y padres.

Disponen así mismo de una sección de noticias y otra de seguridad tecnológica.

http://www.gdt.guardiacivil.es/

También están en Twitter con el usuario @GDTGuardiaCivil.

Incorporado ya su RSS a las fuentes de este blog, en las siguientes ediciones de Noticias LOPD iremos enlazando lo más interesante.

El porqué de Conexiones - Serie completa

Uso de TIC y del Comercio Electrónico en las empresas

Se han publicado los resultados del estudio que con carácter anual realiza el Instituto Nacional de Estadística (INE) sobre el uso de TIC y del Comercio Electrónico en las empresas.

El 97,2% de las empresas españolas de 10 ó más asalariados dispone de conexión a Internet. Además, el uso de ordenadores está extendido en la práctica totalidad de estas empresas (98,6%).

En lo que se refiere a las comunicaciones electrónicas, un 96,5% de empresas dispone de correo electrónico y en un 91,5% está implantada la telefonía móvil. Un 45,0% se comunica a través de intercambio electrónico de datos.

El 63,9% de las empresas con conexión a Internet dispone de sitio/página web. En las que cuentan con 250 ó más asalariados, este porcentaje se eleva hasta el 91,1%.

Por otro lado, un 19,4% de las empresas tienen empleados que trabajan fuera de sus locales de forma regular (al menos media jornada semanal), y se conectan a los sistemas de TIC de su empresa mediante redes telemáticas externas. Esta cifra supone un incremento interanual del 19,7%.

Disponibilidad y uso de página web

El 63,9% de las empresas españolas con conexión a Internet dispone de página web, lo que supone un incremento del 8,5% respecto al año anterior.

El 91,0% de las empresas utilizan su página web para darse a conocer, mientras que un 58,3% lo hace para facilitar el acceso a catálogos y listas de precios.

Seguridad en las TIC

Una de cada tres empresas define una política de seguridad en las TIC con un plan de revisión regular.

Los principales incidentes que sufrieron las empresas relacionados con sus sistemas TIC fueron: problemas de funcionamiento de los servicios TIC debido a fallos del software o del hardware (19,1%) y la destrucción o alteración de la información debido a virus o acceso no autorizado (11,1%).

Los sistemas internos de seguridad más utilizados fueron la autenticación mediante contraseña segura (61,8%), el backup de datos externo (43,5%) y protocolos para el análisis de incidentes de seguridad (18,8%).

Negocios Electrónicos (e-Business)

El 45,0% de las empresas realizan intercambio electrónico de datos con otros sistemas TIC externos. Los mensajes intercambiados con más frecuencia son el envío de instrucciones de pago a entidades bancarias (74,0%) y el envío o recepción de información sobre productos (63,1%).

Una de cada seis empresas comparte información electrónicamente con proveedores y clientes sobre la cadena de suministro. El 80,8% de estas empresas comparte información sobre el estado de envíos con sus proveedores y el 65,4% con sus clientes.

En cuanto a la implantación de sistemas de negocio electrónico, un 22,5% de las empresas declara utilizar herramientas informáticas ERP (Planificación de Recursos Empresariales) para compartir información electrónicamente entre sus distintas áreas. Por su parte, un 28,6% dispone de aplicaciones CRM (Administración de la Relación con los Clientes) para gestionar la información sobre clientes.

Ventas por comercio electrónico

En el año 2009 el 13,1% de las empresas realizaron ventas mediante comercio electrónico. Las ramas de actividad con mayor porcentaje de empresas (calculado sobre el total de empresas de la rama) que realizaron ventas a través de comercio electrónico fueron Servicios de alojamiento (66,8%) y Agencias de viaje y operadores turísticos (42,2%).

El volumen de negocio generado por estas ventas alcanzó los 168.864,1 millones de euros, con un incremento interanual del 5,3%.

Las ventas a través de comercio electrónico representaron el 11,5% del total de ventas efectuadas por las empresas españolas. El 88,9% de las ventas por comercio electrónico tuvieron como destino las empresas (Business to Business, B2B). Por su parte, el porcentaje de ventas a consumidores finales (Business to Consumer, B2C) fue del 9,2%, mientras que las ventas con destino a la Administración Pública (Business to Government, B2G) aglutinaron el porcentaje restante.

Por canal utilizado, el 77,1% de las empresas vendió mediante intercambio electrónico de datos y el 22,9% a través de un sitio/página web.

Uso de las TIC en las empresas de menos de 10 asalariados

El 66,2% de las empresas de menos de 10 asalariados dispone de ordenadores y el 22,9% tiene instalada una Red de Área Local (LAN).

En cuanto al uso de Internet, el 58,1% de las empresas pequeñas dispone de acceso a Internet, lo que supone un incremento del 3,9% respecto a enero de 2009. El 94,3% de las empresas con conexión a Internet acceden mediante alguna solución de Banda ancha.

El 55,3% utiliza el correo electrónico, mientras que el porcentaje de empresas con menos de 10 asalariados usuarias de telefonía móvil alcanza el 66,3%.

En cuanto a la presencia en la Red, el 25% de las empresas con conexión a Internet dispone de página web, con un incremento del 14,1% respecto a enero de 2009.

Más información:

• Nota de Prensa
• Resultados detallados

¿Realmente te preocupas por la privacidad?

Un artículo en el blog de Seth Godin, Do you actually care about privacy?, apunta alguna de las tendencias que parecen asomar en el comportamiento de las nuevas generaciones digitales.

¿Realmente te preocupas por la privacidad?

No estoy seguro de que lo hagas.

Si te preocuparas por la privacidad no tendrías tarjeta de crédito, porque, después de todo, saben todo en lo que gastas dinero. Y no usarías el teléfono, porque en algún lugar hay un ordenador escaneando lo que dices.

Lo que más nos preocupa a la mayoría es ser sorprendidos. No quieres que la compañía de tarjetas de crédito te siga la pista y si compras flores para alguien con quien no estás casado te envíen luego un cupón gratuito para las pruebas de enfermedades de transmisión sexual, ¿verdad? Incluso si se trata de un buen cupón y sabes que lo necesitas. No, no quieres eso porque no quieres que te sorprendan.

Lo que mucha gente lamenta sobre la privacidad y Facebook es que la compañía siempre ha tomado la posición de que la privacidad no se debe asumir. Claro, ellos han manejado mal algunas de sus comunicaciones con los usuarios y las presentaciones de novedades, pero, en el fondo, ofrecen la religión de ninguna privacidad, y como resultado toda una generación o dos está dispuesta a crecer en público. Sólo estamos ansiosos de no ser sorprendidos por el camino.

Me parece un artículo un tanto optimista. Dudo mucho que los usuarios de tipo "exhibicionista" de redes sociales hayan reflexionado hasta llegar la conclusión de que quieren "crecer en público". Más bien me recuerdan a los simples que practican esa estúpida moda de tirarse desde un balcón a la piscina de un hotel.

Hasta que se estrelle uno...

Noticias LOPD 47

Noticias y artículos de los últimos días en el ámbito de la protección de datos y la seguridad de la información:

• El riesgo de los PenDrives, en Seguridad y Gestión
• Google despide a empleado por espiar información de usuarios, en Alt1040
• Qué es la sobresuscripción en el cloud computing, en Nubeblog
• El fraude te busca, te persigue y evoluciona contigo, en Security by Default
• Seguridad TIC, en OpinIT's Blog
• No hay nadie que nos quiera atacar, en Security Art Work
• Una inmobiliaria debe pagar 60.101 euros por dar datos de una clienta, en La Opinión Tenerife
• Tu intimidad está en venta, en Público
• En la Internet de hoy, lo único casi secreto de las personas es su nombre, en WSJ
• Privacidad en Internet: llega la “cookie eterna” que es casi imposible de borrar del navegador, en lainformacion.com

Red global de vigilancia de la privacidad

Las Autoridades de Protección de Datos de Canadá, Francia, Nueva Zelanda, Israel, Australia, Irlanda, España, Reino Unido, Italia, Países Bajos, Alemania y Victoria (Australia), y la Comisión Federal de Comercio de Estados Unidos, se han unido para constituir la “Red global de vigilancia de la privacidad” (“Global Privacy Enforcement Network”) –GPEN-, con el objetivo de facilitar la cooperación transfronteriza en el control y vigilancia del cumplimiento de las normas de privacidad.

Los trece organismos integrantes han destacado la importancia de que las autoridades encargadas de velar por la privacidad a escala nacional conozcan otros regímenes normativos, y las posibilidades de cooperación entre paises.

Más información:

• Nota de prensa de la Agencia Española de Protección de Datos (AEPD)
• Sitio web "Global Privacy Enforcement Network"

Un caso de tecnosis: el vendedor que desmontó un teléfono

He contado en muchos cursos de ventas este relato cuando algún vendedor tenía un ansia excesiva en demostrar todo lo que sabía. Aparece en el libro Las cinco grandes reglas de la venta (Percy H. Whiting, 1958).

Había una vez un buen vendedor de aparatos telefónicos que viajaba por todo el país vendiendo dichos aparatos más de prisa de lo que su compañía podía fabricarlos.

-Dime el secreto de tu éxito -le pidió un día un amigo que vendía aspiradoras.

El vendedor de teléfonos se puso a reflexionar y llegó a la conclusión de que no tenía secreto alguno.

-Me limito a explicar que los teléfonos permiten hablar con los amigos sin levantarse de la cama -dijo-, y por muy poco dinero.

El vendedor de aspiradoras soltó una carcajada.

-Es la argumentación de ventas más tonta que conozco -exclamó-. ¿Ni siquiera les dices a los clientes cómo funciona el teléfono?

-Es que no sé cómo funciona -confesó el vendedor de teléfonos. Ni que decir tiene que su amigo se desternillaba de risa.

Aquella noche, el vendedor de teléfonos decidió desmontar uno. En poco tiempo se interesó tanto por lo que descubrió, que se fue a una librería y compró varios libros dedicados a explicar el funcionamiento del teléfono. Descubrió que la llamada más sencilla debía pasar por una central en la que había 24.835 conductores. Se enteró de cómo funcionaba el sistema automático y aprendió que, sólo en el estado de Massachusetts, hay 92 millones de millas de cables telefónicos. Después de haberse aprendido bien todo esto, salió de nuevo a la calle dispuesto a vender más teléfonos.

-El teléfono es un aparato extraordinario -dijo el vendedor en la primera casa en la que entró-. Sólo para producir nuestro amplificador número 2 fue necesario que trabajaran en ello varios laboratorios con 43 ingenieros durante años.

-Tengo otras cosas qué hacer -le contestaron.

-Sin duda no tantas como la Alpha Home Company -replicó el vendedor-. Dicha empresa dedica cada semana miles de horas sólo a inspeccionar las piezas metálicas de los conmutadores de interconexión.

-Cuando quiera saber cómo funciona una compañía telefónica ya le llamaré -contestó el ama de casa, empuñando la escoba y echando al vendedor.

MORALEJA: El mejor argumento de ventas consiste en decir el servicio que el producto ofrece a quien lo usa.

Como casi todo cuento de este tipo que se usa para ilustrar una tesis, tiene algo de caricatura exagerada, pero no deja de ser cierto que las explicaciones innecesarias pueden arruinar cualquier discurso de ventas.

La próxima vez que sientas la tentación de explayarte en exceso con un cliente, recuerda al vendedor que desmontó un teléfono.

3ª Sesión Anual Abierta de la AEPD

Se ha anunciado ya la convocatoria de la 3ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD), a celebrar el 20 de octubre de 2010 en la Universidad Complutense de Madrid (Facultad de Medicina - 2ª planta - Gran Anfiteatro Ramón y Cajal).

El programa incluye la presentación de una nueva guía sobre Protección de Datos en la Administración Electrónica.

Para inscribirse:

Yo ya he confirmado mi asistencia.

RFID: vigilancia en tu bolsillo

Ya hemos comentado los riesgos para la privacidad de las etiquetas RFID, así como los usos y oportunidades de este tipo de tecnología. En este reportaje del sitio de noticias RT se exponen ambos lados de la balanza.

Conexiones 56: Servicio público gratuito de INTECO

INTECO ha presentado un servicio de ayuda gratuita ante problemas de seguridad de la información (infecciones del ordenador por virus, ataques a webs o redes, phishing, etc.). Ofrece ayuda gratuita a usuarios y empresas a través de la cuenta incidencias@cert.inteco.es, gestionada por un equipo humano y técnico especializado en el análisis y gestión de problemas e incidencias de seguridad.

Cada vez son más los usuarios y las empresas que toman medidas para proteger los sistemas de información de su negocio ante ataques tanto externos como internos. Aun así, todos los días se producen incidentes que afectan a la integridad, confidencialidad y disponibilidad de la información.

En este sentido, INTECO-CERT ofrece asistencia y soporte gratuitos ante incidentes de seguridad de la información como pueden ser códigos maliciosos (virus, troyanos, etc.), fraude electrónico, robo de información electrónico, ataques de denegación de servicio o suplantación de identidad electrónica, entre otros. Éstos pueden ser remitidos a la cuenta de correo citada  o a la siguiente web: Gestión de incidentes de seguridad de la información de INTECO-CERT.

Para poder hacer uso del servicio de gestión de incidencias, es necesario ser usuario registrado en el portal de INTECO con perfil PYME (PYMEs o autónomos).

El porqué de Conexiones - Serie completa

La larga cola LOPD

Dos comentarios en la referencia a los dos millones de bases de datos inscritas en el RGPD me dejaron esta nota ya preparada.

La larga cola (The Long Tail, en el original inglés) es un concepto creado por Chris Anderson en un artículo de la revista Wired (octubre 2004) para describir algunos de los nuevos modelos económicos generados por el desarrollo de las nuevas tecnologías y en especial Internet. De forma muy resumida, la teoría explica que debido a la enorme reducción de costes en el almacenamiento de productos gracias a las nuevas tecnologías, una empresa ya no tiene que depender de unos pocos productos que se venden mucho (superventas) sino que puede basar buena parte de su éxito en muchos productos que se venden poco (ejemplo típico: Amazon).

En realidad se trata de un modelo de distribución estadística que puede también aplicarse a otros órdenes, como por ejemplo la LOPD.

Como decían los comentaristas, con la nota de prensa de la AEPD en la mano nos encontramos con 2 millones de bases de datos que corresponden a algo más de 700.000 responsables de fichero, entre las cuales se encuentran la mayor parte de las empresas más grandes del país y por tanto las que tienen mayor cantidad de registros de datos personales en sus ficheros. Sin embargo, cuando comparamos la cifra con la del total de empresas según el INE (más de 3 millones, casi todas con datos personales, y sumando además comunidades de propietarios, asociaciones profesionales, administración pública, etc.) nos encontramos con la larga cola LOPD: millones de responsables de pequeños ficheros que aún no han dado ni siquiera el pequeño, sencillo y gratuito primer paso en su cumplimiento LOPD como es dar de alta los ficheros.

Verdaderamente queda muchísimo por hacer.

I encuentro CEOE sobre protección de datos en la economía digital

El martes 14 la Asociación Española de la Economía Digital (adigital) organizó el I encuentro CEOE sobre protección de datos en la economía digital como continuación de las actividades que adigital ha venido realizando desde la Presidencia del Grupo de Trabajo de Protección de Datos de CEOE en los últimos meses.

El orden del día anunciaba dar a conocer, en primer lugar, las consecuencias y efectos de las recientes sentencias que han anulado algunos de los artículos del Reglamento de Protección de Datos y el planteamiento de un cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, como consecuencia del recurso interpuesto por adigital, así como informar sobre una serie de aspectos relacionados con la protección de datos en el ámbito de las empresas, para lo que se contaba con la intervención a lo largo del encuentro de distintos representantes de la Agencia Española de Protección de Datos (AEPD).

Respecto a las sentencias del TS, el equipo jurídico de adigital pidió que durante el periodo interino, hasta la resolución del tribunal europeo, la AEPD las tenga en cuenta siendo más flexible con el concepto del "interés legítimo" a la hora de considerar legal un tratamiento de datos personales.

A una pregunta directa de Elena Gómez del Pozuelo (Presidenta de adigital) acerca de los procedimientos sancionadores actualmente en marcha y de los ya sancionados, la respuesta respecto a estos ultimos es que no se puede dar marcha atrás sobre lo ya resuelto, mientras que en los primeros casos aconsejaron mantener "vivos" los recursos, alegando precisamente a las cuestiones pendientes de resolución, siempre y cuando el interés legítimo alegado no vulnere derehos fundamentales.

Se trataron otros asuntos, como se puede ver en el orden del día, siendo el más interesante sin duda la presentación de Ricard Martínez acerca de la utilización de las redes sociales por parte de las empresas (amplio resumen en Ayuda Ley Protección Datos).

La clausura del evento corrió a cargo de Artemi Rallo (Director de la AEPD) y Juan Pablo Lázaro (Presidente Comisión I+D+i de CEOE).

Campaña informativa de la APDCM en hospitales públicos

La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) inicia una campaña de concienciación sobre los derechos de los pacientes en relación al tratamiento de sus datos en la sanidad pública madrileña.

Se distribuirán más de 1.000 carteles entre los 32 hospitales públicos, 257 centros de salud y 158 consultorios locales y, solo en atención primaria, serán vistos por más de 200.000 personas todos los días.

En los carteles se incorpora la información esencial sobre los tratamientos de datos personales que llevan a cabo los centros sanitarios, el responsable de los mismos, el uso y finalidades para los que se pueden utilizar, las cesiones que se pueden realizar y el deber de secreto al que están sometidos todos los profesionales, sanitarios y no sanitarios, que prestan sus servicios en el sistema sanitario madrileño.

Igualmente, se informa a los pacientes del derecho que les asiste a conocer la información referente a ellos que se trata en el centro sanitario así como a obtener copias de los documentos contenidos en los ficheros tales como resultados de pruebas e informes. Este derecho lo podrán ejercer dirigiéndose al Servicio de Atención al Paciente o al personal administrativo del centro.

Esta campaña de la APDCM es el último desarrollo de una acción continuada de esta institución encaminada a promover la formación de los profesionales sanitarios y la concienciación de las personas que son atendidas por la sanidad madrileña. Con anterioridad, se habían distribuido carteles generales sobre protección de datos, un folleto sectorial con información sobre protección de datos de salud para los usuarios de los servicios sanitarios y se editaron y distribuyeron dos publicaciones especializadas (Guía de Protección de Datos para Servicios Sanitarios Públicos en el año 2004 y Protección de Datos Personales para Servicios Sanitarios Públicos en el año 2008).

Además, la Agencia lleva a cabo una continua e intensa labor de consultoría y formación presencial en los centros sanitarios a la que hay que añadir la celebración ya de seis ediciones de la Jornada de Protección de Datos Sanitarios (a las que han asistido centenares de personas en cada ocasión) y, en el último año, la oferta de un curso de formación virtual en el que se inscribieron más de 1.200 personas en su primera convocatoria y a través del cual se espera formar a más de 800 personas en su primer año de vida.

Dos millones de bases de datos inscritas en el RGPD

La Agencia Española de Protección de Datos (AEPD) ha hecho pública una Nota de Prensa (PDF) en la que anuncia que se han superado los dos millones de bases de datos inscritas por empresas y organismos públicos en el Registro General de Protección de Datos (RGPD).

Los puntos más destacados del comunicado:

• La cifra de ficheros inscritos por empresas y organismos públicos en los ocho primeros meses del año ha sido de 439.832, cifra que supera al total de los registrados en 2009 (380.177).
• Las comunidades de propietarios son el sector con mayor número de notificaciones, acumulando la cifra de 241.000 ficheros, seguido del comercio con 212.761.
• En relación a la finalidad de los ficheros registrados, la videovigilancia sigue su crecimiento de manera notable y aumenta en casi 23.000 en 2010 nuevos ficheros, alcanzando un total de 60.239.
• Más de 729.000 entidades han inscrito sus bases de datos en el RGPD, una de las principales obligaciones legales que prevé la LOPD.
• Por comunidades autónomas, Cataluña, Madrid y Andalucía son las regiones que mayor número de ficheros ha notificado.
• El trámite de inscripción de ficheros en la AEPD es totalmente gratuito y puede realizarse en la Web de la institución mediante el sistema “NOTA”.
• La Agencia Española de Protección de Datos (AEPD) ha alcanzado en el mes de agosto la cifra de 2.002.931 ficheros con datos de carácter personal inscritos en el Registro General de Protección de Datos, de los que 439.832 han sido inscritos en los ocho primeros meses del año 2010, cifra que supera el total de ficheros inscritos en 2009 (380.177).

Entre los sectores con mayor actividad en la inscripción de ficheros, destacan los relacionados con la pequeña y mediana empresa y autónomos (comercio, turismo y hostelería); el sector inmobiliario (comunidades de propietarios y construcción), y el sector sanitario (sanidad y farmacia). Jerárquicamente destaca principalmente el número de bases de datos inscritas por las comunidades de propietarios, que ya ha superado la cifra acumulada de 241.000 ficheros registrados, y ha registrado un crecimiento en 2010 superior al 23%. En segundo lugar se encuentran las notificaciones realizadas por el sector del comercio que cuenta con 212.761 ficheros, y que aumenta asimismo por encima del 24% respecto al año anterior. En tercer lugar se sitúa el sector sanitario con 154.004 ficheros inscritos, seguido de las actividades de auditoria, contabilidad y asesoría fiscal, que cuentan con 108.872.

Con respecto a la finalidad por la cual se inscriben los ficheros, es destacable el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia. Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 60.239 ficheros, de los cuales 22.820 ficheros han sido inscritos en los ocho primeros meses de 2010. Asimismo, cabe destacar que los sectores de comercio (12.530) y turismo y hostelería (7.398) son actualmente los que mayor número de ficheros de videovigilancia notifican, seguidos de las comunidades de propietarios que se perfilan, cada vez más, como uno de los ámbitos en los que la videovigilancia tiene mayor presencia.

Titularidad de los ficheros

En cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones de ficheros inscritos en el registro, 104.443 de ellos son de titularidad pública y 1.898.488 son de titularidad privada habiendo sido inscritos por más de 729.000 entidades hasta la fecha, cumpliendo así con una de las obligaciones legales que se prevén en la Ley Orgánica de Protección de Datos (LOPD).

Por comunidades autónomas, Cataluña (382.370), Madrid (277.703) y Andalucía (264.431) son las regiones que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia.

Cumplimiento de la obligación legal de notificación

La LOPD obliga a todos organismos y entidades públicas y privadas a dar de alta sus ficheros que contengan datos de carácter personal (por ejemplo: ficheros pacientes, asociados, fichero nóminas, fichero clientes, etc.) en el Registro General de Protección de Datos, con el objetivo de que los ciudadanos puedan conocer quien trata sus datos y ejercer los derechos acceso, consulta, rectificación, oposición y cancelación de sus datos personales recogidos en ficheros. La AEPD cuenta para tal fin con un catálogo de ficheros de titularidad pública y privada, inscritos en el RGPD, que se actualiza mensualmente, y cuya consulta esta disponible en la página Web de la Agencia, www.agpd.es.

El trámite de inscripción de los ficheros en el Registro General de Protección de Datos es totalmente gratuito, y para ello la AEPD tiene a disposición de todos aquellas entidades obligadas el formulario electrónico NOTA (titularidad pública y titularidad privada), a través del que deberán efectuarse las solicitudes de inscripción de ficheros. Este formulario permite la presentación de notificaciones a través de Internet, con y sin certificado de firma electrónica, y presentación en soporte papel. Asimismo, permite notificar de forma simplificada y precumplimentada los ficheros de titularidad privada de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia, y los de titularidad pública de recursos humanos, gestión del padrón, gestión económica o control de acceso.

Gestión de contraseñas

En la Sociedad de la Información actual, las contraseñas son el primer nivel para proteger el acceso a diferentes recursos personales, tanto los alojados en redes locales como online. Por ello, también son un objetivo deseado por los atacantes, quienes utilizan métodos cada vez más sofisticados y certeros para la obtención de estas claves.

Frente a estos ataques, los programas de gestión de contraseñas proporcionan un cifrado fuerte de forma cómoda y aportan diversas funcionalidades, como la creación aleatoria de contraseñas, su almacenamiento y utilización de forma segura. Todo ello sin la necesidad de recordar todas y cada una de las claves personales.

En el presente artículo se aborda esta problemática, y se ofrecen recomendaciones para crear y gestionar correctamente las contraseñas.

Este artículo se enmarca dentro de la serie “Cuaderno de notas del Observatorio” de INTECO.

Gestión de contraseñas (398 KB)

Luego puedes comprobar en Herramientas para comprobar el nivel de seguridad de tus contraseñas.

Campaña conjunta APEP - Agencia Vasca de Protección de Datos

 La presidenta de la Asociación Profesional Española de Privacidad (APEP), Belén Cardona, y el director de la Agencia Vasca de Protección de Datos (AVPD), Iñaki Vicuña, han llegado a un acuerdo con el fin de colaborar en la promoción y divulgación del derecho a la protección de datos personales y la concienciación de lo relacionado con la privacidad de las personas físicas.

El presidente de la Agencia Vasca de Protección de Datos ha explicado que con este convenio se establece "un marco de cooperación entre ambas instituciones que fomenta y promueve el respeto y debida tutela del derecho fundamental a la protección de los datos personales".

Actualización 14/9: se publica en la web de APEP la referencia al convenio, dando algo más de información sobre su contenido. La AVPD y los profesionales de la privacidad divulgarán los derechos a la protección de datos personales

Noticias LOPD 46

Noticias y artículos de los últimos días en el ámbito de la protección de datos y la seguridad de la información:

• Distribución de Malware con Twitter Bots, en Un informático en el Lado del Mal
• ¡Arriba las manos, esto es un robo de identidad!, en La Nación
• Borrado seguro en Windows con Eraser y Nos leerán la mente, en Kriptópolis
• Seguridad = gestionar riesgos + minimizar impactos, en Apuntes de Seguridad de la Información
• Controles críticos de seguridad para evitar ataques en redes corporativas, en Security by Default
• Expertos en seguridad informática alertan sobre las "trampas" para la privacidad de los gigantes de Internet, en Europa Press
• La Guardia Civil abre un servicio de alerta sobre fraudes en la Red, en El Páis
• Así te pueden robar la identidad en Facebook, en Baquia
• La lección de seguridad más antigua del mundo, en Apuntes de Seguridad de la Información
• “Google Instant“ … muy rápido, instantáneo pero… ¿es seguro?, en Cholohack

No des tantas explicaciones

Cuando se utiliza el telemarketing en ventas a empresas, uno de los principales problemas suelen ser los obstáculos que ponen los intermediarios entre quien llama y su objetivo cualificado, es decir, la persona dentro de la organización que puede tener poder de compra... y una de las peores formas de intentar salvar esa barrera es dar muchas explicaciones.

Vendedor: Buenos días, soy Juan Martínez de Suministros XYZ. ¿Sería tan amable de ponerme con la persona encargada de compras? Quisiera presentarle la nueva oferta de nuestra compañía.

Respuestas más probables: No está disponible, No atiende directamente a comerciales, Envíe la propuesta por correo electrónico, etc...

Las personas que trabajan en la primera línea de recepción de llamadas están "programadas" para rechazar este tipo de llamadas, es su trabajo y quieren hacerlo bien. Sus jefes son gente importante a la que no se puede molestar con cualquier cosa y que por supuesto sólo se relacionan con otras personas importantes, no con roba tiempos que quieren presentar ofertas que nadie les ha pedido. Así de claro.

Entonces la próxima vez que vayas a hacer llamadas en frío tómate la molestia de ir más allá de un mero listado de empresas y teléfonos. Averigua de antemano el nombre de la persona que quieres contactar (suele estar en su web o en listados profesionales) y cuando llames no des más explicaciones: tú también eres importante y estás muy ocupado.

Vendedor: Buenos días, soy Juan Martínez, póngame con Ana López por favor.

Por supuesto este sistema no salvará el 100% de los obstáculos, pero sí un porcentaje mayor de lo que imaginas. Y si la barrera continúa bajada y se genera otra pregunta del tipo "¿con qué motivo?", devuelve de nuevo una respuesta escueta: "seguridad informática" es mejor que "presentarle nuestra oferta de lanzamiento de un nuevo antivirus".

Breve, amable y con autoridad, así se generan los mejores contactos.

• Más sobre telemarketing en Consejos para un telemarketing profesional y efectivo, sobre hablar en exceso en No quiero oír todo eso y sobre ser importante en Ser importante es MUY importante.

Organizando el correo electrónico

Google lanzó una nueva funcionalidad para su servicio de correo electrónico Gmail: Prioritarios, donde intenta organizar de forma automática la bandeja de entrada, de manera que sepas de antemano qué correos son más importantes y requieren una atención previa.

Yo llevo una semana con ello y de momento el algoritmo va aprendiendo y lo hace cada vez mejor.

Noticias LOPD 45

Noticias y artículos de los últimos días en el ámbito de la protección de datos y la seguridad de la información:

• Top de los timos más extendidos en Internet, en Panda Security
• ¿Qué tipo de información suelen robar los empleados infieles de una compañía?, en iProfesional.com
• La privacidad en la red es responsabilidad de todos, en analiZe
• Fuga de datos, infecciones de virus y correo electrónico, en Tecnología Pyme
• Guía para detectar spamers y scammers en Twitter, en ESET
• Detectives informáticos falsos en Facebook, en Segu·Info News
• La AEPD se plantea su postura sobre Facebook, en Muy Pymes
• Nueva politica penal en delitos informáticos, en Security by Default
  
• El mercado de la identidad: Vales menos que un Azerbajiano, en Un informático en el lado del mal
• El 25% de los nuevos gusanos creados en 2010 están especialmente diseñados para infectar a través de dispositivos USB, en Panda Security

Usos y oportunidades de la tecnología RFID

Hace unas semanas se publicaba un informe sobre los riesgos para la privacidad de las etiquetas RFID, y si bien los peligros señalados son reales y merecen la atención de consumidores y legisladores, tampoco se pueden ignorar las ventajas que proporcionan al comercio, la seguridad, la logística, etc...

En los principios de internet, sólo los grandes servidores se conectaban e intercambiaban datos, pero con el paso del tiempo se han ido incorporando los ordenadores personales, los portátiles, los ultraportátiles, smartphones... y además electrodomésticos inteligentes, vehículos y etiquetas RFID y una variada gama de dispositivos que no son ordenadores pero se conectan a la Red dando forma a lo que se denomina Internet de los objetos.

En este vídeo podemos ver varios ejemplos prácticos del uso de la identificación por radio frecuencia (RFID).

El INEM investiga el uso fraudulento de fondos de formación

Gracias a un comentario en la entrada de ayer vi el artículo en el diario Público: El Inem detecta fraude en los fondos de formación:

El Inem ha detectado una bolsa de supuesto fraude en el uso de los fondos de formación continua, que algunas empresas utilizaban para financiarse la contratación de los servicios de protección de datos de algunas consultoras dedicadas a esta actividad.

Como en este blog ya se habló mucho del asunto y no se trata de repetir argumentos, incluyo las entradas relacionadas, por orden cronológico:

• ¿Soluciones "a coste cero"?: empecemos a poner un poco de orden
• Implantación de la LOPD a coste cero en el blog Tecnología Pyme
• Comunicado APEP sobre LOPD y Fundación Tripartita
• Nuevas acciones de la APEP
• Más sobre LOPD a coste cero
• Reuniones APEP con la Fundación Tripartita y las Cámaras de Comercio
• Reunión APEP con la Agencia Tribuaria
• Mi nueva tarjeta de visita
  
• La Fundación Tripartita advierte sobre la "LOPD a coste cero"
• La AEPD denuncia el uso indebido de su identidad
• La LOPD a coste cero llega al congreso
• Y subo un jamón y tres toallas de playa

Aclaraciones de las agencias de protección de datos sobre sus actuaciones y límites competenciales

Primero fue la Agencia Española de Protección de Datos la que alertó del uso indebido y/o fraudulento de su nombre e imagen corporativa, o de otros logos y denominaciones que inducen a la confusión, como ya reflejamos aquí en La AEPD denuncia el uso indebido de su identidad.

Posteriormente la Agencia Vasca de Protección de Datos hizo pública una Nota Informativa en la que indicaba que:

está recibiendo quejas, cada vez más frecuentes, sobre una campaña que están realizando algunas entidades en la que, de manera confusa, requieren al sector comercial, en particular a las pequeñas empresas, para que contraten sus servicios para realizar cursos de formación que califican de “obligatorios”, y para “asesorarles en el cumplimiento de la Ley de Protección de Datos de carácter personal, concretamente para dar de alta los ficheros de datos personales en el Registro de Protección de Datos”.

El requerimiento se realiza de manera confusa, de forma que da la apariencia de que somos las propias Autoridades de Protección de Datos las que nos estamos personando ante las empresas.

Ante estos hechos, la Agencia Vasca de Protección de Datos quiere aclarar que las Autoridades de Control no hacemos, en ningún caso, requerimientos en esos términos, y desmentir de modo categórico que sea obligatoria la superación de ningún curso de formación sobre protección de datos para dar cumplimiento a la Ley.

Hace unos días la Agencia de Protección de Datos de la Comunidad de Madrid hizo público en su web el siguiente Comunicado:

Ante las noticias recibidas en los últimos tiempos en la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) sobre la existencia de empresas y organizaciones que se dirigen a los responsables de tratamientos y ficheros de datos personales pretendiendo representarla y exponiendo ante dichos responsables las sanciones económicas a las que se arriesgan en caso de no contratar sus servicios o insistiendo en la necesidad de realizar obligatoriamente ciertos curso de formación, la APDCM quiere hacer público lo siguiente:

• La Agencia de Protección de Datos de la Comunidad de Madrid valora muy positivamente la labor que muchas organizaciones y empresas con personal bien formado realizan para la promoción de la protección de datos personales y la implantación de las garantías establecidas por la ley.
• La APDCM nunca actúa ni contacta a los responsables de tratamientos y ficheros de datos personales a través de intermediarios de ningún tipo. La relación con los responsables de ficheros de las AA.PP. sometidas a su supervisión siempre se realiza a través de las unidades competentes de la Agencia, bien en el ámbito de la notificación e inscripción de ficheros y las labores de apoyo, asesoramiento y ayuda a los responsables de ficheros y tratamientos, bien en el ámbito de actuaciones de investigación o de tramitación de procedimientos de infracción de AA.PP. o de tutela de los derechos de los ciudadanos Todas estas actuaciones corresponden a funciones atribuidas legalmente a la Agencia y se realizan gratuitamente, sin ninguna contraprestación económica.
• Desde su establecimiento en 1997 la APDCM viene desarrollando una intensa actividad de concienciación que le ha llevado a formar a más de cuarenta y tres mil personas en más de tres mil seiscientas sesiones informativas y a celebrar decenas de seminarios y jornadas. Estas campañas y acciones divulgativas siempre son lideradas por la APDCM, figurando así de modo claro y prominente en todos los materiales que con dicho motivo se editan. La comunicación e información sobre estas actividades siempre la lleva a cabo directamente la APDCM y siempre son gratuitas, ya que la Agencia nunca ha cobrado ni cobrará ninguna cantidad por la asistencia a las mismas
• Asimismo, la APDCM participa y colabora en iniciativas de formación y educación de los sectores público y privado para las que es requerida pero tanto la utilización de la imagen pública de la misma como la participación de sus miembros se decide y autoriza caso a caso o a través de convenios de colaboración públicos que figuran en su portal en Internet (www.apdcm.es). Esta participación no supone ningún compromiso ni acuerdo con las tesis que puedan mantener los organizadores o con sus políticas de difusión de las convocatorias o de promoción y comercialización de sus servicios y productos
• De acuerdo con la legislación nacional y autonómica de protección de datos, las Administraciones Públicas están completamente sometidas al régimen de infracciones previsto en la Ley Orgánica de Protección de Datos en el caso de llevar a cabo actuaciones contrarias a la misma pero, en ningún caso, reciben sanciones económicas por sus posibles violaciones de la ley, previendo la normativa vigente otras medidas alternativas para castigar dichas infracciones (medidas disciplinarias, notificación al Defensor de Pueblo, etc.). En el caso de entidades privadas, la competencia para su supervisión es de la Agencia Española de Protección de Datos por lo que la APDCM no podría declarar ninguna infracción ni imponer ninguna sanción a las mismas
• En cualquier caso, siempre y cuando exista alguna duda respecto del respaldo o implicación de la APDCM en cualquier tipo de iniciativa, se puede recabar información a través del sitio web de la misma (www.apdcm.es) o contactando con ella a través de los medios que en el mismo figuran.
• La APDCM se reserva la posibilidad de emprender las acciones legales que considere oportunas ante cualquier indicación falsa o fraudulenta sobre su representación por parte de terceros o su participación en cualquier tipo de iniciativa y en relación con la utilización indebida o ilegítima de su imagen.

Lo más leído en Agosto 2010

Este año me tomé vacaciones casi de verdad y apenas se ha publicado nada en los blogs durante agosto, pero el señor Google hizo su trabajo y siguió enviando visitantes, concretamente según Google Analytics, los artículos más visitados durante el mes de agosto de 2010 en este blog (MK+), en Ley Protección Datos-Sanciones LOPD (S) y en Ayuda Ley Protección Datos (A):

1. El Supremo anula varios artículos del reglamento LOPD (MK+)
2. Envíos publicitarios a personas y empresas que figuran en fuentes accesibles al público (A)
3. Dudas sobre Administradores de Fincas y Comunidades de Vecinos (A)
4. La Lista Robinson de FECEMD y mis perplejidades (MK+)
5. Consejos para un telemarketing profesional y efectivo (MK+)
6. Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) (A)
7. El Tribunal Supremo confirma una sanción de 300.000€ por tirar expedientes médicos a la basura (S)
8. Estudio sobre el uso de Twitter y Guía para negocios (MK+)
9. Condición de encargado del tratamiento de empresa contratada para destruir documentación (A)
10. Saberlo todo es saber demasiado (S)