Tag Archives: LOPD

La computación en la nube

10 Abr

.

La computación en la nube

La computación en “la nube” es un modelo que permite el acceso, siempre bajo demanda y a través de la red, a un conjunto compartido de recursos informáticos configurables, como pueden ser: Redes, servidores, almacenamiento, aplicaciones y servicios, que se ponen a disposición del usuario rápidamente y con un esfuerzo de gestión mínimo por su parte.

“La nube”, seguramente representa uno de los avances más significativos en la tecnología de la información (TI) de las últimas décadas, pues ofrece una infraestructura flexible, escalable y eficiente, transformando la forma en que las empresas, y organizaciones en general, gestionan y despliegan sus recursos informáticos.

Tipo de Nube

Los clientes no suelen optar por un modelo puro, sino que mezclan los diferentes tipos existentes:

Nube pública: Los servicios se ofrecen a través de Internet y están disponibles para cualquiera que desee adquirirlos, donde la infraestructura la pone enteramente un proveedor externo y la empresa consume los recursos. Algún ejemplo de nube pública son: Amazon, Google Cloud, IBM Cloud o Microsoft Azure.

Nube privada: La infraestructura de este tipo de nube es operada exclusivamente para una empresa. Puede ser gestionada por la propia empresa o por un tercero y puede estar ubicada en las instalaciones de la organización o fuera de ellas.

Nube híbrida: Combina nubes privadas y públicas, permitiendo el intercambio de datos y aplicaciones entre ellas, ofreciendo una mayor flexibilidad y opciones de despliegue. Pueden estar interconectadas a través de redes LAN, VPN, o mediante API.

Multiclouds: Cuando confluyen en un cliente dos proveedores ya sean de nube pública o privada. Suele ser la más usada.

Tipo de Servicios

SaaS, Software como servicio: El usuario utiliza la aplicación del proveedor (CRM, ERP, correo…), que se ejecuta en una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos a través de un navegador web.

PaaS, Plataforma como servicio: El usuario despliega en la nube aplicaciones creadas o adquiridas, utilizando herramientas de programación y bibliotecas proporcionadas por el proveedor. La solemos utilizar los desarrolladores de software para desarrollar e implantar proyectos, despreocupándonos de mantener infraestructuras de sistemas propios.

IaaS, Infraestructura como servicio: El usuario dispone de servidores, procesamiento, almacenamiento, redes, sistemas de conectividad y seguridad, así como otros recursos de informática – que antes se instalaban en casa del cliente-, donde puede desplegar y ejecutar software arbitrario, y que puede además incluir sistemas operativos y aplicaciones.

Ventajas e inconvenientes

“La nube” ofrece numerosas ventajas, incluyendo la reducción de costos por eliminación de la inversión en hardware y software, escalabilidad, flexibilidad en el manejo de las cargas de trabajo fluctuantes, mejora en la eficiencia de los procesos de TI, y la capacidad de innovar rápidamente al probar nuevas ideas, sin una inversión financiera significativa.

Pero también tiene algunos inconvenientes:

  • Si caen las comunicaciones o se ralentizan, el servicio dejará de funcionar.
  • Aunque los servicios tienen unas tarifas regladas, debemos controlar siempre los recursos que estamos utilizando para no acabar pagando más de la cuenta.
  • Poner mucha atención a las copias de seguridad, pues aunque los proveedores responden cada día mejor, es importante nos descuidarlas y tenerlas bajo control en todo momento.
  • Asegurar la ubicación geográfica de nuestro proveedor, básicamente por dos motivos:
    • Seguridad en cuanto a dónde están almacenados nuestros datos
    • Posibles problemas por la legislación vigente en el país donde está ubicado legal y fiscalmente nuestro proveedor.
  • Por último, asegurarnos de que en cualquier momento podemos migrar a otras soluciones sin ningún problema, ya sea de tipo legal o técnico.

En definitiva, “la nube” ha revolucionado la forma en que las empresas acceden y utilizan los recursos informáticos, ofreciendo una flexibilidad, eficiencia y escalabilidad sin precedentes. Al comprender sus fundamentos, modelos y tipos, Las empresas pueden tomar decisiones informadas sobre cómo y cuándo incorporar “la nube” en su estrategia tecnológica. A medida que este paradigma continúa evolucionando, seguirá ofreciendo oportunidades transformadoras para las empresas de todos los tamaños y sectores.

José María Marco

Más información: IPGSoft

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , ,

La certificación ISO 27.001

16 Oct

La certificación ISO 27.001

.

La norma ISO 27001 es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI). Este sistema se utiliza para proteger la confidencialidad, integridad y disponibilidad de la información y ayudar a las organizaciones a proteger aua activos de información.

Su implantación ofrece múltiples ventajas:

  • Mejora de la seguridad de la información puesto que proporciona un marco sólido para identificar, evaluar y mitigar los riesgos de seguridad de la información permitiendo una mejora en la seguridad de los datos y la protección de la información crítica de la organización.
  • Ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información. Esto es particularmente importante en sectores altamente regulados.
  • Implantar una certificación ISO 27001 demuestra a los clientes, proveedores y demás stakeholders que la organización se toma en serio la seguridad de la información, reafirmando la confianza de los clientes facilitando así el crecimiento hacia nuevos negocios.
  • Reduce los riesgos financieros identificando y gestionando de una manera proactiva los riesgos de seguridad de la información para que así las organizaciones pueden reducir la probabilidad de incidentes costosos, como brechas de datos, entre otros.
  • Eficiencia operativa, fomentando una gestión más eficiente de los recursos relacionados con la seguridad de la información, ya que al tener los procesos bien definidos y documentados, las organizaciones pueden evitar redundancias y minimizar el desperdicio de recursos.
  • La certificación ISO 27001 incluye la planificación de la continuidad del negocio y la recuperación ante desastres como parte integral de la gestión de la seguridad de la información. Esto ayuda a garantizar que la organización pueda mantener sus operaciones incluso en situaciones adversas.
  • Promueve una cultura de seguridad dentro de la organización al involucrar a todos los niveles de la empresa en la gestión de la seguridad de la información. Esto aumenta la conciencia de seguridad entre los empleados y fomenta buenas prácticas de seguridad.
  • Disponer de una certificación ISO 27001 puede ser un diferenciador competitivo, que le da a la empresa una ventaja sobre la competencia, al demostrar su compromiso con la seguridad de la información, lo que contribuye a un ecosistema de seguridad más sólido.

Esta semana pasada, nuestras compañías IPGSoft y factorymail han renovado una vez más y desde el año 2.015, su certificación ISO 27.001.

Todos los que formamos parte de ambos proyectos, estamos muy orgullosos de repetir año tras año este difícil reto porque los beneficios obtenidos van más allá del simple cumplimiento de estándares y regulaciones.

¡Enhorabuena equipo!

Etiquetas: , , , , , , , , , , , , , , , , , ,

Contraseñas seguras.

26 Mar

Contraseñas seguras

 

            Una de las decisiones que dependen de nosotros mismos en cuanto a Seguridad Informática, es la forma en que configuramos nuestras propias contraseñas.

            Existen programas automáticos maliciosos, creados exclusivamente con el propósito de obtener contraseñas, sobre todo en escenarios abiertos y de alto riesgo, como son las aplicaciones web, e-commerce, …etc.

            Una contraseña segura será aquella que:

  • Incluye letras y números.
  • Combina letras mayúsculas y minúsculas.
  • Incluye además caracteres especiales.
  • Tiene una longitud mayor a 8 caracteres.
  • Y no contiene espacios en blanco.

            Simplemente por orientarnos, una contraseña con menos de 7 caracteres, sea cual sea su combinación, puede conseguirse en menos de 5 segundos. Pasar la contraseña a 8 caracteres, requeriría ya unas 8 horas y si pasamos a construirla de 9 posiciones, el tiempo ascendería a 3 semanas.

            Lo ideal son las contraseñas con 10 u 11 caracteres, que contengan mayúsculas, minúsculas, números y caracteres especiales, pues hablaríamos de tiempos para hackearlas entre los 5 y 400 años, tiempo nada atractivo para quienes desean conseguir datos ajenos.

            Apliquemos este criterio, no solo para las claves de acceso a nuestros equipos y/o servidores, sino también para nuestras aplicaciones web o accesos remotos a otras aplicaciones como entidades financieras, intranet de proveedores o clientes, …etc. pues en estos casos las claves pueden estar al alcance de cualquiera.

José María Marco

Etiquetas: , , , , , , , , , , , , , ,

Sobre Albaranes y Facturas.

29 Sep

Sobre Albaranes y Facturas.

Llevo años insistiendo a nuestros clientes, tanto desde mi perspectiva de asesoría y también como consultor informático, de la importancia que tiene para las empresas suministradoras – aquellas que tienen por objeto la entrega de bienes y/ servicios – la conservación de los albaranes firmados por sus clientes como documentos justificativos de la entrega de dichos productos.

Cuando se trata de servicios, es importante conservar el presupuesto u oferta aceptada por el cliente como figura justificativa de los trabajos o servicios prestados y que acreditaría, si llegase el caso, la relación comercial existente entre las partes.

Debemos tener presente que la factura, al ser un documento privado emitido de forma unilateral por una de las partes, no haría prueba plena por sí sola en un proceso de reclamación de una deuda impagada, originaria de la entrega de productos y/o prestación de servicios, por lo serían necesarios otros medios probatorios que acreditasen esa relación comercial. Solo cuando la parte demandada negase dichos documentos, en cuanto a su autenticidad o su valor probatorio, deberíamos acudir a la prueba testifical, de trabajadores de ambas empresas, transportistas, …etc.

La factura, cuya expedición es obligatoria, es un documento mercantil acreditativo de esa entrega de productos o prestación del servicio, que indicará las cantidades, precios, y demás características que concreten esa relación comercial, gozando además de funciones tributarias. Pero la prueba real de la relación comercial la acredita el albarán, que aunque su emisión no sea obligatoria, resulta tremendamente útil para ambas partes, en el caso de que se inicie un procedimiento judicial por impago o por discrepancias en precios, pesos, calidades, fechas de entrega, ..etc. Interesa que sea lo más explícito posible, indicando la persona que lo entrega y lo recibe, lugar, fecha, …y demás datos que se consideren relevantes como prueba fehaciente.

No es objeto de este Post abundar en la problemática procesal de la reclamación, ni en su forma de abordarla, pero tanto el Código Civil (Art. 1225) como la Ley de Enjuiciamiento Civil (Art. 324, Art. 326.1, Art. 319) y abundantes sentencias de Audiencias Provinciales como alguna del Tribunal Supremo deja meridianamente claro que el Albarán es una figura clave en estos procesos de reclamación de deuda, y goza de amplia jurisprudencia.

No olvidemos que nuestro ERP Eagle, dispone de determinadas funciones que habilitan el envió de albaranes/facturas de forma telemática, entre otros muchos documentos como son presupuestos, SEPA, LOPD, … mediante la herramienta www.factorymail.es que como Terceros de Confianza, garantizan las comunicaciones entre las partes de manera fehaciente, sirviendo de prueba plena.

José María Marco

Etiquetas: , , , , , , , , , , , ,

Reforma de la LOPD (Pendiente aprobacion UE)

28 Feb

Reforma de la LOPD (Pendiente aprobacion UE)

La Comisión Europea ha propuesto un nuevo Reglamento, el cual que será de aplicación directa en todos los Estados miembros cuando se apruebe por el Parlamento. No será inmediato, pero es importante conocer algunos de los aspectos más significativos y novedades que contempla:

  • Aplicable en algunos supuestos a los tratamiento de datos de un ciudadano europeo incluso cuando la empresa este situada fuera de la Unión Europea.
  • Define el consentimiento como cualquier manifestación de voluntad otorgada de forma especifica, libre, informada y explicita, a través de la cual el interesado expresa su acuerdo con el tratamiento datos.
  • Se considera que es lícito el tratamiento de datos sin el consentimiento del interesado cuando tenga por finalidad la realización de un interés legítimo perseguido por la empresa, siempre y cuando, no se vulneren los intereses o derechos fundamentales de los interesados.
  • Cuando sea necesario que el interesado otorgue su consentimiento en el contexto de una relación para otras cuestiones, aquél debe ser otorgado de forma diferenciada respecto a las cuestiones propias de la relación.
  • El consentimiento de los menores de 13 años solo será valido si es otorgado o autorizado por sus tutores.
  • Desarrolla y detalla el contenido y ejercicio de los derechos ARCO.
  • Crea el derecho al olvido de forma paralela al derecho de cancelación de datos. Obliga a la empresa que haya hecho públicos los datos de un interesado a eliminar cualquier copia o enlace de Internet que haga referencia a los datos que se contengan en cualquier medio de comunicación que permita o facilite la búsqueda o acceso a los datos
  • Se prevé que cuando los datos sean tratados con fines publicitarios, el interesado deberá tener la opción de oponerse de forma gratuita y se deberá ofrecer esta opción de forma clara y diferenciada.
  • Detalla y especifica las obligaciones de los responsables y de los encargados de tratamiento.
  • Establece la necesidad, cuando existan varios responsables de tratamiento, por ejemplo cuando decidan conjuntamente sobre la finalidad de un tratamiento, de delimitar contractualmente la responsabilidad de cada uno, puesto que en caso contrario se considerará que existe una responsabilidad solidaria.
  • En caso de fallo de las medidas de seguridad determina la obligación de notificarlo a la Agencia de protección datos y a los interesados afectados salvo que la empresa pueda demostrar que ha adoptado las medidas necesarias para restablecer la seguridad.
  • Establece la obligación de consultar a la Agencia si el tratamiento de datos es licito cuando pueda significar algún riesgo para los interesados como por ejemplo cuando se realizan tratamientos para determinar la solvencia o hábitos conducta.
  • Establece la obligación de tener un responsable oficial de protección de datos en las empresas de más de 250 empleados o cuando la actividad de la empresa consista esencialmente en el tratamiento de datos, en otros casos, permite que las asociaciones de empresas pueden nombrar a un responsable.
  • Se habilita a las asociaciones de consumidores para que puedan representar a uno o varios consumidores, que consideren que sus derechos han sido conculcados, ante la Agencia y ante los Tribunales.
  • Se ha incluido la figura del apercibimiento.
  • Nuevo marco de sanciones, con la posibilidad de imponer sanciones leves de hasta 250.000 euros o hasta el 0,5% de la facturación anual, graves de hasta 500.000 euros o el 1% de la facturación anual y muy graves de hasta 1.000.000 euros o el 2 % de la facturación anual.

El procedimiento en relación a este cambio normativo requiere que la propuesta deberá ser estudiada y aprobada por Consejo y por Parlamento Europeo por lo cual es de esperar que sufra modificaciones y requiera mas de uno o dos años.

Fuente: RASI (Registro de Auditores de Sistemas de Información)

Etiquetas: , , , ,

Ley de Proteccion de Datos (Procedimientos…)

7 Ene

Procedimientos de la Ley de Protección de Datos

Os dejo un enlace a  LEXNOVA, que me parece básico, para comprender los procedimientos de inspección de datos y sancionadores de la Agencia de Protección de datos.

http://fb.me/EhGriv7c

Espero que sea de vuestro interés.

 

PD.- IPGSoft, como empresa de desarrollo de Software y Consultora de Sistemas desde 1987,  puede estudiar su empresa y:

  • Preparar el Documento de Seguridad
  • Inscribir los ficheros en la Agencia de Protección de Datos
  • Emitir los Contratos con Terceros
  • Realizar los Contratos de empleados

 

Contacta con nosotros en: 902362877   o   info@ipgsoft.com

 

Etiquetas: , ,