Ciberseguridad

Ciberseguridad

.

Según CISCO, la ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales. En general, estos ciberataques consisten en acceder, modificar o destruir la información confidencial, extorsionar a los usuarios o interrumpir la continuidad del negocio con la consiguiente pérdida ocasonada.

Hoy, llevar a cabo un análisis de riesgos para posteriormente implementar las medidas de seguridad digital que más interesen, se hace imprescindible ya que cada día hay más dispositivos conectados y los hackers son cada vez más creativos.

Pero no todas las empresas pueden o quieren hacerlo, así que voy a recordar una vez más algunos consejos.

La Guardia Civil insiste en que se asignen recursos tanto técnicos como humanos a las empresas para garantizar la seguridad y recomienda, a modo de resumen no exhaustivo:

• Concienciar a los empleados de que deben tomar medidas de seguridad en todo momento.
• No responder a correos donde nos soliciten datos personales, claves o contraseñas. Observar la redacción de los emails recibidos, por ejemplo, dice mucho.
• No clicar en enlaces sospechosos, ni de bancos, pues ninguna entidad bancaria suele solicitar datos por estos medios.
• Establecer proveedores de confianza con los que mantener relaciones comerciales
• Implantar procesos de doble firma para las transaciones en general
• Precaución al escribir y guardar las contraseñas de nuestros equipos y/o aplicaciones que usamos:
  • Mínimo de 8 caracteres, con letras, números y caracteres especiales
  • No utilizar la misma contraseña para todo
  • Modificarla cada cierto tiempo
• Evitar las WIFI públicas y cambiar la contraseña de nuestro router tras la instalación.
• Proteger los equipos con las actualizaciones de los Sistemas Operativos en todo momento, instalar filtros antispam, antivirus, antimalware, …

Y por supuesto es obligatorio tener una copia de respaldo de toda la informacion, tanto dentro de la empresa como externalizada, al menos de los datos críticos que garanticen la continuidad del día a día de la empresa: Datos de la aplicación ERP y Contabilidad, para reinstalar y seguir adelante.

Desde IPGSoft, atendermos cualquier duda al respecto. ( info@ipgsoft.com )

José María Marco

Resumen de las recomendaciones de la Agencia de Protección de Datos para proteger los datos personales en situaciones de “movilidad y teletrabajo”

 

La empresa, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo. Personal que viaja con frecuencia o motivada por situaciones excepcionales e incluso de fuerza mayor.

La empresa y el personal que participa en las acciones de teletrabajo han de tener en cuenta las siguientes recomendaciones.

 

RECOMENDACIONES DIRIGIDAS A “RESPONSABLES DEL TRATAMIENTO”

 

Se tendrán que adecuar a la situación concreta de su objeto de negocio:

 

1. Definir una política de protección de la información para situaciones de movilidad

 

• Basada en la política de protección de datos y seguridad de la información de la entidad, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares por accesos a la empresa, desde espacios que no están bajo su control.
• Determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos
• Definirse las responsabilidades y obligaciones que asumen las personas empleadas.
• Proporcionar a las personas empleadas, la información que se expone en el apartado B) de este documento.
• El personal también ha de estar informado de las principales amenazas por trabajar desde fuera de la empresay las posibles consecuencias si se quebrantan dichas directrices
• Se debe identificar y comunicar cualquier incidente que afecte a datos de carácter personal.
• El personal ha de firmar un acuerdo de teletrabajo

 

2. Elegir soluciones y prestadores de servicio confiables y con garantías

 

• Evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan exponer datos personales de: personal, interesados o corporativos a través de los servicios de correo y/o mensajería.
• Recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes.
• Si éstos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato que vincule al encargado respecto del responsable.

 

3. Restringir el acceso a la información

 

• Perfiles o niveles de acceso a equipos e información deben configurarse en función del “rol” de cada persona
• Aplicar restricciones de acceso adicionales en función del tipo de dispositivo (portátiles de la empresa securizados, equipos personales externos, dispositivos móviles como smartphones/tablets) y ubicación desde la que se accede.

 

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

 

• Los servidores de acceso remoto deben ser revisados y actualizados periódicamente para garantizar la seguridad en situaciones de movilidad, revisando también los perfiles de acceso.
• Los equipos de la empresa utilizados deben:
  • o estar actualizados a nivel de aplicación y sistema operativo,
  • o tener deshabilitados los servicios que no sean necesarios,
  • o tener una configuración por defecto que no pueda ser desactivada ni modificada por el empleado
  • o instalar únicamente las aplicaciones autorizadas por la empresa
  • o contar con software antivirus actualizado,
  • o disponer de un cortafuegos local activado,
  • o tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios
  • o incorporar mecanismos de cifrado de la información.
  • Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

 

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

 

• Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
• Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.
• Se debe informar al personal, sobre la existencia y el alcance de estas actividades de control y supervisión.
• Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.
• Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD (RGPD), en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital2 en el ámbito laboral.
• La configuración definida para acceder a los recursos de forma remota debe ser revisada de forma periódica para garantizar que no ha sido alterada ni desactivada sin autorización además de permanecer actualizada y adaptada a un entorno externo de riesgo que evoluciona de manera continua.

 

6. Gestionar racionalmente la protección de datos y la seguridad

 

• Las medidas y garantías establecidas tienen que establecerse a partir de un “análisis de riesgos” en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.
• Deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.
• Los recursos usados, se limitarán en función de la valoración del riesgo por pérdidas de dispositivos y/o la exposición o acceso no autorizado a la información manejada.
• Hay que planificar y evaluar la aplicaciones y soluciones usadas para el acceso remoto teniendo en cuenta los principios de privacidad.

 

 

RECOMENDACIONES DIRIGIDAS “AL PERSONAL”

 

Estas recomendaciones al personal deben estar recogidas en la política de teletrabajo del responsable, y referenciadas en el acuerdo de teletrabajo y ajustadas a la situación concreta de las tareas a realizar.

 

Recomendaciones básicas:

 

1. Respetar la política de protección de la información en situaciones de movilidad definida por el responsable

 

Han de observarse las medidas y recomendaciones para situaciones de movilidad definidas por la empresa, especialmente, lo que concierne al deber de confidencialidad de la persona trabajadora con relación a los datos personales a los que tuviera acceso.

 

2. Proteger el dispositivo utilizado en movilidad y el acceso al mismo

 

• La persona debe utilizar contraseñas de acceso robustas y diferentes a las utilizadas en el ámbito de su vida personal.
• No descargar ni instalar aplicaciones que no hayan sido autorizados por la empresa.
• Evitar la conexión de los dispositivos desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
• Proteger los mecanismos de autenticación: certificados, contraseñas, … de acceso remoto a la empresa.
• No se debe utilizar con fines particulares un equipo de la empresa evitando el acceso a redes sociales, correo electrónico personal u otras páginas web favoreciendo virus o ejecución de código dañino.
• Si el equipo es personal, evite simultanear la actividad personal con la profesional y definiendo perfiles independientes
• El sistema antivirus instalado en el equipo debe estar operativo y actualizado.
• Verificar la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal.
• Si la persona esta autorizada, conviene desactivar las conexiones WIFI/bluetooth que no estén siendo utilizadas.
• Una vez concluida la jornada de trabajo en situación de movilidad debe desconectarse la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.

 

3. Garantizar la protección de la información que se está manejando

 

• Tanto en lugares públicos como en el entorno domésticos es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
• Si habitualmente se genera y trabaja con papel, durante situaciones de movilidad es importante minimizar o evitar la entrada y salida de documentación en este soporte y extremar las precauciones para evitar accesos no autorizados por parte de terceros.
• La información en soporte papel, no se puede desechar sin garantizar que es adecuadamente destruida. No arrojar papeles enteros o en trozos en papeleras de hoteles, lugares públicos o en la basura doméstica a los que alguien podría acceder y recuperar información de carácter personal.
• Extremar precauciones para evitar el acceso no autorizado a la información personal, propia y de terceros, manejada, no dejando a la vista ningún soporte de información en el lugar donde se desarrolle el teletrabajo y bloqueando las sesiones de los dispositivos cuando estos estén desatendidos.
• Evitar exponer la pantalla a la mirada de terceros si se trabaja habitualmente desde lugares públicos
• Es aconsejable prevenir que se puedan escuchar conversaciones por parte de terceros utilizando, por ejemplo, auriculares o retirándose a un espacio en el que la persona empleada no esté acompañada.

 

4. Guardar la información en los espacios de red habilitados

 

• Evitar almacenar la información generada durante la situación de movilidad de forma local en el dispositivo utilizado, usando los recursos de almacenamiento compartidos o en la nube proporcionados por la empresa.
• Si se usan equipos personales, no utilizar aplicaciones no autorizadas por la empresa
• No se debe bloquear o deshabilitar las copias de seguridad corporativa definidas para cada dispositivo.
• Revisar y eliminar periódicamente la información residual que pueda quedar almacenadas en el dispositivo, como archivos temporales del navegador o descargas de documentos.

 

5. Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato, la brecha de seguridad

 

• Notificar al responsable, a la mayor brevedad posible, a través de los canales definidos al efecto.
• Cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información, debe consultarse bien al Delegado de Protección de Datos o al responsable de seguridad de la información, trasladándoles toda información de interés de la que tenga constancia.

 

 

NOTA.- Este documento es un resumen realizado el día 6 de abril de 2.020, de las recomendaciones publicadas por la Agencia de Protección de Datos para situaciones de movilidad y teletrabajo.

josé maría marco

Algunas reflexiones a tener en cuenta en cualquier Proyecto Web

Análisis:

Antes de iniciar un proyecto web, bien sea una página con contendidos dinámicos como si hablamos de un ecommerce, deberíamos reflexionar sobre estos puntos que describo a continuación:

1. Hay que decidir el modelo de tienda-web que se necesita. Puede ser bien ‘ad hoc’ o posicionarla en la nube con un proveedor generalista. IPGSoft puede satisfacer cualquier requisito, en función de los conocimientos técnicos del personal de su empresa. Si no dispone de ese personal cualificado para mantener un CMS propio, déjelo en nuestras manos, nos podemos encargar del mantenimiento de su página y tienda web.
2. El disponer de una tienda-web no significa que las ventas van a venir solas. Hay que dedicar un cierto tiempo, como en cualquier tienda convencional, pero de ‘otra manera’. No deja de ser otra herramienta para llegar al consumidor. Las ventas solo se conseguirán si dedicamos trabajo, dedicación y paciencia.
3. “El que mucho abarca, poco aprieta”. Hay que focalizar y presentar en la tienda-web aquellos productos que pueden diferenciarse en el mercado bien por sus cualidades, sus precios, su agilidad en la entrega, su facilidad al solicitarlos vía web, …etc. No pretendamos competir con los ‘grandes’ del mercado, sino en aquel nicho que mejor conocemos y en el que nos movemos mejor.
4. Si pretendemos alcanzarlo todo desde el primer momento, con toda seguridad fracasaremos.

 

Soluciones:

1. Si tenemos una tienda-web y no la posicionamos adecuadamente, hemos perdido la partida. Debemos elegir un dominio que responda a nuestra propuesta de venta, generando unos contenidos adecuados al producto/servicio ofertado.
2. Por supuesto la seguridad es fundamental. Debemos contar con certificados SSL, que garanticen la confidencialidad del usuario y por supuesto cumplir con la Ley de Protección de Datos de carácter personal, adaptada a cada espacio web.
3. La apariencia es muy importante. El diseño y que esté bien estructurada, son factores que junto a la imagen, deben responder a la calidad del producto que estamos ofertando.
4. La usabilidad, accesibilidad y navegabilidad son tres conceptos básicos en cualquier tienda ‘on line’, sin dejar de atender a la categorización y los filtros de marcas, familias y precios para que el usuario se mueva con agilidad en la página web.
5. Por último, el diseño ‘responsive’, nos garantizará que cualquier navegador, sea de escritorio, tablet o de teléfono móvil pueda acceder a nuestros contenidos de forma correcta y eficiente, favoreciendo así la tarea a los buscadores más habituales.

 

En IPGSoft, estaremos encantados en atender cualquier consulta.

josé maría marco lázaro

www.ipgsoft.com

 

 

RGPD. Las aplicaciones ERP (y II)

 

Las soluciones de gestión empresarial deberían incorporar dentro de sus funcionalidades la gestión de “derechos ejercidos por los interesados”, para registrar el posible ejercicio de dichos derechos, si fuera el caso, previniendo cualquier incumplimiento de la nueva normativa.

Aunque el principio de “responsabilidad activa”, obliga tanto al responsable como al encargado del tratamiento a gestionar un Registro de actividades, la norma exime del cumplimiento a empresas con menos de 250 empleados.

Cuando no es el caso, las aplicaciones ERP deben recoger en este registro, todos los cambios que se lleven a cabo por el usuario en los datos de carácter personal almacenados en las bases de datos, además de incluir herramientas para hacer el seguimiento, verificación y análisis de dichos tratamientos.

Debemos tener presente que en cualquier aplicación ERP pueden existir cientos de campos que almacenan datos de carácter personal y de acuerdo con el nuevo reglamento europeo (RGPD), estas aplicaciones deberían tenerlos identificados en sus bases de datos, y sin necesidad de configuraciones adicionales, registrar cualquier acceso o cambio realizado por el usuario.

Es imprescindible conocer su ubicación para poder cumplir con la responsabilidad proactiva y poder corregir así todas las debilidades, riesgos y/o amenazas encontradas, una vez tomadas las medidas técnicas adecuadas.

Cuando la nueva normativa habla de la protección de datos desde el diseño y por defecto, se refiere entre otras cosas a la “seudonimización”, que consiste en el cifrado de datos, evitando así el acceso a usuarios no autorizados, pero dejándolos disponibles sin embargo para el análisis y el procesamiento de dichos datos.

No debemos olvidar que se trata también de una obligación legal, por lo que los responsables del tratamiento deben incorporar estos protocolos a todos y cada uno de los procesos de la organización, a través de las medidas técnicas adecuadas, al menos durante el ciclo de vida de la actividad de que se trate, cumpliendo además con el Derecho de limitación de tratamiento.

Esta claro que disponer de una herramienta como eagle ERP, de IPGSoft, puede aportarle una gran ventaja competitiva a la hora de adaptar el nuevo reglamento de Protección de Datos, sea cual sea el tamaño de su empresa, pues reducirá sus costes de adaptación, ahorrará tiempo al implantarlo, automatizando la recogida de evidencias con total seguridad.

josé maría marco lázaro

www.ipgsoft.com

RGPD y las aplicaciones ERP

RGPD. Las aplicaciones ERP

Las aplicaciones ERP, son aquellas que controlan todas las funciones de la empresa, o deberían hacerlo.

Ejecutan procesos críticos: Aprovisionamientos, pagos, fabricación, ventas, cobros, previsiones de tesorería, recursos humanos, …etc.

En ellas, se almacenan los datos de carácter personal, a los que se debería acceder mediante perfiles adecuados, entrando siempre: nombre de usuario y password.

Estas aplicaciones, a veces, son muy antiguas y no se actualizan adecuadamente, porque en definitiva cumplen con la función principal para la que fueron diseñadas, y es cierto, puesto que desde el punto de vista de la optimización de recursos de cada empresa, responden a sus necesidades, pero no cuentan con las funcionalidades de seguridad que hoy exige la nueva normativa de protección de datos (RGPD).

Pensemos que en el 99% de los casos, todos los datos de carácter personal a los que hace referencia la nueva Normativa, están almacenados en Bases de Datos que son tratados mediante una Aplicación de Gestión ERP: Gestión Comercial, Contabilidad, Nómina, eCRM, … etc.

Las áreas más importantes para la prevención serían:

• Concienciación de los usuarios del sistema.
• Gestionar el Control de Accesos a estas aplicaciones.
• Controlar la Seguridad de los Datos almacenados.
• Revisar la Arquitectura de la Seguridad de la información.

El objeto de la prevención, no consiste únicamente en indicar cuales son las vulnerabilidades, sino proponer información detallada de los riesgos para poder solucionarlas.

                      Predecir -> Prevenir -> Detectar -> Responder

 Es por tanto muy importante conocer que tablas son aquellas que contienen datos de carácter personal en nuestras Bases de Datos, para protegerlas adecuadamente. Las nuevas aplicaciones, en el caso de IPGSoft, nuestro ERP Eagle, nos indican como se llaman esas tablas y se encargan de gestionarlas con prudencia.

Aunque la entrada en vigor del nuevo Reglamento fue el pasado 25 de mayo, deberíamos plantearnos una migración tranquila hacia herramientas como eagle que nos den esa garantía en cuanto a seguridad y cumplimiento.

josé maría marco lázaro

www.ipgsoft.com     www.konxultaria.com     www.factorymail.es       go2compliance.com

Reglamento General de Protección de Datos (RGPD)

A modo de ficha-resumen, hago una pequeña lista sobre el Nuevo RGPD, que espero sea de vuestro interés:

• Entrada en vigor: 25/05/2018
• Ámbito: Datos de carácter personal como son el nombre, domicilio, el DNI la dirección IP, la imagen de la persona,… en cuanto a su captación, almacenamiento o tratamiento e incluso su transmisión.
• Continúan los derechos ARCO (Acceso, Rectificación, Cancelación y oposición) aunque se incorporan los derechos al olvido (motores de búsqueda) y la portabilidad (cesión a terceros).
• Desaparece el consentimiento implícito del usuario, exigiendo confirmaciones de forma explícita. Es decir que los datos así recogidos: Casillas en la web o en catálogos con el ACEPTAR ya marcado, el silencio o la inacción, serán nulos.
• Edad mínima para el consentimiento en España: 13 años.
• No es necesario registrar los ficheros en la Agencia de Protección de Datos, como en la anterior normativa.
• Obliga a mantener un Registro de Actividades.
• Algunas empresas, deben incorporar una nueva figura (DPO): El Delegado de Protección de Datos.
• Pasamos de una posición pasiva de la anterior normativa, a un principio de responsabilidad proactiva, en el sentido de que hay que documentar los tratamientos sobre datos personales de forma sistemática, dependiendo del tipo de empresa:
  • Fines del tratamiento
  • Categorías de Datos
  • Medidas de Seguridad
  • Transferencias internacionales
  • Análisis de riesgos y amenazas
  • …etc.
• Cuando se produzcan incidencias sobre seguridad, debemos comunicar a la Agencia (AEPD) e incluso a los afectados, antes de las 72 horas.
• Las sanciones van entre el 2% de la cifra de negocio (Máximo 10 millones de euros) y el 4% de la cifra de negocio (Máximo 20 millones de euros), según que la infracción sea menos grave o grave.

IPGSoft, le puede proporcionar la herramienta necesaria para llevar a cabo este cumplimiento.

José María Marco Lázaro

 

Licitaciones con e-licita de factorymail

El sistema e-licita de factorymail, permite gestionar todas las licitaciones que deseemos de forma telemática cumpliendo con la norma ISO 27001, bajo los protocolos precisos de alta seguridad y tercero de confianza, que garantiza la operativa y transparencia de los tiempos y procesos, dotando a las licitaciones de la máxima confidencialidad, operatividad administrativa, en cumplimiento con la Normativa de Máxima Transparencia.

Permite a las compañías, sean públicas o privadas, gestionar sus procesos de compra mediante propuestas con pliego de condiciones y sobres cerrados de forma más transparente.

El sistema convoca y envía la documentación a todos los proveedores que están registrados en la oferta

Remite claves de acceso para adjuntar la documentación solicitada relativa a la oferta.

Controla y filtra la documentación

Verifica fechas límites de forma automática

Protege de lectura los documentos finales o de precios hasta la apertura de las PLICAS,

…etc.

Más información en:   Tel. 902030064  o  info@factorymail.es

 

IPGSoft obtiene la certificación ISO 27001:2013

Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

Nuestra forma de trabajar, la apuesta firme por el progreso y el

cuidado de nuestros clientes, hacen que crezcamos como empresa.

Como prueba de que IPGsoft es cada día más fiable y segura, hoy podemos anunciar que hemos obtenido el certificado de seguridad 27001:2013. Se trata de una distinción que garantiza la seguridad, confidencialidad, integridad y disponibilidad en la gestión de la información.

Dicha certificación se obtiene tras la supervisión de organismos de certificación ISO, en nuestro caso, Bureau Veritas. Esta organización comprueba que los servicios presentados respetan normas y políticas relacionadas con la seguridad, la protección y la gestión de la información con la que se trabajan.

Para que nuestros clientes puedan conocer más acerca de nuestra forma de trabajar en estos aspectos, cuentan a su disposición, en su espacio privado con nuestra política de seguridad.

Este certificado ratifica una vez más el esfuerzo de todos los empleados de IPGSoft, apostando por la mejora continua.

Gracias a tod@s!!!

José María Marco L. Director

La entrada y registro en el domicilio del obligado tributario

La entrada y registro en el domicilio del obligado tributario sin advertirle de sus derechos de oposición supone un consentimiento ineficaz del interesado (TC, Sala Segunda, S 16 Mar. 2015, Rec. 2603/2013)

El acceso y subsiguiente registro en la sede social de la empresa se hizo sin respetar las exigencias legales y vulnerando el derecho fundamental a la inviolabilidad del domicilio recogido en el art. 18 CE, siendo, por tanto, nulo de pleno derecho lo actuado.

Jurisprudencia comentada

TC, Sala Segunda, S 54/2015, 16 Mar. Ponente: González Rivas, Juan José

El Constitucional ha concedido el amparo a una entidad mercantil en cuyo domicilio social se produjo la entrada de los funcionarios de la Inspección de Hacienda acompañados de un sargento de la Policía Foral de Navarra y por un colaborador experto en informática; los socios administradores permitieron el registro, el acceso a los ordenadores de la empresa y la copia de los discos duros, sin que fueran informados de su derecho a oponerse a la entrada y registro. Fruto de dichas actuaciones de inspección se giraron las correspondientes liquidaciones y sanciones por el Impuesto sobre Sociedades, IVA e IRPF.

Tras realizar un examen sobre la doctrina del TC en relación al derecho a la inviolabilidad del domicilio, y en particular a la extensión del derecho a las personas jurídicas, precisa que si bien las personas jurídicas no gozan de la misma protección (falta la vinculación con un ámbito de intimidad –vida personal y familiar- que solo se predica de las personas físicas), sí gozan de dicho derecho en cuanto a los espacios físicos que le son necesarios para desarrollar su actividad y custodiar los documentos u otros soportes reservados del conocimiento de terceros.

¿Existió en este caso un consentimiento eficaz, esto es, válido, para que la entrada y registro de los actuarios produjera efectos? El TC entiende que no; el consentimiento eficaz necesita de una garantía formal: una información expresa y previa que incluya los términos y alcance de la actuación, y en este caso no la hubo. La entrada en las dependencias empresariales se hizo sin advertencia alguna de derechos a los interesados de su posibilidad de oponerse a la entrada y registro), y en ese contexto, la falta de oposición no podía considerarse como consentimiento tácito.

Es cierto, razona la Sala, que los funcionarios portaban una autorización administrativa para la entrada (que no fue necesario exhibir puesto que se les facilitó el acceso), pero precisamente este dato es relevante porque la autorización administrativa en modo alguno habilita la entrada en los espacios físicos que constituyen el domicilio de la persona jurídica objeto de protección constitucional. Hubo, pues, una vulneración de la garantía de información para recabar el consentimiento del informado, lo que supone la falta de un consentimiento eficaz.

También aprecia el Tribunal una vulneración de la garantía de no autoincriminación del artículo 24.2 CE (que consiste fundamentalmente en que si de acuerdo con la legislación aplicable la declaración ha sido obtenida bajo medios coactivos, esta información no puede ser alegada como prueba en el posterior juicio de la persona interesada, aunque tales declaraciones se hayan realizado antes de ser acusado).

Pues bien, el Alto Tribunal considera que en este caso Sí se produjo la vulneración de dicho derecho, y ello porque la sentencia impugnada otorgó valor de confesión a un reconocimiento de hechos que fue realizado en otro expediente, con la finalidad de regularizar la situación en relación a unas liquidaciones y sanciones concretas, sin consideración a que las actas a que se refiere el recurso contencioso-administrativo fueron firmadas en disconformidad precisamente por su conexión con los datos obtenidos de las diligencias practicadas con vulneración del art. 18.2 CE . Esta conformidad prestada para evitar un proceso penal –continúa la Sala- no se puede extender al consentimiento prestado en un procedimiento distinto de carácter administrativo sancionador.

Fuente: REAF

Tus datos personales en Internet

Nuestra navegación en Internet deja rastros que pueden identificarnos.

• Datos aportados voluntariamente en Internet
• Datos personales publicados por terceros en Internet
• Datos de navegación y de comportamiento en la Red

Datos aportados voluntariamente en Internet

Facilitamos datos personales, en el momento del registro de alta como usuario, en portales de compra, redes sociales, portales de contactos, servicios de correo electrónico, o sistemas de mensajería instantánea. Algunos de estos datos personales son:

> Nombre y apellidos

> Fotografías

> Fecha de nacimiento

> Domicilio

> Número de DNI o pasaporte

> Dirección de correo electrónico

> Número de teléfono

> Código de tarjeta de crédito

¿por que  importantes?

Dicen quien eres

Pueden revelar una forma de contactarte

Pueden sugerir tu procedencia u orígenes

Pueden revelar tus aficiones, preferencias y hábitos de consumo

Pueden revelar información de tu entorno o familia

Debemos saber:

A la hora de facilitar datos de carácter personal en la Red hay que asegurarse de la fiabilidad y seguridad que nos ofrece quien los solicita, debiendo aportar, en todo caso, exclusivamente los necesarios para la finalidad con la que están siendo recabados. Para ello, debemos acudir a las políticas de privacidad y las condiciones de uso que se publican en los distintos sitios web.

Datos personales publicados por terceros en Internet

> A través de sitios web como redes sociales, portales de contactos, portales de video, blogs y foros

> A través de repertorios telefónicos online (número de teléfono, dirección postal…)

> A través de boletines y diarios oficiales de las distintas Administraciones Públicas

> A través de ediciones digitales de distintos medios de comunicación (periódicos, televisión, radio,…)

¿Por que son importantes?

Pueden estar en la Red sin conocimiento ni consentimiento del titular de los datos y, en muchas ocasiones, su indexación por los buscadores puede darles una difusión global en Internet.

Debemos saber:

En la mayoría de los casos, y salvo excepciones, tenemos derecho a solicitar que se cancelen los datos publicados en esos sitios web o, al menos, a que se evite su recuperación por los buscadores. Para ello, debemos dirigirnos al responsable del sitio web que aloja el contenido con nuestros datos o también, en el caso de los blogs y foros, al autor del contenido.

Datos de navegación y de comportamiento en la red.

> Dirección IP

Es un conjunto de números que identifica a un ordenador cuando se conecta a la red. La dirección IP puede utilizarse para localizar geográficamente al usuario y, dado que se asigna unívocamente a la línea de conexión por la compañía que nos presta el servicio de acceso, puede permitir en muchos casos la identificación del titular de la línea y, en consecuencia, del probable usuario. Muchos servicios de Internet, como las redes sociales o los buscadores, conservan las direcciones IP de los ordenadores de sus usuario

> Cookies

Son ficheros que se almacenan en el ordenador del usuario que navega a través de Internet y que, en particular, contienen información sobre el sistema operativo y el navegador utilizados en la navegación. Estos ficheros se asocian a un número que permite identificar unívocamente el ordenador usuario.

Las cookies son creadas por el sitio web que visita el usuario y permiten a éste conocer con detalle su actividad en el mismo sitio o en otros con los que se relaciona éste, por ejemplo: el lugar desde el que accede, el tiempo de conexión, el dispositivo desde el que accede (fijo o móvil), el sistema operativo y navegador utilizados, las páginas más visitadas, el número de clicks realizados e infinidad de datos respecto al comportamiento del usuario en Internet.

¿Por que son importantes?

Pueden permitir elaborar perfiles sobre nuestra navegación por Internet, los cuales se utilizan para analizar nuestros gustos y preferencias, con objeto de determinar nuestra idoneidad como participantes en campañas publicitarias, de marketing u otras actividades. Además, los efectos sobre la privacidad pueden tener un alcance mayor al que cabe pensar en un primer momento, ante la posibilidad de relacionar su contenido con la dirección IP de conexión y con otros datos de carácter personal, como son los aportados por los propios usuarios al registrarse o los que pueden ser recopilados a través de modernas técnicas de minería de datos.

Debemos saber:

Los sitios web deben informarnos de la utilización de cookies. Además, es posible y recomendable, a través de las herramientas que proporciona el navegador que utilicemos, borrar regularmente las cookies que se almacenan en nuestro ordenador. Asimismo, deben ofrecernos la posibilidad de decidir sobre el uso de las cookies para realizar perfiles sobre nuestra navegación.

Fuente: Agencia de Proteción de Datos

Las Copias de Respaldo. ¿Externalizarlas?

Las Copias de Respaldo. ¿Externalizarlas?

Mi primer trabajo como diseñador-desarrollador de software «Freelance«, lo lleve a cabo en 1985, compartiendo por cierto conocimientos y experiencias con mi amigo Victor, en Zaragoza. En aquellos años, quizás en lo que menos pensábamos era en la seguridad, precisamente, bastante teníamos con que los programas «entraran» en aquellos soportes de 128 Kb. (si kilobytes, he dicho bien) y que la solución implantada generara en el Cliente las expectativas esperadas, según nuestra propuesta.

Hoy es una auténtica gozada no tener que ocuparse de esas variables, pero  priman otras cuestiones: Rapidez, Operatividad, Accesibilidad, Ubicuidad, Flexibilidad, …. pero sobre todo la Seguridad: No olvidemos que uno de los protocolos más importantes que deben cumplir todas las empresas hoy, es la del MANUAL DE SEGURIDAD de la LOPD.

Las empresas actuales, no pueden sobrevivir sin la informática. Hoy todas las funciones de cualquier negocio están basadas en aplicaciones de software que las gestionan. Estos sistemas necesitan para su correcto funcionamiento información, aparentemente básica, pero que sin ella, la empresa se detendría. Además estas soluciones ofrecen ingentes cantidades de información, a veces incluso desordenada, pero en cualquier caso necesaria y básica para la toma de decisiones de sus directivos.

En estos últimos 25 años, como Director de IPGSoft, he visto (y veo desgraciadamente) verdaderas tragedias en cuanto a pérdidas de datos se refiere. Casi siempre son derivadas de la negligencia de los usuarios responsables de la tediosa tarea de realizar las copias de seguridad.

Existen dispositivos y periféricos que permiten su realización de manera programada y automatizada: Backups, Cintas, …etc. y además todas las aplicaciones de software disponen de sistemas de Copias de Seguridad, o deberían disponer de ellos, eso sí de forma manual.
En un mundo de constantes amenazas, la seguridad de la información se convierte en una prioridad. Podemos protegerla en nuestro propio centro a través de los sistemas citados anteriormente, pero a veces quizás resulte más interesante sacar las copias fuera del mismo, eso sí, garantizando su integridad, su confidencialidad y su disponibilidad en caso necesario.

En cualquier caso, la realización de las copias de seguridad debe estar automatizada y garantizada.
Hemos nombrado otro aspecto importante, la garantía.

Si contratamos con un proveedor externo, tendremos derecho a determinar y establecer unos acuerdos en cuanto al nivel de servicio exiguido, que garanticen un mayor rigor en dicho servicio que, por rutinario, es susceptible de relajación por parte de nuestros empleados. La experiencia que poseen los proveedores especializados, enriquecida sin duda por las distintas casuísticas, nos pueden ayudar a disponer de  unos procedimientos mejor definidos, que nos permitan reaccionar antes los cambios y posibles contingencias futuras.

En definitiva, existen soluciones especializadas en el mercado como para cubrir nuestras necesidades con costes muy ajustados y competitivos.

José María Marco L.
PD.- Consulta soluciones sobre Copias de Seguridad externas en http://www.ipgsoft.com (En la opción de Ofertas: DataCenter)

http://www.konxultaria.com , solución para externalizar todos los servicios de software de gestión en la Nube.

Resolución de 4/2/2011, de AEAT sobre el uso del CSV y Sellos Electrónicos

RESOLUCIÓN DE 4/2/2011, de presidencia de la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA, sobre el uso del CÓDIGO SEGURO DE VERIFICACIÓN (CVS) y por la que se crean SELLOS ELECTRÓNICOS del organismo (BOE DEL 12)

La Agencia Tributaria, en su permanente vocación de aprovechar la oportunidad que brindan las nuevas tecnologías de la información y las comunicaciones a fin de mejorar el servicio que se presta a los ciudadanos en condiciones de máxima seguridad jurídica, viene utilizando el CSV desde 2001, en un primer momento para autenticar certificaciones tributarias y actualmente respecto de abundantísimos documentos electrónicos. Del mismo modo viene empleando la firma electrónica de la propia Agencia Tributaria para los usos propios y característicos del sello electrónico.

Os dejo el documento completo:

Archivo PDF->  codigo seguro de verificacion

Fuente: ANCED

Seguridad de la información y e-confianza de los hogares españoles

Resumen ejecutivo del Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles
3er trimestre de 2010

• Los hogares españoles continúan mostrando un nivel de adopción de herramientas y hábitos de seguridad correcto. Sin embargo, se observa una menor observancia de medidas que requieren un trabajo continuo y sistemático por parte del usuario, como la copia de seguridad de archivos y la búsqueda de información.
• Una mayor adopción de conductas y hábitos de seguridad incide en un buen nivel de seguridad global. Por ejemplo, los usuarios de redes socialesson cada vez más prudentes con su privacidad, limitando sus perfiles a sus contactos más cercanos.
• Las incidencias de malware mantienen su tendencia decreciente, si bien se observa una brecha entre lo que perciben los usuarios y el impacto real.En el caso del envío de correo basura, la red de sensoresde INTECO recoge el descenso provocado por la desaparición de spamit.com, sistema que operaba fraudulentamente en asociación con spammers.
• Los niveles de riesgo de los equipos se reducen progresivamente a lo largo de 2010, sobre todo en el caso de riesgo medio.
• Las medidas más demandadas a la Administración siguen siendo la vigilancia y el desarrollo de herramientas de seguridad gratuitas.

Documento PDF –> resumen_ejecutivo_del_estudio_sobre_la_seguridad_de_la_informacion_y_la_econfianza_de_los_hogares_espanoles_3t2010[1]

Fuente: Instituto Nacional de Tecnologías de la Comunicación

Ley de Proteccion de Datos (Procedimientos…)

Procedimientos de la Ley de Protección de Datos

Os dejo un enlace a  LEXNOVA, que me parece básico, para comprender los procedimientos de inspección de datos y sancionadores de la Agencia de Protección de datos.

http://fb.me/EhGriv7c

Espero que sea de vuestro interés.

 

PD.- IPGSoft, como empresa de desarrollo de Software y Consultora de Sistemas desde 1987,  puede estudiar su empresa y:

• Preparar el Documento de Seguridad
• Inscribir los ficheros en la Agencia de Protección de Datos
• Emitir los Contratos con Terceros
• Realizar los Contratos de empleados

 

Contacta con nosotros en: 902362877   o   info@ipgsoft.com

 

Algunos consejos para controlar la navegación de menores

El mundo de internet es maravilloso, qué duda cabe, y nos ofrece además un sinfín de posibilidades importantísimas a un solo click.  Pero esa sencillez también lleva consigo unos riesgos, que debemos intentar controlar sobre todo cuando se trata de menores. Son los padres los que deben supervisar lo que hacen sus hijos en la red.

Ahí van algunos consejos:

1. En primer lugar, intentar que el ordenador esté en un lugar público dentro de la vivienda, el salón por ejemplo, y nunca en el dormitorio del menor.
2. Fijar un horario racional para el uso del ordenador y el acceso a internet.
3. Informar y enseñar a diferenciar  que correos electrónicos contienen spam, estafas ‘on line’ o phishing.
4. Nunca confiar en ‘amigos’ de la red que no conocemos en la vida real.
5. No facilitar jamás datos personales ni compartir fotos de tu vivienda, ubicación, etc.
6. Lo que no quieras que sea de dominio público no lo subas a internet.
7. Las contraseñas deben ser siempre alfanuméricas, e incluso contener caracteres especiales y nunca recordar fechas de cumpleaños, números de teléfono,  o DNI’s ….
8. Aprender a manejarse con los tipos de niveles de seguridad y privacidad.

Además de todos estos pequeños trucos, existen controles parentales incluidos en algunos de los paquetes se seguridad del mercado, tipo antivirus.

¡Mucha suerte!