PYME vs Estándares de Seguridad de la Información (I)

En el universo de la Consultoría de GRC (Gobierno, Riesgo y Cumplimiento), es más común llevar a cabo proyectos en compañías de tamaño medio-grande que en pequeña y mediana empresa, siendo éstas segundas muy superiores en número, tanto a nivel nacional como europeo. Dada esta tesitura cabe preguntarse, ¿por qué son menos las pymes que contratan nuestros servicios?, ¿son menos vulnerables ante ataques que comprometan la seguridad de su información?

De sobra es conocido que, durante la última década, las organizaciones han experimentado una gran dependencia de sus sistemas de información para la prestación de servicios a sus clientes y cumplir con sus objetivos de negocio. Hoy en día, no solo las grandes compañías tienen esta dependencia de las TIC, también las pymes, que constituyen más del 99% del tejido empresarial europeo y, además, son las que presentan riesgos más significativos en cuanto a seguridad de la información se refiere. Estos riesgos constituyen una gran amenaza para el negocio de estas organizaciones.
[Read more…]

Nuevos retos y oportunidades con el nuevo Reglamento Europeo de Protección de Datos

Qué duda cabe que el nuevo paradigma digital, el big data, la innovación constante en ingeniería social, los procesamientos masivos de información personal, imponen un nuevo modelo en la gestión de datos personales. Esto es inapelable.

Las empresas deben asumir nuevos retos en la gestión de la protección de datos, retos que sin ningún género de dudas, se convertirán en grandes oportunidades que nadie debería desestimar.

Con la misión de responder a estos nuevos retos y aportar soluciones más efectivas que la actual LOPD, nacida antes de la revolución digital, nace el nuevo reglamento europeo de protección de datos, cuya fecha límite de aplicación es mayo de 2018. Para entonces todas las empresas deberán haber realizado la transición hacia una nueva forma de concebir la protección de datos.
[Read more…]

Criterios de valoración de impacto: RGPD, ENS, LPIC y NIS

Impacto: ese concepto del que todo el mundo habla.

La gestión del riesgo está al orden del día y muy arraigada a dicha gestión se encuentra todo lo relativo a la evaluación / estimación de impacto. Estos términos ya incluidos en la legislación vigente en materia de seguridad (ENS, LPIC,…) también forman parte de las Directivas y Reglamentos europeos que están a la vuelta de la esquina (RGPD y NIS).

En un escenario ideal, el significado, interpretación, uso y criterios para su cálculo sería homogéneo y aplicable a todos los ámbitos por igual, pero como ya sabemos, la realidad dista mucho de éste escenario utópico.
[Read more…]

Me van a auditar de 27001/ENS/LOPD o similares, ¿cómo será? ¿Qué debo saber?

La palabra auditoría da miedo. Todos hemos hecho cientos de exámenes desde el colegio, pero algo tiene la palabra auditoría que genera mucho más estrés que cualquier otra prueba.

Los que alguna vez hayan sido auditados saben que no es tan horrible como suena (incluso puede llegar a ser algo rutinario), pero quienes se enfrentan a una auditoría por primera vez acostumbran a tener infinidad de dudas sobre el “cómo será”: ¿se pueden preguntar cosas? ¿Qué van a mirar? ¿Interesa perder el tiempo para que auditen menos cosas? ¿Se puede consultar la norma/ley o apuntes durante la auditoría? ¿Se puede salir al baño? ¿Es obligatoria la corbata? ¿Y si me quedo en blanco? Algunas pueden parecer tonterías, pero seguro que más de uno agradecerá estas líneas si le llega el día de ser auditado.
[Read more…]

Adaptación al Nuevo Reglamento General de Protección de Datos

img1La cuenta atrás ha comenzado: quedan dos años y pocos días para la aplicación del Nuevo Reglamento General de Protección de Datos (RDUE 2016/679). Concretamente, éste será aplicable a partir del 25 de mayo de 2018.

Como no nos gustan las prisas y teniendo en cuenta que a este reglamento “le teníamos ganas”, nos hemos puesto manos a la obra, perfilando las primeras aproximaciones del modelo para dar cumplimiento al recién llegado Reglamento.

¿Por dónde empiezo?

El primer paso consistirá en analizar el nuevo Reglamento para identificar el GAP existente entre nuestro modelo de gestión y el requerido por dicho reglamento. Sin embargo, al poco tiempo de iniciar este trabajo nos percataremos de que la foto final es un tanto difusa e imprecisa, podríamos decir que incompleta. Esto es debido a que todavía hay aspectos por concretar, especialmente en lo relativo a las medidas de seguridad que el Responsable del tratamiento deberá aplicar en cada caso. Por lo tanto, sin un destino final claro, complicado nos va a resultar establecer una hoja de ruta.

[Read more…]

¿Expertos en protección de datos o caraduras monumentales? Segunda parte

¿Recuerdan ustedes el post que publicamos hace unos días referente a un correo enviado por una empresa que nos “advertía” de lo importante que es cumplir con la LOPD y al mismo tiempo nos hacía una recomendación de sus servicios a coste 0, para adecuarnos al cumplimiento de la misma, haciendo caso omiso de la LOPD y de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico?... Leer Más

El “debido control” en el Nuevo Código Penal

Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.... Leer Más

¿Expertos en protección de datos o caraduras monumentales?

La verdad es que no salgo de mi asombro por la cara que pueden llegar a tener algunos individuos. Tal vez no sea cara dura y sea simplemente un grado de insensatez alto. Si fuese así les pido disculpas, pero les recomiendo “que se lo hagan mirar”, en caso contrario, también les pido disculpas, pero en este caso no soy quien para recomendarles nada, ustedes verán…..(Es por esta duda por la que he preferido mantener el anonimato de la empresa en cuestión)... Leer Más

Seguros para cubrir incumplimientos legales

Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).... Leer Más

La “seriedad” de las auditorías del RDLOPD

Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.... Leer Más