Me gustaría pedirles su opinión sobre una resolución de la AEPD que he visto ya en varias páginas webs [Miguel �?ngel Mata, Félix Haro], la PS/00323/2007, y que puede sentar un bonito precedente en los típicos sistemas de “Envía/recomienda esta página a un amigo”. Ya sé que no es precisamente una novedad, pero creo que es muy interesante. Aunque los detalles concretos están en la resolución indicada, la cuestión es la siguiente:

La empresa Iniciativas Virtuales, dedicada a servicios de publicidad y marketing web, tiene un servicio que pone a disposición de los usuarios previamente registrados un sistema de recomendación a través del que enviar a tus familiares o amigos un correo ya confeccionado por Iniciativas Virtuales, a modo de invitación al servicio:

Básicamente, y aunque esto es ajeno a la resolución, el servicio se basa en la recepción de publicidad y realización de encuestas comerciales por parte de los usuarios registrados, que son remunerados en función del volumen de publicidad recibido y encuestas realizadas. Es significativo indicar que el servicio, como suele ser habitual, dispone de un sistema de puntos que fomenta las recomendaciones: si yo te recomiendo el servicio y tú te apuntas, yo salgo beneficiado, por lo que me interesa “difundir” el servicio lo máximo posible.

Entonces, el usuario YYY (del que la empresa Iniciativas Virtuales sólo posee una dirección de e-mail y no es capaz de identificar) recomienda el servicio al usuario AAA a través de dicho sistema, y éste, al recibir la invitación, decide formular denuncia ante la AEPD por recibir publicidad no solicitada ni consentida. Ésta resuelve el caso con una sanción de 600 euros, entendiendo que efectivamente se trata de una acción comercial no solicitada, a pesar de que, tal y como Iniciativas Virtuales defiende, la iniciativa de enviar dicho e-mail no es suya sino del usuario particular YYY (que, aunque no lo diga, busca crear afiliados para incrementar sus puntos).

Mí opinión se la diré en un próximo post, pero es interesante, sea cual sea su decisión, pensar cómo se aplica esta resolución al “Envía a un amigo” que hay en muchos blogs personales que contienen publicidad Adsense, y por tanto se benefician directamente del incremento del número de visitas, además del beneficio que indirectamente recibe el proveedor del blog.

Mi hermano está en Alemania con una beca Erasmus, y hace unas semanas, aprovechando una visita de unos días, me pidió que le instalase Linux en su portátil HP que había comprado un par de meses antes, ya que lo necesitaba para hacer el proyecto. La idea pues era instalar un Linux y dejarlo preparado en dos días; no tenía mucho más tiempo. Dejemos claro antes de nada que cuando empezó, lo que mi hermano sabía de Linux y nada era casi lo mismo; lo que ha aprendido lo ha hecho a partir de algunos tutoriales y unos cuantos correos míos en plan de “para hacer esto, teclea tal cosa”, o “fíjate en el log este, que te pondrá tal cosa que te puede servir de ayuda”. Les advierto que esta entrada tiene poca relación con la seguridad en sí, pero es un tema que en el trabajo sale a menudo.

[Read more…]

Como apuntaban en un comentario anterior, es cierto que las medidas descritas y adoptadas por el gobierno estadounidense son, en cierto modo, la versión extendida del “Derecho de Admisión” de cualquier bar o discoteca: si quieres entrar en mi país, vas a tener que pasar por el aro, porque aquí soy yo quien pone las reglas. Dicho de otra forma, los EEUU tienen todo el derecho a hacerlo, teniendo siempre en cuenta que nosotros no somos ciudadanos estadounidenses (y por tanto sin derecho legítimo a opinar sobre las medidas aplicadas por otro gobierno soberano para la entrada en su territorio); si eso pasase en territorio nacional, otro gallo nos cantaría: al menos tendriamos el derecho a la pataleta.

[Read more…]

Es posible que muchos de ustedes conozcan, hayan firmado e incluso entregado a sus trabajadores todo tipo de políticas sobre la protección de la información, tanto corporativa como datos de carácter personal: política de uso de Internet y email, política de cifrado, política de uso de activos corporativos, política de esto y política de aquello. A lo mejor, si han hecho los deberes, el personal técnico dispone además de procedimientos de borrado seguro y destrucción de soportes. Pero seguramente, lo que no tienen es una política o procedimiento de “ocultación de información”; claro que, ¿para qué querría usted esconder la información? ¿esconder? ¿de quién? ¿es que no es suficiente con cifrarla?

Pues bien, parece que ya no.

Si lo que Bruce Schneier cuenta es cierto —y no tengo ninguna duda de que lo es—, recientemente una corte de los EEUU aprobó el derecho de los agentes de aduanas a inspeccionar, en el sentido más amplio del término, cualquier portátil o dispositivo electrónico que el visitante lleve en su entrada al país. Es decir. Ponerlo en marcha, entrar en su cuenta de usuario, y hurgar, todo lo que les de la gana. Preguntando y todo; como era de esperar, el visitante tiene que colaborar, por lo que no sirve de nada que el disco esté cifrado. Claro que uno puede alegar desconocimiento, ignorancia o negarse a cooperar, pero no quiero ni pensar la cantidad de tiempo que pueden hacerle perder a uno, además de que podrían prohibirle el acceso al país y/o confiscarle el portátil. Y esto al parecer no es exclusivo de los EEUU. Sí, ya sé que probablemente los agentes de aduanas no son expertos informáticos, pero yo no me la jugaría porque probablemente destinen a ello personal especializado, tal y como está el nivel de paranoia hoy en día.

Así que vayan pensando en otro nuevo procedimiento, titulado “Cómo esconder la información”. Y mientras tanto, si piensan viajar a los EEUU por motivos de trabajo, busquen asesoramiento interno o externo, borren de manera segura toda la información que no necesiten, oculten de la mejor manera que puedan y sepan la que necesiten, aprendan a mentir y, por si las moscas, lleven el teléfono del abogado de la empresa en el bolsillo.

Y si viajan por motivos personales… no se lleven el portátil del trabajo.

[Nota: Me apunta rápidamente Toni Villalón que la solución a esto pasa por el uso de sistemas de ficheros esteganográficos, por lo que ya tienen nombre para su política: “Política de uso de esteganografía”. Eso no obstante lo dejaremos para otra entrada.]

Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.

Una vez “analizada”, ésta no es en realidad más que el formalismo de informar al trabajador de que se están tratando sus datos; seguramente el clima algo tenso de la oficina y algunas expresiones poco afortunadas ha provocado que su propósito se malinterprete. El texto en cuestión entra en finalidades, ejercicio de derechos ARCO, “cesión” de datos a empresas vinculadas accionarialmente, solicitud de consentimiento y otros. Básicamente, mi impresión es que la empresa de esta chica está abordando un proyecto de adaptación a la LOPD, y éste es un paso más que hay que dar. No obstante, caben varios peros a la comunicación realizada, que deberían servir de ejemplo para todo aquel que esté pensando en realizar una comunicación de tratamiento de datos a sus empleados.

En primer lugar, el lenguaje y las expresiones son en algunos casos muy desafortunadas. Frases como “la empresa recabará a lo largo de la relación laboral todos los datos de carácter personal que sean necesarios” o “el trabajador presta su consentimiento expreso […] para que cualquiera de sus datos de carácter personal, incluidos los sujetos a especial protección, puedan ser almacenados y utilizados por la Empresa” no son tranquilizadoras, y menos para personas que desconocen la LOPD y sus límites. Probablemente la expresión “aquellos datos estrictamente necesarios” hubiese sido igual de válida, y proporciona una mayor seguridad a quien lo ha de firmar. Para que se hagan una idea, el uso de “recabar” y la mención de datos de salud o afiliación sindical de los trabajadores, hacían que ella y sus compañeros pensasen que se estaba autorizando a la empresa a investigar al empleado por todos los medios necesarios.

En segundo lugar, hablar de cesión de datos a empresas vinculadas accionarialmente con la empresa tampoco tranquiliza, aunque sea para las mismas finalidades descritas. Sería deseable especificar qué empresas, o al menos a qué se dedican éstas; en mi opinión, si se trata de un grupo de empresas, lo más probable es que sea para la realización de la nómina y almacenamiento de los datos en los sistemas de la empresa (si fuese así, se trataría de un tratamiento de datos y no una cesión, por lo que tampoco sería necesario informar al empleado, pero puesto que existen otras finalidades, no está de más recabar consentimiento expreso), pero es mejor dejar las cosas claras, porque para personas que no tienen relación con el contenido de la LOPD, puede dar la sensación de que sus datos se van a vender, o a proporcionar a vaya usted a saber quién para vaya usted a saber qué.

Por último, al parecer nadie en la empresa se ha puesto en contacto con ellos para aclarar qué quiere decir exactamente este escrito; ni por qué deben firmarlo, ni qué pasa si no quieren firmarlo, ni qué es la LOPD ni para qué sirve; ni qué quiere decir todo eso de los datos de salud y afiliación sindical. Ni siquiera la persona que gestiona su delegación ha podido obtener explicaciones de la central. Aparte de que es necesario en muchos casos realizar formación sobre la LOPD (tanto para informar al empleado de qué se hace con sus datos, como para formarle en la gestión de datos de terceros a los que tiene acceso), no hubiese estado de más una circular alternativa, o una simple presentación por email, con formación sobre la LOPD. Eso hubiera evitado que mi amiga viese esto como una amenaza, en lugar de una comunicación de derechos y una obligación de la empresa, que es lo que en realidad es.

Resumiendo. Sin prescindir del necesario contenido formal, es muy importante que esa comunicación se realice de la manera adecuada, pero también que transmita las sensaciones e ideas que se pretenden: “Yo soy la empresa, y para poder pagarte la nómina, descontarte la cuota sindical, gestionar tu formación, o prevenir los riesgos laborales, necesito tener acceso a algunos de tus datos personales; datos que tendré que almacenar, y utilizaré para eso y para nada más. Que sepas que me comprometo legalmente a velar por su seguridad y que tienes una serie de derechos que puedes ejercer en todo momento”.

No hay que olvidar que, por muchas medidas de seguridad, normativas, y políticas que queramos implantar, el empleado es al fin y al cabo el eslabón más importante de la cadena: es el que utiliza, accede, modifica y gestiona los datos de clientes, de personal interno, de proveedores, etc. Así que sería muy importante que no fuese el más débil.

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias…

Como defensor de compartir conocimiento, siempre me han molestado las actitudes de apropiación del mismo por parte de unos cuantos que pretenden adoptar como propios trabajos que no han realizado (lo que se viene a llamar “plagio”); por tanto —deformación profesional— de vez en cuando me da por utilizar alguna triquiñuela (que llamaré “marca de agua casera”, con perdón de los puristas) para ver hasta donde llegan los límites de la capacidad humana para plagiar. Los resultados son siempre asombrosos.

Una errata —intencionada o no— en una imagen o en un fichero PDF tan tonta como incluir una referencia a la norma “ISO 17779” en lugar de a la norma “ISO 17799”, a “ISO 27OO1” en lugar de a “ISO 27001” o un ejemplo de uso de funciones resumen (hash) con un resumen generado por un fichero personal (a priori, una ristra de caracteres irrepetible en el mundo), una ubicación en Internet en la que poner a disposición del público ese trabajo, y un poco de tiempo para que los robots de búsqueda hagan su trabajo y el documento se indexe adecuadamente. Es todo lo que necesitamos para rastrear plagios.

Un buen día, con un café y un par de horas por delante, no tenemos más que utilizar un buscador, introducir esa errata y depurar un poco la información obtenida (alguien puede haberse equivocado también y llamar a una norma ISO 17779 en lugar de ISO 17799). Los resultados son inmediatos: ni se imaginan hasta donde llega la capacidad humana para copiar, pegar, y apropiarse de un trabajo que no han realizado. Hagan la prueba, se sorprenderán.

En fin, que a todos nos halaga que utilicen material que hemos realizado y puesto a disposición de los demás (para eso está, y es señal de que está bien y gusta). Pero una cosa es basarse en dicho material, y otra fusilarlo cambiándole el autor (y encima sin solucionar el “error”); bastaría algo tan tonto como una simple referencia al autor real y asunto solucionado. ¿Qué hay de malo en decir que alguien ha hecho algo bien, aunque trabaje en otra empresa que se dedica a lo mismo que yo?

Como adivinarán, hoy hemos vuelto a encontrar un caso de plagio en las presentaciones de una empresa de la competencia (que obviamente no citamos); ni es la primera ni probablemente será la última. A veces se olvida que (a) en este mundillo nos conocemos todos y (b) somos lo suficientemente paranoicos para hacer el tipo de cosas que describimos en este post. Vayan con cuidado, que al final todo se sabe :)

Por cierto. Adjunto la imagen “apropiada”, con la errata (el ‘7’ que debería ser un ‘9’) indicada en rojo, para que aquellos interesados corrijan el error de cara a presentaciones futuras (sin ironías, palabra). Ah. Nota al margen. En la presentación en la que se incluyó dicho diagrama hay otra errata (de otro diagrama plagiado).

P.D. Un compañero de S2 Grupo es un especialista en marcas de agua en las boletas de VISA que firmamos al hacer compras o comer en un restaurante, y detectar así muchas cosas en caso de problemas. Pero esto, para una próxima entrada.

Imaginen la siguiente escena, no sacada de ningún ejemplo real pero que seguro que podría aplicarse fácilmente a muchas empresas. Una mañana cualquiera, suena el teléfono en un Departamento de Sistemas cualquiera, y lo coge Miguel, un técnico cualquiera:

—Sístemas, ¿dígame?
—¿Sí? Hola, soy Juan Tévez, de Recursos Humanos. Verás, acaba de entrar una persona nueva al Departamento de Contabilidad y necesito que le déis algunos accesos.
—Aquí no hemos recibido ninguna solicitud.
—Ya, ya lo sé. Lo cogieron ayer y acaba de entrar, y el tema corre algo de prisa, por la auditoría financiera de la semana que viene. Tengo al director del Departamento Financiero dándome la brasa toda la mañana, así que qué quieres que te diga.
—Ya, pero ya sabes cuál es el procedimiento…
—Mira, te juro que te mando la solicitud dentro de un rato, pero necesito esos accesos ahora para que esta persona pueda ponerse a trabajar esta tarde.
—Bueno, no sé… Bien, vale, ¿qué necesita?
—Supongo que para empezar un PC y una cuenta de correo; se llama Andrés Martínez. En principio, de momento dale también acceso al módulo de Contabilidad de SAP y a las carpetas departamentales; Cristina López es de Contabilidad así que con que le des acceso a las mismas carpetas que ella, va sobrado para empezar. Como supongo que el PC tardará algo más, mándame las contraseñas de su usuario a mi email, que esta tarde se ponga en el equipo de María, y así vamos adelantando.
—¿A tu cuenta?
—Sí, Juan Tévez; imagino que habrá sólo uno. Dentro de un rato te mando el formulario con la firma del responsable y los accesos que necesita.
—Bien, que no se te pase, por favor.
—No te preocupes y muchas gracias.
—De nada, hasta luego.
—Hasta luego.

Click…

[Read more…]