Los proyectos subvencionables serán aquellos que tengan como fin conseguir, a través de la utilización de Tecnologías de la Información, los siguientes objetivos:

• Mejora de los servicios
• Simplificación de procedimientos
• Mejora de las infraestructuras tecnológicas y de comunicación

Los beneficiarios podrán ser:

• Municipios de mas de 5.000 habitantes
• Conjunto de municipios, cuya suma sea superior a 5.000 habitantes
• Diputaciones provinciales, cabildos y consejos insulares y comunidades autónomas uniprovinciales

Los proyectos deberán ser presentados antes del día 1 de abril de 2009 y la cantidad a financiar por el MAP no será nunca superior al 50% del coste total del proyecto. El resto del mismo puede ser financiado bien con fondos propios, bien con ayudas procedentes de otras entidades. En cualquier caso, la aportación de fondos propios ha de ser al menos del 15% del importe de la inversión.

Los criterios más valorados a la hora de puntuar los diferentes proyectos serán:

1. Mejora de la interoperabilidad
2. Posibilidad de reutilizar por parte de otras AA.PP. los productos resultantes
3. Utilización de estandares libres y software de fuentes abiertas
4. Utilización de sistemas comunes de información promovidos por el MAP
5. Adecuación del proyecto a los objetivos del Plan de Acción Europa

Tal y como hago referencia en el anterior post denominado “CONCEPTO Y BENEFICIOS DE LA SGSI”, existen una serie de pasos para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), el primero de ellos es PLANEAR (Creación del SGSI), que es el momento de definir la política, objetivos, procesos y procedimiento del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización.

Para la creación de la SGSI, la organización debe hacer lo siguientes:

Definir el alcance según las características de la actividad empresarial, la organización, su ubicación, activos y tecnología.

Definir la política de la SGSI, cuyo documento deberá contener, al menos:

a.      Una definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la información.

b.      Establecer objetivos de gerencia como soporte de los objetivos y principios de la Seguridad de la Información.

c.      Objetivos de control, incluyendo la estructura de evaluación y gestión del riesgo.

d.      Explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.

e.      Responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluida la comunicación de las incidencias de seguridad.

f.       Referencias a documentación que pueda sustentar la política.

Definir el enfoque de la evaluación de riesgos de la organización

a.      Establecer metodologías para la evaluación de riesgos, las necesidades del negocio  en materia de seguridad de la información de la empresa y los requisitos legales y reglamentarios.

b.      Desarrollar criterios de aceptación de riesgo y fijar los niveles de riesgo aceptables.

Identificar los riesgos, se basa en la identificación de los activos, así como las amenazas y vulnerabilidades que afectan a los mismos.

Analizar y valorar los riesgos

a.      Evaluar los efectos en la actividad de la organización que pudieran derivarse de eventuales fallos de seguridad, con la consecuente perdida de confidencialidad, integridad y disponibilidad de los activos.

b.      Evaluar la probabilidad de que se produzcan fallos de seguridad debido a las amenazas y vulnerabilidades existentes.

c.      Estimar los niveles de riesgo.

d.      Determinar si los riesgos son aceptables o si requieren un tratamiento.

Identificar y evaluar las opciones para el tratamiento de riesgos

Para cada uno de los riesgos identificados, se toma una decisión para el tratamiento del riesgo, entre los que se pueden incluir:

a.      La aplicación de controles apropiados para el tratamiento del riesgo.

b.      Evitar la realización de acciones que puedan causar que estos riesgos ocurran.

c.      Transferir los riesgos asociados a terceros como son los proveedores.

Se deben seleccionar e implementar controles para conocer los requerimientos identificados por una evaluación de riesgos. Los controles deben asegurarse de que los riesgos son reducidos a un nivel aceptable tomando en cuenta:

a.      Exigencias de las legislaciones y regulaciones nacionales e internacionales.

b.      Objetivos organizacionales.

c.      Exigencias operacionales.

d.      Costo de la implementación y operación en relación con los riesgos que serán reducidos.

Se debe tener en cuenta que ningún conjunto de controles puede alcanzar completa seguridad y que una gestión adicional deberá implementarse para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para apoyar las necesidades de la organización.

SGSI, son las siglas que se usan para referirse a un Sistema de Gestión de la Seguridad de la Información y sobre el citado concepto se ha elaborado la Norma Iso 27001 en la que se recogen las pautas para establecer, implantar, operar, monitorear, revisar, mantener y mejorar, en un  contexto global, los riesgos que pueden afectar a una organización.

En la sociedad actual, uno de los principales activos de las empresas  es la información que poseen, y éstos deben ser protegidos de manera conveniente frente a las amenazas que puedan poner en peligro la continuidad de la empresa.

Se debe tener en cuenta, que es imposible garantizar un nivel de protección total de la información, por muchos recursos humanos y económicos que se destinen al efecto, por lo que, lo que se pretende conseguir en que los posibles riesgos, sean conocidos, asumidos, gestionados y minimizados por parte de la organización, de modo documentado, estructurado y sistemático. Seguridad de la información, es determinar que debe ser protegido y por qué, de que debe ser protegido y como protegerlo.

Los pilares básicos del  SGSI son:

• CONFIDENCIALIDAD: La información no se revela a personas o entidades no autorizadas.
• INTEGRIDAD: La información está como se pretende, sin modificaciones inapropiadas.
• DISPONIBILIDAD: Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran.

A continuación se detallan los pasos que se deben seguir en los procesos de un SGSI, que son los siguientes:

PLANEAR (establecer el SGSI)

Establecer la política, objetivos, procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la información, a fin de entregar resultados conforme a las políticas y objetivos generales de la organización.

HACER (implementar y operar el SGSI)

Implementar y operar la política, controles, procesos y procedimientos del SGSI.

COMPROBAR (monitorear y revisar el SGSI)

Evaluar y, donde corresponda, medir el desempeño del proceso según la política, objetivos y experiencia práctica del SGSI e informar los resultados a la Gerencia para su examen.

ACTUAR (mantener y mejorar el SGSI)

Tomar medidas correctivas y preventivas, basado en los resultados de la auditoria interna del SGSI y el examen de la gerencia u otra información pertinente, para lograr una mejora continua del SGSI.

Las cámaras de seguridad se han instalado en los pasillos, patio, taquillas y demás accesos comunes, pero el colmo ha sido la instalación de una de las cámaras en el baño de chicas.

Además de esta medida, que se podría llamar disuasoria, se realiza un control de acceso diario a los estudiantes a través de huella digital, ante estas medidas adoptadas, cabe preguntarse si realmente este centro está cumpliendo con el Art. 4.1 de la LO 15/1999 de Protección de Datos de Carácter Personal en el que se establece que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

¿Se considera excesivo colocar cámaras de videovigilancia en los baños con el fin de luchas contra actos vandálicos? ¿La huella dactilar es la mejor manera de controlar  la asistencia de los estudiantes?

En mi opinión, no, pero cada uno que juzgue.

El negocio de los datos es mucho más rentable de lo que a los usuarios les puede parecer, ya que google almacena información de que busca, cuando y desde donde se conecta, donde pasará sus vacaciones, con quien habla, etc.

Cuanto más datos se cruzan más sencillo es crear un perfil del usuario, por eso la legislación española obliga, a través de la LO 15/1999 de Protección de Datos de Carácter Personal, entre otras cosas, a no ceder datos entre empresas si no existe el consentimiento del afectado, a decir al interesados que datos tiene de su persona y para que los utiliza, procediendo a su cancelación cuando ésta ya no es necesaria.

Aunque hay que tener en cuenta que google no es la única que hace un mal uso de los datos, también Youtube, Facebook, twitter y un largo etcétera poseen condiciones de uso poco clara en cuanto a la privacidad de los datos.

Para ello, el Internacional Working Group On Data Protection in Telecommunications ha publicado unas recomendaciones para que el usuario de redes sociales intente proteger su privacidad sin morir en el intento.

1. La tendencia de las Comunidades Autónomas a la creación de una legislación propia en esta materia, como complemento de la legislación estatal, entre las que se destacaron la ya vigente Ley de la Comunidad Autónoma de Navarra 11/2007, de 4 de Abril, para la implantación de la Administración Electónica en la Administración de la Comunidad Foral de Navarra y el Anteproyecto de Ley de Administración Electrónica de la Comunidad Valenciana.
2. La colaboración entre las diferentes Administraciones, con el fin de no invertir mas tiempo, dinero y recursos, de los que realmente son necesarios, en procedimientos y aplicaciones que ya han sido realizados por otras Administraciones, con este fin, el Ministerio de Industria, Turismo y Comercio (MITYC) pone a disposición de todas las Administraciones las siguientes aplicaciones; LOCALWEB, LOCALGIS y SIGEM, con los que se pretende conseguir que todos utilicen las mismas aplicaciones, ya que ésto les permitiría cumplir con los plazos establecidos en la Ley 11/2007 de Acceso Electrónico a los Servicios Público sin necesidad de incurrir en gastos excesivos ni esfuerzos innecesarios, además la uniformidad en estructuras de Páginas Webs, Aplicaciones y Procedimientos, facilitaría la Usabilidad por parte del ciudadano.
3. Finalmente, destacar la asistencia de representantes del Ayuntamiento de Barcelona, así como de las Diputaciones de Almería y Alicante, que pusieron a disposición de los asistentes sus conocimientos en la materia, así como su compromiso de colaboración con el resto de Admistraciones.

En el presente caso, y en general, con esta vía de promoción, se está vulnerando tanto la Ley Orgánica de Protección de Datos (LOPD) como la Ley de Sociedad de Servicios de la Información (LSSI), en cuanto a la primera, se está incumpliendo el Artículo 6 de la LOPD, al no existir consentimiento por parte del “amigo”, al que se le envía la información, además se está vulnerando el Artículo 21 de la LSSI, por la que queda prohibido el envío de de comunicaciones comerciales a través de medios electrónicos si no existe el consentimiento expreso para ello.

¿Como lo solucionamos? ¿Dejamos de utilizar Marketing Viral?

Las soluciones son diversas:

La primera sería dejar de utilizar las citadas técnicas de promoción y comercialización (demasiado sencillo)

En la segunda, debemos analizar el incumplimiento de las diferentes normas, para buscar soluciones conjuntas; en cuanto a la LSSI, sería suficiente que la empresa envíe un e-mail previo al “amigo” para que el mismo confirme que da su consentimiento para recibir información comercial.

Para el caso de la LOPD, la “solución”, por llamarlo de alguna manera,es un poco mas compleja puesto que a través de la web se deberían de realizar las siguientes confirmaciones:

• La persona que solicita que se realice el envío al “amigo” tiene que aceptar, por una parte que sus propios datos se faciliten al amigo, y por otra parte que tiene poder para otorgar el consentimiento en nombre de dicho amigo.
• El “amigo” cuando recibe el e-mail acepta, por una parte, que desea recibir información comercial y, además, que realmente el amigo tenía poder para otorgar el consentimiento en su nombre.

A través de éstos medios, ambos implicados cumplirían con la regulación legal de ambas normas.

En esta linea, el Artículo 4.b) LAE establece el Principio de Igualdad con objeto de que, en ningún caso y a pesar de la obligación de disponer de medios electrónicos, se pueda establecer ésta como la única vía de comunicación, puesto que junto a ésta deben subsistir los medios tradicionales de comunicación con la Administración, por lo que el uso de los medios electrónicos aparecerá únicamente como OPCIÓN.

Con independencia al Principio de Igualdad en el uso de medios, el Artículo 27.6 LAE fija que, reglamentariamente, las Administraciones podrán establecer la OBLIGACIÓN de que las comunicaciones se realicen a través de medios electrónicos cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por su capacidad económica o técnicas tengas garantizado el acceso y disponibilidad de los medios tecnológicos.

En ningún caso se podrá obligar a personas físicas, fuera de las enumeradas en el párrafo anterior, al uso de la administración electrónica, pero si se podrá premiar a aquellos usuarios que opten por las vias de comunicación electrónicas, debido a la agilización en las actuaciones administrativas como consecuencia de los medios empleados. Este premio, tiene una limitación ya que no podrá hacerse efectivo cuando se puedan ver afectado Derechos materiales de los demas interesados, por ejemplo, nunca se podría dar prioridad a la documentación presentada por via electrónica cuando se trate de un sorteo de viviendas de Protección Oficial donde sólo puedan ser afortunados un determinado número de persona.

En virtud de lo expuesto, llegamos a la conclusión de que concurren la OPCIÓN y la OBLIGACIÓN, anque esta última sólo podrá ser efectiva cuando exista un reglamento que lo regule y los interesados sean Personas Jurídicas o colectivos de personas físicas con suficientes medidas técnica y económicas.

En el mismo se establece, que el plazo de entrada en vigor será de 3 meses (19 de Abril de 2008).

Los ficheros declarados previamente a la entrada en vigor del citado reglamento tendrán plazos de adaptación que rondarán entre un año y dos años, según sean automatizados o no automatizados, o las medidas de seguridad que se deban adoptar sean de nivel básico, medio o alto.

En lo que respecta a los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del Reglamento deberán tener implantadas, desde el primer momento la totalidad de las medidas de seguridad.