Mariasanta’s Weblog

Just another WordPress.com weblog

MODERNIZACIÓN DE LA ADMINISTRACIÓN LOCAL (E-MODEL) febrero 9, 2009

Con el fin de que la Administración Local pueda ir adaptándose a los requisitos establecidos por la Ley 11/2007, de 22 de Junio, de Acceso Electrónico a los Ciudadanos a Servicios Públicos, el Ministerio de Administraciones Públicas (MAP) ha abierto el plazo para la presentación de solicitudes, para la concesión de subvenciones de los Proyectos de Modernización Administrativa Local (eModel) correspondientes al año 2009.

Los proyectos subvencionables serán aquellos que tengan como fin conseguir, a través de la utilización de Tecnologías de la Información, los siguientes objetivos:

  • Mejora de los servicios
  • Simplificación de procedimientos
  • Mejora de las infraestructuras tecnológicas y de comunicación

Los beneficiarios podrán ser:

  • Municipios de mas de 5.000 habitantes
  • Conjunto de municipios, cuya suma sea superior a 5.000 habitantes
  • Diputaciones provinciales, cabildos y consejos insulares y comunidades autónomas uniprovinciales

Los proyectos deberán ser presentados antes del día 1 de abril de 2009 y la cantidad a financiar por el MAP no será nunca superior al 50% del coste total del proyecto. El resto del mismo puede ser financiado bien con fondos propios, bien con ayudas procedentes de otras entidades. En cualquier caso, la aportación de fondos propios ha de ser al menos del 15% del importe de la inversión.

Los criterios más valorados a la hora de puntuar los diferentes proyectos serán:

  1. Mejora de la interoperabilidad
  2. Posibilidad de reutilizar por parte de otras AA.PP. los productos resultantes
  3. Utilización de estandares libres y software de fuentes abiertas
  4. Utilización de sistemas comunes de información promovidos por el MAP
  5. Adecuación del proyecto a los objetivos del Plan de Acción Europa
 

SGSI (1ª PARTE): PLANEAR enero 7, 2009

Filed under: General,ISO 27001,SGSI — mariasanta @ 11:26 am
Tags: , ,

 

Tal y como hago referencia en el anterior post denominado “CONCEPTO Y BENEFICIOS DE LA SGSI”, existen una serie de pasos para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), el primero de ellos es PLANEAR (Creación del SGSI), que es el momento de definir la política, objetivos, procesos y procedimiento del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización.

 

Para la creación de la SGSI, la organización debe hacer lo siguientes:

 

Definir el alcance según las características de la actividad empresarial, la organización, su ubicación, activos y tecnología.

 

Definir la política de la SGSI, cuyo documento deberá contener, al menos:

a.      Una definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la información.

b.      Establecer objetivos de gerencia como soporte de los objetivos y principios de la Seguridad de la Información.

c.      Objetivos de control, incluyendo la estructura de evaluación y gestión del riesgo.

d.      Explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.

e.      Responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluida la comunicación de las incidencias de seguridad.

f.       Referencias a documentación que pueda sustentar la política.

 

Definir el enfoque de la evaluación de riesgos de la organización

a.      Establecer metodologías para la evaluación de riesgos, las necesidades del negocio  en materia de seguridad de la información de la empresa y los requisitos legales y reglamentarios.

b.      Desarrollar criterios de aceptación de riesgo y fijar los niveles de riesgo aceptables.

 

Identificar los riesgos, se basa en la identificación de los activos, así como las amenazas y vulnerabilidades que afectan a los mismos.

 

Analizar y valorar los riesgos

a.      Evaluar los efectos en la actividad de la organización que pudieran derivarse de eventuales fallos de seguridad, con la consecuente perdida de confidencialidad, integridad y disponibilidad de los activos.

b.      Evaluar la probabilidad de que se produzcan fallos de seguridad debido a las amenazas y vulnerabilidades existentes.

c.      Estimar los niveles de riesgo.

d.      Determinar si los riesgos son aceptables o si requieren un tratamiento.

 

Identificar y evaluar las opciones para el tratamiento de riesgos

Para cada uno de los riesgos identificados, se toma una decisión para el tratamiento del riesgo, entre los que se pueden incluir:

a.      La aplicación de controles apropiados para el tratamiento del riesgo.

b.      Evitar la realización de acciones que puedan causar que estos riesgos ocurran.

c.      Transferir los riesgos asociados a terceros como son los proveedores.

 

Se deben seleccionar e implementar controles para conocer los requerimientos identificados por una evaluación de riesgos. Los controles deben asegurarse de que los riesgos son reducidos a un nivel aceptable tomando en cuenta:

a.      Exigencias de las legislaciones y regulaciones nacionales e internacionales.

b.      Objetivos organizacionales.

c.      Exigencias operacionales.

d.      Costo de la implementación y operación en relación con los riesgos que serán reducidos.

 

Se debe tener en cuenta que ningún conjunto de controles puede alcanzar completa seguridad y que una gestión adicional deberá implementarse para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para apoyar las necesidades de la organización.

 

 

 

 

 

 

CONCEPTO Y BENEFICIOS DE LA SGSI diciembre 29, 2008

Filed under: General,ISO 27001,SGSI — mariasanta @ 4:31 pm

 

SGSI, son las siglas que se usan para referirse a un Sistema de Gestión de la Seguridad de la Información y sobre el citado concepto se ha elaborado la Norma Iso 27001 en la que se recogen las pautas para establecer, implantar, operar, monitorear, revisar, mantener y mejorar, en un  contexto global, los riesgos que pueden afectar a una organización.

 

En la sociedad actual, uno de los principales activos de las empresas  es la información que poseen, y éstos deben ser protegidos de manera conveniente frente a las amenazas que puedan poner en peligro la continuidad de la empresa.

 

Se debe tener en cuenta, que es imposible garantizar un nivel de protección total de la información, por muchos recursos humanos y económicos que se destinen al efecto, por lo que, lo que se pretende conseguir en que los posibles riesgos, sean conocidos, asumidos, gestionados y minimizados por parte de la organización, de modo documentado, estructurado y sistemático. Seguridad de la información, es determinar que debe ser protegido y por qué, de que debe ser protegido y como protegerlo.

 

Los pilares básicos del  SGSI son:

  • CONFIDENCIALIDAD: La información no se revela a personas o entidades no autorizadas.
  • INTEGRIDAD: La información está como se pretende, sin modificaciones inapropiadas.
  • DISPONIBILIDAD: Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran.

 

A continuación se detallan los pasos que se deben seguir en los procesos de un SGSI, que son los siguientes:

 

PLANEAR (establecer el SGSI)

Establecer la política, objetivos, procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la información, a fin de entregar resultados conforme a las políticas y objetivos generales de la organización.

 

HACER (implementar y operar el SGSI)

Implementar y operar la política, controles, procesos y procedimientos del SGSI.

 

COMPROBAR (monitorear y revisar el SGSI)

Evaluar y, donde corresponda, medir el desempeño del proceso según la política, objetivos y experiencia práctica del SGSI e informar los resultados a la Gerencia para su examen.

 

ACTUAR (mantener y mejorar el SGSI)

Tomar medidas correctivas y preventivas, basado en los resultados de la auditoria interna del SGSI y el examen de la gerencia u otra información pertinente, para lograr una mejora continua del SGSI.

 

UNA VEZ MAS UTILIZANDO TECNICAS DE GH noviembre 4, 2008

Filed under: Proteccion de datos — mariasanta @ 6:07 pm

El Director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, ha ordenado una investigación “de oficio” con el fin de esclarecer si las 24 cámaras instaladas en un Instituto de Educación Secundario de Valencia incumple la legislación vigente en protección de datos.

 

Las cámaras de seguridad se han instalado en los pasillos, patio, taquillas y demás accesos comunes, pero el colmo ha sido la instalación de una de las cámaras en el baño de chicas.

 

Además de esta medida, que se podría llamar disuasoria, se realiza un control de acceso diario a los estudiantes a través de huella digital, ante estas medidas adoptadas, cabe preguntarse si realmente este centro está cumpliendo con el Art. 4.1 de la LO 15/1999 de Protección de Datos de Carácter Personal en el que se establece que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

 

¿Se considera excesivo colocar cámaras de videovigilancia en los baños con el fin de luchas contra actos vandálicos? ¿La huella dactilar es la mejor manera de controlar  la asistencia de los estudiantes?

En mi opinión, no, pero cada uno que juzgue.

 

 

 

 

 

LA FALTA DE PRIVACIDAD EN LA RED octubre 13, 2008

Filed under: General,Proteccion de datos — mariasanta @ 8:29 am

El diario “El País” publicó ayer un artículo en el que salen a la luz alguna de las carencias del nuevo navegador de Google, Chrome. Entre ellas se encuentran las concernientes a protección de datos, ya que toda la información que recoge acaba en su centro de privacidad y existe una política, poco clara, de lo que google y sus empresas pueden o no pueden hacer con nuestros datos.

 

El negocio de los datos es mucho más rentable de lo que a los usuarios les puede parecer, ya que google almacena información de que busca, cuando y desde donde se conecta, donde pasará sus vacaciones, con quien habla, etc.

 

Cuanto más datos se cruzan más sencillo es crear un perfil del usuario, por eso la legislación española obliga, a través de la LO 15/1999 de Protección de Datos de Carácter Personal, entre otras cosas, a no ceder datos entre empresas si no existe el consentimiento del afectado, a decir al interesados que datos tiene de su persona y para que los utiliza, procediendo a su cancelación cuando ésta ya no es necesaria.

 

Aunque hay que tener en cuenta que google no es la única que hace un mal uso de los datos, también Youtube, Facebook, twitter y un largo etcétera poseen condiciones de uso poco clara en cuanto a la privacidad de los datos.

 

Para ello, el Internacional Working Group On Data Protection in Telecommunications ha publicado unas recomendaciones para que el usuario de redes sociales intente proteger su privacidad sin morir en el intento.

 

JORNADAS SICARM mayo 26, 2008

Filed under: e-administracion,General — mariasanta @ 9:41 am

La pasada semana, se celebró en Murcia el VIII Foro Anual de la Sociedad de la información, detro del citado Foro, se realizaron las jornadas denominadas “RETOS JURÍDICOS DE LA E-ADMINISTRACIÓN” en las cuales se puso sobre la mesa la situación actual de la e-administración en España, entre las cuestiones que se trataron, cabría destacar las siguientes:

  1. La tendencia de las Comunidades Autónomas a la creación de una legislación propia en esta materia, como complemento de la legislación estatal, entre las que se destacaron la ya vigente Ley de la Comunidad Autónoma de Navarra 11/2007, de 4 de Abril, para la implantación de la Administración Electónica en la Administración de la Comunidad Foral de Navarra y el Anteproyecto de Ley de Administración Electrónica de la Comunidad Valenciana.
  2. La colaboración entre las diferentes Administraciones, con el fin de no invertir mas tiempo, dinero y recursos, de los que realmente son necesarios, en procedimientos y aplicaciones que ya han sido realizados por otras Administraciones, con este fin, el Ministerio de Industria, Turismo y Comercio (MITYC) pone a disposición de todas las Administraciones las siguientes aplicaciones; LOCALWEB, LOCALGIS y SIGEM, con los que se pretende conseguir que todos utilicen las mismas aplicaciones, ya que ésto les permitiría cumplir con los plazos establecidos en la Ley 11/2007 de Acceso Electrónico a los Servicios Público sin necesidad de incurrir en gastos excesivos ni esfuerzos innecesarios, además la uniformidad en estructuras de Páginas Webs, Aplicaciones y Procedimientos, facilitaría la Usabilidad por parte del ciudadano.
  3. Finalmente, destacar la asistencia de representantes del Ayuntamiento de Barcelona, así como de las Diputaciones de Almería y Alicante, que pusieron a disposición de los asistentes sus conocimientos en la materia, así como su compromiso de colaboración con el resto de Admistraciones.
 

¿¿RECOMENDAR A UN AMIGO?? ¿¿ESTAS SEGURO?? abril 22, 2008

Filed under: Proteccion de datos — mariasanta @ 5:10 pm

Recientemente, se ha publicado en la página web de la Agencia Española de Protección de Datos (AEPD), una sanción de 600 euros a una empresa por la realización de Marketing Viral del tipo “envía a un amigo”.

En el presente caso, y en general, con esta vía de promoción, se está vulnerando tanto la Ley Orgánica de Protección de Datos (LOPD) como la Ley de Sociedad de Servicios de la Información (LSSI), en cuanto a la primera, se está incumpliendo el Artículo 6 de la LOPD, al no existir consentimiento por parte del “amigo”, al que se le envía la información, además se está vulnerando el Artículo 21 de la LSSI, por la que queda prohibido el envío de de comunicaciones comerciales a través de medios electrónicos si no existe el consentimiento expreso para ello.

¿Como lo solucionamos? ¿Dejamos de utilizar Marketing Viral?

Las soluciones son diversas:

La primera sería dejar de utilizar las citadas técnicas de promoción y comercialización (demasiado sencillo)

En la segunda, debemos analizar el incumplimiento de las diferentes normas, para buscar soluciones conjuntas; en cuanto a la LSSI, sería suficiente que la empresa envíe un e-mail previo al “amigo” para que el mismo confirme que da su consentimiento para recibir información comercial.

Para el caso de la LOPD, la “solución”, por llamarlo de alguna manera,es un poco mas compleja puesto que a través de la web se deberían de realizar las siguientes confirmaciones:

  • La persona que solicita que se realice el envío al “amigo” tiene que aceptar, por una parte que sus propios datos se faciliten al amigo, y por otra parte que tiene poder para otorgar el consentimiento en nombre de dicho amigo.
  • El “amigo” cuando recibe el e-mail acepta, por una parte, que desea recibir información comercial y, además, que realmente el amigo tenía poder para otorgar el consentimiento en su nombre.

A través de éstos medios, ambos implicados cumplirían con la regulación legal de ambas normas.