Iurismatica - Derecho TICs

La Entidad Pública Empresarial red.es e INTECO han publicado un procedimiento para hacer frente al “phishing” que puede servir siempre y cuando se produzcan bajo nombres de dominio con el código correspondiente a España “.es”. Dichas entidades informan que:

Con el objeto de actuar contra el fraude electrónico que se produzca en nombres de dominio bajo el “.es”, la entidad pública empresarial Red.es (en adelante, “Red.es”) en connivencia con el Instituto Nacional de Tecnologías de la Información (en adelante, “INTECO”), organismo que presta atención a todos los tipos de fraude electrónico, centrándose sobre todo en los casos relacionados con nombres de dominio bajo el “.es”, pone de manifiesto lo siguiente:

• Siempre que se detecte un posible caso de phishing, los usuarios pueden remitir el caso a INTECO, a través del buzón de correo electrónico fraude@cert.inteco.es. Una vez recibida la información en INTECO y, una vez caracterizado el caso, INTECO contacta con todas las entidades implicadas para facilitar la detección temprana del phishing de forma que cada agente tome las medidas que estime oportunas y, según lo establecido en el Protocolo “.es”, comunica a Red.es el caso a efectos de iniciar un procedimiento de cancelación de oficio respecto a los nombres de dominio afectados.

• Las denuncias a las Fuerzas y Cuerpos de Seguridad del Estado (en adelante, “FSCE”), las han de presentar los afectados, indicándoles INTECO el procedimiento a seguir. No obstante, INTECO colabora con las FSCE proporcionando información complementaria a sus investigaciones cuando así lo requieren.

• Red.es no tiene atribuidas más competencias que las señaladas anteriormente para actuar contra casos de phishing, ya que se trata de una modalidad de estafa, delito tipificado en el Código Penal, por lo que es la jurisdicción penal la que tiene atribuidas mayores competencias al respecto.

• Dicho procedimiento tiene por objeto bloquear el nombre de dominio durante el transcurso del mismo y comprobar si se está produciendo un incumplimiento de las condiciones de asignación y de uso del nombre de dominio bajo “.es”, emitiéndose Resolución estimatoria o desestimatoria. Si la Resolución es estimatoria, se cancela el nombre de dominio a su titular, quedando en situación de libre asignación.

• Una vez recibida en Red.es la comunicación de uno o varios casos de phishing contenidos en páginas web bajo el código de país “.es”, la Autoridad de Asignación inicia, en vía administrativa, un procedimiento de cancelación de oficio, regulado en el Capítulo V de la Instrucción del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el “.es”.

En este caso no podemos sino que aplaudir y apoyar tanto al INTECO como a la Entidad Pública Empresarial Red.es por la labor y el esfuerzo (que me consta) que realizan con la intención de luchar contra este tipo de actos.

El Observatorio de INTECO ha invitado a algunos que profesionalmente nos dedicamos al estudio de las TIC y su relación directa con la seguridad a escribir en su recién creado blog. En él podrás encontrar opiniones y comentarios sobre diversas cuestiones relacionadas con la seguridad de la información: tecnología, malware, fraude, protección de datos, etc… así como referencias a noticias, artículos de opinión, estudios y legislación en este campo. Todo ello con un carácter fresco y dinámico.En el entorno actual donde los cambios se suceden a velocidad de vértigo y donde el mañana se convierte demasiado rápido en ayer, INTECO ha considerado oportuno abrir un canal de comunicación que permita dar voz a todos, profesionales, expertos, usuarios, entendidos y curiosos, un medio que supere el tradicional modo de comunicación unidireccional y abra discusiones y debates a todo el mundo.

Me gustaría invitarte, desde aquí a que consultes el Blog sobre seguridad de la información y dejes tus comentarios o sugerencias. Tu aportación enriquecerá el debate, seguro.

Está claro que cuando te dedicas a una “especialidad” en cualquier sector profesional lo mejor es observar las diferentes ofertas de trabajo o concursos para provisión de plazas en las instituciones de referencia en la especialidad. Esta temporada ha habido diferentes propuestas para Licenciados en Derecho con algún Máster en Derecho Informático o similar o con amplios conocimientos en Protección de Datos:

- La Agencia Española de Protección de Datos convoca la provisión de puestos de libre designación.

- La Entidad Pública Empresarial Red.es publicó el concurso para la convocatoria para la contratación de servicios profesionales de dos asesores jurídicos.

- Inteco publicó la convocatoria para la contratación de un técnico jurídico.

Desde el “Observatorio de la Seguridad de la Información perteneciente al Instituto Nacional de Tecnologías de la Comunicación (INTECO), se nos informa de la presentación del “Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas (PYME)” publicado en Enero de 2008. En este informe se presenta una visión de la situación y necesidades la PYME en materia de seguridad, haciendo una comparativa con la Gran Empresa y formulando recomendaciones de actuación a los diferentes actores implicados.

Del estudio destacaría 2 hechos, el primero de ellos, lo titularía “el hombre es el único animal que tropieza 2 veces en la misma piedra”:

Es destacable el hecho de que las PYME, a pesar de declarar haber sufrido un número elevado de incidentes de seguridad, consideran que éstas no han tenido consecuencias destacables, no siendo capaces de monetarizar las perdidas de tiempo y recursos provocados por la incidencia. Esto explica que el 85% de las pymes participantes en el estudio afirmen no cambiar sus hábitos o sistemas de seguridad tras sufrir un incidente de este tipo.

Asimismo es destacable el bajo cumplimiento de la normativa de protección de datos en las PYMES detectado por el INTECO:

Un resultado significativo y que confirma la idea anterior es el hecho de que, a pesar de que tan sólo un 7% de las pequeñas y medianas empresas declaran desconocer la normativa sobre protección de datos (LOPD), existen grandes diferencias en la aplicación de ésta (un 81,6% de las grandes empresas afirma haber realizado una auditoria de seguridad frente a un 17,7% de PYMES que lo han hecho).

El estudio, que recomiendo su lectura, analiza las diferencias existentes al respecto entre la PYME y la gran empresa española, al comparar los resultados de encuestas realizadas en ambos colectivos: 265 encuestas a pequeñas y medianas empresas y 282 grandes empresas españolas.

Fuente: INTECO

El pasado mes de septiembre, el Instituto Nacional de Tecnologías de la Comunicación (aka INTECO) presentó el Estudio sobre la Seguridad de la Información y e-Confianza en el ámbito de las Entidades Locales (sí ya lo sé han pasado 2 meses, así que no es una noticia reciente, pero el día a día a veces produce que amontonemos ciertos estudios e informes por falta de tiempo, pero lo importante es de vez en cuando retomarlos y leerlos tranquilamente) que pretendía proporcionar una visión actualizada dele stado y necesidades de seguridad y confianza digital de las entidades locales en España que identifique los principales riesgos a los que están expuestos sus sistemas de información y comunicaciones. Del estudio que han realizado a 471 Ayuntamientos y 49 Diputaciones, Consells y Cabildos me quedo con las siguientes fortalezas en seguridad por parte de los Entes Locales:

• Elevada concienciación sobre la importancia de la seguridad de los sistemas de información.

• Asignación de un responsable de seguridad de cara al cumplimiento de la normativa de protección de datos de carácter personal e inclusión de cláusulas en los contratos.

• Control de los equipos y recursos informáticos mediante un inventario de activos, controles de protección y acceso físico a los mismos y políticas de gestión de identificación, contraseñas y autenticación de usuarios remotos, salvo en los gobiernos municipales de pequeño tamaño.

• Prevención y detección de software malicioso y actualizaciones de sistemas operativos y aplicaciones.

A su vez han identificado una serie de oportunidades de mejora:

• Incrementar el presupuesto destinado a la seguridad de la información, más acentuada en los gobiernos locales de pequeños municipios, que son los que precisan una mayor inyección de recursos.

• Reforzar las acciones formativas, políticas para el correcto uso de correo electrónico y de controles criptográficos, mayor control de riesgos de seguridad, planes de continuidad del negocio (salvo en entes locales de grandes y medianos municipios), etc.

• Mejorar el cumplimiento normativo de la protección de datos personales en entidades de pequeños y medianos municipios, ya que no se realizan auditorías periódicas.

Del estudio uno de los puntos que me ha resultado más curioso es que las áreas de seguridad más valoradas por los expertos consultados son las de Seguridad de lso Activos y Seguridad de los Datos. Dentro de estas áreas, las prácticas de seguridad consideradas más relevantes han sido la de la mesa despejada y la pantalla bloqueada para reducir el riesgo de acceso no autorizado. Medidas que siempre he recomendado y no me he cansado de repetir cada vez que hemos realizado algún tipo de actuación en Ayuntamientos a la hora de asesorar en materia de protección de datos de carácter personal. Os recomiendo el informe