17 dic 2010

Osasunbidea deberá auditar los hospitales navarros en materia de seguridad de protección de datos



Hoy quiero hacer eco de una noticia publicada en el Diario de Noticias de Navarra:
Kutz encarga el trabajo a una firma pública

Salud debe auditar la seguridad de las historias clínicas para cumplir la ley de protección de datos

Como siempre habrá que ver hasta donde se llega en materia de seguridad en la auditoría que van a llevar a cabo hasta abril de 2011. Desde mi punto de vista deberían abordar el tema teniendo en cuenta los diferentes riesgos de fuga y/o perdida de información, también deberían tener en cuenta la concienciación del personal de los centros de salud en cuanto a confidencialidad y al uso de la información se refiere. Ya sea este uso en soporte papel, en soporte telemático, o en el tratamiento y utilización del sistema de información de Osasunbidea. Asimismo, en mi opinión, entiendo que deberían reforzar más las medidas de seguridad y empezar a dar un mayor cumplimiento entre otras a todas las medidas recogidas en la propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) de 13 de diciembre, así como aquellas que el Real Decreto 1720/2007 de 21 de diciembre (RDLOPD) establece y desarrolla. Asimismo, también hay que tener en cuenta aquellas que la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y su Real Decreto 3/2010, de 8 de enero, el cual regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica establece. Para esto último, en teoría disponen de un plazo de implantación de las citadas medidas de seguridad de menos de un mes ya que vence a principios de enero de 2011.

¿Les dará tiempo a cumplir con lo que el Real Decreto 3/2010 establece? O tan solo se dedicarán a cumplir con el plazo de cumplimiento de la normativa sobre protección de datos que ellos mismos se han impuesto (abril de 2011) con el final de la auditoría que recientemente han encargado a una entidad pública.

Se admiten apuestas... :)


16 dic 2010

Los treinta


Hoy me han caído los treinta, la verdad es que casi no me he dado ni cuenta de que hoy era mi cumpleaños, me he olvidado el móvil en casa y además me ha tocado trabajar en Bilbao así que casi ha sido como un día más...

Me consuelo pensando con lo que se dice ahora de que los treinta son los veinte del siglo veintiuno jejeje :)

1 dic 2010

Las pymes y la LOPD


Hoy me voy a hacer eco de la siguiente noticia: “Solo un 21% de las pymes cuenta con un plan en protección de datos”, noticia publicada en el periódico digital “5 Días” en la que se destacaba que solo el 21% de las Pymes Españolas cuentan con un plan en materia de protección de datos, por lo que casi el 80% de las Pymes Españolas incumplen totalmente los preceptos recogidos en la vigente normativa de protección de datos de carácter personal a pesar de que más del 70% de las compañías españolas reconoce la importancia de tener una estrategia corporativa en materia de protección de datos. Además “5 Días” afirma también que el 13,7% de las mismas desconoce la normativa mientras que el 26% piensa que no está afecto por la normativa de protección de datos. Todos estos datos proceden de un estudio realizado por ISMS Forum Spain, Asociación sin ánimo de lucro cuyo principal objetivo es fomentar la seguridad de la información.

Lo citado por el artículo contrasta con el hecho de que cada vez se utilizan más los medios electrónicos para todo tipo de actividades como son la relación con la administración pública, las transacciones bancarias, las operaciones de compra-venta y sobre todo el uso de las redes sociales tanto de un modo personal como comercial o empresarial. A pesar de todo ello, las empresas no son conscientes de la importancia que hay que prestar a la información, no sólo porque existe una normativa que así lo establece, sino porque la información es en muchos casos el principal activo y pilar fundamental de la empresa, tanto para su buen funcionamiento como para la generación de beneficios.

Por todo ello, en mi opinión si por ejemplo una empresa hace copias de seguridad de sus sistemas de información pero los almacena en el mismo lugar en el que se ubica el servidor o la mayoría de su información y dicha sala no dispone de medidas de seguridad mínimas (sala ignifuga con control de accesos, ventilación etc.), poca utilidad tendrán las citadas copias en caso de desastre o de un incidente grave en nuestros sistemas de información. Esto que dicho así parece una tontería, es uno de los incumplimientos más típicos en materia de seguridad de la información que suelo observar en las auditorías que realizo.

En conclusión, no se trata sólo de cumplir la legislación para que no nos multen, se trata de preservar la información porque es nuestro principal activo junto con nuestros clientes y su privacidad.

Para más info sobre protección de datos y las jornadas:

www.protegetuinformación.com