lunes, 21 de noviembre de 2011

Un cuento lopedé

A veces, da la impresión de que, detrás de una resolución de la AEPD, se esconde una novela del XIX. Ocurre eso, por ejemplo, en la que acabo de leer (PS 322/2011), donde la descripción de los hechos que motivan la denuncia se queda muy lejos de transmitirnos la realidad de la relación entre los héroes de la historia, A.A.A. (denunciado) y B.B.B. (denunciante). ¡Se insinúan tantas cosas!

El señor B trabaja en un centro de enseñanza. Puede que sea el Director, o el Secretario o un profesor, pongamos que de Literatura. No sabemos qué relación tiene A con la institución. Quizás fue trabajador de la misma, o más probablemente, un alumno. Dejemos fluir la grácil prosa de los instructores de la AEPD para saber de qué se le acusa:

“En fecha 5 de julio y posteriores se han abierto cuentas en diversas páginas web utilizando la dirección de correo electrónico ...@1..., dirección de correo de un Centro de Enseñanza del cual es ***CARGO.1 D. B.B.B., sin consentimiento del denunciante. El alta en las web’s ha provocado, en algunos casos, solicitud de compra de artículos que se publicitaban en las páginas y la remisión de las facturas al domicilio del Centro de Enseñanza.”

Las webs en las que ha sido dado de alta el Señor B son de lo más reveladoras: www.elbebe.com, www.venca.es, www.oropostal.es y www.laredoute.es. No resulta difícil imaginar el papelón de este, digamos, profesor de Literatura, cuando empieza a recibir en su centro de trabajo artículos tales como ropa interior femenina y canastillos de bebé. En fin, las risas se oirían hasta en Mahora, provincia de Albacete.

La Agencia investiga. Solicita a las webs toda la información relativa a los registros, incluyendo, si disponen del dato, la IP desde la que se realizó la operación. Con las IPs identificadas, se pone en contacto con los proveedores de acceso a Internet para que obtener los datos de conexión. Y aquí entra el tercer personaje de la historia, Doña C.C.C., sin ninguna relación con los cursos a distancia (¡patapán, psss!).

France Telecom España, compañía a la que le interesa estar a bien con la AEPD, responde que “la dirección IP ***IP.1 en fecha 5 de julio de 2010 a las 17:50 y a las 18:18, en que se realizaron los registros en las web’s www.elbebe.com y www.venca.es estaba asignada al domicilio de Dña. C.C.C..

A Doña C., yo me la imagino como a esa madre, esa viejita buena que siempre sale en los tangos, y que tiene un hijo echado a perder, aunque con buen fondo.

Cuando recibe el requerimiento de la Agencia, Doña C., lectora habitual de blogs sobre nuevas tecnologías, que sabe lo despiadado que puede llegar ser Monsieur le Directeur, casi se desmaya. “Tendremos que vender la casa, el coche, y hasta el apartamento en Torrevieja que ganamos en el “UN, DOS, TRES” para pagar la multa”. B.B.B.duda en huir, pero no puede permitir que su madre se vea involucrada en este asunto y confiesa: “Sí, fui yo”.

Nos enteramos entonces de algo más. El profesor de Literatura, el Señor A, había denunciado los hechos también en la Policía, denuncia que desembocó en un juicio de faltas contra B. Éste escribe unas líneas a la Agencia, dignas del De profundis de Wilde, de lo más inspiradas, sí señor:

“a) El denunciante es conocedor de que quien suscribe ha sido quien ha enviado los correos electrónicos objeto de este procedimiento.

b) Ambos mantuvimos una conversación para expresarle mis disculpas por lo sucedido y por no haberle avisado cuanto antes, siendo estas aceptadas y dejando aclarado el malentendido que tuvimos.

c) En dicha conversación el denunciante me hizo saber de Ia inconveniencia de tener que darse de baja en dichas páginas, no existiendo más perjuicio moral que Ia decepción que le provoqué, de Ia que soy consciente y me avergüenzo.

d) No ha existido en ningún momento un perjuicio económico para el demandante.

Que precisamente por todo esto el denunciante no interpuso acusación en el citado Juicio de Faltas, ya que el incidente lo resolvimos entre los dos satisfactoriamente; manifestándome su voluntad de no continuar con el procedimiento.

Que reconozco Ia responsabilidad del tratamiento de los datos de carácter personal.

Que de todo lo expresado puede dar fe el denunciante, no pudiendo aportar declaración de su parte por no disponer de medio para contactar con él al no tener más medio de contacto que su centro de trabajo y estar en periodo estival…”

Yo, que soy muy sentimental, habría archivado el procedimiento basándome en que este asunto queda dentro del ámbito personal o doméstico. Pero Monsieur le Directeur, retorciéndose su bigote, gritó: “Es un tratamiento de datos sin consentimiento. ¡Que le corten la Cabeza!”… Y un amanuense lo tradujo para la posteridad de la siguiente forma:

“De acuerdo con la definición de tratamiento de datos personales, en el presente caso ha quedado acreditado el alta del denunciante en diversas web`s. Para dichas altas, se realizó un el tratamiento del nombre, apellido, fecha de nacimiento, teléfono y dirección del Centro de Enseñanza. Las citadas altas en las web`s, constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la citada Ley Orgánica.

El vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, define el concepto de datos de carácter personal como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o identificable.

A la vista de la documentación obrante en el procedimiento, no pueden ser tenidas en cuenta las manifestaciones del denunciado, en el sentido de que “…disponía de consentimiento oral para el tratamiento de los datos del denunciante…” y “…Que de todo lo expresado puede dar fe el denunciante, no pudiendo aportar declaración de su parte por no disponer de medio para contactar con él al no tener más medio de contacto que su centro de trabajo y estar en periodo estival…”.

A fecha de hoy, y a pesar del tiempo trascurrido desde el inicio del curso escolar, no se ha recepcionado en esta AgAgencia documento alguno que acredite que el enunciado contaba con el consentimiento del denunciante para el tratamiento realizado de sus datos personales.

Aunque el acuerdo de inicio de los procedimientos sancionadores es siempre de oficio, no obstante en las infracciones del artículo 6 de la LOPD esta Agencia ha archivado en ocasiones el procedimiento incoado tras la recepción de escritos firmados por los denunciantes en los que se reconocía expresamente que los imputados contaban con el consentimiento para el tratamiento realizado de los datos personales. Así, entre otras, las resoluciones publicadas en la web de esta Agencia correspondientes a los procedimientos PS/00533/2007 (de 15 de julio de 2008) y PS/00002/2010 (de 7 de junio de 2010).

En conclusión, el tratamiento de datos personales del denunciante por el denunciado, requiere el consentimiento del titular de los mismos. Teniendo en cuenta que en el presente expediente no obra del denunciante nada más que su escrito de denuncia, debe considerarse incumplido el principio de consentimiento regulado en el artículo 6 de la LOPD. (…)

Por otra parte, la naturaleza de los datos y la gravedad de los derechos hacen necesario utilizar el procedimiento sancionador para sancionar dicha conducta.

No obstante, debe tenerse en cuenta a los efectos de la aplicación del artículo 45.5 de la LOPD, el hecho de que no consta acreditada reincidencia en la conducta imputada al denunciad, consistente en el tratamiento sin consentimiento de los datos del denunciante; teniendo en cuenta el carácter no continuado de la infracción y la falta de vinculación de la actividad de la infractora con la realización de tratamientos de datos de carácter personal, así como que es persona física y que es posible la concurrencia de sanciones adicionales en otros ordenes por la conducta infractora. (…)”.

Resultado: B tendrá que pagar 2.000 € de multa. Doña C. sufrió una subida de azúcar cuando le notificaron la resolución, pero ha convencido a su hijo para que no recurra. Los abogados –esas sanguijuelas- le cobrarían dos veces más por llevar el recurso. ¿Bien está lo que bien acaba?

NOTA DE LA DIRECCIÓN: El texto completo de la resolución se encuentra disponible aquí. A diferencia de lo que hacen algunas asesoras del sector, el comentario que acaban de leer no lo he copiado de ningún boletín. Tampoco lo he sacado de una conferencia a la que he asistido y no cito.

domingo, 20 de noviembre de 2011

Lecciones de seguridad con Jaime Bayly

Como ya saben, desde que descubrí que se podían ver en Youtube los programas de Jaime Bayly no hago otra cosa. Su entrevista a Wendy Sulca debe figurar en los anales de la Televisión en lengua española. 

La vida de Jaime Bayly resulta interesantísima. Da varios para varios cursos sobre derecho a la intimidad y derecho al honor, por los que muestra un absoluto desprecio. Bayly es realmente un canalla, pero el tipo de canalla que todos queremos ser de mayor (ése que, si estuviera menos gordo, se parecería a Basil Rathbone). 

Y no crean: Sus archienemigos están siempre a su altura. A veces, leyendo su blog o sus novelas, da la impresión de que Bayly se pasa el día intentando localizar las IPs de los que le insultan en comentarios en su blog o en el de su actual señora, o le amenazan por e-mail.

Aún hay más. En una de las últimas novelas de Bayly, que cayó en mis manos gracias a Doña Almudena, encontramos un manual de lo que no se debe hacer con las contraseñas de correo electrónico, y de las horribleas consecuencias que puede tener que un tercero que te odia (tu suegra) utilice indebidamente dichas claves.

El libro comienza con Camila, la hija mayor del autor, intentando enviarle una lista de encargos (ropa y cosas para el cole que incluyen una foto del producto en cuestión):

"Camila trata de enviarme esa lista por correo electrónico, pero, a pesar de que lo intenta en varias ocasiones, no la recibo, tal vez porque su buzón de Hotmail no le permite mandar un correo tan pesado o porque nada que se envíe desde Lima llega nunca a su destinatario o porque el azar conspira contra nosotros. Al pasar dos o tres días y confirmar que no me ha llegado, intenta enviármela desde una casilla de Gmail, pero, de nuevo, algo incierto impide que llegue a mi computadora.

Impaciente, le sugiero que entre a mi correo electrónico y me lo envíe a otro buzón que tengo en ese mismo servidor, que es uno que permite enviar correos pesados, con imágenes en alta resolución. Le digo por teléfono mi clave. Ella toma nota y me dice que entrará a mi correo y me enviará la lista. Al colgar, me pregunto si sentirá curiosidad por leer mis correos y, por las dudas, borro unos pocos, de índole amorosa, que prefiero que no lea (...)

Camila y Lola, mis hijas, quedan al cuidado de su abuela, mi ex suegra, porque Sofía viaja a Berlín y yo, a Buenos Aires. Estando las niñas en el colegio, mi ex suegra encuentra en el escritorio de Camila un papel en el que mi hija ha anotado mi correo y la clave que le dicté por teléfono.

Mi ex suegra no me quiere y tiene buenas razones para no quererme. Ve el papel con mi correo y mi clave y no duda en encender la computadora y meterse a espiar mis correos. No la culpo. Yo hubiera hecho lo mismo.

Lo que más desea es encontrar algún correo en el que hable mal de su hija Sofía, mi ex esposa, pero no consigue encontrarlo, porque no tengo razones para hablar mal de ella, sólo para hablar bien (...)

Luego lee algunos correos que nos hemos enviado Martín y yo, correos en los que resulta evidente que la amistad ha sido desbordada por una forma de amor que roza más la complicidad fraternal que las servidumbres convencionales de la vida en pareja. Se escandaliza por las palabras tiernas o cariñosas que nos decimos, por los diminutivos cursis, cargados de afecto, por las alusiones a los juegos amatorios que decimos echar de menos, y quizás incluso nos envidia.

No espera encontrar lo que se abre de pronto ante sus ojos: correos amatorios inflamados no de una sino de cuatro mujeres que me esciben desde distintas ciudades y a las que rspondo de un modo no menos apasionado. (...)

Mi ex suegra lee consternada esos correos llenos de amor (o de promesas amorosas) y tal vez piensa: Este maricón no es tan maricón como yo creía.

Lo que no sabe es que ninguna de esas mujeres ha tenido intimidad amorosa conmigo, sólo me han escrito prometiéndome que la tendrán, pero tal vez eso nunca ocurrirá y lo que necesitaban era escribirlo, permitirse esa pequeña, secreta infidelidad.

Mi ex suegra reenvía todos esos correos amorosos (o mentirosos, esto aún no está claro) al buzón de Sofía (...) Mi contenta con eso, mi ex suegra envía a esas mujeres un correo escrito en mayúsculas (algo insólito en mí)que dice: "NO ME GUSTAS PORQUE SOY MARICÓN Y TENGO MARIDO ARGENTINO, ADIÓS".

Luego lee otros correos de editores o agentes literarios o ejecutivos de tal o cual televisión que me sugieren hacer tal o cual programa, y se enfada al comprobar que todavía trabajo y que me gusta mi trabajo (porque es todo menos un trabajo), y en venganza envía a esas personas un correo también escrito en mayúsculas (algo que siempre he contrado atroz) que dice: "NO CUENTES CONMIGO, TENGO SIDA Y ME ESTOY MURIENDO, ADIÓS".

Al día siguiente, recibo correos de novias cibernéticas, amigos, editores, agentes y ejecutivos de televisión, que me piden explicaciones por las líneas descomedidas que han recibido desde mi buzón y recién entonces me entero de que alguien ha penetrado en ese territorio íntimo y ha escrito unas líneas horrendas en mi nombre. Hago algunas simples pesquisas y confirmo que es mi ex suegra la que ha espantado de ese modo tan pintoresco a la poca gente que aún me aprecia o hace esfuerzos riesgosos por quererme. Enseguida trato de cambiar mi clave o contraseña, pero, por razones de seguridad, me preguntan cuál es mi película favorita y no sé responder. Escribo ocho, diez nombres de películas que me han gustado mucho, pero ninguno es la respuesta correcta, y por eso me impiden cambiar mi contraseña.

Escribo entonces Less than zero y descubro que es o era mi película favorita. Finalmente les escribo a Lucía, Gabriela, Claudia y Ana, pidiéndoles disculpas, explicándoles el espionaje del que he sido víctima y rogándoles que le escriban unas líneas a mi ex suegra, diciéndole que soy un amante memorable, el mejor que han tenido. Al caer la noche, camino al videoclub y alquilo Less than zero."
(BAYLY, Jaime: El canalla sentimental. Editorial Planeta. Barcelona, 2010. pp. 9-13) 

Y así, señores, es cómo se cita un libro. En fin, les dejo. Tengo que ponerme a escribir cosas más serias para que luego me las plagien en blogs de tres (al cuarto) entradas.

sábado, 19 de noviembre de 2011

La CNIL y el Derecho al Olvido

La CNIL ha sancionado recientemente a una entidad que mantenía un repositorio de jurisprudencia on-line sin anonimizar las resoluciones.

La sanción no ha sido especialmente elevada (sobre todo, para los que estamos acostumbrados a ver cómo las gasta nuestro Monsieur le Directeur): Tan sólo 10.000 €. Si se la comentó aquí es por la valoración que ha hecho la autoridad francesa, que considera esta práctia atentatoría contra el derecho al olvido (le droit à l'oubli numérique).

Al parecer, las resoluciones estaban disponibles sin ninguna restricción y podían ser indexadas por Google. La CNIL había recibido veinte reclamaciones de particulares relativas a este web, y entre todas destaca una: Una persona fue rechaza para un puesto de trabajo porque sus empleadores "googlearon" su nombre y hayaron en el site de la sociedad condenada una sentencia de 12 años de antigüedad.

La autoridad francesa comenta: "Cette décision de sanction traduit la ferme volonté de la CNIL de faire respecter cette recommandation protectrice de la vie privée des personnes et de garantir un véritable droit à l'oubli sur internet."

Hay otra cosa que me ha llamado la atención. Las primeras quejas de particulares datan del 2007. La CNIL se había puesto en contacto con los administradores del site sin que se tuvieran en cuenta sus peticiones. Sólo después de ver cómo sus requerimientos no eran atendidos, se ha decidido sancionar. En nuestro país, se han impuesto multas por no anonimizar sentencias, pero siempre a escala mucho mejor (nombres que no sen han borrado por error, básicamente). Tal y como está el patio, sólo a los valientes se les ocurriría facilitar sentencias con datos de carácter personal on-line, y de forma masiva.

Los amantes del género pueden encontrar más información aquí.

lunes, 14 de noviembre de 2011

Lecturas recomendadas

En el Informe Jurídico 427/2010, la Agencia Española de Protección de Datos nos ofrece un análisis muy completo del concepto de dato de carácter personal. Resulta de especial interés porque repasa y resumen los informes previamente emitidos sobre el particular, así como la Jurisprudencia de la Audiencia Nacional. Por supuesto, también cita el Dictamen 4/2007 del Grupo de Trabajo del art. 29, del que ya les he hablado en diversas ocasiones, y cuya lectura no me canso de recomendarles.
El informe de la Agencia, desde luego, es más breve y concreto que el Dictamen del GT 29. Deben tenerlo a mano por si se topan con un “enterao lopedé” de esos que dicen cosas como “voy a sustituir el nombre por el DNI en esta tabla para anonimizarla y dejarla fuera de la Lopedé”, o el clásico “si en este Excel no hay nombres ni apellidos, sólo el domicilio, que no se sabe de quién es”.
Algunas perlas que podrán citar en casos similares:

“De las definiciones transcritas se desprende que el legislador comunitario y el español han venido a establecer un concepto amplio de datos de carácter personal, de forma que es posible que determinadas informaciones que de forma directa no identifican a un interesado puedan ser consideradas datos de carácter personal, cuando dicha identificación es posible sin suponer la misma un tiempo o esfuerzo desproporcionados. Dicho de otro modo, el hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos. En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29 de la mencionada Directiva en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007.”

“(…) la Audiencia Nacional ha venido entendiendo que el tratamiento de los datos limitados al número de identificación fiscal o del documento nacional de identidad de un individuo, por sí solo, implica el tratamiento de datos de carácter personal.”

“Del mismo modo, en informe de 8 de febrero de 2007 esta Agencia consideró que el tratamiento limitado al número de matrícula de los vehículos que llevaba a cabo un aparcamiento se encontraba sometido a la Ley Orgánica 15/1999, aún no constando la identificación del titular (…)”

“El dictamen 4/2007 del Grupo de Trabajo creado por el artículo 29 (…) recuerda “los comentarios a los artículos de la propuesta modificada de la Comisión, en donde se afirma que «una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.),que haga posible su identificación al estrecharse el grupo al que pertenece.»”.

Tras incluir ejemplos como los que acaban de reproducirse dentro del concepto de datos personales, recuerda el dictamen igualmente que “cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean éstas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si el responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras”.

Pues bien, teniendo en cuenta lo que acaba de señalarse, debe a nuestro juicio concluirse que el tratamiento conjunto de una dirección postal, que deberá además ser completa a fin de poder satisfacer el pedido solicitado, con el número telefónico desde el que se realiza el pedido, que podrá ser fijo o móvil, permitirá obtener información sobre la persona con la que, en principio se corresponden dichos datos, sin que ello conlleve la realización de esfuerzos desproporcionados.”

Otros informes jurídicos de obligada referencia en casos similares, que pueden servirle de ayuda para lidiar con “enteraos lopedé” son:

El informe jurídico 334/2008, donde ya la AEPD había dejado claro que los listados con DNI y NIF no se pueden considerar “anonimizados”.

El informe jurídico que aclara que la excepción de la persona de contacto del art. 2.2 del RLOPD no puede aplicarse a contratos y otros documentos en los que figuran DNIs o NIFs de personas físicas, aunque actúen en representación de empresas.

Por último, si no sólo ha llegado hasta aquí sin entrar en estado comatoso (lo cual ya es un mérito), sino que además conserva plenas sus facultades mentales, hasta el punto de que la lectura de este post le ha traído a la mente aquella sentencia de la Audiencia Nacional que supuestamente decía que los números de teléfono móvil no eran datos de carácter personal, por favor, sírvase revisar lo que escribí en su momento al respecto (después de leerme la sentencia, claro, no como otros).

sábado, 12 de noviembre de 2011

Libro del Mes (Noviembre)

CLARKE, Richard A. y KNAKE, Robert K.: Guerra en la red. Los nuevos campos de batalla. Editorial Ariel. Barcelona, 2011.

Richard CLARKE, responsable de seguridad con cuatro presidentes de los Estados Unidos, presenta en este libro sus experiencias y conocimientos en la organización de sistemas de defensa frente a ciberataques.

La obra está escrita en colaboración con el periodista Robert KNAKE, cuya participación probablemente ha consistido en organizar y redactar los comentarios de Clarke, ya que es éste último quien en expone en primera persona, a modo de memorias políticas trufadas de anécdotas personales, sus ideas sobre la importancia de las nuevas tecnologías en la política militar de un estado. Así por ejemplo, explica por qué y en qué contexto dijo la que es probablemente su frase más conocida: "Si Usted es una gran compañía y gasta más en café que en seguridad, probablemente le hackearán. (...)Mejor aún: si esas son sus prioridades, merece que le hackeen".

El libro comienza con el que CLARKE considera un ejemplo perfecto de ciberataque autónomo  (es decir, no acompañado de acciones militares tradicionales): El ataque ruso a infraestructuras de comunicación de Estonia tras "la noche de bronce" en 2007.

La retirada de restos mortales de soldados rusos de un monumento en Tallin originó diversos disturbios y protestas que acabaron en el ciberespacio:

"(...) Estonia, por extraño que pueda parecer, es una de las naciones más conectadas a la red del mundo, y se encuentra, junto con Corea del Sur, muy por delante de Estados Unidos en penetración de la banda ancha  y utilización de aplicaciones de Internet en la vida cotidiana. Esos avances convertían al país en un blanco perfecto paa un ciberataque. Después de "la noche de bronce", los servidores que utilizaban las páginas web más utilizadas de Estonia recibieron repentinamente una avalancha de solicitudes de acceso, la avalancha tenía tales dimensiones que algunos de esos servidores fueron incapaces de soportarla y se bloquearon. (...) Los estonios no podían utilizar sus bancos en línea, leer sus periódicos en Internet o acceder a los servicios electrónicos del gobierno. (...) El DDOS dirigido contra Estonia fue el más grande nunca visto hasta entonces. (...) El Gobierno ruso negó con indignación cualquier participación en la ciberguerra contra Estonia. Y cuando la diplomacia estonia solicitó formalmente su ayuda para rastrear a los atacantes, rehusó hacerlo, y ello a pesar de que un acuerdo bilateral vigente obligaba a Moscú a cooperar. (...) Funcionarios gubernamentales reconocieron que quizás era posible que algunos rusos patriotas, indignados por lo que Estonia había hecho, hubieran decidido hacer algo al respecto ellos mismos."

A partir de aquí, los autores se ocupan de trazar los riesgos fundamentales a los que se enfrenta un país moderno y las posibles soluciones. Como ven, el estilo es rápido y ameno, y el contenido, asequible a quienes no cuentan con conocimientos previos sin caer en el dummismo. En fin, qué más les puedo decir. Lo estoy leyendo y me está gustando. 

martes, 1 de noviembre de 2011

Ladrón que roba a ladrón

Como ya les comentaba en mi último post, se han multiplicado las noticias sobre ataques informáticos, robos de contraseñasa y secuestros de identidades digitales, ya sea por grupos activista como Anonymous o por meros delincuentes. Anonymous, por cierto, ahora anuncia una guerra contra los carteles de la droga, según nos informa El Mundo. Se podrán imaginar por mi último post que no lo lamento demasiado. De hecho considero que este tipo de acciones son la forma más perfecta de Justicia. Que a un criminal lo condene un tribunal está bien, pero que reciba de su propia mecidina, es mucho mejor: Es lo divino, la reparación cósmica. De ahí que siempre se haya dicho que "ladrón que roba ladrón, tiene cien años de perdón".

Pero no nos desviemos del tema, el hecho de que los hackeos informáticos estén de moda se demuestra en la nueva norma de la familia 27000, la ISO/IEC 27035:2011, de gestión de incidentes de seguridad de la información. Me interesa de esta norma que se centra en los problemas de seguridad una vez que se han producido. Es decir, no se trata de una norma preventiva, sino de una guía que ayuda a posteriori, y por lo tanto, parte de la idea de que hay ocasiones en las que, por más controles que se implementen, las incidencias se producen.

Leo en la página de BSI lo siguiente:

"Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

¿No les encanta este fatalismo (el subrayado es mío)? En la siguiente entrada, continuaremos con los ataques informáticos desde otra perspectiva: la ciberguerra.