Estudio de INTECO confirma el bajo cumplimiento de la LOPD en las PYMES españolas

Enviado por admin el 7. Agosto 2008 - 17:00.

El Observatorio de Seguridad de la Información del INTECO acaba de hacer públicos los resultados de un amplio estudio sobre el grado de conocimiento y adopción de la LOPD y su Reglamento de Desarrollo en las empresas españolas.

Tras una primera lectura, los resultados corroboran los publicados por la propia Agencia Española de Protección de Datos, que cifran en torno al 10-15% la proporción de empresas que manejan ficheros automatizados y se ajustan la normativa.

Sin embargo en el estudio de INTECO no faltan datos sorprendentes e incluso paradójicos. Por ejemplo, un 37% de empresas afirma haber declarado sus ficheros a la Agencia, cuando son bastantes menos de la mitad (un 16%) las que efectivamente lo han hecho. Por otra parte, a estas alturas no deja de resultar chocante que las PYMES españolas presenten aún "cierto escepticismo y falta de concienciación sobre la seguridad de la información", sobre todo si se tiene en cuenta que las empresas con menos de 50 trabajadores representan el 99% del tejido empresarial del país, con más de la mitad de ellas sin ningún asalariado...

 

Referencia:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Y aunque cumplieran...

Enviado por anónimo el 7. Agosto 2008 - 19:49.

Mas paradógico es que mas del 90% de conductores afirmen conducir mejor que la mayoria, pero así es. Todo el mundo miente y no tiene una percepción realista de si mismo.

Curiosidades a parte, en el laboratorio de mi madre, una PYME, donde analizan muestras de pacientes y tienen sus datos, vinieron los chicos de la LOPD, no se si los llamó ella o se presentaron, y le pusieron unos "aparatos" enchufados detras de los ordenadores y le dijeron que con eso era suficiente... y los ordenadores usan W$.

Mandelocualo? que narices puede proteger un cacharro enchufado en el puerto com o en la salida de la targeta de red? ademas, usan W$, hay algun dato seguro en un W$? y estamos hablando de datos médicos, máxima seguridad. Mientras tanto, yo llevo informes en papel en claro en mi coche dentro de unas carpetas, y estos deberian ir igual de protegidos que los ficheros electrónicos. Claro, en realidad lo estan, pero todos ellos deberian estar mucho mas protegidos.

A ver si la convenzo para que me deje llevar su parquet informático y le meto Linux con HD cifrados y la conciencio sobre la seguridad, hasta hace poco no se fiaba ;-) Por que los chicos de la LOPD NO estan para la labor, aunque los llamos o vengan a comprobar la protección de datos.

No es por desdecirte, pero ...

Enviado por anónimo el 8. Agosto 2008 - 9:48.

Saludos,

como digo en el título del asunto "No es por desdecirte", ni por llevarte la contraria, ni por nada parecido, pero creo que tu comentario es no sé si "desinformador" o "desinformado".

Primero, comentar que se supone que por "chicos de la LOPD", entiendes a la Agencia Española de Protección de Datos (AGPD), ya que son los únicos responsables en este país de velar por el cumplimiento de la legislación vigente en materia de protección de datos. Después, decir que la AGPD únicamente actua o bien por denuncia de un afectado que cree vulnerados sus derechos en materia de protección de datos, o bien "de oficio", aplicando muestra aleatoria sobre aquellos sectores que se determine de forma anual. En conclusión, nunca "se la llama".

Por otra parte, y en relación a lo anterior, la AGPD no tiene ningún tipo de competencia, ni entra dentro de su responsabilidad, la instalación de ningún de dispositivo físico, ni la consultoría en materia de protección de datos de forma particular en los sistemas de información de un responsable de ficheros.

Otra cosa bien distinta es que en ese negocio familiar que citas, una "consultora independiente", que hay muchas, unas más serias, otras menos, y otras directamente dedicadas a la usura, y siempre por cuenta y riesgo de tu madre, que ha sido la que los ha autorizado, hayan instalado unos dispositivos, y le hayan asegurado que eso es lo único que necesita para cumplir con la LOPD.

Si es así, decirte que desde luego nada más lejos de la realidad, puesto que la LOPD no entra sólo en el plano técnico, con un reglamento técnico de medidas en función del tipo de fichero que contenga el sistema de información, sino en el plano procedimental con un marco de trabajo: registros de incidencias, políticas de copias de seguridad, controles de acceso, etc.

Así mismo aprovecho para puntualizar un detalle: el cumplimiento ( o incumplimiento ) en materia de LOPD poco tiene que ver con el sistema operativo subyacente, y que desde luego el "cifrado" del disco duro no es ni mucho menos la única medida necesaria para el cumplimiento de la legislación.

Por último, y para finalizar, decir que como profesional en el campo de la seguridad de la información, este es un fenómeno que desgraciadamente se presenta muy frecuentemente. Por un lado, empresas, que consideran que cumplir con la LOPD únicamente consiste en rellenar unos formularios en la AGPD, poner un membrete en la web e instalar un "firewall/antivirus". Por otra, profesionales TIC, cuya visión de LOPD únicamente entra en el plano técnico: cifrado, filtrado, permisos y contraseñas. Ninguna de las 2 visiones es completa, con ninguna de las 2 visiones se cumple la legislación, y con ninguna de las 2 visiones se cumplen buenas prácticas en seguridad de la información.

Al hilo del trabajo publicado por INTECO y como colaborador directo en él, simplemente transmitir mis felicitaciones al Observatorio, y recomendar su lectura a todo el que disponga de un hueco este verano.

a mi también me gustaría ...

Enviado por anónimo el 8. Agosto 2008 - 11:45.

...... saber quienes son los "chicos de la LOPD" ?? más que nada por curiosidad y para conseguir un "aparato" de esos que se enchufa y ya se cumple con la Ley. Tantos años redactando documentos de seguridad, analizando ficheros y tratamientos, formando usuarios, habilitando registros de incidencias, de soportes, de entrada/salida, etc. pudiendo enchufar una cajita ...... :-)

En fin, bromas aparte, por mi experiencia a diario me atrevo a asegurar que el incumplimiento de la LOPD y reglamento se basa mayoritariamente en la parte menos atractiva del tema. Me refiero básicamente al deber de información, al principio de calidad, tratamiento por parte de terceros y las cesiones de datos. El cumplimiento de las medidas de seguridad (encriptación, copias, passwords, etc.) quedan en un segundo plano siempre y cuando no vulneren los principios básicos de la Ley.

Prometo leer el informe......

No se dice "aparato"

Enviado por anónimo el 8. Agosto 2008 - 11:53.

Se dice "parato" o "cachirulo" ;)

Anda. que hay cada "consultor" por ahí que pa'qué...

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
4 + 5 =
Resuelve esta sencilla operación e introduce el resultado.