Re: LOPD
Se me ha ido al privado, perdona Ruben. Ruben escribió: > Hola Lista: > ... > El caso es que estoy viendo que, de repente, han aparecido un > montón de "consultoras" o "auditoras", ... > ...Y después > hacen "auditorías" externas cada 2 años, cuándo el caso lo requiere; > pero como el documento de seguridad lo han redactado ellos... Pues > claro, "se pasan" las auditorías. Yo nunca me fiaría de una consultora/asesoría que se audita a sí misma. Si se trata de "hacer el paripé" la ley permite que la auditoría sea interna, con lo que no hay ningún motivo o necesidad de contratar a esa "fiable" auditora/consultora. > El caso es que la ley es muy muy difusa al respecto; ... Como todas las leyes... para concretar un poco existe el reglamento de desarrollo de la LOPD, normalmente llamado RDLOPD o RPD. > Existen tres niveles de "riesgo", bajo, medio y alto; a medida > que > sube el nivel, te exigen más cosas; pero, por ejemplo, no definen que > si tu tienes un servidor con salida a internet, haya que plantear un > sistema de firewall, o que cuándo apliques un cifrado, tenga que ser > de nnn bytes, etc etc etc Vamos, que la ley es un texto muy > genérico, pero que no dice nada concreto. En la web de la agencia de protección de datos tienes una "guía de implantación" que incluye un modelo de documento de seguridad. La ley solo se ocupa de la protección de DCPs (datos de carácter personal) y el resto de tu seguridad le da igual. Si quieres normativa sobre seguridad existe la ISO-27000 (en teoría de obligado cumplimiento en las administraciones). Respecto al cortafuegos la ley no habla de la seguridad de tu red, solo de la seguridad de tus ficheros. Al respecto tienes que verificar la identidad del usuario antes de que acceda. Eso lo puedes hacer a través del usuario del sistema, a través de un usuario en la aplicación, a través del usuario de VPN... Aunque a primera vista no lo parezca es bueno que la ley sea ambigua, porque modificar una ley orgánica no es fácil ni productivo, y las tecnologías cambian my rápido (y más comparado con la velocidad de abogados y justicia). Así que la ley te dice, por ejemplo, "hay que tener copia de seguridad semanal" y tu haces la copia como te dé la gana. En linux la puedes hacer con software privativo, con rsync, con dd, con tar... En definitiva para una pyme con archivos de nivel básico, te sirve la guía de la agencia y no necesitas más. > ¿Algunos en la lista teneis experiencia en cuánto a implantar el > tema > de LOPD con máquinas linux? Sip. Es sencillo. En general es sencillo adaptarse a la norma. Las únicas complicaciones las he tenido en centros con datos de salud y sistemas poco preparados. > ¿Alguna web con ejemplos de documentos de > seguridad hechos?.. Algo aparte del texto de la ley, que ya lo tengo > muy visto ;) Como ya te he dicho, en la agencia hay un documento modelo. No puedo pasarte documentos de empresas, por motivos obvios :-) Si estás muy interesado, en la web http://servi3.com en la sección descargas tienes algunas guías de descarga pública. Interesante el documento "Servi3-LOPD_y_Seguridad-Presentacion.pdf". Además en la sección formación hay un curso -de pago- para la adecuación a la LOPD durante el cual se facilitan un montón de documentos de ejemplo, claúsulas, contratos... además de realizar tu propio documento de seguridad durante el curso. > Muchas gracias, y saludos :) De nada Saludos Güimi http://guimi.net -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
LOPD
Hola Lista: Bueno, una preguntilla de algo que está "tan de moda" últimamente. Ya sabeis, supongo, casi todos, que la moratoria para la LOPD expira este año, con lo cuál todos los sistemas informáticos que traten con datos de carácter personal, han de cumplirla. El caso es que estoy viendo que, de repente, han aparecido un montón de "consultoras" o "auditoras", que por un "módico precio" (normalmente entre 300 y 500 € para una pyme con un nivel de seguridad bajo), que se "comprometen" a ponerte "conforme a la ley". Lo que hacen es redactar el documento de seguridad, decirte cómo tienes que poner los PCs, el servidor si lo hay, y poco más. Y después hacen "auditorías" externas cada 2 años, cuándo el caso lo requiere; pero como el documento de seguridad lo han redactado ellos... Pues claro, "se pasan" las auditorías. El caso es que la ley es muy muy difusa al respecto; te dice una serie de puntos que tienes que cumplir, pero no te dice ni cómo, ni nada similar. Te dicen que tienes que redactar un documento de seguridad, y te dice que tienes que poner en él los mecanismos de seguridad que implementas en tu sistema, los ficheros de datos personales, y poco más... Vamos, resulta un tanto escaso como para redactar el susodicho documento de seguridad (en torno al cuál gira casi toda la ley; lo que esté escrito ahí, tienes que cumplirlo de pé a pá, y en realidad es el que define los sistemas de seguridad informáticos de tu empresa). Existen tres niveles de "riesgo", bajo, medio y alto; a medida que sube el nivel, te exigen más cosas; pero, por ejemplo, no definen que si tu tienes un servidor con salida a internet, haya que plantear un sistema de firewall, o que cuándo apliques un cifrado, tenga que ser de nnn bytes, etc etc etc Vamos, que la ley es un texto muy genérico, pero que no dice nada concreto. ¿Algunos en la lista teneis experiencia en cuánto a implantar el tema de LOPD con máquinas linux? ¿Alguna web con ejemplos de documentos de seguridad hechos?.. Algo aparte del texto de la ley, que ya lo tengo muy visto ;) Muchas gracias, y saludos :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
LOPD
Hola Lista: Bueno, una preguntilla de algo que está "tan de moda" últimamente. Ya sabeis, supongo, casi todos, que la moratoria para la LOPD expira este año, con lo cuál todos los sistemas informáticos que traten con datos de carácter personal, han de cumplirla. El caso es que estoy viendo que, de repente, han aparecido un montón de "consultoras" o "auditoras", que por un "módico precio" (normalmente entre 300 y 500 € para una pyme con un nivel de seguridad bajo), que se "comprometen" a ponerte "conforme a la ley". Lo que hacen es redactar el documento de seguridad, decirte cómo tienes que poner los PCs, el servidor si lo hay, y poco más. Y después hacen "auditorías" externas cada 2 años, cuándo el caso lo requiere; pero como el documento de seguridad lo han redactado ellos... Pues claro, "se pasan" las auditorías. El caso es que la ley es muy muy difusa al respecto; te dice una serie de puntos que tienes que cumplir, pero no te dice ni cómo, ni nada similar. Te dicen que tienes que redactar un documento de seguridad, y te dice que tienes que poner en él los mecanismos de seguridad que implementas en tu sistema, los ficheros de datos personales, y poco más... Vamos, resulta un tanto escaso como para redactar el susodicho documento de seguridad (en torno al cuál gira casi toda la ley; lo que esté escrito ahí, tienes que cumplirlo de pé a pá, y en realidad es el que define los sistemas de seguridad informáticos de tu empresa). Existen tres niveles de "riesgo", bajo, medio y alto; a medida que sube el nivel, te exigen más cosas; pero, por ejemplo, no definen que si tu tienes un servidor con salida a internet, haya que plantear un sistema de firewall, o que cuándo apliques un cifrado, tenga que ser de nnn bytes, etc etc etc Vamos, que la ley es un texto muy genérico, pero que no dice nada concreto. ¿Algunos en la lista teneis experiencia en cuánto a implantar el tema de LOPD con máquinas linux? ¿Alguna web con ejemplos de documentos de seguridad hechos?.. Algo aparte del texto de la ley, que ya lo tengo muy visto ;) Muchas gracias, y saludos :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
