jueves, 29 de diciembre de 2011

La AEPD abre una consulta pública para conocer la opinión y experiencia de prestadores de servicios, usuarios y expertos sobre Computación en Nube

La AEPD abre una consulta pública para conocer la opinión y experiencia de prestadores de servicios,
usuarios y expertos sobre Computación en Nube La AEPD pretende con esta iniciativa tener un conocimiento preciso de experiencias,  opiniones y condicionamientos, desde la perspectiva de protección de datos, de prestadores y usuarios de  los servicios de Computación en Nube.

La AEPD invita a participar a entidades prestadoras y clientes de este tipo de servicios, así como a  usuarios particulares, académicos y expertos,  y todos quienes estén interesados en la materia.

Ante el auge de la Computación en Nube, la aplicación y adecuación de las normas de protección de datos a estos entornos se han convertido en una cuestión esencial.

La consulta consta de 7 bloques en los que se abordan las responsabilidades de los diferentes actores, la legislación y las garantías aplicables,  o el impacto en el régimen de transferencias internacionales de datos.

La Agencia Española de Protección de Datos (AEPD) ha abierto hoy, y hasta el próximo 27 de enero, una consulta pública sobre las implicaciones  en materia de protección de datos de  los  servicios de
Computación en Nube (Cloud Computing)  con el objetivo  de recabar  opiniones, perspectivas y experiencias, principalmente de prestadores y usuarios de servicios de computación en nube,  así como  analizar el grado de conocimiento y la aplicación práctica de estos servicios en España.
 
La consulta pública, a la que están  invitados a participar  entidades prestadoras y usuarias de este tipo de servicios, así como usuarios particulares, académicos, expertos y todos quienes estén interesados en la materia, está disponible en la Página Web de la AEPD. 

En la actualidad la Computación en Nube constituye  un modelo de prestación de servicios de tecnología en auge  y que puede presentar diversas tipologías: empresas que cuenten con sus propios sistemas, empresas que contraten con terceros, cadenas de subcontrataciones. Diversos estudios reflejan que cada vez más entidades públicas y privadas –desde grandes multinacionales hasta pequeñas empresas de ámbito local y Administraciones Públicas- utilizan sistemas de Computación en Nube en alguna de sus modalidades, debido a las ventajas puede proporcionar en términos de ahorro, alta disponibilidad, o adaptabilidad, entre otras.

En este escenario de proliferación de servicios de Computación en Nube, se suscitan en la actualidad interrogantes sobre las garantías aplicables en el marco de estos servicios, y la adecuación de  las normas de protección de datos  a estos entornos  se  ha convertido en una cuestión esencial, que está siendo objeto de análisis y evaluación en distintos ámbitos.Para tener un conocimiento preciso de las experiencias, opiniones  y condicionamientos con los que se encuentran usuarios y prestadores de servicios de Computación en Nube, el cuestionario diseñado por la AEPD para realizar la consulta
pública, se estructura en siete bloques con preguntas simples, multirespuesta y preguntas de respuesta libre. 

En dichos bloques  se  plantea una amplia variedad de cuestiones que cubren  la mayoría de  los elementos relacionados con los servicios de Computación en Nube, desde la óptica de sus implicaciones en materia de protección de datos. Entre ellos, pueden destacarse las preguntas relativas a  legislación aplicable, garantías en el marco de las relaciones de prestación de servicios en nube o su  impacto en el régimen que regula las transferencias internacionales.

miércoles, 28 de diciembre de 2011

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 50.000 euros a Movistar

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 50.000 euros a Movistar por incluir los datos personales de un cliente moroso en una base de datos de insolventes sin haberle reclamado antes su deuda.
La resolución de la AEPD, que data del pasado mes de octubre, establece que "ha quedado demostrado" que Movistar incumplió lo dispuesto en el artículo 29.4 de la Ley Orgánica de Protección de Datos al incluir a su cliente en un fichero de insolvencia antes incluso de reclamarle el pago de la deuda, lo que supone una falta grave.
Los hechos comenzaron en enero de 2010, cuando un consumidor se da de alta en Movistar con un contrato de tarifa plana de Iphone. Tras recibir la primera factura, en febrero de 2010, decide cambiar su plan de precios y manifiesta su disconformidad con la factura en la Secretaría de Estado de Telecomunicaciones y en la misma Movistar.
Movistar se lo deniega porque el apoyo económico recibido estaba vinculado a una permanencia de 18 meses no sólo en la misma compañía, sino en el mismo plan de precios. No obstante, la discrepancia se produce porque, según el denunciante, Telefónica le incluyó en un archivo de morosos antes de reclamar el pago.
Y es que efectivamente, desde el 10 de marzo de 2010, el cliente pasa a formar parte del archivo de insolvencia económico-patrimonial de Experian Bureau de Crédito, aunque unos meses más tarde le da de baja "en señal de buena voluntad".
En su resolución, la AEPD no entra a valorar la existencia de la deuda y se limita a destacar que la inclusión de los datos personales de este consumidor en un fichero de morosos antes de reclamar el pago y agotar la vía comercial constituye un hecho grave que lesiona el derecho a la protección de datos de carácter personal de sus clientes y le sanciona con 50.000 euros.

martes, 27 de diciembre de 2011

Parados sin secretos

Con el NIF, el número de teléfono de una persona y un poco de paciencia, cualquiera puede saber el nombre completo de esta, lo que cobra de paro y hasta la cuenta del banco donde se lo ingresan. La web del Servicio Público de Empleo Estatal (SEPE) pide una clave de sólo dos dígitos que, además, no se bloquea cuando se introducen combinaciones una y otra vez para entrar en el expediente personal de los 2,8 millones de parados que actualmente cobran la prestación por desempleo. Tanto el Ministerio de Trabajo como la Agencia Española de Protección de Datos (AEPD) consideran, sin embargo, que el sistema es seguro.
Las distintas administraciones ofrecen a los ciudadanos la posibilidad de acceder a la mayoría de sus servicios y gestiones desde internet usando el DNI electrónico o un certificado digital. Así lo hacen la Seguridad Social y la Agencia Tributaria. Pero esta última también tiene habilitada una tercera vía en la que pide el NIF, el primer apellido y un número de referencia que sólo conoce el contribuyente.
Para consultar las prestaciones por desempleo, el SEPE exige también el DNI electrónico o un certificado digital. Pero ofrece una tercera alternativa llamada Datos de Contraste. Estos son el NIF, el número de teléfono y una clave de dos cifras que sólo va del 00 al 99 y se corresponde con el dígito de control (el popular DC) de la cuenta bancaria.
Una vez dentro, se pueden conocer las prestaciones recibidas además de gran número de datos personales, como nombre y apellidos, número de la Seguridad Social o estado civil. También aparece la cuenta bancaria dada para recibir la prestación, nombre del banco incluido.
"No es un fallo de seguridad, es de implementación del acceso, que está basado en datos que son fáciles de conseguir", dice el director de ePrivacidad , Samuel Parra. Sólo el dígito de control es relativamente secreto, pero al ofrecer tan sólo cien combinaciones sólo se necesita paciencia. Este abogado presentó una denuncia ante la AEPD contra el sistema del SEPE por incumplir las exigencias de la Ley de Protección de Datos.
Sin embargo, la Agencia acaba de resolver que el sistema es seguro. Trabajo se agarra a este dictamen. "La denuncia fue archivada y desestimada porque no se hallaron evidencias de que el sistema de control incumpliese los requisitos mínimos que exige la normativa", explica un portavoz del Ministerio.
Para Parra, sin embargo, la AEPD basó su decisión en un informe técnico que "no ha debido de comprobar correctamente el sistema de acceso". En efecto, la resolución explica que el mecanismo de acceso "ha previsto ciertas limitaciones al intento reiterado de accesos no autorizados". Pero, como ha comprobado Parra y este periódico, no hay bloqueo ni al tercer intento ni al centésimo. El SEPE ya fue sancionado en 2008 por otro fallo similar que permitía conocer la vida laboral con sólo saber el DNI de la persona.

jueves, 15 de diciembre de 2011

Microsoft endurece los requisitos de seguridad de su Office en la 'nube'

Los problemas de seguridad y privacidad han sido la gran barrera para que muchas empresas se apunten a las tecnologías basadas en la nube. Y ello pese a que los proveedores de este tipo de soluciones se han hartado de repetir las ventajas que ofrece el famoso cloud computing, entre ellas el ahorro de costes y tener siempre la última tecnología. Conscientes de ello, Microsoft ha tomado medidas, y ayer anunció que su paquete de aplicaciones de productividad en la nube Office 365 "es el primer servicio que cumple con los principales estándares de privacidad y seguridad de la información de la UE y EE UU".

Concretamente, la multinacional cumplirá a partir de ahora en sus contratos con los requerimientos de las llamadas Cláusulas Modelo de la UE, las cuales certifican el cumplimiento de la rigurosa Directiva europea de Protección de Datos, así como la normativa HIPAA de EE UU. "Queríamos dar confianza a nuestros clientes", explica a CincoDías David Negrete, director de la unidad de negocio de Productividad y Colaboración de Microsoft Ibérica. El directivo señala que el tema "es muy importante" y que no ha sido fácil. "Ha supuesto el trabajo durante meses de abogados y consultores que han estado viendo el tema con las instituciones de cada país".

Las cláusulas contractuales citadas aseguran a las empresas cliente que han dado los pasos necesarios para salvaguardar sus datos personales, incluso si están almacenados en un servicio basado en cloud computing localizado fuera del área económica europea. Negrete destaca, además, que Microsoft ha ido más lejos. "No solo cumplimos con las cláusulas modelo sino que cumplimos con las normativas de los 27 países europeos, porque algunos de ellos tienen requerimientos más exhaustivos que los de la directiva comunitaria".

lunes, 12 de diciembre de 2011

Ricard Martínez Martínez propone proveer a los niños direcciones de correo cuando se les identifica en la escuela

El presidente de la Asociación Profesional Española de la Protección de Datos, Ricard Martínez Martínez, ha propuesto proveer a los menores de su primera cuenta de correo electrónico nada más ser identificados en la escuela, siempre con supervisión y bajo un dominio público o concertado para así evitar la exposición de los menores a los desconocidos, entre otras cosas.

Martínez, que es un experto de prestigio en los ámbitos nacional e internacional en la materia sobre la protección de datos personales, ha hecho estas afirmaciones en declaraciones a Europa Press durante la visita que ha realizado a Murcia para impartir la conferencia titulada 'Menores, Redes sociales y Privacidad' en el marco de la Jornada de la Sociedad de la Información y la Tecnología (SYTE 12.12).

A su juicio, es "obvio" que ha aumentado el acceso de gente desconocida a menores como consecuencia de las redes sociales, y para evitar la exposición de los pequeños ha propuesto insistir en la educación de los menores y de los padres.

En este sentido, ha puntualizado que "mientras no exista una identificación digital unívoca para todos los usuarios, cosa harto difícil y no sé si conveniente, la autoprotección y el conocimiento son el mejor método". Pero para esta autoprotección, Martínez ha indicado que "existen reglas sencillas, algunas de las cuales aprendemos en el mundo físico".

En su opinión, el problema comienza cuando el niño o niña "abre por sí mismo una cuenta de correo sin supervisión de un adulto". Así cuando un menor llamado, por ejemplo, José Pérez, descubre que su dirección ya existe en muchas ocasiones crea la cuenta 'joseperez2001@proveedor.com'".

En ese momento, el menor "acaba de gritar al mundo aquí hay un menor, varón, al que acosar", así que Martínez insta a preguntarse su "ocurriría esto si la primera cuenta se atribuyese en el contexto escolar con supervisión y bajo un dominio público o concertado".

Por otra parte, recuerda que, en la infancia, a todos "se nos enseña que no hay que dejar puertas y ventanas abiertas cuando estamos solos en casa y no hay que abrir a desconocidos". Martínez afirma que se trata de una regla que, en el mundo digital, se traduce en escoger un perfil privado y sólo aceptar como amigos a quienes se conoce en el mundo físico.


Martínez, quien ha remarcado el compromiso corporativo de los profesionales de la privacidad con la seguridad y privacidad de los menores, ha añadido que los términos redes sociales, menores y privacidad son términos "absolutamente conciliables", y recuerda que, desde un punto de vista sociológico, los menores "son nativos digitales y para ellos Internet es una ámbito más de sociabilidad".

En este sentido, recuerda que la gente actualmente adulta, "seguramente se socializaba cuando era niño en las calles y plazas de su propio barrio jugando al fútbol o a cualquier otra cosa hasta que cerca de la hora de cenar el toque de queda materno, anunciado a voz en grito le hacía regresar a casa".

Hoy en día, este experto explica que los niños "juegan 'online', comparten sus cosas o hacen trabajos en entornos de dialogo privado o público en Internet". Por tanto, añade que las comunidades 'online' que generan las redes sociales "son, desde un punto de vista sociológico, su entorno natural de socialización".

Por ello, considera que corresponde a los gestores de estas redes sociales "el articular políticas de privacidad que no consistan en meros textos legales que nadie entiende o consulta. Y ello se traduce en disponer de mecanismos que eviten el acceso de los menores cuando el proveedor no destina su espacio a este público, y en diseñar e implementar políticas de obtención del consentimiento paterno o materno que respeten el límite de edad, 14 años".

No obstante, puntualiza que "no es una obligación exclusiva de los proveedores" y recuerda que, a día de hoy, el Estado "no dispone de ninguna política de atribución de identidades digitales para los menores, y la firma digital del DNI, por ejemplo, no se les activa, pero ni siquiera se han planteado respuestas más sencillas".

Por ejemplo, afirma que los estudiantes de todas las universidades públicas, una vez se han preinscrito, y por tanto previa identificación, reciben una cuenta de correo electrónico, cuyo usuario y contraseña les sirve para validar su identidad y realizar todos los trámites ante su universidad.

En este sentido, Martínez se pregunta "por qué la primera cuenta de correo de nuestros niños es de 'Gmail' o 'Hotmail', y se plantea si "acaso una vez identificados en su entorno escolar no se les podría proveer de una cuenta y usar esta mediante validaciones LDAP o equivalentes como elemento de verificación".

Al ser preguntado por si es oportuno y beneficioso para las redes sociales establecer un límite de edad mínima para su uso al igual que se hace con el tabaco o las bebidas, Martínez asegura que "no es una cuestión a valorar", sino que es un criterio "normativo".

Así pues, puntualiza que el artículo 13 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal "define una frontera clara: catorce años", y "no es algo discutible".

Pero además, este experto añade que, en casos como el juego, la bebida o la pornografía, las prohibiciones de la legislación vigente "son plenamente aplicables a Internet y, por tanto, deben excluir a los menores".

Martínez ha explicado que los principales retos en la materia de redes sociales y menores son dos. En primer lugar, plantea que en el plano técnico se debería disponer de métodos de atribución de identidades digitales "seguros y que permitan una adecuada verificación de la edad y, por tanto, faciliten regular las condiciones de acceso a entornos online".

El segundo reto, ha añadido puede expresarse "con tres palabras: educación, educación, educación". En su opinión, la educación sobre Internet "debe llegar a los planes de estudios y las actividades extraescolares" del mismo modo que lo han hecho la seguridad vial, la educación para la salud o la educación alimentaria.

Además, puntualiza que esta educación "no puede estar basada en el riesgo y en el temor, sino que tenemos la responsabilidad de no asustar a los padres. A nadie se le ocurre enseñar seguridad vial aterrorizando con todos los males derivados de la conducción, o al menos no exclusivamente".

Y es que., según este experto, Internet "abre a nuestros niños un maravilloso mundo de conocimiento, socialización y participación democrática". La cuestión es "cómo vamos a conseguir que aprendan todas las posibilidades que el entorno les ofrece siendo capaces de evaluar y controlar los riesgos".

A su juicio, aunque esto es 'deformación profesional', aprender a valorar la información personal y la vida privada como un patrimonio propio y valioso "constituye un pilar fundamental".

En último, explica que los padres constituyen otro reto a valorar, ya que es una "soberana estupidez" considerar que el niño o niña, nativo digital "sabe mucho de Internet y su padre no".

Para Martínez, si un padre no sabe usar Internet "tiene una fantástica oportunidad de aprenderlo con su hijo, de navegar con él, porque hay algo que un padre siempre podrá transmitir: valores y criterios. Ello sin perjuicio de aprovechar los magníficos recursos formativos que INTECO, la Agencia Española de Protección de Datos, IQUA o red.es ponen a su disposición.

miércoles, 7 de diciembre de 2011

El 66% de las memorias USB extraviadas contienen malware y no están encriptadas



La compañía de seguridad ha acudido a una subasta pública de objetos perdidos en el metro de Sydney para adquirir un lote de memorias USB extraviadas. De esta forma, en el blog de seguridad de Sophos Naked Security explican que consiguieron 50 USB perdidas de gente que no las había reclamado. Con las memorias, los técnicos de Sophos han realizado un análisis de su contenido para determinar el grado de seguridad de sus documentos y la aparición de malware.

En primer lugar han destacado que en el 66% de las llaves USB analizadas había algún tipo de malware. Se trata de más de la mitad y supone un peligro potencial para todos aquellos que encuentren en la calle este tipo de sistemas de almacenamiento. Al encontrar un USB, los usuarios pueden optar por intentar encontrar a su propietario o quedárselo (si no lo devuelven a objetos perdidos). En cualquiera de los dos casos, lo natural suele ser utilizar la llave en un ordenador, sea para buscar información del propietario o para su uso.

Con los datos de Sophos se ha demostrado que este tipo de prácticas puede comprometer la seguridad de los terminales de los usuarios ya que estarían utilizando un dispositivo desconocido que en el 66% de las veces contiene malware. Los equipos de los usuarios pueden infectarse al usar estos USB, por lo que es recomendable extremar la precaución a la hora de usar un sistema de almacenamiento que no se conoce.



En el estudio de Sophos también destaca que todas las amenazas eran para Windows, ninguna de las detectadas era para Mac OS. Los usuarios del sistema operativo de Microsoft deben disponer de sistemas de control ya que hay más amenazas que pueden afectar a sus equipos.

Desde Sophos también han destacado que ninguna de las memorias USB analizadas contaba con un sistema de encriptación de los datos. Se trata de un error de seguridad muy grave en este tipo de dispositivos ya que deja totalmente expuestos los datos de los usuarios en caso de pérdida. Entre las USB analizadas Sophos no ha encontrado ninguna información confidencial o pública, pero es una prueba de la falta de medidas de seguridad que los usuarios tienen con los dispositivos de almacenamiento portátiles.

domingo, 4 de diciembre de 2011

Google, Facebook y Apple se comprometen a proteger a los niños en internet

La Comisión Europea se unió a las empresas de tecnología más importantes, incluyendo Apple, Facebook y Google este jueves para mejorar la protección de los niños en línea.

La coalición, que incluye a 28 empresas, desarrollará un sistema basado en la calificación por edades online y tiene como objetivo reforzar la configuración de privacidad. Asimismo, tiene previsto para finales del próximo año incorporar esta medida para que sea más fácil informar sobre contenido inapropiado.

Otras medidas que se incluyen son la mejora de los controles parentales y la mejora de la cooperación entre las fuerzas del orden y las autoridades online para eliminar el material en línea que muestran abusos sexuales.

"Esta nueva coalición debe facilitar a los menores y los padres herramientas de protección transparentes y coherentes para aprovechar al máximo el mundo online", aseguró la comisaria europea que se ocupa de la política de la tecnología digital, Neelie Kroes.

La formación de esta coalición se produce tras el informe de la Comisión Europea del pasado mes de junio, según el cual 14 sitios de redes sociales, como Facebook, no protegían adecuadamente los perfiles y los datos de menores.
Un buen comienzo

La sede en Gran Bretaña del grupo Childnet International, que tiene como objetivo proteger a los niños en línea, dijo que la coalición es un buen comienzo. "Damos la bienvenida a esta iniciativa y tenemos la esperanza de lo que podría lograr", aseguró el consejero delegado de Childnet Internacional, Will Gardner. "Estamos viendo una declaración de intenciones, este es el comienzo".

Muchos niños se vuelven activos online a los siete años y el 38 por ciento entre los 9 y los 12 años tienen sus propios perfiles en redes sociales, según la investigación de la UE. Más de 30 por ciento de los niños acceden a Internet a través de un dispositivo móvil y el 26 por ciento a través de consolas de videojuegos.

Otras empresas incluidas en esta coalición son BSkyB, BT, Deutsche Telekom AG, Nintendo, Nokia y Orange.

sábado, 3 de diciembre de 2011

El Tribunal Supremo ha ordenado al Opus Dei a cancelar los datos que figuran en su fichero correspondientes a una mujer que decidió darse de baja

El Tribunal Supremo ha ordenado al Opus Dei a cancelar los datos que figuran en su fichero correspondientes a una mujer que decidió darse de baja de la Prelatura Personal y a pagar hasta 3.000 euros en concepto de costas del juicio y abogado.

Así lo ha decretado la Sala de lo Contencioso-Administrativo en una sentencia relativa a un caso de protección de datos en el que la Audiencia Nacional ya se había pronunciado a favor de la demandante. Los hechos se remontan a agosto de 2006, cuando M.I.M., que había abandonado la organización religiosa, solicitó a la Prelatura del Opus Dei que borrara sus datos de todos los archivos.

Días después, la organización le respondió que «los únicos datos que se refieren a su persona son hechos históricos realizados voluntariamente que no pueden anularse», aunque apuntó que «en anotación marginal se hará constar su deseo de que no tengan trascendencia externa».

Ante la negativa, la demandante acudió a la Agencia Española de Protección de Datos (AEPD) que, tras estudiar el caso, dictó una resolución por la que instaba al Opus Dei a que, «en el plazo de diez días», remitiera a la reclamante una certificación en la que hiciera constar que «ha procedido a la cancelación de sus datos que contaban en sus archivos».

En respuesta, el Opus Dei argumentó que el Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español de 1979, «protege la inviolabilidad de los archivos, registros y demás documentos de las instituciones y entidades eclesiásticas».

Para el Supremo, dicho acuerdo protege los archivos y registros «de cualquier intromisión procedente del Estado y resultan inviolables frente al mismo», pero esa inviolabilidad «no es predicable frente al ciudadano cuando ejercita su derecho fundamental» sobre sus propios datos personales.
La sentencia también rebate el argumento esgrimido por el Opus Dei de que los datos no están contenidos en un soporte informático, como tampoco lo estaban los relativos a los libros bautismales que el tribunal no obligó a modificar en el caso de apostasías.

La diferencia es -según el Tribunal Supremo- que mientras que el Opus Dei tiene los datos organizados y clasificados hasta el punto de que son fácilmente localizables, los libros bautismales son «una pura acumulación de datos» que no están ordenados «ni alfabéticamente ni por fecha de nacimiento».

Por todo ello, el tribunal ha considerado que no ha lugar al recurso de casación presentado por el Opus Dei, a quien condena a pagar las costas del proceso, informó Efe. Fuentes de la organización religiosa han asegurado que acatan «plenamente» la sentencia y que, de hecho «ya se ha enviado por correo a la demandante la certificación de que se han borrado sus datos».

jueves, 1 de diciembre de 2011

acens presenta el decálogo de la seguridad en la nube

Con motivo del Día Internacional de la Seguridad de la Información que se celebra hoy, acens (www.acens.com), proveedor líder de servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha presentado el decálogo de la seguridad en la nube.
Se trata de una serie de recomendaciones básicas orientadas a ayudar a aquellas empresas interesadas en acometer un proyecto en la nube, para ayudarles a conocer mejor las necesidades y criterios de seguridad que deben de tener en cuenta.
1)    No todas las nubes son iguales. Aunque el concepto es similar, no todas las nubes y servicios concebidos para la nube están diseñados y desarrollados de la misma forma. Es muy recomendable analizar todos los detalles de cualquier propuesta de un proveedor.
2)    Conoce dónde está y cómo es tu cloud. La nube no es etérea, sino que está ubicada en un sitio físico. Saber dónde está, poder acceder a ella o conocer a la gente que está detrás de la gestión evita muchos sustos en el futuro y facilita muchas de las operaciones del día a día. Es importante ofrecer a los clientes un entorno de cloud basado en un datacenter que cuenta con las máximas medidas de seguridad lógicas y físicas.
3)    La seguridad es un requisito, no un añadido. En cuestiones tan sensibles como la salvaguardia de documentación crítica de la empresa, resulta obvio que la seguridad no es una funcionalidad extra a añadir y negociar, sino que por defecto, un buen servicio en la nube debe garantizar el control, gestión y acceso a los datos y aplicaciones bajo estrictas normas de seguridad y acorde a los permisos establecidos por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya configurado.
4)    Una buena seguridad cloud obliga a una buena seguridad in house. No hay que olvidar que en los proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las políticas internas de seguridad de la empresa.
5)    Las personas siguen siendo un elemento crítico. Las tecnologías hacen el trabajo, pero el diseño y aplicación de las medidas de seguridad las hacen las personas. Las economías de escala permiten a los proveedores de servicios en la nube contar con auténticos expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que históricamente muchos de los fallos de seguridad son por errores humanos.
6)    Recuerda que la seguridad es multiplataforma. El acceso a la nube es ubicuo y multiplataforma. Según las necesidades de cada empleado o departamento accederá a una hora u otra, desde una red fija o una red pública, o desde un dispositivo fijo –PC- o móvil –portátil, smartphone, tablet…-. Una buena política de seguridad no debe de descuidar ninguna de estas vías y proponer siempre la existencia de dos redes separadas, aquella que tiene conexión con el exterior, dotada de direccionamiento IP público, y una red privada con direccionamiento privado que es de uso exclusivamente interno.
7)    Apuesta por estándares de mercado. Siempre es más sencillo trabajar con tecnologías y productos estándares del mercado que acotarse a desarrollos muy específicos o de nicho. La migración e integración de equipos, o incluso la replicación de entornos y sistemas será más rápida y sencilla trabajando con estándares de mercado.
8)    Revisa el cumplimiento legal. Un buen proveedor de cloud no sólo debe ofrecer las máximas garantías de seguridad, sino que debe cumplir con las normativas legales en materia de protección de datos, como puede ser en España la LOPD para salvaguardar la confidencialidad y la seguridad de la información y que datos críticos de la compañía no circulen de un país a otro. Por eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y solucione en tiempo real cualquier infracción de seguridad.
9)    Exige garantías de alta disponibilidad y redundancia. Contar con nubes redundantes –datacenters en diversas localizaciones- no sólo garantiza la disponibilidad permanente del servicio en cuestiones de red, almacenamiento y nodos de computación, sino que añade un grado extra de seguridad a la hora de garantizar la pérdida de datos ante desastres.
10)  En seguridad y en cloud no te la juegues. En realidad las amenazas de seguridad en los entornos en la nube no son diferentes a los que existen en el modelo tradicional. Lo que sí que resulta crítico es la confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay que tener en cuenta que la empresa está exponiendo información sensible a un tercero por lo que hay que tener absoluta garantía de que tanto en entornos de cloud pública, como privada o mixta se garantiza la gestión y administración de permisos y accesos; la seguridad física, lógica y monitorización 24 horas;  el cumplimiento con la LOPD para salvaguardar la confidencialidad y la seguridad de la información; y la garantía de disponibilidad de servicio.

La AEPD propone que en los colegios se enseñe a los menores a controlar su privacidad

La Agencia Española de Protección de Datos hace un llamamiento "especial" a los poderes públicos, responsables de redes sociales, educadores y padres para que colaboren en la seguridad de la privacidad de los menores en el uso de Internet y propone que se incorpore a los planes de estudio el aprendizaje sobre el control de los datos personales de los niños en la Red.

   Con motivo del Día Internacional de la Seguridad de la Información, que se celebra este miércoles, la AEDP señala que estos riesgos "nacen del desconocimiento por parte de los menores de cómo ejercer un control efectivo sobre sus datos y los de terceras personas".

   Aunque reconoce que en los últimos años se han producido "algunos avances", también advierte de que "aún" existen "importantes carencias" en el desarrollo e implantación de sistemas efectivos para identificar la edad de los usuarios y limitar la presencia incontrolada de menores en Internet.

   Por ello, reclama un "mayor compromiso" de las compañías con el desarrollo de las herramientas tecnológicas de verificación de la edad, que permitan comprobar que cuando los menores se registran en un servicio de Internet tienen la edad legalmente establecida (14 años) para ceder datos sin la autorización de sus padres.

   Esta entidad reclama también a la industria y a las empresas que prestan sus servicios a través de Internet y, especialmente, a los prestadores de servicios de redes sociales, que establezcan por defecto los parámetros de configuración "más respetuosos" con la privacidad de sus usuarios.

   Con todo, y ante los "nuevos riesgos" que pueden derivarse de las nuevas tecnologías de la información para sus usuarios, en el Día Internacional de la Seguridad de la Información, la AEPD incide en la necesidad de que los ciudadanos "sean diligentes" y adopten todas las medidas a su alcance para proteger su información personal y la de terceras personas en la Red.

   Ante casos recientes tramitados por esta agencia sobre difusión no consentida de datos personales en redes sociales o la distribución inadvertida de datos personales a través de redes intercambio de archivos o 'Peer to Peer' (P2P), la AEPD destaca la necesidad de que los usuarios de Internet "extremen las medidas" en el uso de redes de intercambio de archivos para evitar la difusión inadvertida de datos.