El Esquema Nacional de Seguridad, el desarrollo seguro de software y otras hierbas aromáticas

20 de mayo de 2010 Por

Noticia de hoy, calentita: un fallo en la web del Ministerio de Vivienda daba acceso a datos personales de solicitantes de la renta de emancipación, permitiendo al parecer acceder incluso a información fiscal de otros solicitantes (datos de nivel medio). Pero no, no voy a entrar en la desgastada discusión de que si esto pasa o no pasa porque las administraciones públicas no tienen una especial sensibilidad ni concienciación en cuanto a sus responsabilidades en el tratamiento de los datos de carácter personal, de si esto pasa porque no están sujetas al régimen sancionador de la LOPD, etc.

Quiero ir por otro lado. A mi juicio este incidente es un ejemplo práctico y claro que hace patente la necesidad de que el Esquema Nacional de Seguridad (ENS) pase de ser una mera declaración de intenciones a una obligación real y efectiva. El servicio de gestión, consulta y seguimiento del estado de tramitación de las citadas solicitudes de renta de emancipación ante el Ministerio de Vivienda es un servicio sujeto, se mire por donde se mire, al cumplimiento de la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. El artículo 42 de esta ley decía que se establecerían unos criterios para definir el marco en materia de seguridad, normalización de la información y de las aplicaciones a utilizar para que este acceso electrónico se desarrolle de manera segura. Por eso en enero de este año se publicaron el Esquema Nacional de Seguridad (RD 3/2010) y el Esquema Nacional de Interoperabilidad (RD 4/2010).

El principal objetivo del ENS es definir el marco de confianza necesario para que se desarrolle adecuadamente el intercambio de información entre las administraciones públicas y los ciudadanos y terceras empresas a través de estos medios electrónicos, determinando las medidas de seguridad necesarias que deben cumplir los sistemas de información que les dan soporte. Porque el ENS habla de la seguridad integral, y de que debe ser una función segregada, y de lo importante que es la formación y la profesionalidad, y del marco operacional en el que se deben mover los servicios externos, y de medidas de seguridad sobre sistemas, sobre aplicaciones…

Y esto entronca con la necesidad imperiosa (lo estamos viendo casi a diario en muchos de los proyectos en los que trabajamos) de que se implanten metodologías de desarrollo de software seguro, que integren los criterios de seguridad desde la etapa del diseño de requerimientos de cualquier aplicativo (véase el art. 19 del ENS), y con la necesidad imperiosa de que las empresas de desarrollo acrediten que efectivamente tienen en cuenta estos criterios al desarrollar sus servicios —de hecho el ENS viene a contemplar una reacción en cadena en cuanto a que las administraciones públicas deberán solicitar a sus proveedores evidencias de que gestionan de manera segura los servicios que prestan (ISO 27001, etc.)—.

Y esto —a mi modesto entender— no tiene nada que ver con si eso pasa porque no hay un colegio de ingenieros en informática que ejerza como tal, que si eso pasa porque los telecos están invadiendo las competencias de los informáticos, que si eso pasa porque estas empresas son “cárnicas” o no lo son… (reconozco que este último párrafo casi orienta el post a la sección GOTO…).

No tengo tiempo para extenderme más. Sólo quería compartir con ustedes esas dos o tres ideas que me han venido a la cabeza al leer la noticia que les he referido.

(N.d.E.: El error en la web de la DGT del que Samuel Parra se hacía eco justo ayer va por los mismos derroteros)

I Encuentro Internacional CIIP: Taller de Continuidad

11 de marzo de 2010 Por

En esta entrada me voy a atrever a darles mi visión personal de las conclusiones que se extrajeron del taller “Gestión de Continuidad: Planes de Contingencia, Gestión de Crisis” del I Encuentro Internacional de Ciberseguridad y Protección de Infraestructuras Críticas, taller que dirigió con mucha habilidad y dinamismo Miguel Rego, Director de Seguridad Corporativa de ONO, y que resultó muy participativo.

En el taller personalmente constaté que, salvo honrosas excepciones, muchas de las empresas estratégicas españolas todavía se encuentran en una fase digamos intermedia en cuanto a la implantación real de planes de continuidad de negocio. Todavía se confunden términos, y por ejemplo se establecen equivalencias entre planes de contingencia TIC y planes de continuidad de negocio (si miran la fotografía que acompaña este post estarán de acuerdo conmigo en que “eso” no tiene nada que ver con continuidad TIC). Sobre esto ya les hablé en otro post sobre la resiliencia de las organizaciones.

Se constató el consenso entre los participantes relativo a la necesidad de una mayor sensibilización por parte de los actores, de que falta regulación, y de que faltan estándares en los que basarse que sean realmente de aplicación a sectores tan dispares como el transporte por ferrocarril, la banca o la telefonía móvil. La sensibilidad existente en las IC privadas se basa en la protección del negocio más que en la protección del servicio, y no son aspectos que sean contemplados en las estrategias corporativas. Asimismo, quedó en evidencia la necesidad de que los planes de prueba de los planes de continuidad de negocio consistan en pruebas “de verdad”, y no en simulaciones controladas y poco realistas. También es cierto que la realización de ejercicios de crisis sectoriales realistas es verdaderamente compleja. ¿Deberían ser obligatorias? ¿Y entre sectores interdependientes? ¿Cómo coordinarlas?

Otro de los aspectos que se comentaron fue la necesidad de definir modelos de datos estándar y una interfaz segura para el necesario intercambio de información entre los cuadros de mando y control en la gestión de la continuidad de IC. Se abogó por seguir un modelo como el holandés, en el que el estado “facilita” y apoya y el sector privado lidera y actúa, aunque al final hubo que reconocer que no es un modelo fácilmente implantable en España. Donde surgieron las discrepancias fue a la hora de valorar cuál debería ser el papel del Estado en esta materia. Hubo acuerdo en que debía regular los mínimos exigibles, y en que debía conocer el estado real de la seguridad de las IC nacionales, pero hubo desacuerdo en si además debía revisar, auditar, exigir e incluso sancionar. Por último, se propuso que el Estado subvencionara o apoyara económicamente proyectos I+D+i que trabajaran en esta línea, ayudas quizás dirigidas a asociaciones sectoriales, y se apuntó la idea de que la Responsabilidad Social Corporativa debería ser un impulsor para que las empresas se subieran a este barco.

Además de los temas tratados en el taller, me gustaría añadir algunos otros asuntos vistos durante las dos interesantes jornadas, alguno de los cuales ya ha sido apuntado por José Rosell en el post que escribió sobre este encuentro.

En el apartado de curiosidades o cosas que me llamaron la atención (quizás por ser un neófito en el terreno militar), me llamó la atención la exposición del Teniente Coronel Néstor Ganuza, director de la Sección de Adiestramiento y Doctrina del Centro de Ciberdefensa Cooperativa de la OTAN (aunque independiente de ésta, pues incluso apuntó que el Centro es crítico en algunos temas con la Organización del Tratado del Atlántico Norte), por mostrarse tan abierto a colaborar con otras organizaciones, públicas o privadas. Éste planteó temas interesantes en materia de ciberseguridad: habló de que ya se usan los ciberataques en la defensa de intereses legítimos, e hizo por ejemplo referencia a las declaraciones de Sir Stephen Dalton, jefe del Estado Mayor del Aire de UK, relativas al uso que hace el ejército israelí de twitter.

Como ya he apuntado, me pareció interesante el enfoque holandés presentado por Anne Marie Zielstra, del NICC holandés, basado en la previsión, el trabajo colaborativo entre el sector privado y el público, y dando un carácter básico al intercambio de información entre los dos sectores. Fue también interesante y muy serio el enfoque británico expuesto por Peter Burnett, del OCS (Office of Cyber Security) de UK, que destacó que en los análisis de continuidad de sus ICs están pasando de un enfoque basado en la amenaza a un enfoque basado en el impacto (cuanto mayor pueda ser el impacto, más crítica será la infraestructura), y que corroboró la necesidad de compartir la información para mejorar el conocimiento.

Por último, unas reflexiones personales:

  • En España existen unas 3.700 infraestructuras estratégicas (críticas, algunas de ellas), el 80% de las cuales se encuentran en manos privadas.
  • Algunos de los ponentes pusieron encima de la mesa la falta de confianza existente a la hora de facilitar información sensible en el necesario intercambio y cooperación entre el sector privado y público ¿a alguien se le escapan los lógicos recelos de, por ejemplo, una telco a la hora de informar de que tiene determinadas carencias de seguridad o de infraestructuras que pueden afectar a su continuidad, recelos que se acentúan si además no tiene la certeza de que esa información no pueda caer en manos de la competencia o de terceros interesados en ver cómo explotar esas vulnerabilidades?
  • El Real Decreto de protección de infraestructuras críticas en que se está trabajando es la trasposición de la Directiva Europea 2008/114/CE. Pero cuidado. La directiva europea regula la protección de las ICs de un país que pueden afectar a otros países, pero no entra en el ámbito exclusivamente nacional. Ahí deja el tema a la soberanía y libertad de cada país. Si volvemos a recordar que el 80% de las infraestructuras estratégicas españolas está en manos privadas, y les comento que durante las jornadas la frase que todos los representantes de ICs nacionales privadas pronunciaron fue “¿Y esto quién lo paga?”, tenemos como país un importante reto por delante.

Todo esto, mientras estos días más de 100.000 personas de la Costa Brava gerundense han pasado (y algunos siguen pasando) varios días sin suministro eléctrico, 40.000 sin teléfono fijo y sólo un 50% de cobertura de telefonía móvil tras la nevada de hace unos días.

Vamos, que ni al pelo para el post.

Seguridad organizativa. Un caso práctico.

9 de diciembre de 2009 Por

No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.

La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).

La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.

Y por último yo diría que en España la aparición de la LOPD —a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes— y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.

[Read more…]

Titanic

2 de noviembre de 2009 Por

En este blog normalmente abordamos la gestión de la seguridad desde el punto de vista TIC, desde el punto de la seguridad de la información, de los procesos de negocio, etc. Pero hay otras seguridades, como ha estado presentando Toni Villalón en sus últimos posts. Hoy quería dar unas pinceladas de cómo se gestiona la seguridad en un ámbito totalmente diferente y muy complejo: el de la navegación marítima. No es algo caprichoso; algunos integrantes de S2 Grupo estamos asistiendo a un curso de Seguridad Portuaria, en el marco de un proyecto I+D+i en el que estamos participando.

Voy a ver si soy capaz de ponerles en situación.

No sé si han tenido alguna vez la oportunidad de ver alguna reproducción a tamaño real de alguna de las carabelas que partieron en busca de las Indias Orientales…a mí me pone la carne de gallina pensar en las condiciones de habitabilidad de esas naves, en un trayecto sin duración prefijada, navegando con las estrellas, a merced de los vientos, sin un destino claro….ya ni hablemos de condiciones de seguridad en la navegación. Evidentemente tomarían sus medidas de seguridad, pero no existían tratados internacionales ni estándares de referencia.

No soy ningún experto en la materia, supongo que desde el siglo XV se habrán escrito tratados que han intentado sentar ciertas bases al respecto, pero el punto de inflexión que hizo al mundo plantearse la necesidad de regular el tráfico marítimo fue el histórico incidente del Titanic en 1912 (si tienen un momento, denle un vistazo a este interesante enlace). Más de 1.500 víctimas, el impacto social de su hundimiento,… pero fíjense en un par de datos.

A bordo había 2.200 personas, entre pasaje y tripulación. Sin embargo, los botes de salvamento sólo tenían capacidad para algo menos de 1.200 personas. Partimos ya de un evidente mal dimensionamiento de la capacidad de los botes. Pero es que además, aquella fatídica noche muchos de los 20 botes disponibles no se llenaron a su máxima capacidad, lo que trajo como consecuencia que sólo hubiese 711 supervivientes. Casi 500 personas más podrían haberse salvado si el Titanic hubiese dispuesto de un adecuado plan de protección (obviando el hecho de que si hubiese existido dicho plan, la capacidad de los botes de salvamento habría sido mayor).

Este histórico incidente provocó la creación de la Organización Marítima Internacional (OMI), dependiente de Naciones Unidas. La OMI está estructurada en comités, algunos de los cuales —el Comité de Seguridad Marítima y el Comité de Protección del Entorno Marítimo— han ido publicando regulaciones como el Convenio MARPOL (Maritime Polution) que regula la gestión medioambiental de los diferentes tipos de residuos que generan los barcos, o el SOLAS (Safety Of Life At Sea), una de las primeras acciones que abordó la OMI tras el naufragio del Titanic.

Desde su publicación en 1914, los diferentes capítulos del SOLAS han ido sufriendo diferentes modificaciones y actualizaciones (enmiendas es el término técnico utilizado). De entre ellas voy a destacar dos: el código IMDG -que regula el transporte marítimo de mercancías peligrosas- y el código ISPS.

El código internacional ISPS, ó PBIP en español (Protección de los Buques y de las Instalaciones Portuarias) es una enmienda del convenio SOLAS publicada en 2002 por la OMI. ¿Y saben cuál es el origen de su creación? Los atentados terroristas del 11S de 2001 en EEUU.

Y quizás ustedes se preguntarán: pero si los ataques del 11S se realizaron con aviones, ¿por qué ese afán en regularizar el tránsito marítimo? Tiene una explicación. A raíz de los atentados, que pillaron desprevenidos tanto a la sociedad como a los servicios secretos norteamericanos, se dieron cuenta de algunos detalles sorprendentes:

  • El 95% de las mercancías que entraban o salían del país se introducía mediante transporte transoceánico.
  • Las aduanas norteamericanas sólo inspeccionaban el 2% de los 16 millones de contenedores que llegaban cada año. Apenas había ningún tipo de control respecto al 98% restante.

Pero también se dieron cuenta de que si intentaban incrementar el control sobre los contenedores que entraban por ejemplo en el puerto de Nueva York, además del coste económico que implicaría —mejora de la seguridad general de las instalaciones portuarias— y del número de inspectores que habría que seleccionar, habría otra importante consecuencia: el puerto se convertiría en un auténtico cuello de botella, en el quedarían literalmente atascadas las mercancías, con el perjuicio que ello tendría para el comercio y las empresas.

Solución: trasladar virtualmente sus fronteras al país de origen de un contenedor que tenga como destino los EEUU. Es decir, pasar la patata caliente del control preventivo al país de origen, con todo lo que ello implica.

Y como los EEUU son los que marcan las reglas del juego esto provocó que la modificación del SOLAS que trajo como resultado el PBIB se “convirtiera en ley” en el ámbito europeo con el Reglamento CE 725/2004, además de otras iniciativas norteamericanas por las que había que pasar “sí o sí” para poder comerciar con este país, como la iniciativa CSI (nooooo…..nada que ver con Grissom y sus chicos), la Container Security Initiative, que desplaza a funcionarios de aduanas norteamericanos a algunos de los puertos más importantes del mundo, o MEGAPORT, con controles de radioactividad. Y existen más regulaciones posteriores, pero ya les he mareado bastante.

Se han dado cuenta, ¿no? Hemos hablado de seguridad de las personas, de la seguridad de los propios buques, de la gestión de la seguridad de mercancías peligrosas, de la seguridad de la navegación, de la seguridad del tránsito comercial, de seguridad medioambiental, de lucha antiterrorista….

Imaginen todo lo que esto implica para puertos como el de Valencia, Algeciras o Barcelona —punteros en el tráfico comercial con EEUU y el resto del mundo— desde el punto de vista de las inversiones económicas y desde la coordinación entre los diferentes estamentos que intervienen. Además de las empresas privadas consignatarias, transitarias, transportistas, etc., en España, las grandes protagonistas son las Autoridades Portuarias, dependientes del Ministerio de Fomento, que cuenta con sus respectivas policías portuarias, que además deben coordinarse con la Guardia Civil, las autoridades locales, autonómicas, etc.

En definitiva, un importante reto a afrontar, con planes de protección para los buques, para las instalaciones portuarias, para los propios puertos, con organismos internacionales que regulan y auditan…y todo “por culpa” del Titanic.

Las hijas de “ZP”

29 de septiembre de 2009 Por

No sé cómo se habrán sentido ustedes tras observar la polémica suscitada por la publicación de la famosa fotografía de las hijas del presidente del gobierno en el Metropolitan de Nueva York, y observar —cada vez me sorprende más lo desocupados y aburridos que pueden llegar a estar mis congéneres— esa especie de “variaciones sobre el mismo tema” en que se ha convertido la generación de fotografías de las menores cambiando el escenario, los rostros y los aderezos de los retratados.

No voy a entrar en la disquisición de dónde termina el círculo privado y empieza el ámbito público, tema más propio de uno de estos “programas” de “prensa” rosa/morbosa. Con independencia de lo que se piense (¿era o no era un viaje privado? ¿Un presidente de gobierno y su familia son o no son personajes públicos?), personalmente me parece preocupante la falta de respeto general observada al tratar el tema después de leer/oír los comentarios vertidos en los medios de comunicación, partiendo de la base de que se trata de menores de edad.

Sólo me remitiré a lo dicho por el artículo 4.3. de la Ley 1/1996 de Protección Jurídica del Menor:

“Se considera intromisión ilegítima en el derecho al honor, a la intimidad personal y familiar y a la propia imagen del menor, cualquier utilización de su imagen o su nombre en los medios de comunicación que pueda implicar menoscabo de su honra o reputación, o que sea contraria a sus intereses incluso si consta el consentimiento del menor o de sus representantes legales.”

Pero con independencia de esta ley, ¿demonizar a unas niñas en función de su manera de vestir? Pensaba que vivíamos en un país más avanzado, que no juzga la educación o la calidad humana de una persona por su manera de vestir, pero en fin, veo que sigo equivocado… En cualquier caso, aunque es un tema interesante no es esto de lo que quería hablarles.

Al hilo de un post de Javier Cao en su blog sobre la aparición de esta fotografía en Internet, quería proponerles el siguiente aspecto que, como no podía ser de otra manera, entronca con la gestión de la seguridad de la información.

Vayamos al origen de la situación. Al parecer —y corríjanme si estoy equivocado, porque no lo sé a ciencia cierta— la famosa foto fue publicada en la página web de la Casa Blanca y/o en la galería que el Departamento de Estado norteamericano tiene en flickr. Me da igual. En cualquiera de los dos casos, si vamos tirando del hilo, llegaremos al culpable de la publicación de la famosa foto, al responsable de todo esto… ¡Ya lo tenemos! ¡Que detengan al webmaster de la Casa Blanca! ¡O al “currito” que gestiona la galería de fotos del Departamento de Estado!… ¿O no?

Porque ¿quién decide si un usuario de una organización tiene o no tiene acceso a un determinado recurso? O yendo más lejos, ¿quién determina si una información es pública, restringida, confidencial, secreta? ¿El técnico que va a asignar los privilegios de acceso al directorio?

Porque un técnico no determina por su cuenta y riesgo si el documento de seguridad de una organización se publica en la zona pública de un servidor de ficheros o no, o a qué grupos de usuarios se les da permisos de acceso al directorio “Gerencia”… Lo lógico sería abordar un estudio de clasificación de la información, atendiendo a criterios organizativos y de negocio, ¿no? Evidentemente esta clasificación de la información provocará la creación de procedimientos que regulen su tratamiento, definiendo, entre otros aspectos, los permisos de acceso que los técnicos de sistemas tendrán que asignar a los recursos. Pero evidentemente éstos no serán los responsables de la asignación formal, de la definición de los permisos de acceso, serán responsables “solamente” de la asignación técnica. “Alguien” habrá definido previamente los mismos.

El caso concreto de la publicación de la famosa fotografía, además de poner encima de la mesa la necesidad de establecer normas o leyes supranacionales que protejan determinados derechos básicos de las personas, con independencia del país en el que nos encontremos (por ejemplo la protección de los datos personales en USA brilla por su ausencia…), en mi modesta opinión subraya el papel fundamental que deben jugar en la gestión de la seguridad de la información los responsables funcionales, responsables organizativos, encargados de definir el protocolo a seguir y de determinar/supervisar/otorgar las autorizaciones necesarias, ya sea para asignar los permisos de acceso a un estudiante en prácticas, para autorizar la restauración de la copia de seguridad de una determinada información, …. o para publicar una fotografía en Internet.

Paralelismos

24 de julio de 2009 Por

Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.

[Read more…]

Delitos informáticos

11 de junio de 2009 Por

cybercrimeLa semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

[Read more…]

Una cuestión de resiliencia

4 de junio de 2009 Por

muelleEn una charla a la que asistí hace unos meses sobre continuidad de negocio, uno de los ponentes clasificaba los métodos que existían a la hora de afrontar la materialización de un escenario de siniestro en los siguientes:

  • Método israelí: atajar el problema como sea (“enemigo muerto, trabajo bien hecho”).
  • Método americano: desplazar a un técnico al campo de trabajo y hacer un procedimiento. A partir de ese momento el procedimiento es sagrado.
  • Método británico: el que se desplaza es un segundo del técnico (vestigios del Imperio…).
  • Método español: Vamos y lo intentamos arreglar. Después, si podemos, haremos el informe, y el procedimiento….uff, eso ya veremos.

[Read more…]

Hasta siempre María Amelia

22 de mayo de 2009 Por

mariaameliaEl miércoles se nos fue la abuelita de Internet.

Y ustedes dirán: ¿Y qué tiene que ver esto con la seguridad, con los SGSIs, con las políticas de privacidad? Bueno, pues tenía un blog que le regaló su nieto, a lo mejor va por ahí el post…

Se llamaba María Amelia, y era de Muxía. “Mi nieto, que es muy cutre, me ha regalado un blog“, dijo. En estos días, en que parece que Internet es sólo una fuente de malware, de usos malintencionados, de tráfico ilegal de datos personales, de venta y compra de datos, de peligros para los jóvenes… creo que este es un ejemplo de que también puede ser algo positivo. Ese regalo supuso para María Amelia una puerta de salida a su soledad, una ventana de aire fresco, le trajo alegrías, conocer mucha gente, hacerse famosa, demostrar que una persona “mayor” e internet no son incompatibles… Pero sobre todo sirvió para demostrar al mundo que la alegría, las ganas de vivir, la fuerza de una persona no están en su cuerpo, están en su espíritu.

Hasta siempre, María Amelia.

P.D. No se pierdan los audios de su blog. Nos vemos el lunes, sean buenos.

Ley Nokia

23 de marzo de 2009 Por

Hace ya unos días apareció en prensa una noticia que me parece interesante comentar. El titular es bastante efectista: “Los jefes podrán controlar el correo electrónico de los empleados (…)”.

La noticia recoge la aprobación en Finlandia de la conocida como “Ley Nokia”, debido a que fue esta empresa la que desde hace un par de años ha estado presionando al gobierno finés para que se modificara la ley de protección de las comunicaciones electrónicas, y que así una empresa u organismo público pudiese investigar el uso que del correo electrónico hacen sus empleados. El revuelo consiguiente es comprensible, tanto en un sentido como en otro, y es fácil encontrar opiniones que justifican la medida y otras que piden el boicot a la marca y que nadie se vuelva a comprar un Nokia en su vida…

En este país tenemos ya alguna sentencia del Tribunal Supremo que ha unificado doctrina al respecto, y que por un lado reconoce el derecho a la privacidad del trabajador en el uso de los recursos corporativos que una empresa pone a disposición de sus empleados, y admite un uso privado “racional” de los mismos, como no podía ser de otra forma. ¿O es que no puede uno/a llamar a su pareja con el teléfono de la oficina? Lo que ya no está tan claro es que lo hagas si tu pareja está en Buenos Aires pasando unos días de vacaciones y te tires 40 minutos hablando… de ahí lo de “racional”. Trasladen todo esto al uso del correo electrónico, el uso de Internet, el uso del PC que uno tiene asignado, etc.

Pero por otro lado, la sentencia reconoce el derecho del empleador, en consonancia con el artículo 20.3 del Estatuto de los Trabajadores, a controlar el uso que de dichos recursos hacen sus empleados, aunque con unas determinadas premisas:

  • Que el ejercicio de esa potestad de vigilancia se lleve a cabo respetando la dignidad del trabajador y su intimidad, teniendo en cuenta que se debe tolerar el uso personal racional y moderado de los recursos corporativos.
  • Que el empleador defina previamente las “reglas del juego”; es decir, qué se puede y qué no se puede hacer con ellos.
  • Que informe de las medidas y herramientas de control y auditoría que se van a utilizar.

Y es ahí donde normalmente, por mi experiencia, las empresas fallan. Muchas veces se han definido las reglas de uso de esos medios, y se han implantado herramientas de filtrado de contenidos, pero… ¿se ha informado de ello convenientemente a los empleados? Normalmente no. Como mucho, en algunos casos, esas normativas de uso, que raramente han sido aprobadas de manera formal por la dirección, que se han elaborado con la mejor de las intenciones desde el área TIC pero no se han consensuado con RRHH, y que están perdidas en algún apartado escondido de la intranet corporativa, nunca llegan a sus destinatarios (sólo en extraños casos en los que el empleado acaba aterrizando por allí y las lee, si es que está muy aburrido).

Sólo cuando detectan que se están produciendo más accesos a Facebook que a la intranet corporativa, o cuando el acceso a determinados sitios web ha propagado por la red corporativa algún tipo de malware es cuando se pone el grito en el cielo y se pretenden tomar medidas incluso disciplinarias, pudiendo incurrir en situaciones que, por no haber hecho las cosas bien, podrían provocar que —si me permiten la expresión— el tiro les acabe saliendo por la culata.

Como tantas otras cosas, es un tema cultural. Tiene que existir un acuerdo y un compromiso entre las partes (empleador y empleados) que contemple el uso personal de los recursos corporativos, pero que a la vez imponga ciertas condiciones a su uso. ¿Por qué no se incluye en el manual de acogida de los nuevos empleados esas normativas, como sí se hace por ejemplo con la normativa relacionada con Prevención de Riesgos Laborales?

La motivación de Nokia como empresa impulsando la aprobación de esa modificación legal en Finlandia no es poder cotillear el correo de sus empleados para “marujear”, sino que responde a haber sufrido varios presuntos casos de espionaje industrial aparentemente relacionados con la fuga de información confidencial a través del correo electrónico (y además, la modificación legal no permite acceder al contenido de los correos, sino tan solo a su remitente, destinatarios, tipo y tamaño de los ficheros anexados).

Porque no nos engañemos, que todos hemos sido cocineros antes que frailes. ¿O es que nadie se ha llevado alguna vez, digamos… “documentación de trabajo” de alguna empresa en la que trabajó? Lo que entronca con el uso de los dispositivos tipo USB, el acceso a los webmail, etc., pero eso ya sería tema para otro post.