Hoy he considerado interesante incluir en el blog mi artículo publicado en el Boletín Numero 5 de la Asociación Española de Profesionales de la Privacidad – APEP que suscitó bastante polémica y que estoy seguro saca a la luz algunos fantasmas relacionados con el problema de la Protección de Datos en España.
Este articulo publicado conjuntamente con otros artículos de eminentes en la materia como D. Felix Haro, D. Eduard Chaveli y D. Ricard Martinez se complementó con Entrevistas a los principales actores en esta materia como son los Directores de las Agencias de Protección de Datos de Cataluña APDCAT Dª Esther Mitjans, de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM, D. Santiago Abascal y Agencia de Protección de Datos del País Vasco AVPD D. Iñaki Vicuña, un Boletín Informativo de Primer Nivel en el que fue un gran honor para mi participar y aportar mi visón y experiencia.
Sin más prolegómenos, y con mi mayor agradecimiento a la Junta Directiva de la APEP, os dejo el articulo tal cual fue publicado.
LA PAJA EN EL OJO AJENO (Lucas 6, 41-42)
Para los que no me conocéis informaros someramente que trabajo en el sector de la tecnología desde el año 1985, actualmente soy Socio y Director de una Consultora Tecnológica y un ISP, además de, en mi faceta “.org”, Director de Comunicación de ISACA Valencia, Director de Comunicación de PMI Valencia, Director de Comunicación del Comité de Valencia de itSMF España, Miembro de la Internet Society, etc.
Desde siempre he apoyado tanto los fines como a los profesionales de la APEP habiendo sido incluso patrono mediante aportación económica de su primer acto enmarcado en el I Congreso de Privacidad celebrado en Madrid y en lo que respecta a la lucha de la LOPD a coste cero, soy cruzado y hago eco de vuestras victorias cada oportunidad que tengo, la mas cercana que muchos de vosotros recordaréis a la que fue invitando a participar vuestro Presidente Ricard Martinez fuera incluso de programa en el marco de las Jornadas Trimestrales de ISACA que presento y modero en el Palacio de La Colomina de Valencia.
Teniendo en cuenta mi mayor afinidad con los objetivos de esta asociación, con sus representantes así como con la mayoría de sus asociados no quiero dejar pasar la oportunidad de mostraros como se ve “vuestra guerra” desde el otro lado de la mesa, una visión que debéis de conocer para poder mejorar el mensaje.
Sin más prolegómenos os cuento, el otro día fui requerido por un cliente de nuestra empresa al cual le venimos manteniendo absolutamente todos los sistemas de información así como los servicios de comunicaciones electrónicas desde hace casi una década.
El Gerente me encargó que le acompañara en una reunión con un consultor de Protección de Datos con el que quería que intercambiáramos impresiones ya que era familia de uno de los socios de la compañía y venía a informarnos sobre este tema para probablemente llevar a cabo la adecuación a la LOPD de la empresa, por fin grité en mi interior.
Apareció el Consultor y tras las presentaciones pertinentes de su gran profesionalidad y tamaño de su empresa me informó que iba a mostrarnos una maravillosa presentación sobre privacidad para lo cual debía conectarse a la Red de Área Local de la empresa para acceder a Internet.
Me parece de muy mal gusto llegar a una empresa que todavía no conoces y pretender enlazarte o aprovecharte de sus recursos por dos grandes motivos por higiene de tus propios sistemas de información así como del cliente y como no también por educación.
Mi negativa a conectar un PC cuya naturaleza y estado desconocemos a una red, hasta ese preciso momento estable, parece que le contrarió bastante y aseguró que eso no le había pasado nunca en ninguna empresa a la que había ido, lo que me contrario bastante a mi. Como se puede ser tan irresponsable de conectar tu equipo a una red que no conoces, como puede alguien ser tan gorrón como para pretender llegar a un cliente y tomar sus recursos y como puede alguien ser tan laxo de dejar que un desconocido acceda a su red de área local con los riesgos que eso conlleva.
Para enderezar la situación le guiñé un ojo a mi cliente y le dije al consultor que el problema es que teníamos un virus en la red y que si se conectaba probablemente se infectaría su equipo, que lo hacia por su bien, a partir de ahí volvimos a ser amigos.
Como parecía que habíamos entrado en un vortex y la visita no podía continuar dispuse mi PDA como modem inalámbrico y le dije que se conectara a internet través de él, tras lo cual suspiró retomando el hilo de la entrevista y asegurando media docena de veces que eso no le había pasado nunca con ningún cliente.
Mientras le ayudé a configurar su equipo pues no andaba demasiado experto con las conexiones wifi pude constatar tres cosas, la primera que el equipo que traía venia con el COA o Certificado de Licencia de Windows XP Home Edition que como cualquier profesional de este medio sabe no es apto para conectarse a una red basada en dominio y por tanto no sirve para entornos de seguridad empresarial, la segunda aun más grave es que tenia instalado Windows 7 Home Premium que tampoco sirve para redes basadas en dominio y que seguramente habría sido instalado de manera forzada y sin la correspondiente licencia; pero la tercera fue digna de la calificación “cum laude” ya que se desplego el icono del software Ares y el equipo se conectó con los servidores de intercambio de archivos para continuar con las descargas que este hombre tenia suspendidas probablemente desde aquella mañana en casa cuando apagó el equipo para meterlo en su maletín.
Le rogué que ya que se trataba de mi conexión HDSPA desconectara el Ares y algo sonrojado desconectó también el emule el cual había entrado en estado activo pero omitiendo el icono de la barra de tareas.
Cuando ya verificamos que la conexión a internet esta realizada, y nada consumía ancho de banda innecesario, el Consultor se dirigió a su aplicación de DropBox para descargarse el archivo de PowerPoint de 65Mb que correspondía a la presentación de PowerPoint que nos quería mostrar. En aquel momento no lo estrangulé porque el ratón era inalámbrico. Toda aquella parafernalia, conexiones, internet, etc. para bajarse un “puñetero” archivo que podría haber traído simplemente instalado en su disco duro o en una memoria USB, eso sí a quedado moderno muy moderno, viva la nube.
Recapitulemos:
-
Ha puesto en Riesgo de Infección su equipo intentándolo conectar a una red desconocida
- Ha puesto en Riesgo de Infección la red de un cliente intentando conectar a ella su equipo.
- Ha tenido que pedir prestado servicio de acceso a internet
- Ha establecido desde mi IP conexiones para descarga de archivos susceptibles de derechos de autor
- Lleva un Equipo con licencia distinta a la adjudicada a ese equipo
- Usa un Sistema Operativo sin nivel de seguridad suficiente para entornos de trabajo empresariales
- Su equipo tiene ciertas carpetas compartidas de manera pública hacia internet con usuarios desconocidos
Una vez descargado el archivo, se ejecuta el PowerPoint y mientras se carga el programa podemos leer PowerPoint 2010, Edición Hogar y Estudiantes. Bien, Pepe, Bien, que así se llamaba el consultor, en un ordenador de una empresa. Sin querer hacer mas sangre guardo silencio, la presentación muy profesional por cierto, digna de las ganas de vender de la empresa a la que representa el consultor y en la que se nota ha invertido lo que había que invertir, no como en portátiles y conexiones móviles.
Finalizada la presentación el consultor me pregunta que me parece, yo le pregunto asombrado ¿el qué? Y el evidentemente dice la presentación claro! y yo le confirmo lo que aquí os he dicho, muy profesional.
El Gerente de la empresa entra ya en aspectos mas concretos y le pregunta sobre temas operativos, el Consultor explica que todo se trabaja con documentos en la nube, en DropBox donde se guarda e intercambia toda la información relacionada con Protección de Datos de cada cliente de la consultora. Inevitablemente yo le pregunto si se ha preocupado de averiguar si DropBox cumple con los requisitos mínimos de la Protección de Datos pues nos da un poco de “no sé que” dejar ahí toda la información y el consultor nos tranquiliza diciendo que no nos preocupemos que eso lo hace la consultora entera, todos los clientes, desde el mas grande al mas pequeño, y que nunca ha pasado nada que los correos electrónicos y los USB han muerto y ríe, el solo, y deja de reír.
Sin salir de mi asombro le pregunto si su consultora tiene claro el contrato que firma con DropBox sobre este servicio y me lo aclara definitivamente, ya que según asegura no es la consultora la que abre las cuentas en DropBox, sino cada uno de los consultores abre una cuenta para cada cliente motu proprio y ahí es donde se guarda la información, que realmente en eso la consultora no tiene nada que ver.
Intentando poner fin al desatino le digo que cual es el siguiente paso, y me informa que recibiré un correo electrónico, gracias a Dios, con un PDF con una serie de preguntas a las que responder para que nos pueda hacer un presupuesto, le indico para que se tome nota mi cuenta de correo y me dice que lo manda en ese mismo instante, veo que accede a través de un web mail a su cuenta de correo y a pesar de que la consultora trabaja con su propio dominio de internet veo que su prestador de servicios de comunicaciones electrónicas es harto conocido.
Un Prestador de Servicios de Comunicaciones Electrónicas que presta servicios de Correo Electrónico por Cuenta de Terceros sin estar inscrito en el Registro Especial de Operadores de Telecomunicaciones requisito indispensable con carácter previo al inicio de la actividad como indica el articulo 6.2 de la Ley 32/2003 por lo que presta sus servicios al margen de la ley. Por tanto un prestador que tampoco cumple con las medidas básicas sobre Secreto de las Telecomunicaciones, que es un Derecho Constitucional y al que están sometidas todas las empresas que prestan servicios de correo electrónico por cuenta de terceros, es decir todo un profesional del medio, vaya.
Mientras hablaba con él me extrañó no recibir su correo, encontré el correo en la Bandeja de Correo no Deseado, chequeé el dominio así como el servidor de correo donde esta alojado dicho dominio y comprobé que ni tenia resolución inversa, ni tenia una IP fija, ni cumplía SPF además de estar incluido en un montón de listas negras de correo como foco de envío de correo basura al ser considerado un Relay Abierto.
El archivo PDF misteriosamente incorporaba además de las casillas con las preguntas las respuestas que otro cliente había remitido por lo que me pude enterar de cierta información digamos de naturaleza sensible, estábamos una vez mas ante una manifestación del arte del Copia Pega.
Recapitulemos:
-
Utiliza Software de Microsoft sin el Licenciamiento Adecuado al Fin Previsto
- Utiliza repositorios de información con empresas con las que no establece acuerdo LOPD
- La información que capta fruto de su relación mercantil la guarda en destinos fuera del ámbito mercantil
- Los datos personales guardados en el servicio implican una cesión internacional de datos que debe ser aprobada por el director de la agencia
- Su proveedor de Servicios de Comunicaciones Electrónicas no cumple con la legislación vigente
- No es cuidadoso en la custodia de la información que recibe de los clientes
- Pone poca precaución en la práctica del copia y pega.
En aquel momento, aclarado todo, quedamos que le mandaría los detalles de la red, pero antes de marcharse nos invitó a una reflexión final, nos informó pormenorizadamente de las practicas deshonestas y poco profesionales de ciertas empresas relacionadas con la LOPD y nos advirtió que si alguien venía vendiendo LOPD a coste cero y financiándola con fondos de formación que tuviéramos mucho cuidado con ellos porque eso además de que no es legal demuestra una gran falta de profesionalidad y evidencia no saber lo que se tiene entre manos. Algo asustado lo miré y le pregunté, ¿Conoces la APEP? y me respondió que no, que no le sonaba de nada, entonces y como dicen en las películas, el fiscal no hizo más preguntas. Menos mal me dije a mi mismo, tal interés en combatir la mala práctica de la LOPD a coste cero parecía propio de alguien cercano o del entorno de la APEP.
Irremediablemente me vino a la memoria: Lucas 6,41-42: La paja en el ojo ajeno. “¿Cómo es que miras la brizna que hay en el ojo de tu hermano y no reparas en la viga que hay en tu propio ojo? ¿Cómo puedes decir a tu hermano: `Hermano, deja que saque la brizna que hay en tu ojo’, si no ves la viga que hay en el tuyo? Saca primero la viga de tu ojo y entonces podrás ver para sacar la brizna que hay en el ojo de tu hermano.»
Tras despedirlo regresamos al despacho y el Gerente de la empresa me preguntó que me había parecido la entrevista, yo sabía perfectamente que él también se había dado cuenta de muchos de los detalles que a mi me habían chirriado, y por eso guardé silencio unos segundos, entonces el gerente me preguntó ¿Qué es eso de la APEP? A lo que yo le contesté la Asociación Española de Profesionales de la Privacidad.
Me miró y me dio la razón en algo que yo le había dicho en reiteradas ocasiones el tema de la LOPD se hace solo con profesionales no basta con que sean conocidos.
Ahora ya inmerso en la selección de la consultora no se si me centraré en el currículum de la empresa, analizaré su experiencia, averiguaré si los sistemas operativos que usan son legales o no, o si los servicios que luego van a utilizar cumplen o no cumplen con la legalidad que paradójicamente pretenden implantar, lo que por lo menos he logrado en esta entrevista es convencer a la gerencia de que sea un profesional de la APEP quien lleve a cabo la adecuación.
Javier Peris
CGEIT®, CRISC®, ITIL Intermediate, ISO27K LA, Business Angel, SMB, MCP
LaPajaEnElOjoAjeno@javierperis.com
Debe estar conectado para enviar un comentario.