Las pymes y los sistemas informáticos: medidas de seguridad

Las empresas dependen para su funcionamiento diario de la informática. Desde la contabilidad o las nóminas, hasta los pagos a proveedores o ingresos son gestionados por medios informáticos. Internet se ha convertido en el aliado de las pequeñas y medianas empresas, ya que les ha hecho la vida más fácil en sus gestiones con bancos, aseguradoras, o en el pago de impuestos estatales, autónomos o municipales.

Aunque muchas de estas tareas funciones son delegadas habitualmente muchas veces en gestorías especializadas en este tipo de asuntos, cada vez son más las empresas que asumen estas funciones. Por eso, es necesario que las pymes establezcan una serie de necesarias medidas de seguridad, para evitar contratiempos propios del uso de medios informáticos e internet.

Recursos humanos y seguridad informática

El Instituto Nacional deTecnologías de la Comunicación (Inteco), en sus recomendaciones de seguridad para las pymes, señala que la organización es clave. Así, el responsable de seguridad de la empresa debe ser consciente de los riesgos a los que está sometido, adoptar una política de seguridad y hacer partícipes al resto de empleados en la misma. Este responsable debe designar un sustituto para cuando él esté ausente, a fin de que la empresa siga funcionando sin estar expuesta a riesgos.

La seguridad física la lleva a cabo la persona que tiene acceso físico a los equipos, que debe tener en cuenta los riesgos asociados a accesos no autorizados a servidores, equipos, interrupciones del suministro eléctrico, etc. Por otra parte, es obligatorio que la empresa haga periódicamente copias de seguridad, que se deben guardar en un equipo distinto al del equipo del que se ha hecho el duplicado siempre que se traten datos especialmente protegidos.

Por otro lado, los usuarios de los sistemas informáticos en la empresa deben contar con un nombre de usuario y una contraseña segura (se recomienda un mínimo 8 caracteres alfanuméricos) para poder acceder a los sistemas. La contraseña debe ser renovada con periodicidad, algo que es obligatorio cuando el usuario tiene acceso a datos personales. De esta forma, cada empleado se hace responsable de todas las acciones que se realicen con su identificador.

Seguridad de los datos en entornos online

Los virus, gusanos, troyanos o software espía, lo que genéricamente se denomina como software malicioso, son otras amenazas para los equipos de la empresa, ya que pueden entrar en ellos sin permiso y sin que el responsable de seguridad se percate. Por ello, es necesario que todos los sistemas estén equipados con antivirus y cortafuegos.

Uno de los fraudes online más conocidos es el phishing, consistente en que el atacante envía un mensaje de correo electrónico, fingiendo ser su banco, con el propósito de obtener las claves. La empresa debe tener claro que el banco nunca se pondrá en contacto con sus clientes para verificar sus datos, por lo que se debe desechar cualquier mensaje inesperado que, en apariencia, provenga del propio banco.

Las empresas que opten por el comercio electrónico, con las numerosas ventajas que lleva consigo, como el ahorro drástico de costes, deben tomar una serie de medidas para proteger tanto a la propia compañía como al cliente. En este sentido, es preferible pedir el mínimo de datos al cliente para llevar a cabo la transacción; si hay datos confidenciales se deben tratar con el máximo de seguridad y es recomendable implantar pasarelas de pago de los bancos para efectuar las transacciones.

Además, a la hora de desechar estos soportes, que pueden contener datos confidenciales, se deben tomar medidas de seguridad, para evitar la copia por terceros, tal y como debe hacerse en caso que se transporten estos discos duros. Si contienen datos personales, a la hora de hacer una copia de seguridad el procedimiento está regulado por la Ley de Protección de Datos y el reglamento de medidas de seguridad de ficheros de datos personales.

Cómo prevenir el SPAM

La palabra Spam proviene de abreviar “spiced ham” (jamón con especias), una comida americana típica, habitualmente enlatada, y el principal alimento de los soldados en la Segunda Guerra Mundial, gracias a los envíos masivos que realizaban sus familiares. Con la llegada de internet y, especialmente, del correo electrónico, se dio un nuevo significado a esta palabra para denominar al “correo basura” o a todo tipo de comunicación no solicitada realizada por vía electrónica.

Los mensajes de spam tienen un fin publicitario, ya que lo que buscan es ofertar, comercializar o tratar de despertar el interés por un producto, servicio o empresa. El bajo coste de este tipo de prácticas, la rapidez de la red para la difusión y el posible anonimato del emisor han provocado que se realicen de forma abusiva y masiva. Sin embargo, la legislación española, en concreto la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), prohíbe este tipo de mensajes sin consentimiento previo.

En concreto, el artículo 21.1 de esta Ley prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por cualquier medio de comunicación electrónica si no ha sido solicitado previamente. Pero, además de suponer una infracción a la LSSI-CE, el spam puede significar una vulneración del derecho a la intimidad y un incumplimiento de la legislación sobre protección de datos, ya que la dirección de correo electrónico, puede ser considerada como dato de carácter personal.

La mitad de los correos que recibimos es spam

Actualmente, se estima que el 50% de los correos electrónicos que se reciben son correos spam. El 22% del correo basura contiene información falsa en el “asunto” del mensaje, y en el 40% de los casos analizados por varios estudios, el cuerpo del mensaje contiene indicios falsos. Es una frase imprecisa no basada en ningún dato concreto. Mejor eliminarla porque suena a opinión, no a un hecho contrastado En muchos casos, este tipo de mensajes son un foco de entrada de virus en los ordenadores que los reciben. Además de estos inconvenientes, la llegada masiva de spam puede saturar las bandejas de entrada de los correos electrónicos, lo que provoca que las conexiones a internet vayan más lentas.

Existen muchos tipos de spam: los pop-ups o ventanas emergentes cada vez que nos conectamos a internet; el hoax o correo electrónico con contenido engañoso distribuido en cadena; las llamadas comerciales en las que no interviene una persona; los mensajes en cadena que buscan coaccionar al receptor de que los reenvíe a sus contactos, cuando lo único que persiguen son direcciones de correo electrónico; ofertas de trabajo desde casa cuya única finalidad es promocionar algún producto…, etc.

Evitar el spam

Para evitar el spam se pueden poner en práctica varias medidas preventivas. Para empezar, hay que ser especialmente cuidadoso a la hora de facilitar la dirección de correo electrónico. Solo se debe dar la dirección a aquellas personas y organizaciones en las que se confía. También es conveniente abrirse dos (o más) cuentas de e-mail, una para uso general y trabajo, y otra para proporcionarla a quien no se conozca lo suficiente.

Al crear cuentas de correo electrónico hay que evitar ponérselo fácil a los spammer con direcciones fácilmente deducibles, como el nombre y apellido, las iniciales, inicial del nombre y apellido completo, etc. Asimismo, es aconsejable no publicar la dirección de correo en foros, webs o chats, y a la hora de suscribirse a un servicio online es conveniente leer la política de privacidad de la empresa antes: en muchos casos las compañías advierten en estos documentos de que ceden sus datos a otras empresas o filiales.

Para reducir el spam, se pueden instalar filtros en los correos electrónicos, aunque la principal desventaja de estos sistemas es que muchas veces confunden correos legítimos con mensajes basura. Es preferible mantener el sistema al día con todas las actualizaciones para evitar la entrada masiva de correo basura. Otra opción es instalar un cortafuegos que te avise de cada entrada extraña en el ordenador.

Google choca con la Ley de Protección de Datos de España

La Agencia Española de Protección de Datos (AEPD) ha puesto la lupa sobre Google y su nueva política de privacidad, implantada en marzo de 2012. Recientemente, ha abierto un procedimiento sancionador al famoso buscador por, entre otras cuestiones, no informar claramente sobre el uso que hace de los datos personales que recaba de los usuarios y por conservarlos por tiempo indeterminado. España no está sola en esta acción y ha iniciado este procedimiento de manera coordinada con las autoridades en protección de datos de Alemania, Francia, Holanda, Italia y Reino Unido.

No es la primera vez que la multinacional estadounidense es investigada por una posible infracción de la legislación de un país en materia de protección de datos. Y es que Google se enfrenta a diario a demandas de particulares que piden que determinadas informaciones dejen de aparecer en su buscador: desde víctimas de violencia de género que no desean dejar información en la red que pueda ser vista por su ex pareja, hasta resoluciones sobre deudas con Hacienda o la Seguridad Social que ya fueron saldadas hace muchos años.

Unión de los países de la UE para denunciar a Google

En marzo del año pasado, Google dio un giro a su política de privacidad y modificó las condiciones de uso de la mayoría de sus servicios. Tras apreciar el pasado mes de octubre que esta nueva política no cumplía con lo dispuesto en la normativa comunitaria, las autoridades europeas de protección de datos de los 27 Estados de la UE instaron al gigante de internet a cumplir la legislación europea y le dieron un plazo para ello. Como Google no ofreció una “respuesta satisfactoria”, según la AEPD, las autoridades europeas acordaron que las autoridades nacionales adoptaran medidas de acuerdo con sus respectivas legislaciones.

La AEPD inició la fase de actuaciones previas de investigación el pasado mes de abril y constató la existencia de indicios de la comisión de seis infracciones, cinco de ellas graves, castigadas con multas de entre 40.001 y 300.000 euros, y una leve, que puede conllevar un multa de entre 900 y 40.001 euros. La Agencia española ha abierto un procedimiento para esclarecer si la combinación de datos procedentes de diversos servicios cumple las garantías de información a los usuarios, si las finalidades y la proporcionalidad para las que se utiliza la información legitima el tratamiento de los datos y si los periodos de conservación y las opciones para que los usuarios ejerzan sus derechos de acceso, rectificación, cancelación y oposición cumplen con la LOPD.

En concreto, la AEPD ha constatado que Google no informa claramente sobre el uso que va a hacer de los datos que recoge de los usuarios, que desconocen qué fin justifica la obtención de sus datos. Asimismo, señala que es posible que la compañía estadounidense pueda combinar la información personal de un servicio con la de otros y utilizarla para otras finalidades. Esta ausencia de información, indica la Agencia, podría implicar que el tratamiento de datos que realiza fuera ilegítimo.

Google podrá utilizar datos personales de manera ilimitada

El procedimiento sancionador también habla de un “tratamiento desproporcionado” de los datos de sus usuarios por parte de Google, ya que advierte en su política de privacidad de que podrá utilizar los datos personales de forma ilimitada en todos sus servicios, tanto en los actuales, como en los que pueda abrir en un futuro. Otro aspecto que ha motivado la apertura del procedimiento sancionador es que Google podría conservar los datos de sus usuarios por tiempo indeterminado o injustificado, lo que va en contra de la Ley de Protección de Datos, que establece que los datos personales han de ser cancelados una vez que hayan dejado de ser necesarios o pertinentes para la finalidad que fueron recabados.

Finalmente, la AEPD ha observado que las herramientas que ofrece el buscador y todos sus servicios asociados para ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición) “se encuentran dispersas”, no están “disponibles para todos los usuarios”, son “incompletas” y “aparecen con denominaciones que no siempre se corresponden con la materia que se trata”.