La confederación UGT blinda su territorio

La Unión General de Trabajadores (UGT) ha apostado por la tecnología de Fortinet para llevar a cabo, junto con Telefónica, una modernización de su infraestructura de seguridad TIC. La solución desplegada combina los productos FortiGate, FortiMail y FortiWeb para responder a los requerimientos de seguridad en tres ámbitos: seguridad perimetral, seguridad del correo electrónico y de aplicaciones web

Nacida en 1888 y legalizada en 1977, la Unión General de Trabajadores (UGT) configura una confederación sindical que en la actualidad suma alrededor de 1,2 millones de afiliados. Organizada en órganos y departamentos confederales, 10 federaciones y 19 uniones territoriales, las comunicaciones resultan fundamentales en el desarrollo de las actividades de la UGT, específicamente a la hora de difundir información e interactuar sin descuidar un aspecto crucial: la protección de la información y la salvaguarda de los datos de afiliación, dando cumplimiento a la Ley Orgánica de Protección de Datos (LOPD).

“Las comunicaciones resultan cruciales en UGT, el uso de Internet se ha incrementado de forma notable, sobre todo con las redes sociales, y el correo electrónico se ha convertido en una herramienta indispensable”, comenta el responsable de Sistemas y Comunicaciones de UGT, Luis de la Osa.

En ese escenario y con Telefónica como proveedor desde hace años, la confederación de UGT ha procurado contar con unos servicios que, además de satisfacer la demanda de los usuarios, ofrecieran plenas garantías de seguridad. “Empezamos haciendo uso de los servicios FrameRelay de Telefónica y ante el crecimiento de las necesidades dimos el salto al servicio MacroLAN - DIBA (Datos Internet de Banda Ancha)”, apunta. A partir de ese momento y como añade de la Osa, “los niveles de seguridad que nos proporcionaba el propio operador no eran suficientes”.

Correo y servicios web, críticos
Esa situación se hizo aún más patente cuando la organización decidió hace un par de años internalizar el servidor de correo, hasta el momento externalizado con Telefónica. “Asumimos el servicio de correo electrónico inicialmente para unos pocos usuarios, pero con el tiempo y especialmente a raíz de nuestra conversión en ISP alcanzamos una cifra de 8.000 buzones registrando la recepción de unos 400.000 correos diarios, lo que exigía niveles adicionales de seguridad”.

El desarrollo en paralelo de nuevas aplicaciones centralizadas como la Aplicación de Afiliaciones y otras aplicaciones web confederales, así como la intranet emergía como un acicate más para abordar una modernización de la infraestructura de seguridad TIC. Y es que, si bien UGT disponía de una infraestructura de seguridad TIC, esta protección se basaba en plataformas tecnológicas antiguas con un rendimiento que no estaban a la altura de los nuevos requerimientos.

En esa tesitura, la confederación UGT decidió a finales de 2010 llevar a cabo una evolución de su arquitectura de seguridad con el objetivo de ampliar su alcance tanto en lo relativo a funcionalidades como en cobertura de nuevos entornos, específicamente el de servicios web. Se trataba, por tanto, de dar respuesta a los requerimientos de seguridad en tres grandes ámbitos: seguridad perimetral, seguridad del correo electrónico y seguridad de las aplicaciones web. Eso, sí, con una plataforma que ofreciera una gestión unificada.

En el primer ámbito, un entorno que suma más de 2.500 usuarios, era necesario sustituir los antiguos firewalls perimetrales por una nueva generación de soluciones UTM que permitieran consolidar diversas funciones: políticas de firewall, control de aplicaciones, filtrado de URL, IPS, antivirus, etc. Esta solución UTM debía, además, integrarse con los repositorios LDAP y de Directorio Activo para posibilitar la aplicación de políticas basadas en perfiles de usuario.

Protección en alta disponibilidad
Tras analizar las soluciones de distintos fabricantes con productos implantados en otros órganos del sindicato - Cisco, SonicWall, WatchGuard, Zyxel y Astaro (adquirida por Sophos), entre otros-, la confederación de UGT determinó que “algunos no cumplían los estándares o eran demasiado caros, otros no ofrecían una solución total o resultaban muy complejos o simplemente no disponían de una solución integral”. Finalmente y tras una fase intensiva de pruebas, la balanza se inclinó hacia Fortinet. “Empezamos probando los FortiGate-60 y los FortiGate-100, luego pasamos a los FortiGate-400 y 800 y al final decidimos dar el salto a los FortiGate-1240”.

Ante los buenos resultados obtenidos durante las pruebas, la confederación de UGT abordó el proyecto con Telefónica como integrador y Altimate como mayorista. En concreto y como detalla de la Osa, “hemos instalado un cluster de dos FortiGate-1240B en alta disponibilidad en la sede de Azcona, donde se encuentra nuestro CPD principal, y sendos clusters de FortiGate-310B en las otras dos sedes -Avenida de América y Hortaleza”.

Asimismo y para proteger específicamente la plataforma de correo basada en Microsoft Exchange y los servicios web, la confederación de UGT ha levantado sendos clusters de FortiMail 2000 y FortiWeb 4000. “Los tres productos generan una serie de informes y logs que se recogen en FortiAnalyzer permitiendo la visualización de toda esa información en una única plataforma”, subraya el responsable de Sistemas y Comunicaciones de UGT, que ha descubierto, entre otros registros, que “entre el 70 y el 80% de los correos electrónicos que recibimos diariamente son spam o ataques”.

El avance también ha resultado fundamental para la confederación de UGT a la hora de tener capacidad para la creación de túneles IPsec STS (Site-to-Site) y túneles SSL para facilitar el teletrabajo y posibilitar unas comunicaciones seguras entre las unidades territoriales. “Hoy por hoy”, apunta de la Osa, “tenemos alrededor de 200 túneles IPsec y entre 700 y 800 túneles SSL”.

URL:http://www.computing.es/Casos/201202020000/SEGURIDAD-La-confederacion-UGT-blinda-su-territorio.aspx

FUENTE:Computing España

En una misma semana, la red se enfrentaba a dos proyectos de la regulación norteamericana (la llamada ley SOPA) y europea (sobre protección de datos) que afectaban a su propia génesis. Pero ha sido el cierre cautelar de Megaupload, un servicio que ...

URL:http://www.abc.es/20120130/economia/abci-megaupload-empresa-201201301141.html

FUENTE:ABC.es

Creación del Fichero de Protección de Datos de carácter personal

Preámbulo

El artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, prevé que la creación, modificación o supresión de los ficheros de las administraciones públicas sólo se podrá realizar mediante una disposición general publicada en el Boletín Oficial del Estado o al diario oficial correspondiente.

Asimismo, los artículos 52 al 54 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, regulan las condiciones de creación, modificación o supresión de ficheros de titularidad pública.

Por dar cumplimiento a este mandamiento legal, el Rectorado de la Universitat de València-Estudi General resuelve:

Primero

Aprobar la creación del fichero que se relaciona en el anexo I

Segundo

La condición de responsable del fichero se atribuye a la Universitat de València. Eso, sin perjuicio de la función de coordinación que corresponda a la Secretaría General y de la responsabilidad directa que en la gestión y la custodia del fichero se atribuye al órgano que se especifica en el anexo de esta resolución.

Tercero

Los gestores del fichero deberán adoptar las medidas necesarias para asegurar que los datos de carácter personal se utilizarán exclusivamente para las finalidades que justifican la creación del fichero y se concretan en esta resolución.

Asimismo, deberán tomar las medidas necesarias para asegurar el cumplimiento por parte de los usuarios de las medidas de seguridad que se adopten para el fichero.

Cuarto

Los titulares de los datos incluidos en el fichero objeto de esta resolución podrán ejercer los derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos en los casos previstos en la legislación vigente ante el órgano competente que se concreta en el anexo.

Quinto

En los casos en que se prevean comunicaciones de datos, los responsables de la gestión del fichero advertirán a los cesionarios de datos de carácter personal sobre su obligación de utilizarlos exclusivamente para la finalidad de la cesión y conforme a lo previsto en el artículo 11.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Sexto

Esta resolución entrará en vigor al día siguiente de publicarse al Diari Oficial de la Comunitat Valenciana.

ANEXO I

Fichero “CORPUS VAL.ES.CO”

a) Denominación del fichero: CORPUS VAL.ES.CO.

b) Finalidad del fichero y usos previstos:

Atención de solicitudes y sugerencias realizadas al grupo de investigación Valencia Español Coloquial a través de “www.valesco.es”.

Establecer contacto.

Usos previstos:

- Educación y cultura.

- Fines históricos, estadísticos o científicos.

- Otras finalidades.

c) Origen de los datos: Personas o colectivos sobre los que se pretende obtener datos de carácter personal o resultan obligados a suministrarlos:

- Personas de contacto.

Procedimiento de recogida de los datos de carácter personal:

- Formulario web.

Procedencia de los datos: La persona interesada o su representante legal.

d) Estructura básica del fichero y descripción de los tipos de datos de carácter personal que se incluyen: Fichero automatizado.

- Datos de carácter identificativo: apellidos y nombre, dirección.

- Otros datos: Sugerencia realizada.

e) Comunicaciones de datos: No se prevén.

f) Transferencias internacionales de datos: No se prevén.

g) Órganos de las administraciones responsables del fichero: Universitat de València - Estudi General Av. Blasco Ibáñez, 13 46010 Valencia

h) Servicios o unidades delante de los cuales se pueden ejercer los derechos de acceso, rectificación, cancelación y oposición: Departamento de Filología Española Av. Blasco Ibáñez, 32 46010 Valencia

i) Medidas de seguridad: Nivel básico

URL:http://www.iustel.com/diario_del_derecho/noticia.asp?ref_iustel=1056275

FUENTE:Iustel, todo el Derecho en Internet

La Unión Europea quiere endurecer las leyes que regulan la protección de los datos con una nueva normativa comunitaria, que rige cómo las empresas deben manejar la información personal de sus empleados y clientes, y aplica medidas punitivas tan serias como la sanción de hasta el 5% de las ventas totales de una compañía.

La Comisión Europea ha dado a conocer un proyecto de reforma normativa comunitaria que sustituirá a todas las leyes nacionales anteriores y a la Directiva 95/46 de Protección de Datos de la UE, vigente desde 1995. La nueva legislación, presentada por la Comisaria de Justicia, Viviane Reding, endurece las leyes de privacidad de los datos personales y esto implica que las multinacionales tienen por delante otro proceso más de cumplimiento de normativa, que deben incluir en sus políticas de gobernanza.

De momento es una propuesta sometida a debate, y antes de que se convierta en ley puede ser modificada durante lo que se espera que sea al menos un proceso legislativo de dos años. Pero la polémica ya está creada pues contempla unas medidas punitivas más duras que las que hasta se imponían a las empresas que violaban la ley, con sanciones que pueden llegar al 5% de la facturación total de la compañía que incurra en delito.

Otras medidas nuevas son el “derecho al olvido digital” para el público, bajo el que puede exigir que sus datos sean borrados si no hay razones legitimadas para mantenerlos; las empresas también estarán obligadas a notificar al público si se ha producido una violación de los datos en 24 horas si es posible; y las organizaciones de más de 250 empleados podrían estar obligadas a designar a un responsable de la protección de los datos (Data Protection Officer).

“La reforma quiere poner coto a ciertas prácticas de algunos de los grandes actores de Internet (buscadores, redes sociales, y demás) quienes, amparándose en regirse por las leyes americanas, han tenido poco menos que carta blanca para tratar los datos personales de los europeos. A partir de ahora, todos las que ofrezcan bienes y servicios en Europa, independientemente de donde tengan su sede o sus servidores, deberán responder en base al derecho comunitario y ante las autoridades competentes europeas. En relación a éstas, es de destacar que su papel se ve reforzado, convirtiéndose en paso único para la protección de los ciudadanos del estado al que pertenezcan, por lo que deberán coordinarse y resolver en colaboración con sus homónimas europeas”, añade Belén Arribas, abogada responsable de Protección de Datos de Monereo Meyer Marinel-lo Abogados.

Precisamente, otro de los objetivos de la nueva legislación es reducir la complejidad en el cumplimiento de las numerosas leyes que existen sobre la privacidad de los datos. Según la Comisión, un único set de reglas animaría a una aplicación más consistente de la ley en toda la Unión Europea, y daría a las empresas unas medidas más claras de cómo tratar la información privada. Además, con la reducción de los trámites burocráticos, la Comisión estima que las empresas se ahorrarían unos 2,3 millones de euros al año; y solo tendrían que tratar con una única autoridad nacional de protección de datos en el país de la UE donde realicen sus operaciones principales.

Así lo entiende también Jeff Finch, gerente de Servicios de Seguridad de Interoute, quien explica que “cotejar las normas armonizadas de protección de datos en 27 países, sin duda, ayudará a las organizaciones a evitar más de un quebradero de cabeza. Armonizar diferentes leyes nacionales de protección de datos se ha sentido como una gran tarea de consolidación en organizaciones que en este aspecto funcionaban como mosaicos, especialmente ahora que cloud computing establece ciertos interrogantes sobre la ubicación exacta de los datos y la normativa que debe aplicarse en cada caso. El siguiente paso es buscar la armonización con otros países como EE.UU., donde la normativa legal vigente permite a las autoridades pedir datos personales tales como el teléfono, e-mail y registros financieros sin una orden judicial. Por lo tanto, entender donde residen los datos y quién es el propietario del data center seguirá siendo una parte crucial de la gobernanza corporativa de las organizaciones”.

FUENTE:Xombra.com

¿Es legal la publicación de datos particulares (correos electrónicos, teléfonos móviles) sin el consentimiento de sus dueños?
–La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar.
Existe la posibilidad de obtener datos de personas físicas y usarlos para ciertas finalidades amparadas y recogidas en la normativa vigente en materia de protección de datos, pero esa posibilidad queda limitada, señalada y definida por la Agencia de Protección de Datos. Aunque determinados datos pudieran quedar amparados por haber sido obtenidos de fuentes de acceso público, en ningún caso, ni su correo electrónico personal ni su móvil personal han podido obtenerse de forma lícita.

l En el caso de internet, ¿cuál es el principal escollo con que topamos?
–Cuando se realiza un uso ilegítimo de nuestros datos de caracter personal, el principal problema es identificar al responsable y saber entonces ante qué ógano puedo ejercitar mis derechos.

l ¿Ante qué instancia puedo reclamar en caso de considerar lesionados mis derechos al honor y la intimidad?
–Todas las actuaciones contrarías a lo dispuesto en la Ley Orgánica de Protección de Datos pueden ser objeto de reclamación por los interesados ante la Agencia de Protección de Datos, tal y como se desprende en su art. 18. Contra las resoluciones de la Agencia cabe recurso contencioso administrativo, y a su vez se podrá solicitar daños y perjuicios ejercitando dicha acción ante los órganos de jurisdicción ordinaria.

l ¿Hasta dónde puede llegar la impunidad de un colectivo como Anonymous?
–Se puede afirmar que no cabe impunidad en estos casos. Nos podemos remitir a la desarticulación meses atrás de la cúpula de la organización «hacktivista» en España.

URL:http://www.larazon.es/noticia/685-analisis-se-puede-identificar-al-responsable-por

FUENTE:La Razón