Archivo de la categoría: LOPD – LSSI

Normativas Legares

El caso del tuit pesado y la madeja de hilo. Malas prácticas empresariales. “Lin3s”

El caso del tuit pesado y la madeja de hilo. Malas prácticas empresariales.

Todo empezó por un tuit en el que alguien famoso retuiteaba un comentario:

 Me pico la curiosidad y quise saber un poco mas sobre la persona que hacia esa petición y a la vez de la empresa de la que se hablaba en ese tuit.

Además uno espera que quien realice “la nueva web del Guggenheim Bilbao” debe ser una empresa seria y con capacidad técnica y amplios conocimientos de Internet.

Empecé por ver el timeline de @Urigoros y me encontré con una mala practica consistente en solicitar a personas de cierta o mucha relevancia que retuiteen algo “por qué tu lo vales”.

Se convierte en SPAM desde el momento en que durante muchos tuits, sin ninguna interacción con las personas a las que les pides que te ayuden, simplemente repites la misma retahíla tuitera:

 

Quise saber entonces si había alguna relación entre este usuario y la empresa lin3s.com.

A veces un seguidor de alguien intenta hacerle un favor con una actuación así y es un favor que no ayuda mucho. Lo que se espera de una compañía que se dice especializada en negocios en Internet es que tenga una planificación de medios sociales, y me chocaba esta actuación.

Pero lejos de obtener una respuesta sin más se produjo la siguiente conversación:

 

Y termina la cosa con un comentario despectivo y bastante desafortunado:

 

Ciertamente no sabia con quien hablaba, y es obvio que ella no sabia quien soy yo.

En el año 2004 recorrí varias ciudades españolas con el director de la Agencia Española de Protección de Datos de entonces dando conjuntamente varias conferencias sobre el problema del SPAM en las empresas. Era entonces directivo en una compañía de seguridad informática. No lo digo aquí como ejercicio de autobombo, sino como ejemplo de que a veces, está bien informarnos antes de hacer un comentario como el de esta usuaria.

Poco tiempo después esta usuaria de Twitter decidió bloquear su cuenta para que solo sus seguidores pudieran leerla. Ya no podía seguir pidiendo RT a usuarios que no la seguían pues no podrían leer sus timeline.

Como se informa uno? o el nuevo “Siga a ese taxi”.

El paso siguiente era conocer más sobre la empresa Lin3s y si realmente había desarrollado la web del más importante museo de Bilbao. Y efectivamente, Lin3s (una UTE de empresas) ha formado parte de las empresas que llevó a cabo este proyecto. Hay incluso información en los medios:

http://www.hoyesarte.com/museos-de-arte/al-dia/12027-el-museo-guggenheim-bilbao-presenta-su-nuevo-sitio-web.html

http://www.eitb.com/es/cultura/detalle/956778/guggenheim-web–el-guggenheim-bilbao-estrena-nueva-web/

Aunque se aprecia que han publicado la misma “Nota de prensa”. Sin embargo hay que tener cuidado con estas cosas por que Lin3S no es la única empresa en el proyecto. Es, como leemos, un proyecto llevado a cabo por varias empresas, siendo Lin3s una UTE (Agrupación de empresas).

En los dos casos las páginas de las empresas son correctas pero … Vamos a ir un poco más allá:

En la pagina de Lin3s no aparece ninguna de las informaciones que, como empresa, deben estar visibles en una web, tal y como indica la Ley de Servicios de la Sociedad de la información.  Esto es una muy mala práctica que supone el incumplimiento de esta ley. Incumplimiento que puede suponer sanciones serias para esta compañía.

Lin3s nace hace pocas semanas como una “mutación” de  novisline una empresa de desarrollos de Internet de Bilbao. Esto es sencillo de averiguar, basta con ver los enlaces a las páginas de Facebook y de Twitter desde su página web, que aun apuntan a “novisline” y porque de nuevo se puede leer la noticia del cambio de imagen:

http://www.ombilbao.com/novisline-se-convierte-en-lin3s/

Sabemos, además, que no llevan mucho en Facebook, su página se creo a mediados del 2010.  Aquí podemos leer la noticia de su puesta de largo en esta red social y de un sorteo con motivo de esto mismo:

http://www.ombilbao.com/tag/novisline/

No se vayan todavía, aun hay más.

Seguimos nuestra labor de investigación y si miramos la información pública del registro de los dominios de internet lin3s.com y novisline.com vemos que los contactos administrativos y técnicos pertenecen a la misma empresa y que el registro del primero se hizo en el 2002 y el del segundo en el 2012, coincidiendo con el cambio de nombre.

Tenemos además un nuevo nombre de empresa en este lio: GAZTEMANIA SL

Aunque la persona cuyo mail se muestra es la de Ignacio García de Novisline (hay varios enlaces en la red dedicados a entrevistas y apariciones en medios que confirman esta identidad pero no los muestro por no alargar la cosa.

Por ultimo en este paso visito la web de la agencia de protección de datos para saber si cualquiera de estas empresas figuran en el registro de ficheros de la misma. Esto es obligatorio para cada empresa o profesional liberal en España.

Hacerlo es sencillo, este es el enlace:

http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

Y que pasó?

Que ni novisline, ni lin3s ni Gaztemaina S.L tienen entrada alguna de ficheros bajo estos nombres en su registro. Parece que quien realmente si tiene registros es la empresa I2C INTERNET, esto es de nuevo un error:

resultado AGPD

I2C es, o parece ser, la empresa que gestiona los dominios de las demás, y previsiblemente la empresa matriz de este entramado.

Como venos, se trata de un caso de malas prácticas empresariales y una muy desafortunada política de gestión de Redes Sociales y seguridad de una empresa que ofrece servicios relacionados con internet.

Creo,que deberían hacer una mejor monitorización de su marca. Cuando uno puede encontrar tuits como el siguiente en el que una persona de la empresa ofrece trabajo de esta forma tan grosera:

 asi buscan trabajadores

¿Que sea el puto amo?

¿Os parece la forma correcta de buscar a alguien para trabajar en tu empresa.?

¿Te imaginas a algún responsable de gestión de personas buscando cubrir un puesto de trabajo de esta manera?

Que pena, no?

Que podemos hacer para prevenir estas situaciones.

En las redes sociales, como dice el refrán, no solo hay que serlo sino también parecerlo.

Situaciones como estas pueden tirar por los suelos la reputación on-line de una compañía que pretende ser seria y que, aborda proyectos de cierta entidad.

Es fundamental definir políticas de uso de las redes sociales con normas claras para la comunicación.

Definir objetivos de comunicación y pautas para cada área de la compañía que ayuden a cuidar y en lo posible mejorar la imagen de la misma.

No podemos olvidar que en las redes sociales nuestras empresas se ven expuestas a la comunicación bidireccional y que desde el momento en que el cliente o seguidor es libre para decir lo que le parezca bien, siempre que lo haga con respeto, el medio no es controlable.

De ahí que la experiencia y el pensar dos veces antes de escribir son cosas necesarias.

Dejar estas cosas en manos de aficionados, de amigos, de empleados con pocos conocimientos o formación puede ser un error serio que deje una huella profunda.

Pondríais vuestra compañía en manos de una empresa así a la hora de realizar vuestros proyectos de Internet?

Pensaros la respuesta.

Un último capitulo… Estilo “Soprano”

He recibido un comentario en un tono que podría calificar de entre despectivo y amenazante de de Iñaki ( @hello_google) en el que me exíje que borre la foto de su mujer y su hijo de este post ( Resulta ser Eider Uribarri)

Siendo sensible a estos temas pero no a las formas, he procedido a “difuminar su imagen” no obstante dejo aquí el enlace al perfil público de Eider Uribarri en el cual ella misma publica su propia foto y la de su hijo.

http://twitter.com/urigoros 

Recordemos que no es necesario ser usuario registrado de twitter para poder ver los perfiles.

Luis García-Rosales y de Lossada

Pensando en las nubes con los pies en el suelo

Pensando en las nubes con los pies en el suelo

La nube” es el termino “de moda” para hablar de almacenamiento en servidores accesibles desde Internet ya sea de datos, como de aplicaciones.

No pretendo hacer un artículo en profundidad sino simplemente exponeros algunos conceptos básicos e ideas que puedan ayudar a entender la idea. Mas adelante entraremos en otras cuestiones.

Como funciona la nube

Nosotros tenemos nuestro ordenador/teléfono móvil/Tablet en el que almacenamos los programas que ejecutamos o las llamadas “apps” y los datos (ficheros de texto, hojas de calculo, fotos, videos, etc.) que utilizamos con esos programas.

En un momento dado contratamos un servicio de almacenamiento que permite que, ya sean datos o programas, podamos instalarlos  o almacenarlos en un ordenador al que accedemos a través de Internet.

Debemos tener en cuenta que eso de “internet” no es un agujero negro en el que poner nuestras cosas, sino que usamos “un trozo del disco duro” de una empresa que ha conectado una serie de ordenadores a Internet para alquilar su espacio. Otras veces contratamos el uso de un programa y entonces también ese programa esta en la red.

La ventaja de esto es que podemos acceder a nuestra información, o ejecutar los programas en cualquier sitio, siempre que dispongamos de un acceso a Internet.

El nubarrón

Parece una buena idea a priori pero la proliferación de servicios de nubes esta trayendo consigo algunos problemas que hemos de tener en cuenta y sobre los que vamos a pensar juntos.

No estamos solos.

Nuestros datos están en un ordenador de una empresa junto con los de un montón de clientes más. En teoría no los vemos, pero están ahí. Esto es lo primero que cambia cuando contratamos un servicio así.

¿Que pasa si quien tiene mis datos cierra o es intervenido?

Pasa que podemos perderlos. Podes buscar información sobre el llamado caso “Megaupload” en el que miles y miles de usuarios perdieron o tuvieron problemas para acceder de nuevo a datos legítimos que tenían almacenados en los servidores de esta empresa.

¿De quien son los datos?

Esta es una pregunta que si bien debería tener una respuesta obvia “los datos son de quien contrata el servicio” luego no es así.

Como ejemplo podre el servicio de almacenamiento en la nube de Google  que dice en sus condiciones que podrá usar nuestros datos y cederlos.

Mala idea, no?

Si nuestra contabilidad o un proyecto de I+D acaba “por ahí” sin que podamos hacer nada para remediarlo.

¿Qué puedo hacer si el servicio se cae y no puedo trabajar?

Muchos servicios en la nube gratuitos no disponen en sus condiciones de clausulas en las que asuman los costes de una caída del sistema importante. Es muy importante fijarse en esto o plantear indemnizaciones por lo que llamamos “lucro cesante”.

¿Y si el sistema es hackeado?

También hay servicios que no se hacen responsables en esta situación y aunque parece lógico que si confiamos en una empresa que va a cuidar nuestros datos esta deba ser responsable de ellos lo mejor es que se contemple en un contrato.

¿Donde están físicamente mis datos?

La Ley Orgánica de Protección de Datos obliga, en caso de que nuestros datos estén fuera de la CE a solicitar una autorización especial a la AGPD. Esto nos obliga a conocer la ubicación física de los mismos.  De nuevo muchos proveedores no informan de ese dato. Si es el caso no recomiendo contratarlos.

¿Y si quiero borrar mi información?

De nuevo parecería lógico que si eliminamos nuestros ficheros estos desaparezcan. Sin embargo de nuevo hay compañías que los guardan durante un tiempo después de que nosotros cerremos nuestra cuenta de servicio.  Esto es una mala practica y no recomiendo que se acepte.

¿Como viaja mi información por Internet?

Este es otro problema que debemos entender. Si nuestros datos viajan por la red de manera que pueden ser usados en caso de comprometer la conexión estaremos en problemas de nuevo. Es muy importante que estos viajen cifrados entre el servidor y nuestro dispositivo.

Mejor con calma

Si, esa es la idea, contratar un servicio en la nube, sobre todo en entornos profesionales es más importante de lo que parece.  Démosle pues esa importancia y tomémonos tiempo para analizar las condiciones de contratación y tener claro que nos ofrecen y en que forma van a cuidar nuestros datos.

Hacerlo así nos evitara, seguro, problemas en el futuro.

Os dejo aquí un resumen de recomendaciones sobre lo tratado en el artículo.

La nube pero segura

La nube pero segura

Recomendaciones

  1. Tener siempre una copia de seguridad en local de cualquier dato almacenado en la nube.
  2. No aceptemos servicios en la nube que obliguen a la cesión de nuestros datos.
  3. Fijar por contrato los niveles de responsabilidad e incluso las indemnizaciones en caso de un acceso no autorizado a los mismos.
  4. Solicitar detalles de la ubicación física de nuestros datos así como de que  medidas de seguridad están implementadas en los servidores de nuestro proveedor.
  5. Solicitar siempre información sobre el proceso de eliminación de la información. Solicitar además, al cerrar la cuenta, un certificado de que los datos también han sido eliminados del todo.
  6. Confirmar que los protocolos de tráfico de los datos son seguros y no pueden ser comprometidas las comunicaciones entre nuestro sistema y el servidor donde esta la información.

Espero que os haya resultado útil.

Una Reflexión de Luis García-Rosales y de Lossada