Los sistemas sin contrato de soporte te llevarán al paro o a «las nubes»

Es habitual encontrar empresas, pequeñas y no tan pequeñas, en cuyos departamentos de sistemas viven algunos sistemas, con uso productivo, que llevan años sin someterse a ninguna actualización de versión o parcheado. Tenemos, por tanto, entornos cuyos sistemas operativos, motores de bases de datos o paquetes de aplicaciones se encuentran en una versión no soportada por el fabricante o con un nivel de parche insuficiente.

 

¿Qué riesgos se corren y por qué se asumen?

En muchos casos, los CTO, Directores de TI o Responsables de Informática de las empresas deciden dejar de pagar los servicios de soporte y mantenimiento del producto a los fabricantes, con la idea de aligerar en cierta medida los presupuestos de TI.

En otros casos el tamaño de los departamentos de TI impiden que el personal asignado tenga tiempo material de atender todas las tareas que tienen encomendadas:

  • Administración de los sistemas y bases de datos.
  • Mantenimiento de las aplicaciones: corrección de incidencias y evolutivos de funcionalidad desarrollada a medida.
  • Nuevas implantaciones.
  • Etc.

"Pile of Euro Notes" por Images Money

Sin embargo, se están asumiendo varios riesgos:

  • No tener posibilidad de soporte por parte del fabricante en caso de tener alguna incidencia sobre cualquiera de estos sistemas con impacto en el negocio de la empresa.
  • No tener los sistemas preparados, especialmente las aplicaciones, para cambios de regulación o legales que exijan nueva funcionalidad; obligando a contratar un servicio específico o teniendo que renegociar de urgencia un contrato de mantenimiento para optar a la implantación de mejoras incluidas en la funcionalidad estándar de las nuevas versiones.
  • Estar indefenso ante ataques externos o internos a través de vulnerabilidades solucionadas en versiones o niveles de parche posteriores.

 

Impacto potencial de esos riesgos

Estos riesgos pueden llevarnos a diferentes situaciones muy delicadas:

  • Caída del servicio dado por esos sistemas y, por tanto, impacto sobre los procesos de negocio que soporten.
  • Incumplimiento legal o normativo y posibles sanciones.
  • Robo de información sensible desde el punto de vista comercial o de protección de datos personales.

 

Impacto garantizado

Los directores de TI temerarios que se encuentren en esta situación de obsolescencia de manera premeditada pueden creer que les compensa el riesgo, ya que la probabilidad de que se materialicen es baja, el impacto, en caso de producirse, no sería muy catastrófico y, el ahorro que consiguen anualmente para la empresa es notable y le permite hacer virguerías con el presupuesto que tiene su departamento y evitar llorarle al CEO, Director General o Director Financiero de turno.

 

Puede que tenga razón, pero lo que seguramente no haya pensado es que ¡puede estar incumpliendo la ley! Y le puede costar el puesto.

 

Será así, si su sistema contiene información de cualquier tipo sujeta a la LOPD (Ley Orgánica de Protección de Datos).

 

Como indica la ley en su artículo 9.1, relativo a la seguridad de los datos:

El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

 

Y de conformidad con lo dispuesto en el artículo 44.3.h), respecto a los tipos de infracciones, constituye infracción grave:

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

"System Lock", por Yuri Samoilov

La ley es clara: si no se implementan las medidas de seguridad que permita la tecnología actual que garanticen que los datos de carácter personal que residen en el sistema no sean accedidos por personas no autorizadas se estará cometiendo una infracción grave, con su correspondiente sanción.

 

¡¡Me sorprende que las empresas proveedoras de los contratos de soporte y mantenimiento no hagan uso de esta información para forzar la renovación de los servicios!!

 

El coste de cumplir la ley y la nueva tendencia

Cumplir la ley es caro, sin duda. No sólo hay que tener los entornos actualizados y parcheados, mantener los contratos de soporte o mantenimiento que nos permitan tener actualizaciones de los productos, tener un equipo de TI o contratar los servicios para administrar estas plataformas y aplicaciones y conseguir que estén actualizadas, mantener al equipo formado, tener una política de seguridad y gestión de sistemas adecuada, actualizar las infraestructuras para tener la potencia de hardware necesaria para ir soportando las nuevas versiones de productos, que suelen conllevar mayor consumo de recursos, invertir en los elementos de seguridad que impidan «un escape» de datos que dañen la reputación de la empresa y la dejen a merced de las posibles sanciones de la Agencia Española de Protección de Datos y de las pérdidas económicas que pueda suponer la fuga de datos o la indisponibilidad de los sistemas.

 

No es extraño, por tanto, que cada vez más empresas tiendan, no sólo a la externalización de los servicios de administración, sino a apostar por el movimiento a cloud computing de todos sus entornos, garantizándose una actualización permanente de sus entornos, no tener que preocuparse por la formación adecuada de sus equipos de TI, una gestión de seguridad adecuada y sabiendo de antemano el coste fijo que le supondrá cada nuevo usuario o aplicación.

"vortex cloud" por David DeHetre

La AGPD podría activar el mercado de los servicios TI

La Agencia Española de Protección de Datos no está siendo garante de la Ley Orgánica de Protección de Datos, al menos no al nivel que se podría esperar. Sólo sanciona casos extremos de incumplimiento o casos derivados de alguna denuncia. Sin embargo el incumplimiento o cumplimiento parcial de la ley es extensivo en toda España, a todos los niveles empresariales: PYMES y grandes corporaciones. Indudablemente una campaña más agresiva de inspecciones provocaría una revitalización inaudita de los servicios asociados a las TI.

 

Facebooktwitterlinkedinmail

Publicada la memoria anual 2013 de la Agencia Española de Protección de Datos

La AEPD ha publicado hoy, 13 de octubre de 2014, su memoria del año 2013.

Se puede descargar de su página web siguiendo este enlace.

 

Titulares:

  • Crece un 8% la solicitud de cancelación de sus datos por parte de los usuarios respecto a 2012.
  • El sector en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones (67% del total), seguido del suministro y comercialización de agua y energía, y las entidades financieras.
  • El volumen total de las sanciones económicas declaradas en 2013 creció un 6,10%, llegando a los 22.339.440€.
  • Aumenta en un 42,5% el número de infracciones declaradas en las Administraciones Públicas.
  • Más de 3,3 millones de ficheros inscritos en el Registro General de Protección de Datos.
Facebooktwitterlinkedinmail

Publicada la memoria anual 2012 de la Agencia Española de Protección de Datos

La AEPD ha publicado hoy, 29 de septiembre de 2013, su memoria del año 2012.

Se puede descargar de su página web siguiendo este enlace.

 

Titulares:

  • Las denuncias presentadas ante la Agencia Española de Protección de Datos aumentaron más de un 12% en 2012.
  • La actividad de la Agencia ha crecido notablemente en 2012, con un incremento del 15% en los ficheros inscritos y de casi un 40% en las resoluciones dictadas.
  • Los ámbitos en los que se ha concentrado el mayor número de denuncias han sido telecomunicaciones, videovigilancia y entidades financieras.
  • Las denuncias por suplantación de identidad, en especial en suministro y comercialización de energía y agua (222%) y en telecomunicaciones (92%), han experimentado un incremento sustancial.
  • Las solicitudes de tutelas de derecho para la cancelación de datos personales afectan, principalmente, a los ficheros de solvencia patrimonial y crédito (312) y a los de las empresas de telecomunicaciones (158)
    Las reclamaciones por derecho al olvido continúan incrementándose, con un aumento de más del 13% sobre el año anterior.
  • De las 863 resoluciones de infracción declaradas a responsables privados, más del 34% concluyeron en apercibimiento, sin imposición de sanción.
  • La mayor parte de las sanciones afecta al sector de las telecomunicaciones, que supone un 73% del total.
  • Tres de los principales operadores acumulan el 70,94% del importe global de multas.
Facebooktwitterlinkedinmail

Publicada la Memoria anual 2011 de la Agencia Española de Protección de Datos

La AEPD ha publicado hoy, 24 de septiembre de 2012, su memoria del año 2.011.

Se puede descargar de su página web siguiendo este enlace.

 

Titulares:

  • La AEPD registró en 2011 un incremento del 50% en las denuncias y del 34% en las solicitudes de tutela de derechos.
  • Las resoluciones declarativas de infracción crecieron un 37,7%, con un total de 898 resoluciones dirigidas tanto a responsables privados como a Administraciones Públicas.
  • En el sector privado 312 resoluciones concluyeron con un apercibimiento y 505 impusieron sanciones económicas, con montante total que superó los 19,5 millones de euros.
  • Los ámbitos en los que se ha concentrado el mayor número de resoluciones declarativas de infracción fueron videovigilancia, las empresas de telecomunicaciones y el sector financiero.
  • Aumentaron las reclamaciones de personas cuyos datos han sido tratados de forma indebida en ficheros de morosidad y por casos de fraude o suplantación en la contratación de servicios.
  • Se incrementan las consultas ciudadanas y las reclamaciones para solicitar ante la AEPD la tutela en la cancelación de datos en Internet, y/o evitar que sus datos aparezcan en buscadores.
  • La Memoria analiza la relevancia de nuevos retos como cloud computing, el reconocimiento facial o la seguridad en Internet.
Facebooktwitterlinkedinmail