logo-totalrisk
  • Conózcanos
  • Partners
  • Calidad
    • APPCC – Análisis de Peligros y Puntos de Control Crítico
    • BRC – Estándar Global para la Seguridad Alimentaria
    • EFQM Fundación Europea para la Gestión de la Calidad
    • IFS FOOD – International Food Standard para la Seguridad Alimentaria
    • ISO9001 Sistema de Gestión de Calidad
    • ISO13485 Dispositivos Médicos
    • ISO20000 Sistema de Gestión de Servicios de IT
    • ISO22000 Y FSSC22000 Seguridad Alimentaria
    • ISO22716 Buenas prácticas de Fabricación de Cosméticas
    • ISO55001 Gestión de activos
  • Seguridad
    • eIDAS – ETSI Telecomunicaciones
    • ENS – (Esquema Nacional de Seguridad)
    • ISO22301 Continuidad de Negocio
    • ISO22320 Gestión de Emergencias
    • Nueva versión ISO27001 Sistema de Gestión de Seguridad de la Información
    • ISO27017 Control de Seguridad para Servicios Cloud
    • ISO27701 Sistema de gestión de seguridad de la privacidad
    • ISO31000 Gestión de Riesgos
    • ISO37001 Sistema de Gestión Antisoborno
    • ISO45001 Seguridad y salud del trabajador
    • TISAX – (Trusted Information Security Assessment Exchange)
  • Medioambiente
    • FSC – Forest Stewarship Council (Gestión Forestal)
    • ISCC – International Sustainaibility Carbon
    • ISO14001 Sistema de Gestión Ambiental
    • ISO14067:2018 Gases de efecto invernadero – Huella de carbono
    • ISO50001 Sistema de Gestión Energética
  • Compliance
    • Delegado de Protección de datos
    • ISO37001 Sistema de Gestión Antisoborno
    • ISO37002 Sistema de Gestión de denuncias de irregularidades
    • ISO37301 Sistemas de Gestión de Compliance
    • Marcado CE
    • Planes de igualdad
    • Protección de datos personales
    • Protocolo de Acoso Escolar «Bullying»
    • Protocolo de prevención y actuación contra acoso laboral \»Moobing\»
    • Registro General Sanitario
  • Contenidos
  • Trabaja con nosotros
Contacto
Presupuesto
TotalRisk
Pide presupuesto
Contacto
  • Calidad
    • C1
      • Columna 1
        • APPCC – Análisis de Peligros y Puntos de Control Crítico
        • BRC – Estándar Global para la Seguridad Alimentaria
        • EFQM – Fundación Europea para la Gestión de la Calidad
        • IFS FOOD – International Food Standard para la Seguridad Alimentaria
        • ISO9001 Sistema de Gestión de Calidad
        • ISO13485 Dispositivos Médicos
        • ISO20000 Sistema de Gestión de Servicios de IT
        • ISO22000 Y FSSC22000 Seguridad Alimentaria
        • ISO22716 Buenas prácticas de Fabricación de Cosméticas
        • ISO55001 Gestión de activos
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Seguridad
    • C1
      • Columna 1
        • eIDAS – ETSI Telecomunicaciones
        • ENS – (Esquema Nacional de Seguridad)
        • ISO22301 Continuidad de Negocio
        • ISO22320 Gestión de Emergencias
        • Nueva versión ISO27001 Sistema de Gestión de Seguridad de la Información
        • ISO27017 Control de Seguridad para Servicios Cloud
        • ISO31000 Gestión de Riesgos
        • ISO27701 Sistema de gestión de seguridad de la privacidad
        • ISO45001 Seguridad y salud del trabajador
        • TISAX – (Trusted Information Security Assessment Exchange)
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Medioambiente
    • C1
      • Columna 1
        • FSC – Forest Stewarship Council (Gestión Forestal)
        • ISCC – International Sustainaibility Carbon
        • ISO14001 Sistema de Gestión Ambiental
        • ISO14067:2018 Gases de efecto invernadero – Huella de carbono
        • ISO50001 Sistema de Gestión Energética
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Compliance
    • C1
      • Columna 1
        • Delegado de Protección de datos
        • ISO37001 Sistema de Gestión Antisoborno
        • ISO37002 Sistema de Gestión de denuncias de irregularidades
        • ISO37301 Sistemas de Gestión de Compliance
        • Registro General Sanitario
        • Planes de igualdad
        • Marcado CE
        • Protección de datos personales
        • Protocolo de Acoso Escolar «Bullying»
        • Protocolo de prevención y actuación contra acoso laboral \»Moobing\»
    • Columna 2
      • C2
    • C3
      • Solicitar información
TotalRisk

Juanjo Alemany

10May

Reuniones que aportan valor

10 de mayo de 2023 Juanjo Alemany Píldoras 20

Las reuniones son una herramienta fundamental para tomar decisiones importantes y mantener a los equipos informados y alineados. Sin embargo, muchas veces estas reuniones pueden resultar: una pérdida de tiempo, dinero y recursos, especialmente cuando se dilatan en temas irrelevantes, participan demasiadas personas y falta coordinación o estructura.

Se calcula que se pierde hasta un 15% en reuniones improductivas, lo que representa una cantidad significativa de recursos que podrían haberse utilizado de manera más efectiva.

Para evitar que las reuniones se conviertan en una carga innecesaria, es importante seguir ciertas pautas que permitan aprovechar al máximo el tiempo invertido. Una de estas pautas es la fórmula 3-3-30 (3personas, 3 temas y 30 minutos) propuesta por Steve Jobs, que recomida para agregar valor a las reuniones a través de la reflexión grupal, el fomento del pensamiento crítico y la orientación hacia acciones concretas. Además, se recomienda que las reuniones sean lideradas por una persona designada, reducir el número de asistentes y preparar el debate de manera previa para centrarlo en los temas más relevantes. Al finalizar la reunión, se debe elaborar un plan de acción con responsables y plazos concretos para asegurar la implementación efectiva de las decisiones tomadas.

Proporcionar un enfoque distinto hará que se conviertan en una herramienta efectiva para impulsar la productividad, aprovechar los recursos y el tiempo de inversión. Siguiendo estás recomendaciones, podemos transformar el enfoque que damos a las reuniones de equipo con la finalidad  de siempre impulsar y buscar la mejora continua.

Read more
18Abr

La inteligencia artificial en la pista de despegue

18 de abril de 2023 Juanjo Alemany Píldoras 20

La inteligencia artificial (IA) se encuentra en plena expansión en diferentes sectores y su futuro es muy prometedor, ya que esta tecnología tiene el potencial de transformar la forma en que vivimos, trabajamos y nos relacionamos entre nosotros.

La IA ha revolucionado la forma en que las empresas y las organizaciones funcionan, permitiendo la automatización de tareas repetitivas y la toma de decisiones más informadas y precisas.

Sin embargo, la IA también plantea desafíos éticos y de responsabilidad, como la toma de decisiones injustas o sesgadas, la desaparición de puestos de trabajo o el incremento de ataques cibernéticos. Es importante que el desarrollo y el uso de la IA se realice de manera responsable para garantizar que sus beneficios se maximicen y se minimicen sus riesgos.

Read more
28Mar

La norma ISO27701 para gestión de privacidad de la información

28 de marzo de 2023 Juanjo Alemany Sin categoría 25

La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

 

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

 

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

 

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

 

Capítulo 7

En el tercer bloque nos centramos en controles específicos que afectan a los responsables de tratamiento que son:

  • Condiciones para la recogida y tratamiento de datos personales
  • Obligaciones hacia los interesados
  • Privacidad desde el diseño y privacidad por defecto
  • Intercambio, transferencia y comunicación de IIP

De todo ello se derivan controles que dan cobertura a los aspectos contemplados en el Reglamento Europeo de Protección de Datos de Carácter Personal, tales como el ciclo de vida de los datos captación, conservación y destrucción, las relaciones con partes interesadas (clientes y autoridades), aspectos en el desarrollo de aplicaciones y entornos, y finalmente la manipulación de estos datos durante sus operaciones y mantenimiento.

Todo ello bajo el prisma del responsable de tratamiento, figura que supone la persona física o jurídica que determine los fines y medios del tratamiento.

 

Capítulo 8

En el cuarto bloque se repiten los controles del bloque anterior pero esta vez centrados en la figura del encargado de tratamiento. Encargado de tratamiento que entendemos como la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

Con todo esto esperamos haberles hecho un primer acercamiento a la Norma ISO27701. En futuros artículos profundizaremos en aspectos con el fin de proporcionar una guía de referencia para su implantación y gestión.

O si lo prefieren siempre pueden contar con el asesoramiento profesional de TotalRisk.

 

Artículo de Juanjo Alemany

Read more
01Feb

ISO27701 La Seguridad de la Privacidad

1 de febrero de 2023 Juanjo Alemany Píldoras 21

La ISO27701 apareció por primera vez en 2019 en su versión en inglés. Tuvieron que pasar 3 años para tener su versión en español y esta norma fue creada con el objetivo de dar continuidad a los sistemas de gestión de la seguridad de la información en lo que a Protección de datos personales se refiere.

Esta norma global de gestión de la privacidad de la información, es una extensión de la ISO27001  e incluye cierto requisitos, objetivos y controles, los cuales detallamos en la siguiente capsula de conocimiento.

Hace también un especial énfasis en lo que sería la figura del Responsable del tratamiento y el Encargado del tratamiento, así como las obligaciones de estos en cuanto a la recogida, uso, acuerdos, notificaciones, comunicaciones, entre otros.

Read more
13Dic

Aplicación práctica de la gestión de riesgos durante las navidades

13 de diciembre de 2022 Juanjo Alemany Píldoras 25

La aplicación de la gestión de riesgos es muy amplia y se puede ajustar a los diferentes eventos que se dan en nuestra vida diaria: trabajo, relaciones personales, proyectos, viajes, etc.

Las empresas tienen la obligación de trabajar estos riesgos y determinar mecanismos para reducirlos o tratarlos, pero nosotros en nuestra vida diaria no nos paramos a diagnosticar estos acontecimientos y no es muy recomendable. Sin embargo, solemos aplicar esta gestión en mayor o menor medida según el grado de importancia del suceso, no siendo algo que tratemos de forma muy detalla.

En ocasiones lo realizamos de forma sencilla por ejemplo si nos vamos de viaje, teniendo plan A o plan B, pudiendo estos mitigar cualquier escenario de desastre que ocurra como por ejemplo; perdida de vuelto, olvidar comprar los citytours, huida en caso de aburrimiento, etc.

Dada la cercanía de las fiestas navideñas y de fin de año, queremos darle un enfoque de riesgo a estos eventos tan naturales y que año tras año nos vemos envueltos.

Read more
15Nov

Diferencia entre Evaluación de Riesgos y Análisis de impacto de negocio

15 de noviembre de 2022 Juanjo Alemany Píldoras 23

La #evaluaciónderiesgo está vinculado a la #prevención de eventos a corto y largo plazo, mientras que el análisis de impacto del negocio está enfocada en el cumplimiento de las necesidades #regulatorias pero también existe un análisis más enfocado a largo plazo. En esta capsula de conocimiento, os hacemos un breve resumen, también os indicamos dos puntos de la Norma ISO22301.

Read more
04Nov

Nueva versión 2022 ISO27001 Seguridad de la información

4 de noviembre de 2022 Juanjo Alemany Sin categoría 24

A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.

Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.

Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.

Las principales novedades se basan en:

  1. Adaptarse a los cambios en las formas de trabajar y vivir (la industria de la ciberseguridad ha madurado)
  2. Flexibilizar la alineación con los conceptos de seguridad
  3. Mejorar la armonización con los otros estándares ISO
  4. Simplificar la norma y asegurar que el sistema está basado en procesos claros.

Nueva estructura de clausulas

Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.

Anexo A

  • Clausula 5 – Controles de la organización: 37 controles, 34 antiguos y 3 nuevos
  • Clausula 6 – Controles de personas: 8 controles todos ya existentes
  • Clausula 7 – Controles de seguridad física: 14 controles, 13 antiguos y 1 nuevo
  • Clausula 8 – Controles tecnológicos: 34 controles, 27 antiguos y 7 nuevos

Como podemos ver hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.

Nuevos controles

La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años.

La lista de controles es:

  • A 5.7 Amenazas de inteligencia
  • A 5.23 Seguridad de la información por uso de servicios en la nube
  • A 5.30 Tecnologías de la información y comunicaciones para la continuidad del negocio
  • A 7.4 Monitorización de la seguridad física
  • A 8.9 Gestión de la configuración
  • A 8.10 Borrado de información
  • A 8.11 Enmascarado de datos
  • A 8.12 Prevención de fuga de datos
  • A 8.18 Monitorización de actividades
  • A 8.23 Filtro de la web
  • A 8.28 Codificación segura

Cambios vinculados a puntos de norma

A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma.

Los principales son:

  • 4.4. Hay un requisito explícito para definir los procesos y sus interacciones.
  • 5.3. Se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
  • 6.2. Hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
  • 6.3. Punto nuevo que se alinea con el resto de ISO. Nos indica la necesidad de planificar los cambios del sistema de gestión y que estos se realicen de manera controlada.
  • 8.1. Especifica el establecer criterios para los procesos y aplicar el control.
  • 9.3 En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Calendario de implantación de la versión 2022

¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:

  • Primeras evaluaciones a partir de noviembre de 2022
  • Primeras certificaciones (pendiente de cada certificadora) entre febrero y abril de 2023
  • Plazo para certificarse con la versión 2013 – abril de 2024
  • Fin de vigencia de los certificados de la versión 2013 – octubre de 2025

Actuaciones

Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación.

Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.

Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.

Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.

Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI.

Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso.

Read more
18Ene

TISAX Seguridad de la información en el sector de la automoción

18 de enero de 2022 Juanjo Alemany Sin categoría 24

TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

  1. Políticas y seguridad
  2. Recursos Humanos
  3. Seguridad Física y continuidad del negocio
  4. Identidad y gestión de accesos
  5. Seguridad IT/ Ciberseguridad
  6. Relación con proveedores
  7. Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

 Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/  de forma totalmente gratuita.  Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.

Read more
01Mar

Metodologías de evaluación de riesgos en centrales receptoras de alarma

1 de marzo de 2021 Juanjo Alemany Sin categoría 24

Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.

Norma EN 50518

Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.

Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.

En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.

No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.

 

Metodologías de evaluación de riesgos

Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.

 

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)

  • Desarrollada en España por el Consejo Superior de Informática para su uso en las administraciones públicas
  • Orientada en su inicio a Seguridad digital
  • Realiza cálculos cuantitativos partiendo de datos cualitativos.
  • Posibilidad de recoger incidencias y pasar a enfoque cuantitativo.
  • Soportada por software (MAGERIT H1 y MAGERIT H2)

 

Método Mosler 

  • Metodología orientada a Seguridad Física
  • Su objetivo es identificar, analizar y evaluar los factores que pueden influir en la materialización de un riesgo, permitiendo clasificarlos.
  • Se desarrolla en cuatro etapas: Definición, Análisis, Evaluación y Cálculo del Riesgo.
  • Se basa en la valoración de funciones, sustitubilidad, profundidad, extensión, agresión y vulnerabilidad.
  • Apta para todo tipo de organizaciones

 

  Método AARR 

  • Metodología de enfoque cuantitativo
  • Su objetivo es identificar activos y relacionarlos con los procesos.
  • Se establecen 3 niveles de riesgo: inicial, residual y objetivo.
  • Se completa con la ejecución de unas buenas prácticas para el tratamiento de los riesgos
  • Apta para todo tipo de organizaciones

 

Método HAZOP 

  • Metodología Hazard and operatibility basada en el análisis funcional de operatividad
  • Se concentra en las instalaciones y baja a nivel de subsistemas
  • Se establecen 6 etapas para llegar a un informe final
  • Dispone de unas palabras guía propia: desviaciones, nodos, actividad,…
  • Metodología muy implantanda en sector químico

 

Método BOW-TIE 

  • Metodología centrada en el árbol de causas y efectos
  • Permite una trazabilidad completa entre las causas de los eventos y sus consecuencias
  • Pone al evento en el centro del análisis
  • Apta para todo tipo de organizaciones
  • Metodología compleja de alto valor añadido

 

Evaluación de riesgos en la Norma 50518

Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.

Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.

Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.

El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.

La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.

Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.

Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.

Conclusión

Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.

La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.

Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.

Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org

Read more
20Jul

Contrata un delegado de protección de datos y evita riesgos

20 de julio de 2020 Juanjo Alemany Sin categoría 25

El Reglamento Europeo de Protección de Datos 679/2016, introdujo una nueva figura en las organizaciones: el Delegado de Protección de Datos (DPD o DPO en inglés).

Esta figura puede ser interna en las organizaciones o bien, se puede contratar como un servicio.

 

¿Qué funciones y responsabilidades tiene?

Las competencias que se le suponen son imparcialidad, objetividad, confidencialidad.

El Delegado de Protección de Datos será el encargado de controlar diariamente que todas las actividades del sistema de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas en base a los requerimientos legales que, los asesores jurídicos en la materia indiquen como vigentes.

Debe rendir cuentas al más alto nivel jerárquico de las organizaciones.

Es la persona que debe informar y asesorar al responsable/encargado del tratamiento y a los empleados que realicen tratamiento de datos de las obligaciones y la normativa aplicable en este ámbito. Por esta razón, debe mantener actualizada toda la normativa vigente relacionada con las medidas aplicables, debe concienciar y formar al personal y, realizar auditorías si fuera el caso.

Está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones. Y a documentar y comunicar cualquier vulneración relevante en materia de protección de datos a los órganos de administración, el responsable y/o encargado del tratamiento.

Es el nexo de comunicación entre los interesados y la Agencia de Protección de Datos, y viceversa. Y será el encargado de gestionar el ejercicio de los derechos de los interesados.

Y antes de un tratamiento, ya sea por utilizar nuevas tecnologías, por su naturaleza, alcance, contexto o fines…, si éste entraña un alto riesgo para los derechos y libertades de las personas físicas, el Delegado de Protección de Datos deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, según el art. 35 del RGPD.

 

Derechos de un DPD

Las organizaciones deben garantizar que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

Las organizaciones deben respaldar al Delegado de Protección de Datos para sus funciones, facilitando los recursos necesarios, el acceso a datos personales y a los diferentes tratamientos, así como manteniendo sus conocimientos especializados.

Otro derecho que se le reconoce en la legislación vigente es a no ser destituido ni sancionado por su organización por desempeñar sus funciones. Así se asegura la imparcialidad de esta figura.

El Delegado de Protección de Datos tiene derecho a desempeñar otras funciones en la organización o fuera, pero se debe garantizar que estas funciones no den lugar a conflicto de intereses.

 

¿Quién necesita tener esta figura en su organización?

Según el Reglamento Europeo, el responsable y el encargado del tratamiento tienen obligación de designar un DPD cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Más concretamente, la Ley orgánica 3/2018, expone que tienen obligación de designar un DPD:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

 

Según la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su art. 3 Las enseñanzas:

  1. El sistema educativo se organiza en etapas, ciclos, grados, cursos y niveles de enseñanza de forma que asegure la transición entre los mismos y, en su caso, dentro de cada uno de ellos.
  2. Las enseñanzas que ofrece el sistema educativo son las siguientes:
  3. a) Educación infantil.
  4. b) Educación primaria.
  5. c) Educación secundaria obligatoria.
  6. d) Bachillerato.
  7. e) Formación profesional.
  8. f) Enseñanzas de idiomas. (excluidas las enseñanzas de idiomas que no expiden un certificado reconocido)
  9. g) Enseñanzas artísticas.
  10. h) Enseñanzas deportivas.
  11. i) Educación de personas adultas.
  12. j) Enseñanza universitaria.

 

  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Pero, voluntariamente, cualquier organización, puede nombrar un DPD.

 

Conocimientos que debe tener un DPD

Ya sea una persona física o jurídica, debe poder “demostrar conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Existen cursos formativos. De hecho, la Agencia Española de Protección de Datos, ha publicado un Esquema de Certificación de DPD para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado.

“Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.”

Pero la AEPD aclara que esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.

 

Obligaciones cuando nombras un DPD

Las organizaciones deben informar del nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos o ante las autoridades autonómicas de protección de datos correspondiente en el plazo de 10 días de su nombramiento. También están obligadas a informar sobre el cese. Esta obligación es tanto para las organizaciones que están obligadas a tener uno DPD como las que lo designan de forma voluntaria.

Según el Art. 3 de la Llei 32/2010, el DPD se tendrá que registrar en la Autoritat Catalana de Protecció de Dades si se trata de:

  • Las instituciones públicas.
  • La Administración de la Generalidad.
  • Los entes locales.
  • Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
  • Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:
    1. Que su capital pertenezca mayoritariamente a dichos entes públicos.
    2. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
    3. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.
  • Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.
  • Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
  • Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.
  • Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.

 

Conclusión

Disponer de un DPD mejora el control sobre el cumplimiento legal y ayuda a mantener una alerta constante y una sensibilidad hacia la protección de datos personales. Ahora bien, si es una persona de plantilla propia, es muy importante dotarle de los recursos y el tiempo necesario para poder hacer bien su trabajo.

 

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/

Read more
    12

Estamos utilizando cookies para brindarle la mejor experiencia en nuestro sitio web.

Política de cookies

De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.

Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.

¿QUÉ SON LAS COOKIES?

Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.

TIPOS DE COOKIES que existen

Tipos de cookies según la entidad que las gestione

Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

Tipos de cookies según el plazo de tiempo que permanecen activadas

Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.

Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Tipos de cookies según su finalidad

Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB

Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.

La utilización de las cookies ofrece ventajas, como, por ejemplo:

– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;

– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y

– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.

Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.

En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:

Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.

A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:

DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES

Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.

Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.

Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.

Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.

Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.

Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.

Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.

Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.

¿Cómo deshabilitar las cookies?

En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:

Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.

Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.

Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.

Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).

De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.

Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.

¿QUÉ SON LAS COOKIES?

Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.

TIPOS DE COOKIES que existen

Tipos de cookies según la entidad que las gestione

Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

Tipos de cookies según el plazo de tiempo que permanecen activadas

Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.

Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Tipos de cookies según su finalidad

Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB

Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.

La utilización de las cookies ofrece ventajas, como, por ejemplo:

– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;

– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y

– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.

Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.

En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:

Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.

A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:

DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES

Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.

Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.

Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.

Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.

Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.

Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.

Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.

Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.

¿Cómo deshabilitar las cookies?

En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:

Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.

Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.

Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.

Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).

Cookies necesarios

Las cookies estrictamente necesarias deben estar habilitada en todo momento para que podamos guardar sus preferencias para la configuración de cookies.

If you disable this cookie, we will not be able to save your preferences. This means that every time you visit this website you will need to enable or disable cookies again.

Cookies de terceros

Este sitio web utiliza Google Analytics para recopilar información anónima, como la cantidad de visitantes al sitio y las páginas más populares.

Mantener esta cookie habilitada nos ayuda a mejorar nuestro sitio web.

Please enable Strictly Necessary Cookies first so that we can save your preferences!