La Ciberseguridad en los Despachos de Abogados. Parte 5

La Ciberseguridad en los Despachos de Abogados. Parte 5.

“Gestión de la Fuga de Información”.

Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4

Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.

1.- Fase Inicial.

Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.

Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.

Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.

Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.

Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.

2.- Fase de Lanzamiento.

Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.

Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.

3.- Fase de Auditoría.

En esta Fase se trata de obtener la máxima información posible sobre el incidente.

Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:

A.- Cantidad de Información que ha podido ser sustraída.

B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.

C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.

D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.

Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.

E.- Determinar el alcance de la información sustraída.

F.- Establecer que información se ha hecho pública.

G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.

En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).

Imagen quienes somos

4.- Fase de Evaluación.

Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.

Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.

Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:

Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.

  • Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
  • Actuación con los afectados, ya sean internos o externos.
  • Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
  • Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
  • Examinar los activos de la organización que hayan podido ser afectados y su alcance.
  • Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.

5.- Fase de Mitigación

Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.

También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.

Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.

También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.

6.- Fase de Seguimiento

Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

Delitos Informáticos. 15.- Estafas Informáticas: Falsificación de Tarjetas, monedas o programas informáticos

Falsificación de Tarjetas de Crédito, monedas o programas informáticos para la comisión de Delitos

Delitos de Estafas Informáticas

Artículo anterior sobre Delitos Informáticos: Del Descubrimiento y Revelación de Secretos

Este tipo de delitos se les denomina “Delitos de estafas Informáticas” y vienen recogidos en los artículos 248 al 251 del Código Penal español.

Se encuentran dentro de la Sección 1: “ESTAFAS” , dentro del CAPÍTULO VI: “DE LAS DEFRAUDACIONES” y son considerados o también denominados: “DELITOS CONTRA EL PATRIMONIO Y CONTRA EL ORDEN SOCIOECONÓMICO”, si bien vamos a analizarlos aquí desde la perspectiva deDelitos Informáticoso como delitos cometidos por medios informáticos.

El artículo 248 del Código Penal español señala:

Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
En su apartado segundo señala que también cometen estafa aquellos individuos que:

– Utilicen la manipulación informática  o “artificio semejante” para transferir sin consentimiento activos patrimoniales de los que no son titulares.

– Fabriquen, posean, introduzcan o faciliten cualquier tipo de software cuyo objetivo explícito sea cometer cualquiera de las estafas recogidas en el Código Penal.

– Usen tarjetas bancarias, cheques de viajes o los datos que aparecen en estos para realizar operaciones perjudicando al titular.

Vemos que para la comisión de este delito tiene que haber ENGAÑO como en todos los Delitos de Estafa.

El artículo 249 del Código Penal español establece:

Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años, si la cuantía de lo defraudado excediere de 400 euros. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre éste y el defraudador, los medios empleados por éste y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.

A medida que avanzamos en la lectura del Código Penal, observamos como las penas consideradas para el delito de estafa se van endureciendo en función de que concurran determinadas circunstancias que actúan como agravantes.

Estafas Informáticas.

El artículo 250.1 del Código Penal español, eleva la pena a “prisión de uno a seis años y multa de seis a doce meses” cuando:

1.-Lo defraudado constituya elementos de primera necesidad, vivienda u “otros bienes de reconocida utilidad social”.

2.-Cuando se efectúe manipulando firmas o sustrayendo/ocultando documentos, expedientes, etcétera.

3.-Cuando la estafa recaiga sobre bienes de especial valor “artístico, histórico, cultural o científico”.

4.-En función de la gravedad del daño económico causado a la víctima o a sus familiares.

5.-Cuando el importe de lo defraudado supere los 50.000 euros o “afecte a un elevado número de personas”.

6.-Cuando se abuse de la confianza personal o de la credibilidad profesional para cometer delito de estafa.

7.-Cuando se alteren pruebas en un proceso judicial, lo que supone un delito de estafa procesal.

8.-Cuando el autor del delito ya cuente en su haber con tres condenas por delitos comprendidos en este capítulo.

En el artículo 250.2 del Código Penal español se establece que:

Cuando el agravante 1 coincida con cualquiera de los agravantes 4 a 7,

o cuando el importe defraudado supere los 250.000 euros:

“se impondrán las penas de prisión de cuatro a ocho años y multa de doce a veinticuatro meses”.

El delito de estafa también contempla en su artículo 250 la pena de cárcel de entre uno y cuatro años en los casos de contrato simulado, cuando alguien se atribuya falsamente una cosa y la enajene (por ejemplo, alquilar sin permiso una vivienda de la que no se es propietario), venda o arriende, y cuando se oculten las cargas que recaen sobre algo antes de su transmisión perjudicando al adquiriese o a terceros (por ejemplo, ocultar la deuda con la comunidad de propietarios cuando se vende un piso).

Por último, el artículo 250 bis

También recoge la responsabilidad de una persona jurídica en cualquiera de los delitos de estafa recogidos en el Código Penal fijando las multas especiales:

A.- Multa del triple al quíntuple de la cantidad defraudada, si el delito cometido por la persona física tiene prevista una pena de prisión de más de cinco años.

B.- Multa del doble al cuádruple de la cantidad defraudada, en el resto de los casos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre “Estafas Informáticas” y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOKwww.facebook.com/legalisconsultores.es

y en TWITTER@LegalisConsult


Gracias y…Te esperamos

 

Delitos Informáticos. 14.- Del Descubrimiento y Revelación de Secretos

Delitos Informáticos

Del Descubrimiento y Revelación de Secretos

Además puedes leer el artículo anterior: Delitos Informáticos. 13.- Pornografía Infantil.

En primer lugar, vamos a tratar en esta ocasión de los Delitos de Descubrimiento y Revelación de Secretos que se encuentran dentro de nuestro Código Penal español dentro del Capítulo I del Título X.

Más en concreto viene perfectamente definidos en los artículos 197 al 200.

Por lo tanto, se trata de Delitos que atentan contra la Intimidad Documental, Conversaciones y Comunicaciones.

Engloba todo lo referente a los Secretos y Derechos a la Propia Imagen.

También los Secretos de las Personas Jurídicas.
Además quedarían incluidos : La violación de la correspondencia, escuchas ilegales y captación de imágenes (artículo 197.1 CP).

La Sustracción de datos personales y secretos,

así como su utilización o la modificación de datos de carácter personal (artículo 197.2).

La difusión o cesión a terceros de datos, hechos o imágenes captadas (artículo 197.3).

Por otra parte, veremos lo referente a la revelación de secretos ajenos (artículo 199)
y del descubrimiento , revelación o cesión de datos reservados a personas jurídicas (artículo 200).

Veamos los artículos señalados del Código Penal:

Artículo 197.1: Castiga con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses al «que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación».

Artículo 197.2. Aquí se sanciona con las mismas penas «al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.

Además, iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero».

Por lo tanto, en este caso, el legislador trata de archivos informáticos que contengan datos de carácter personaly que se realice sin el consentimiento.

Artículo 197.3. En el párrafo 1 se recoge una agravación de la pena si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores (prisión de dos a cinco años).

También, epárrafo 2 sanciona con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, al «que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior», es decir, se recoge aquí una atenuación de pena para los supuestos en que el sujeto pasivo del delito no haya intervenido en el descubrimiento ilegal de los secretos o datos a que se refieren los números anteriores, pero haya difundido, revelado o cedido a terceros el contenido de los mismos.

Agravación en los Siguientes supuestos:

Artículo 197.4. Si los hechos descritos en los apartados 1 y 2 se realizan por las personas encargadas o responsables de los ficheros (LOPD), soportes informáticos, electrónicos o telemáticos, archivos o registros.

En estos casos serán castigados con la pena de prisión de tres a cinco años,
y si se difunden o revelan los datos reservados, se impondrán en su mitad superior.

Artículo 197.5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

Artículo 197.6. Por último, si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior, y si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años.

Modalidad Agravada si lo realiza un Funcionario Público o Autoridad

Artículo 198. Se recoge aquí un tipo especialmente agravado en razón a la condición de autoridad o funcionario público del sujeto activo, al señalar que «la autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años».

En el marco de las Relaciones Laborales

Artículo 199. El apartado 1 castiga con la pena de prisión de uno a tres años y multa de seis a doce meses al «que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales».

El apartado 2 contiene una agravación de la pena (prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años) para el «profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona».

Datos Reservados de Personas Jurídicas

Artículo 200. Se recoge una nueva modalidad delictiva, al señalar que lo «dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código».

De Legalis Consultores sobre documentos y artículos jurídicos

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir este Post de “Delitos Informáticos. 14.- Del Descubrimiento y Revelación de Secretos” en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es


También puedes seguirnos por 
FACEBOOKwww.facebook.com/legalisconsultores.es

y en 
TWITTER@LegalisConsult

Gracias y…Te esperamos.

¿Es legal realizar grabaciones de voz a tu jefe? ¿Se pueden aportar como prueba en juicio?

Grabaciones de voz a tu Jefe

Otro artículo relacionado:  ¿Es legal realizar grabaciones?

En muchos juicios laborales a veces resulta difícil demostrar que se ha producido por ejemplo “acoso laboral”, o “que parte de la nómina se percibe en negro”, o que hay un “hostigamiento laboral”, o se produce un “impago de salarios”, o cualquier otro hecho que no podríamos denunciar si no tenemos una prueba de juicio que sea fiable.

Una de las pruebas que podremos aportar pueden ser tanto las grabaciones de voz como las grabaciones de vídeo.
En cuanto a las grabaciones de voz se pueden realizar, incluso sin el consentimiento de la persona que está siendo grabada, pero…

¿Es legal que un trabajador haga grabaciones de voz a su jefe sin su consentimiento?

Tenemos que afirmar que son perfectamente legales poder hacer estas grabaciones de voz,

pero siempre se deberán de respetar unos requisitos mínimos, tal como señalábamos en el artículo señalado antes sobre este mismo asunto:

1.- Que se trate de conversaciones en las que uno participe como sujeto activo de las mismas. En caso contrario sería ilegal.

2.- Que el tema de la conversación grabada sea sobre asuntos laborales y no sobre aspectos de la vida privada de nuestro jefe.

3.- Que las grabaciones y conversaciones se realicen dentro del Centro de Trabajo y no fuera de el.

Así lo establece la Sentencia del Tribunal Supremo del 20 de noviembre de 2014: la Sentencia del Tribunal Supremo de 20/11/2014 (pdf),

¿Las grabaciones de voz se pueden aportar como prueba en Juicio?

En el artículo 90 de la Ley Reguladora de la Jurisdiccción Social, se establece que se pueden aportar grabaciones de audio y de vídeo como medio de prueba.

Por tanto es un tipo de prueba que se puede aportar, al igual que lo sería cualquier prueba documental o testifical u otro medio de prueba admitido en derecho.

Evidentemente será el Juez quien admita o no la prueba, en función de las circunstancias del caso y deberá valorarlas junto al resto de pruebas.

Por tanto en ningún momento se viola ningún derecho fundamental del empresario que haya sido grabado…

siempre que se den los requisitos antes mencionados.

Cualquier sanción que el empresario imponga al trabajador por el hecho de haberle grabado puede ser impugnado.
También, todo lo establecido para el Trabajador, podría ser utilizado por parte del Empresario como prueba en juicio ante un despido por ejemplo de robo, amenazas, dejadez de sus funciones…

Si las grabaciones que realiza el empresario son a través de cámaras de videovigilancia , se deberá de respetar además otros requisito, tal como señalábamos en este artículo: Las cámaras de videovigilancia en las empresas. Control Empresarial. Parte VI

1.- No se puede invadir las zonas privadas de los trabajadores: comedores, vestuarios…

2.- Debe haber un principio de proporcionalidad.

3.- Tienen que realizarse dentro de las instalaciones.

4.- La empresa debe estar adaptada a la Ley de Protección de Datos (Ley 15/1999 LOPD) y a la Instrucción 1/2006.

5.- Se debe de respetar el Derecho de los Trabajadores.

6.-Se respetarán las medidas de seguridad establecidas en la LOPD.

7.- Se garantizarán el ejercicio de los derechos de acceso y cancelación (Derechos ARCO).

8.- Debe existir un Deber de Información con carteles o distintivos informativos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Además, podéis poneros en contacto con nosotros a través del Formulario de CONTACTOS, o través de nuestro email:

info@legalisconsultores.es 

Puedes ponerte en contacto también a través del teléfono (Whatsapp): 635836314 o 605818606.

Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 4

¿Cómo podemos reducir el riesgo de Fuga de Información?

Principio del mínimo privilegio

Artículo anterior:  Ciberseguridad en Despachos de Abogados. Parte 3

El “Factor Humano” es uno de los principales motivos de la Fuga de la Información, por ello es tan necesario llevar campañas de concienciación dentro de los despachos de abogados, pudiendo hacerlo extensible a terceros con los que mantengamos relaciones comerciales o profesionales: proveedores, colaboradores, personal externo.

También, se debe aplicar el principio del “mínimo privilegio” por medio del cual, un usuario con autorización, sólo puede tener acceso a aquella información de carácter sensible estrictamente necesaria para desempeñar sus funciones diarias.

A pesar de implantar medidas preventivas técnicas y organizativas, sigue existiendo la posibilidad de que se produzca un incidente de seguridad relacionado con la información que se maneja en el despacho.

Por eso, además de estar implementando nuevas medidas de protección, siempre deberemos de estar preparados por si se produce tal incidente.

Es decir, contar con un Plan de Riesgo adecuado.

Consecuencias

Las consecuencias no van a depender del tamaño del despacho de abogados sino del tipo de información que se maneje o el tipo de datos que se han podido ver afectados.
Es por ello, que las consecuencias que pueden producirse deben de preocupar y mucho a los responsables de los despachos de abogados.

Una adecuada gestión pesa por comprender sus posibles consecuencias, ya que en caso contrario no se podrá diseñar de una estrategia adecuada para poder tomar las decisiones e implantar las medidas adecuadas para gestionar y minimizar el impacto.

Por lo tanto, se trata de una tarea compleja y depende de muchos factores.

Estimación del Impacto. Consecuencias

1.- Consecuencias sobre el Daño en la Reputación del despacho. Generando un impacto muy negativo de la imágen del despacho, lo que llevaría a la pérdida de confianza de clientes y proveedores.

2.- Consecuencias Regulatorias. Pueden conllevar sanciones de distinta entidad, tanto civiles, penales, administrativas o deontológicas, en ocasiones de elevado importe.

3.- Consecuencias Económicas. Estrechamente relacionada con la anterior: disminución de la sin versiones, de los beneficios, del número de clientes…

4.- Otras consecuencias. Aquí se incluirían aquellas que pueden suponer un impacto negativo en otros ámbitos: político, diplomático, institucional o gubernamental.

Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOKwww.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER@LegalisConsult

Gracias y…Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 3

Despachos de Abogados. La Ciberseguridad. (Parte 3)

Origen de las Amenazas

Señalábamos en el artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 2., que el origen de las amenazas podía ser tanto Interno como Externo.

  • Origen Interno

Aquí incluiríamos las Fugas de Información producidas por los propios empleados del despacho de abogados, ya sea de manera inconsciente: Por error o desconocimiento, o bien de forma Dolosa.

Por lo que aquellas veces que la fuga se produce de forma voluntaria, facilitando el acceso a datos o revelando información a terceros sin autorización, se les denomina: “insider”.

  • Origen Externo

Es cuando la fuga viene desde fuera del despacho y que tienen por objeto acceder de forma ilícita a “información confidencial”.

Por lo tanto, los distintos tipos serían:

1.- Hackitismo. Producido por terceras personas que quieren mostrar su desacuerdo con la actividad que desarrolla el despacho o los clientes a los que defiende.

2.- Venganza de Clientes descontentos

3.- Venganza de antiguos empleados

4.- Robo de Información Confidencial. Aquí se contempla el acceso no consentido a información privilegiada del cliente para buscar, entre otras razones, una ventaja competitiva e incluso la obtención de un beneficio económico.

5.- Ataque de terceros. Que simplemente buscan dañar la imagen del despacho de abogados.

6.- Competencia Desleal

Causas y cómo prevenirlas

Además, cuando se produce una Fuga de Información de cualquier despacho de abogados, normalmente es debido a la inexistencia de algún tipo de medida o procedimiento de seguridad.

Por lo tanto, esta carencia de control sobre la información, hace que aumente de manera importante la probabilidad de que se produzca un incidente de seguridad.

Las causas principales se pueden clasificar en dos grupos:

1.- Causas Organizativas

Uno de los principales errores que se suele cometer durante la protección de la información es la falta de clasificación de la misma.

Dicha clasificación se puede realizar en base al nivel de confidencialidad.

También puede clasificarse por el impacto que puede generar la filtración, nivel de sensibilidad, si se trata de información personal o no, delimitación del alcance de la información (Quién puede conocer la información y qué tipo de acciones puede realizar con ella).

Si no conocemos el valor de la información, no será posible diseñar ni implementar medidas de protección adecuadas.

Otro de los errores viene determinado por la falta de conocimiento o formación, facilitando la producción de errores por parte de los integrantes del despacho.

Estos deben de actuar de una manera responsable y diligente (utilizando los servicios de la nube, dispositivos móviles, correos electrónicos, redes sociales o la simple navegación por internet).

El despacho debe de proporcionar ciertos conocimientos a sus empleados sobre Ciberseguridad, siendo una responsabilidad de la propia organización.

Otra de las causas organizativas sería la falta de procedimientos de seguridad dentro de la organización. Establecer las pautas y obligaciones para los trabajadores en el ámbito de la Ciberseguridad (en actividades de especial importancia o riesgo).

Por último señalamos también la inexistencia de acuerdos de confidencialidad con la plantilla.

De esta manera el empleado debe de aceptar por escrito las políticas y condiciones de privacidad y seguridad que deben de aplicarse en el despacho de abogados.

2.- Causas Técnicas

Como causas técnicas señalamos las siguientes:

2.1.- Código Malicioso o Malware (P.ej. Troyanos). Aquí lo que se persigue es el robo de información y muchas veces es difícil poder localizarlos.

2.2.- Acceso no autorizado a sistemas e infraestructuras. Por ello la importancia de realizar las correspondientes actualizaciones en tiempo y forma.

2.3.- Generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información.
De todas maneras el hecho de que la información se encuentre en la nube no significa que dicha información esté perfectamente segura. Todo dependerá de la robustez en las contraseñas de los propios usuarios y de su formación en Ciberseguridad.

2.4.- Uso de tecnologías móviles para el trabajo diario.
Por lo que si dicha información almacenada en los dispositivos es crítica, deberán intensificarse las políticas y medidas de seguridad-
De Legalis Consultores sobre artículo referido al tema dentro de su web: Agencia de Protección de Datos.

Despachos de Abogados. Ciberseguridad.
Despachos de Abogados. Ciberseguridad.

Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOKwww.facebook.com/legalisconsultores.es

y en TWITTER@LegalisConsult

Gracias y…Te esperamos.

Delitos Informáticos. 13.- Pornografía Infantil

Pornografía Infantil

Delito de pornografía en el Código Penal español

Antes de leer el artículo os recomendamos el post anterior: Delitos Informáticos. 12.- ¿Puedo cometer delito en Twitter?

En este artículo vamos a tratar de explicar, de acuerdo a la nueva reforma del Código Penal Español (que entró en vigor en julio de 2015), el delito de Pornografía Infantil y donde se van a incluir, la Producción de material pornográfico, la Oferta, Difusión, Exhibición y Adquisición para uso propio por medios telemáticos, pues todas ellas son constitutivas de Delito.

Por lo tanto, se castigará también a quién contacte con un adolescente, menor de 16 años, a través de las nuevas tecnologías para intentar que facilite material pornográfico.

Por otro lado, según la Sentencia del Tribunal Supremo 271/2012 de 26 de marzo, siguiendo el Consejo de Europa en cuanto a la definición de Pornografía Infantil lo señala como “cualquier material audiovisual que utiliza niños en un contexto sexual”.
Se incluye tanto la figura del menor como la del discapacitado necesitado de una especial protección.

Código Penal español

Viene regulado en los artículos 188, 189, 189 … del Código Penal español

El artículo 188  establece:

“1. El que induzca, promueva, favorezca o facilite la prostitución de una persona menor o una persona con discapacidad necesitada de especial protección, o se lucre con ello, o explote de algún otro modo a un menor o a una persona con discapacidad para estos fines, será castigado con las penas de dos a cinco años y multa de doce a veinticuatro meses.

Si la víctima fuera menor de dieciséis años, se impondrá la pena de prisión de cuatro a ocho años y multa de doce a veinticuatro meses.

Por tanto se castiga no solo la prostitución sino también la explotación infantil para fines sexuales que no tienen porqué limitarse a la prostitución.

Las penas se agravarán en los siguientes supuestos:

  • 1) Si para la comisión de los hechos descritos se usara la violencia o intimidación, en cuyo caso, además de las penas mencionadas, se impondrá la de prisión de cinco a diez años si la víctima es menor de dieciséis años, mientras que en los restantes casos, la pena será de prisión de cuatro a seis años.

a) Ser la víctima especialmente vulnerable, por razón de su edad, enfermedad, discapacidad o situación.

b)  Si el autor del delito se hubiera prevalido de una relación de superioridad o parentesco, ser ascendiente, descendiente o hermano o afines.

c)  Cuando el autor del delito se hubiera prevalido de su condición de autoridad, agente de ésta o funcionario público.

En este caso se aplicará, además, la pena de inhabilitación absoluta de seis a doce años.

d)  El autor del delito hubiera puesto en peligro dolosamente o por imprudencia grave la vida o salud de la víctima.

e)  Los hechos se hubieran cometido por dos o más personas conjuntamente.

f)  El autor pertenezca a una asociación u organización que se dedique a tales actividades.

En los casos descritos se impondrá la pena superior en grado a la prevista en el tipo básico.

2)  Cuando concurriera alguna de las siguientes circunstancias:

“1. Será castigado con la pena de prisión de uno a cinco años:

a) La persona que captare o utilizare a menores de edad o a personas con discapacidad necesitadas de especial protección con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados,

o para elaborar cualquier clase de material pornográfico, cualquiera que sea su soporte, o financiare cualquiera de estas actividades o se lucrare con ellas.

b) El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facilitare la producción, venta, difusión o exhibición por cualquier medio de pornografía infantil o en cuya elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial protección,

o lo poseyere para estos fines, aunque el material tuviere su origen en el extranjero o fuere desconocido”.

Por lo tanto, según el Código Penal:

Se considera pornografía infantil o en cuya elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial protección:

  •  Todo material que represente de manera visual a un menor o una persona con discapacidad necesitada de especial protección participando en una conducta sexualmente explícita, real o simulada.
  • La representación de los órganos sexuales de un menor o persona con discapacidad necesitada de especial protección con fines principalmente sexuales.
  • Aquél material que represente de forma visual a una persona que parezca ser un menor participando en una conducta sexualmente explícita, real o simulada, o cualquier representación de los órganos sexuales de una persona que parezca ser un menor, con fines principalmente sexuales, salvo que la persona que parezca ser un menor resulte tener en realidad dieciocho años o más en el momento de obtenerse las imágenes.

También se considera Pornografía:

  • Imágenes realistas de un menor participando en una conducta sexualmente explícita o imágenes realistas de los órganos sexuales de un menor, con fines principalmente sexuales.
Pornografía Infantil
Pornografía Infantil

 Sigue el art. 189 :

2.-Serán castigados con la pena de prisión de cinco a nueve años los que realicen los actos previstos en el apartado 1 de este artículo cuando concurra alguna de las circunstancias siguientes:

a)    En el caso de que se utilicen a menores de dieciséis años.

b)  Cuando los hechos revistan un carácter particularmente degradante o vejatorio.

c)  Si el material pornográfico represente a menores o a personas con discapacidad necesitadas de especial protección que sean víctimas de violencia física o sexual.

d)  También cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la vida o salud de la víctima.

Notoria importancia:

e)   Cuando el material pornográfico fuera de notoria importancia.

f)    En el caso de que el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de tales actividades.

g)  Si el responsable sea ascendiente, tutor, curador, guardador, maestro o cualquier otra persona encargada, de hecho, aunque fuera provisionalmente, o de derecho, del menor o persona con discapacidad necesitada de especial protección, o se trate de cualquier otro miembro de su familia que conviva con él o de otra persona que haya actuado abusando de su posición reconocida de confianza o autoridad.

h)    Que concurra la agravante de reincidencia.

Seguimos con el artículo 189.

3.- Si los hechos a que se refiere la letra a) del párrafo primero del apartado 1 se hubieran cometido con violencia o intimidación se impondrá la pena superior en grado a las previstas en los apartados anteriores.

4.- El que asistiere a sabiendas a espectáculos exhibicionistas o pornográficos en los que participen menores de edad o personas con discapacidad necesitadas de especial protección, será castigado con la pena de seis meses a dos años de prisión.

5.- El que para su propio uso adquiera o posea pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección, será castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años.

La misma pena se impondrá a quien acceda a sabiendas a pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección, por medio de las tecnologías de la información y la comunicación.

Potestad, Tutela y Guarda

6.-El que tuviere bajo su potestad, tutela, guarda o acogimiento a un menor de edad o una persona con discapacidad necesitada de especial protección y que, con conocimiento de su estado de prostitución o corrupción, no haga lo posible para impedir su continuación en tal estado, o no acuda a la autoridad competente para el mismo fin si carece de medios para la custodia del menor o persona con discapacidad necesitada de especial protección, será castigado con la pena de prisión de tres a seis meses o multa de seis a doce meses.

7.-El Ministerio Fiscal promoverá las acciones pertinentes con objeto de privar de la patria potestad, tutela, guarda o acogimiento familiar, en su caso, a la persona que incurra en alguna de las conductas descritas en el apartado anterior.

Jueces y Tribunales

8.-Los jueces y tribunales ordenarán la adopción de las medidas necesarias para la retirada de las páginas web o aplicaciones de internet que contengan o difundan pornografía infantil o en cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de especial protección o, en su caso, para bloquear el acceso a las mismas a los usuarios de Internet que se encuentren en territorio español.

pornografía infantil
pornografía infantil

De Legalis Consultores sobre distintos documentos y artículos legales

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Además, podéis poneros en contacto con nosotros a través del Formulario de CONTACTOS, o través de nuestro email:

info@legalisconsultores.es 

Puedes ponerte en contacto también a través del teléfono (Whatsapp): 625836314.

Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 2

La seguridad en los Despachos de Abogados. Parte 2

Artículo anterior:  Ciberseguridad en Despachos de Abogados (I)

Amenazas. Origen Interno y Externo

Seguimos con los artículos dedicados a la seguridad en los despachos de abogados. Hoy vamos a tratar el segundo artículo de un total de 8, dedicado a la Fuga de Información.
La protección de la Información, se debe articular en base a tres principios básicos:
1.- CONFIDENCIALIDAD. La Información del Despacho solo será accesible por el personal autorizado.
2.- INTEGRIDAD de la INFORMACIÓN. Es decir, que dicha información sea correcta, y esté libre de modificaciones y errores.
Que no haya sido objeto de alteraciones o modificaciones malintencionadas, ya que supondría un riesgo si estamos basando nuestras decisiones en ellas.
3.- DISPONIBILIDAD. La información estará accesible para las personas o sistemas autorizados, cuando sea necesario.

Fuga de Información en los Despachos de Abogados

También llamamos Fuga de Información a la pérdida de la confidencialidad, de manera que personal del despacho que no esté autorizado, accede a dicha información privilegiada.
Las consecuencias de una Fuga de Información de nuestro despacho van a ser siempre negativas: Por un lado, en lo que se refiere a la Reputación del Despacho, dañará la imagen pública del mismo, generando desconfianza e inseguridad en los clientes y, por otro lado, la publicación de la información puede generar consecuencias a terceras personas, cuyos datos se hayan hecho públicos.

Por otra parte hay un conjunto de normas y leyes, que ponen especial atención al uso y tratamiento de datos de carácter personal:

  • Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal. Más conocida como LOPD.
  • Su Reglamento de desarrollo: Real Decreto 1720/2007, de 21 de diciembre.
  • El recientemente publicado Reglamento Europeo 2016/679 de 27 de abril, de Protección de Datos y que será de obligado cumplimiento a partir del 25 de mayo de 2018. (RGPD).

En esta última norma destaca la Obligación de Seguridad en el tratamiento de los datos y que está recogido en el artículo 32 (apartado 1 y 2):

Artículo 32. (RGPD):

1.-Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Despachos de Abogados. Seguridad en la Información.
Despachos de Abogados. Seguridad en la Información.

Competencias

Por lo tanto en relación a la competencia para conocer este tipo de situaciones, La Agencia Española de Protección de Datos (AEPD), es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre Protección de Datos.

Sus competencias son garantizar y tutelar el Derecho Fundamental a la Protección de Datos de carácter personal de los ciudadanos.

Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el Responsable de Tratamiento y que vienen recogidos en los Considerandos 85 al 87 y en los artículos del Reglamento 33 y 34, donde se establece la obligación por parte del Responsable de Tratamiento de que, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que tenga constancia, de comunicarlo a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (p.ej. Porque tales datos iban cifrados…).
También deberá comunicar al afectado, en caso de que pueda entrañar un grave riesgo para sus derechos y libertades, manteniendo le en todo momento informado sobre las acciones y gestiones que se vayan produciendo. (Artículo 34 del RGPD).

Por lo tanto, este deber de información se producirá a fin de que el afectado pueda cambiar las contraseñas, números secretos de las tarjetas de crédito o cuentas bancarias y correos electrónicos.

En el próximo post trataremos entre otros asuntos EL ORIGEN DE LAS AMENAZAS

De Legalis Consultores, sobre textos de la propia Agencia Española de Protección de Datos (AEPD) sobre la materia y publicados en su página web.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOKwww.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER@LegalisConsult

Gracias y…Te esperamos

Esta web utiliza cookies propias y de terceros para analizar nuestros servicios y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de sus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Más informaciónPersonalizar Cookies   
Privacidad