Áudea asiste a la XIX Jornada Internacional de Seguridad de la Información

Celebrada el 11 de mayo en Madrid, en esta jornada pudimos escuchar a algunos de los máximos representantes españoles y europeos del sector de la protección de datos y la ciberseguridad

 

El pasado 11 de mayo se celebró la XIX Jornada Internacional de Seguridad de la Información en el Círculo de Bellas Artes de Madrid, organizada por ISMS Forum. Algunos compañeros de Áudea Seguridad de la Información asistimos a la Jornada.

Durante la jornada, intervinieron expertos, profesionales y representantes institucionales del sector de la seguridad de la información y protección de datos que analizaron temas de actualidad como, las notificaciones de violaciones de datos en el seno de la empresa, la estadística actual de los ataques informáticos a los sistemas de seguridad de las mismas, el ya por todos conocido Reglamento General de Protección de Datos (RGPD), el Privacy Shield o la publicación del Código de Buenas Prácticas en Protección de Datos para proyectos de Big Data.

 

Ponentes como Giovanni ButtarelliSupervisor Europeo de Protección de Datos, o Isabelle Falque-Pierrotin, Presidenta del Grupo de Europeo de Protección de Datos del artículo 29 (GT29), y a nivel nacional, el INCIBE (Instituto Nacional de Ciberseguridad de España) o Mar España, Directora de la Agencia Española de Protección de Datos (AEPD), pusieron de manifiesto, entre otros, los siguientes temas:

  • Los riesgos y amenazas que conlleva la automatización y digitalización de procesos en el seno de una organización.
  • La ciberseguridad como eje fundamental y garantía de la transformación digital en las empresas y en la sociedad.
  • De qué manera la instauración del Big Data hace necesario unos servicios a medida.
  • La evolución del Data Center Corporativo o CPD (Centro de Proceso de Datos).
  • El hecho de que fenómenos como IOT (Internet of Things) o la Inteligencia Artificial supondrán una revolución tecnológica, destacando la importancia de conocer su alcance e implicaciones en materia de seguridad y privacidad.
  • Las implicaciones prácticas que conllevará para el sector empresarial las notificaciones de las brechas de seguridad y su impacto en el negocio.

 

Intervención de Isabelle Falque-Pierrotin, presidenta del GT29

 

Con respecto al Reglamento General de Protección de Datos (RGPD), la presidenta del GT29, advirtió que se encuentran trabajando activamente para implementar el nuevo marco legal europeo en consonancia con las distintas Autoridades Europeas, evitando de esta forma que se produzca una disparidad o diferencias significativas entre ellas en cuanto a la interpretación del texto normativo.

 

Falque-Pierrotin comentó que, en concreto, están estudiando sobre asuntos como el sistema de certificación, la elaboración de perfiles y cuestiones que se suscitan en relación con el consentimiento de los interesados. También adelantó que están elaborando unas guías para responsables y encargados sobre el RGPD.

 

Asimismo advirtió sobre las posibles implicaciones que van a tener los Delegados de Protección de Datos (o DPO, por sus siglas en inglés) para cumplir con el principio de “Accountability” y el cambio de paradigma para las Autoridades de Protección de Datos ya que ha habido un incremento de casos con impacto internacional y no solo nacional.

 

El GT29 es plenamente consciente de este cambio paradigmático y de la gran “revolución” que supone la entrada del RGPD y puso de manifiesto la necesidad de aprovechar este tiempo previo antes de mayo de 2018 para adaptar cuanto antes el nuevo esquema normativo.

 

Por último, la presidenta opinó que el Privacy Shield, a pesar de suponer una mejora en comparación con el antiguo Safe Harbour, se muestran preocupados por la necesidad de concretar los compromisos de Estados Unidos en este sector a raíz de la última elección presidencial. En palabras de la presidenta del GT29 “es esencial que contemos con el apoyo de EEUU para demostrar eficiencia en el Privacy Shield”.

 

Intervención de Giovanni Buttarelli, Supervisor Europeo de Protección de Datos

 

Por su parte, el Supervisor Europeo de Protección de Datos incidió sobretodo en la necesidad de colaborar con las distintas Autoridades Europeas en cuanto a la aplicabilidad del RGPD.

 

Buttarelli destacó la importancia de la seguridad como factor clave que se traduce en la calidad de la empresa debiendo no solo centrarnos en la protección de los derechos fundamentales ya que según dijo el Supervisor “la seguridad es primordial para la regulación de los datos”. También consideró que nuestra normativa era exigente y más estricta que antes, en donde la mayor preocupación de la protección de datos, a su entender, se encuentra en las transferencias internacionales de datos.

 

Por último, defendió la necesidad de evitar la improvisación a la hora de aplicar las normas y analizar cuanto antes las formas de cumplir con el principio de “Accountability” o responsabilidad proactiva que parte de la premisa del deber de demostrar que efectivamente se cumple con la norma. “Debemos ir más allá del mero cumplimiento, no es una lista cerrada de obligaciones” decía Buttarelli. Asimismo, opinó que debemos guiarnos fundamentalmente por las directrices del GT29 y así intentar minimizar al máximo la burocracia.

 

Intervención de Mar España, Directora de la AEPD

 

La Directora de la AEPD, centró sobretodo su intervención en la elaboración del Código de Buenas Prácticas en Proyectos de Big Data y, aunque el mismo ya está disponible en la web de la AEPD, dio algunas pinceladas respecto al mismo. Os comentamos algunas:

  • No se trata de una guía teórica, sino eminentemente práctica y basada en la experiencia.
  • Ofrece distintos planteamientos o formas de entender los procesos de Big Data, no solo teniendo en cuenta los beneficios que produce el fenómeno sino que se revelan los riesgos y dificultades que se plantean hoy en día en esos casos. Por ejemplo, hasta dónde llega el principio de transparencia o el principio de información al ciudadano en los casos en que los datos puedan ser inexactos.
  • Uno de los propósitos de dicho Código es que el tratamiento de Big Data esté en consonancia con los derechos y libertades de los ciudadanos y la LOPD para evitar un tratamiento distorsionado de datos y que ello pueda producir discriminación o estigmatización en los interesados y que ello pueda terminar afectando los resultados del proceso.
  • En la guía se definen los principios para legitimar el tratamiento en los procesos de Big Data, teniendo en cuenta, por un lado que el RGPD considera inválido consentimiento tácito y por otro lado, los casos en los que existe un interés legítimo. En es sentido, el Código define las posibles limitaciones a tener en cuenta cuando se declare un interés legítimo en función de los derechos y libertades de los ciudadanos.
  • Por otro lado, la Directora enumeró algunos aspectos en los que el RGPD puede influir en los procesos de Big Data, como son:
    • Es importante definir cuándo estamos ante un interés legítimo en estos procesos teniendo en cuenta la ponderación de los derechos e intereses de los ciudadanos.
    • El RGPD habilita a que los Estados miembros regulen las condiciones para el tratamiento de los datos sensibles.
    • En cuanto a las medidas de seguridad, el RGPD cambia sustancialmente con respecto a la anterior normativa. Como sabemos, las medidas ya no vendrán tasadas, lo que, a juicio de la Directora, supone flexibilidad para las grandes empresas a la hora de llevar a cabo procesos de Big Data. De esta manera, pueden hacer un análisis adaptado al proceso concreto e instaurar las medidas y evaluación de impacto acordes a su organización. La Directora apuntó que de esta manera se evitaba que el marco normativo quedará desfasado.
    • Se subrayó el derecho a la protección de datos como valor fundamental a la hora de obtener beneficios en procesos de Big Data.
    • Puso de manifiesto la necesidad de cumplir en este tipo de procesos con el principio de minimización de los datos de forma conjunta con el principio de proporcionalidad ya que a mayor volumen de datos mayor riesgo para los derechos y libertades de las personas.

Por otra parte, Mar España informó de que el GT29 está trabajando en la elaboración de un mecanismo de certificación para los DPO (o Data Privacy Officer) que aunque no siendo de carácter obligatorio, sí aportará seguridad jurídica a las empresas que necesiten contratarlo.

También nos recordó que el RGPD establece mecanismos de pseudonimización que, además, facilitan el cumplimiento de las obligaciones del Responsable y Encargado del tratamiento. En caso de que el tratamiento de los datos no esté basado en el consentimiento del individuo, la pseudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo. Pero según comentó Mar España, este mecanismo no justifica la falta de medidas de seguridad ni la ausencia de información a los interesados o, en su caso, de su consentimiento.

 

Por otro lado, desde la AEPD se está trabajando para poder facilitar a los responsables y encargados herramientas para las evaluaciones de impacto y los análisis de riesgo de las empresas, estableciendo en las mismas diferencias según se trate de pymes o multinacionales.

 

Asimismo, están alineando esfuerzos y colaborando con el sector privado y público, así como con instituciones como la AEAT o la TGSS.

 

Conclusión

 

Podemos concluir que en el foro se adivinó una gran actividad y actitud colaborativa entre las principales instituciones nacionales y europeas en torno a la implementación del RGPD, ya que se deduce un intento constante de unificar la interpretación y aplicación de los distintos retos y cuestiones que se van planteando sobre la citada norma.

 

En definitiva, el Foro ha puesto de manifiesto la constancia y conciencia que tienen actualmente las empresas e instituciones alrededor de la aplicación y protección de la privacidad de los datos.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , ,

Nueva convocatoria del curso DPO – Experto en Protección de Datos

Las clases serán impartidas a lo largo de cuatro viernes consecutivos; entre el 15 de septiembre y el 6 de octubre

 

ES-CIBER impartirá una nueva edición del curso presencial DPO – Experto en Protección de Datos certificado por Tüv Nord, cuyo objetivo es que el alumno adquiera todos los conocimientos y destrezas necesarias para ejercer como Delegado de Protección de Datos (DPO).

Arrancá el próximo mes de septiembre en Madrid y se desarrollará a lo largo de cuatro viernes consecutivos (15, 22, 29 de septiembre y 6 de octubre) en horario de 08.30h a 14.30h, lo que da lugar a un total de 24 horas lectivas.

 

Contenidos del curso

Los contenidos del curso están repartidos en 10 módulos que cubren las áreas más relevantes de la Protección de Datos: introducción y principios generales del Reglamento General de Protección de Datos, los movimientos de datos, la seguridad de los datos y la evaluación de impacto, los derechos de los afectados, los ficheros de solvencia patrimonial, la LSSI y las campañas publicitarias, las autoridades nacionales de control, el régimen sancionador y los códigos de conducta y certificación.

 

Las clases serán impartidas por expertos en protección de datos del Departamento Legal de Áudea Seguridad de la Información y combinarán la enseñanza de contenidos teóricos con la resolución de casos prácticos.

 

Precios

El precio de esta actividad es de 1.000 euros y existen los siguientes descuentos:

  • 5% de descuento si te inscribes antes del 15 agosto.
  • 10% de descuento para clientes de las empresas Áudea Seguridad de la Información o ES-CIBER.

* Para que este curso se celebre es necesaria la inscripción de al menos cuatro alumnos.

 

Temario del Curso

Módulo 1: INTRODUCCIÓN AL REGLAMENTO EUROPEO

Módulo 2: PRINCIPIOS GENERALES

Módulo 3: LOS MOVIMIENTOS DE DATOS

Módulo 4: SEGURIDAD DE LOS DATOS Y EVALUACIÓN DE IMPACTO

Módulo 5: DERECHOS DE LOS AFECTADOS

Módulo 6: FICHEROS DE SOLVENCIA PATRIMONIAL

Módulo 7: LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y CAMPAÑAS PUBLICITARIAS

Módulo 8: LA AUTORIDAD NACIONAL DE CONTROL. LA AEPD

Módulo 9: RÉGIMEN SANCIONADOR

Módulo 10: CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN

El Delegado de Protección de Datos: nueva figura introducida por el RGPD

 

El Reglamento General de Protección de Datos (GDPR) es la nueva norma europea en este ámbito. Entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse en todos los estados de la Unión a partir del mismo día de 2018. Durante este periodo de tiempo las instituciones públicas, organizaciones y empresas europeas deben adaptarse al nuevo reglamento.

 

El GDPR representa el cambio más relevante en materia de privacidad en los últimos 20 años. Entre las novedades que introduce está la de la figura del Delegado de Protección de Datos (también conocido como DPO por sus siglas en inglés Data Protection Officer).  Se trata de un profesional que debe ser designado por el responsable del fichero y el encargado del tratamiento cuando se manejen datos en organismos públicos, que requieran una observación habitual y sistemática o cuando se realice un tratamiento de datos a gran escala especialmente sensibles.

 

Sus funciones son fundamentalmente informar y asesorar al responsable o al encargado y demás personas que manejen datos en la organización de las obligaciones a las que están sujetos, velar por el cumplimiento de la normativa en materia de Protección de Datos y cooperar con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos).

 

Para ejercer como Delegado de Protección de Datos la ley no determina la titulación específica que éste debe poseer, pero fija que debe ser designado de acuerdo a sus cualidades profesionales y tener conocimientos especializados en Derecho y Protección de Datos.

 

Más información

 

Si necesitas más información o quieres inscribirte en el curso, contacta con ES-CIBER a través del formulario de contacto y nuestro equipo comercial se pondrá en contacto contigo.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

Es-Ciber Formación

https://www.es-ciber.com/

 

cursos , , , , , ,

Lindorff, cliente destacado de Áudea en materia de Protección de Datos

Uno de los mayores activos de Áudea Seguridad de la Información son nuestros clientes. Ofrecer un servicio de calidad adaptado a sus necesidades es nuestro principal objetivo. Por ello, hoy os queremos presentar a Lindorff, que ha confiado en nuestro equipo para hacer una de las cosas que mejor sabemos; proteger los datos personales.

La empresa Lindorff es conocida principalmente por sus Servicios Integrales de Gestión de Crédito y Activos. La compañía cuenta hoy con un modelo de gestión único que abarca el ciclo completo del crédito, aportando soluciones integrales para la recuperación de cualquier tipología de deuda y la gestión hasta su venta de una amplia variedad de activos, cumpliendo siempre con los más altos estándares éticos.

 

Lindorff es una empresa de origen noruego con casi 120 años de historia y presencia en 12 países europeos, entre ellos España. En lo que respecta al mercado español es una empresa relativamente joven, ya que comenzó su andadura en noviembre de 2008. No obstante, en este tiempo ha logrado convertirse en una de las mayores y más relevantes empresas del sector. En 2016, adquirió la empresa especializada en Servicios Inmobiliarios Aktua, y hoy la organización integrada de Lindorff España y Aktua cuenta en nuestro país con 1800 empleados y más de 20 oficinas repartidas por todo el territorio nacional.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

https://www.es-ciber.com/

 

Sin categoría , , ,

Aprende de la crisis del ransomware WannaCry

El ransomware WannaCry ha sido el protagonista absoluto de los últimos días. En España saltó a la fama el pasado viernes 12 de mayo tras infectar varios equipos informáticos de la sede central de Telefónica.

Poco después el CCN-CERT confirmó que varias organizaciones se habían visto afectadas “por un ataque masivo de ransomware que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas”. Apenas unas horas más tarde nos enterábamos de que se trataba de un hackeo a nivel global. Según estimaciones de la Europol, el virus WannaCry ha afectado a unas 200.000 víctimas en 150 países.

 

Tres días después de que se iniciara este ciberataque es momento de hacer balance y valorar el alcance real que ha tenido dicho virus. En Áudea creemos que la crisis desatada por el ransomware WannaCry debe servir a las empresas y ciudadanos en general para mejorar sus prácticas de ciberseguridad y gestión de la información. Éste es nuestro análisis:

 

Concienciación; clave para la estrategia de seguridad de la empresa

El punto de entrada del ransomware WannaCry ha sido un archivo infectado que el usuario/empleado de la compañía recibe a través de un correo electrónico infectado que el cibermalhechor cuela a su víctima haciendo uso de técnicas de phishing.

 

Esta circunstancia corrobora el dicho de que “el usuario es el eslabón más débil de la cadena de la ciberseguridad”. Por este motivo, es necesario que el personal de la compañía esté concienciado de la importancia de gestionar la información y los dispositivos de forma responsable.

 

¿Cómo podemos ayudarte? A través de nuestro servicio continuo de Concienciación en Seguridad de la Información, los empleados aprenderán los riesgos a los que se exponen como usuarios de Internet y prácticas preventivas.

 

Realiza un Análisis de Vulnerabilidades, evita sorpresas

El ransomware WannaCry se expande por la red utilizando una vulnerabilidad encontrada en determinadas versiones del sistema operativo Windows para la que el fabricante ya publicó un parche el 14 de marzo de 2017.

 

Esta situación pone de manifiesto la importancia de realizar un Análisis de Vulnerabilidades que muestre una fotografía de la seguridad externa e interna de la organización y las deficiencias de seguridad a las que está expuesta la seguridad de la empresa.

 

Algunas de estas vulnerabilidades tienen su origen fuera de la organización (como por ejemplo, las derivadas de los sistemas operativos que utilizamos) mientras que otras existen por una implementación deficiente de los sistemas de seguridad. En cualquier caso, es necesario tener identificados todos estos puntos débiles.

 

¿Cómo podemos ayudarte? A través de nuestro servicio Análisis de Vulnerabilidades podremos ayudarte a prevenir incidentes de seguridad.

 

Implanta la Norma ISO-22301 e ISO-27001

Sin un sistema sólido de Gestión de la Seguridad de la Información y de la Continuidad de Negocio la organización va a la deriva ante un incidente. Después de afectar a alrededor de 200.000 personas en 150 países, el ransomware Wannacry ha impactado de forma muy diferente. Algunas de sus víctimas tenían copias de seguridad, otras no. En algunos casos, el “secuestro” de información ha secuestrado consigo procesos de negocio críticos. En determinadas empresas, los procesos de negocio se restablecerán en poco tiempo y en otros casos tardarán días o semanas en hacerlo.

 

Todas estas circunstancias muestran la importancia de contar con un Sistema de Gestión de Seguridad de la Información (como por ejemplo, según el estándar ISO-27001) que regule, entre otras cosas, la frecuencia de realización de copias de seguridad y el lugar donde se deben guardar. Estos sucesos también dan la razón a quienes defienden la implantación de un Sistema de Gestión de la Continuidad de Negocio (como el ISO-22301) que asegure que todos los procesos de negocio críticos estarán disponibles para los clientes proveedores y otras entidades que deben acceder a ellos en caso de desastre.

 

¿Cómo podemos ayudarte? Con la Implantación de la Norma ISO-22301 e ISO-27001.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

ES-CIBER Formación

https://www.es-ciber.com/

 

 

tecnologia , ,

El Big Data está de moda pero… ¿sabemos realmente en qué consiste?

Los sistemas tradicionales de almacenamiento y procesamiento de la información ya no son suficientes

Es el concepto de moda y nos encanta como suena, ¿verdad? Es uno de los términos clave en el mundo informático en nuestros días. Pero, ¿en qué consiste en realidad? El término procede del inglés, Big Data (macro-datos, datos a gran escala) se refiere a la gestión y el análisis de grandes volúmenes de datos que no pueden analizarse de la forma convencional ya que superan las capacidades y límites de los software que se usan para procesar y analizar datos.

Cuando hablamos de Big Data, tenemos que mencionar las tres Vs: volumen, velocidad y variedad. Volumen se refiere a la gran cantidad de datos que aborda el Big Data, una gran multitud de datos que no pueden quedar almacenados en un disco duro convencional. La segunda V, velocidad, se refiere a la rapidez con la que llegan estos datos, un non-stop de datos que se van sumando y sumando. Por último, la variedad  hace referencia a los tipos de información y datos que podemos encontrar.

Estos datos los generan los usuarios que cada día, ya sea en el ámbito personal o laboral, realizan cientos de acciones a través de sus dispositivos electrónicos: búsquedas web, transferencias bancarias, correos electrónicos… Conectamos con nuestros contactos a través de las redes sociales, controlamos la temperatura de nuestra casa desde una app en nuestro móvil… Todas estas acciones quedan registradas y el análisis de esos datos puede ayudar a reconocer tendencias y formas de actuar de los consumidores y de las personas en general.

Las empresas generan a su vez muchísimos datos e información: vídeos, correos electrónicos, imágenes, facturas… Muchas se ven incapaces de sacar provecho de toda esa información por la dificultad de organizar, analizar y procesar esa magnitud de datos. Por ello existen compañías tecnológicas especializadas en Big Data cuyo fin es ayudar a estas empresas a manejar dichos datos.

El Big Data plantea a su vez muchos retos de cara a la privacidad. Es cierto que puede hacernos la vida más cómoda pero, para ello, necesitará desarrollar unas prácticas responsables. La AEPD e ISMS Forum Spain han editado de forma conjunta un Código de buenas prácticas en protección de datos para proyectos Big Data. Es un material a tener en cuenta para las empresas especializadas en Big Data.

Lo cierto es que el Big Data no es sólo el futuro, sino que también es el presente. Muchas compañías tecnológicas se dedican al Big Data hoy en día y, además, ha dado lugar a la aparición de un nuevo perfil profesional: analista de datos, también conocido como data analyst o big data analyst. Este cargo lo ocupan principalmente ingenieros informáticos, matemáticos, estadísticos y analistas.

Big Data and the Next Wave of Infrastress

Fue en los años 90 cuando John Mashey publicó un artículo llamado Big Data and the Next Wave of Infrastress, haciendo referencia al término Big Data y al estrés que iban a sufrir las infraestructuras físicas con la gran cantidad de datos que iban a tener que manejar en el futuro. John Mashey estaba en lo cierto. Según el estudio de Level Analytics de Northeastern University de Boston, se generan 2.5 exabytes de información al día, lo que se corresponde con 530,000,000 millones de canciones, 150,000,000 iPhones y 5 millones de ordenadores portátiles.

Esta gran cantidad de datos continúa creciendo y el Big Data se está convirtiendo en un concepto cada vez más real y cuya necesidad va en aumento. Como dijo Peter Sondergaard, analista de Gartner Inc. (empresa americana, consultora de las tecnologías de información): “La información es la gasolina del siglo XXI y la analítica de los datos su motor de combustión”.

Áudea Seguridad de la Información

http://www.audea.com/big-data-esta-moda-sabemos-realmente-consiste/

http://www.audea.com/es/

tecnologia , , , ,

Día de Internet 2017: Consejos para hacer un uso seguro de la Red

Hoy, 17 de mayo, es el Día de Internet, una jornada que se celebra desde 2005 en España y que tiene como objetivo enseñar a la ciudadanía en general las ventajas que ofrecen Internet y las nuevas tecnologías de cara a mejorar su calidad de vida.

Según el reciente Informe de la empresa Norton, en 2016, 689 millones de personas sufrieron ciberataques. Con respecto al año 2015, ha habido un aumento del 10% en ataques. Esta cifra es alarmante, así que hoy os proporcionamos unos consejos que esperemos que sirvan para manteneros un poco más a salvo de ciberataques o robos de información.

 

WiFi públicas

¡Mucho cuidado con las WiFi públicas! La OSI (Oficina de Seguridad del Internauta) afirma que los ciberdelincuentes pueden crear una red WiFi que parezca segura, pues suplante al nombre de un restaurante, hotel o tienda, pero eso no significa que la red de conexión a Internet provenga de ahí.

 

Los riesgos de conectarte a una red WiFi maliciosa son muchos: robo de datos, infección de dispositivos… Así que lo mejor es no correr el riesgo y no conectarse a redes WiFi públicas que no conozcáis, o que permitan acceso a Internet sin contraseña. Si por cualquier casual lo hacéis, procurar no acceder a datos bancarios ni introducir contraseñas mientras estéis conectados a esta red WiFi.

 

 Varias cuentas de correo electrónico

Muchos sitios web te obligan a dar tu correo electrónico cuando te registras. También necesitamos un correo para acceder a determinadas promociones de las que luego no queremos estar recibiendo publicidad de forma continua. La solución pasa por crear, al menos, dos cuentas de correo; nuestra cuenta principal, de referencia, para temas personales y recibir publicidad que realmente queramos recibir y otra cuenta para todo lo demás. Para proteger tu correo electrónico, te recomendamos que leas estos consejos.

 

Navegar de incógnito por Internet

Navegar de incógnito es una buena solución para cuando te conectes desde ordenadores públicos o de otro usuario ya que  te garantiza que el historial de navegación no se guarde. Por lo tanto, todas las páginas que hayas visitado, contraseñas e emails que hayas introducido no quedarán almacenadas. Esto te garantizará que tu información esté más segura. Puedes hacerlo a través de los siguientes navegadores: Google ChromeSafariInternet Explorer y Mozilla Firefox.

 

Privacidad en redes sociales

Hay que tener cuidado con la información que compartimos en las redes sociales. En nuestro blog hablamos muchas veces sobre ciberseguridad y sobre protección de la información. Si nosotros, como usuarios, dejamos toda nuestra información pública, corremos el riesgo de que roben nuestros datos y puedan atentar contra nuestra privacidad. Así que ya sabes, pon tus redes sociales en modo privado o sólo comparte tus publicaciones con amigos.

 

Phishing

Hemos hablado en diversas ocasiones del phishing en nuestro blog. Es una técnica de suplantación de identidad utilizada por ciberdelincuentes para robar información de usuarios. Lo hemos visto en AppleNetflixGmail… Es muy importante distinguir estos emails con el fin de no caer en sus trampas. En el Informe de Norton afirman que aproximadamente tres de cada diez personas no saben distinguir un ataque de phishing. Por lo que es necesario concienciar a la sociedad de estos ataques y de sus riesgos.

 

Como hemos visto anteriormente, cada técnica de phishing varía: puede ser que te llegue un email de un contacto conocido (como ocurría con Gmail) o que te pidan que vuelvas a incluir tus datos de cuenta bancaria porque tu “compra” no se ha podido realizar (como ocurría con Apple).

 

Por ello has de ignorar cualquier email que, a través de un link o archivo PDF u otro medio, te redirija a otra página web para añadir/cambiar credenciales de acceso o datos del banco. Estos emails se pueden denunciar, en Apple puedes reenviarlos a abuse@icloud.com y en Gmail tienes un portal dedicado al phishing que te aconseja y te da información.

 

URL acortadas

Es muy común utilizar enlaces cortos en las redes sociales. Cuando el link es demasiado largo, queda mejor acortarlo y así el post queda más organizado y estructurado. Lo negativo es que no sabemos de dónde procede ni a dónde nos lleva dicho link. Uno de los trucos para saber si los links son de fiar es fijarte en la fuente. No obstante, la fuente no siempre nos asegura que el link no sea una puerta abierta hacia un malware. Hay herramientas y trucos que sirven para cerciorarte de que el link es de fiar. En este artículo, Panda Security nos aconseja sobre este tema y nos da diversos trucos para identificar links maliciosos, centrándose en los usuarios de Google Chrome y Mozilla Firefox.

 

Internet de las cosas

Cada día existen más aparatos cotidianos conectados a Internet: televisiones, termostatos, sistemas de seguridad… No obstante, el Internet de las cosas (IoT: Internet of the things) supone nuevos riesgos en el robo de información de los consumidores. El reciente Informe de Norton nos informa sobre cómo los usuarios empiezan a ser más conscientes de los riesgos que supone Internet, incluyendo aquí el Internet de las cosas. Según el informe, uno de cada cinco usuarios que usan aparatos domésticos conectados a Internet admiten no contar con medidas de protección para dichos aparatos.

 

Nuestra información puede estar en peligro si un cibercriminal accede, por ejemplo, a nuestro Apple TV, a través del cual podrá acceder a nuestra información bancaria que tenemos asociada a nuestro ID de Apple en iTunes y a otros muchos datos más. El Informe de Norton ofrece varios consejos para mantener las redes de casa seguras, como por ejemplo, cambiar el nombre de usuario predeterminado y la contraseña del router, proteger las conexiones WiFi con un seguro cifrado o utilizar conexiones por cable cuando sea posible.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

tecnologia , , , , ,

Ataque Ransomware: WANNACRY

El ataque sufrido en muchas empresas a partir del viernes nos ha hecho reflexionar sobre la importancia de la concienciación en ciberseguridad para tener de manera adecuada y segura nuestros sistemas. Dicho ataque ha sido categorizado como ransonware como explicábamos en el articulo de ayer y más concretamente en una de sus variantes diseñada para tener las repercusiones que hemos observado…WannaCry.

 

Después de todas las informaciones que se han dado, tanto en los principales medios de comunicación como en redes sociales, y ver que ha afectado a más de 70 países, la principal pregunta que se realizan las empresas es: ¿cómo ha podido llegar este malware a sus equipos? Aunque en cada una de ellas ha podido suceder de una forma distinta son estos algunos de los posibles focos de entrada de WannaCry:

 

  1. Un mail con un enlace a una pagina donde se descargue el malware
  2. Un mail con un archivo adjunto que tiene incrustado el malware
  3. Tener abierto el puerto 445 de nuestros sistemas a Internet y no tener parcheada la vulnerabilidad explotada (MS17-10)
  4. Acceso mediante enlaces o redirecciones a las páginas referenciadas en el punto 1) desde páginas legítimas.

 

Como podemos observar los posibles puntos de entrada son múltiples, aunque la mayoría de las empresas apuntan a que las responsables de sus infecciones son las dos primeras a través de spam masivos a todo el mundo.

 

El problema real y que ha conseguido la magnitud vista del ataque es la expansión del mismo dentro de una red LAN, aparte de realizar un secuestro de tu ordenador como explicábamos en el articulo anterior, posee un módulo que escanea la red LAN en busca de la vulnerabilidad referenciada en el punto 3 y si la misma no esta parcheada se propaga a otros sistemas, cuando llega a la nueva máquina afectada vuelve a escanear la red y se vuelve a expandir y así indefinidamente dentro de la propia red interna de la empresa, por lo que en cuanto se infecte un ordenador están en potencial peligro todos los sistemas a los que puede acceder el mismo dentro de la LAN.

 

Por ello, y por la manera que se expande el mismo, la empresas afectadas decidieron cortar sus comunicación y desconectar sus equipos de la red, como única posible defensa ante un ataque de la magnitud que estamos tratando hasta que se parchearan los sistemas y se pudieran volver a conectar.

 

En el caso que nos ocupa, tener un antivirus actualizado en versión y en firmas no hubiera sido suficiente para evitar este ataque ya que las grandes marcas de antivirus no lo detectaban en ese momento (ahora gracias a la colaboración de la comunidad si es detectado).

 

Si se hubiera realizado un análisis de vulnerabilidades en los sistemas afectados, se hubiera detectado la falta del parche MS17-10 y siguiendo las recomendaciones del mismo se hubiera instalado el parche en los sistemas, aunque no se hubiera evitado el ataque principal se hubiera evitado la expansión del mismo. Desde Áudea recomendamos con urgencia instalar este parche de seguridad para evitar que pueda llegar a nuestros equipos por estar en una red con algún equipo infectado.

Las empresas se tienen que concienciar que la ciberseguridad no es un gasto sino una inversión y realizar esta tareas de forma periódica para así poder prevenir este tipo de fallos de seguridad y poder evitar en la medida de lo posible este tipo de ataques ya que los atacantes vuelven a ir un paso por delante, deberemos intentar tener la mejor defensa en nuestras organizaciones.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

tecnologia , , , ,

Uso de fotos de Facebook en los medios de comunicación

El pasado 15 de febrero se dictó una sentencia del Tribunal Supremo, en la que se revelan los criterios que debe tener presente un medio de comunicación en caso de publicar una noticia con fotografías tomadas de las redes sociales.

En el caso concreto, un periódico publicó en papel y en digital un reportaje sobre un suceso en el que el afectado (demandante) resultó herido con un arma de fuego por su hermano y tras ello, éste último se suicidó. El citado artículo, contenía datos que permitían identificar al demandante, entre ellos, una fotografía del mismo que había sido obtenida de su perfil de la red social Facebook.

Nos encontramos ante un caso de ponderación de derechos fundamentales, esto es, entre el derecho a la intimidad personal, familiar y propia imagen y por otro lado el derecho a la libertad de información.

La demanda interpuesta en Primera instancia fue estimada sustancialmente por la Audiencia Provincial declarándose:

– Vulneración del derecho a la intimidad personal y familiar. Ya que pesar de reconocerse la veracidad y relevancia pública de los hechos, el Tribunal entendió que la información publicada resultaba innecesaria en algunos puntos, lo que, a juicio del Tribunal suponía una intromisión en el derecho a la intimidad.

– Vulneración del derecho a la propia imagen por publicar la fotografía sin consentimiento expreso del afectado. No aportaba información de interés, es más, ayudaba a identificar al afectado.

Posteriormente, el periódico interpuso recurso de apelación contra la citada sentencia y la Audiencia Provincial lo desestimó confirmando los razonamientos e indemnización alegados en Primera Instancia. La demandada, frente a dicho recurso, interpuso recurso de casación.

En contestación al recurso, el Tribunal Supremo se pronunció concluyendo lo siguiente:

Primero: Con respecto al hecho de identificar al demandante en la información, no se produce una intromisión ilegítima (y por tanto no hay vulneración del derecho a la intimidad) dado que nos encontramos ante una noticia veraz, cierta y que forma parte del género de periodístico tradicional (o género de “sucesos”). Añade que además no se produce una “extralimitación morbosa” o se revelan aspectos íntimos que no guarden relación con lo el hecho. Por tanto, prevalece el derecho a la información ejercitado por el medio de comunicación.

Segundo: En cuanto a la publicación de la fotografía de la víctima, obtenida a través de su cuenta en una red social, el Tribunal considera que se produce una vulneración del derecho fundamental a la propia imagen, basándose en lo siguiente:

  1. El hecho de publicar la fotografía no supone una intromisión en el derecho a al intimidad del demandante, pero sí puedeconstituir una intromisión en el derecho a la propia imagen(como ocurre aquí). Dicho derecho, atribuye a su titular la facultad de evitar la captación, difusión o reproducción de su imagen que afecte a su esfera personal aunque no dé a conocer aspectos de su esfera íntima.
  2. La fotografíano se obtuvo en el lugar de los hechos, sino que el periódico la obtuvo de la cuenta de Facebook del demandante lo que no le da derecho al periódico a publicarla sin el consentimiento del mismo, como comentamos a continuación.
  3. Desde un punto de vista más cercano al de la protección de datos, el Tribunal apunta que una red socialno se considera una fuente accesible al públicoy por tanto de usarla, debemos solicitar el consentimiento expreso del usuario. Tener una foto accesible al público y acceder cualquier persona es lícito porque es público y consentido por el titular, pero ello no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular.
  4. No se trata de una persona notoria, lo que haría lícita dicha publicación con base en el artículo 8.1 de la Ley Orgánica 1/1982 de protección de datos de carácter personal.
  5. No podemos considerar que la fotografía con la imagen del demandante sea accesoriaya que aparece únicamente el demandante e identifica a la víctima dentro del hecho concreto.

Por todo ello, el Tribunal revocó el pronunciamiento de Primera Instancia que declaraba la existencia de intromisión ilegítima en el derecho a la intimidad personal y familiar amparándose en el derecho a la información – reduciéndose de esta manera a la mitad la indemnización fijada en instancia de 30.000 € a 15.000 € – y mantuvo, por otro lado, la declaración de intromisión ilegítima en el derecho a al propia imagen del demandante.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

legal , , , , ,

ES-CIBER apuesta por la gamificación de cara a la producción de nuevos contenidos formativos

El equipo de ES-CIBER está trabajando en la producción de nuevos contenidos formativos gamificados. La Gamificación es un término de origen anglosajón que el investigador y diseñador de experiencia de usuario Sebastian Deterding definió como “el uso de las mecánicas de juego en entornos ajenos al juego”. También se le denomina Juego Serio Y Eduentretenimiento y es un término que está en auge en el ámbito del e-learning debido a las múltiples ventajas que presenta. Y es que no consiste en “jugar por jugar”, sino en no perder de vista nuestro objetivo concreto y presentar un contenido tratado desde una perspectiva lúdica.

 

Por ello, los nuevos contenidos de ES-CIBER incluirán elementos de carácter lúdico y estarán planteados de forma no lineal, de manera que planteen un auténtico reto para los alumnos, evitando así cualquier peligro de aburrirse… el mayor temor para los profesionales del e-learning.

 

Por otro lado, es importante plantear juegos que no resulten demasiado complejos, ya que las tareas demasiado complicadas pueden crear frustración en el alumno, un elemento que debe quedar fuera de un curso online.

 

Por lo tanto, los nuevos contenidos pedagógicos que desde ES-CIBER se están desarrollando serán lúdicos, amenos y contarán con un sistema que para registrar las puntuaciones y proporcionar retroalimentación, todo ello sin perder de vista el objetivo concreto en cada uno de los casos.

 

¿Te animas a participar?

Equipo de Formación de ES-CIBER

https://www.es-ciber.com/

Áudea Seguridad de la Información

http://www.audea.com/es/

 

 

cursos , , , , , ,

Donald Trump contra el mundo

El nuevo presidente de los Estados Unidos no ha dejado indiferente a nadie. Aparte de muros, parece dispuesto a levantar ampollas en todas y cada una de las áreas de su competencia, que son muchas. Y la protección de datos personales no iba a ser menos.

Según leemos en esta noticia de El País, en el marco del control de la inmigración ilegal, Trump no quiere que los inmigrantes gocen de los derechos a la intimidad que garantizan sus propias leyes.
Y esto vuelve a desempolvar el conflicto latente que hay entre los 2 grandes bloques internacionales entorno al derecho a la intimidad y la protección de datos.

Antecedentes

Hagamos un poco de historia:

  • 24 de octubre de 1995: El Parlamento Europeo aprueba laDirectiva de Protección de Datos que declara ilegales las transferencias internacionales fuera de la UE a terceros que no garanticen un nivel adecuado de protección a criterio de las autoridades europeas (EE.UU. no cumple los requisitos para ser considerado como país “adecuado”).
  • 26 de julio de 2000: La Comisión Europea adopta una Decisión para considerar como destino “adecuado” aquellas empresas estadounidenses que voluntariamente se comprometan al cumplimiento de una serie de medidas y normas que reciben el nombre de“Puerto Seguro”.
  • 26 de octubre de 2001: En respuesta al 11-S, George W. Bush promulga la Ley Patriotacon una serie de medidas de emergencia para combatir el terrorismo que sólo tendrían vigencia hasta el 31 de diciembre de 2005.
  • 2 de marzo de 2006:Se renueva la Ley Patriota manteniendo gran parte de las medidas de emergencia consideradas como una limitación de las libertadas constitucionales.
  • 5 de junio de 2013:Edward Snowden, consultor de la NSA, revela al mundo a través de The Guardian y del Washington Post las actividades de espionaje del programa PRISM amparadas en la “Ley Patriota”.
  • 18 de junio de 2014:Max Schrems, abogado austriaco, activista por el derecho a la intimidad y piedra en el zapato para Facebook, motivado por las revelaciones de Snowden, consigue llevar a juicio una reclamación contra Facebook Irlanda por transferir los datos de los usuarios europeos a Facebook USA, cuando las revelaciones de Snowden habían dejado claro que ni siquiera las empresas adheridas a Puerto Seguro podían considerarse destinos adecuados. El Juzgado irlandés plantea una cuestión prejudicial al Tribunal de Justicia de la UE para que se pronunciase sobre la posibilidad de no reconocer como garantía adecuada para una transferencia internacional de datos la adhesión a Puerto Seguro.
  • 2 de junio de 2015:Se sustituye la Patriot Act por la Freedom Act que, entre otras medidas, limita la capacidad de espionaje de las agencias estadounidenses.
  • 6 de octubre de 2015:El TJUE analiza la cuestión prejudicial planteada por el Juzgado irlandés y critica duramente la falta de control sobre la privacidad en Estados Unidos (especialmente por la recopilación masiva e indiscriminada de información sobre los ciudadanos). Sin embargo, la sentencia decide anular la Decisión de Puerto Seguro por un motivo más formal que de fondo; en concreto, por un problema de jerarquía normativa (la Decisión limitaba las capacidades de actuación de las autoridades europeas reconocidas por la Directiva de Protección de Datos, que es una norma de rango superior).

Desde este momento quedan anuladas las transferencias internacionales de datos a empresas estadounidenses que estuviesen amparadas en su adhesión a Puerto Seguro, provocando una gran inseguridad e indefensión en gran parte de las empresas europeas que utilizan servicios ubicados en USA.

  • 27 de abril de 2016:Se publica el Reglamento Europeo de Protección de Datos, ampliando su alcance a cualquier empresa que trate datos personales de ciudadanos europeos (para ofrecer productos o servicios, o controlar el controlar el comportamiento), independientemente de en qué país estén ubicadas. Esto incluye a todos los gigantes de Internet pero, inexplicablemente, sigue considerando como transferencia internacional el flujo de datos desde la UE a estas empresas ahora obligadas al cumplimiento de la normativa europea.
  • 12 de julio de 2016:La Comisión Europea aprueba una nueva Decisión (“Privacy Shield”) para reemplazar la Decisión de Puerto Seguro. Las empresas estadounidenses que se adhieran este nuevo acuerdo serán consideradas como destinos seguros.

Las autoridades europeas de protección de datos ven con recelo el nuevo acuerdo por considerar que las garantías no son suficientes y advierten que estarán muy atentos a su desarrollo, que será revisado anualmente.

  • 8 de noviembre de 2016:El polémico magnate Donald Trump gana las elecciones presidenciales en Estados Unidos con 289 votos electorales, frente a los 218 de Hillary Clinton, convirtiéndose en presidente electo.
  • 25 de enero de 2017:La Administración Trump publica una orden ejecutiva, cuya Sección 14, establece que las “agencias deberán, en la medida compatible con la legislación aplicable, garantizar que sus políticas de privacidad excluyen a las personas que no sean ciudadanas de Estados Unidos o residentes permanentes legales”.
  • 28 de marzo de 2017:Trump revoca una ley del expresidente Obama que obligaba a los proveedores de servicios de internet a tener el consentimiento de sus usuarios antes de compartir o vender su información con terceros.
¿Y ahora qué?

Y así llegamos al presente, con un montón de incertidumbres…

¿Cuál será la próxima sorpresa que nos traerá el Presidente Trump?

¿Cómo reaccionará la UE en materia de privacidad?

¿Se romperá el Privacy Shield antes de lo esperado? Y, en tal caso, ¿tendremos que volver a traernos los datos a Europa de forma urgente como pasó a finales de 2015 – principios de 2016?

¿Cómo se gestionará la aplicación extraterritorial del RGPD a las empresas estadounidenses?

¿Cuándo y cómo estallará el conflicto entre dos grandes bloques que recorren el camino de la privacidad en sentidos opuestos?

Calienten sus palomitas, enfríen su refresco y cojan un buen sitio, porque van a ser 4 años muy largos.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

política , , , , ,