PROTECCIÓN DE DATOS
Las empresas españolas preocupadas por cumplir con el GDPR a tiempo.
Los usuarios tendrán que dar un consentimiento claro para el tratamiento de sus datos.
La rápida evolución tecnológica no deja de plantear desafíos. En el ámbito de la Protección de Datos de Carácter Personal, usuarios y empresas se enfrentan a la implantación de un nuevo modelo de privacidad, que viene impuesto por la Unión Europea: el Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés). Por este motivo, la empresa de seguridad de la información Secure&IT ha dedicado su III Jornada de Ciberseguridad, Seamos prácticos: medidas organizativas y técnicas de adecuación a RGPD, a analizar esta normativa.
En el acto, que ha sido inaugurado por Silvia Barrera, inspectora jefa de la Sección Técnica de la Policía Nacional, se han examinado los cambios con respecto a la normativa anterior, las responsabilidades legales de las empresas ante el nuevo Reglamento, así como los procedimientos y las tecnologías necesarias para la adecuación al RGPD.
Según Silvia Barrera “La protección de los datos personales no solo debe importar a las empresas por las sanciones que pueda imponerles la Agencia Española de Protección de Datos. Si sufren incidentes relacionados con esta materia, los daños a la reputación pueden ser incalculables. Además, es necesario que trabajen en la seguridad de los usuarios y de los propios trabajadores”.
Según la UE, el Reglamento ha sido adaptado al entorno digital y trata de que los ciudadanos recuperen el control de sus datos (sustituye a la Directiva del año 1995, cuando el uso de Internet no estaba tan extendido). Pero, algunos informes revelan que casi el 60% de las empresas españolas no cuentan con un plan para afrontar esta nueva normativa, que ya ha entrado en vigor y que será de obligado cumplimiento en mayo de 2018.
Durante su intervención, Francisco Valencia, director general de Secure&IT, ha recomendado a las empresas ponerse ya a trabajar en la adecuación a la norma, puesto que en mayo del año que viene tienen que cumplir con el RGPD. “Uno de los principales retos reside en que el nuevo Reglamento de Protección de Datos te dice qué obligaciones tienes que cumplir, pero no cómo hacerlo. Al contrario que la actual Ley Orgánica de Protección de Datos, que sí menciona las medidas de seguridad a implantar”.
Las sanciones aumentan
Con el nuevo Reglamento, las sanciones contra las empresas que incumplan la normativa aumentan. Sonia Martín, directora de Servicios Profesionales de Secure&IT, ha explicado que en caso de sufrir, por ejemplo, una fuga de datos, se prevén multas que pueden alcanzar los 20 millones de euros o un 4% del volumen de negocio (la cuantía que sea mayor de entre las dos opciones). A esto se suma que las empresas deberán notificar a las autoridades pertinentes las brechas de seguridad, en un plazo máximo de 72 horas, con el consiguiente daño que puede suponer a su reputación.
Entre los aspectos que más preocupan a las compañías se encuentran las evaluaciones de impacto, que tendrán que realizar las empresas cuando traten datos sensibles. Según Luis Cisneros, compliance consultant de Secure&IT: “Este es un análisis de riesgos que deben hacer las compañías y que recoge los daños que pueden afectar a la privacidad de los titulares de los datos. De nuevo, el problema es que el Reglamento nos dice que hay que llevarlo a cabo, pero no nos cuenta cómo hacerlo”.
Según Cisneros, otro de los desafíos que plantea el RGPD es la revisión de los consentimientos. La aprobación de los usuarios para el tratamiento de datos ya no puede ser tácita, el consentimiento tiene que ser explícito y claro. Esto significa que ya no servirá que se pongan casillas ya marcadas, o se basen en el silencio o la inacción.
No solo eso, el nuevo Reglamento introduce el “derecho al olvido”, esto significa que cualquier persona podrá exigir que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quienes posean esos datos no tengan razones justificadas para retenerlos.
José Luis Piñar, catedrático de Derecho Administrativo, abogado y exdirector de la Agencia Española de Protección de Datos, ha sido el encargado de clausurar la jornada y ha explicado que estamos ante un nuevo modelo, muy anglosajón, que no se centra tanto en el cumplimiento de las normas, como en dejar en manos del responsable la adopción de las medidas oportunas para cumplir con el Reglamento. La parte positiva, según él, es que no es tan rígido porque se puede adaptar la norma a la empresa y viceversa, pero el problema es que genera más incertidumbre.....LEER NOTICIA COMPLETA.
Google aplica nuevas medidas de seguridad en Gmail para proteger los datos de las empresas
Los ataques a los datos de las empresas en Internet son cada vez más dañinos, tal y como demostró Wannacry hace poco menos de un mes comprometiendo la seguridad online de compañías como Telefónica. Los correos electrónicos fueron el canal principal por el que se difundió el 'ransomware', y por ello, Google ha añadido nuevas medidas de ciberseguridad a su servicio Gmail especialmente pensadas para las empresas.
Entre las nuevas herramientas destacan los modelos de aprendizaje automático de Gmail para bloquear el 'phishing'. Según un comunicado de Google, esta función evita, con una precisión de 99,9%, que aparezcan correos con 'phishing' o 'spam' en la bandeja de entrada.
La detección temprana retrasa la llegada de mensajes sospechosos a la bandeja --se retienen un 0,05% del total de mensajes según datos de Google-- para realizar análisis de 'phishing'.
Para complementar a esta función también se ha creado la herramienta Google Safe Browsing, cuyo objetivo es encontrar e identificar URL sospechosas que lleguen insertadas en los correos. Según explica Google, los análisis de reputación y similitud de los enlaces hacen que Gmail advierta al usuario cuando hace clic en un link sospechoso.
Google también ha añadido medidas en Gmail con el objetivo de proteger los datos internos de las compañías. Específicamente, la nueva función advierte al usuario sobre las respuestas externas involuntarias. Es decir, si un trabajador va a enviar un correo desde su cuenta laboral a una persona externa a la empresa, Gmail avisará si de verdad desea enviar ese mensaje.
Esta herramienta también incorpora inteligencia contextual, cuyo objetivo será reconocer si la conversación con el contacto es puntual o se interactúa con él de forma habitual. De esta forma, Gmail evita mostrar advertencias innecesarias al usuario....LEER NOTICIA COMPLETA
Los partidos políticos lanzan sus ideas para proteger los derechos digitales.
Los diferentes partidos políticos que configuran el Parlamento español insisten en la necesidad de llegar a consensos para legislar en materias tan sensibles como el derecho al honor en la Red, el mercado único digital o el ciberbullying.
Los derechos digitales de los ciudadanos ocupan un espacio importante en la agenda de los grupos parlamentarios, que subrayan la necesidad de llegar a diferentes consensos para lanzar iniciativas legislativas conjuntas en materia de seguridad en Internet. Así ha quedado claro en el conversatorio Derechos digitales de los ciudadanos, organizado por el Ministerio de Energía, Turismo y Agenda Digital.
Relanzar el mercado único digital, que se ha quedado en segundo plano en la agenda europea, es una de las propuestas centrales del grupo parlamentario popular según su secretario de nuevas tecnologías, Víctor Calvo-Sotelo, que fue secretario de Estado de Telecomunicaciones. "Los derechos digitales traspasan fronteras, por lo que las medidas clave han de ser tomadas a nivel continental, para que tengan la fuerza suficiente para aguantar la tensión actual que hay con otros países", que, a su juicio, tienen una idea más relajada en cuanto a la protección de los ciudadanos en Internet.
Por su parte, Artemi Rallo, diputado del grupo parlamentario socialista y exdirector de la Agencia Española de Protección de Datos, hizo hincapié en la lentitud del Gobierno en adaptar la legislación española al nuevo reglamento europeo de protección de datos, que entrará en vigor en mayo de 2018. También ha solicitado incluir en la agenda de reformas "un catálogo de derechos constitucionales para el mundo digital con una actualización del artículo 18.4 de la Constitución".
Susana Solís, diputada en la Asamblea de Madrid por Ciudadanos y portavoz de la Agenda Digital, exigió que "España se ponga a la cabeza en la revolución digital para no perder oportunidades de negocio"....LEER NOTICIA COMPLETA.
EFECTOS DE UN CAMBIO LEGISLATIVO
RGPD:La protección de datos pondrá contra las cuerdas a las empresas españolas
El nuevo reglamento GDPR de la UE amenaza con multas del 4% de la facturación a partir de junio del 2018 si no se aplica la normativa Las organizaciones deben ser capaces de identificar todas y cada una de las acciones de los usuarios en caso de problemas en su red
Pocas veces un cambio normativo de naturaleza técnica causó tanto desasosiego con fundamento entre las empresas españolas. Quizá el tan llamado efecto 2000 pudo atraer la atención de la opinión pública, pero sus escasas consecuencias ya fueron previstas entre los profesionales. La puesta en marcha (sí o sí) del nuevo reglamento general de protección de datos (GDPR, por sus siglas en inglés, o RGPD) en solo un año ha obligado o obligará a cualquier empresa a establecer nuevos sistemas de gestión de sus infraestructuras informáticas para garantizar los derechos y la identidad de los usuarios y sus acciones en la red. De sufrir una fuga de datos, las sanciones previstas son las equivalentes al 4% de la facturación de las compañías negligentes, hasta 20 millones de euros (la de mayor cuantía de entre ambos baremos). Cualquier robo de información debe notificarse a la agencia de protección de datos en un máximo de 72 horas.
Solo el 32% de las empresas españolas dispone actualmente de un plan específico para afrontar de manera global el nuevo reglamento elaborado por la Unión Europea, seis puntos por debajo de la media mundial, según recoge un informe de Compuware. El estudio refleja que, a pesar de los avances conseguidos en el último año, la mayoría de las compañías europeas y estadounidenses todavía no están preparadas para cumplir la nueva ley de protección de datos europea, que entrará en vigor en mayo del 2018. Queda todavía un año, pero las modificaciones e inversiones a realizar son relevantes. Las auditorías y las contrataciones de responsables derivadas de la aplicación de la ley ya están en marcha y abren incertidumbres.
La aplicación de la ley exige a las empresas que sean capaces de determinar los usos que sus empleados o sus clientes hacen de la red informática y de telecomunicaciones, las páginas a las que acceden, que archivos descargan... Lo mismo para las instituciones públicas que ofrecen servicios de wifi, universidades, establecimientos hoteleros o de restauración, por ejemplo. Ese control pasará en la mayoría de los casos por la identificación sin dudas del usuario mediante sistemas de doble autentificación, al estilo de los empleados en banca a distancia (confirmación de claves a través de móviles, por ejemplo), para evitar el uso de claves compartidas.
NUEVOS PROFESIONALES
Una de las novedades del marco legal del GDPR es la necesaria creación de la figura del profesional DPO (Data Protection Officer), que tiene que ser incorporada en algunas empresas, sobre todo aquellas de mayor tamaño o aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial. También en la Administración Pública o cualquier institución (por ejemplo las universidades). Sus funciones no pueden recaer en el director de seguridad. En la práctica, el nuevo marco legal supone nuevas cotas de responsabilidad de las organizaciones ante la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros. Es lo que en el sector denominan principio de responsabilidad ('accountability'), una responsabilidad proactiva por la que las organizaciones deben ser capaces de demostrar que tratan los datos personales de acuerdo con la ley....LEER NOTICIA COMPLETA.
El CCN-CERT gestionó 20.940 ciberincidentes en el sector público y empresas estratégicas en 2016
El Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), ha presentado su Informe de Actividad 2015-2016 en el que hace balance de dos años de intenso trabajo. Su Capacidad de Respuesta a ciberincidentes, CCN-CERT, gestionó en el año 2016 un total de 20.940 ciberincidentes detectados en el sector público y en empresas de interés estratégico. Esta cifra representa un incremento del 14,5% con respecto al año 2015 en el que se gestionaron 18.232 incidentes.
De ellos, el 3,6% fueron considerados como “muy alto” o “crítico”, en función del grado de peligrosidad (tipo de amenaza, origen, perfil de usuario afectado, número o tipología de los sistemas afectados, impacto, etc.). Este tipo de ataques (“críticos”, “muy alto” y “altos”) son, tal y como señala el Esquema Nacional de Seguridad en su artículo 36, de obligada notificación al CCN por parte de todo el sector público (véase Guía CCN-STIC 817 de Gestión de Ciberincidentes y Guía CCN-STIC 830 del Ámbito de aplicación del ENS).
Durante este período la ciberseguridad se ha situado entre las principales preocupaciones de los gobiernos e instituciones de todo el mundo y las más principales amenazas detalladas en el documento han crecido a un ritmo vertiginoso. “Un ritmo que exige un trabajo continuo de renovación, investigación y adaptación constante”, tal y como señala en el prólogo del informe, el secretario de Estado director del CNI y director del CCN, Félix Sanz Roldán.
En esta tarea de conformación de un sistema de protección nacional, prosigue Sanz, “no nos hemos encontrado solos; contamos con el respaldo normativo, tanto nacional como internacional, y con la colaboración creciente de organismos y entidades públicas, el trabajo de todo nuestro personal, la ayuda de las empresas proveedoras y la cooperación con nuestros colegas y aliados de otros países”.
El informe recoge las principales acciones llevadas a cabo en los dos últimos años en el campo de la seguridad del ciberespacio y la protección de la información sensible, tanto del sector público español como de las empresas de interés estratégico para el país y de los sistemas que manejan información clasificada. Unas líneas de actuación, que según remarca el secretario de Estado director del CNI, concuerda con “la misión que el Gobierno nos tiene asignada, que no tiene límite en el tiempo y que necesita de mayor dedicación de personas y recursos. A ella nos seguiremos entregando, día a día, con el único objetivo de mantener seguro nuestro ciberespacio y proteger la información sensible de nuestro país”.
Principales servicios
El informe recoge toda la labor del CCN durante los años 2015 y 2016 en el campo de la formación y sensibilización (6.130 funcionarios y empleados públicos formados presencialmente y más de 20.200 alumnos en cursos online); el desarrollo, certificación y fomento de tecnologías seguras; la elaboración de un conjunto de normas, procedimientos y directrices técnicas (273 Guías CCN-STIC) y en su capacidad de prevención, detección, respuesta y recuperación, materializada en el CCN-CERT.
Una capacidad que gestionó en solo dos años un total de 39.172 ciberincidentes en organizaciones del sector público y de empresas de interés estratégico, de los que 1.050 fueron catalogados con un índice de peligrosidad “crítico” o “muy alto”. Y lo hizo gracias a la mejora en los mecanismos de coordinación y los sistemas de alertas de amenazas, vulnerabilidades y agresiones o ataques....LEER NOTICIA COMPLETA.