Las ciberamenazas más peligrosas según la Europol (fuente: www.ticbeat.com Alberto Iglesias Fraga)

/en , , , , /por

FUENTE: www.ticbeat.com
ESCRITO POR ALBERTO IGLESIAS FRAGA

 

Cada mes se producen 3.200 millones de intentos de sesión fraudulentos en Internet. Y cada día se mandan 6.400 millones de emails fraudulentos, la mayoría de phishing. Pese a semejantes premisas, muchas empresas siguen obviando las estrategias debidas para protegerse de las crecientes ciberamenazas. Tarea que, por otro lado, no es nada sencilla.

No en vano, la superficie de ataque se ha multiplicado exponencialmente en los últimos años (al incorporar a la ecuación los entornos cloud o los dispositivos conectados) mientras que las amenazas son cada vez más complejas. Y, para conocer qué es lo que nos depara 2019 en este segmento, en TICbeat han consultado a más de una treintena de empresas, universidades y expertos sobre este tema…

 

Las 15 ciberamenazas más preocupantes, según la Europol

 

Josep Albors, Responsable del Laboratorio de ESET España

Conforme sigamos conectando dispositivos inseguros a Internet, estos seguirán siendo comprometidos por los atacantes. En 2019 no esperamos ningún cambio significativo relacionado con la mejora en la seguridad del Internet de las cosas y eso son malas noticias para todos excepto para los delincuentes, que seguirán usándolos a su antojo para todo tipo de acciones maliciosas como el cryptojacking, los ataques DDoS y otros.

 

Carlos Vieira, Country manager de WatchGuard para España y Portugal
En 2019 la seguridad seguirá siendo una prioridad en el sector de las TIC. La creciente adopción de la tecnología móvil y el cloud está cambiando la forma de ofrecer seguridad y se impondrá la tendencia de suministrar tecnologías seguridad de red, Wi-Fi seguro, autenticación MFA e inteligencia de red fáciles de implementar y gestionar. Por otro lado, las soluciones se harán más accesibles para todas las empresas, especialmente para pymes y empresas distribuidas que, por lo general, tienen recursos más limitados, pero que se exponen a las mismas ciberamenazas que las grandes corporaciones. Al mismo tiempo, los ciberdelincuentes son cada vez más sofisticados y selectivos, lo que requiere que las empresas desplieguen una defensa en capas que incluya protecciones para las redes, las identidades individuales de los empleados y su espacio inalámbrico. Las contraseñas por sí solas seguirán siendo un eslabón débil en la seguridad.

Entre las numerosas brechas de datos que implican nombres de usuario y contraseña, y los malos hábitos de contraseña de los usuarios finales, es vital que las empresas implementen la autenticación multifactor. El phishing es otra amenaza importante que acecha a los usuarios finales, en particular, los correos electrónicos de phishing que se dirigen directamente a las víctimas con mensajes personalizados y creíbles. Es lo que conocemos como spear phishing, modalidad que crecerá. Por último, nuestras investigaciones no llevan a predecir que emergerán los “vaporworms” o gusanos de malware sin archivo; los atacantes mantendrán Internet como rehén; habrá una escalada de ciberataques a nivel estatal que obligará a la firma de un Tratado de Ciberseguridad de la ONU; los chatbots conducidos por Inteligencia Artificial (IA) se volverán fraudulentos; se producirá un gran ataque biométrico que será el principio del fin de la autenticación de un solo factor; veremos cómo un Estado-nación llevará los ataques “Fire Sale” de la ficción a la realidad; los hackers provocarán apagones en el mundo real; mientras que el ransomware dirigido se centrará en los servicios públicos y los sistemas de control industrial. Igualmente pronosticamos que se producirá un hackeo de una red Wi-Fi WPA3 utilizando una de las seis categorías de amenazas Wi-Fi.

 

Ferran Serrano, director de Marketing y Comunicación de T-Systems Iberia
La inversión TIC se centrará, en gran medida, en la creación y ejecución de planes de ciberseguridad que ayude a las empresas y organizaciones a cumplir con plenas garantías y de forma transparente con la nueva GDPR. Y es que hacer las cosas bien permitirá no tener que exponerse a posibles multas derivadas del incumplimiento de la normativa, que pueden llegar ser de hasta 20 millones de euros o del 4% de los ingresos de la compañía, y a la previsible pérdida de confianza por parte de los clientes o usuarios de las empresas y organizaciones. En este sentido el ‘blockchain’ está llamado a ser un driver de esa securización de entornos, transacciones y procesos tan necesaria para la correcta implementación del modelo digital en los diferentes sectores.

 

Jose Luis Muñoz de Morales Silva, Responsable Global de Ciberseguridad de Altia
En 2019, si eres responsable de una empresa y te preguntas, ¿Por qué a mí? ¿Por qué van a atacar los sistemas de información de mi empresa? La respuesta es que los ciberdelincuentes no van a seleccionar tu empresa por volumen de negocio, activos o información confidencial, sino porque realizan un ataque automatizado en masa contra “todas” las empresas que tenga cierta versión de Windows o Linux. Y te preguntarás, ¿dónde está el peligro y la relación con el reglamento Europeo de Protección de Datos? Desde el pasado 25 de mayo de 2018, la entrada en vigor del Reglamento impone a las empresas la obligatoriedad de notificación de las violaciones de seguridad en un plazo máximo de 72 horas, desde que se tiene conocimiento de la brecha, fruto por ejemplo de un ataque masivo; y la no comunicación y los efectos del ataque pueden acarrear a la empresa multas administrativas de elevada cuantía. Por tanto, hay que tener en cuenta que los ciberdelincuentes lanzarán ataques masivos sobre ordenadores con vulnerabilidades para secuestrar las bases de datos, cifrando la información.

Conseguido esto, se pondrán en contacto con la empresa para pedir un rescate que, según dice la experiencia, será la mitad de lo impuesto por el Reglamento, entre 5 millones de euros y el 1 % del volumen anual de negocio. En una extorsión, donde el ciberdelincuente se aprovecha de los límites explícitos indicado por el Reglamento. En 2019 se esperan ataques de ransomware para pedir un rescate con el chantaje de evitar la notificación del incidente, y consecuentemente la multa y la pérdida de imagen. Por tanto, si eres responsable de una empresa, tendrás que tener en cuenta que los ciberdelincuentes están ahí y deberás tomar medidas.

 

Isabel Granda Alonso, directora de Marketing, Talent & Communication en Atos Iberia
Para el año 2022, los dispositivos portátiles y móviles en combinación con dispositivos avanzados de IoT estarán fácilmente incorporados en múltiples contextos del individuo, trabajo, hogar, movilidad, salud, un ejemplo de éste último serán los implantes en el cuerpo humano, donde realizarán un seguimiento de numerosos aspectos del comportamiento y bienestar de un individuo. En un futuro previsible, los profesionales de la seguridad deberán tratar no sólo con la seguridad de los sistemas cibernéticos, sino también, con la protección de los sistemas cibernéticos biológicos más críticos.

Las soluciones de ciberseguridad se convertirán en sistemas de autoaprendizaje que utilizarán tecnologías de inteligencia artificial, la extracción de datos y el reconocimiento de patrones para predecir a los atacantes e imitar el funcionamiento de los analistas de seguridad. Esto ayudará a resolver problemas complejos, como la explotación de credenciales válidas robadas por piratas informáticos. Además, un modelo de colaboración (incluida la necesidad de compartir datos contextuales) será obligatorio en un entorno de información de contexto que se extiende más allá de los silos tradicionales. El establecimiento de la confianza es un requisito crítico para fomentar la colaboración, aquí es donde las tecnologías como blockchain y otras tecnologías de contabilidad distribuida podrían ayudar. Sin embargo, todavía existe la necesidad de abordar los desafíos sociales (adopción cultural), regulatorios (regulaciones inciertas y no armonizadas) y técnicos (blockchains autorizados y encriptación fuerte).

 

Lluís Altés Director General en Digital Enterprise Show (DES)
El concepto de ciberseguridad está mudando hacia un concepto más orientado a la seguridad digital en su conjunto, a la confianza digital. Los ciberataques de la 5ª generación se están aprovechando de que las organizaciones confían en sistemas de seguridad de generaciones antiguas, sin tener en cuenta que la sofisticación y la escala de los actuales ataques, ni el hecho de que gracias a la creciente conectividad existente en el mundo cada vez hay más dispositivos que atacar, de los que hackear datos, imágenes, videos…

 

Isaac Hernández, Country Manager de Google España y Portugal
Una de las primeras preocupaciones que suelen tener las empresas que se plantean la posibilidad de contratar un servicio cloud tiene que ver con la seguridad y es algo que para nosotros es fundamental. Ahora mismo, por ejemplo, contamos con 750 expertos que únicamente realizan seguridad preventiva. Estar en la nube es mucho más seguro de lo que la mayoría de la gente piensa. Por ejemplo, el 71% de las brechas de seguridad suelen pasar inadvertidas si no se cuenta con los sistema de seguridad y detección adecuados.

Como dato, en 2016, sólo en EEUU las actividades maliciosas en internet tuvieron un impacto de 50.000 millones de dólares para las empresas, algo que se podría haber evitado al tener toda la información alojado en la nube. El 91% de los ciberataques comienzan con un email de phising, por lo que nos centramos en filtrar lo máximo posible el correo electrónico, llegando a detectar cada minuto hasta 10 millones de mails maliciosos y de spam. Estos datos junto a los 2.000 millones de dólares que invertimos anualmente solo en seguridad refuerzan nuestro compromiso por la ciberseguridad, el cual se mantendrá en 2019.

 

Antonio Budia, Director de Operaciones y Marketing de Microsoft Ibérica
Hay que tener claro que siempre debemos presumir que otro ciberataque está a punto de suceder. Por tanto, no podemos protegernos de las amenazas actuales con herramientas y tácticas del pasado, la única manera de protegerse contra estas armas invisibles es a través de tecnologías, prácticas y políticas inteligentes y bien integradas. Afortunadamente, la nube ahora proporciona una plataforma poderosa para montar una defensa más inteligente y coordinada y contamos cada vez con más herramientas para defendernos de los ciberataques, como la Inteligencia Artificial o aquellas basadas en el aprendizaje automático.

 

José Rodríguez, Global Data Protection Officer en Cornerstone OnDemand
En plena era de la transformación digital donde las empresas están recurriendo cada vez más a la automatización y digitalización de los procesos, la ciberseguridad cobra una importancia vital para el buen funcionamiento de las compañías. La automatización y la digitalización, y en particular la inteligencia artificial, se basan cada vez más en los datos. A medida que se desarrollen más aplicaciones basadas en los datos, el valor de los datos aumentará, y en consecuencia, la necesidad de protegerlos. Al mismo tiempo, la complejidad de los sistemas informáticos (y de los ciberataques) seguirá aumentando, y será más costoso, y más complejo técnicamente, protegerlos. Podríamos decir que, de la misma manera que no cualquiera organización puede ser un banco y gestionar depósitos de dinero, ciertas organizaciones podrían no disponer de la seguridad suficiente para gestionar depósitos de “datos”.

 

Una de cada seis empresas no está preparada para un ciberataque

Por otro lado, cada vez habrá más ataques dirigidos a obtener datos a través de una persona intermedia (phishing de empleados por ejemplo), y no a partir de un hacking del sistema, por lo que la formación y la frecuencia de la formación a los usuarios aumentará, habrá que formar a todos los usuarios (por ejemplo todos los empleados), y en ciertos casos varias veces al año. Pero la seguridad al 100% no existe y todos los ataques no podrán ser evitados. No sólo habrá que estar siempre alerta para evitar un ataque, pero también para reaccionar rápidamente y minimizar el impacto, bien a través de copias de seguridad (para evitar los riesgos de ramsomware), bien minimizando los datos y repartiéndolos en varios sistemas (para minimizar las consecuencias en caso de fuga), y por supuesto comunicando rápidamente para que las personas puedan protegerse (cancelar tarjetas bancarias, cambiar contraseñas, cerrar cuentas de correo electrónico o cambiar de pasaporte). En consecuencia, la colaboración entre los profesionales de la seguridad, de la protección de datos personales y las autoridades, será cada vez más necesaria.

 

José Manuel Barrutia, Director de Estrategia en Ibermática
Se prevé que el gasto en hardware, software y servicios relacionados con la ciberseguridad se acelere en los próximos años. La seguridad de red es donde más se invierte actualmente, seguida el software de seguridad del endpoint. Las categorías que más rápido crecerán son las relacionadas con la evaluación de vulnerabilidades en dispositivos y software, servicios de seguridad gestionada, análisis de comportamiento de usuarios y hardware de UTM. A medida que IoT incorpore un número cada vez más elevado de dispositivos conectados en red, se plantea la necesidad de una gestión integral de la seguridad, tanto de IT como de OT (tecnologías operacionales). La integridad de datos es crucial para mantener la confianza de los clientes. La importancia de los datos de la maquinaria, su naturaleza sensible en términos de competencia y por tanto de seguridad, se incrementará debido a las nuevas conexiones M2M y a los sensores en productos y equipos.

 

Moisés Camarero, Director General del Grupo Compusof
Muchos clientes están reforzando su control de acceso a red, en parte porque parte de la fuerza laboral trabaja en movilidad, es decir, desde fuera de la red, y no como era tradicional, desde dentro de la red propia de la organización. Los sistemas NAC están cobrando importancia como primera línea de defensa y además permite gestionar el acceso a contenidos.

 

Rodrigo Chávez Rivas, responsable de soluciones de seguridad de Unisys España
La seguridad cloud seguirá creciendo en demanda y los clientes seguirán buscando que las amenazas en 2019 se controlen de la forma más efectiva. A la vez, necesitarán que dicha seguridad se gestione con agilidad y facilidad, especialmente en entornos híbridos. Esto no es una tarea trivial y requiere de la experiencia y soluciones adecuadas para conseguir una seguridad adaptativa.

 

Jose Luis Laguna, Systems Engineer Manager de Fortinet
Ciberataques más inteligentes y sofisticados, con más inversión económica por parte de los ciberdelincuentes, utilizando aprendizaje automático y automatización, para realizar actividades tediosas y que requieren mucho tiempo e intervención humana. Esto les ayudará a localizar con más facilidad vulnerabilidades de día cero y el desarrollo y abaratamiento de exploits, lo que llevará a un aumento de ataques dirigidos a las organizaciones. Los avances en ataques sofisticados están haciendo realidad las redes de bots basadas en enjambres conocidas como hivenets. Estas redes de enjambres elevarán el listón de las tecnologías necesarias para proteger las organizaciones.

En cuanto a las defensas, estas se sofisticarán implementando tácticas de fraude avanzadas que introducen variaciones de red basadas en información falsa, lo que obligará a los atacantes a validar continuamente su información sobre amenazas, gastar tiempo y recursos para detectar falsos positivos y garantizar que los recursos de red que pueden ver son realmente legítimos. Una de las maneras más fáciles para que un cibercriminal maximice la inversión en un ataque existente y posiblemente evada su detección es simplemente hacer un cambio menor, incluso algo tan básico como cambiar una dirección IP. Una forma eficaz de mantenerse al día con estos cambios es compartir activamente la información sobre amenazas. Los esfuerzos de colaboración abierta entre organizaciones de investigación de amenazas, alianzas industriales, fabricantes de seguridad y organismos encargados de hacer cumplir la ley acortarán significativamente el tiempo para detectar nuevas amenazas al exponer las tácticas utilizadas por los atacantes.

Para hacer frente a la creciente sofisticación de las amenazas, las organizaciones deben integrar todos los elementos de seguridad en una arquitectura de seguridad para encontrar y responder a gran velocidad y escala. La inteligencia avanzada de amenazas correlacionada y compartida entre todos los elementos de seguridad debe automatizarse para reducir tiempos de detección y proporcionar una solución rápida.

 

Pilar García Garzón, Directora General de Orbit Consulting Group
La ciberseguridad es hoy en día una estrategia ligada a cualquier proyecto TI que se aborde, no una acción aparte. Con el RGPD, la prevención de ciberataques ha calado más fuerte en las empresas. Es importante concienciarles de que ciberseguridad no es solo implantar antivirus y firewall aunque sean productos vanguardistas basados en Machine Learning. Ciberseguridad es también revisar las vulnerabilidades de los sistemas continuamente, aplicar los correspondientes parches, implantar una gestión de accesos e identidades fuerte (sobre todo con el uso intensivo que se hace actualmente de los dispositivos móviles), formar a los usuarios o contar con soluciones de continuidad de negocio de backup y disaster recovery eficaces. La ciberseguridad o es integral, o no existe.

 

José Antonio Rubio, Director del Programa Superior en Ciberseguridad y Compliance en ICEMD
Será interesante ver a lo largo de 2019 cómo entran en funcionamiento los mecanismos de sanciones establecidos en el reglamento europeo de protección de datos y, por ende, en la nueva LOPD española. Las exigencias que el regulador traslada a las organizaciones son mucho más sofisticadas que las presentes en la anterior normativa, y está claro que seguiremos viendo brechas de datos de forma constante, por lo que será importante analizar la severidad que las agencias de protección de datos adoptarán. Además, esta normativa también lleva aparejada la obligación de notificar las brechas de datos que se sufran, donde nuevamente será muy interesante ver cómo proceden las organizaciones para cumplir con dicho requisito. ¿Harán las notificaciones en tiempo, el regulador tendrá que tirar de las orejas a alguna empresa que no lo haga, alguna organización tendrá que llegar a declarar alguna brecha como total en algún medio de comunicación público? Son muchos interrogantes que en los próximos meses se irán desvelando.

También en 2019 veremos un incremento de las amenazas en el entorno del Internet de las Cosas. Los atacantes sofisticados seguirán volcando sus esfuerzos en encontrar vulnerabilidades en estos sistemas, pudiendo afectar a múltiples dispositivos. Desde cerraduras inteligentes, dispositivos médicos o sensores en entornos industriales. Dichos dispositivos podrán sufrir ataques de denegación de servicio o actualizaciones no autorizadas, y todo ello con el agravante que conlleva la complejidad de parchear estos sistemas. Por tanto, veremos cómo infinidad de dispositivos se ven desamparados en términos de seguridad, sin que los responsables hagan algo por actualizarlos para evitar su explotación.

 

Susana Juan, Responsable de Desarrollo de Negocio y Partners Cloud de Arsys
La nueva realidad del mundo cloud no hace más que subrayar la importancia de la seguridad y la necesidad del diálogo constante entre proveedor y cliente como la mejor garantía de que las organizaciones gestionen sus activos digitales con los niveles de servicio y seguridad que requieren. Por ello, los sistemas de backup y los DRP (Disaster Recovery Plans) basados en la nube se han convertido ya en un asunto prioritario para empresas de cualquier tipo y tamaño. Ya no se trata únicamente de la replicación de datos o de la posibilidad de elegir dónde almacenarlos. Ahora, las capacidades se han ampliado y permiten establecer escenarios de DRP completos en los que se orquestan entornos físicos o virtuales en la nube. Al igual que el cloud facilita la gestión de las empresas, un entorno híbrido ofrece toda una serie de ventajas para la gestión de la seguridad y los DRP. Se trata del concepto DRaaS (Disaster Recovery as a Service).

 

Stella Luna de María, CEO en Pentaquark Consulting
Por un lado, la llegada definitiva de la inteligencia artificial a la ciberseguridad. Se buscará detectar patrones de comportamiento potencialmente maliciosos mediante algoritmos de Machine Learning. Habrá un mix interesante entre data scientists y analistas de ciberseguridad, para crear el nuevo paradigma de funcionamiento en el sector. La segunda gran tendencia es el crecimiento de las medidas de autentificación por marcadores biométricos individualizados, como lectura de retina, huellas digitales y similar. Por último, las empresas del sector se han lanzado a ofrecer servicios de cumplimiento de GDPR ligados a l protección de ciberseguridad, con soluciones especialmente diseñadas a tal efecto.

 

Rebecca Crowe, managing director en Sigfox España
A principios de los años 90, la única ciberamenaza que temíamos era recibir un correo electrónico malicioso, pero cada vez hay más objetos conectados a internet y, por tanto, la superficie de exposición a ciberataques es más extensa que nunca. Pero no tenemos por qué ser más vulnerables: la clave está en saber que la ciberseguridad absoluta no existe, hacer un uso crítico del IoT y adquirir hábitos de uso responsables. Poco a poco esta idea irá calando y veremos cómo las empresas y la sociedad hacen más énfasis en la cultura de la ciberseguridad, adquiriendo hábitos responsables como usuarios. Por supuesto, a este cambio cultural le acompañará el refinamiento de la tecnología y la adopción de soluciones fiables, reconocidas y de arquitectura robusta. De esta manera, podremos abordar la protección de datos mediante técnicas avanzadas como protocolos de autentificación, almacenamiento criptográfico de datos, anti-jamming, y el uso de credenciales en dispositivos, para protegernos contra ataques DDoS o la clonación masiva de dispositivos, entre otros.

 

José Manuel de la Puente, Gerente de Seguridad de VASS
En el ámbito de ciberseguridad, las empresas seguirán invirtiendo y mejorando sus actuales sistemas de vigilancia e incorporando algunos nuevos. La adopción de medidas de seguridad dista mucho de ser homogénea y los niveles de protección varían mucho: mientras empresas de sectores cuya actividad es eminentemente telemática están muy avanzadas, otros sectores todavía tienen un amplio rango de mejora. En estos últimos sectores, las inversiones se centrarán en implementar servicios de gestión integral de la seguridad (SOC y SIEM) y respuesta ante incidentes (servicios CERT), mejora en la autorización y autenticación de accesos de usuarios e implantación de sistemas de acceso único (Single Sign On). Estos son servicios ya muy maduros pero cuya adopción no ha sido completa todavía.

Por otra parte, en los sectores tecnológicamente más avanzados se centrarán en varios ámbitos, el primero de los cuales será atajar la problemática del acceso de usuarios con privilegios a los sistemas de la empresa, un área en donde se están concentrando una gran parte de ataques informáticos y que requiere de una respuesta definitiva. Además, en empresas multinacionales con dispersión geográfica, cobra más importancia ante la dificultad de mantener una política de gestión de accesos unificada a lo largo de la organización. Otra de las necesidades detectadas para 2019, es mejorar la evaluación de riesgos en el uso de sistemas online incorporando la evaluación del riesgo de las operaciones y accesos en función del conocimiento del usuario en cada momento, su comportamiento y contexto, pudiendo ser denegado, limitado o solicitando dobles factores de identificación, que en circunstancias normales habituales hubiera sido permitido, debido a que las condiciones en las que se produce se considera que eleva la vulnerabilidad de la operación o el sistema concreto.

 

Raquel Román Barbero, Sales Director Iberia de CPP Group Spain
Los incidentes en ciberseguridad han crecido en los últimos años. Por este motivo, hemos desarrollado soluciones que ayuden a las personas y a las empresas a saber dónde se encuentran sus datos y cómo proteger su identidad online, con el fin de detectar a tiempo posibles anomalías o usos fraudulentos de la información. Y es que no debemos olvidar cifras tan alarmantes como que el 20% de los datos robados en Internet se utilizan en menos de 30 minutos y el 50% en las primeras 7 horas. De ahí la importancia de salvaguardar la información de la mejor manera, ya que los daños tanto materiales como morales que puede acarrear no hacerlo son de un valor incalculable.

 

Carmen Dufur, directora de Estrategia de Ciberseguridad en Capgemini España
Todo apunta a un mayor volumen de ciberataques y a su sofisticación (según el CCN-CERT, solo en 2018 los ciberincidentes crecieron casi un 45% en España). Entre los avances en las técnicas figurarán los relativos, por ejemplo, a exploits de día-cero, vectores de infección desconocidos; múltiples canales de exfiltración; uso de código dañino en la memoria de los equipos… De manera particular en Ransomware y cryptoware, los ataques cada vez más dirigidos, utilizando técnicas de ingeniería social; la instalación de código dañino en dispositivos móviles y los robos usando SSL/TLS41. En cualquier caso, aunque los ataques avanzados siempre llaman más la atención o puedan tener más impacto, el grueso lo van a seguir representando los más simples, como los que se realizan por campañas maliciosas de correo no deseado, phising y descargas directas. Para reducir estos casos es fundamental la mayor concienciación de los usuarios, por lo que es de esperar que las empresas destinen más recursos a esta tarea.

En paralelo, de manera general las empresas irán centrándose cada vez más en ampliar las capacidades de vigilancia basadas en anomalías y mejorar el intercambio de patrones de detección en cualquier formato. La mayor sofisticación de los sistemas de defensa vendrá por la incorporación del análisis en profundidad con técnicas de big data e IA y estar soportados por un nuevo perfil de expertos que ayuden a desarrollar de manera continua los mecanismos de detección y a descartar los falsos positivos. Este nuevo perfil de profesionales mezcla el conocimiento de seguridad, con el análisis forense y las técnicas de análisis avanzados de la información. El incremento de las amenazas crecerá en el caso particular de las infraestructuras críticas y los sistemas industriales, donde la gestión del tráfico cifrado jugará un papel cada vez más importante en la seguridad en sus entornos de nube. Además, la incorporación al ordenamiento jurídico español de la Directiva NIS el pasado 7 de septiembre de 2018, establece pautas en materia de protección de redes y sistemas de información a las que tendrán que adaptarse.

 

José de la Cruz, CTO de Trend Micro Iberia
En 2019, las mayores tendencias que se espera que tengan un impacto en la tecnología y la seguridad son los avances en inteligencia artificial y en machine learning, provocados por el creciente volumen de datos que pueden ser procesados y analizados; la continua adopción de del cloud computing por parte de empresas de todo el mundo; y los desarrollos en dispositivos inteligentes, hogares y fábricas, por no hablar de la inminente llegada en 2020 de 5G, la última fase de las comunicaciones móviles orientada a aumentar aún más la velocidad de Internet. Además, 2019 será un año importante para los acontecimientos políticos, pues asistiremos al cumplimiento del Brexit y a la celebración de elecciones históricas en varios países. Estos cambios tecnológicos y sociopolíticos tendrán un impacto directo en las cuestiones de seguridad en 2019.

Se espera que los ciberdelincuentes, como de costumbre, se involucren en estos movimientos, donde la oportunidad de obtener ganancias es probable, rápida y relativamente fácil. En 2019, las implicaciones de las intrusiones digitales serán de mayor alcance en términos de magnitud y consecuencias: el fraude real que utiliza vulneración de credenciales aumentará, se cobrarán más vidas como resultado de la sextorsión, y se observarán daños colaterales a medida que los países tengan más presencia cibernética. Además, el éxito de la ciberpropaganda y las fake news tendrán la capacidad de decidir el destino de las naciones. En consecuencia, las empresas se enfrentarán a nuevos retos, como la falta de mano de obra cualificada, lo que provocará una presión presupuestaria a la hora de buscar personal experto en seguridad informática; aumentando el outsourcing. Asimismo, el ciberseguro experimentará un crecimiento sin precedentes, ya que también se espera que aumenten las sanciones por brechas de seguridad e incumplimiento normativo.

 

Mauricio Gumiel, director de ventas de Seguridad de Oracle
Es evidente que no es suficiente con implementar medidas defensivas al uso, sino que las organizaciones también deben dotarse de herramientas de IA y machine learning para hacer frente a las ciberamenazas, basándose en análisis predictivo, identificando patrones de conducta del usuario o de las aplicaciones, para detectar automáticamente comportamientos anómalos, etcétera. Además, es importante diseñar nuevas arquitecturas. Hoy en día, la simple defensa del “perímetro”, tratando de evitar accesos no autorizados al CPD, no da los resultados deseados. La tecnología hoy es muy sofisticada, con muchas empresas apostando por entornos híbridos, en la nube o incluso multicloud. El esfuerzo está en la gestión de identidades, para asegurar un acceso correcto, sencillo y seguro desde múltiples dispositivos y localizaciones a los sistemas empresariales y evitando al mismo tiempo los accesos no deseados.

 

Miquel Rodrigo, Sales Director & Head of Service Management de Claranet
La inteligencia artificial será crítica a lo largo de los próximos años, puesto que permite identificar patrones con los que predecir ataques, detectar vulnerabilidades y, por lo tanto, protegernos a tiempo. Los sistemas inteligentes serán capaces de aprender de errores o situaciones anteriores, de utilizar estos datos para tomar decisiones o realizar cambios en los mecanismos de defensa. Estamos hablando de la automatización de la ciberseguridad, de un campo de batalla dinámico, en el que las estrategias cambian en base a lo aprendido. Pero no solo debemos tener presente el papel de la IA por lo que nos puede aportar de positivo; los hackers van a utilizarla a su vez para hacer sus ataques más efectivos. Hay quien habla sobre una carrera armamentística de inteligencia: el que posea más inteligencia y sea más rápido será capaz de derrotar al otro. En los últimos meses se ha hablado mucho sobre la falta de competencias en ciberseguridad, el desequilibrio entre la oferta y la demanda de profesionales del sector. Sin duda, este escenario apremiante hace más necesario que los países inviertan en educación, en generar el talento capaz de afrontar este panorama.

En la otra cara de la moneda tenemos el IoT, que sigue estando muy presente cuando hablamos de ciberseguridad precisamente por la ausencia de ésta. Aún está por resolver cómo aseguramos que la conexión de nuestros dispositivos inteligentes sea segura, por lo que lo convierte en un punto débil. Si lo trasladamos al contexto de las empresas, puede ser realmente peligroso. Y las empresas deben tenerlo muy presente y, si quieren apostar por estas tecnologías, deberán invertir también en hacerlas seguras. Por otro lado, el error humano, las malas prácticas que aún persisten entre los usuarios, siguen siendo rentables para el cibercrimen. Las tácticas que ya funcionan, como el ransomware o el phishing, seguirán siendo utilizadas. Otra tendencia detectada es el uso de aplicaciones web legítimas para el hospedaje de malware. Los cibercriminales se aprovechan de la reputación de una marca para engañar a sus clientes que, bajo la seguridad y confianza de la marca que conocen, acaban con malware en sus dispositivos. Para luchar contra estas prácticas es importantísimo implementar procesos de seguridad continua y de detección de vulnerabilidades que permitan tener un control constante de nuestras aplicaciones.

 

Juan Rodríguez, director general de F5 Networks
Durante el próximo año va a continuar el crecimiento exponencial de dispositivos conectados (IoT). En muchos casos, estos dispositivos carecen de una gestión remota eficaz, por lo que, con toda certeza, van a ser el origen de múltiples incidentes de seguridad. Los thingbots, construidos exclusivamente con dispositivos IoT ya se están convirtiendo en uno de los sistemas preferidos por los ciberdelincuentes. Usuarios, fabricantes de dispositivos, proveedores de servicios y Administración Pública deberán trabajar conjuntamente para evitar situaciones que conduzcan al caos.

 

Rafael Quintana, director regional de Qlik en España y Portugal
2019 será el año de la democratización de los datos. Una de las barreras para la digitalización de las empresas es la existencia de silos que dificultan el desarrollo de una cultura analítica común. La tecnología está avanzando mucho en cuanto a gobernanza del dato, por lo que cada vez será más sencillo que cada usuario pueda disponer, dentro de su empresa, de todos los datos que necesite, allá donde sea más necesarios. Llevar el dato y su análisis a cada rincón de la organización será sin duda una prioridad para las empresas en 2019. Y, por tanto, veremos más demanda de soluciones orientadas hacia ese fin.

Juanjo Galán, Business Strategy de All4Sec
El 2019 será probablemente el año en el que veremos por primera vez una sanción por incumplimiento del RGPD ejemplificadora que impulsará la sensibilidad en la protección de datos personales en el mercado. Pero si algo destacará a lo largo del próximo año será la creciente preocupación por la seguridad de los dispositivos IoT en un entorno gestionado desde la nube. La aparición de vehículos semi-autónomos en forma de drones, automóviles u otros medios de transporte, o incluso de trabajo, incorporarán nuevos elementos de control y actuación cuya seguridad se convertirá en objeto de profundo análisis por buena parte de comunidad de ciberseguridad. De hecho, algunos ya lo consideran el “nuevo punto débil de la cadena” en sustitución del papel desempeñado por el usuario humano. No faltan, a este respecto, iniciativas surgidas para estandarizar el uso de estos elementos de IoT y sus interfaces como mecanismos de robustecerlos. Sin embargo, tenemos que admitir que aún nos encontramos lejos de conseguirlo.

Mientras tanto, es de prever que los “incumbentes tecnológicos” pugnarán por ganar la posición cara al futuro que ha de llegar. Será un área interesante para seguir. Otro de los elementos que continuará con su imparable desarrollo es el del análisis masivo de datos y el uso de técnicas de inteligencia artificial tanto para la defensa como para el ataque a los sistemas informáticos. Desde el reconocimiento de patrones o el análisis de comportamientos hasta los ataques multi-vector o la suplantación de la identidad son numerosas las aproximaciones que se están siguiendo a través del uso de este tipo de tecnologías.

 

Ciberriesgos: una cuarta parte de los datos corporativos en la nube es confidencial

Los sistemas de gestión de eventos de seguridad se están enriqueciendo con soluciones basadas en análisis de datos que cierran el tradicional ciclo de “Plan-Do-Verify-Act” que rige los principios de la ciberseguridad. Desde soluciones de DLP o protección de puesto, hasta plataformas SIEM, las nuevas soluciones tecnológicas incorporan cada vez más el análisis inteligente de la información y la toma de decisiones —cuando no incluso de la acción automatizada. Es muy probable que las propuestas que aparezcan en el próximo año incorporen novedosas aproximaciones basadas en inteligencia artificial como una funcionalidad básica más.

 

Xabier Mitxelena, managing director en Accenture Security
Con el desarrollo de las Directivas de Protección de Datos GDPR y NIS para la protección de redes y comunicaciones en Europa, la visión de la protección de los activos empresariales y de las organizaciones va a cambiar su perspectiva y vamos a pasar de los modelos de monitorización a objetivos de ciberresiliencia de las infraestructuras esenciales de la sociedad y las empresas. Eso va a suponer una involucración directa de los CEO y los Consejos de Administración en la materia, una selección natural de empresas y profesionales con los niveles de conocimiento y certificación adecuados y una mejora de los activos de los negocios en base a la protección desde dentro hacia fuera, la simulación continua de los modelos de ataque más innovadores para mejorar la seguridad de las infraestructuras y ser resilientes cuando lleguen los ataques, la sensibilización continua de los usuarios mediante diferentes modelos de capacitación o el desarrollo seguro de las nuevas plataformas de negocio.

 

Félix Muñoz, director de Entelgy Innotec Cybersecurity
Aunque el ransomware no es una práctica nueva, todo apunta a que seguirá siendo el tipo de malware que más crezca, y también uno de los que más ataques beneficiosos genere. En una evolución progresiva, prevemos que siga dirigiéndose hacia organizaciones con capacidad suficiente como para pagar rescates por recuperar el acceso a sus datos. Previsiblemente, el clásico ataque al CEO también seguirá produciéndose con gran frecuencia por la escasa complejidad que supone. Además, el uso de los dispositivos móviles para acceder a los datos y a los sistemas de las empresas integrados en la nube será una tendencia al alza. Con la evolución del Internet de las Cosas, contaremos con cada vez más dispositivos contactados, lo que para los ciberdelincuentes supone también más objetivos que atacar.

Ya lo preveíamos en años anteriores, pero en 2019 llegará con fuerza el uso de la Inteligencia Artificial a las organizaciones, situándose en el punto de mira del cibercrimen. Esta Inteligencia Artificial en forma de algoritmos programados para optimizar la toma de decisiones y ejecución de acciones, puede ser vulnerada para favorecer los intereses de los atacantes y comprometer la actividad de las empresas. Aunque presentan una mayor complejidad, la protección de todos los puntos desde los que se pueda acceder a ellos es fundamental desde las primeras fases de desarrollo.

 

Un antivirus puede convertirse en herramienta de espionaje

 

Joan Porta, Brand Protection Director en Red Points
La principal amenaza del mundo online es la capacidad de los estafadores de tener acceso cada vez más fácil y a menor coste a las herramientas tecnológicas que los científicos, gobiernos y empresas ya utilizan de manera extensiva. En concreto, la expansión de las soluciones de inteligencia artificial hace que estas sean cada vez más accesibles, lo que aumenta exponencialmente los ataques cibernéticos sobre los que solemos leer en las noticias. En el mundo de la falsificación, también se corre el riesgo de que se usen tecnologías como el machine learning, por ejemplo, por estafadores que buscan en las plataformas online que ofrecen más tráfico con menos riesgo.

 

Rich Campagna, Director de Marketing de Bitglass
Los números no mienten: cada vez más compañías en todo el mundo están adoptando herramientas basadas en la nube como Office 365, G Suite, AWS, Salesforce y Slack. En 2018, el porcentaje de organizaciones que utilizaron al menos una herramienta basada en la nube alcanzó el 81% en todo el mundo. Si bien este número continuará aumentando en 2019, la mayoría de las empresas no van a implementar las medidas de seguridad adecuadas para proteger los datos en la nube, lo que provocará que la gran mayoría de fallos de seguridad relacionados sean culpa de las compañías.

 

Juan Miró, Director de Negocio de Grupo NLS
Los sistemas hiperconectados, Internet of Things (IoT) y la necesidad de despliegues on premise para soluciones concretas, generan nuevos retos en ciberseguridad. La conexión de dispositivos IoT a los sistemas de gestión comportan una especial atención a los protocolos de seguridad que muchas veces no son tratados con la importancia y atención necesarias. Creemos que poner el foco en este punto es esencial para asegurar que las empresas eliminen cualquier duda o miedo en cuanto a que los procesos cuenten con toda la seguridad y las garantías posibles.

 

Ricardo Maté, director general de Sophos Iberia
La ciberseguridad continuará siendo un área de especial interés para las empresas y una de sus principales preocupaciones. En el próximo año deberemos prestar atención a tres cuestiones clave: los ataques de ransomware dirigidos, el aumento de amenazas de malware relacionadas con los dispositivos IoT y tener vigilado nuestros móviles y las app que descargamos incluso de las tiendas oficiales. Durante el 2018 hemos visto aumentar el número de ataques de ransomware dirigidos como el famoso SamSam, una tendencia que continuará a lo largo de todo el 2019. A diferencia de los ataques masivos de ransomware de los últimos años, este tipo de ataque es mucho más peligroso. Son ataques sigilosos y con un objetivo definido. Esto nos demuestra que las técnicas utilizadas por los cibercriminales son hoy mucho más sofisticadas.

Asimismo, los dispositivos IoT tanto en las empresas como en los hogares serán particularmente vulnerables. Por último, no podemos olvidarnos de los dispositivos móviles durante el próximo año. Hemos detectado un aumento de aplicaciones teóricamente legítimas que sirven como ventanas y redirigen al usuario a sitios web de phishing. Los cibercriminales alojan este tipo de apps en las tiendas oficiales como Google Play o Apple Store. Al no contener la propia app malware, consiguen saltarse los controles de seguridad de estas tiendas.

 

Ignacio Velilla Rincón, Managing Director de Equinix España
Según un reciente estudio, a pesar de que el número de empresas que se mueve hacia la nube ha aumentado, el 70% de los profesionales todavía percibe riesgos de ciberseguridad en torno a la adopción de modelos en la nube. Las grandes brechas de datos públicos han causado incertidumbre entre las empresas, lo que ha llevado a que el 45% de los directivos apunten que su mayor prioridad IT es mejorar la ciberseguridad de su organización. Creemos que, para prevenir brechas de datos, mantener su control y cumplir con las nuevas normativas como el GDPR, en 2019 las compañías apostarán por nuevos modelos de gestión de información que se ajusten perfectamente al cifrado de datos. Además, las empresas usarán nuevas tecnologías de virtualización basadas en hardware para evitar que los proveedores de servicios supervisen los datos de sus clientes.

Ley de Protección de Datos, un hueso duro para las empresas (fuente: LA RAZÓN – ÓSCAR REYES 21 DE MAYO DE 2018)

/en , , , , /por

ARTÍCULO DE LA RAZÓN (ÓSCAR REYES 21 DE MAYO DE 2018)

El mundo empresarial se ha convertido en un enjambre de datos. La información personal de los clientes, sus hábitos de consumo o sus intereses, se van acumulando en los ordenadores de las compañías al ritmo que aumenta la preocupación por la seguridad de estos datos. Las filtraciones masivas de los últimos meses; como la protagonizada por Facebook y Cambridge Analytica, la de las contraseñas de Twitter, o la de Alteryx, que afectó a más de 120 millones de personas; son un avisos de lo expuesta que está la información.

Bruselas no le quita ojo a este problema y ha extendido un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo viernes

La normativa será más exigente con las empresas, que no están preparadas para asumir la directiva continental. El estudio «Cómo acelerar el cumplimiento del RGPD», de la consultora IDC y Microsoft, indica que sólo el 10% de las compañías ya cumple la regulación, y el 25% tiene un plan sólido para cumplirla desde su entrada en vigor. El resto, antes de aplicarla, mantiene dudas por resolver.

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA ADAPTACIÓN DE TU ACTIVIDAD PROFESIONAL A LA NORMATIVA

¿Qué se debe hacer?

Para adaptarse a la normativa, hay que empezar informando sobre la recogida de datos que se realiza. La legislación impide su acumulación sin sentido, por lo que se debe justificar por qué se han reunido los datos, y cuál es su fin en la actividad que ejerce la empresa. Además, si se pide consentimiento para que los datos sean tratados (es decir, utilizados o cedidos), la compañía tiene que solicitar una autorización que certifique que el permiso se reclama inequívocamente. El RGPD, por otra parte, requiere la firma de un contrato con los proveedores que acceden a los datos; notificar las violaciones de la protección; efectuar Evaluaciones de Impacto en casos de peligro concreto; la realización de un informe de riesgos con medidas de seguridad; y la elaboración de un registro de actividades de tratamiento (qué se hace con ellos).

Este último documento sustituirá a los habituales ficheros que las empresas debían presentar en la Agencia Española de Protección de Datos (AEPD), y que incluían datos de carácter personales. A partir de ahora, mantendrán esta obligación las compañías con más de 250 trabajadores o las que pertenezcan a sectores especiales como el sanitario o el ideológico. Otra de las medidas de aplicación ineludible sólo para determinadas empresas es la figura del DELEGADO DE PROTECCIÓN DE DATOS.

El DELEGADO DE PROTECCIÓN DE DATOS será el encargado de coordinar la política de protección de datos dentro de la compañía (aunque podrá contratarse mediante un servicio externo) y de relacionarse con la AEPD

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA CONTRATACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS

La norma exige que cuenten con un DPD – DPO las entidades públicas; las privadas destinadas a actividades con información sensible como la sexual o los antecedentes penales; o las que establezcan perfiles, modelos de comportamiento, o a fidelicen consumidores a través del seguimiento de los usuarios en internet a gran escala.

La directora de Marketing de Teamleader, María Abad, sostiene que el DPD – DPO contribuye al «respeto el cumplimiento con lo establecido en la RGPD», por lo que resulta recomendable disponer de uno a pesar de que no sea obligatorio. Abad, para adaptarse a la legislación, también considera aconsejable llevar a cabo «una actualización de los documentos legales y realizar auditorías internas; solicitar el certificado para procesar datos; mantener una reunión informativa con los clientes; formar a tu equipo, eliminar datos de los que no se tiene autorización; establecer un plan de gestión de crisis; gestionar los canales de acceso de datos adecuadamente; proteger los datos de los menores de 16 años y mostrar de forma explícita que se satisface la regulación».

¿Qué ocurre con el crm?

El nuevo siglo trajo consigo una digitalización que se está terminando de consolidar, y en lo referente a los datos nació una herramienta electrónico, el Customer Relationship Management (CRM). A medida que se expandía el uso del correo electrónico y de los buscadores, las empresas iban acumulando información de sus clientes para emprender campañas de marketing en la red, lanzar promociones… Algunas han recurrido al famoso spam, pero ahora el RGPD viene a censurar el uso indiscriminado del CRM y exige que el cliente de el consentimiento expreso de que sus datos tendrán esa finalidad.

Esto conllevará que las empresas tengan que revisar las cláusulas que el usuario acepta, para que no pueda haber ninguna confusión. Daniel Santos, abogado especialista en Protección de Datos y RGPD en Santos Abogados Asociados añade que lo necesario sería «incluirlo en el registro de actividades, examinar el riesgo en el tratamiento y desarrollar medidas de seguridad adecuadas que garanticen la integridad y la confidencialidad».

¿Y si soy pyme?

Ninguna compañía está exenta de aplicar el RGPD, sea cual sea su capacidad. Según el Ministerio de Empleo y Seguridad social, en España existen 1.317.015 pequeñas y medianas empresas (pymes), que deberán cumplirlo a pesar de olvidarse de presentar los ficheros y de no estar obligadas a contratar un delegado. Sin embargo, Abad manifiesta que para que cada pyme adapte el reglamento a su negocio, lo mejor es ponerse en manos de un buen profesional abogado que estudie bien cada caso y pueda asesorar y preparar los documentos legales pertinentes a medida.

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA ADAPTACIÓN DE TU ACTIVIDAD PROFESIONAL A LA NORMATIVA

Proveedores

Las empresas que presten servicios a terceros y manejen datos personales cedidos por sus clientes, tienen las mismas obligaciones que las compañías que generan la información. Life Abogados subraya la importancia de ejecutar adecuadamente la directiva en los proveedores porque, al elegirlos, «las empresas buscan marcas de confianza que cumplan con la ley porque de lo contrario se enfrentan a sanciones millonarias. Por eso, deberán estar en condiciones de acreditar y garantizar ante tus clientes que se han adaptado y cumplen con esta norma».

Empleados

Los empleados serán de los primeros afectados por la normativa, tendrán que conocerla para no cometer infracciones. Abad comenta que «a nivel interno, las compañías también deben controlar el tratamiento y respeto de los datos personales de terceros. Los departamentos de ventas, marketing, recursos humanos, atención al cliente y el financiero suelen gestionar datos en su día a día de forma habitual y la empresa deberá informar y formar a sus empleados para que hagan un uso correcto de los datos y no cometan infracciones por desconocimiento».

PINCHA AQUÍ SI QUIERES INFORMACIÓN PARA FORMAR A TU PLANTILLA EN PROTECCIÓN DE DATOS Y LA NUEVA NORMATIVA

Con el extranjero

Los negocios de las empresas con el extranjero, a veces, demandan la comunicación de datos. La regulación, explica la AEPD, reduce la posibilidad de tratar información en internacional a las naciones sobre las que la Comisión reconozca un óptimo nivel de protección; cuando se garantice la seguridad en su destino, o en ciertas excepciones por razones relacionadas con el interés general o con el del propio titular.

Fuera de la UE

Una de las novedades más destacadas se refiere a las empresas cuya sede se sitúe fuera de la Unión Europea. A partir del próximo viernes, si poseen datos de ciudadanos que pertenezcan a ella, tendrán que obedecer la normativa continental.

Menores de edad

Los datos de los menores de edad son material especialmente sensible y, por lo tanto, a las empresas se les exigirá más cuidado con ellos. Sólo se permitirá pedir el consentimiento de una persona cuando supere los 16 años, y por debajo de esas edad se requerirá una autorización del padre, madre o tutor. No obstante, también se otorga la posibilidad de reducir la edad del consentimiento, mientras no sea inferior a los 13 años. De hecho, la AEPD indica que en España, «el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia».

¿Qué ocurre con la LOPD?

No se puede olvidar que en España (donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución) ya existe una normativa a este respecto, la Ley Orgánica de Protección de Datos (LOPD). La entrada en vigor del RGPD no supondrá la extinción de la anterior legislación, del 13 de diciembre de 1999. Convivirán y, mientras, la LOPD deberá adaptar su contenido al de la directiva europea. Las modificaciones ya están en marcha, pues el Parlamento está discutiendo el proyecto de la nueva ley.

A esperas de que se presenten las observaciones a los cambios, entre los que se proponen destaca la rebaja de la edad de consentimiento hasta los 13 años. Respecto a las personas fallecidas, se contempla la posibilidad de que los herederos puedan rectificar o suprimir los datos del muerto en su nombre.

La nueva LOPD que apuntillará algunos principios del RGPD. El más relevante, sin duda, está relacionado con el tratamiento y el interés legítimo sobre los datos. Desde la Asociación Española de la Publicidad, el Marketing y la Comunicación Digital (Iab) afirman que «algunos de los tratamientos parece que podrán contar con la base legal del interés legítimo, como es el caso del tratamiento de datos de contacto y de empresarios individuales, sistemas de información crediticia, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria o sistemas de información de denuncias internas en el sector privado. En otros escenarios que recogía el RGPD no parece tan claro que se pueda utilizar, como es el caso de marketing directo».

El proyecto, además, amplía los casos en los que las empresas deberán contratar de forma obligada un delegado de protección de datos. Se extiende, dicen en Iab, «a las entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, entidades que desarrollen actividades de publicidad y prospección comercial, operadores que desarrollen la actividad del juego a través de canales electrónicos, informáticos o interactivos».

Comercio en la red

Cuando uno se dispone a comprar un producto o contratar un servicio por internet, y se le piden sus datos, normalmente desconfía en el para qué se necesita tanta información. Tanto es así que el presidente de la Comisión Europea declaró que el 72% de los usuarios de internet sienten preocupación ante la demanda de sus datos personales. En este sentido, añadió que sólo el 22% de los europeos confían del todo en las empresas que ofrecen motores de búsqueda, redes sociales o correos electrónicos.

La RGPD intentará que estos porcentajes mejoren con medidas que dotarán de protección la información personales de los usuarios. Desde Life Abogados, comentan que «se acabará con las tarifas de itinerancia, con el bloqueo geográfico en comercio electrónico o con la portabilidad de los servicios digitales». El reglamento, de esta manera, generará mayor confianza en el comercio electrónico y servirá de marco regulatorio homogéneno para el conjunto de la UE. Ésto forma parte de la estrategia de la institución para desarrollar un mercado único digital en el continente, que impulse aún más la compra venta por internet hasta llegar a aportar alrededor de 415.000 millones de euros a la economía de la Unión.

Responsabilidad proactiva

El RGPD se basa en una serie de principios, entre los que destaca la responsabilidad proactiva. La AEPD define el concepto como «la necesidad de que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con el fin de garantizar y demostrar la conformidad con el Reglamento». Es decir, la legislación parte de que la propia empresa sea la que muestre la iniciativa en cuanto a su aplicación y, así, reconocer su compromiso con la protección de los datos de los clientes, consumidores o usuarios.

Sanciones

La AEPD podrá denunciar si ve signos de que alguna empresa se está saltando la normativa a partir del 25 de mayo. Desde Life Abogados recuerdan que esta directiva realmente ya entró en vigor en la misma fecha de 2016, pero Europa dio a sus países miembros un plazo de dos años para ejecutarla, con el objetivo de que sus compañías la fuesen estudiando. No cabrán excusas si toca enfrentar las sanciones, que son bastante elevadas. Santos sostiene que «se establece la posibilidad de presentar en los juzgados demandas de indemnización por el incumplimiento del reglamento frente a responsables o encargados del tratamiento. Por otro lado, las multas administrativas pueden ser hasta del 4% de la facturación del año anterior al de la infracción o de 20 millones de euros».

Europa no para de actualizar la ley: la directiva ePrivacy, siguiente paso

La Comisión Europea (CE) dará un paso importante el próximo viernes para proteger los datos de sus ciudadanos al aprobarse el RGPD. Sin embargo, como se suele decir, hecha la ley, hecha la trampa. Y desde la institución son conscientes de que ninguna regulación va a eliminar los riesgos, aunque los intentará mitigar con más trabas normativas. Están trabajando en la actualización de la directiva e Privacy, de 2002. En enero del año pasado, la CE ya publicó el borrador con las nuevas medidas, entre las que el Real Instituto Elcano destaca las siguientes: «adoptar una regulación única y armonizada en la UE de implantación inmediata tras su publicación (no necesita transposición); incorporar y equiparar las obligaciones de los proveedores de Internet y proveedores de servicios del Internet de las Cosas (IoT) a los operadores de telecomunicaciones (únicos sujetos obligados en la Directiva ePrivacy de 2002 en vigencia); exigir el consentimiento del usuario para el tratamiento de los metadatos asociados a la comunicación (incluyendo geolocalización); simplificar las disposiciones actuales sobre cookies, y fortalecer la protección del usuario frente a los distintos tipos de spam (telefónico, sms y correo electrónico)». Por otra parte, la CE también ha emitido el borrador de una nueva directiva para regular el libre flujo de datos no personales en la Unión Europea.

Los sectores más implicados

La obligación, vigente hasta el próximo 25 de mayo, de presentar los ficheros ante la Asociación Española de Protección de Datos (AEPD), ha dejado unas cifras que demuestran los sectores que más trabajan con datos y, por lo tanto, más exigencias legales tienen en este sentido. Aunque no se trate de una actividad profesional, las comunidades de propietarios son las que más ficheros han entregado, más de 682.000. Tras ellas, el primer sector económico que aparece en la lista es el comercio con más de medio millón de ficheros, bastante alejado de sus perseguidores. Los más próximos son la sanidad (con 356.916), el turismo y la hostelería (con 257.201), y la contabilidad, la auditoría y asesoría fiscal (con 181.093). Evidentemente, ninguno de estos sectores podría sobrevivir sin disponer de los datos de sus clientes. Los empresarios de la construcción, del inmobiliario, de la educación o de las actividades jurídicas, son otros de los que más necesitan rendir cuentas con la AEPD.

QUIERO CONTACTAR CON CLYDESA

3.000.-€ de sanción a un colegio por no eliminar las imágenes de un menor en Youtube (fuente noticias.jurídicas.com)

/en , , /por

FUENTE: noticias.jurídicas.com

 

Administración, empresas y ciudadanos están cada vez más concienciados con lo que llamamos “privacidad“, aquél ámbito de nuestras vidas que se desarrolla en un espacio reservado, y debe mantenerse confidencial.

La nueva sociedad de la información, internet y redes sociales suponen al día de hoy una amenaza, que debe ser afrontada desde diversos puntos de vista.

El nuevo Reglamento Europeo de Protección de Datos (GDPR), que comenzará a aplicarse el próximo 25 de mayo, introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal que tratan las organizaciones, empresas, Administraciones…

 

Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos

 

Una de las novedades más importantes que trae consigo la regulación que pronto se aplicará, es el régimen de sanciones, que se endurece de manera significativa, para proteger de manera efectiva el derecho fundamental a la protección de datos personales.

En este sentido es fundamental, contar con herramientas que nos permitan cumplir con las obligaciones derivadas del GDPR , de las directrices de la AEPD y de las autoridades europeas en esta materia.

Esta resolución, dictada por la Agencia Española de Protección de Datos el pasado 15 de marzo de 2018, sanciona a un colegio que fue denunciado por los padres de un alumno, quienes habían solicitado del centro la eliminación de todas las imágenes de sus hijos que tuvieran en sus ordenadores o servidores. Se trata de una sanción impuesta al amparo de la normativa anterior, pero no por ello es irrelevante, pues nos advierte de las carencias de prevención en este sentido y de la necesidad de garantizar el cumplimiento en un futuro.

Pese a la solicitud del padre, e incluso a la confirmación por parte del Centro de la eliminación de las imágenes, en la página web del colegio seguía alojado un vídeo de Youtube en el que aparecía el menor. El acceso a las imágenes de dicho vídeo se efectuó sin utilizar usuario y contraseña.

 

Vulneración de la normativa

Señala al respecto la AEPD que la imagen de una persona constituye un dato de carácter personal, dado que la información que se capta concierne a personas que las hacen identificables, suministrando información sobre el lugar y actividad desarrollada por el individuo.

La imagen obtenida a través del enlace a la web del colegio permite identificar sin duda al menor entre un grupo de niños, produciéndose un tratamiento de datos de carácter personal del hijo del denunciante al que resultan aplicables los principios y garantías de la normativa de protección de datos. Resulta indiferente el hecho de que el niño no fuera con el uniforme del colegio, y sí disfrazado, pues ello no impide su plena identificación como alumno de ese centro escolar, por otros de alumnos por los padres de sus compañeros de clase o incluso de cualquier tercero ajeno a ese específico ámbito escolar.

Señala la resolución sancionadora que la conducta del Colegio denunciado se incardina en el artículo 44.3.d) de la LOPD que tipifica como infracción grave: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.”

 

Responsabilidad del Centro

El Centro escolar gestiona la página web, decidiendo la finalidad, el contenido y el uso de los datos de carácter personal que se tratan en el portal de su propiedad, por lo que, a juicio de la Agencia, el tratamiento de datos de los menores, al publicar en su web en abierto, cae bajo la órbita del régimen sancionador de la LOPD .

Para el uso y publicación de la imagen del niño a través de la página web era necesaria la autorización expresa e inequívoca de sus representantes legales –de los padres o tutores- , y en este caso, a pesar de contar con la solicitud de cancelación, el Centro no mostró la diligencia debida para eliminar la imagen que aparecía en el vídeo accesible a través de la página.

Determina la Agencia que la conducta del colegio se ajusta a lo tipificado en el artículo 44.3 d) LOPD, siendo responsable el Colegio a título de culpa. Y todo porque no se cercioró de que habían sido canceladas todas las imágenes donde el menor aparecía.

La resolución considera irrelevante el hecho de que el colegio dispusiera de consentimiento de los padres para usar las imágenes del niño, pues posteriormente el padre solicitó la cancelación de las mismas. Esta solicitud debe presumirse válida, pues actuaba en el ejercicio de la patria potestad con el consentimiento de la madre.

 

Sanción impuesta

La AEPD puntualiza que en el caso se ha producido una vulneración del principio del consentimiento para el tratamiento de los datos, calificada como grave por el artículo 44.3.b) de la LOPD , y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3.d) de la misma norma, por lo que únicamente procede imponer la sanción correspondiente a la infracción del artículo 6.1 de la LOPD , por constituir la infracción originaria que ha dado lugar a la comisión de la infracción del artículo 10 de dicha norma.

A este respecto, la Agencia rechaza la alegación de buena fe a efectos de rebaja de la sanción, pues existe un deber del infractor de vigilancia y diligencia derivados de su condición de profesional, que en este caso no se cumplió debidamente.

No obstante, no observa actuación dolosa o intencionada por parte del Colegio, pues tan pronto como recibió la solicitud de cancelación de las imágenes procedió a la eliminación de las mismas, a excepción de la imagen que aparecía en el video alojado en Youtube.

También se valora el hecho de que el Colegio tenía implantados procedimientos de actuación a los efectos de obtener el consentimiento de tutores y padres.

En definitiva, y teniendo en cuenta todas las circunstancias concurrentes, la Agencia impone al Colegio una multa de 3.000 euros.

 

Sobre la importancia de disponer de herramientas de cumplimiento

Como lo ocurrido en este caso, el tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.b) de la Ley Orgánica 15/1999 , pero también con la nueva normativa.

Efectivamente, el nuevo Reglamento Europeo de Protección de Datos (GDPR ) introduce importantes novedades en el tratamientoy en la gestión de los datos de carácter personal que tratan las organizaciones. Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos.

Existen sin embargo herramientas que ayudan a abordar con garantía los cambios que se avecinan, para poder adaptar plenamente a las organizaciones a esta nueva realidad, evitando con ello la comisión de posibles infracciones.

NECESITO ASESORAMIENTO EN PROTECCIÓN DE DATOS

Descárgate nuestro catálogo de servicios 2018-19

/en , , , , , , , , , , , , /por

Haciendo honor a nuestro nombre, queremos ayudar a nuestros Clientes a potenciar su actividad y su Desarrollo en el mercado.

¿Aún no sabes en qué podemos ayudar a tu organización?

¡Descárgate ahora nuestro catálogo de servicios y prepárate bien este 2018!

 

QUIERO DESCARGARME EL CATÁLOGO DE SERVICIOS DE 

CLYDESA, CLIENTE Y DESARROLLO

DOSSIER 2018-19

NUEVAS CONVOCATORIAS FORMACIÓN BONIFICADA 2018

/en , , , , , , , , , , , /por

Abiertas las nuevas convocatorias para formación 100% bonificable.

 

Forma a tu plantilla recuperando el 100% del coste, sin desplazamientos y al ritmo que quieran

QUERRÁS TENER SIEMPRE PROFESIONALES PREPARADOS CONTIGO, ¿VERDAD? 😉

 

Con los cursos online tus empleados podrán formarse y mejorar sus aptitudes profesionales. Mejorarán su Currículum Vitae y su productividad en el puesto de trabajo, comprometiéndose con tu empresa y haciendo así que su productividad aumente.

 

CATÁLOGO 2018 BONIFICABLE

 

¿QUÉ SON LOS CURSOS BONIFICABLES?

El crédito formativo es un importe anual que las empresas con al menos un empleado en Régimen General pueden utilizar para formar a su plantilla con cursos de formación bonificables, es decir: el importe total del coste de la formación se puede recuperar en los Seguros Sociales de los meses posteriores a la finalización del curso.

Como ejemplo, en una empresa de 1 a 5 empleados en Régimen General dispone de 420.- euros como mínimo para formación de la plantilla. Ese importe se puede utilizar desde Enero hasta Diciembre de cada año. En caso de que no se utilice, esos 420.- euros van a parar a otros cometidos, pero la empresa ya no podrá utilizarlos para su mejora interna, así que… ¿a qué esperas?

 

Solicita nuestros catálogos de formación

Tenemos disponible desde cursos de 10 horas de duración, hasta Másteres Universitarios

PINCHA AQUÍ PARA SOLICITAR EL CATÁLOGO DISPONIBLE

 

Clydesa Cliente y Desarrollo continúa siendo empresa colaboradora de Educo.org, y aporta un porcentaje de sus ingresos al proyecto “Becas Comedor” para garantizar al menos una comida diaria a niños en edad escolar. En 2017 Clydesa ha conseguido financiar 1 año de Beca Comedor de tres niños en Galicia.

 

 

¡¡Nos hemos propuesto conseguir un poquito más en 2018!!

¿Nos ayudas? 🙂

 

 

Mentalizar a nuestros hijos sobre la importancia de la privacidad

/en , , , /por

En esta ocasión, os dejamos 4 vídeos de la Agencia Española de Protección de Datos que podeis  enviar a vuestros hijos o visualizarlos con ellos.

Los vídeos nos ubican en situaciones cotidianas con las que ellos se encuentran cada día, y les enseñan cómo deben proteger su privacidad, y sobretodo, cómo actuar ante situaciones que para ellos pueden resultar incontrolables. Así sabrán cómo actuar y a quién dirigirse.

Concienciación también a través de los centros escolares, por favor 🙂

 

  • UN VIDEO MUY ESPECIAL

Las cosas que envías por internet dejan huella y tu huella digital te va a acompañar durante mucho tiempo y puede tener consecuencias, buenas o malas, depende de tí.

No permitas que nadie te obligue a hacer cosas que no quieres.

No te calles. Pide ayuda.

VER “UN VÍDEO MUY ESPECIAL”

 

  • EN ESTE PARTIDO NOS LA JUGAMOS

No utilices Internet para hacer daño, nunca participes en un acoso. Y no te calles. Tanto si te pasa a tí, como si le pasa a un compañero, debes contárselo a tus padres o tus profesores. No es ser un chivato, es ser un buen compañero.

VER “EN ESTE PARTIDO NOS LA JUGAMOS”

 

  • PLANAZO DE FIN DE SEMANA

Protege tu identidad, tus datos personales no son sólo tu dirección, tu teléfono o tu fecha de nacimiento. Pequeños detalles sin importancia, el sitio donde estás, o el aspecto que tienes en un cierto momento, también dan información sobre tí, y pueden llegar a ser usados maliciosamente. No compartas datos personales con gente que no conoces en persona.

VER “PLANAZO DE FIN DE SEMANA”

 

  • UN CRACK DEL BMX

Internet y las redes sociales son geniales. Pero hay más cosas geniales en la vida, y algunas de ellas sólo se pueden disfrutar cuando estás desconectado de Internet.

VER “UN CRACK DEL BMX”

¿A qué sanciones me arriesgo si incumplo la nueva normativa en Protección de Datos?

/en , , , /por

En el nuevo Reglamento General de Protección de Datos (RGPD), aplicable en su totalidad a partir de Mayo de este 2018, nos encontramos que las sanciones se endurecen de forma considerable.

 

¡¡ OJO !!

El nuevo RGPD incluye también la posibilidad de que los Estados miembros de la Unión Europea asocien las infracciones y sanciones administrativas con sanciones penales

 

Si con la LOPD se venían dividiendo en tres niveles (leve, grave y muy grave), con sanciones económicas desde 900.-€ hasta 600.000.-€, con el RGPD se separan únicamente en dos rangos:

  • hasta 10,000.000.-€ o el 2% del volumen de negocio total anual del ejercicio financiero anterior: 
    • falta de obtención del consentimiento paterno cuando se ofrecen servicios de la sociedad de la información a menores sin capacidad de consentir (la edad mínima del consentimiento baja de 14 a 13 años)
    • falta de implementación de medidas de seguridad apropiadas (medidas técnicas y organizativas que garanticen la protección de los datos en ficheros automatizados y no automatizados)
    • no realización de una Evaluación de Impacto sobre Protección de Datos (EIPD) en una actividad que entrañe elevado riesgo, o en su caso, no realizar la consulta previa a la Autoridad de Control. (pincha aquí si quieres que te hagamos presupuesto para la realización de una EIPD)
    • falta de cooperación con la autoridad de control
    • incumplimiento de las obligaciones por parte del encargado de tratamiento
    • no designar un Delegado de Protección de Datos cuando se requiere. (pincha aquí si quieres que te hagamos presupuesto para contratar nuestro servicio de Delegado de Protección de Datos)
    • incumplimiento de las obligaciones como corresponsables (principio de “responsabilidad proactiva”)
    • no notificar las violaciones o quiebras de seguridad. Deberán comunicarse a la Autoridad de Control y a los titulares de los datos en un plazo máximo de 72 horas desde la detección del incidente. Si ello requiere esfuerzos desproporcionados, deberá realizarse una comunicación pública de la brecha de seguridad
      • ¿Cuáles son estas quiebras?
      • Las que supongan un riesgo para los derechos y libertades del afectado (titular de esos datos)
      • Incidente que ocasione la pérdida, destrucción o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (pérdida de un ordenador portátil, accesos no autorizados a bases de datos de una organización (incluso por su propio personal), borrado accidental de algunos registros, etc.)

 

  • hasta 20,000.000.-€ o el 4% del volumen de negocio total anual del ejercicio financiero anterior: 
    • falta de cumplimiento en los principios básicos de tratamiento: licitud, fines explícitos y legítimos, apropiados, pertinentes y proporcionados
    • no atender o no facilitar a los afectados el ejercicio de los derechos ARCO: acceso, rectificación, cancelación, oposición, supresión, limitación, derecho al olvido, …
    • incumplimiento de las normas del Estado Miembro
    • no permitir el acceso a la Autoridad de Control a datos necesarios para la investigación de un hecho
    • no cumplir una orden de la Autoridad de Control en el ejercicio de sus poderes correctivos
    • incumplimiento de los requisitos para Transferencias Internacionales
    • no informar a los afectados en el momento en el que se obtengan sus datos
    • no contar con el consentimiento explícito del interesado (prohibidas las casillas premarcadas)
    • incumplimiento del deber de secreto
    • cesión, comunicación o divulgación de datos sin el consentimiento previo del afectado
    • Transferencia Internacional de Datos a un tercer país u organización que no ofrezca las garantías adecuadas

 

PONTE EN CONTACTO CON NOSOTROS EN INFO@CLYDESA.ES E INFÓRMATE DE NUESTROS SERVICIOS Y TARIFAS PARA ADAPTAR TU ACTIVIDAD A LA NUEVA NORMATIVA

La AEPD, INCIBE, AECOSAN y la Policía Nacional presentan una guía conjunta para comprar con seguridad en internet (fuente www.agpd.es)

/en , , , /por

fuente www.agpd.es

La iniciativa es el resultado de un trabajo conjunto para fomentar entre los usuarios la prevención y la concienciación antes, durante y después de realizar una compra online.

 

La ‘Guía práctica de compra segura en internet’, que está acompañada de siete fichas, recoge los derechos que asisten a los ciudadanos, así como recomendaciones

La privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas son algunos de los temas abordados
(Madrid, 18 de diciembre de 2017). La Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional han presentado la Guía práctica de compra segura en internet, una publicación que adquiere especial relevancia con motivo de las compras navideñas.

La iniciativa es el resultado de un trabajo conjunto para ofrecer a los ciudadanos en una única publicación los consejos prácticos más relevantes a tener en cuenta antes, durante y después de realizar una compra online. La guía, disponible en las respectivas webs de estos organismos, está acompañada además de siete fichas que recogen de forma concisa recomendaciones de utilidad.

 

DESCÁRGATE AQUÍ LAS FICHAS

 

El sector del comercio electrónico facturó en España 24.185 millones de euros en 2016 y superó los 6.700 millones de euros en el primer trimestre de 2017. No obstante, según datos de INE, la mitad de los usuarios de internet que no han comprado online en el último año alega para ello una preocupación por la privacidad o la seguridad en el pago.

La Guía práctica de compra segura en internet recoge los derechos que asisten a los usuarios en los procesos de compra o contratación online, ofreciendo recomendaciones desde diversos enfoques: la privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas. El objetivo es que resulte de utilidad no sólo a los ciudadanos, como consumidores y usuarios de los servicios de comercio electrónico, sino también a las empresas que desarrollan su actividad en este ámbito, contribuyendo a fomentar un clima de confianza digital.

 

DESCÁRGATE AQUÍ LA GUÍA COMPLETA

 

La guía presentada hoy agrupa sus contenidos en cuatro bloques: qué aspectos se deben tener en cuenta antes de comprar o contratar un producto o servicio online; recomendaciones en caso de que el ciudadano decida comprar; qué derechos y garantías le asisten después de completar la compra, y cómo reclamar en caso de que sea necesario. Estos apartados se complementan con un decálogo de consejos básicos que recogen algunos de los aspectos más relevantes.

Cómo proteger el dispositivo desde el que se realiza la compra; identificar tiendas de confianza; detectar posibles fraudes; medios de pago recomendados; cómo configurar las cuentas de usuario; qué hacer ante la recepción de un producto defectuoso o qué derechos tiene el ciudadano sobre sus datos personales son algunos de los aspectos tratados tanto en la guía como en las fichas prácticas. Además, los temas planteados se complementan con enlaces a contenidos que amplían la información ofrecida en cada uno de los apartados.

Cómo utilizar el correo electrónico de forma segura (fuente: Centro Criptológico Nacional)

/en , , , /por

Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros.

El incremento y efectividad de la ingeniería social para engañar a los usuarios por medio de correos electrónicos ha modificado el paradigma de la seguridad corporativa.

Actualmente los cortafuegos perimetrales y la securización de los servicios expuestos a Internet no son contramedidas suficientes para proteger una organización de ataques externos. Algunas recomendaciones para utilizar el correo electrónico de forma segura:

• No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
• No confiar únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
• Antes de abrir cualquier fichero descargado desde el correo, hay que asegurarse de la extensión y no fiarse del icono asociado al mismo.
• No habilitar las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
• No hacer clic en ningún enlace que solicite datos personales o bancarios.
• Tener siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el
navegador (incluyendo los plugins/extensiones instaladas).
• Utilizar herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
• Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido, es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
• Utilizar contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas y si es posible utilizar doble autenticación.
• Cifrar los mensajes de correo que contengan información sensible.

De felicitaciones navideñas, whatsapp y protección de datos…

/en , , , /por

De que estamos en unas fechas donde queremos felicitar y desear lo mejor a todo el mundo… no cabe duda. Pero lo que much@s no saben es que podemos encontrarnos con un grandísimo lío si agregamos en el típico grupo de whatsapp a alguien que no desea ser incluido.

 

En estas cuestiones hay que ser precavido para no meter la pata, más aún si ese grupo, en lugar de un grupo de amigos, va a ser un grupo de clientes, el clásico grupo de mamis y papis del cole, o incluso para informar sobre la reserva de la cena de empresa (hora de la quedada, menú elegido, quién lleva el coche…).

 

¡¡Mucho ojo con tener el consentimiento PREVIO de la persona antes de incluirla en dichos grupos!!

Si no tenemos consentimiento por su parte estaremos vulnerando la Normativa de Protección de Datos y podríamos enfrentarnos a sanciones económicas

 

Y si no, que se lo pregunten a este hostelero que decidió incluir a los comensales de una reserva para una cena navideña:  PINCHA PARA VER LA NOTICIA EN “EL PAÍS”

 

Os dejamos con el enlace a una noticia de una sanción al Ayuntamiento de Boecillo, que también ha sufrido por este tema: PINCHA PARA VER LA NOTICIA EN “EL PLURAL.COM”

 

Acabando con un buen sabor de boca y un poco de humor, aquí teneis un guiño a los grupos que se forman sobre actividades del colegio (es gracioso, pero ¡acordaos de pedir consentimiento previo antes de agregar a alguien a un grupo! 🙂 ): PINCHA AQUÍ PARA TERMINAR EL ARTÍCULO CON UNA SONRISA 🙂

 

¡¡APROVECHAMOS PARA DESEAROS UNAS FELICES FIESTAS A TOD@S!!

ESPERAMOS QUE RECIBAIS TODAS LAS FELICITACIONES DE FORMA ESPECIAL, CON MUCHAS VISITAS Y ABRAZOS VIRTUALES DE VUESTROS SERES QUERIDOS, Y CON MENOS MENSAJES DE “COPIA Y PEGA” O DE “REENVÍO” A TRAVÉS DE UN GRUPO DE WHATSAPP.

AUNQUE TENGAMOS UNAS NAVIDADES DIFERENTES, ESTE AÑO TENEMOS QUE SER RESPONSABLES 🙂 🙂 🙂 🙂 🙂