Enlaces de interés

 

Asociarme

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

boletin

Home / "boletin"
Featured image
por ASECOPS GESTION27 de julio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “PRIVACIDAD Y SEGURIDAD”

Por Andrés Calvo (Inspector de la División de Innovación Tecnológica de la Agencia Española de Protección de datos – AEPD)

Sin privacidad no hay ciberseguridad.

Partimos de posicionamientos dispares para la evaluación de impacto em el tratamiento de la seguridad y de la privacidad:

  1. Las organizaciones que se ocupan de la seguridad, la privacidad está dentro de la seguridad, que es la visión que ofrece la norma de certificación ISO/IEC 27701:2019, como extensión de la ISO 27001 en materia de privacidad de datos, para las organizaciones que buscan establecer sistemas de gestión para apoyar el cumplimiento del RDPD y otros requisitos legales de privacidad de datos. Pero apoyar el cumplimiento no es cumplir.
  2. Las organizaciones que se ocupan de la privacidad, y dentro de ésta se ocupa de la seguridad.
  3. Las organizaciones que en la evaluación de impacto se ocupan por igual de la seguridad y de la privacidad en el punto de intersección se encuentra el cumplimiento legal.

Limitarse al cumplimiento del RDPD no es seguro, porque son modelos de mínimos. Por tanto hay una relación entre seguridad y privacidad pero nunca una sustituye a la otra o viceversa.

El RGPD lo que pretende es que se conozca la naturaleza del tratamiento de los datos, conocer el ámbito, el alcance, el contexto y en función de ello aplicar las medidas de seguridad correspondientes, en función del riego para los derechos y libertades de las personas.

Para aplicar las medidas de seguridad adecuadas según el tratamiento de protección de datos, debemos entonces tener en cuenta:

  • La tecnología es por naturaleza insegura.
  • En consecuencia, la economía digital es, también por naturaleza, insegrura.
  • Nada es seguro al 100%.
  • Las personas físicas somos el punto más fácil de atacar, por tanto
  • Las personas físicas son uno de los objetivos en la ciberdelincuencia.
  • Las organizaciones son otro de los objetivos de la ciberdelincuencia.
  • Vivimos en un contexto de ciberguerra permanente.
  • La inseguridad por defecto y desde el diseño es una realidad.

Por ejemplo, se tiene por seguro el blockchain, como sistema de tratamiento de datos, pero se tienen noticias de organizaciones y personas que han perdido su dinero por brechas de seguridad en blockchain.

El RGPD indica que los avances tecnológicos requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en toro el mercado interior.

Las personas físicas deben temer el control de sus propios datos personales. Por tanto, hay qie reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

La jurisprudencia actualmente no penaliza de la misma forma una suplantación de identidad digital como la suplantación física, y debería ser igual.

Para los derechos digitales la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales destacar los artículos:

Artículo 82. Derecho a la seguridad digital.

Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.

Artículo 83. Derecho a la educación digital.

  1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un consumo responsable y un uso crítico y seguro de los medios digitales y respetuoso con la dignidad humana, la justicia social y la sostenibilidad medioambiental, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Administraciones educativas deberán incluir en el desarrollo del currículo la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.

  1. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.
  2. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.
  3. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.

Artículo 84. Protección de los menores en Internet.

  1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.
  2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

Relación protección de datos y seguridad en el RGPD:

Elementos de responsabilidad de obligado cumplimiento:

  • Gestión del riesgo art. 24.1
  • Políticas de Protección de Datos art. 24.2
  • Registros de Actividades de Tratamiento art. 30
  • Evaluación de Impacto de la Privacidad art. 35-36
  • Privacidad por Defecto y desde el diseño art. 25
  • Seguridad para Derechos y Libertades art. 32
  • Gestión de Brechas de Datos Personales art. 33-34
  • Transparencia art.12
  • Auditoría art. 24-28-39-47
  • Delegado de Protección de Datos art. 37-39

Los requisitos optativos son:

  • Códigos de Conducta art. 40-41
  • Certificación art. 42-43

Responsabilidad proactiva integrada en el RGPD:

  • Legitimación:
    • Causas legitimadoras
    • Categorías especiales
  • Principios:
    • Licitud del Tratamiento
    • Categorías Especiales
    • Lealtad
    • Transparencia
    • Minimización
    • Necesidad y proporcionalidad
    • Exactitud
    • Conservación
    • Seguridad
    • Capacidad de demostrar
  • Derechos:
    • Transparencia
    • Información
    • Acceso
    • Rectificación
    • Supresión
    • Limitación
    • Portabilidad
    • Oposición
    • Perfilado y decisiones automatizadas
  • Aplicación del RGPD
    • Autoridades y Competencias
    • Cooperación y coherencia
    • Responsabilidades y sanciones

La ciberseguridad por tante es una pequeña parte de la seguridad en la protección de datos. Las limitaciones de la ciberseguridad para la protección de datos estriban en la gestión del riesgo de la privacidad. Lo que mueve la seguridad en el contexto de la protección de datos son los requisitos de privacidad y no al contrario.

El RGPD es una herramienta muy buena a la hora de proteger la privacidad y sin privacidad no hay seguridad.

CONCLUSIONES:

La seguridad total no existe, por tanto hay que considerar que se va a producir una brecha de datos personales y diseñar las medidas de privacidad adecuadas minimizarán el impacto.

Los sistemas actuales son inseguros por defecto y desde el diseño. Constantemente hay brechas en sistemas considerados ”seguros”, por tanto constantemente hay que instalar parches de seguridad.

Esta realidad es un factor que hay que tener en cuenta, sobre todo, cuando la seguridad es una de las razones que habilitan un tratamiento.

El Delegado de Protección de Datos y el CISO deben trabajar juntos, pero en ningún caso la seguridad:

  • no es el fin de la protección de datos
  • es un principio más
  • no sustituye al resto de principios
  • es necesaria pero no suficiente
  • suma y no debe restar

La gestión del riesgo del sistema de información debe tener en cuenta:

  • Requisitos para la gestión del riesgo para los derechos y libertades de las personas.
  • Requisitos para la gestión del riesgo de la organización.
  • Requisitos normativos, contractuales, etc.
  • Otros requisitos en función del ámbito de actividad de la empresa.
Leer más
Featured image
por ASECOPS GESTION26 de julio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “CIBERATAQUE A PROVEEDOR DE SERVICIOS TECNOLÓGICOS. CASO REAL. APRENDIZAJES POSITIVOS.”

Por D. Fernando Montero Romero (Director de Operaciones de FREEMATICA ESPAÑA)

Descripción pormenorizada de la experiencia como víctima de un ciberataque de tipo ransomware y la decisión de no pagar rescate en FREEMATICA como proveedor de software para el sector seguridad.

El software satélite con el cual nuestros clientes pueden gestionar todos sus procesos que conllevan datos de Recursos Humanos, CRM, ofertas, facturación, contabilidad, finanzas, compras en stock.

Con este software ERP el cliente controla:

  • Gestión de los cuadrantes
  • Gestión y mantenimiento de todas las instalaciones
  • Gestión de eventos
  • Rondas
  • Acudas

Para nuestros clientes el ERP es una solución totalmente estratégica porque aparte de gestionar todos y cada uno de sus procesos están monitorizando en tiempo real lo que está sucediendo con su negocio.

En el ciberataque que sufrimos en junio de 2021 de tipo ransomware, inicialmente dejó sin servicio a todos nuestros clientes se actuó inmediatamente de la siguiente forma:

  1. Aislar, apagar y cerrar todo el espacio nube (cloud) y data Center, para evitar la propagación a otras máquinas y a clientes.
  2. Se notificó a todas las autoridades competentes, Fuerzas y Cuerpos de Seguridad del Estado, Agencia de Protección de Datos, INCIBE: para que supieran la gravedad del asunto de lo que nos estamos enfrentando y para obtener apoyo y soluciones.
  3. Montar un plan de comunicación transparente y constante a los clientes y asesorarles.
  4. Tomar la decisión firme de no pagar ningún tipo de rescate y empezar a desplegar nueva infraestructura progresivamente para que todos nuestros clientes volvieran a empezar a trabajar
  5. Recopilación de datos, detalles sobre el tipo de ransomware, vectores de ataque, archivos cifrados y comunicación recibida de los atacantes.
  6. Colaboración con socios y expertos aprovechando su conocimiento y experiencia, nuestros clientes volvieron a trabajar con total normalidad y no se vieron afectados gracias a nuestro plan de contingencia
  7. Revisión final exhaustiva de nuestros sistemas y procesos que permitieron fortalecer nuestra postura de seguridad.
  8. Adquirir un nuevo compromiso con la protección, trabajo continuo para garantizar la confidencialidad e integridad de los datos confiados.

Por la experiencia recomendamos tener siempre una Plan de Contingencia, que, como el caso explicado, salvó a FREEMATICA de daños mayores.

Leer más
Featured image
por ASECOPS GESTION26 de julio de 2023 boletin0 comentarios

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “CIBERRIESGOS: CÓMO ASEGURARLOS EN ESTA NUEVA REALIDAD”

Por Doña Carolina Daantje (Directora de Ciberriesgo de WTW)

Según datos de la empresa WTW, que cuenta con 40.000 trabajadores en 140 países, los incidentes cibernéticos constituyen el mayor temor para las empresas a nivel mundial. Un 42% de los encuestados lo identifican como su principal miedo. En este punto el ransomware es la principal causa de siniestros en estos seguros que, en ocasiones, puede salir más rentable pagar un rescate que paralizar la acción de una compañía durante semanas. Es algo que deben decidir en cada caso los expertos, que actúan por cuenta de la compañía de seguros durante las primeras 72 horas, claves para resolver un incidente.

Factores de riesgos:

Los siguientes son algunos elementos fundamentales que pueden aumentar el riesgo cibernético:

  • Empleados, proveedores y/o clientes que acceden a su sistema desde ubicaciones remotas.
  • Empleados que utiliza dispositivos de la compañía en sus hogares o mientras viajan.
  • Acceso de los empleados desde sus ordenadores personales al sistema de la empresa.
  • Una política que permita el uso de dispositivos personales en el lugar de trabajo.
  • Acceso al edificio público sin el uso de una tarjeta de identificación.
  • Empleados que usan ordenadores para acceder a las cuentas bancarias y/o realizan transferencias de dinero.
  • Una política débil cuando se trata de actualizar regularmente las contraseñas.
  • La custodia de la información crítica que podría perderse en caso de un ataque a la red.
  • No haber revisado las políticas de seguridad cibernética de la empresa en los últimos 12 meses.

¿Qué cubre el Seguro de Ciberriesgos?

A TERCEROS:

Responsabilidad por seguridad en las redes. Reclamaciones y gastos de defensa originados por:

  • Acceso no autorizado o uso no autorizado del sistema o del sistema de un proveedor de servicio.
  • Denegación de servicio.
  • Transmisión de un código malicioso.

Responsabilidad por el uso y tratamiento de la información. Reclamaciones y gastos de defensa originados por la revelación no autorizada de información personal o corporativa.

Responsabilidad civil multimedia. Reclamaciones y gastos de defensa originados por:

  • Libelo, calumnia.
  • Incumplimiento no intencionado de los derechos de propiedad intelectual.
  • A través de la página web o medios digitales.

DAÑO PROPIO:

Interrupción del sistema: Pérdida de beneficios y costes adicionales.

Reconstrucción de datos: gastos de un experto en IT para reconstruir, recuperar o restablecer los datos.

Gestión de crisis: Gastos para responder ante una brecha de seguridad incluyendo:

  • Gastos de un experto de IT para la investigación y remediar la brecha de seguridad.
  • Gastos de notificación a los afectados y los organismos reguladores y habilitar call centers.
  • Gastos de monitorización del crédito.
  • Gastos de restitución de imagen.

¿Cómo responde el seguro?

  • Cómo es el proceso de primera respuesta ante una brecha de seguridad:
  • 1º. Brecha de seguridad descubierta.
  • 2º. Inmediatamente se precisa mitigar la pérdida por la interrupción, posibles litigios, investigaciones. Protección de datos.
  • 3º. Solución inmediata, primera respuesta: llamar al nº de emergencia del seguro, facilitando nº de póliza y coordinar con el equipo de expertos para reducir el impacto.
  • 4º. Una vez se resuelve el incidente, el asegurado presenta las facturas u la aseguradora asume los costes incurridos en las primeras 72 horas normalmente.
  • Cuestionarios e Información necesaria para cotizar al seguro:
  • Cuestionario General
  • Cuestionario de Ransomware
  • Exposición a vulnerabilidades explotadas (solarwind, accellion, etc.)
  • Multifactor de autentificación implementado en todos los accesos en remoto.
  • MS Exchange Server exposure.
  • Políticas de teletrabajo.
  • Cómo es el manejo y cuántas cuentas privilegiadas tienen.
  • Exposición a proveedores de servicios y responsabilidad contractual.
  • Sistemas OT y IT.

Medidas clave que tiene que tener en el asegurado:

  • Formación y concienciación de los empleados.
  • Seguridad en los correos electrónicos.
  • Política de parcheo.
  • Protocolo de primera respuesta.
Leer más