Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Nada se resiste a los cibercriminales

Nada se resiste a los cibercriminales

¿Es posible realmente protegernos del ataque de los cibercriminales?

Proteccion de datos frente a los cibercriminales

Nada se resiste al ataque de los cibercriminales

No hay semana que no nos desayunemos con el sobresalto de un nuevo ataque con robo de datos de alcance mundial.

Ashley Madison, LinkedIn, Twitter, Gmail, VK, Bufetes de Abogados como el de Mossack Fonseca (cuyo, por cierto, inexistente cumplimiento legal en su web debería haber prevenido a más de uno…), listas de electores, datos de pacientes de hospitales…. Parece que no hay nada que se resista a los cibercriminales sin importar el tipo de información de que se trate o las consecuencias que puedan tener su pérdida o divulgación.

El panorama es, ciertamente, desolador. Millones de personas a lo largo y ancho del mundo cuya información personal y confidencial ha sido filtrada o robada para pedir un rescate por ella o, simplemente, vendida al mejor postor.

Por si los datos no fueran lo suficientemente aterradores, basta darse una vuelta por cualquier conferencia de seguridad para comprobar la facilidad con la que usuarios maliciosos pueden hacerse con nuestra información o secuestrar nuestros equipos y cuentas con tan solo un par de clics, aprovechando vulnerabilidades no corregidas o, en la mayoría de ocasiones, descuidos en nuestra tarea de implementar medidas de protección preventiva.

Los  cibercriminales no son sólo señores con máscaras blancas o encapuchados encerrados en cuartos oscuros. Hay un verdadero mercado de cibercriminales en la Deep Web ofreciendo sus servicios “con resultados garantizados” por precios ridículos poniendo al alcance de cualquier persona malintencionada (y sin escrúpulos, todo hay que decirlo) la potencial posibilidad de hackear, por mandato, a quien se le cruce en su camino.

De todo esto sólo es posible alcanzar una clara conclusión:

El uso de Internet, con todas las ventajas a nivel de comunicación, información, inmediatez e interacción, no está a salvo, ni mucho menos, de la delincuencia informática.

Para aprovechar todas sus ventajas deberemos aceptar un cierto grado de riesgo que será, además, proporcional a su uso (a mayor uso, mayor riesgo) y a su comodidad de uso (a mayor comodidad, mayor riesgo. La seguridad es, por tanto, “incómoda”).

Si es importante tener controlado al máximo este escenario cuando hablamos de cuentas y datos personales, es una tarea que se convierte en imprescindible cuando hablamos de empresas, al almacenar y tratar información y datos,  propios y ajenos, de clientes y proveedores.

Proteger los datos personales de nuestros clientes es mimar su confianza.

Estudios realizados por Harris Interactive desde 2012 demuestran que el 89 % de los consumidores en Estados Unidos han dejado de hacer negocios con empresas que no garantizaban su privacidad. Es bastante obvio, a raíz de estas abrumadoras cifras, que si queremos que nuestra empresa sea confiable para nuestros clientes deberemos centrar el foco en proteger su privacidad.

Hacer de la Política de Protección de Datos una política global en la empresa.

Mantener los datos de nuestros clientes seguros y a buen recaudo no es solo un problema del departamento de IT. Para maximizar la seguridad, todos los empleados de la organización deben implicarse y ser considerados como responsables de la protección y seguridad de los datos.

Evidentemente, las empresas certificadas en ISO 27001 ofrecen mayores garantías. El previo diseño e implantación de un Sistema de Gestión de Seguridad de la Información determina como mínimo mantener actualizadas las políticas y medidas necesarias para garantizar la seguridad y privacidad de los datos de toda la organización incluidos, por supuesto, los de los clientes.

Es por ello que, aunque consideremos que nuestra empresa es una PYME y hasta ahora no se nos haya requerido tener implantado un Sistema de Gestión de la Seguridad de la Información para ninguna contratación, va siendo hora de empezar a priorizarla identificación de nuestros puntos fuertes y débiles en materia de seguridad de la información, como mínimo haciendo especial hincapié en dos de las principales causas de fuga de información empresarial: las políticas BYOD y las amenazas de phishing.

Mantener informados a los clientes.

No hay nada que genere más desconfianza hacia una empresa que entrar en su página web y comprobar que no tienen política de privacidad, o que tienen cinco líneas que no expresan nada con claridad, o manifiestamente copiada. Esto transmite la más absoluta dejadez, desinterés por el cumplimiento y, además, falta de transparencia hacia lo que se supone que van a hacer con nuestros datos como usuario/cliente.  ¿Cómo voy a proporcionar mis datos bancarios, de salud o simplemente de contacto a quien no sólo no me dice lo que pretende hacer con ellos sino que parece ni siquiera saberlo?.

La información es poder y cuanto más sepan nuestros clientes lo que estamos haciendo con sus datos, mayor será la confianza transmitida, mejor la imagen de marca y, por lo tanto, mayores serán las posibilidades de captarles y fidelizarles como clientes.

Al margen de las correspondientes (y obligatorias, por otra parte) políticas de privacidad y protección de datos, comunicar a los usuarios cualquier modificación en las mismas, cualquier posible riesgo que pueda afectar a sus datos y establecer un canal de comunicación directo con ellos para solventar sus dudas en este sentido, son, no cabe duda, buenas y recomendables prácticas para con nuestros clientes en refuerzo de nuestra marca.

Tener previsto un plan de emergencia.

Las contraseñas seguras y una política integral de seguridad de los datos son dos aspectos en los que casi siempre se trabaja activamente (lo cual es necesario, lógicamente), pero también deberíamos trabajar en el supuesto de que suceda una violación, una fuga, una pérdida de datos o cualquier otro problema que afecte a la información y los datos que debemos proteger.

Disponer de políticas adecuadas para cuando se produzca el peor de los escenarios y mantener informados de las mismas a toda la organización, reducirá la probabilidad, además, de un costoso problema de reputación si se presenta una crisis por infección  maliciosa con la consiguiente consecuencia de pérdida o fuga de información.

Evitemos almacenar datos confidenciales (innecesarios o más allá del tiempo y finalidad imprescindibles).

Salvo que alguna razón de peso nos obligue, los datos sensibles de nuestros clientes, como pueden ser números de tarjetas de crédito, números CVV2, datos de salud, orientación sexual o datos biométricos, es mejor no tenerlos almacenados en nuestro sistema.

Si no almacenamos esos datos, es imposible que nos los roben y, por tanto, estaremos evitando  tanto la posibilidad de sufrir ataques como de incurrir en sanciones derivadas del robo de esa información si se demuestra que no hemos sido lo suficientemente diligentes en su custodia o nos hemos extralimitado en  la finalidad prevista.

Este punto me resulta particularmente curioso porque, en el día a día del asesoramiento a empresas con eCommerce, nos solemos encontrar con que la mayoría de las pasarelas de pago no están ofreciendo el sistema de pago seguro o están todavía intentando hacer creer al empresario que la comodidad prima para los usuarios frente a la seguridad.

Mi recomendación para las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales) es siempre establecer sistemas de pago seguro contratando pasarelas certificadas en las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) o como mínimo, establecer un sistema de tokenización validado utilizando las mejores prácticas de seguridad aplicables a la protección de datos sensibles, almacenamiento seguro, auditoría, autenticación y autorización.

Auditar, Actualizar, Repetir.

Una vez que nuestras políticas de seguridad de datos están diseñadas, metodológicamente en orden, implantadas, comunicadas y aplicables, deberemos mantenerlas actualizadas, auditarlas y evaluarlas de forma regular (al menos una vez al año), si no más a menudo.

Nadie-se-libra-de-los-cibercriminalesComprobar, mediante auditorías tanto internas como externas, la salud de nuestras políticas de privacidad y protección de datos, será la mejor herramienta para asegurarnos una correcta aplicación de las mismas y que los datos que nuestros clientes nos han confiado permanecen a salvo.

En este sentido, la reciente aprobación del Reglamento General de Protección de Datos, de aplicación directa a todos los estados miembros de la Unión Europea, si bien concede un plazo de dos años adaptar las normativas nacionales y desarrollar directrices de aplicación, proporciona un nuevo marco regulatorio en el que debemos movernos desde ya, porque es el que vamos a tener que cumplir.

Como las novedades son muchas, vamos a comentar como conclusión de este post, cinco novedades más o menos relevantes que nos proporciona el Reglamento General de Protección de Datos (GDPR), y que trataré de explicar de la manera más sencilla posible para facilitar su adaptación a cada caso concreto.

Consentimiento.

Si bien el tema de recabar expresamente el consentimiento del usuario no es nuevo, sí que se han fortalecido los requisitos a tener en cuenta en el nuevo GDPR. La solicitud del consentimiento de nuestros usuarios para el procesamiento de sus datos personales, se deberá hacer de manera explícita siendo recabado además el consentimiento de forma inequívoca mediante una declaración o una acción expresa y afirmativa clara.

Las opciones en este sentido son varias, pero la más habitual pasa por una casilla de aceptación (que NO deberá estar pre-marcada) de las políticas correspondientes (enlazadas) entendiendo que, a falta de dicha aceptación expresa debe imposibilitarse el envío de los datos.

Cualquier otra opción que requiera una acción concreta y explícita por parte del cliente (firmar, hacer click, introducir una respuesta, etc) serán, así mismo, válidas.

Tener estas acciones como predeterminadas al consentimiento, que no sean indispensables para el envío de los datos o, simplemente, el silencio, constituyen distintos grados de incumplimiento que deberemos evitar siempre.

El consentimiento explícito y voluntario por parte del cliente deberá aplicarse en todas las plataformas y medios a través de los cuales nos relacionemos con él, ya sea en el entorno digital o tradicional.

Cualquier tratamiento de datos protegidos de nuestros clientes que no haya sido expresamente autorizado por los mismos es ilegal. Así de simple.

Nuevas responsabilidades para los responsables del tratamiento.

Los responsables del tratamiento de datos lo serán ahora, además de los propios datos, de las medidas técnicas utilizadas para la protección de los mismos.

Deberán de evaluar si las medidas existentes son suficientes y adecuadas con la finalidad y el alcance del tratamiento, la cantidad de datos recogidos, el período de almacenamiento de los mismos y su accesibilidad, etc.

Se trata del principio de responsabilidad que venimos asesorando implementar desde el comienzo de cualquier proyecto empresarial. Se trata de considerar la privacidad desde el diseño (privacy by design).

Deber de información en caso de incumplimiento de informes de datos.

Las brechas de seguridad de los datos recogidos y tratados deberán ser comunicadas a la autoridad de control dentro de las 72 horas siguientes a tener conocimiento de la infracción.

La elaboración y presentación de estos informes sobre las violaciones de datos personales dependerá de una serie de aspectos fundamentales a tener cubiertos por la organización, como, por ejemplo, si sabe dónde están almacenados esos datos, cuándo pueden ser violados, cuánto tarda en detectarse una violación de datos o cuánto se tardaría en hacerle frente.

Figura del Delegado (Oficial) de Protección de Datos (DPO).

La figura del Delegado de Protección de Datos será obligatoria, no solo en administraciones Públicas, sino en todas las empresas cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares, así como aquellas cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidos (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

Esta función podrá ser desempeñada por un empleado interno o externalizarse, siempre y cuando se cumplan unas determinadas competencias profesionales en derecho y se acredite el conocimiento experto de la normativa de protección de datos y su práctica.

Multas y sanciones.

Las multas por incumplimiento pueden llegar, con el nuevo GPDR, hasta 20 millones de euros o el 4% del volumen anual de negocio, siendo éste el máximo entre diversas graduaciones.

El incumplimiento de las obligaciones como responsable del tratamiento podría desembocar en multa de hasta 10 millones de euros o el 2% de la facturación global anual (lo que sea mayor). Mientras que el incumplimiento sobre los principios básicos del tratamiento (como pudiera ser el consentimiento, los derechos de los interesados o los mecanismos de transferencia de datos, podrían llegar a esos 20M de euros o el 4% de la facturación global anual (la cifra más alta).

Ciberseguridad y protección de datos van muy de la mano hoy en día, y esto…. sólo acaba de empezar!

By | 2017-04-17T20:24:08+00:00 junio 17th, 2016|Blog, ciberseguridad|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment