Reconocimiento facial y protección de datos: nuevas pautas en la Unión Europea
El Comité Europeo de Protección de Datos avanza hacia un marco jurídico europeo para las tecnologías de reconocimiento facial. En la era de la creciente adopción de tecnologías basadas en inteligencia artificial, el reconocimiento facial se ha convertido en una de las formas más frecuentes de identificación biométrica. En Europa, estamos presenciando un alarmante despliegue de esta técnica conocida como tecnología de reconocimiento facial (TRF), que se implementa a menudo sin conocimiento público y sin las salvaguardas legales necesarias. El hecho de que cada vez más entidades se beneficien de las funcionalidades de la TRF nos debe hacer pensar acerca de los riesgos y obligaciones asociados a su implementación. En este sentido, es importante destacar la reciente sanción impuesta por la Agencia Española de Protección de Datos contra una conocida patronal de telecomunicaciones por el tratamiento de datos biométricos a través de sistemas de reconocimiento facial sin haber realizado previamente la correspondiente evaluación de impacto. Directrices CEPD Con el fin de abordar los desafíos que plantea esta tecnología, el Comité Europeo de Protección de Datos (CEPD) publicó en mayo de 2022 un primer borrador de las Directrices 05/2022 sobre el uso de tecnología de reconocimiento facial en el ámbito del orden público. La primera versión estuvo sometida a un proceso de consulta pública hasta el 27 de junio de 2022 y, finalmente, el 17 de mayo de 2023, el CEPD adoptó la versión final, habiendo actualizado y añadido algunas recomendaciones. El objetivo principal de estas directrices es orientar a los legisladores y autoridades policiales tanto nacionales como de la Unión Europea sobre la aplicación y el uso de técnicas de reconocimiento facial. Aunque estas directrices se centran principalmente en el uso de sistemas de TRF en el marco de investigaciones penales de conformidad con la Directiva 2016/680 sobre tratamiento de datos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, lo cierto es que también incluyen una serie de pautas y aclaraciones de carácter general. Estas disposiciones más generales son relevantes no sólo para las autoridades que hagan uso de TRF en el contexto de investigaciones penales, sino también para todas las entidades que se beneficien de esta tecnología en otros ámbitos, como el control de acceso a instalaciones, la realización de pagos electrónicos o el acceso a dispositivos o aplicaciones, entre otros. Datos biométricos Las directrices explican que la TRF es un tipo de tecnología cuyo funcionamiento se basa en la probabilidad y en el análisis de rasgos faciales para la identificación automática de individuos. Esta técnica forma parte de la denominada tecnología biométrica, que consiste en utilizar procesos automatizados para reconocer a las personas basándose en sus características físicas, fisiológicas o de comportamiento, como las huellas dactilares, la estructura del iris, la voz o incluso la forma de andar. El texto se centra en el uso de TRF con dos fines: autenticación e identificación. La autenticación consiste en verificar la identidad de una persona comparando una plantilla biométrica almacenada con su rostro, mientras que la identificación pretende encontrar a una persona concreta analizando su rostro y comparándolo con los existentes en una base de datos. El CEPD señala la importancia de que los responsables del tratamiento lleven a cabo evaluaciones periódicas y sistemáticas de estos procedimientos algorítmicos. Estas evaluaciones tienen como objetivo garantizar la calidad, fiabilidad y exactitud de los resultados obtenidos del tratamiento de estos datos biométricos. Por otra parte, el CEPD confirma que el tratamiento de datos biométricos constituye una injerencia en los derechos reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, en particular vinculados con el respeto a la vida privada y la protección de datos personales. En relación con esto último, a lo largo del texto el CEPD insiste en que, de conformidad con lo dispuesto en la Carta, el uso de estas herramientas de reconocimiento facial solo debe llevarse a cabo en situaciones estrictamente necesarias y proporcionadas. Directiva 2016/680 En el marco jurídico de la Directiva 2016/680, cabe destacar la prohibición de tomar decisiones automatizadas y crear perfiles basados en categorías especiales de datos, salvo que se implementen medidas adecuadas para proteger los derechos, libertades e intereses legítimos de las personas físicas afectadas. Por otra parte, según el CEPD, la identificación biométrica remota en espacios públicos plantea serios desafíos para la privacidad de las personas y contradice los principios de una sociedad democrática al implicar una vigilancia masiva. En esta misma línea, el pasado 14 de junio de 2023 el pleno del Parlamento Europeo adoptó su posición negociadora sobre la Ley de Inteligencia Artificial y acordó prohibir el uso de sistemas de reconocimiento facial en tiempo real por parte de autoridades públicas o entidades privadas en espacios de acceso público. Asimismo, cabe destacar que el CEPD considera que el uso de TRF o tecnologías similares con el fin de deducir las emociones de una persona debería prohibirse y que el tratamiento de datos personales en un contexto policial no debe fundamentarse en bases de datos construidas mediante la recopilación indiscriminada y masiva de datos personales como, por ejemplo, mediante el scraping de fotografías e imágenes faciales disponibles en Internet. ¿Categorías especiales de datos? Desde hace tiempo, la AEPD ha venido sosteniendo que los datos biométricos no se consideran datos especialmente protegidos, a menos que se utilicen para identificar de manera inequívoca a una persona. Esta postura difiere de la adoptada por el CEPD en las directrices, en las que establece que los datos biométricos tienen la consideración de categorías especiales de datos tanto para la función de identificación como para la de autenticación. Ello nos hace pensar que la AEPD deberá reconsiderar su postura a los efectos de alinearse con el CEPD, cosa que no ocurrirá con la Autoridad Catalana de Protección de Datos que ya venía adoptando el criterio definido por el CEPD en las directrices. Podría interesarle: Roban las credenciales de más de 100.000 cuentas de ChatGPT con el empleo de ‘infostealers’ Esta nueva interpretación podría generar incertidumbre en el panorama
¿Se han adaptado las páginas web al RGPD?
¿Están todas las páginas web adaptadas al RGPD? ¿Qué ocurre si no cumples las normas de protección de datos? ¿Cómo adaptar una página web? Como saben, el RGPD es una legislación de la Unión Europea que establece normas y regulaciones para la protección de los datos personales de los ciudadanos de la UE. Por lo tanto, si una página web recopila, procesa o almacena cualquier dato personal, debe cumplir con las disposiciones del RGPD. Sin embargo, el grado de cumplimiento de protección de los datos personales varía mucho entre diferentes páginas web. Algunas organizaciones y empresas, sobre todo del sector legal o grandes multinacionales, están a la vanguardia en cuanto a compliance y han tomado medidas para adaptarse a las regulaciones del RGPD, mientras que muchas otras, la inmensa mayoría de empresas, pueden estar en proceso de implementación o, simplemente, no cumplen con la normativa, incumplimiento que puede ser sancionado severamente. Es importante tener en cuenta que, como el RGPD es una ley de la Unión Europea, se aplica principalmente a las empresas y organizaciones que tienen operaciones en la UE o que tratan con ciudadanos de la UE. Las páginas web que no tienen una presencia o actividad relacionada con la UE pueden no estar directamente sujetas al RGPD. Sin embargo, es recomendable optar por cumplir con esta normativa incluso si no están legalmente obligadas a hacerlo, ya que demuestra el compromiso con la privacidad y la protección de datos. Las implicaciones de no implementar lo descrito por el RGPD en las páginas web de las empresas Según la Comisión Europea, en caso de incumplimiento de las normas de protección de datos, la empresa se arriesga a una posible infracción que incluye “apercibimiento, una prohibición temporal o definitiva del tratamiento y una multa de hasta 20 millones de euros o un 4% del volumen de negocio total anual mundial”. Las autoridades de protección de datos (APD) deben garantizar que las multas impuestas en cada caso serán “efectivas, proporcionadas y disuasorias” y se tendrán en cuenta varios factores, como “la naturaleza, la gravedad y la duración de la infracción”. Por lo tanto, si eres propietario de una pyme o eres autónomo y no sabes si estás cumpliendo o no el RGPD en tu página web, te recomiendo revisar la política de privacidad, la política de cookies y los términos de uso para determinar cómo tratas los datos personales de tus clientes o usuarios y si cumples con todas las disposiciones del RGPD. Muchos autónomos o pymes creen que si el negocio es pequeño y la página web es simple no va a llamar la atención de nadie, pero es un grave error pensar así y cualquier persona u organización puede ser sancionada ya que cualquiera puede denunciarte ante la AEPD. ¿Cómo cumplir con la normativa en mi página web? Así pues, para adaptar tu página web al RGPD, en primer lugar, debes informarte sobre todas las obligaciones y responsabilidades legales en cuanto al tratamiento de los datos personales y realizar un análisis de los mismos para identificar los tipos de datos que recopila tu página web, cómo los procesas y con qué finalidad lo haces. Por supuesto, para recopilar estos datos debes obtener el permiso explícito y específico de los usuarios, el consentimiento debe ser libre, informado y otorgado de manera voluntaria. Es por ese motivo que los desarrolladores web buscamos la mejor forma de implementación en las páginas web con el fin de que tanto información como obtención de permisos se adecúen a la norma, ya sea a través de banners, llamadas a la acción, pestañas con la información específica, etc. Lea también: ¿Cómo evitar un ‘hackeo’ de tu red WiFi? Por lo tanto, para que los usuarios concedan sus datos de forma voluntaria a través, por ejemplo, de un formulario de contacto o de compra online, debes proporcionar información clara sobre tu política de privacidad en la página web. En esta sección debes especificar qué datos se recopilan, cómo se utilizan, qué personas o persona tiene acceso a ellos, cuál es la finalidad para la obtención de los mismos y cómo los usuarios pueden ejercer sus derechos de privacidad. Asimismo, deberás ofrecer opciones de control de los datos personales para que los usuarios puedan eliminarlos o modificarlos. FUENTE: Sánchez Valdés, Diego. »¿Se han adaptado las páginas web al RGPD?» Legaltoday.com. 21/06/2023. (https://www.legaltoday.com/practica-juridica/derecho-publico/proteccion-datos/se-han-adaptado-las-paginas-web-al-rgpd-2023-06-21/).
El mercado de ciberseguridad crece a doble dígito
El mercado de ciberseguridad alcanzó los 18.600 millones de dólares en el primer trimestre del año tras registrar un crecimiento del 12,5 %. El mercado de la ciberseguridad movió 18 600 millones de dólares durante el primer trimestre del año. Esta cifra supone un crecimiento interanual del 12,5 %. También implica superar al resto del sector tecnológico en un contexto económico complicado. “Los clientes priorizaron el gasto en los proyectos más urgentes y aquellos que generaron el mayor rendimiento”, explica Matthew Ball, analista jefe de Canalys, compañía que aporta estas cifras. “Unos ciclos de ventas más prolongados, los retrasos y la reducción de proyectos fueron en aumento, mientras que los programas de actualización de hardware se trasladaron a trimestres futuros”, añade. “Mejorar la resiliencia cibernética sigue siendo una prioridad para la mayoría de las organizaciones”, a pesar de los desafíos macroeconómicos en curso y un mayor escrutinio del presupuesto de TI”. La seguridad de la identidad es una de las prioridades actuales, así como proteger a los trabajadores híbridos. El crecimiento del mercado de ciberseguridad, desglozado Por vendedores, Palo Alto Networks ocupa el primer lugar, seguido de Fortinet, Cisco, CrowdStrike y Check Point. El mercado se encuentra fragmentado, con doce compañías que aglutinan cerca de la mitad (48,6 %) de la inversión en seguridad por parte de los clientes. El crecimiento está siendo especialmente rápido entre los clientes de mayor tamaño. Esto es, organizaciones de 100 a 499 empleados, que mejoraron un 13,5 %, y de más de 500 empleados, que lo hicieron un 13,3 %. Mientras, las ventas a compañías de 10 a 99 y de 1 a 9 empleados crecieron un 7,5 % y un 4,3 %, respectivamente. Podría interesarle: Fortinet revela los riesgos que enfrentan los empleados en materia de ciberseguridad Por regiones, Norteamérica es el mercado más grande para la ciberseguridad, con 9700 millones de dólares. EMEA (Europa, Oriente Medio y África) se coloca en segundo lugar con 5800 millones de dólares. Por detrás están Asia-Pacífico (2500 millone) y Latinoamérica (660 millones). FUENTE: Tilves, Mónica. »El mercado de ciberseguridad crece a doble dígito» 21/06/2023. (https://www.silicon.es/el-mercado-de-ciberseguridad-crece-a-doble-digito-2481804).
Menos es más: cómo la minimización de datos ayuda a la ciberseguridad, el cumplimiento y los costos
Es posible que estemos recopilando más datos, pero no es necesario guardarlos todos. El impulso de la administración de Biden para una mayor seguridad en la nube, más estados que promulgan leyes de privacidad, nuevos mandatos en torno al cumplimiento: estos son solo otros recordatorios de los esfuerzos continuos para aprovechar, asegurar y aprovechar todos los datos que se generan. Y todos esos datos significan muchos datos: para 2025, según un conjunto de estimaciones, se crearán 463 exabytes de datos todos los días. Para tener una idea de la escala, recuerde que la ‘nube’ albergaba 4,4 zettabytes de datos en 2019. Para 2020, eran 44ZB; para 2025, tendrá 200ZB. Sin embargo, el volumen no puede ser el factor determinante en el establecimiento de políticas de gobierno de datos. La mejor manera de usar de manera efectiva buenos datos, y proteger los datos confidenciales, es desechar el resto a través de la minimización óptima de datos. En definitiva, menos es más. Esto puede parecer una herejía, pero no lo es. Los datos son de hecho vitales, pero solo es cierto para algunos datos, a menudo la información más confidencial que anhelan los piratas informáticos. La minimización de datos en el panorama macropolítico Por ejemplo, la Sección de Gestión de Archivos y Registros de las Naciones Unidas informa que solo del 5 al 10 por ciento de los registros oficiales de la ONU tienen valor permanente; el resto es superfluo, irrelevante e incluso peligroso de poseer. La minimización de datos es la disciplina que guía el proceso de limitar la recopilación y el almacenamiento de solo los datos necesarios para las operaciones, las reglamentaciones y los procedimientos legales. Casi todo lo demás se elimina, deliberada y estratégicamente. Lea también: Cómo garantizar la ciberseguridad en la industria automotriz Por supuesto, incluso los datos basura tienen problemas. Por ejemplo, los datos de los clientes conllevan desafíos bizantinos, pero todavía hay razones para minimizarlos. Están surgiendo mandatos de privacidad de datos por todas partes, y la mayoría fomenta la minimización: la Ley SHIELD de Nueva York cita medidas como la «eliminación de datos». Todo esto hace que la minimización sea la mejor práctica perfecta y un buen negocio. Entonces, ¿por qué sigue siendo un desafío tan grande? Por una razón: la mayoría de las organizaciones generalmente confían en los empleados para administrar sus propios datos, e incluso el profesional más diligente podría no tener las habilidades, el tiempo o la inclinación para verificar, almacenar y eliminar regularmente. Muchos datos, pero ¿Innecesarios? Considere su propio buzón corporativo: ¿Cuántos mensajes innecesarios hay, qué tan atrás van y cuántos tienen un archivo adjunto (y tal vez el mismo archivo adjunto varias veces)? Ahora agregue otros canales a la mezcla: diferentes tipos de correo electrónico, grabaciones de Zoom, conferencias de Microsoft Teams, etc. El administrador sigue advirtiendo sobre los límites de tamaño. En resumen, gran parte de los datos dentro de los límites digitales de una empresa son basura pura y repleta de riesgos. Por ejemplo, incluso cuando los datos están en el dispositivo personal de un empleado, están sujetos a restricciones y/o son relevantes para los procedimientos legales. Las solicitudes de acceso de sujetos de datos (DSAR) de los consumidores tienen un marco de tiempo ajustado y sanciones severas por incumplimiento. Y, por supuesto, una violación de datos puede ser devastadora cuando extrae información que la organización no sabía que tenía. Y eso es solo una muestra. Podría interesarle: ¿Qué es la ciberseguridad industrial y cómo implementarla? Desde nuestra propia experiencia e investigación, entendemos completamente cómo no siempre es una línea recta hacia la minimización. Sin embargo, ahora hay estrategias y tecnologías disponibles para identificar y almacenar los datos correctos y eliminar el resto. Los primeros pasos hacia el camino de la minimización efectiva Una vez más, en la era digital, puede parecer contradictorio centrarse en la minimización de datos. Pero ese es el punto: cuando los datos se definen más por la calidad que por la cantidad, y se almacenan a propósito en lugar de por defecto, ofrecen un valor real. El resto tiene que desaparecer. FUENTE: Popp, Tibi. »Menos es más: cómo la minimización de datos ayuda a la ciberseguridad, el cumplimiento y los costos» Datacenterdynamics.com. 22/06/2023. (https://www.datacenterdynamics.com/es/opinion/menos-es-m%C3%A1s-c%C3%B3mo-la-minimizaci%C3%B3n-de-datos-ayuda-a-la-ciberseguridad-el-cumplimiento-y-los-costos/).
Cómo garantizar la ciberseguridad en la industria automotriz
La ciberseguridad ha sido siempre una preocupación fundamental en la industria automotriz, y en la actualidad, en un contexto de creciente digitalización y redes, se vuelve aún más crucial. Con este objetivo, se ha implementado la norma ISO/SAE 21434 “Vehículos de Carretera – Ingeniería de Ciberseguridad”, que desde 2021 se aplica tanto a los fabricantes de automóviles como a sus proveedores. Así mismo, esta norma establece criterios y medidas de seguridad para la gestión de riesgos de ciberseguridad en el sector automotriz. De esta manera, se busca garantizar la protección de los vehículos contra posibles amenazas y ataques cibernéticos en todas las etapas. Sobre esto, Giesecke+Devrient (G+D) ha obtenido la certificación ISO/SAE 21434 que permite a la empresa proporcionar a la industria automotriz soluciones integradas con este estándar de ciberseguridad de los vehículos de motor. “Al cumplir con el estándar ISO/SAE 21434, ponemos una vez más el acento en la seguridad y somos una de las primeras compañías en recibir la certificación de ciberseguridad en vehículos de carretera”, señala Jan Eichholz, responsable de Seguridad en el negocio de Conectividad e IoT de G+D. Ciberseguridad en la industria automotriz con ISO/SAE 21434 La norma ISO/SAE 21434, complementaria a la ISO 27001, se adaptó y amplió para abarcar los requisitos específicos de la industria automotriz y demostrar el cumplimiento de la Regulación 155 de las Naciones Unidas sobre ciberseguridad de los vehículos. Además, y en línea con esto, los fabricantes de automóviles deben cumplir con el Reglamento W.29/R155 de la Comisión Económica para Europa de las Naciones Unidas (CEPE), que a partir de julio de 2022 exige la protección de la ciberseguridad según la norma ISO/SAE 21434 en las nuevas homologaciones de tipo de vehículo para su uso en carretera. En este contexto, G+D ha completado exitosamente el proceso de certificación ISO/SAE 21434 para sus productos integrados (eUICC) y ha obtenido el correspondiente certificado en junio, tras una auditoría realizada en marzo. FUENTE: García, Vanessa. »Cómo garantizar la ciberseguridad en la industria de la automoción» Revistabyte.es. 21/06/2023. (https://revistabyte.es/actualidad-it/ciberseguridad-automocion/).
¿Cómo denunciar suplantación de identidad en Colombia?
Conozca cómo puede evitar la suplantación de identidad. La Superintendencia de Industria y Comercio explica que “la suplantación de identidad consiste en hacerse pasar por otra persona para diversos propósitos: engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes y otro tipo de conductas ilícitas”. Lea también: Cómo evitar un ‘hackeo’ de tu red WiFi La entidad afirma que para saber si le están suplantando la identidad lo que debe hacer es consultar una vez al mes la información reportada en las centrales de riesgo, verificar periódicamente con el operador de telecomunicaciones la cantidad de productos que tiene activos a su nombre, sospechar de cualquier llamada de verificación de datos o de casas de cobranza donde le pregunten por deudas que no ha adquirido. Según el Artículo 296 de la ley 599 de 2000, “el que con el fin de obtener un provecho para sí o para otro, o causar daño, sustituya o suplante a una persona o se atribuya nombre, edad, estado civil, o calidad que pueda tener efectos jurídicos, incurrirá en multa, siempre que la conducta no constituya otro delito”. ¿Cómo evitar la suplantación de identidad? La Superintendencia de Industria y Comercio da algunas recomendaciones para evitar la suplantación de identidad, las cuales son: ¿Cómo denunciarla? Quienes sean víctimas de suplantación de identidad debe denunciar ante las autoridades sobre el hecho. Pueden hacerlo a través de las páginas de la Fiscalía General de la Nación y la Policía Nacional de Colombia. También, la Fiscalía tiene a su disposición la línea 122 y las líneas gratuitas 0180000919748 o local para Bogotá y Cundinamarca 5702000, opción 7. Adicionalmente, puede hacer la denuncia por medio de los correos electrónicos denunciaanonima@fiscalia.gov.co y hechoscorrupcion@fiscalía.gov.co. FUENTE: Castellanos Osorio, Mónica Lizette. »¿Cómo denunciar suplantación de identidad en Colombia?» Lafm.com. 20/06/2023. (https://www.lafm.com.co/judicial/como-denunciar-suplantacion-de-identidad-en-colombia).
Fortinet revela los riesgos que enfrentan los empleados en materia de ciberseguridad
Fortinet publica su Investigación Global sobre Concientización y Formación en Seguridad 2023, destacando la importancia de que las organizaciones construyan una fuerza laboral ciberconsciente para fortalecer su postura de seguridad y reducir los ciberataques. En un panorama de amenazas en constante evolución, el último informe de amenazas globales de FortiGuard Labs revela que los ataques de ransomware continúan en niveles altos a nivel mundial, sin mostrar señales de desaceleración. Al mismo tiempo, el Reporte Global de Brecha de Habilidades en Ciberseguridad 2023 de Fortinet revela que el 84% de las organizaciones experimentaron una o más brechas en 2022. Podría interesarle: Cómo fortalecer las políticas públicas de ciberseguridad en Latinoamérica La Investigación Global sobre Concientización y Formación en Seguridad 2023 de Fortinet destaca que más del 90% de los líderes creen que capacitar a los empleados en ciberseguridad ayudaría a reducir la recurrencia de los ciberataques. A medida que las organizaciones enfrentan un aumento en los riesgos cibernéticos, se resalta el papel fundamental de los empleados como la primera línea de defensa para proteger a la organización contra el cibercrimen. Algunos hallazgos clave de la investigación incluyen: La encuesta, realizada a más de 1800 tomadores de decisiones de TI y ciberseguridad en 29 países, destaca la importancia de priorizar los servicios de entrenamiento y capacitación en ciberseguridad para convertir a los empleados en la primera línea de defensa contra los ciberataques. FUENTE: »Fortinet revela los riesgos que enfrentan los empleados en materia de ciberseguridad» Prensariotila.com. 22/06/2023. (https://prensariotila.com/fortinet-revela-los-riesgos-que-enfrentan-los-empleados-en-materia-de-ciberseguridad/).
Cómo fortalecer las políticas públicas de ciberseguridad en Latinoamérica
Los gobiernos de Latinoamérica deberían establecer regulaciones que conduzcan al fortalecimiento de estrategias de ciberseguridad en las organizaciones, apunta Fluid Attacks. Ante la poca efectividad de las estrategias que muchas organizaciones implementan por cuenta propia contra los crecientes riesgos en ciberseguridad, los gobiernos de países desarrollados, como el de EE. UU., han visto la necesidad de intervenir generando nuevas regulaciones. Lea también: ¿Qué es la ciberseguridad industrial y cómo implementarla? Mientras tanto, en los países en desarrollo con la misma dificultad, aunque con el agravante de una menor inversión en estrategias, algunas entidades comienzan a sugerir que sus gobiernos adopten una postura similar. “Latinoamérica se ha convertido en un objetivo cada vez más atractivo para los ciberdelincuentes debido a la ausencia de regulaciones sólidas en ciberseguridad», comentó Felipe Gómez, director regional de Fluid Attacks, compañía especializada en realizar pruebas de seguridad integrales. Según el informe LATAM CISO 2023, en esta región ocurren 1.600 ciberataques por segundo; además, el 11,3 % de las organizaciones encuestadas no evalúan sus riesgos en ciberseguridad y alrededor de un tercio solo lo hace una vez al año. Aunque ya hay países que han avanzado en distintas propuestas, se necesita el apoyo y la guía de empresas especializadas en ciberseguridad, pues la colaboración entre el Estado y los expertos permite establecer lineamientos más acertados. Las medidas para fortalecer la ciberseguridad en Latinoamérica FUENTE: Colaborador de TechTarget. »Cómo fortalecer las políticas públicas de ciberseguridad en Latinoamérica» Computerweekly.com. 20/06/2023. (https://www.computerweekly.com/es/noticias/366542453/Como-fortalecer-las-politicas-publicas-de-ciberseguridad-en-Latinoamerica).
¿Qué es la ciberseguridad industrial y cómo implementarla?
En la actualidad, la ciberseguridad se ha convertido en un tema de vital importancia para las empresas que operan en entornos industriales. Con el avance de la tecnología y la interconexión de los sistemas, las amenazas cibernéticas representan un riesgo significativo para la seguridad y el funcionamiento de los procesos industriales. En este artículo, exploraremos qué es la ciberseguridad industrial, su importancia y cómo implementarla de manera efectiva en las organizaciones. ¡Vamos a ello! ¿Qué es la ciberseguridad industrial? La ciberseguridad industrial se refiere a las medidas y prácticas destinadas a proteger los sistemas, las redes y los datos utilizados en entornos industriales, como plantas de producción, infraestructuras críticas y sistemas de control industrial. Podría interesarle: La ciberseguridad supera al resto del mercado tecnológico con un crecimiento del 12,5% Su objetivo es salvaguardar la integridad, confidencialidad y disponibilidad de la información, así como prevenir y mitigar posibles ataques cibernéticos que puedan afectar la seguridad operacional y la continuidad del negocio. ¿Por qué es importante? La importancia de la ciberseguridad en la industria 4.0 radica en la protección de los activos críticos de una organización. Un ataque cibernético en un entorno industrial puede tener consecuencias devastadoras, como interrupciones en la producción, daños a la infraestructura, pérdida de información confidencial y riesgo para la seguridad de los empleados. Además, ayuda a prevenir y minimizar estos riesgos, garantizando la operación segura y confiable de los sistemas industriales. Tipos de amenazas en ciberseguridad industrial La ciberseguridad industrial enfrenta una variedad de amenazas que pueden comprometer la seguridad y la integridad de los sistemas y datos utilizados en entornos industriales. Algunos de los tipos de amenazas más comunes incluyen: Ataques de malware Los malware, como virus, troyanos y ransomware, representan una amenaza significativa en la ciberseguridad industrial. Estos programas maliciosos pueden infiltrarse en los sistemas y causar daños. Ataques de ingeniería social La ingeniería social se refiere a las tácticas utilizadas por los atacantes para engañar a las personas y obtener acceso no autorizado a los sistemas. Esto puede incluir técnicas como el phishing, donde los atacantes envían correos electrónicos falsificados o mensajes engañosos para obtener información confidencial, como contraseñas o datos de inicio de sesión. Ataques de denegación de servicio (DoS) Estos ataques tienen como objetivo abrumar los sistemas y servicios con una gran cantidad de tráfico malicioso, lo que provoca una interrupción en el funcionamiento normal. Los ataques DoS pueden causar la pérdida de producción, la interrupción de los servicios críticos y la paralización de las operaciones. Ataques de infiltración de red Los atacantes buscan explotar las vulnerabilidades en las redes y sistemas para ganar acceso no autorizado. Pueden utilizar técnicas como el escaneo de puertos, la explotación de vulnerabilidades conocidas o el robo de credenciales de inicio de sesión para infiltrarse en los sistemas y realizar actividades maliciosas. Ataques de interrupción física Estos ataques implican la manipulación o destrucción física de los sistemas industriales. Pueden incluir el sabotaje de equipos, la manipulación de sensores o la interferencia en los procesos de producción. Los ataques físicos pueden tener consecuencias graves, como daños a la infraestructura, la pérdida de activos o incluso poner en peligro la seguridad de las personas. Ataques de espionaje industrial En estos casos, los atacantes buscan robar información confidencial, secretos comerciales o propiedad intelectual para obtener una ventaja competitiva o dañar a una organización. Esto puede incluir el robo de planos de productos, información de investigación y desarrollo, o estrategias comerciales. Pasos para implementar la ciberseguridad industrial La implementación exitosa de la ciberseguridad industrial requiere seguir una serie de pasos clave: Conclusiones La ciberseguridad industrial se ha convertido en una necesidad imperante en los entornos industriales actuales. Proteger los sistemas, redes y datos utilizados en estos entornos es fundamental para garantizar la continuidad operativa y la seguridad de las organizaciones. Mediante la implementación de una estrategia de ciberseguridad industrial sólida, la gestión de riesgos y la adopción de mejores prácticas, las empresas pueden mitigar los riesgos y enfrentar los desafíos de la era digital de manera segura y exitosa. FUENTE: Ramírez, Lorena. »¿Qué es la ciberseguridad industrial y cómo implementarla?» Iebschool.com. 20/06/2023. (https://www.iebschool.com/blog/que-es-la-ciberseguridad-industrial-y-como-implementarla-tecnologia/).
