Protección de Datos: El cambio europeo en la protección de datos altera las reglas globales
Fuente: hbr.es Autor: Bhaskar Chakravorti trad. Mariana Díaz Fecha: 16 de mayo de 2018 Link de consulta: https://www.hbr.es/globalizaci-n/1140/el-cambio-europeo-en-la-protecci-n-de-datos-altera-las-reglas-globales En este momento, la industria digital está experimentando una importante y turbulenta ola de cambios. Mientras Facebook y otras compañías luchan por responder difíciles preguntas acerca de la privacidad de los datos y las prácticas de seguridad, la confianza en las plataformas sociales parece estar cayendo en picado. Las empresas y los analistas se esfuerzan por comprender cómo hacer que las reglas de privacidad sean claras, proteger los datos de los usuarios y desarrollar los modelos comerciales que los hicieron exitosos en primer lugar. Un creciente coro de voces sugiere que existe una solución a estas presiones en torno a los datos que ya está lista para ser implementada y que ya ha sido preparada por los reguladores en Europa. El próximo Reglamento General de Protección de Datos (RGPD) de la UE establecerá el conjunto de reglas más exigentes del mundo que dictarán cómo se pueden recopilar y utilizar los datos de los usuarios. Muchos esperan que cuando estas regulaciones entren en vigencia en mayo de 2018, aborden las preocupaciones de muchos consumidores. Según esta argumentación, el RGDP podría convertirse en un modelo para el resto del mundo, ya que muchas empresas globales prestan servicio a usuarios en la UE. De todos modos, las empresas tendrán que adaptarse a estas reglamentaciones y podría tener sentido para ellos implementar estos principios de privacidad digital en todo el mundo. Facebook ha insinuado que podría extender algunas de las protecciones impulsadas por la UE en todo el mundo; otras compañías pueden seguir su ejemplo. De cualquier manera, es tentador pensar que los mayores desafíos a la privacidad en la era digital se abordarían y que se acabaría el problema. No estoy de acuerdo con este argumento. Estados Unidos y otros países no pueden dejar de lado las decisiones políticas de Europa, del mismo modo que los consumidores no pueden confiar en que las empresas se «autorregularán». En primer lugar, el apoyo a la regulación varía ampliamente de un país a otro y, obviamente, dentro de los países. La opinión pública en algunos estados miembros de la UE muestra su apoyo a las reglas estrictas, pero ese apoyo no siempre se comparte en otros países. Por ejemplo, en respuesta a una pregunta de la encuesta Pew, el 85% de los alemanes estaba a favor de los estándares europeos más estrictos de privacidad de datos, mientras que solo el 29% de los encuestados estadounidenses opinaba lo mismo. Un estudio de Dell-EMC reveló diferencias significativas en cuanto a la voluntad de comercializar con la privacidad de los servicios en todos los países y en los diferentes usos de las aplicaciones digitales: de 15 países estudiados, los alemanes estaban más preocupados por la privacidad y los indios eran los que menos. En Estados Unidos, el enfoque de la privacidad digital ha sido más fragmentario: se basa en parte en la idea de que la capacidad de las empresas de recopilar, analizar, vender y monetizar datos de usuarios con restricciones mínimas es la base de una innovadora industria digital; los nuevos usuarios son atraídos por servicios gratuitos y las compañías obtienen dinero de los datos recopilados. La idea de proteger la competitividad de los EE. UU. y su posición en el desarrollo de la tecnología probablemente será fundamental para las presiones que rodearán cualquier esfuerzo para cambiar las leyes o impulsar las regulaciones federales. Además, muchas de las leyes de privacidad son establecidas por los estados y son bastante diferentes de un lugar a otro. Los legisladores de California (EE. UU.), por ejemplo, han propuesto una legislación para establecer una autoridad de protección de datos, mientras que otros estados pueden ofrecer muy poca protección regulatoria. En general, está claro que las demandas sociales y la disposición a «pagar» al cambiar la privacidad por otros beneficios varían significativamente. Es probable que tanto los consumidores como las empresas tengan que gestionar diferentes reglas para diferentes mercados y diferentes tecnologías. En estas conversaciones a menudo se pasan por alto los mercados emergentes y por lo general estos presentan una serie de diferentes problemas. Algunos de los mayores mercados de Facebook se encuentran en países en desarrollo, y Facebook está experimentando un crecimiento más rápido en Asia y África. De los 10 países con más usuarios de Facebook, solo dos se encuentran en el mundo desarrollado. Esas dos naciones, los Estados Unidos y el Reino Unido, representan colectivamente el 13% de todos los usuarios de Facebook. Los ocho restantes representan el 41% de todos los usuarios de Facebook. Además, de las 10 principales ciudades con el mayor número de usuarios activos de Facebook a partir de julio de 2017, todas están en el mundo en desarrollo. Nuestra investigación sobre la confianza digital en todo el mundo, descrita anteriormente en HBR, descubrió que los usuarios en el mundo en desarrollo confían más en el contenido online y, combinado con menos fuentes de información objetiva o acceso limitado a la prensa gratuita, son más vulnerables de ser manipulados por información falsa. Por ejemplo, en Birmania, Facebook es el principal sitio de internet debido a su programa Free Basics, que permite a los usuarios de teléfonos móviles conectarse a algunos sitios seleccionados de internet, incluido Facebook, sin pagar tarifas adicionales ni agotar los datos asignados en sus planes móviles. En 2014, Facebook tenía 2 millones de usuarios en Birmania; después de que Free Basics llegara en 2016, ese número ascendió a 30 millones. Las recientes campañas de rumores que incitan a la violencia contra el grupo étnico minoritario rohinyá en Birmania, en parte fueron difundidos en Facebook y esto provocó persecución sistemática y violencia. WhatsApp, propiedad de Facebook, ha sido identificada como la principal fuente de bulos y rumores para causar división en India, donde los mensajes de sus usuarios han sido descritos como una «mezcla de chistes ofensivos, TV adulterada [clips], rumores salvajes y opiniones de otras personas en su mayoría vil». Kenia ha identificado a 21 grupos de WhatsApp que promueven el odio. Los datos de WhatsApp se pueden recolectar para una variedad de propósitos socialmente dañinos. Si bien el mundo en desarrollo también debería recibir las salvaguardas de información que probablemente aparecerán en Occidente, creo que los gobiernos en el mundo en desarrollo
Protección de Datos: ¿Qué es el GDPR y por qué es bueno saber que también afectará a las empresas latinoamericanas?
Fuente: fayerwayer.com Autor: DIEGO BASTARRICA Fecha: 17 de mayo de 2018 Link de consulta: https://www.fayerwayer.com/2018/05/que-es-gdpr/ Varias empresas latinoamericanas y del mundo se están preparando para el GDPR de manera más formal. Pero, ¿De qué diantres estamos hablando cuando utilizamos esta sigla?. Básicamente se trata del Reglamento General de Protección de Datos de la Unión Europea, ley que entró en vigencia el 25 de mayo de 2016 y que es «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de sus datos». Lo que muchos hasta ahora no sabían, es que este nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección a todas las compañías extranjeras que procesan datos de residentes de la Unión Europea. Para cumplir con estas regulaciones, sin embargo, esto implica el costo de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial. Las bases legales para el procesamiento de datos según este reglamento son: El interesado ha dado su consentimiento para el procesamiento de sus datos personales con uno o más propósitos específicos. El procesamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato. El procesamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto. El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física. El procesamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador. El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando los datos sujeto es un niño. Para aclarar más el tema, hablamos con Alex Pessó, director de Asuntos Legales de Microsoft Chile, quien nos explicó a fondo de qué se trata el reglamento y cómo afectará a la región. ¿Qué es la GDPR? El Reglamento General de Protección de Datos (más conocido como GDPR, por sus siglas en inglés) -que entrará en vigencia el próximo 25 de mayo- es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos. Todas las compañías con operaciones en la Unión Europea y quienes hacen negocios con sus 500 millones de habitantes deberán acatar este reglamento y además tiene aplicación extraterritorial en el caso de organización establecida fuera de la UE, cuando dicho tratamiento esté relacionado con la oferta de bienes o servicios a esas personas o al monitoreo de su comportamiento. Por lo anterior este Reglamento terminará impactando al mundo entero y se convertirá posiblemente en el estándar más estricto en materia de tratamiento de datos personales. Este nuevo referente definirá un conjunto de reglas que los países, las empresas y finamente los titulares incorporarán en su forma de tratar de datos y de ejercer los derechos asociados, respectivamente. ¿Qué implica la GDPR para los usuarios? La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de los controladores de los datos, sean entidades públicas o privadas, que ofrezcan servicios a los ciudadanos de la UE pero también y de manera indirecta elevarán el estándar al que accederán otros usuarios en el mundo. Se regulan importantes derechos como El “Derecho al Olvido” y el Derecho a la Portabilidad de los Datos, así como la ampliación del Consentimiento Previo Informado. Esta materia es crítica porque con la nueva reglamentación el controlador deberá informar a los titulares/usuarios la base legal para el tratamiento de los datos, el período de conservación de éstos, la posibilidad de realizar reclamos, y en general cumplir con una serie de obligaciones de información que beneficiarán a los usuarios al momento de definir la forma en que controlan sus datos. ¿Cómo afecta a las empresas? El GDPR cambiará las reglas del juego en Estados Unidos y en varias geografías y para muchas empresas. El concepto de «privacidad por diseño» deberá ser incluido dentro de los servicios y productos desde el principio, con un consentimiento suficiente y una mayor claridad acerca del uso de los datos y, como resultado, los usuarios, consumidores y titulares de Estados Unidos y todo el mundo obtendrán el gran beneficio de esto, que se traducirá en tener mayor control de sus datos personales. Es importante destacar que GDPR tiene un alcance extraterritorial, por lo que empresas ubicadas fuera de la Unión Europea que realicen negocios con personas o empresas de dichos países, o que realicen tratamiento de datos de ciudadanos o residentes europeos podrían estar sujetas también al cumplimiento de la GDPR y esto podría afectar directamente a varias empresas chilenas.
Protección de Datos: Claves de la nueva protección de datos
Fuente: eleconomista.es Autor: ELECONOMISTA.ES Fecha: 18 de mayo de 2018 Link de consulta: http://www.eleconomista.es/empresas-finanzas/noticias/9145248/05/18/Claves-de-la-nueva-proteccion-de-datos.html Tras dos años de periodo transitorio, el nuevo Reglamento General de Protección de Datos (RGPD) entrará el vigor el próximo 25 de mayo de 2018 sin ningún tipo de moratoria, fecha que ha situado en la agenda empresarial la importancia de preservar los datos personales y que será aplicable a toda entidad que trate datos de ciudadanos de la UE. Ésta será la norma principal hasta la creación de la Ley orgánica sobre la materia, aún en trámite en el Congreso de los Diputados, y que según auguran los expertos podría estar lista a final del presente año. Algo muy destacable de la nueva normativa que explica Buen Gobierno y RSC es que inculca un cambio de modelo que requiere una responsabilidad proactiva por parte de los empresarios y actores, y que supone un cambio de cultura a nivel global. De esta forma, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación. El consentimiento: Una de las exigencias a tener en cuenta del Reglamento es que el consentimiento debe ser «inequívoco», es decir aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Además de inequívoco, ha de ser explícito en tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales. Los tratamientos iniciados con anterioridad a la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante manifestación o acción afirmativa, pero no se puede seguir obteniendo consentimientos por omisión. Datos de menores de edad: La mención más explícita a los menores está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad, y el RGPD permite a los Estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. En España, el Reglamento de Desarrollo de la LOPD fija la edad de consentimiento en 14 años con carácter general. Por ello, es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia. Nuevos derechos: El control de los datos estará íntegramente en manos del portador de los mismos. El RGPD ahora prevé el derecho a obtener una copia de datos personales objeto del tratamiento, y el responsable podrá atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. El derecho al olvido es el derecho que tiene toda persona a modificar, cancelar o borrar sus datos personales en posesión de terceros. El derecho de limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Y por último, el derecho de portabilidad es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica, y sólo puede ejercerse cuando el tratamiento se efectúe por medios automatizados Proactividad y control: Uno de los elementos clave del RGPD es sin duda el delegado de protección de datos (DPO), una figura garante del cumplimiento de la normativa de protección de datos en las organizaciones. Será el encargado de supervisar y orientar el correcto funcionamiento de la nueva normativa en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control. Deberá contar con conocimientos de Derecho, y en protección de datos, y actuará de forma independiente. Mar España, directora de la Agencia Española de Protección de Datos (AEPD), alertó en una jornada de protección de datos organizada por elEconomista de una proliferación de empresas que prestan asesoramiento en materia de Protección de Datos sin cumplir con los estándares que exigen la normativa y la propia Agencia. «Soy consciente de que es un nicho de negocio y ahora mismo hay muchísimas entidades que están ofreciendo servicios de asesoramiento», apuntó. «No van a servir de nada al empresario. Se le está estafando», aseveró. «Me gustaría que se cortara la práctica de algunas empresas a coste cero, que a través de una simple auditoría telefónica certifican, o empresarios que firman un curso de formación o una auditoría de protección de datos. Si tengo conocimiento de ello voy a utilizar todos los medios, lo transmitiré a la Agencia Tributaria si es necesario», sentenció. Sanciones considerables: Ante el sprint final de las empresas para adaptarse al nuevo reglamento, España aseguró que el régimen cambia radicalmente, «lo fundamental va a ser que el empresario pueda demostrar una proactividad para proteger los datos», aseveró. Una de las sorpresas es la cifra máxima de sanciones que llega a 20 millones de euros o a una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
28 de abril, Día de la Seguridad y Salud en el Trabajo
Fuente: cicconstruccion.com Autor: CIC Fecha: 27 de abril de 2018 Link de consulta: http://www.cicconstruccion.com/es/notices/2018/04/28-de-abril-dia-de-la-seguridad-y-salud-en-el-trabajo-70194.php#.WuSYW4iFOHs El 28 de abril se celebra, como cada año, el Día Mundial de la Seguridad y Salud en el Trabajo, que en esta ocasión se centrará en la importancia de la seguridad y salud de los trabajadores jóvenes. Garantizar un entorno de trabajo saludable es una cuestión prioritaria tanto para la Administración como para el mercado, quienes cada vez más hacen uso de los servicios acreditados para alcanzar este objetivo. Actualmente, 25 entidades acreditadas por la Entidad Nacional de Acreditación (Enac) aportan garantías a la seguridad y salud en el trabajo en España. Las empresas y organizaciones tienen la responsabilidad de asegurar que sus empleados están protegidos contra posibles lesiones y enfermedades. En este sentido, favorecer un entorno laboral seguro es también un método para reducir costes, absentismo laboral, tasa de rotación y riesgo de acciones legales, sufrir menos accidentes y aumentar la productividad, entre otros beneficios. Para obtener más garantías sobre la consecución de estos objetivos, muchas empresas hacen uso de servicios de evaluación acreditados o exigen certificados e informes con marca Enac, ya que les aportan la confianza de contar con un proveedor con competencia técnica demostrada para servicios como la certificación de planes de seguridad y salud laboral, la inspección de maquinaria o ensayos sobre los equipos de seguridad individual, garantizando que éstos cumplen con la legislación en materia de prevención de riesgos, entre otros. Nuevo hito en materia de normalización En 2018, se ha puesto a disposición del mercado una nueva herramienta para alcanzar objetivos en materia de seguridad y salud en el trabajo. La organización internacional de normalización ISO ha publicado la norma ISO 45001, que establece los requisitos necesarios para implementar un sistema de gestión de seguridad y salud en el trabajo. La nueva norma supone una mejora del modelo de gestión de la seguridad y salud en el trabajo por parte de la empresa, adopta un nuevo enfoque basado en la gestión del riesgo, pone más énfasis en el contexto de la organización y refuerza el papel de la alta dirección. Su certificación acreditada será la única reconocible a nivel internacional a la finalización del plazo de tres años acordado por las partes interesadas para la migración desde la correspondiente al documento OHSAS 18001. Actualmente, existen en España 13 entidades acreditadas por Enac que ofrecen un servicio con garantías para la certificación de sistemas de gestión de seguridad y salud en el trabajo en sectores como: industria, logística, reciclaje, servicios sociales, agricultura, defensa, construcción, servicios sanitarios, minería o de investigación y desarrollo. Estas entidades han demostrado, para esa actividad concreta, que disponen de la solvencia técnica para ofrecerle un servicio fiable ya que disponen de personal competente para todas las tareas asociadas y sus equipos auditores en particular disponen de competencia técnica para entender los riesgos asociados a productos y procesos de las empresas. Al margen de la certificación de sistemas de gestión, otras actividades velan por la seguridad del entorno laboral, como son los ensayos y la certificación de los medios necesarios para la protección de los trabajadores: equipos de protección individual (protecciones respiratorias, oculares y faciales, calzado de seguridad, protección contra caídas…) y elementos de protección colectiva (redes de seguridad, sistemas de protección de borde…). Asimismo, Enac evalúa y declara la competencia técnica de las entidades que realizan los ensayos, la inspección y la certificación para el marcado CE de las diferentes tipologías de máquinas o la determinación de contaminantes en atmósferas laborales (metales, vapores orgánicos, amoniaco, ruido, etc.). El control de la calidad del aire en un ambiente interior es uno de los factores críticos en el confort de los profesionales dentro de los edificios. En este contexto, las entidades de inspección acreditadas aportan garantías en el control de parámetros ambientales como son el confort termohigrométrico, la ventilación, indicadores de fuentes de combustión, partículas, o la contaminación microbiológica ambiental, entre otros. Paralelamente, se inspeccionan los sistemas de climatización (unidades de tratamiento de aire, conductos, etc.) desde el punto de vista higiénico y mecánico para conocer su influencia en la calidad del aire interior y proponer medidas correctivas. La acreditación, herramienta al servicio de la Administración Los servicios acreditados son también una herramienta al servicio de la Administración Pública para alcanzar sus objetivos en política de seguridad y salud en el trabajo y así lo demuestra la confianza mostrada por las diferentes administraciones que usan la acreditación. Entre otros ejemplos, destaca la subvención de la Junta de Castilla y León a la implantación en las empresas de un sistema de gestión de seguridad y salud por parte de una entidad de certificación acreditada por Enac. Asimismo, recientemente, el Ministerio de Economía, Industria y Competitividad ha reconocido que el cumplimiento de la norma UNE 58921:2017, que exige inspección acreditada de las plataformas elevadoras móviles de personal, constituye una forma de cumplir con las exigencias en materia de seguridad y prevención de riesgos laborales. Como muestra del compromiso del sistema internacional de acreditación con los objetivos de seguridad y salud laboral, la próxima edición del Día Mundial de la Acreditación, que se conmemorará el 9 de junio bajo el lema “Acreditación: garantizando un mundo más seguro”, destacará el valor de la acreditación como herramienta para reducir los riesgos asociados con la seguridad y salud en el trabajo y para garantizar, por tanto, un mundo más seguro.
Ciberseguridad: Reporte de Ciberseguridad Cisco 2018: la pesadilla no termina
Fuente: cioal.com Autor: Stephen Fallas, Technical Solutions Architect Cybersecurity Sales Cisco Fecha: 07 de mayo de 2018 Link de consulta: http://www.cioal.com/2018/05/07/reporte-ciberseguridad-cisco-2018-la-pesadilla-no-termina/ Si para los expertos, 2017 fue el año de los ciberataques cuando gran cantidad de brechas a la seguridad informática fueron el tormento de las organizaciones, la digitalización de los procesos de negocio y el uso de las nuevas herramientas tecnológicas para que las organizaciones sean más competitivas implica riesgos que afectan directamente a los datos críticos y sensibles. Lamentablemente la pesadilla no parece terminar ya que se espera que para para este año los ciberataques continúen en crecimiento. Aunque ya este año pasó su primer trimestre, lo cierto es que lo que se pronostica no parece ser muy alentador. Cisco ha publicado su Reporte Anual de Ciberseguridad de 2018, en donde se muestran estadísticas de seguridad, hallazgos claves, información acerca de la evolución del malware, el tráfico cifrado malicioso y el aumento del uso de la inteligencia con el objetivo de reducir el tiempo de los atacantes. A continuación, se muestran algunos aspectos destacados del reporte. Costo financiero de los ataques ya no es un número hipotético. De acuerdo a los resultados más de la mitad de los ataques resultaron en pérdidas financieras entre $500,000 o más, incluyendo aspectos referentes a pérdidas de ingresos, clientes, oportunidades, entre otros. Los ataques aumentan en velocidad y complejidad. Estos ataques pueden afectar los sistemas a una escala masiva y pueden persistir durante meses o incluso años. Los responsables de seguridad deben ser conscientes del riesgo potencial e ir planificando las inversiones a nivel de software o hardware ya que no parecen tener una postura de seguridad adecuada. Dos de los ataques en 2017 (Nyetya – Ccleaner) infectaron a los usuarios atacando software. Los responsables deben revisar las pruebas de eficacia de tecnologías de seguridad con terceros para ayudar a reducir el riesgo de ataques. Dos de cada cinco organizaciones experimentó un ataque DDoS y un tercio no pudo contenerlo. La seguridad es cada vez más compleja y el alcance de las brechas se está expandiendo. Los responsables de seguridad están implementando una combinación compleja de productos de una muestra representativa de proveedores para protegerse contra las brechas. Esta complejidad y el crecimiento de las brechas tienen muchos efectos posteriores en la capacidad de una organización para enfrentar las amenazas con un mayor riesgo de pérdidas. En 2017, 25% de los responsables de seguridad utilizaron productos de 11 a 20 proveedores, en comparación del 18% del año anterior (2016). Además, el 32% de las brechas afectaron a más de la mitad de los sistemas, aumentando 17% con respecto al 2016. Los responsables de seguridad observan valor en herramientas de análisis de comportamiento para la identificación de atacantes maliciosos en la red. El 92% de externo que las herramientas de análisis de comportamiento funcionan bien, dos tercios del sector de salud y servicios financieros funcionan muy bien para identificar atacantes malintencionados. Uso de la nube está creciendo, atacantes aprovechan la falta de seguridad avanzada. Con respecto a los resultados el 27% de los responsables de seguridad utilizan nubes privadas, en comparación de 20% del 2016. Ahora el 57% utiliza la nube porque considera una mejor seguridad de los datos, el 48% por escalabilidad y 46% por la facilidad de uso. Las tendencias en el volumen de malware tienen un impacto en el tiempo de detección de los responsables de seguridad (TTD). El promedio aproximadamente de TTD de Cisco es de 4.6 horas, muy por debajo del promedio de 39 horas en 2015. El uso de tecnología ha sido un factor clave para conducir y mantener en Cisco un TTD de bajo promedio; un TTD más rápido les permite a los responsables de seguridad moverse antes para resolver incidentes. Recomendaciones adicionales: Confirmar que las políticas y prácticas se adhieren a los procesos de gestión de parches. Acceda a datos y procesos de inteligencia de amenazas ya que le permite incorporar una gestión de seguridad. Realizar análisis más profundos y avanzados a nivel de eventos. Ejecutar respaldos de seguridad de los datos con frecuencia y compruebe los procedimientos de restauración; procesos críticos en un mundo emergente de ransomware. Conducir escaneos de seguridad de micro servicios en la nube y sistemas de aplicación.
Protección de Datos: La privacidad de la información, un nuevo reto para Colombia
Fuente: eltiempo.com Autor: EL TIEMPO Fecha: 27 de abril de 2018 Link de consulta: http://www.eltiempo.com/contenido-comercial/la-privacidad-de-la-informacion-un-nuevo-reto-para-colombia-210046 Con el surgimiento de la web 2.0, los usuarios dejaron de ser simples consumidores para convertirse en productores de sus propios contenidos, fácilmente accesibles desde todo el mundo y gratuitos la mayoría de las veces. “Con estos cambios en la web, entre los que se incluye la aparición de las redes sociales, ya no es necesario escribir extensos documentos para dejar entrever posturas. La posibilidad de crear comunidades en donde basta con dar un like motivó a los usuarios a compartir todo tipo de información: gustos, fotos, ubicación…”, afirma Pedro Wightman Rojas, Ph.D. y profesor asociado del Departamento de Ingeniería de Sistemas de la Universidad del Norte. Después, con la llegada de los smartphones, la actividad en las redes sociales se hizo permanente y ubicua. Hoy, todo es susceptible de ser subido a las redes y de ser compartido en cualquier momento con cientos o miles de personas, incluso con desconocidos. Por ello, el tema de la privacidad tiene tanta importancia en la actualidad, y no es para menos; se trata de uno de los derechos fundamentales de los seres humanos y debe ser respetado por personas e instituciones. En Colombia se han creado regulaciones para proteger los datos personales. La Ley 1266 de 2008 y la Ley 1273 de 2009 se enfocan, principalmente, en procesos del sistema financiero, mientras que la Ley 1581 de 2012 y el Decreto 1377 de 2013 se concentran en el tratamiento de la información personal en bases de datos públicas y privadas. “Lo anterior obliga a las compañías a comunicar a los usuarios las condiciones de uso de la información que tienen de ellos, y les da potestad a los usuarios para decidir si quieren que sus datos se utilicen o se borren”, explica el profesor Wightman. Sin embargo, uno de los retos que Colombia enfrenta actualmente es instruir a los usuarios de internet para que entiendan los riesgos y las implicaciones de compartir información en sistemas electrónicos, redes sociales, etcétera. La Universidad del Norte, comprometida con la privacidad Esta institución de educación superior cuenta con una amplia oferta de programas de pregrado relacionados con las tecnologías de la información y las comunicaciones (TIC), como Ingeniería de Sistemas y Computación, e Ingeniería Electrónica. Estos cursos están relacionados con temas como la construcción de sistemas de información, la ciber-ética y la seguridad de los sistemas basados en la localización. En las clases, los estudiantes discuten las implicaciones de adquirir, almacenar y proteger la información de los usuarios; analizan casos polémicos; y trabajan en mecanismos para proteger la localización de las personas a través de dispositivos móviles. La Universidad del Norte cuenta con programas de posgrado como las especializaciones en Ingeniería de Software y en Gerencia de Sistemas de Información; las maestrías en Ingeniería de Sistemas y Computación y en Gobierno de Tecnología Informática; y el Doctorado en Ingeniería de Sistemas y Computación. Un futuro programa en Seguridad de la Información se encuentra en proceso de aprobación. De igual manera, los programas de maestría y doctorado en Derecho que ofrece la Universidad del Norte también contribuyen a la definición de lineamientos para el manejo de información.
Los roles claves de la transformación digital
Fuente: portafolio.co Autor: PORTAFOLIO Fecha: 17 de abril de 2018 Link de consulta: http://www.portafolio.co/negocios/empresas/los-roles-claves-de-la-transformacion-digital-516296 La acelerada inestabilidad y disrupción generada por las tecnologías de información y las comunicaciones, por la convergencia tecnológica y el ejercicio de construcción de conocimiento transdisciplinar que convoca expertos de diferentes dominios del saber, sobre necesidades y expectativas de los clientes, crea un escenario particularmente interesante y retador para las organizaciones que quieren estar en un lugar destacado en el siglo XXI. En este contexto, las empresas deben repensarse desde la conceptualización de su negocio para imaginarlo nuevamente desde una lectura digital, asimétrica, inestable y dinámica, como se presenta el entorno de hoy. Este ejercicio debe llevar a las organizaciones a comprender que ahora las expectativas de los clientes, no están basadas en intereses específicos, ni gustos particulares, sino en la conexión de sentimientos como la novedad, la calidad, la seguridad y la utilidad que genera atracción sobre los servicios y productos digitalmente modificados. Dicha experiencia convoca una motivación interior de la persona, que la vincula con una experiencia que cada vez es capaz de sorprenderla, de darle motivos para mantener su uso y sobremanera, le permite establecer una base de operaciones, para poder construir sus propios proyectos y oportunidades. La transformación digital de las empresas, debe ofrecer espacios y contextos para brindar una mayor desintermediación, desinstalación y distribución de sus productos y servicios en beneficio de las expectativas y retos de los clientes. Para lograr lo anterior, las empresas deben habilitar una serie de acciones, estrategias y definiciones que articulen, desde el cuerpo de gobierno corporativo, una lectura digital de su negocio, para lo cual tres roles son claves, con el fin de desplegar las acciones necesarias y suficientes que cambien el status quo de la organización: habilitar el tránsito desde lo analógico y centrado en la competencia, a lo digital y centrado en el cliente. En primer lugar se tiene al Chief Marketing Officer – CMO (en español el Ejecutivo en jefe de Marketing), un perfil que se abre rápidamente paso en los escenarios de dirección, como quiera que, su labor es darle voz al cliente y asumir el liderazgo de su experiencia real en un escenario digital. El oficial de mercadeo busca simplificar los mensajes y aumentar la potencia de la marca, creando planes de captura de valor en el cliente, que conecten los sentimientos de las personas con las oportunidades que ofrecen los productos y servicios digitalmente modificados. Los esfuerzos del CMO, se deben alinear y complementar con los retos del Chief Information Officer – CIO (en español Ejecutivo de Tecnología de Información e Información), que no solo tiene la responsabilidad de establecer las plataformas de operación básicas de los procesos de las empresas, sino crear las capacidades digitales y estrategias de integración entre los diferentes participantes de la organización, así como orquestar los retos de la empresa en el contexto digital, teniendo al cliente y sus expectativas como la base de sus acciones que hacen realidad la estrategia de la empresa en un sociedad digitalmente modificada. El CIO como integrador y líder de la visual de transformación digital empresarial, comparte escenario con un role, que para algunos consultores y académicos, es una figura transitoria en las empresas, el Chief Digital Officer – CDO (en Español el Ejecutivo en jefe de los temas digitales), quien tiene el reto de tomar las nuevas capacidades digitales de la organización y desplegarlas en diferentes dominios para crear nuevas fuentes de valor para la empresa. Esto es, acelerar la innovación con tecnología en los diferentes procesos, experimentar y simular nuevas experiencias y propuesta de productos y servicios, armonizar y conectar los esfuerzos del CMO y CIO para crear capacidades distintivas que logren superar las expectativas de los clientes y los habiliten para motivar sus propias transformaciones. Finalmente y no menos importante, el Chief Information Security Officer – CISO (en Español el Ejecutivo en jefe de la seguridad de la información), el ejecutivo que custodia y protege la promesa de valor de la empresa en el contexto digital. Las nuevas propuestas y oportunidades en el entorno actual, conectadas con el reto tecnológico, demandan flujos de información de manera acelerada y muchos de ellos asociados con datos personales. En este escenario, el CISO no sólo comprende con claridad los retos que implica la nueva experiencia que se quiere lograr en el cliente, sino que habilita los mecanismos para que ésta se haga realidad, pues es la confianza el valor fundamental que asiste y concreta los sentimientos que se puedan lograr al usar el producto y/o servicio. Como se puede observar, los diferentes roles están conectados alrededor de diferentes puntos de vista que convergen alrededor de las exigencias de los clientes. Sin perjuicio de lo anterior, cada uno de estos ejecutivos tiene en su radar al menos cinco temas fundamentales que les permiten crear una agenda conjunta, que no busca protagonismos de ninguna de ellas, sino la construcción de un lugar común, donde es posible construir una lectura homogénea, abierta a la innovación y retadora sobre sus saberes previos que son: • Adopción masiva de tecnologías: lo que implica contar con plataformas digitales con acceso a productos, servicios y contenidos diferenciados, que sean la base para la construcción de nuevas oportunidades. • Cambio en el modelo de negocio: conectar a los ejecutivos de primer nivel con la agenda digital de la empresa y acompañarlos en el reto de tomar decisiones en un entorno cada vez más incierto e inestable. • Experiencia del usuario: aprovechar el incremento de la densidad digital de nuevos objetos del mundo físico y concretar estrategias que motiven la convergencia de nuevas tecnologías de información. • Capacidades digitales: establecer una serie de aliados estratégicos con capacidades claves para contar con despliegues ágiles y confiables de nuevas propuestas, cuidando la responsabilidad digital empresarial que le asiste a la organización en la custodia y aseguramiento de los datos de sus clientes o titulares. • Cultura organizacional: transformar y mejorar las habilidades de los colaboradores frente al reto digital, buscando la convergencia de intereses y expectativas que abran espacios de crecimiento personal
Protección de Datos: Compra de bases de datos y legalidad: todo lo que debes saber
Fuente: marketingdirecto.com Autor: MARKETING DIRECTO Fecha: 9 de abril de 2018 Link de consulta: https://www.marketingdirecto.com/digital-general/digital/compra-de-bases-de-datos-y-legalidad-todo-lo-que-debes-saber Si se busca “bases de datos” en Google, sea para la consulta que sea, las primeras respuestas son anuncios de empresas de tratamiento de datos que han pagado para estar posicionadas ahí y ofrecer “datos actualizados de miles de empresas y profesionales”, “la mayor base de datos actualizada” o “la mejor calidad de datos al mejor precio” a clientes potenciales. Vender estos datos es ilegal y la legislación española pena estas acciones con multas cuantiosas. Entonces, ¿por qué se venden bases de datos? ¿Puedes adquirir una? La respuesta rotunda es no. La Agencia Española de Protección de Datos (AEPD) es muy clara al respecto y, en caso de incumplimiento grave de la normativa vigente, prevé sanciones de hasta 300.000 euros. ¿Email marketing o spam? Cuando tienes un negocio y llevas a cabo técnicas de email marketing, debes contar con una base de datos amplia que te permita conseguir los resultados que esperas. Para poder enviar los correos electrónicos a tus clientes o a tu público potencial, primero debes tener su permiso explícito. Esta aceptación de los “términos y condiciones” es lo que diferencia al email marketing, un método legal, del spam, ilegal y, por tanto, sancionable. Sin embargo, crear y almacenar todos esos datos es un proceso que requiere mucho tiempo. El primer paso es pedir el permiso de los clientes: una de las formas más habituales de realizar esto es invitándoles a registrarse en una web y que acepten las condiciones de registro de forma individual. Conseguir leads solo a través de este método es costoso; por ello, las empresas terminan recurriendo a bases de datos de terceros. Si es una técnica habitual, cabría pensar que se trata de una práctica legal, pero no es así. Las empresas que “venden” los datos a cambio de un precio, no pueden cedértelos físicamente, aunque tu hayas pagado por ellos y los datos hayan sido recabados de manera legal y con el consentimiento del titular de estos. Compra no, alquiler sí Las bases de datos de terceros se pueden “alquilar”, pero no “comprar”. ¿Esto qué significa para ti y para tu negocio? Que la empresa externa debe tener, de forma obligatoria, un permiso expreso de los clientes para recibir comunicaciones de terceros. Además, es esa empresa la que se encarga de enviar tus comunicaciones vía email (y no tú) por ser quien posee los datos. En caso de que no cumplieras con esto, entrarías en unavulneración de Ley Orgánica de Protección de Datos (LOPD). De esta forma, estarías incurriendo en un delito y te verías inmerso en problemas judiciales con sus consecuentes sanciones económicas, según explica la AEPD en su normativa de cesión de datos. Además de incumplir esa ley, también entrarías en conflicto con una segunda, la de Servicios de la Sociedad de la Información (LSS). Según esta normativa, el envío de comunicaciones vía email de forma masiva o el envío, en un año, de más de tres comunicaciones a un mismo destinatario sin permiso es una infracción grave que puede sancionarse con multas de hasta 150.000 euros.
Protección de Datos: ¿Riesgo u oportunidad? El delegado de protección de datos divide a los bufetes
Fuente: elconfidencial.com Autor: ÁLVARO G. ZARZALEJOS Fecha: 13 de mayo de 2018 Link de consulta: https://www.elconfidencial.com/empresas/2018-05-13/delegado-proteccion-datos-dpo-reglamento_1561027/ El nuevo Reglamento General de Protección de Datos (RGPD) ya está aquí. El próximo 25 de mayo entra en vigor un nuevo marco legal que supone un antes y un después en materia de privacidad y que trae consigo la implantación de un nuevo puesto: el Delegado de Protección de Datos, ya conocido en el sector como DPO. Se trata de una figura de nuevo cuño obligatoria para todos los organismos públicos y empresas que manejen un gran volumen de datos. El DPO, que deberá contar con una formación específica, será responsable de velar por el cumplimiento de la normativa para evitar las millonarias multas que prevé el nuevo reglamento (de hasta 20 millones de euros o el 4% de la facturación). Los DPO, que serán el enlace con las autoridades, no podrán ser sancionados ni destituidos por el desempeño de sus funciones ni, por supuesto, recibir órdenes sobre cómo hacer su trabajo: la independencia debe ser total y deberán reportar directamente a la dirección. Estos nuevos guardianes de la privacidad son los responsables de supervisar el cumplimiento de la ley y asesorar a la dirección en todo lo referido en materia de protección de datos. En este sentido, deben ser capaces en todo momento de demostrar que han actuado con diligencia y con arreglo al nuevo reglamento. El DPO podrá ser un miembro de la compañía o bien puede ser externalizado. Una tarea de máxima responsabilidad que genera dudas entre algunos despachos a la hora de ofrecerlo como servicio. Y es que según explican varios socios consultados por El Confidencial, no todos los despachos tienen previsto ofrecer esta figura a sus clientes pese a la oportunidad de negocio que supone. «Nos lo han preguntado, pero nuestra idea es que sean las empresas las que tengan un DPO interno y nosotros les apoyemos con el asesoramiento que necesiten», explica un socio de una conocida firma internacional. Para otro socio consultado, «la responsabilidad que conlleva el puesto es muy alta» y también apunta a los posibles conflictos de interés que puede generar. «El DPO va a acceder a los datos de la empresa y a la vez es posible que tenga que tomar decisiones que van en contra de los intereses de la dirección. Por eso creemos que es mejor que sea interno». No obstante, hay quienes creen que justo debería ser al revés. «Si por ejemplo tiene que poner en conocimiento de la Agencia Española de Protección de Datos (AEPD) una irregularidad, le va a costar mucho más si es alguien de la casa, por eso es preferible un DPO externo». En lo que sí coinciden todos los profesionales consultados es en la importancia que va a tener esta figura para el futuro de las empresas Respecto a las onerosas multas que introduce el nuevo reglamento, otro socio consultado que sí va a ofrecer estos servicios recuerda que si llega una sanción a la empresa, el despacho no tiene que abonarla. «Es evidente que la empresa te va a pedir explicaciones y hay que demostrar que se ha actuado con diligencia», explica. «Si se acredita una dejación de funciones, en ese caso sí tendríamos un problema». Además del impacto económico, varios socios subrayan el daño reputacional que puede tener sobre el bufete que ha actuado como DPO. En lo que sí coinciden todos los profesionales consultados es en la importancia que va a tener esta figura para el futuro de las empresas. Aunque hay quien lo compara con el cargo de ‘compliance officer’, el objetivo es que el DPO vaya un paso más allá y se convierta en un activo estratégico para la compañía a la hora de tomar decisiones en una economía en la que los datos cada vez van a tener más importancia.
