Protección de Datos – Orden de la SIC a la aplicación ValleCorona
La Superintendencia de Industria y Comercio, en su rol como Autoridad Nacional de Protección de Datos, se permite informar lo siguiente: 1. Con ocasión de la vigilancia preventiva a las aplicaciones creadas en el marco del COVID-19 por diferentes autoridades departamentales y municipales, la Superintendencia de Industria y Comercio detectó fallas de seguridad en la aplicación “ValleCorona”, por lo que a través de la Resolución 47703 del 18 de agosto ordenó a la Gobernación del Valle del Cauca lo siguiente: • IMPLEMENTAR las medidas de seguridad apropiadas y efectivas para impedir el acceso o descarga de la información recolectada y tratada en la aplicación “ValleCorona”. Estas medidas deben ir acompañadas de mecanismos de monitoreo y control que de manera permanente permitan asegurar la debida protección de la información tratada. • MODIFICAR el documento “instructivo de términos y condiciones” para el uso del aplicativo “ValleCorona”, de manera tal que informe todo lo que ordena la regulación colombiana respecto al tratamiento de datos sensibles. • FORTALECER las medidas adoptadas respecto del tratamiento de datos sensibles, de manera que esa información tenga mayores medidas de seguridad y restricciones de acceso, uso o circulación, de tal forma que no sólo se implemente la “responsabilidad demostrada”, sino la “responsabilidad reforzada”. • CUMPLIR con lo ordenado dentro de la Resolución dentro de los 10 días hábiles, siguientes a la ejecutoria de este acto administrativo. • Para demostrar el cumplimiento de esta orden, se deberá remitir una certificación suscrita por la Gobernadora del Valle del Cauca donde se acredite que se han implementado las medidas ordenadas por la SIC. 2. Contra el acto administrativo proceden los recursos de reposición y apelación. La Superintendencia de Industria y Comercio reitera que el derecho de Habeas Data es un derecho fundamental y que el tratamiento de datos sensibles (como los datos relativos a la salud de las personas) debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad y/o cualquier otra actividad que involucre el uso de estos. Las actuaciones de las entidades y autoridades públicas sobre esta materia son investigadas por esta Autoridad, con el fin de determinar si existen responsabilidades, las cuales son consideradas disciplinarias, por lo que cualquier hallazgo será remitido a la Procuraduría General de la Nación para lo de su competencia. Fuente: https://www.sic.gov.co/slider/orden-de-la-sic-la-aplicaci%C3%B3n-vallecorona
Protección de Datos – Por qué no deberías publicar fotos de tus hijos en las redes sociales
El peligroso rastro digital de los menores Es de lo más habitual anunciar en las redes sociales el nacimiento de un nuevo miembro de la familia poniendo una foto del pequeño, ya sea de los pies (un clásico) o de su cara. Algunos embarazos también se anuncian con la ecografía. Hay padres que difunden con frecuencia imágenes de sus hijos en pequeños logros, momentos divertidos… que puede ver todo el mundo. Algunos lo hacen para que sus hijos tengan muchos seguidores; para conseguir contratos publicitarios o utilizan esa imagen familiar para convertirse ellos mismos en ‘influencers’, pero la mayoría de progenitores, simplemente, quiere compartir con los demás su felicidad y mostrar lo orgullosos que están de su familia. Esa práctica de compartir imágenes de menores online se conoce como ‘sharenting’, término que procede de la fusión de las palabras inglesas ‘share’ (compartir) y ‘parenting’ (crianza). El informe ‘EU Kids Online 2019’ establece que el 89% de los padres y madres dice enviar una vez al mes, más o menos, imágenes o vídeos de sus hijos e hijas, aunque solo el 8% lo hace una vez a la semana. La inmensa mayoría de padres (95%) lo hace para estar en contacto con familiares y amigos, pero al 21% es el propio menor el que pide que suba la foto y el 24% pregunta a los hijos si están de acuerdo en que se comparta. El informe también revela que el 14% no muestra con claridad la cara del menor en las imágenes que comparte y que un 8% de las familias ha lamentado haber subido contenido sobre sus hijos. Una vez se sube una imagen o vídeo a internet, se pierde el control sobre ella Unos datos similares se extraen de la investigación ‘What do parents think, and do, about their children’s online privacy’ del London School of Economics and Political Science, aunque en este caso se especifica que la mayoría de los padres comparte contenido con pocos usuarios (menos de 20 personas) y solo el 3% sube imágenes de sus hijos a redes sociales a las que puede acceder cualquiera. Este estudio indica también que los progenitores de niños pequeños es más probable que compartan contenidos que aquellos de más edad. Hay que saber que una vez que una imagen se sube a internet se pierde el control sobre ella. En ocasiones, una empresa puede comprar el contenido que se sube en las redes sociales y utilizarlo con fines publicitarios sin solicitar permiso a la persona que aparece ni pagarle. Pero hay incluso otras posibilidades más oscuras (como que alguien haga pasar la foto del niño por la de otra persona) e incluso ilegales, como el uso de esas imágenes para la pornografía infantil, ya que los pedófilos pueden descargarse las imágenes y alterarlas para sexualizarlas. En España el tratamiento de la imagen de los menores está muy protegido porque se les considera especialmente vulnerables; su imagen se considera dato de carácter personal y está protegida por la Ley de Protección de Datos de Carácter Personal (LOPD). Ésta fija necesario el consentimiento informado del menor si tiene 14 años de edad o más y hasta los 13 años -inclusive- es obligatorio el consentimiento de los padres o tutores, como se supone en el caso de que sean los propios padres quienes suban las imágenes a internet Con el tiempo que llevan las redes sociales funcionando, ya se pueden ver en internet imágenes de la evolución de la infancia de un menor que sea ahora adolescente. Algunos de ellos se han mostrado contrarios al hecho de que sus padres hayan estado haciendo públicas sus fotografías durante años. Es el caso de Apple Martin, hija de la actriz Gwynetch Paltrow y el cantante de Coldplay Chris Martin, quien al cumplir 14 años replicó a su madre en una imagen de Instagram en la que salían las dos y que Paltrow compartió con sus más de cinco millones de seguidores: «Mamá, ya hemos hablado de esto. No puedes subir nada sin mi consentimiento». Pensar antes de subir contenidos de menores En 2015 una investigación realizada por The Parent Zone desveló que cuando un niño cumplía cinco años ya había casi mil fotos suyas online y puede que esos críos, al crecer, no coincidan en que era buena idea difundir así su vida. El estudio antes mencionado (‘EU Kids Online 2019’) reveló que al 9% de los progenitores que habían compartido una imagen, el menor les pidió retirarla. Por eso conviene tener en cuenta algunos principios antes de subir la imagen de un niños a las redes sociales:: ■ No hay que publicar fotos que muestren al menor desnudo, en una situación denigrante o que pueda despertar comentarios negativos y que en el futuro le puedan perjudicar o hacerle sentir mal. Subir una foto o un vídeo gracioso en el que queda en evidencia el pequeño o la pequeña puede ponerle en un compromiso en el futuro o afectar a su reputación con los amigos, o a la hora de encontrar un empleo. Una foto de un bebé desnudo es graciosa cuando se enseña a su novia o novio dos décadas más tarde, pero puede caer en malas manos si se comparte en internet. ■ Leer las condiciones de servicio de cada red social, especialmente sus políticas de privacidad. En la mayoría de ellas, como en Facebook o Instagram, al subir una imagen se da permiso para que almacene la imagen, la copie y la comparta con otras empresas. También hay que revisar la privacidad de la cuenta en la que se va a publicar el contenido relacionado con el menor, asegurándonos de que solo lo ve la gente deseada. ■ No se pueden publicar imágenes de menores de los que no se tenga la patria potestad. Esto incluye fotos de grupo. Más aún, deben estar de acuerdo los dos progenitores en que se publique la imagen. Hace unos meses la audiencia de Cantabria ha estimado la petición de una mujer para que su expareja no difunda la imagen de la hija de cuatro años
Ciberseguridad – El malware ‘Joker’ ataca de nuevo: se ha detectado en hasta 6 apps de Android
El virus informático ‘Joker’, que según la propia Google empezó a hacer sus primeros pinitos a principios de septiembre, está de vuelta. Este malware está dirigido a la tienda de aplicaciones Play Store y es conocido por su alta peligrosidad y su tenacidad en la infección de dispositivos Android. La firma de ciberseguridad Pradeo asegura que este programa malicioso está activo de nuevo y que ha infectado hasta 6 apps de Google Play Store, que representan casi 200.000 instalaciones. “Joker es un bot malicioso (categorizado como Fleeceware) cuya actividad principal es simular clics e interceptar SMS para suscribirse a servicios premium de pago no deseados sin el conocimiento de los usuarios”, explican los expertos de Pradeo. Según la compañía “Joker genera una huella muy discreta” ya que usa “la menor cantidad de código posible” y lo oculta “por completo”, por lo que puede ser “difícil de detectar”. Se aconseja a los usuarios que eliminen inmediatamente de su dispositivo para evitar actividades fraudulentas las siguientes aplicaciones: Paquete Safety AppLock : applock.safety.protect.apps Convenient Scanner 2: com.convenient.scanner.tb Push Message-Texting & SMS: sms.pushmessage.messaging Paquete de papel tapiz Emoji: tw.hdwallpaperthemes.emoji.wallpaper Paquete de escáner de documentos separado: sk.pdf.separatedoc.scanner Fingertip GameBox: com.theone.finger.games Fuente: https://www.20minutos.es/noticia/4366004/0/el-malware-joker-ataca-de-nuevo-se-ha-detectado-en-hasta-6-apps-de-android/?autoref=true
Protección de Datos – Cada persona en la Tierra genera 1,7MB de datos por segundo, ¿qué se puede hacer con toda esa información?
Los datos son ahora el activo de mayor valor y cada vez se desarrollan más herramientas para analizarlos, pero para poder darles sentido es necesario anticipar cómo almacenarlos y cómo gestionarlos, contando para ello con la infraestructura correcta. Anualmente, la firma de software en la nube DOMO publica un informe sobre la cantidad de datos recopilados en cada minuto y, como parece presumible, los números aumentan año tras año. El informe de 2019, ‘Data Never Sleeps 7.0’, afirma que este año habrá 40 veces más bytes de datos que estrellas hay en el universo observable. En el gráfico de 2018, se afirmaba que “se crean más de 2,5 quintillones de bytes de datos todos los días” y que se estima que cada persona en la Tierra genera 1,7MB de datos por segundo. Somos 7.75 billones. El 88% de los directivos a nivel mundial considera la inversión en big data e inteligencia artificial como una necesidad prioritaria, según un estudio de NewVantage Partners, firma tecnológica especializada en la transformación empresarial basada en datos. En España, este mercado tech está siendo uno de los que más rápida y sólidamente está creciendo. Solo teniendo en cuenta la frenética actividad de los 4.500 millones de usuarios de internet que hay aproximadamente en el mundo parece lógico pensar que se hace necesario tener las soluciones y la infraestructura adecuadas para poder almacenar y gestionar toda la información que esas personas generan. No hablamos solo de redes sociales o de ocio: cada minuto se envían 188 millones de correos electrónicos, se hacen alrededor de 4,5 millones de búsquedas en Google y más de 200.000 llamadas de Skype. Y estos datos hacen referencia al panorama previo a la crisis sanitaria, puesto que son de 2019.
Protección de Datos – ¿Darías permiso a una multinacional para que te leyera el pensamiento?
Conforme se generaliza el desarrollo de tecnologías que pueden acceder a los datos cerebrales y manipularlos se plantean cuestiones sobre cómo permitir el acceso de terceros a nuestros pensamientos y emociones y si podemos impedirlo Imagina a Lorenzo. Es un tipo cualquiera, de veintimuchos, al que le gusta jugar a videojuegos online, meditar y hacer deporte. Lo que lo diferencia del resto es que utiliza interfaces cerebro-máquina que monitorizan su actividad cerebral y que recopilan datos sobre él todo el tiempo, acerca de su estado y sus emociones. Estos microchips que Lorenzo tiene implantados en el cerebro también le ayudan en una labor mucho más importante que ganar partidas: rastrean información que indica que va a sufrir un episodio maniaco. Porque Lorenzo tiene un trastorno bipolar y utiliza la tecnología para manejar mejor sus crisis. Este escenario, aunque parece ficción, está mucho más cerca de lo que pensamos. Pero antes de que el uso de los dispositivos cerebrales llegue a generalizarse, expertos de todo el mundo abogan por la necesidad de resolver cuestiones de privacidad como quién tendrá acceso a las ondas cerebrales que codifican nuestros pensamientos, qué margen de decisión tendrá el usuario sobre los datos que genera su cerebro y cómo pueden protegerse su voluntad e identidad cuando hay microchips leyendo y escribiendo sobre sus ondas cerebrales. “Me imagino que, si estos dispositivos se usan de manera positiva, pueden recopilar información que indique que va a sufrir un episodio maniaco”, explica sobre el hipotético caso de Lorenzo Amanda Pustilnik, profesora de Derecho y Neurociencia en la Universidad de Maryland en el informe Neurociencia, más allá del cerebro de la Fundación Bankinter. “Esta información se podría usar para alertarle a él o las personas de su círculo a las que haya autorizado y que puedan adelantarse y ayudarle, o al menos intervenir a tiempo para mitigar los efectos del episodio”, explica Pustilnik. Quizá también pueda comunicarse directamente con los profesionales sanitarios que le tratan. Pero también se puede usar esta información tan sensible de forma negativa. Si se le vende a un bróker de datos, por ejemplo, que después la pone a disposición de otras empresas como producto o servicio, puede que Lorenzo comience a ver anuncios para apostar en línea, comprar artículos de lujo o contratar productos financieros de alto riesgo: impulsos a los que será mucho más propenso durante un episodio maníaco y que podrían, de hecho, precipitar o agravar sus crisis. De esta forma, el mal uso de la información obtenida del cerebro puede tener consecuencias negativas relacionadas directamente con la salud mental de los usuarios, y no solo son una cuestión ética de falta de privacidad. Por el momento, el modelo de protección de la privacidad que conocemos es que los usuarios den su consentimiento para utilizar sus datos, tal y como hacemos al descargar una aplicación en el móvil. Pero cuando hablamos de datos cerebrales este sistema no sirve. “Ahora mismo no tenemos modelos jurídicos buenos para abordar este asunto”, señala Pustilnik. Pero se está trabajando en ello. Hay algunas iniciativas internacionales que llevan años dando la voz de alarma y que ya describen la falta de privacidad de los datos cerebrales como un problema de derechos humanos. Es el caso del proyecto estadounidense BRAIN, que busca promover e impulsar el desarrollo de nuevas tecnologías para aumentar el conocimiento sobre el cerebro y encontrar cura para distintas enfermedades cerebrales. Su máximo responsable, Rafael Yuste, es también promotor de la iniciativa Neuroderechos del Centro de Neurotecnología de la Universidad de Columbia. “Nos preocupa muchísimo la falta de privacidad de los neurodatos”, explica Yuste. Por eso, hace tres años se reunió con expertos de todo el mundo y establecieron los neuroderechos, que sientan las bases de cómo debe protegerse a los usuarios para que se respete su privacidad mental y personal y su libertad para tomar decisiones, entre otros. ¿Quién tiene el control sobre mí? Además de afectar a la salud mental de los usuarios, la falta de una regulación adecuada podría hacer que la tecnología difumine la línea entre la conciencia de una persona y la influencia de la máquina. Los usuarios podrían llegar a dudar de quién tiene el control final sobre sus decisiones: llegará un punto en que no podamos saber si queremos algo de forma genuina o si es por influencia de las neurotecnologías. “Nuestra opinión es que los datos cerebrales obtenidos del registro de las neuronas deben ser tratados legalmente como si fuesen un órgano del cuerpo, así que se aplicaría la misma legislación que regula los trasplantes de órganos”, explica Yuste. En Chile ya han hecho una enmienda a la Constitución para incluir los neuroderechos. Promover leyes para proteger la información cerebral es una de las primeras opciones que los expertos del proyecto BRAIN manejan para defender a los ciudadanos. Otras soluciones técnicas podrían ayudar a resolver el problema yendo un paso más allá del consentimiento del usuario. “Hablamos del aprendizaje federado, es decir, que si tienes un iPhone que recoge tu actividad cerebral, los datos no salgan nunca de tu dispositivo, sino que se comparta solo lo que se ha aprendido de ellos”, propone Yuste. También comenta la opción de tener una privacidad diferencial: que a cada dato que venga del cerebro le demos una etiqueta y le otorguemos un grado de privacidad concreto dependiendo de cómo de sensible sea. Del uno al diez: que estés vivo o no requiere una privacidad mínima, que vivas en un país determinado, un punto; cómo te sientes, diez puntos… “Esto permitiría a las compañías seguir ganando dinero sin que dañen los derechos humanos”, asegura Yuste. “Esperamos que podamos llegar a tiempo antes de que estos productos lleguen al mercado”. Fuente: https://retina.elpais.com/retina/2020/08/28/tendencias/1598608299_456093.html
Autenticación Digital – Sistema financiero dejará en el pasado la firma y la huella en el papel para acceder a los productos
La Superfinanciera presentó una nueva normativa que simplifica y agiliza el proceso de vinculación a entidades del sector financiero Por el avance de las tecnologías de la información y la dinamización que han tenido los canales digitales como consecuencia de la pandemia, la Superintendencia Financiera emitió una nueva versión del Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación al Terrorismo (Sarlaft 4.0.), en el que se da un cambio de enfoque en la forma de medir el riesgo. De acuerdo con el superintendente Financiero, Jorge Castaño, esta reglamentación introduce cinco cambios concretos, entre los que se encuentran la posibilidad de adquirir productos del sector financiero sin necesidad de dar la firma física ni la huella o de rellenar extensos formularios. “No es que se rebajaron los estándares, sino que hoy en día hay información y otros elementos que han permitido gestionar el riesgo de una manera más eficiente y menos costosa”, explicó. Uno de los cambios generados por el Sarlaft 4.0. es que los parámetros mínimos de vinculación de cliente por producto financiero, que casi que definía cada banco y que terminaban generando barreras y excepciones, se acaba. De ahora en adelante, en términos de procedimientos para vincular a los consumidores financieros, existen dos formas: el simplificado y el ordinario. El primero es para clientes que tienen un perfil de riesgo bajo en términos de lavado de activos, pues no tienen operaciones de comercio exterior y sus operaciones son sencillas. “Se le piden tres o cuatro datos que se puedan validar con fuentes fiables del Gobierno, como la Registraduría o Migración Colombia, o con las bases propias que el consumidor quiera reconocer, como su voz”, señaló Castaño. El proceso ordinario es para consumidores financieros más sofisticados, como empresarios o compañías, que hacen operaciones en el exterior y de las que se requiere mayor nivel de conocimiento. El segundo cambio tiene que ver con el formulario de vinculación de clientes, pues se acaba el formato que la Superfinanciera establecía y cada entidad, dependiendo del producto y del perfil de riesgo del cliente, entre otros factores, diseñará su propio esquema de vinculación. “Eso ya se ve hoy a través de las apps, en las que algunos bancos tienen cuatro o cinco datos de validación, y le dan una respuesta automática al cliente”, resaltó el superintendente financiero. El tercer cambio está relacionado con la importancia de la entrevista en el proceso de vinculación a una entidad financiera, un paso que desde las recomendaciones internacionales siempre se había considerado como una buena práctica. “La entrevista está pasada de moda, porque hoy hay múltiples formas que le permiten a la entidad conocer y entender si esa persona es quien dice que es”, subrayó Castaño, quien agregó que esta ya no es obligatoria y que las entidades podrán implementar otros esquemas. El cuarto cambio es la eliminación de la firma física y la huella en los procesos de acceso. De acuerdo con el Superfinanciero, para la autenticación de la entidad se puede utilizar el reconocimiento facial y la voz, pues son elementos que no son manipulables y dan certeza de que la persona es quien dice ser. Por último, con el Sarlaft 4.0., se permite que las entidades financieras compartan la información entre ellas, lo que antes estaba prohibido, si el usuario permite que una le suministre los datos a otra. El incremento de la inclusión financiera De acuerdo con el superintendente Castaño, la simplificación de los procesos para acceder a productos y servicios del sistema financiero podría aumentar la inclusión financiera en el país, pues se abre la posibilidad de darles acceso a personas que eran excluídas por los procesos de vinculación. Si bien no garantizan que todo el mundo entre, brinda mayores herramientas para que las entidades tengan información de estas personas y las vinculen de una manera efectiva. Alfredo Barragán, experto en banca, mencionó que al diseñar formularios para cada producto y autenticar mediante biometría, habrá más posibilidades de acceso para inmigrantes. Fuente: https://www.larepublica.co/finanzas/el-sistema-financiero-dejara-en-el-pasado-la-firma-y-la-huella-en-papel-3054368
Protección de Datos – Superindustria ordena a Google cumplir con el estándar nacional de protección de datos
Bogotá D.C., 04 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, emitió una orden de obligatorio cumplimiento a la empresa GOOGLE LLC para que implemente medidas acordes con el estándar colombiano en materia de Habeas Data. La decisión se tomó a través de la Resolución 53593, luego de determinar que la Política de Tratamiento de la Información (PTI) que maneja la empresa GOOGLE LLC, domiciliada en Estados Unidos, incumple en un 52,63% los requisitos que exige la regulación colombiana. La Superintendencia de Industria y Comercio pudo establecer que esta empresa utiliza “cookies” para recolectar o tratar Datos personales en territorio nacional, por lo que la Ley 1581 de 2012 es aplicable a GOOGLE LLC, pues esta compañía acopia o captura datos personales a través de una herramienta que se instalan en dispositivos móviles y computadores ubicados en Colombia. La SIC decidió: – ORDENAR a la sociedad GOOGLE LLC que respecto de los Datos personales que recolecta o trata en el territorio de la República de Colombia sobre personas residentes o domiciliadas en este país, implemente un mecanismo o procedimiento apropiado, efectivo y demostrable para que al momento de solicitar la autorización a cada persona, le informe de manera clara, sencilla y expresa de: El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes. Los derechos que le asisten como Titular de su información. La identificación, dirección física o electrónica y teléfono del Responsable del tratamiento. GOOGLE LLC como Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo anterior y cuando se le solicite, entregar copia de esta. – ORDENAR a la sociedad GOOGLE LLC crear una Política de Tratamiento de Información (PTI) que cumpla todos los requisitos que exige el artículo 13 del Decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015), y ponerla en conocimiento de los Titulares de los Datos domiciliados o residentes en el territorio colombiano. – ORDENAR a la sociedad GOOGLE LLC que implemente un mecanismo o procedimiento apropiado, efectivo y demostrable para dar cumplimiento a los requisitos especiales que ordena el artículo 12 del Decreto 1377 (incorporado en el Decreto 1074 de 2015) para la recolección y Tratamiento de los Datos personales de niños, niñas y adolescentes (menores de 18 años de edad). – ORDENAR a la sociedad GOOGLE LLC que registre sus bases de datos en el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comerci – ORDENAR a la sociedad GOOGLE LLC que presente ante esta Superintendencia prueba de la Autorización previa, expresa e informada emitida por los representantes legales de los niños, niñas y adolescentes (menores de 18 años de edad), cuyos Datos hayan sido recolectados o tratados con posterioridad a la entrada en vigencia de la Ley Estatutaria 1581 de 2012. GOOGLE LLC deberá acreditar el cumplimiento de estas órdenes a través de una certificación emitida por una empresa independiente, imparcial, profesional y especializada en temas de Tratamiento de Datos Personales Esta investigación se inició de oficio por la Superintendencia de Industria y Comercio para verificar si GOOGLE cumplía con la regulación colombiana respecto de la recolección y uso de de los datos de 38.962.184 de colombianos mayores de edad y 1.847.592 menores de edad, de quienes GOOGLE LLC posee y trata datos personales en la actualidad. El incumplimiento de estas órdenes acarrea investigaciones administrativas sancionatorias y multas de hasta 2.000 salarios mínimos legales vigentes. Contra la decisión proceden recursos de reposición ante el Director de Investigaciones de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la protección de Datos. Fuente: https://www.sic.gov.co/slider/superindustria-ordena-google-cumplir-con-el-est%C3%A1ndar-nacional-de-protecci%C3%B3n-de-datos
Ciberseguridad – Crece el ‘riesgo insider’: el 61% de las empresas han sufrido un ataque interno en el último año
Los empleados, ya sea por descuido o de forma malintencionada, pueden exponer a sus empresas a importantes riesgos en cuanto a ciberseguridad se refiere. Este 2020 ha sido un año especialmente crítico en ese sentido debido a la expansión del teletrabajo con motivo de la crisis sanitaria. Desde casa, los trabajadores no tienen siempre todas las medidas de seguridad necesaria para protregerse de un ciberataque -incluso algunos utilizan sus dispositivos personales, sin ningún tipo de seguridad o control implementado por la empresa, para acceder a contenido laboral-. Para conocer la situación actual del llamado ‘riesgo insider’, es decir, la seguridad de las empresas en lo que respecta a las amenazas de origen interno, la compañía de seguridad en la nube Bitglass ha realizado su informe anual sobre las amenazas internas, para lo que ha hablado con profesionales TIC de varias organizaciones. a mayoría de los encuestados (61%) admite haber sufrido al menos un ataque de origen interno en los últimos 12 meses (el 22% notifica hasta seis distintos). “Las organizaciones empresariales experimentan actualmente cambios muy profundos, que incluyen rápidas migraciones a la nube y la adopción generalizada de las políticas de trabajo a distancia y BYOD (uso de dispositivos personales en el trabajo). Debido a estas tendencias, la protección contra las amenazas internas se ha vuelto cada vez más difícil”, afirman desde la compañía. En este sentido, añaden, “la mayoría de las empresas no pueden garantizar la capacidad de detectar las amenazas internas que proceden de los dispositivos personales (82%) o de la nube (50%), mientras que el 81% tienen dificultades para evaluar el impacto de los ataques internos”. A pesar de estas preocupaciones, pocos encuestados disponen de una plataforma única que ofrezca una visibilidad y un control completos y unificados de todas las interacciones, aseguran desde Bitglass. “Cuando solamente cuentan con varias herramientas inconexas que proporcionan diferentes niveles de protección, los profesionales de la seguridad deben dedicar una cantidad de tiempo excesiva a gestionar cada una de las soluciones de forma individual”. Por ese motivo, informan, “el 49% de los encuestados afirma que suele transcurrir al menos una semana antes de que se consigan detectar los ataques internos; además, el 44% señala que puede pasar hasta otra semana hasta que la empresa se recupere del ataque sufrido”. Si bien las empresas ya trabajaban con presupuestos de seguridad limitados antes de la crisis sanitaria, ahora se exige a los equipos de seguridad “que hagan todavía más con menos”. El 73% de las compañías prevé disminuir o congelar sus presupuestos de seguridad durante el próximo año. “Las empresas señalan la pérdida de datos críticos y la interrupción de la actividad como las principales repercusiones de los ataques internos”, explica Anurag Kahol, director técnico de Bitglass. “Junto con el daño a la marca, los costes de remediación, las responsabilidades legales y la pérdida de ingresos, son consecuencias muy serias que hay que intentar evitar”. Fuente: https://www.20minutos.es/noticia/4369414/0/crece-el-riesgo-insider-el-61-de-las-empresas-han-sufrido-un-ataque-interno-en-el-ultimo-ano/
Protección de Datos – Privacidad de los datos: decisión ética y no ‘de negocios’
La industria va a un ritmo muy acelerado y es tan global que es muy difícil que un gobierno regule toda la actividad digital. Los usuarios se han acostumbrado a utilizar sus datos personales y privados como ‘moneda de cambio’ al momento de suscribirse a servicios en línea de forma gratuita, desde sus correos electrónicos o sus números de teléfono hasta sus hábitos alimenticios, sus preferencias comerciales o sus rutinas diarias, entre otras opciones. En estas transacciones, la persona termina comprometiendo su seguridad y su privacidad. Curiosamente, la privacidad constituye una preocupación primordial de los usuarios. Un estudio de Pew Research muestra que el 79% de las personas en Estados Unidos está preocupada por la forma en que las empresa podrían utilizar sus datos privados, al tiempo que el 81% piensa que el riesgo de entregar esta información supera a los beneficios que se reciben. Sin embargo, todo parece indicar que olvidan estas preocupaciones al momento de recibir alguna recompensa, así sea pequeña. Casos como los de Cambridge Analytica han hecho más visible cómo el uso conjunto de información privada de millones de usuarios puede tener consecuencias importantes, al punto de definir elecciones. Y el panorama no parece mejorar cuando vemos que empresas como Google o Amazon ya cuentan con dispositivos que automáticamente recopilan imágenes y audios de quienes utilizan algunos de sus servicios. De hecho, Nest -una empresa de Google- almacena datos de los olores del hogar a través de sus detectores de humo. ¿Pero qué sucede en el mundo corporativo? ¿En realidad las organizaciones están más preocupadas por sus datos cuando ceden su administración a un tercero de lo que estaría cualquier persona cuando abre una cuenta de TikTok o Facebook? Con tristeza, encontramos empresas que entregan el acceso a sus datos privados por el afán de utilizar servicios gratuitos. Hoy no es raro encontrar compañías de tecnología que ofrecen «aplicaciones gratuitas» pero que están valoradas en billones de dólares. Esto nos habla de un modelo de negocio donde el usuario y su información son el producto. En Zoho hemos decidido nadar ‘contra la corriente’ para beneficiar a nuestros clientes. Por ejemplo, eliminamos de nuestros productos en linea todos los cookies y trackers de terceros, para evitar que sus datos sean utilizados en actividades que pongan en riesgo sus negocios. Estamos convencidos de que la decisión de cuidar la privacidad de los clientes no es una decisión de negocios, sino una decisión ética, en pro de un mejor futuro digital Esto se une a nuestro modelo de negocios en el cual no vendemos publicidad: nunca mostraremos anuncios en nuestros productos, ni siquiera en las versiones gratuitas. Creemos en que las versiones gratuitas funcionan en la medida que habilitan los negocios de las micro y las pequeñas empresas. A medida que estas compañías crecen y encuentran valor en nuestros productos, terminan adquiriéndolos para contar con opciones más avanzadas o para responder a sus necesidades. La industria va a un ritmo muy acelerado y es tan global que es muy difícil que un gobierno regule toda la actividad digital. Allí es donde los proveedores debemos establecer esos parámetros para nuestras actividades. Les hago un llamado a otras empresas para que se unan a esta tendencia y, en conjunto, ofrecer mejores prácticas al mercado. Raju Vegesna Jefe Evangelista de Zoho Fuente: https://www.portafolio.co/economia/privacidad-de-los-datos-decision-etica-y-no-de-negocios-544411?utm_medium=Social&utm_source=Facebook&fbclid=IwAR2N8rkM1hz3M3fwftiZiqUVhSdYdMLyucZRbN88RsnZkJ21tu3q-ccH244#Echobox=1599662392
