Protección de Datos – ¿Se requiere autorización para el tratamiento de datos personales en urgencia médica o sanitaria?
Los datos personales sensibles son aquellos que afectan la intimidad de las personas y el uso indebido de los mismos puede generar su discriminación, pues están relacionados, entre otros aspectos, con la salud, orientación sexual, hábitos del inpiduo y credo religioso o político. Así las cosas, recordó la Superintendencia de Industria y Comercio, los responsables del tratamiento de los datos personales deben obtener autorización explícita por parte del titular a más tardar al momento de la recolección, informándole la finalidad específica del tratamiento y utilizando mecanismos que garanticen su posterior consulta. Se entiende que el titular ha dado su autorización para el tratamiento de los datos personales cuando: (i) sea por escrito, (ii) oral o (iii) mediante conductas inequívocas, es decir, aquellas que no admiten duda o equivocación del titular y que permitan concluir de forma razonable que otorgó la autorización. El silencio no puede asimilarse a una conducta inequívoca. Para el caso de los datos sensibles relacionados con la salud, la autorización explícita se refiere solo a que sea escrita o verbal y en el evento en que el titular no autorice su tratamiento no se podrá impedir el acceso a los trámites, diligencias o actuaciones ante entidades públicas o privadas, advirtió la entidad. En los casos de urgencia médica o sanitaria, no es necesaria la autorización únicamente cuando en la situación concreta no sea posible obtenerla del titular o resulte problemático gestionarla, por razones de apremio, riesgo o peligro para otros derechos fundamentales para el titular o para terceras personas. De lo contrario, deberá obtenerse la autorización. Superindustria, Concepto 20102063, jun. 10 – 20. Fuente: https://www.ambitojuridico.com/noticias/mercantil/constitucional-y-derechos-humanos/se-requiere-autorizacion-para-el-tratamiento
Protección de Datos – Cómo proteger la información personal de los clientes en la empresa
En Internet, las empresas de éxito serán las que mejor protejan a sus clientes garantizando la seguridad de sus datos personales y, por tanto, generando confianza. Conservar la imagen de la empresa, ser responsables con las decisiones y aplicar buenas prácticas en el comercio online, son algunas de las características más importantes para lograr una buena percepción de los servicios empresariales por parte del usuario. Acciones a considerar para la protección del cliente Podemos considerar la protección de un cliente como el conjunto de acciones coordinadas y encaminadas a su protección y tranquilidad aportando beneficios mutuos tanto para la empresa como para los clientes. Entre estas acciones, podemos señalar las siguientes: Reputación online e imagen Nuestra imagen en la red puede ser nuestro valor diferencial. Para protegerla, debemos concentrarnos en mejorar aquellos factores que dependen de la empresa, tales como la calidad del servicio prestado, atención a los clientes y el cumplimiento de acuerdos y contratos. Cuando contamos con medios online para la interacción con nuestros clientes hemos de considerar algunos puntos clave como la calidad de la presentación de la página web corporativa y la presencia coordinada a través de las redes sociales. En estas tendremos especial cuidado en el tratamiento de los comentarios recibidos y la pronta atención a los clientes, pues son esenciales para nuestra reputación. En general, buscaremos prestar una buena atención a los clientes a través todas las vías online habilitadas y la diligencia en la gestión de incidencias que puedan surgir. Es recomendable actuar siempre con transparencia, los clientes deben poder tomar decisiones apoyándose en información que les permita conocer los productos y servicios de la empresa de una forma clara y comprensible, informándoles en todo momento de las posibles incidencias surgidas. Acuerdos a nivel de servicio Los acuerdos de nivel de servicio (SLA por sus siglas en inglés: Service Level Agreement) son aquellos acuerdos establecidos entre proveedor y cliente que permiten conocer la calidad, y la seguridad, de un proyecto o servicio prestado de cierta duración. Deben estar consensuados por ambas partes y en ellos se pueden acordar puntos tan importantes para la ciberseguridad como: la disponibilidad o el horario del servicio de asistencia online, los tiempos de respuesta en la resolución de incidencias, el personal asignado al servicio, los modos de acceso al servicio, las responsabilidades de ambas partes, como quién hará las actualizaciones y backups, los límites de carga del servicio y las interrupciones programadas. Estos acuerdos deberán revisarse periódicamente, y siempre que haya cambios, para verificar su vigencia. Comunicación con el cliente La comunicación con el cliente no se debe descuidar cuando se hace por medios digitales. Siempre verificaremos que se realice de forma segura utilizando correo electrónico corporativo o cuentas oficiales en redes sociales, sobre redes de comunicación confiables y cifrando la información intercambiada si esta es confidencial. Solamente se podrá contactar con los clientes por los canales establecidos en la política de la empresa, evitando otras vías de comunicación no oficiales y por lo tanto menos confiables. El fin es evitar la fuga de información, para lo cual existen también herramientas específicas DLP (Data Loss Prevention) que «vigilan» los movimientos de los ficheros y complementan a los antivirus y firewalls. Responsabilidades si somos proveedores de servicios Si ofrecemos servicios externos, gestionaremos y protegeremos la información de nuestros clientes como si fuera propia. Para ello, una buena práctica es ofrecer contratos de confidencialidad o clausulas adicionales al contrato de servicios, respetando siempre la legislación de protección de datos (LOPDGDD y RGPD). Esto mismo lo exigiremos cuando somos nosotros los que contratamos servicios externos, ya sean o no tecnológicos y en particular aquellos en los que intervengan datos personales. No debemos olvidar la concienciación en ciberseguridad, pues los empleados deben ser en todo momento conscientes de la importancia de la información que manejan tanto de la empresa como de los clientes. Para proteger la información más sensible es posible firmar con los empleados que la manejen acuerdos de confidencialidad para tal fin. La concienciación se ha de acompañar de medidas técnicas o políticas para regular el acceso de los empleados a la información de los clientes y otorgar solo el acceso necesario para el correcto desempeño de las funciones. Satisfacción del cliente La obtención del servicio demandado por el cliente en la forma y tiempo acordados es importante para establecer una relación de confianza duradera, por tanto, es vital llevar un seguimiento de la percepción del cliente respecto de los servicios prestados. Para ello podemos realizar encuestas de satisfacción que nos ayudarán a ser proactivos ante el cliente detectando y corrigiendo a tiempo los posibles problemas. Consideraciones sobre comercio electrónico Sea cual sea el tamaño y actividad de la empresa, tenemos que proteger la información de los clientes, especialmente si ofrecemos servicios de comercio electrónico u otros donde recojamos o tratemos datos de clientes como información de medios de pago, direcciones de envío o facturación, etc. Estos datos son especialmente vulnerables ya que se venden a buen precio en el mercado negro, y son utilizados posteriormente para realizar otros ataques y fraudes. Por este motivo y por las pérdidas económicas y reputacionales que puede ocasionarnos, se deben extremar las precauciones implementando medidas destinadas a proteger los datos de los clientes tales como: Utilizar protocolos seguros https para páginas web y pasarelas de pago. Asegurando de esta manera que la información va cifrada. Utilizar un certificado válido y al día para la web y la tienda online. Garantizando así que las conexiones a la web empresarial son legítimas. Actualizar el software de los servidores web, evitando así vulnerabilidades conocidas. Cifrar la información sensible que se almacene en las bases de datos de la web. Almacenar las contraseñas de los clientes cifradas y nunca enviarlas como texto plano. Utilizar los sellos de confianza o distintivos que muestran el compromiso de la empresa con códigos éticos y la implantación de medidas de seguridad. Usar sistemas de reputación por votos, permitiendo a los clientes valorar públicamente el servicio recibido. En el caso de que contratemos servicios a proveedores tecnológicos, como por ejemplo servicios cloud, tendremos que asegurar que firmamos con nuestros proveedores los acuerdos necesarios para recibir un correcto servicio
Protección de Datos – Superindustria sanciona a Scotiabank Colpatria por incumplir ley de protección de datos
– La Autoridad solicitó revisar si en este caso hay mérito para abrir investigación administrativa de carácter sancionatorio a la ETB. Bogotá D.C., 20 de abril de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, impuso una multa a SCOTIABANK COLPATRIA de $356.070.000 (trescientos cincuenta y seis millones setenta mil pesos) y le ordenó adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su información, así como adoptar e implementar procedimientos para verificar si los datos personales compartidos por terceros han sido autorizados por sus respectivos titulares de manera previa, expresa e informada. La anterior decisión, contenida en la Resolución 10720 de 2020, se tomó con ocasión de la queja de un ciudadano quien informó que había presentado al banco SCOTIABANK COLPATRIA varias peticiones para eliminara su número telefónico de su base de datos, y además había exigido que le fuera mostrada una copia de la autorización para el tratamiento de sus datos personales. Sin embargo, y después de haber sido notificado de que sus datos ya se habían eliminado de la base de datos, la persona siguió recibiendo mensajes desde la entidad bancaria. En la investigación, la Superindustria conoció que SCOTIABANK COLPATRIA tenía en su poder los datos del usuario porque tenía un convenio con la Empresa de Telecomunicaciones de Bogotá (ETB). En el marco de este convenio, la autoridad ordenó que se realice una auditoría externa para conocer si la ETB cuenta con autorización previa, expresa e informada de los Titulares y cuya información fue entregada a SCOTIABANK COLPATRIA. En la resolución, también se ordena el traslado de esta decisión para determinar si hay mérito para iniciar una investigación administativa de carácter sancionatorio en contra de la ETB. Contra esta decisión proceden los recursos de reposición y apelación. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-scotiabank-colpatria-por-incumplir-ley-de-protecci%C3%B3n-de-datos
Protección de Datos – Ordenan a Facebook poner fin a recopilación automática de datos
La más alta jurisdicción alemana ordenó a Facebook que cese de recopilar automáticamente y sin un acuerdo previo específico los datos personales de usuarios de sus aplicaciones como Whatsapp o Instagram. «No existe ninguna duda sobre la posición dominante de Facebook en el sector de redes sociales así como sobre la utilización de esa posición dominante», explicó el Tribunal Federal alemán, que confirmó en apelación un dictamen del año pasado de la Autoridad nacional de Competencia. Tras el dictamen, Facebook había presentado una apelación contra la Oficina alemana anti-cártel ante un tribunal que falló a su favor. La decisión de la más alta jurisdicción anula la sentencia del tribunal e inflige una derrota al grupo estadounidense. «Facebook no da ninguna posibilidad de elegir», justificó el presidente del Tribunal Federal, Peter Meier-Beck. El fallo se aplica con efecto inmediato para Facebook, que debe revisar sus clausulas contractuales. La justicia alemana reprocha a la red social el hecho de abusar de su posición dominante al imponer clausulas contractuales abusivas a sus usuarios de diversas plataformas. Las autoridades alemanas exigen a Facebook que solicite «el acuerdo explícito» de sus alrededor de 30 millones de usuarios en el país para ciertas clausulas. La autoridad de la competencia quiere, en particular, que el grupo pregunte con antelación a sus usuarios antes de conectar a su cuenta Facebook los datos obtenidos a través de las aplicaciones que le pertenecen, como Instagram y Whatsapp, o gracias al botón «Me gusta» insertado en páginas de internet de terceros. Su presidente, Andreas Mundt, celebró la decisión del Tribunal Federal. «Los datos privados son un instrumento decisivo del poder económico y del lugar del mercado de internet» de los grandes grupos, declaró. «Cuando se recopilan datos ilegalmente, la intervención de la autoridad de la competencia debe ser posible». Hasta el momento, Facebook rebatía las denuncias alemanas, al estimar que no se aprovecha de ninguna posición dominante ante sus competidores como Twitter o Snapchat. El grupo estimaba además que había cambiado suficientemente sus parámetros de confidencialidad, conforme al Reglamento Europeo de Protección de Datos (RGPD). Fuente: https://www.semana.com/mundo/articulo/justicia-alemana-ordena-a-facebook-fin-de-recopilacion-automatica-de-datos/681551
Ciberseguridad – Alertan de problemas de seguridad por el mal uso de las videollamadas
El Instituto Nacional de Ciberseguridad (Incibe) ha alertado sobre el uso de las aplicaciones de videoconferencia, que han cobrado un notable protagonismo en la crisis sanitaria de la Covid-19 y ayudan a estar en contacto, pero se deben seguir unas pautas básicas para no tener problemas de seguridad. «Con el cole en casa, muchos docentes y familias hemos empezado a utilizar las videollamadas para estar en contacto y mejorar el seguimiento educativo«, han informado desde el Incibe por medio de un comunicado. Sin embargo, advierte de que también están surgiendo nuevos problemas, como la irrupción de personas desconocidas en una sesión para molestar a los asistentes o la difusión de grabaciones de educadores y compañeros sin consentimiento. Por tanto subraya que aunque en general son herramientas útiles y de uso sencillo, no están exentas de riesgos de seguridad. «Si no tenemos en cuenta algunas pautas básicas, nos podemos encontrar con sorpresas desagradables, como cuando instalamos una app que no es la oficial que podría infectar nuestro dispositivo y nos robarían nuestras cuentas bancarias o secuestrarían nuestros datos a cambio de un rescate», aseguran desde el centro tecnológico con sede en León. Uno de los problemas que está teniendo mayor relevancia mediática es el de la irrupción en la clase virtual de alguna persona desconocida «para trolearla, insultar, mostrar contenido inapropiado e incluso dañar psicológicamente al alumnado con contenidos especialmente hirientes como es el caso de escenas extremadamente violentas o de abuso sexual a menores». Advierte de que aún limitando la entrada, siempre puede pasar que uno de los asistentes comparta los datos de acceso a la videoconferencia con otras personas para que accedan a la clase con malas intenciones o se hagan pasar por un compañero. Además, precisa que cualquiera dentro de esa sesión puede grabarla sin nuestro conocimiento para luego difundirla, crear memes ofensivos, alimentar una campaña de ciberacoso contra un compañero o incluso dañar nuestra propia intimidad y honor en las redes sociales. Para evitarlo lo primero, aconseja descargar la aplicación correcta, para lo que se ha de acudir siempre a la página web oficial. Si estamos en un dispositivo móvil habrá que acudir siempre a la tienda oficial de aplicaciones Play Store o App Store y mantenerla siempre actualizada. A continuación, la aplicación pedirá crear una cuenta de usuario y es importante que le asigne una contraseña «robusta» y que sea diferente de las que se empleen en otros sitio, recuerda el Incibe . Puntualiza que si se utiliza un gestor de contraseñas «resultará más sencillo» ya que solo habrá que acordarse de una contraseña maestra. Además, siempre que sea posible, aconseja habilitar la verificación en dos pasos, y, cuando sea posible, configurar una contraseña de acceso a la reunión, e igual que la URL de acceso a la misma nunca debe compartirse. «De hecho, lo ideal es mantenerlas secretas hasta momentos antes de empezar, facilitándoselas a las personas asistentes por medios seguros, por ejemplo, con una llamada telefónica», concluye. 📫 Ya puedes consultar nuestro #BoletínSeguridad con toda la actualidad en #ciberseguridad de esta semana en @INCIBE y sus portales. Disfruta de un #FelizFinde.https://t.co/GtKORvkd0p — INCIBE (@INCIBE) May 22, 2020 Fuente: https://www.20minutos.es/noticia/4266594/0/alertan-problemas-seguridad-mal-uso-videollamadas/
Protección de Datos – Millonaria multa a Facebook por engañar a usuarios canadienses sobre privacidad
La red social Facebook enfrenta una nueva acusación por proporcionar información «falsa o engañosa» sobre la protección de privacidad de los ciudadanos canadienses. Esta vez, el contralor de la competencia comercial de ese país anunció que la red social estadounidense violó las leyes de privacidad. La investigación realizada concluyó que «la compañía hizo representaciones falsas o engañosas sobre la privacidad de los canadienses en Facebook y Messenger», aseguró en un comunicado la Oficina de Competencia, anunciando que deberá pagar la multa de 9,5 millones de dólares canadienses como parte de la sanción impuesta. Dicho valor responde al mal manejo que se le dio a la información personal de sus usuarios entre agosto de 2012 y junio de 2018, la cual, según la Oficina de Competencia de Canadá, compartió indebidamente con desarrolladores de terceros. El informe indicó que Facebook dio la sensación de que los usuarios podían controlar qué personas tenían acceso a su información, una vez utilizaran las funciones de privacidad de la plataforma. Sin embargo, la red social “no limitó el intercambio de información personal de los usuarios con terceros de una manera que fuese consistente con las afirmaciones de privacidad de la compañía”. Asimismo, la red social también permitió que algunos desarrolladores de terceros tuvieran acceso a la información personal de los amigos de los usuarios, que instalan ciertas aplicaciones. Facebook afirmó haber dejado esta práctica en 2015, pero la Oficina encontró fuertes evidencias que denotarían que la plataforma continuó realizando este ejercicio al menos hasta 2018. En una declaración, Facebook señaló que no estaba de acuerdo con la evidencia y por ese motivo quería resolver este problema pronto. ‘‘Aunque no estamos de acuerdo con las conclusiones de la Oficina, resolveremos este asunto mediante un acuerdo de consentimiento”, dijo un portavoz. Cabe señalar que esta no es la única vez que Facebook ha tenido que dar cara a denuncias sobre el manejo de la privacidad de información, pues por el escándalo de Cambridge Analytica la compañía tuvo que pagar la cantidad récord de 5 mil millones de dólares. Fuente: https://www.semana.com/tecnologia/articulo/canada-multa-a-facebook-por-falsas-afirmaciones-de-seguridad-de-usuarios/673046
Protección de Datos – Así se está expandiendo la vigilancia masiva, cortesía del COVID-19
Gobiernos nacionales y locales en todo el planeta están proponiendo, o imponiendo, nuevas reglas de juego para incrementar las técnicas y métodos de vigilancia con la esperanza de mitigar los efectos del nuevo coronavirus. Esto se está haciendo, en general, sin un debate público amplio y en buena medida sin controles legislativos. Una y otra vez, los gobiernos han utilizado las crisis para ampliar su poder y, a menudo, su intrusión en la vida de los ciudadanos, La pandemia de COVID-19 ha mostrado que este patrón se manifiesta a gran escala. Desde el despliegue de aviones no tripulados o monitores de tobillo para hacer cumplir las órdenes de cuarentena, hasta las propuestas de usar cámaras de reconocimiento facial o de imágenes térmicas para vigilar los espacios públicos, los gobiernos de todo el mundo han estado adoptando medidas intrusivas en su búsqueda para contener la pandemia. Los gobiernos han tratado repetidamente de obtener estos datos sin una orden judicial: han eludido la supervisión de la forma en que los utilizaban y accedían a ellos, han minimizado engañosamente su sensibilidad y han obligado a los operadores de telefonía móvil a conservarlos. En el pasado, esos usos se justificaban más a menudo con argumentos de aplicación de la ley o de necesidad de seguridad nacional. Ahora, algunos de las mismas atribuciones de vigilancia de la localización están siendo exigidas – o a veces, simplemente, son ejercidas – sin contribuir de manera significativa a la contención de COVID-19. A pesar de la falta de pruebas que demuestren la eficacia de los datos de localización para detener la propagación del virus, los gobiernos de varios países han aprovechado la crisis para introducir facultades de vigilancia completamente nuevas o ampliar las antiguas con nuevos fines relacionados con el nuevo coronavirus. Por ejemplo, las leyes de retención de datos obligan a las empresas de telecomunicaciones a recopilar y almacenar continuamente metadatos de toda una población durante un determinado período de tiempo. En Europa, el Tribunal de Justicia de la Unión Europea declaró que esos mandatos eran ilegales en virtud de la legislación de la Unión Europea. Al igual que otras medidas de emergencia, ésta puede ser una batalla cuesta arriba para hacer retroceder la vigilancia de nuevos lugares una vez que la epidemia disminuya. Y como los gobiernos no han demostrado su eficacia, no hay justificación para esta intrusión en las libertades fundamentales de las personas en primer lugar. Rastreo de localización individualizada Los operadores de telefonía móvil conocen la ubicación de los teléfonos de sus abonados (normalmente la misma que la de los propios usuarios) en todo momento debido a la forma en que funcionan las redes celulares. Pero mientras que los datos de localización telefónica son útiles para mostrar si alguien fue a la iglesia o al cine, simplemente no son necesariamente precisos para mostrar si dos personas estaban lo suficientemente cerca para transmitir el virus (caracterizado comúnmente como una distancia de dos metros). Si bien la vigilancia por localización es problemática en cualquier momento, la crisis del coronavirus ha provocado que se incremente rápidamente su uso; muchas medidas para facilitarla han sido aprobadas por procedimientos legislativos acelerados durante los estados de emergencia nacionales. Algunos gobiernos han llegado incluso a pasar por alto a los legisladores por completo y han confiado en el poder ejecutivo para desplegar una vigilancia de localización ampliada, lo que la hace aún menos transparente y democráticamente legítima de lo habitual. Los gobiernos pueden aprovechar la urgencia de la crisis para erosionar los límites de las formas en que se pueden utilizar los historiales de localización de las personas, exigir que esos datos se entreguen a las autoridades en masa o exigir a las empresas que almacenen registros de dónde han estado sus clientes. Vigilancia masiva, cortesía del COVID-19 En al menos siete países han salido a la luz los intentos de ampliar rápidamente la autoridad gubernamental de vigilancia de emplazamientos. Este es el escenario de algunos de ellos. -Perú: el gobierno de este país, al igual que algunas naciones europeas, también ha emitido un decreto de estado de emergencia. Obliga a las compañías telefónicas a conceder a los centros de llamadas de emergencia el acceso a los sitios celulares y a los datos GPS de aquellos que han llamado al número de emergencia nacional y están infectados o son sospechosos de COVID-19. El decreto también autoriza a los centros de llamadas de emergencia a acceder a los datos históricos de localización de los dispositivos desde los que se realizó la llamada, incluso tres días antes de dicha llamada. La ONG peruana de derechos digitales Hiperderecho puso en duda el fundamento jurídico de esas medidas de vigilancia. También planteó la preocupación de los posibles escollos que la restricción del derecho a la privacidad en un estado de emergencia puede causar en el Perú. Periódicamente, este país ha declarado el estado de excepción en zonas rurales conflictivas en las que los activistas han estado protestando para defender su tierra, el medio ambiente y sus derechos. – Corea del Sur: Este es un país que ha estado luchando contra los brotes de coronavirus desde la epidemia del Síndrome Respiratorio del Medio Oriente (MERS) en 2015, ha restringido drásticamente el derecho a la privacidad en el contexto de la pandemia. La Ley de Control y Prevención de Enfermedades Infecciosas, y su decreto de aplicación, permiten a los funcionarios de salud obtener datos personales delicados sobre los infectados y los sospechosos de estar infectados, así como sobre sus contactos y los sospechosos de estar en contacto. Esos datos incluyen nombres, números de registro de residentes, direcciones, números de teléfono, recetas médicas, registros de tratamientos médicos, registros de control de inmigración, extractos de tarjetas de crédito, tarjetas de débito y tarjetas de prepago, registros de tarjetas de tránsito y grabaciones de circuito cerrado de televisión de empresas de terceros. La policía puede incautar estos datos personales sin el consentimiento de los interesados y sin ningún tipo de supervisión judicial. La Ley también permite a los funcionarios de salud
Economía digital, clave para superar la emergencia
Mientras muchos ven el presente como un escenario complejo para el mundo, María Clara Choucair, CEO de Choucair Testing, tiene claro que es un momento de crisis pero también de oportunidades. Ella, fundadora desde hace 20 años de una compañía colombiana que hace pruebas de software, considera que este es el momento en que las empresas tienen que estar pensando en los planes de continuidad de su negocio a través de la transformación digital. Portafolio habló con Choucair para conocer más sobre cómo pueden las empresas redireccionar sus estrategias digitales, dada la necesidad inmediata de hacerlo, como alternativa de salida a la crisis ocasionada por la pandemia de la covid-19. ¿Qué alternativas tienen en medio de la crisis del covid-19 las empresas para no detener su operación? Si las empresas quieren sobrevivir al momento tan desafiante que estamos viviendo, deben comprender que atravesamos una crisis pero que también es una oportunidad. Básicamente se está acelerando la transformación digital de todos los procesos y las empresas tienen que empezar a redireccionar sus esfuerzos para priorizarlos en función de darle continuidad a sus negocios y generar valor agregado. Hoy más que nunca el universo digital cobra relevancia y ese es un hecho que llegó para quedarse. ¿Cómo pueden hacerlo? Lo primero que las empresas tienen que hacer es identificar cuáles son sus proyectos prioritarios y analizar con sus equipos cómo van a redireccionar sus esfuerzos en un momento de crisis. Así mismo, definir si se piensa lanzar un nuevo servicio digital o fortalecer uno que ya se tiene. Desde el comienzo es fundamental que se realice un testeo, o sea que se ponga a prueba en tiempo real cada proceso, para reducir las posibilidades de error en un momento en el que no hay espacios para equivocarse. En pocas palabras, el ‘testing’ es clave desde la ideación misma de cada proyecto porque ayuda a disminuir los riesgos de fallas y faltas para que puedan salir a producción con eficiencia y eficacia. ¿En qué momento debe hacer pruebas una empresa? Como lo decía anteriormente, todo el tiempo. El éxito está en hacer un acompañamiento estratégico soportado en su promesa de valor y que nosotros llamamos un ‘Business Centric Testing’, que abarca las siguientes necesidades: en primer lugar, la disminución de riesgos de fallas y faltas que puedan afectar los productos, las plataformas o los servicios de la compañía. En segundo lugar, permitirles a las empresas alcanzar el tiempo adecuado y el plazo de lanzamiento de sus aplicativos y, finalmente, generar productos que estén alineados con los objetivos del negocio, la estrategia y su transformación digital. ¿Se han disparado las solicitudes a Choucair con la crisis del Covid-19? Sabemos que este es un tiempo difícil en general para el mundo, para todos los que tienen sus procesos de producción y en general para los ciudadanos. Tenemos claro que la vida es lo más importante pero además que nuestro propósito es acompañar a las industrias con servicios que son esenciales también para la población. Por eso y siendo muy cuidadosos de lo anteriormente mencionado, estamos garantizando que nuestros clientes puedan seguir operando, que puedan continuar con sus canales digitales al aire, que avancen en el reto de cumplir los sueños de sus usuarios finales y, por supuesto, evitando al máximo interrupciones de los servicios a la comunidad. Después de que todo pase se entiende que habrá un auge de industria digital, ¿es fácil conseguir esta mano de obra? En Colombia hay un creciente déficit de mano de obra en ingenierías y relacionadas. Somos una empresa intensiva en gestión del conocimiento y en capacitación para la Cuarta Revolución Industrial porque gran parte de nuestro valor consiste en que sabemos de la importancia entre automatizar complementando con lo humano. Hacemos pruebas cognitivas porque el cuestionamiento realizado por las personas es el que genera valor intelectual en cada prueba. ¿La transformación digital es la salvación de las empresas en este momento? La transformación es un proceso inminente y más en este momento en el que la crisis está acelerando esta evolución a la que deben apuntar las empresas que quieren sobrevivir en el mercado. Ante el auge de la economía digital existen numerosas herramientas que facilitan y dibujan una hoja de ruta para avanzar en ese propósito. Para que la transformación digital logre impactar positivamente a una empresa con aspectos como la eficiencia, la calidad, la estandarización de los procesos y el crecimiento de las compañías, debe enfrentar desafíos como la búsqueda de rentabilidad complementada con la rapidez y una mejor experiencia de usuario. Ustedes han apoyado la transformación digital de los principales bancos de América Latina en países como Colombia, Perú, Panamá, Costa Rica, Guatemala y Bolivia. ¿Cómo ha avanzado la banca en ese sentido? Los bancos de ahora están tratando de ofrecer el mayor número de servicios en un solo lugar para facilitarle la vida al ciudadano. Han entendido que si se mejora la experiencia de usuario hay una fidelidad y una conexión con el cliente. Tienen clara la protección de los datos y la seguridad de las plataformas. Hacen sentir al usuario como un aliado, como alguien a quien quieren acompañar en su crecimiento y a quien le van a ayudar a salir adelante. Colombia, por ejemplo, se ha convertido en un referente en la región en materia de banca. Las entidades financieras colombianas tienen una creciente preocupación por entender a sus usuarios o a su consumidor final y por ende en monitorear cada estrategia que quieren llevar a cabo. Es por eso que hoy, ante esta crisis, mantienen sin interrupción sus servicios a través de sus plataformas. Fuente: https://www.portafolio.co/negocios/empresas/economia-digital-clave-para-superar-la-emergencia-541309?utm_medium=Social&utm_source=Facebook&fbclid=IwAR1hBCC8ens929nQ1aFbTt1TygLkF0FHhSl0ohhJBLXf1CsaxPemF1hnw20#Echobox=1591022329
Ciberseguridad – Los peligros del «ransomware»: la gran amenaza de las empresas en internet
El «ransomware» lleva bastantes años figurando entre las amenazas más importantes para la economía y la seguridad de las empresas. Este tipo de virus, que ha estado detrás de algunos de los ciberataques más sonados contra hospitales en estos tiempos de pandemia, tiene como objetivo el secuestro de los datos y dispositivos de una compañía para, a posteriori, pedir un rescate a a la víctima. Según un reciente informe de la firma de ciberseguridad Sophos, en el que han participado 5.000 responsables de TI de empresas de 26 países del mundo, durante 2019 el 51 por ciento de las compañías sufrieron un ataque de este tipo. Cifra que crece en el caso concreto de España hasta alcanzar el 53 por ciento. «Un ataque de «ransomware» tiene muchas implicaciones. Por un lado, económicas. El gasto de recuperar el control se encuentra en los 730.000 dólares de media a nivel mundial. Por lo que el impacto económico es grande. Luego, evidentemente, también supone problemas operacionales y reputacionales para la compañía que lo sufre», explica a ABC Ricardo Mate, director general de Sophos Iberia. Y es que una amenaza de este tipo puede paralizar por completo la actividad de la compañía infectada. A finales de 2019, la empresa de seguridad Prosegur sufrió un ataque de estas características que obligó a «restringir las comunicaciones con los clientes para evitar la propagación» del virus durante más de 24 horas. El «ransomware» empleado en esta acción fue el ruso Ryuk, uno de los más populares entre los ciberdelincuentes en la actualidad. «Lleva activo desde 2018 y es muy sofisticado. Se usa en ataques muy específicos. Una vez compromete un equipo intenta trasladarse de forma lateral al resto de dispositivos que comparten un dominio. Utiliza ingeniería social para engañar al usuario y que lo descargue», explica a ABC el «hacker» Deepak Daswani. La solución puede ser peor que la enfermedad En la mayoría de casos, el objetivo que persigue un criminal cuando infecta la red de una empresa con un virus de este tipo es el pago de un rescate; normalmente en forma de Bitcoins, ya que resultan más difíciles de rastrear. Sin embargo, según el informe de Sophos, el que una compañía ceda a la presión y pague, no implica que vaya a ahorrarse dinero. Tampoco que vaya a recuperar necesariamente el control de su información. «De las empresas que vieron sus datos encriptados a nivel global, un 26 por ciento reconocieron que pagaron. La cosa cambia en el caso de España, que es el país del informe en el que un menor número de empresas reconocieron haber pagado, tan solo un 4 por ciento. Lógicamente, una cosa es reconocerlo y otra que, efectivamente, sea así. También hay que decir que el coste que han pagado las que han accedido al rescate ha sido el doble de las que no lo han pagado», expresa el director general de Sophos. Según se explica en el informe, las compañías que sufrieron un ataque de este tipo, pero se negaron a pagar, tuvieron unas pérdidas medias, a nivel mundial, de 730.000 dólares. En el caso de las que terminaron accediendo al pago, la cifra ascendió hasta los 1,2 millones de dólares. Respecto a los principales objetivos de las empresas, el informe de Sophos destaca que, a nivel mundial, los medios de comunicación son uno de los sectores predilectos de los ciberdelincuentes. «A nivel mundial, los medios de comunicación o de entretenimiento suelen ser los que más ataques de este tipo sufren. Les siguen las empresas de energía y otras infraestructuras críticas y las de tecnologías de la información. En España hemos visto que la administración pública también se ha visto bastante afectada. Algo curioso, porque si hablamos en términos globales suele ser la que menos sufre este tipo de amenazas. Aunque el sector de la sanidad no está desglosado como tal en el informe, en el último año también hemos visto cómo sufre muchos ataques», apunta el director general de la empresa de ciberseguridad. Mate recuerda, en este sentido, el ataque de «ransomware» que sufrió Prisa Radio, en España, a principios del mes de noviembre del año pasado. El presente y el futuro de la amenaza En tiempos de pandemia, los criminales están redoblando esfuerzos para sacar tajada del enorme número de usuarios que están conectados a la red a todas horas del día. Según informó Google, sus equipos de seguridad detectaron 18 millones de intentos diarios de ciberataques durante el pasado mes de abril. En lo que se refiere, en concreto, al «ransomware» tanto la Policía como la Guardia Civil han notificado intentos de infección de centros sanitarios durante los últimos meses. Algo que podría ser, si cabe, especialmente grave en un momento como el actual. «Evidentemente, un ataque contra un centro sanitario puede ser tan peligroso como uno imagina. Puede costar vidas humanas. Hay algunos sectores que son así. Asimismo, es cierto que vemos una tendencia en lo que se refiere a ataques contra hospitales. Tanto en España como en otros países», decía la semana pasada a este diario Juan Santamaría, director de la empresa de ciberseguridad española Panda Security. José de la Cruz, director de tecnología de la compañía de seguridad Trend Micro, afirma a ABC que actualmente los ataques de tipo «ransomware» se están volviendo cada vez más sofisticados y, por tanto, más peligrosos: «Antes había dos tipos de ataque de «ransomware». Uno era el genérico y funcionaba igual que una campaña de spam. Cuantos más usuarios picasen mejor, pero no se buscaba infectar a un usuario o empresa en concreto. El otro era dirigido, que es el que si que está destinado a afectar a alguien en concreto». «La tercera derivada es la que afectó, por ejemplo, a Everis o a Cadena Ser. Llevamos viendo como gana importancia durante los últimos meses y ahora, por supuesto, sigue. Se trata de los ataques combinados en los que se emplean tres tipos de virus. Primero lanzan una campaña masiva para afectar al mayor número posible de empresas. Hecho esto, en lugar de secuestrar los datos y pedir un rescate, lo que hace el ciberdelincuente es subastar
