Categoría: Compliance

15 Nov 2018
Get ready for PIPEDA

¿ESTÁ USTED PREPARADO PARA LA LEY DE REPORTE OBLIGATORIO DE VULNERACIONES DE CANADÁ?

Con la introducción de nuevas reglas bajo el Acta de Protección de Información Personal y Documentos Electrónicos (PIPEDA), pedir disculpas por una vulneración ya no es suficiente. Desde noviembre de 2018, todas las vulneraciones que involucren información canadiense de índole personal deben ser reportadas y las partes afectadas deben ser notificadas.

Pero, ¿a quién aplica PIPEDA?

PIPEDA es la ley federal de privacidad para organizaciones del sector privado. En pocas palabras, esta ley aplica a toda la información personal que se recolecta, usa o divulga en el trascurso de una actividad comercial cuando se hacen negocios con Canadá. Bajo las nuevas reglas de vulneración de la información, si alguna parte de esta información personal se filtra, se debe presentar un reporte en la Oficina del Comisionado de Privacidad de Canadá, se debe crear un registro de la vulneración y todos los individuos afectados por la vulneración deben ser alertados de que su información ha sido comprometida.

Siguiendo el liderazgo de Europa en protección de privacidad

Las actualizaciones a PIPEDA siguen a la RGPD de la Unión Europea – la cual entró en vigencia el pasado mes de mayo. Si bien las practicas existentes de protección de datos de Canadá satisfacen las demandas actuales de la RGPD, estas reglas adicionales sirven como garantía proactiva a medida que las normativas europeas se vuelvan cada vez más estrictas en los próximos años. También están diseñadas para ayudar a mantener la competitividad de las empresas canadienses en Europa – y evitar multas masivas.

¡Y estos nuevos cambios realizados a PIPEDA vienen con dientes!

Además del daño a la imagen de su compañía y las potenciales demandas judiciales, las violaciones a PIPEDA ahora conllevan graves multas de hasta $100,000. Si bien no son tan altas como las devastadoras y multimillonarias multas de la RGPD, las penalizaciones son lo suficientemente altas como para forzar el cumplimiento de las normas.

Entonces, ¿cómo mantenerse en cumplimiento?

Proteger adecuadamente la información personal sensible  es más difícil de lo que parece – y a menudo requiere un enfoque múltiple. Con el objetivo de cumplir con las nuevas reglas de PIPEDA, debe tomar medidas proactivas para ayudar a prevenir que una vulneración ocurra – esto incluye proteger la información que sale de su sistema. La encriptación de la información sensible es un indicador clave a la hora de demostrar que la información ha sido debidamente protegida bajo cualquier regulación o ley de privacidad.

He aquí 10 formas en las que puede asegurar datos sensibles en tránsito.

Por Alex Loo, VP de Operaciones en Echoworx

17 Sep 2018
What is a Chief Data Officer

¿Qué es un Director de Datos?

Vivimos en una era post privacidad.

Nuestra ubicación puede ser precisada con GPS. Nuestras fotos e itinerarios son conocidos al mundo, a través de nuestros smartphones conectados a internet. Posteamos nuestros más íntimos pensamientos y opiniones en las redes sociales para que todos las vean. Navegamos a través de publicidad dirigida específicamente basada en nuestras búsquedas de Google y hábitos de compra online.

Tom Goodwin, director de innovación en Zenith Media, argumenta que nosotros mismos buscamos esta pérdida de privacidad porque disfrutamos los beneficios que nos provee… hasta que una compañía falla en proteger nuestra información.[i] Es ahí cuando nos alzamos en armas en contra de la violación a nuestra privacidad. Es la típica pesadilla en relaciones públicas.

En Echoworx, nuestra propia investigación encuentra otra interrogante acerca de la privacidad de la información: la naturaleza cambiante de los datos personales luego de una vulneración. Las personas están dispuestas a divulgar información cuantitativa, bajo la creencia de que esta está protegida. Esta misma información adquiere características cualitativamente embarazosas una vez que se vuelve publica durante una vulneración – derivando en una perdida fatal de confianza del cliente.

¿Como se supone que los negocios naveguen estas contradicciones? ¿Como pueden las compañías ofrecerle a la gente los beneficios de la era post privacidad sin hacerle sentir que entregaron algo precioso? ¿Como pueden los comercios ganar la confianza para proteger información sensible de forma segura?

Una solución se encuentra en la creciente importancia del Director de Datos.

El auge del Director de Datos

El rol de Director de Datos nació durante la crisis financiera de 2008-09. Luego de las secuelas, había una clara necesidad de una persona que pueda garantizar el cumplimiento de las creciente demandas regulatorias. Mas que nunca en el ámbito bancario y en las finanzas, la información y su declaración a reguladores requirió un mayor control. Por años, la información no fue más que una ocurrencia tardía en la mayoría de las organizaciones. Si acaso la información se hubiera manejado de forma efectiva, habríamos tenido una advertencia de la crisis, o podríamos habernos recuperado de forma más completa.

En la década que transcurrió, sin embargo, el rol del CDO se ha expandido y ha evolucionado en los albores de la era de los Grandes Datos. Súbitamente, el valor de la información como recurso se volvió claro. El CDO era necesario para que se ocupe de maximizar ese valor.

En 2012, la firma de consultoría NewVantage Partners inicio una encuesta anual de ejecutivos de nivel C de Fortune-1000. Ese primer año, solo el 12% de las firmas tenía un CDO. Para 2018, el número había incrementado un 63.4%. Esta tendencia parece decidida a continuar. Según algunas estimaciones, un Director de Datos será considerado un rol “crucial para la misión” en hasta el 75% de las grandes empresas dentro de los próximos 3-5 años. ¡Incluso el Pentágono contrató a su primer CDO!

Porque usted necesita un Director de Datos

Hoy en día, el valor principal del CDO es ser la persona designada para optimizar enormes cantidades de datos generados por las compañías de hoy. Él o Ella puede extraer valor de la información y fomentar innovación alrededor de la Big Data y la analítica. El CDO impulsa las soluciones tecnológicas, mejora la ciberseguridad y aumenta las ganancias. Él o Ella trabaja para eliminar silos de datos y redundancias. El cambio tecnológico es manejado para reducir los costos de la “limpieza de datos” dentro de una compañía.

El CDO planea y ejecuta la estrategia corporativa alrededor de tecnologías emergentes tales como la inteligencia artificial (IA), Machine Learning (aprendizaje automatizado), y Blockchain (cadena de bloques). El CDO también representa una solución ágil a los rápidos cambios en regulaciones y privacidad de datos para los que la administración tradicional puede no estar preparada. A medida que evoluciona la tecnología, también lo hace el rol de CDO.

Privacidad vs valor en un mundo post privacidad

La información es una espada de doble filo. Tiene un enorme valor para las corporaciones. Pero también requiere una cuidadosa protección de la información que se les confió y promete riesgos y responsabilidades (tanto financieras y reputacionales) en el evento de una vulneración.

Al poner toda la información y la actividad relacionada a cargo del CDO, las organizaciones pueden establecer sistemas para garantizar que toda la información recolectada, almacenada, o compartida dentro de una organización sea tratada de forma segura y ética, y en cumplimiento de las regulaciones y leyes locales e internacionales.[ii] El manejo adecuado de la información y la aplicación prudente de medidas de seguridad, tales como encriptación reforzada de datos sensibles, puede ayudar a reducir los riesgos de un emprendimiento. Estas políticas también permiten que las compañías maximicen el valor de la información que recolectan.

En esta era post privacidad, las corporaciones que interactúan con datos sensibles del cliente deben adaptarse si quieren ser exitosas. Si se enfocan en “server mejor a las personas” con pedidos explícitos de permiso, opt-ins claros y concisos, seguridad rigurosa y encriptación, pueden construir un “intercambio de valor a lo largo de una vida” con los clientes Este es el tipo de transformación que el CDO puede aportar a las organizaciones. De esta manera, el CDO ayuda a navegar la línea entre privacidad y post privacidad en un mundo conectado.[iii]

___________

[i] https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world

[ii] https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

 

16 Jul 2018
Ley de privacidad de datos de California

Ley de privacidad de datos de California, AB 375: Es personal

La semana pasada, California aprobó una de las leyes de privacidad más avanzadas de los Estados Unidos, la Ley de Privacidad del Consumidor de California de 2018. Está siendo aclamada como un importante paso adelante con comparaciones como “GDPR llega a Estados Unidos” y otros titulares similares.

Tras su revisión, la ley de California tiene varios desafíos, es decir, no es necesario llegar a una legislación para cambiar las disposiciones de la ley.

Lo que está en la ley

La ley establece algunos nuevos derechos para los residentes de California, y al igual que el GDPR en Europa, se aplica a cualquier empresa que vende o tiene datos personales sobre los residentes de California.

Estos nuevos derechos son:

(1) El derecho de los californianos a saber qué información personal se recopila sobre ellos.

(2) El derecho de los californianos a saber si su información personal es vendida o revelada y a quién.

(3) El derecho de los californianos a decir no a la venta de información personal.

(4) El derecho de los californianos a acceder a su información personal.

(5) El derecho de los californianos a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.

En resumen, les da a los californianos una manera de optar por controlar los usos secundarios de sus datos, ya sea la venta agregada a intermediarios de datos, el seguimiento u otros usos que no estén directamente relacionados con la prestación de un servicio.

Lo que no está en la Ley

Si bien la ley tiene sanciones por infracciones que resultan de no proteger adecuadamente la información, esta ley en sí misma no contiene ningún requisito sobre cómo las empresas necesitan proteger la información, o el lenguaje para guiar a un tribunal está analizando si la protección fue adecuada.

Impacto en el mercado:

A diferencia del Reglamento General de Protección de Datos Europeo, el Acta de Privacidad del Consumidor de California de 2018 no contiene requisitos específicos que las empresas deben seguir para garantizar la Seguridad del procesamiento. La Ley prescribe cómo las empresas deben obtener el consentimiento para recopilar y usar información, y que no pueden discriminar a los consumidores por ejercer sus derechos.

La Ley de Privacidad del Consumidor de California depende en gran medida de otras leyes federales y de California para brindar orientación sobre estas áreas. Hay una serie de conflictos con estas otras leyes y áreas que probablemente deberían aclararse a través de una guía regulatoria o posibles cambios a la ley.

Además, todavía hay una serie de preguntas sobre cómo la Ley podría ser modificada bajo la presión de las empresas de tecnología y defensores de la privacidad, y qué regulaciones podrían publicarse para apoyar la ley.

En general, la naturaleza exacta de las obligaciones de una empresa no se conocerá durante un tiempo.

Una solución lógica

El cifrado de datos confidenciales es clave para demostrar que la información ha sido adecuadamente protegida bajo cualquier regulación o ley de privacidad.

Echoworx se compromete a cumplir con los requisitos de privacidad y legales de los países en los que opera. Echoworx continúa agregando centros de datos en todo el mundo para garantizar que los datos residan lo más cerca posible del país o la región de origen. Actualmente operamos centros de datos en los EE. UU., El Reino Unido, Irlanda, México y Canadá para garantizar que los datos se puedan almacenar y mantener de acuerdo con las reglamentaciones y la legislación a las que están sujetos nuestros clientes.

14 Abr 2018
Exchanging files

Trabajar En La Nube: Cómo Asegurar El Intercambio De Archivos Grandes

Intercambio de archivos: suena muy fácil. Pero si observa la multitud de actividades de intercambio de archivos en una organización típica de hoy, comenzará a comprender el desafío.

Primero, está el tamaño.

Las configuraciones de correo electrónico típicas restringen los tamaños de los archivos adjuntos a 20 MB o menos, lo que no es realista para el tamaño real de los archivos que se envían hoy. En el pasado, intercambiar un archivo de 20 MB no era común. Hoy nuestros clientes comparten de manera regular archivos de más de 100 MB con destinatarios en todo el mundo.

Esto da lugar a otro problema: el rendimiento.  El correo electrónico nunca fue diseñado para manejar archivos extremadamente grandes, por lo tanto, cuando lo hace, a menudo conduce a problemas de entrega y de rendimiento de la red.  Todos lo hemos experimentado. Envía un mensaje con un archivo adjunto grande solo para obtener un mensaje no entregado después de horas, tal vez incluso días más tarde.  En la actualidad, la mayoría de las políticas corporativas le impiden incluso adjuntar archivos de un cierto tamaño en el momento del envío.

Guiándonos a la seguridad.

Compartir archivos usando FTP es demasiado “técnico” y difícil de usar para la mayoría de los clientes y en los escenarios B2C para nada lo és; también es un proceso manual.

Cualquier solicitud para habilitar una cuenta de FTP requiere la configuración de reglas de firewall para permitir la carga y descarga de archivos, así como la revisión y aprobación de seguridad.

Además, carecen de procesos automatizados como avisos de verificación. Pida a operaciones que abran solo unos pocos puertos, como FTP, para permitir transferencias de archivos: vea cuántos de ellos se aprueban rápidamente.

Un informe reciente de Verizon citaba que el 58% de las infracciones de datos de Healthcare PHI fueron causadas por personas internas: el 29,5% provenía de un uso indebido.

Conduciéndonos hasta – Sí, servicios de archivos compartidos no compatibles. Estas soluciones han llegado a compañías de todos los tamaños. No se equivoquen, sus usuarios siempre seguirán el camino de menor resistencia. Es un dilema clásico: un empleado, sin opciones para compartir archivos o correos electrónicos fallidos, recurre a soluciones externas, en alguna parte, para que puedan “eficientemente” compartir archivos.

Pero el punto de inflexión para la mayoría – auditorías.  Las regulaciones globales en evolución, como GDPR, Ley Dodd-Frank, exigen que las instituciones financieras mantengan informes sobre quién accedió a qué archivos y cuándo se realizó.

Al aprovechar las capacidades de portal de archivos grandes de nuestra plataforma de cifrado, las empresas tienen control total sobre los archivos de gran tamaño que necesitan para comunicarse.

Los empleados simplemente inician sesión en el portal seguro de webmail donde adjuntan uno o más archivos grandes junto con una nota adjunta. Luego, los archivos se cifran en el portal y se envía un mensaje de notificación al destinatario, que incluye un enlace al portal con funcionalidad completa de auditoría y recuperación, lo que permite a los usuarios compartir fácilmente dentro de las normas del gobierno corporativo y las políticas de la empresa.

Puede ver un ejemplo de cómo funciona viendo esta breve demostración de video.

Por Christian Peel, Vicepresidente de Ingeniería de Cliente, Echoworx

10 Abr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

La calma antes de la tormenta: “la ley de la nube” (Cloud Act)

Los últimos acontecimientos en el juicio entre el Gobierno de E.E.U.U. y Microsoft tienen impacto sobre las compañías que ofrecen servicios a nivel mundial. La Ley del Uso de Información en el Extranjero para Clarificar la Legalidad (Cloud Act) apunta a simplificar la forma en la que los grupos de garantes de la aplicación de la ley pueden conseguir información personal almacenada por compañías tecnológicas estadounidenses.

Qué Ha Ocurrido:

En diciembre del 2013, un Juez Magistrado de los Estados Unidos emitió una orden judicial apoyándose en la Ley de Comunicaciones Almacenadas (SCA) para que Microsoft divulgara información que tenía almacenada en un Centro de Datos en Irlanda[i]. Microsoft se negó a cumplir con la orden judicial que le requería entregar información almacenada en su Centro de Datos en Irlanda y alegó que dicha orden violaba la Ley Europea.

Microsoft apeló la decisión en el Tribunal para el Segundo Circuito, donde se recibieron peticiones de apoyo a Microsoft de varias partes. El Gobierno irlandés presentó un informe declarando que la orden violaba la Directiva General de Protección de Datos de la Unión Europea y las propias Leyes de Privacidad de Irlanda, y que el Gobierno estadounidense debería haber usado el antiguo Tratado de Asistencia Legal Mutua que existe entre ambos países. El tratado permite que se la colecte información según lo dicten las órdenes judiciales locales. El Segundo Circuito estadounidense falló a favor de Microsoft y el Ministerio de Justicia de los Estados Unidos apeló en la Corte Suprema.

Los alegatos orales sobre el caso fueron escuchados el día 27 de febrero. Sin embargo, en marzo, el Congreso de los Estados Unidos aprobó y el Presidente firmó la Ley del Uso de Información en el Extranjero para Clarificar la Legalidad[ii] (Ley CLOUD). Esta ley emendó la Ley de Comunicaciones Almacenadas (SCA) para poder exigirle a los proveedores de servicios estadounidenses que entreguen los datos que tienen en su poder sin importar en qué parte del mundo se encuentre los mismos. Respaldándose en este acontecimiento, el Ministerio de Justicia de los Estados Unidos le pidió a la Corte Suprema que desestimara el caso como obsoleto y Microsoft no se opuso.

Inclusive desde antes de esta decisión, se plantearon preguntas importantes con respecto al acceso que el Gobierno estadounidense tiene a la información de los ciudadanos en otros países. El Grupo de Trabajo del Artículo 29[iii] había difundido un informe[iv] cuestionando la adherencia de los Estados Unidos a los requisitos de los acuerdos del Escudo de Privacidad entre E.E.U.U. y la UE. En el informe, se recomendó que E.E.U.U. y la UE negocien nuevamente con el fin de desarrollar un plan para cerrar algunas brechas identificadas. Si no se toma acción, el Grupo de Trabajo advirtió que llevaría el problema a juicio para que el acuerdo del Escudo de Privacidad quede invalidado.

Impacto sobre el Mercado:

Todo esto está ocurriendo en el contexto de la entrada en vigor de la Regulación para la Protección General de Datos de la UE que tiene requisitos estrictos para las compañías que trabajan con la información de los residentes de la UE. Específicamente, el Artículo 48 de la Regulación para la Protección General de Datos de la UE afirma que:

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Esto directamente contradice a los requisitos de la Ley CLOUD que anulan de forma directa la necesidad de usar el enfoque contemplado por el MLAT.

Naturalmente, esto deja muchas preguntas sin resolver, como qué leyes y las de quiénes tienen mayor relevancia y en qué estado quedan los tratados sobre los que ya se habían hecho acuerdos anteriormente, entre otras preguntas más. También es probable que las compañías estadounidenses se vean afectadas significativamente a medida que los usuarios se vayan cambiando a proveedores de servicios de nube en sus jurisdicciones locales – o al menos aquellos usuarios en jurisdicciones sin semejantes enredos legales.

Por David Broad CISSP, Auditor Jefe de Sistemas de Gestión de la Seguridad de la Información, Echoworx

Referencias:

[i] https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)

[ii] https://www.congress.gov/bill/115th-congress/house-bill/4943/text

[iii] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

[iv] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782

07 Mar 2018
Echoworx | Email Encryption Solutions | Encryption, helping address GDPR compliance

EL CIFRADO, AYUDANDO AL ESFUERZO POR CUMPLIR CON GDPR

A partir del 25 de mayo de 2018, todas las empresas que se ocupan de datos personales en la Unión Europea (UE) deben emplear un alto nivel de seguridad para salvaguardar la información de los ciudadanos de la UE. Según el Reglamento General de Protección de Datos (GDPR), las empresas que no tomen medidas adecuadas para proteger los datos de quienes residen en los 28 países de la UE (antes del Brexit), enfrentan multas de hasta 20 millones de euros ($ 21,9 millones) o 4% de los ingresos anuales globales de una empresa. Las autoridades reguladoras tendrán mayores poderes para actuar contra las empresas que no cumplan.

El GDPR establece las bases
David Broad, Responsable de Auditoría y Seguridad de la Información de Echoworx, dice que el GDPR establece las bases de cómo las compañías deben proteger su propia información y la de sus clientes. Las prácticas de seguridad de referencia también deben ser coherentes con cualquier servicio de terceros que la empresa utilice (como Amazon), incluso si la empresa se encuentra fuera de la UE. Las regulaciones en toda la UE “solían ser un mosaico bastante amplio”, dice Broad, y el GDPR armonizará esas reglas. La UE siempre ha tenido regulaciones estrictas, pero había problemas significativos si una empresa estaba haciendo negocios en varios países, ya que las reglas podían diferir en cada una de ellas.

“Era visto por muchos como una desventaja y un impedimento para los negocios”, dice Broad. “Ahora, habrá un estándar que todos entiendan y conozcan”.

Una solución lógica
El cifrado es una solución lógica para estas empresas y, si bien no es una solución obligatoria o la única, el GDPR fomenta su uso como una práctica recomendada para proteger la información sensible de las infracciones. Cada vez más, el cifrado se considera el método de partida para proteger las comunicaciones en tránsito y salvaguardar la información almacenada, según Jacob Ginsberg, Director Senior de Echoworx.
Ginsberg dice que las empresas están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos. El GDPR alienta la idea de la seguridad y la privacidad por diseño desde las primeras etapas de desarrollo, agrega. Esos dos aspectos, la privacidad y la seguridad, no siempre funcionaban en conjunto y el GDPR ayudaría a alinearlos. El cifrado puede desempeñar un papel en la alineación de estos aspectos.

La importancia del cifrado
Proteger la información en tránsito, ya sea a través de correo electrónico o intercambio de archivos grandes, puede ser un desafío para algunas organizaciones, ya que pueden no controlar la red o el servidor de correo electrónico, y el servidor puede no estar en la UE, dice Broad.
“No se puede simplemente enviar datos de clientes a través de una red de la que no se tiene control”, dice. Una organización puede usar algún tipo de cifrado para datos en tránsito u optar por no enviar datos cifrados por correo electrónico. En cambio, podría enviar un mensaje benigno a un cliente diciéndole al cliente que inicie sesión en el portal de la compañía para recuperar la información pertinente.

No todas las empresas quieren construir un portal debido a la gran inversión en tecnología requerida, o porque pueden no necesitarlo todo el tiempo. Por ejemplo, algunas empresas pueden solo necesitar un portal por un corto tiempo cada año, como para recibir documentos tributarios anuales.

Así como Amazon ofrece soluciones de comercio electrónico para vendedores que no desean gestionar logística, pagos, hardware y almacenamiento de datos, los proveedores de cifrado como Echoworx pueden ayudar a las empresas a cumplir con el GDPR al proporcionar soluciones de cifrado y servicios para ayudar a los clientes a proteger datos.

Vamos a conectarnos
Mis colegas estarán en la Cumbre Anual de IdentityNorth en el Mattamy Athletic Center en Toronto, Canadá, en junio. Si planeas estar en la ciudad, ven a conocer al equipo de Echoworx. Presentaremos casos de uso reales de cómo las organizaciones están ganando valor al integrar el cifrado en sus procesos comerciales, al tiempo que aseguran las comunicaciones. Regístrese hoy, únase a nosotros para un chat!

Por Christian Peel, ‎VP de Ingeniería del Cliente, Echoworx

14 Sep 2017
GDPR

GDPR Reduce tu riesgo, protege a tus clientes

Ya conociste el RGPD, pero aún así puede haber una infracción y las multas son enormes. ¿Cómo se puede minimizar el riesgo?

Para el 25 de mayo de 2018, las empresas que realizan negocios con residentes de la UE deben cumplir con los estándares del Reglamento General de Protección de Datos (RGPD) o arriesgarse a multas de hasta 20 millones de euros o el 4 por ciento de sus ganancias anuales en todo el mundo. Pero incluso si tu empresa cumple con el Reglamento, los hackers seguirán tratando de obtener tus datos, y si tienen éxito, podrías enfrentar demandas colectivas y la destrucción de la confianza del consumidor que tanto te costó ganar.

todavía podrías enfrentar multas del RGPD.

Las noticias están llena de buenas razones para lograr la desconfianza del consumidor, como la Violación de Equifax en 2017 cuando se robaron 143 millones de registros, incluidos los números de seguro social vinculados a ellos. Pero si puedes demostrar que has tomado todas las medidas posibles para proteger a las personas que dependen de ti, es más probable que los tribunales y tus clientes te brinden el beneficio de la duda.

El cifrado de datos es un paso obvio, y es parte del RGPD, por lo que según el Reglamento, debes convertir sus datos a un formato codificado y difícil de desbloquear que mantenga la autenticación, integridad y la no invalidación. Pero también necesitas implementar la minimización de datos y la desidentificación.

En términos simples, la minimización de datos significa que no solicitas ni retienes más de lo que necesitas, mientras que la desidentificación elimina temporalmente los enlaces entre los puntos de datos y las personas que describen.

1. Minimización de datos

Con tantos datos personales disponibles, puede ser tentador recopilar y hacer referencias cruzadas a nueva información para obtener más información acerca de tus clientes. Pero a los consumidores no les gusta y desconfían cada vez más para compartir sus detalles. Entonces, si el nombre y el número de teléfono de un familiar en una cuenta de servicios financieros podría ayudar a verificar a la familia si el titular de la cuenta fallece, pedir los datos del lugar de trabajo del pariente puede ir demasiado lejos. Y definitivamente cruzas la línea si usas cualquiera de los datos para un propósito que el cliente no ha aceptado.

El RGPD establece explícitamente que debes limitar la cantidad de datos que recopilas, así como la forma en que los usas. También dice que solo puedes usar los datos para tu propósito específico y legal, y enfatiza la importancia de tener un plan para destruir la información una vez que el uso acordado haya finalizado.

Y francamente, menos información significa que tienes menos para robar.

2. Desidentificación

Es posible que tu institución, en algunos casos, necesite tener algunos datos vinculados directamente con los nombres de las personas, por ejemplo, mantener los nombres, números de cuenta y direcciones juntos para la generación de estados de cuenta. Sin embargo, otros grupos de trabajo no necesitarán información de identificación, pero es posible que necesiten poder volver a vincularla más tarde.

La desidentificación es diferente a la anonimización; la información todavía está vinculada, pero se toman medidas para enmascararla. Esto puede incluir dar seudónimos a las personas, además de la “k-anonimización”, que oculta o reemplaza detalles que podrían exponer una identidad, como una fecha de nacimiento.

Como parte del cifrado, la desidentificación hace que sea mucho más difícil para los hackers utilizar la información robada.

Las recompensas de minimizar el riesgo

Si bien es una ley de la UE, cumplir con el RGPD tiene valor sin importar dónde hace negocios tu empresa. Cumplir estos estándares, minimizar la recopilación de datos y garantizar la desidentificación te ayudará a proteger tu reputación, a agregar motivos para que tus clientes confíen en ti y a reducir tu riesgo general.

¿Deseas más información?  Únete a nosotros, junto con la creadora de privacidad por diseño, la Dra. Ann Cavoukian, para participar en un seminario profundo sobre cómo prepararse para el RGPD.

 

By Alex Loo, VP Operations, Echoworx

08 Sep 2017
privacy by design

Privacidad por diseño, o por desastre

¿Tienes algún negocio europeo? Si es el caso, el RGPD podría dispararte multas de 20 millones de euros después del 25 de mayo de 2018, a menos que hayas construido los niveles más altos de protección de privacidad en tus sistemas.

El Reglamento General de Protección de Datos (RGPD) protege la privacidad y los derechos humanos de las personas y entra en vigencia en mayo. Aplica a las empresas con sede en la UE, además de las empresas extranjeras que realizan negocios en la UE. El alcance abarca una amplia gama de datos personales, por ejemplo, nombres, direcciones de correo electrónico, redes sociales, detalles bancarios o direcciones IP de la computadora.

Para las empresas que no cumplen con el RGPD, hay multas de hasta 20 millones de euros o hasta el 4 por ciento de sus ganancias anuales en todo el mundo , un gran mordisco en su balance final. La buena noticia es que hay una directiva para guiarlo, conocida como Privacidad por Diseño, o “PbD, por sus siglas en inglés”.

Privacidad por Diseño
Cumplir con el RGPD significa seguir los siete principios de PbD que se incluyen casi literalmente en la regulación.

  1. Proactivo no reactivo; preventivo no correctivo
    Piensa en esto como “privacidad por diseño o desastre”. Si creas privacidad, cifrado y ciberseguridad general adecuadas en tus productos y servicios, es menos probable que tengas una infracción en el lado del desastre que implica multas, demandas colectivas y daños a tu reputación.
  2. Privacidad como configuración predeterminada
    La mayoría de las personas no lee los contratos de licencia de usuario final ni los extensos documentos legales de las instituciones financieras. Haz que tus ofertas sean más fáciles de usar, de forma predeterminada con los niveles más altos de privacidad y cifrado, y pide claramente permiso específico para usar los datos del cliente para cualquier otra cosa que no sea la que pretenden. Por ejemplo, mantén vacías las casillas de opción para que el usuario final distraído no otorgue el permiso por accidente.
  3. Privacidad integrada en el diseño
    ¿Qué tan bien están cifradas tus aplicaciones y sistemas de administración de datos? Esto debe ser un hecho predeterminado, sin elección, incorporado a toda tu arquitectura de datos.
  4. Funcionalidad completa – suma positiva, no suma cero
    Existe el argumento de que la seguridad total y la privacidad total no son compatibles, pero está mal: un cifrado fuerte te permite tener ambas cosas. Además, cuando tus clientes sepan que lo estás usando, tendrán un mayor nivel de confianza en ti y estarán más dispuestos a compartir sus datos.
  5. Seguridad de extremo a extremo: protección completa del ciclo de vida Con tu sistema diseñado para respetar y mantener la privacidad en cada contacto, ¿qué sucede cuando terminas de usar los datos? Desde el momento en que un cliente da su nombre, hasta el cierre de la cuenta, debes asegurarte de que sus datos se administren de forma segura y, finalmente, se destruyan.
  6. Visibilidad y transparencia: mantenlo abierto
    Ser capaz de demostrar que estás usando los datos como está previsto en cada paso. Pero también debes estar dispuesto a compartir todos los datos que ha recopilado sobre alguien con esa persona, porque los datos les pertenecen. Y poder verlo significa que pueden corregir las imprecisiones, haciéndolo mucho más útil para ti.
  7. Respeto a la privacidad del usuario: mantenlo centrado en el usuario
    Estar centrado en el usuario significa que tu empresa y tus arquitectos de datos son proactivos a la hora de proteger la privacidad del cliente. Pero la incorporación de un cifrado de datos sólido y la ciberseguridad en general no se trata solo de estar seguro. La inversión en estas tecnologías y prácticas fomentará el respeto y la confianza de tus clientes, lo cual es bueno sin importar dónde hagas negocios.

 

By Alex Loo, VP Operations, Echoworx 

[Reference links]

14 Mar 2017
financial security

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (GDPR): ¿AGUANTARÁS LA TORMENTA DE SEGURIDAD?

Uno pensaría que las comunicaciones simples con empleados y clientes serían lo primordial para cualquier firma de servicios financieros, ¿cierto? ¿Que la necesidad de un cumplimiento en confidencialidad y regulación nunca había sido superior? Especialmente considerando que la información financiera ha sido la más comúnmente revelada y robada en violaciones recientes a la seguridad. ¡Piénsalo dos veces! Nuestra encuesta del año pasado reveló que, a pesar de que el 83% de los servicios financieros usan el correo electrónico más que cualquier otra forma de comunicación, 23% no utiliza o no sabe de ninguna tecnología in situ de cifrado para compartir correos y archivos.

Es hora de que los negocios aseguren la bóveda, pues el Reglamento General de Protección de Datos – GDPR (General Data Protection Regulation) está por ser implementado y los negocios están preocupados por su impacto. La Comisión Europea ha establecido nuevas regulaciones regionales, las cuales entrarán en vigor en abril de 2018. Los negocios que no cumplan con las nuevas leyes podrían enfrentarse a multas de €20 millones o el 4% de las ganancias mundiales – lo que sea mayor. Las multas de este nivel van a tener un impacto importante en cualquier negocio. Solo hace falta observar los costos incurridos por TalkTalk tras su conocida violación a la seguridad del año pasado (£60 millones y en aumento, a considerable pérdida de los clientes) – y se pueden ver multas como esta manteniendo a los directivos financieros preocupados.

Nosotros organizamos una mesa de diálogo con directores y oficiales de la seguridad de la información de compañías de servicios financieros. La mayoría de ellos admitieron que algo se tenía que hacer para cumplir el GDPR, pero que no sabían por dónde empezar. Estaba claro que estas importantes figuras de la industria de servicios financieros estaban completamente al tanto de la amenaza que representan los ciber-atacantes y los hackers. Ya han tomado acción al respecto. Sin embargo, la presión para reducir costos es un calvario que todos sufren. Investigaciones de TheCityUK Cyber Taskforce (p.11) encontró que 46% de las compañías consideran a las amenazas cibernéticas una preocupación clave en sus negocios, contrastado con un 10% arrojado en otra encuesta de un año atrás.

No es solo el correo electrónico interno el que debe estar cubierto por el nivel correcto de seguridad. La comunicación externa con los clientes también necesita medidas de seguridad. Las anécdotas de delitos cibernéticos y de violaciones a la seguridad siguen apareciendo en los titulares día a día, mientras que los consumidores están más conscientes de la tecnología y la seguridad que nunca. De hecho, una encuesta reciente del Departamento de Comercio de EE. UU. Encontró que el 45% de los consumidores informaron que las preocupaciones de seguridad cibernética les impidieron realizar transacciones financieras en la web.

Las organizaciones de servicios financieros deben contar con soluciones sólidas de cifrado que sean manejables por el negocio y que satisfagan las necesidades y expectativas de los clientes. Los bancos se han seguido resistiendo porque consideran que es demasiado complicado. Muchos argumentan que los clientes no entenderán cómo usar soluciones de seguridad más complejas. Esto, simplemente, ya no es una excusa. Hay muchas opciones en el mercado que han puesto la experiencia del usuario como principal. Una valiosa solución de cifrado de correo electrónico simplifica el proceso tanto para el remitente como para el destinatario.

El costo de una violación de seguridad de la información a una organización de servicios financieros va más allá de consideraciones financieras (aunque con la perspectiva de grandes multas inminentes como parte del GDPR, sin duda es una preocupación sustancial). La reducción en la confianza del cliente y el daño a la reputación son factores contribuyentes igualmente costosos. Durante mucho tiempo, las compañías de servicios financieros han aumentado sus precauciones de seguridad en el perímetro de sus negocios. Ahora, necesitan extender esta protección a sus clientes también. Cuestiones como la violación a TalkTalk, junto con los nuevos poderes del gobierno para espiar en la forma del Investigatory Powers Bill, han dejado a los clientes más preocupados que nunca sobre la seguridad de sus datos. Los bancos deben actuar con rapidez para tranquilizar a los clientes y evitar el cambio a un rival más seguro. Además, todas las compañías de servicios financieros deben asegurarse de cumplir con el GDPR, adoptando el cifrado de datos personales y la idea de seguridad y privacidad por diseño, antes de que sea implementado en 2018.

El Reglamento General de Protección de Datos (GDPR) entrará en vigencia en toda Europa en mayo de 2018, las empresas estadounidenses y canadienses que piensan que no las afecta tendrán un rudo despertar, con multas de 20 millones de euros o el 4% de sus ingresos globales, ¡el que sea más alto!

Para conocer más acerca del GDPR, mira nuestro seminario web con la creadora de Privacy by Design, la Dra. Ann Cavoukian.

Por Jacob Ginsberg, Director Senior, Echoworx

Este artículo originalmente apareció en el Global Banking & Finance Review

06 Ene 2017
National Security Laws

UN REINICIO BIENVENIDO A LA PRIVACIDAD CIUDADANA

La Consulta Pública de Canadá en cuanto a la Seguridad Nacional
La noción de que somos observados digitalmente, aparentemente de la noche a la mañana, se ha convertido en algo que mucha gente ahora acepta como un hecho de la vida en el mundo moderno post-Snowden. Gran parte de las noticias sobre la privacidad de los ciudadanos, como siempre, se han centrado en Estados Unidos, pero ¿estamos al margen? Canadá es un participante activo en el programa de cinco ojos, ha lanzado el ahora políticamente tóxico proyecto de ley C-51, y como miembros de la OTAN, el NORAD y suficientes acrónimos para llenar una sopa de letras, somos en gran medida un jugador activo. Por no hablar de lo conectados que estamos a nivel personal con el mundo en general. Puedo ser canadiense, pero no me hago ilusiones sobre mis datos: existo en línea, junto con mi comportamiento de compra y viaje, búsquedas en la web, correo electrónico y conversaciones en redes sociales, qué programas de TV veo, y con frecuencia, mi ubicación, en innumerables servidores en todo el mundo, y lo mismo aplica para ti. La pregunta más interesante, ahora que la vigilancia extralegal se ha convertido en el estándar de facto, es, ¿cómo han reaccionado los gobiernos y adónde, desde el punto de vista de las políticas, vamos desde aquí?

Atraídos al lado oscuro
Tanto Estados Unidos como el Reino Unido han decidido tomar un camino, intentando arrastrar la vigilancia extralegal al reino de la legitimidad. En los Estados Unidos, eligiendo mantener a Edward Snowden una persona non grata, el FBI intenta usar el “All Writs Act” (Ley de Todos los Escritos) para obligar a Apple a escribir software que rompa las funciones de seguridad, el uso aceptado de dispositivos Stingray a nivel local, y la lista continúa. El Reino Unido también ha estado reflexionando sobre la legislación del proyecto de Ley de Investigatory Powers (poderes de investigación) que obligaría a los proveedores de servicios de Internet, compañías de telecomunicaciones, y otros servicios en los que tú confías, a entregar información sobre tus hábitos sin una orden judicial. Canadá, por derecho propio, ha realizado algunas movidas preocupantes hacia el lado oscuro. C-51, por ejemplo, fue una debacle lo suficientemente preocupante que los liberales necesitaron para reafirmar que sí, de hecho, todavía creen en La Carta. Más recientemente, este verano, la Asociación Canadiense de Jefes de Policía comenzó a exigir vocalmente el poder de obtener las contraseñas telefónicas de las personas en el marco de una investigación.

Oportunidad de un reinicio
Pero parece como si nos hubieran dado la oportunidad de un reinicio. El gobierno canadiense ha abierto varios períodos de comentarios públicos este año en torno a la seguridad nacional, y específicamente cómo se adaptará a las investigaciones en la era digital. Este es un paso alentador para permitir que se escuchen las inquietudes de los ciudadanos y ofrecer la oportunidad de mejorar las leyes y reglamentos de seguridad nacional de Canadá, a saber, el C-51. Y aunque se necesitan dos para bailar el tango, y algunos ciudadanos dudan sobre la efectividad de tales consultas y la respuesta del gobierno, es responsabilidad de nuestra democracia responder y ajustar, de una manera complaciente, al público, ya que ese es su sello distintivo.

La voz de la resistencia
Afortunadamente, la voz de la resistencia y, en este caso, la razón, continúa haciéndose más fuerte y más contundente en todo el mundo cuando se trata de cuestiones de privacidad o seguridad. Apple estaba dispuesta a mantener su posición ante el gobierno en lugar de comprometer públicamente la seguridad de sus usuarios. Alex Stamos, ex oficial de seguridad informática (CISO) de Yahoo, renunció cuando supo de un programa secreto mediante el cual el gobierno podía buscar el correo electrónico de todos los usuarios de correo de Yahoo, en tiempo real, sin necesidad de una orden judicial. Con la consulta pública, también tenemos la oportunidad de expresar nuestra objeción a estas tendencias más amplias hacia la invasión de vidas de los ciudadanos y la reducción de las barreras a la violación de la privacidad.

¡Ahora que el gobierno ha hecho tus opiniones del #C51 públicas, tenemos algunas sugerencias para el siguiente paso!  https://t.co/NFoWF6L02E #cdnpoli pic.twitter.com/PlkZQCaFyb
— OpenMedia (@OpenMediaOrg) Febrero 28, 2017

Entonces, yo, junto a cientos de otros en la industria de la seguridad de Canadá, tomé parte en el período de comentarios públicos que el gobierno había dedicado a la seguridad nacional. Ojalá tú hayas hecho lo mismo. Esta fue una oportunidad para defender nuestros derechos fundamentales y reiniciar nuestra legislación en cuanto a la privacidad ciudadana.

La nueva ley anti-terror de Ottawa limitará los poderes de agencias espía y aumentará la vigilancia https://t.co/J1WKHiwHUY @GlobePolitics #cdnpoli
— The Globe and Mail (@globeandmail) Junio 20, 2017

Ahora, nos reclinaremos en nuestro asiento y esperaremos a ver cómo, de frente a una increíble cantidad de poder tecnológico, el gobierno decide tratar a sus ciudadanos: como una mina de información para explotar o cómo el recurso más precioso del país al cual proteger. Estaremos atentos.

Por Jacob Ginsberg, Director Senior, Echoworx

27 May 2016
encryption laws

PRIMERO EL PROYECTO DE LEY DE PODERES DE INVESTIGACION (IP), ¿Y LUEGO QUÉ?

Ante el debate democrático, contra todas las voces clamorosas de las organizaciones de derechos humanos, firmas globales de tecnología como Facebook y Google, abogados, periodistas y una gran cantidad de académicos; parece que, con lamentable frivolidad, el proyecto de ley de poderes investigativos (IP) se aprobará más adelante este año.

El plan del gobierno británico para la vigilancia masiva abre la puerta a la “intrusión” indiscriminada e intrusa. Además, las disposiciones establecidas por Teresa May podrían socavar casi todas las medidas de ciberseguridad y cifrado actualmente vigentes. Estos dos argumentos poderosos y convincentes han sido presentados con modestia en el parlamento, y ahora aparentemente han sido rechazados por el gobierno del Reino Unido.

El impacto a los derechos humanos del proyecto de ley sobre los británicos será enorme, pero se han hecho muy pocas ramificaciones económicas y mundiales. El proyecto de ley, aunque cueste miles de millones de dólares en negocios perdidos, también podría legitimar prácticas similares en otras naciones.

El gobierno del Reino Unido ha demostrado que incluso en uno de los países más desarrollados tecnológicamente, esa privacidad puede erosionarse dando vueltas al proceso democrático. El mensaje del Reino Unido es claro: es aceptable aprobar leyes ambiguas de “espionaje” con muy poco respaldo. Esto sienta un precedente peligroso y crea un riesgo genuino de que otros países adopten un enfoque similar de usar una falta general de comprensión y capitalizar el miedo para impulsar leyes que destruyen la privacidad del usuario.

Otros estados importantes ya están considerando movimientos similares. Los parlamentarios de Francia recientemente reformaron un proyecto de ley penal que castigaría a las empresas si se negaban a proporcionar versiones descifradas de los mensajes que sus productos habían cifrado. Por ahora, el gobierno francés ha rechazado las puertas traseras de cifrado como “la solución incorrecta”, pero el debate está en el punto de inflexion.
Luego de que WhatsApp anunciara que impulsaría el cifrado aún más en la vida cotidiana, inmediatamente cayó en el agua caliente en Brasil por no almacenar los mensajes exigidos por los tribunales del país. Después de varias demoras, Google también se cambió al cifrado predeterminado en la versión más reciente de Android, mientras que Amazon dio marcha atrás, prometiendo que el cifrado generará un retorno en su sistema operativo Fire más nuevo. Lo más infame es que el debate entre el FBI y Apple ha avanzado y ha llegado a su fin, y finalmente parece haber llegado a un cese inconcluso.

Lo que está claro es que todo el mundo se está convirtiendo rápidamente en una división: gobiernos vs. compañías de tecnología. El Reino Unido ha sentado el precedente: simplemente aprueba leyes de vigilancia draconianas y el problema está resuelto.

Las implicaciones globales son enormes, pero el proyecto de ley también costará a los contribuyentes de dos maneras concretas. El gobierno estima que la implementación del proyecto de ley costará £174 millones, mientras que los expertos sugieren que la cifra superará ampliamente los mil millones. Estas cifras se basan en un esquema similar que fue rechazado por motivos de costo en Dinamarca, y se ha ampliado proporcionalmente para el Reino Unido.

Mucho más grande, sin embargo, es el costo económico cuando las compañías huyan de las costas de Gran Bretaña cuando pase el proyecto de ley. A las empresas les preocupa que el proyecto de ley propuesto introduzca la seguridad del Estado en el corazón de las operaciones cotidianas y, por lo tanto, moverá las oficinas centrales más lejos. El mercado de almacenamiento/hospedaje de datos del Reino Unido quedaría paralizado y el país podría perder casi 10 mil millones de dólares en negocios casi de la noche a la mañana.

El proyecto de ley apenas infunde confianza, especialmente cuando la implementación y las ramificaciones parecen apenas haber sido consideradas. Es probable que se desate una guerra por el cifrado y no se puede exagerar su impacto en la economía digital y en la vida cotidiana.

Por Jacob Ginsberg, Director Senior, Echoworx

Este artículo originalmente apareció en Info Security Magazine