Categoría: Compliance

21 Jun 2019

Pensando Dentro De La Caja: Abordar Cibervulnerabilidades Internas

En ciberseguridad, es fácil obsesionarse con los factores maliciosos externos y perder de vista el panorama completo, el cual incluye también a las vulnerabilidades internas. Cuando se trata de ciberseguridad, la mejor defensa incluye apuntalar sus defensas internas porque muchas vulnerabilidades críticas se encuentran demasiado cerca como para estar tranquilos.

¿Qué es una cibervulnerabilidad interna?

Una vulnerabilidad es una falla en un sistema que lo expone a un riesgo de ataque. En ciberseguridad, estas vulnerabilidades pueden estar relacionadas a los procesos y sistemas computarizados que usted utiliza. Aunque usted pueda conocer famosas vulnerabilidades de software como Heartbleed y WannaCry, las vulnerabilidades internas pueden ser mucho más triviales. Por ejemplo, dejar la contraseña por defecto en un router o asumir que sus empleados saben reconocer ataques de spear phishing puede derivar en mucho pesar para un Oficial de Seguridad Informática.

Como dicen en los deportes, “La Mejor Defensa Es Un Buen Ataque.” En este caso, un buen ataque incluye tomar un enfoque proactiva para identificar y arreglar las vulnerabilidades, de lo cual hablaremos a continuación.

Cómo identificar cibervulnerabilidades en organizaciones de nivel empresarial

Antes de poder identificar cibervulnerabilidades, debe tener una idea clara acerca de los activos de su organización, incluyendo la propiedad intelectual. Frédéric Virmont, un experto especializado en ciberseguridad dice, “Tiene que identificar que es crucial para el negocio: servidores, aplicaciones, todo. Una vez que ha identificado esos activos cruciales, entonces puede hacer un plan para asegurarlos y garantizar que estén mantenidos con parches de seguridad.”

Luego de identificar los activos cruciales para su negocio, usted puede exponer y clasificar cualquier vulnerabilidad a través de varias herramientas de seguridad — y luego emparcharlas.

Ponga personal en su lista de activos organizacionales ya que las cibervulnerabilidades incluyen ataques por agentes internos accidentales e intencionales de empleados.

Seis formas de reducir cibervulnerabilidades internas con medidas preventivas

 

1) Encripte la información y las comunicaciones – Proteja su información mientras esta en tránsito y en reposo con una solución de encriptación amigable con el usuario. Billones de emails son enviados todos los días sin encriptación y cada uno representa un riesgo de seguridad. Y en 2018, 4.8 billones de registros fueron robados durante vulneraciones y menos del 3 por ciento de esos registros estaba encriptado.

2) Enséñeles a sus empleados acerca de ciberseguridad– Un informe reciente de PwC en los Estados Unidos encontró que el 32 por ciento de los encuestados considera que las amenazas internas son más costosas y dañinas que los incidentes externos. Ya que los empleados están en la primera línea de la ciberseguridad, es esencial educarlos acerca de la importancia de utilizar programas y procesos de seguridad y sobre como identificar y reportar incidentes sospechosos. El cibercrimen es cada vez más sofisticado — en especial la ingeniería social y el spear phishing — razón por la cual una formación regular y efectiva en ciberseguridad es necesaria para todo el personal.

3) Refuerce sus políticas de seguridad – Asegúrese de que sus políticas apoyen sus esfuerzos en seguridad. Algunas de las mejores prácticas incluyen:

 

  • Limitar el acceso de los usuarios al asignar los permisos adecuados a los empleados que no sean de TI
  • Establecer pautas adecuadas para crear contraseñas fuertes o aplicar autenticación de doble factor
  • Limitar el uso de internet al definir o controlar que tipo de contenido puede ser visualizado
  • Definir ubicaciones de almacenado de archivos para empleados y denegar el uso de memorias USB o almacenamiento en la nube de particulares
  • Elegir una encriptación basada en políticas con métodos de entrega flexibles para las comunicaciones
  • Escrutinio efectivo de proveedores terciarizados

 

4) Tenga un plan de recuperación de desastres actualizado – Un plan de recuperación de desastres permite a todo el personal actuar rápidamente —utilizando una estrategia preparada — cuando el desastre golpee. De esta manera, los esfuerzos organizacionales pueden enfocarse en cerrar la vulnerabilidad y monitorearla, en vez de en tratar de averiguar qué hacer en el medio de una crisis.

5) No migre sus vulnerabilidades a la nube – Si bien existen muchos beneficios en transferir servidores y aplicaciones locales a la nube, las organizaciones deben evitar migrar sus vulnerabilidades existentes con ellos. Implementar herramientas de seguridad antes de la migración a la nube es esencial.

6) Comuníquese de forma efectiva con la Junta Directiva – Ya que puede que ellos no siempre entiendan los activos técnicos, muchas Juntas le huyen a la gestión de riesgos de ciberseguridad. En lugar de comunicar acerca de especificaciones técnicas, hable con la Junta acerca del costo de no implementar medidas de seguridad, tendencias de rentabilidad y manejo de reputación con los clientes. Raphael Narezzi sugiere hablar con la Junta de Directivos así, “Puede ser un costo hoy, pero les garantizo, el escenario que vemos cuando una Junta actúa antes de un evento, es un escenario completamente distinto del que vemos cuando no actúa en absoluto.”

 

Los beneficios de cerrar vulnerabilidades internas

Cerrar vulnerabilidades internas lleva tiempo, requiere recursos y experiencia y ahora es parte del costo de hacer negocios. Pero tiene sus beneficios. Como mencionamos arriba, la seguridad informática se traduce directamente en beneficios cliente centristas tales como la construcción de reputación y confianza digital y ayuda a preparar el camino para diferenciadores competitivos.

Cerrar vulnerabilidades lleva tiempo, requiere recursos y experiencia y ahora es parte del costo de hacer negocios. Pero hay beneficios con un sólido rendimiento de la inversión. Un estudio reciente de Impacto Económico Total™ de Forrester, reveló que una organización promedio de nivel empresarial puede esperar un periodo de amortización de siete meses y eliminar hasta $2.7 millones de sus costos totales al emplear nuestra flexible solución de encriptación OneWorld. Obtenga el completo estudio de Impacto Económico Total™ de Forrester acerca de OneWorld ahora.

Con tanto en riesgo, ¿acaso no es tiempo ya de apuntalar sus vulnerabilidades?

En Echoworx, encriptar es todo lo que hacemos. Nuestra plataforma de encriptación OneWorld y nuestros servicios de seguridad en la nube son extensiones naturales de los programas de seguridad existentes y ofrecen una amplia gama de opciones flexibles para entrega de mensajes seguros. Puede conocer más cerca de la rentabilidad la encriptación OneWorld de Echoworx aquí.

Por: Randy Yu, Gerente Senior de Operaciones Técnicas y Soporte, Echoworx

27 May 2019
The challenges of a digital government

El Gobierno Inalámbrico: Por qué un Gobierno Digital es un Gobierno Mejor

Desde grandes conglomerados de instituciones bancarias hasta gigantescas compañías de transporte globales, el mundo continúa ‘convirtiéndose hacia todo lo digital’ a un ritmo vertiginoso. Y también continúa creciendo la diversa lista de regulaciones de privacidad regionales, nacionales e incluso internacionales que dictaminan quienes (y cómo) pueden hacer negocios en este nuevo y maravilloso mundo digital. ¿Pero, acaso corren riesgo los gobiernos de quedarse atrás a causa de las mismas regulaciones que buscan imponerle a sus comunidades comerciales?

Tal y como se lamentaba el poeta americano Walt Whitman hace más de un siglo: “La poderosa obra continúa: Tú puedes aportar una estrofa.” Lo mismo puede decirse de aquellos que operan infraestructura gubernamental antigua para (finalmente) llevar sus procesos al siglo 21. Y, a medida que nuestro planeta continúa sus rotaciones perpetuas alrededor del Sol, el mundo digital podría continuar creciendo – con o sin ellos.

¿Entonces como hace un gobierno para subir su maraña de ministerios, servicios y legislatura a un mundo inalámbrico?

Haciendo una prioridad digital

Desde grandes iniciativas digitales, como la prohibición total de máquinas de fax por parte del Servicio Nacional de Salud del (NHS) Reino Unido, anunciado a principio de 2019, que afecta a 1.2 millones de personas, hasta subidas totales de servicios gubernamentales aún más ambiciosas, como la estrategia Primero-Digital del Gobierno de Ontario, descrita en el presupuesto 2019 de la provincia canadiense, los gobiernos están empezando a tomar nota de la importancia de la comunicación digital. Volverse digital no solo es ecológico, si no que los sistemas resultantes son más optimizados, instantáneos y competitivos.

Y, con la adopción digital, viene la necesidad de comunicarse de forma segura. Desde complejos y tirantes acuerdos de adquisición con proveedores a sensibles servicios para ciudadanos, como enviar expedientes médicos entre hospitales, la encriptación juega un rol importante en cada nivel de un gobierno digital. En Echoworx, facilitamos transiciones fluidas desde engorrosas comunicaciones en papel a soluciones digitales optimizadas.

Así es como las organizaciones de nivel empresarial están cargando sistemas antiguos a la nube.

Los desafíos de un gobierno digital

A diferencia de las nuevas y agiles empresas de tecnología a las que estamos acostumbrados, la mayoría de los gobiernos son producto de décadas – incluso siglos – de políticos, revoluciones, legislatura y montañas de papeleo cuidadosamente envueltos en capas y capas de burocracia. En otras palabras, difícilmente son el entorno adecuado para los rápidos y radicales cambios necesarios para la innovación digital. Combinado con un modelo contemporáneo de negocios enfocado en el cliente, que equilibra una excelente experiencia de usuario con herméticos algoritmos protectores de datos, y tendrá un verdadero dolor de cabeza burocrático en sus manos.

Trabajar con proveedores tercerizados, como Echoworx, puede ayudar a mitigar la carga de trabajo que significa cargar un sistema existente basado en papel a la nube. Desde ayudar a bancos a enviar millones de resúmenes de cuenta por día hasta algo tan simple como agregarle marca y opciones de idioma a una comunicación segura, por ejemplo, los proveedores tercerizados son expertos en lo que hacen y ofrecen un acceso ininterrumpido a la infraestructura digital existente.

He aquí algunas de las ventajas de los sistemas de seguridad de email tercerizados.

Un nuevo tipo de gobierno

Cuando un cliente entra a una cafetería, se le indica que forme fila, ya sea para hacerle un pedido a un barista sonriente o para retirar una orden que hizo desde un dispositivo móvil. Mientras está en la fila, a este cliente se le presentan una serie de colores, e imágenes de marca, y lo más importante, compras impulsivas o adiciones exhibidas como opciones tentadoras del otro lado de una vitrina – apenas fuera de su alcance.

Este modelo de cafetería de saludo muestra y venta a clientes es una forma de cuidado de clientela que comienza a penetrar en bancos, servicios financieros e incluso en organizaciones aseguradoras. El antiguo profesionalismo de antaño está siendo rápidamente reemplazado por un modelo más divertido, atractivo y abierto que pone al cliente a gusto, y, lo que es aún más importante, lo pone primero.

Para los servicios gubernamentales, el objetivo debe ser el mismo – ofrecer servicios digitales fluidos que le inyecten un ritmo cálido a procesos mundanos que pueden, a veces, ser fríos. Y este entorno atractivo comienza con la elección de abandonar sobres blancos sin alma por un mundo más interesante e instantáneo de comunicaciones digitales encriptadas.

Tome las capacidades de mensajería en masa encriptada de OneWorld de Echoworx, por ejemplo. Al utilizar la opción de entrega ‘Correo Masivo Seguro’ de OneWorld, los remitentes pueden entregar comunicaciones encriptadas, personalizadas y con estilo de marca a listas gigantescas de destinatarios con un solo clic del mouse. Además de aprovechar los ahorros monetarios de abandonar el papel, el Correo Masivo Seguro le ofrece a los remitentes opciones para rastrear el estado de sus mensajes – lo cual es especialmente importante para ministerios y departamentos gubernamentales que necesitan enviar mensajes masivos a ciudadanos interesados o afectados.

Vea la gama completa de los flexibles métodos de entrega segura de Echoworx.

Volverse digital hace feliz a la tesorería

Al igual que en el mundo de los negocios, un gobierno siempre debe mantener un ojo en su balance final. Pero, si bien un negocio puede experimentar altibajos, respondiéndole a su junta o a sus accionistas, un gobierno les responde a sus ciudadanos – que votan durante las elecciones. Además de optimizar servicios y habilitar un dialogo más simple y seguro con sus votantes, un gobierno digital también tiene factores adicionales mitigantes de costos que considerar.

Por ejemplo, según un estudio reciente de Impacto Económico Total™ (IET) realizado por Forrester Research, una organización de nivel empresarial promedio, como un gobierno, puede esperar beneficios mitigantes de costos valuados en hasta $2.7 millones. Y, teniendo en cuenta el costo promedio por página de $1 asociado con las comunicaciones vía correo tradicional, un gobierno tiene el potencial de ahorrar aproximadamente $1.5 millones en un periodo de tres años.

¿Y la mejor parte? Con un periodo de amortización de aproximadamente siete meses, un gobierno puede adoptar OneWorld, ¡una solución de encriptación robusta, completamente flexible y amigable con el usuario y recuperar su inversión antes de que lleguen las elecciones!

Vea el estudio completo de IET de OneWorld realizado por Forrester Research aquí.

Por Nicholas Sawarna, Especialista Sr. de Marketing de Contenido, Echoworx

01 Mar 2019
YWhat's Your Post-Brexit Plan

La privacidad en una Gran Bretaña post RGPD: ¿Cuál es su plan Brexit?

Haya o no trato – Gran Bretaña se dirige al Brexit. Mientras algunos británicos almacenan provisiones de cualquier cosa desde pasta hasta ropa y comida para gatos, las compañías británicas se preparan para un vacío digital de incertidumbre. ¡Pero instaurando las medidas proactivas correctas de ciberseguridad y un poco de planificación, no hay motivo para que un negocio británico se pierda en el ciber-océano!

He aquí algunos puntos a considerar mientras construye su plan Brexit:

  1. El Reglamento General de Protección de Datos (RGPD) no es una ley

Como su nombre lo sugiere, el RGPD no es una ley – sino un reglamento. Si bien el RGPD aplica a todos los estados miembros del Área Económica Europea de la Unión Europea, cada país es libre de interpretar el reglamento como mejor les parezca. En Dinamarca, por ejemplo, una interpretación más estricta del RGPD ha llevado a que se apliquen leyes de encriptación obligatoria a la información danesa. Como regla: asegúrese de informarse acerca de las leyes locales inspiradas en el RGPD para cualquier región de la UE en la que opere.

  1. Países terceros – no de tercera clase

Ya que todos ellos entran en el RGPD, y deben en teoría cumplir con la regulación de privacidad, las organizaciones que operen desde estados miembros del AEE son libres de intercambiar información a través de fronteras de la UE. Pero, a los denominados ‘países terceros,’ refiriéndose a los países fuera de las fronteras del AEE, no se les da el mismo pase libre, pueden intercambiar datos una vez que se les da el visto bueno de tener leyes y prácticas de protección de dato adecuadas.

Conozca más acerca de cómo Canadá está cambiando sus leyes para ser más ‘RGPD-friendly’.

  1. El Reino Unido estará BIEN

Para cuando el Brexit entre en efecto, Gran Bretaña habrá estado bajo el RGPD por casi un año. Esto significa, entre otras cosas, que su Ley de Protección de Datos de 2018, si permanece intacta, debería teóricamente cumplir con las demandas del RGPD. Pero se deberá prestar atención especialmente para reflejar cualquier cambio al RGPD que se haga después – como por ejemplo si las leyes de encriptación obligatoria de Dinamarca fueran adoptadas por otras naciones de la UE.

  1. El RGPD está fuera de control británico

Luego del Brexit, Gran Bretaña ya no tendrá un asiento en la mesa de negociaciones de la UE – esto incluye cualquier asunto relacionado con el RGPD. Esto significa que, si su organización británica pretende realizar negocios en el Continente, prepararse para decisiones inesperadas puede ser el mejor camino. Tener funciones proactivas de protección de datos, como encriptación de extremo a extremo, por ejemplo, puede ayudarlo a transitar por cualquier cambio repentino.

Conozca más acerca de cómo el NHS comienza a mejorar sus defensas digitales. 

  1. No puede esconderse del RGPD

Aun después del Brexit, innumerables ciudadanos de naciones de la UE continuaran trabajando en Gran Bretaña. Adema de cubrir a las naciones dentro del AEE, el RGPD también protege a los ciudadanos de esas naciones – independientemente de donde residan. Si un ciudadano belga, viviendo en Londres, por ejemplo, le proporciona información personal a su organización británica, sus datos están protegidos por el RGPD.

Conozca más acerca del RGPD.

  1. No se trata solo de usted

Si usted planea transitar el RGPD y continuar hacienda negocios dentro del AEE desde Gran Bretaña, debe considerar con quien está trabajando dentro del Reino Unido. Bajo las regulaciones del RGPD, cualquier tercero que trabaje con su organización, que pueda manipular información personal de la UE, también debe cumplir con las regulaciones. Antes de establecer o continuar una relación laboral post Brexit con un tercero, busque certificaciones de auditorías de ciberseguridad – he aquí porque son importantes.

Su plan Post Brexit:

Mientras el Reino Unido continúa discutiendo, redactando y delineando su plan Brexit, existen maneras en las que su organización puede aplacar la tormenta. Además de adoptar políticas proactivas de protección de datos, como la encriptación, su organización debería considerar tener un plan de contingencia. Echoworx, por ejemplo, tiene centros de datos en Irlanda y Alemania, lo que les permite a nuestros clientes enviar mensajes que cumplen con el RGPD dentro del AEE.

Por Nicholas Sawarna, Especialista Sr. de Marketing de Contenido, Echoworx

22 Feb 2019

¿Tiene información danesa? La Encriptación ahora es obligatoria en Dinamarca

Encriptar o no encriptar: esa ya no es la cuestión en Dinamarca – donde nuevas interpretaciones del Reglamento General de Protección de Datos (RGPD) están haciendo historia. A partir del primero de enero de 2019, todas las organizaciones que trabajen en cualquier medida con Dinamarca deberán aplicar una encriptación aceptable cuando comuniquen datos sensibles.

¿Por qué Dinamarca?

Si bien la RGPD aplica a todos los miembros de la UE y a sus ciudadanos, independientemente de donde residan, cada país tiene interpretaciones propias de partes especificas del reglamento. En el caso de Dinamarca, se ha adoptado una definición más literal de la Sección 9 del RGPD, abordando el ‘procesamiento de categorías especiales de datos personales.’ Como resultado de esto, cualquier información sensible en tránsito que entre en jurisdicción danesa debe estar protegida – lo que significa encriptación obligatoria.

¿Qué significa esto para los comercios daneses?

Cualquier organización con actividad comercial en Dinamarca o que involucre a ciudadanos daneses, aunque sea de forma tercerizada, deberá proteger su información ya sea con TLS o encriptación de extremo a extremo. Pero el cómo se apliquen las medidas de protección de datos también es importante. Una conexión TLS eventual, por ejemplo, donde las conexiones fallidas recurren al texto plano, no ofrece protección adecuada. Aquellos que no acaten a las nuevas reglas pueden recibir sanciones, o peor, multas aplastantes en las secuelas de una filtración. Se espera que esta novedad en el RGPD resulte en medidas similares en otros países de la UE.

Conozca más acerca de encriptación de métodos de entrega.

¿Qué medidas puede tomar una organización?

Desde que el RGPD entro en vigencia el mayo pasado, el mensaje desde Europa ha sido simple y claro: Proteja los datos personales o haga negocios en otro lado. Y, al adoptar políticas proactivas de privacidad por diseño, con el RGPD como punto de partida, una organización puede asegurarse de estar cumpliendo en la UE y en cualquier otro lugar donde existan políticas de privacidad similares. Por lo tanto este nuevo desarrollo danés debería ser visto como una ventaja competitiva – no un impedimento.

Si bien un sistema cerrado teóricamente podría funcionar para las compañías danesas que interactúen únicamente con ciudadanos daneses, esta mentalidad puede generar problemas de compatibilidad apenas se realicen actividades comerciales en el exterior. Una plataforma flexible de mensajes seguros puede ayudar a evitar problemas de compatibilidad y mantenerse en cumplimiento de las normativas.

Conozca más acerca de las funciones flexibles de la plataforma de encriptación OneWorld de Echoworx.

Por Christian Peel, VP de Ingeniería, Echoworx

25 Ene 2019
Protecting sensitive incoming data

Encriptación Entrante: El Cómo y el Porqué

Si bien su organización posee sistemas para encriptar emails salientes, ¿qué sucede cuando recibe un email que contiene información sensible? Si acaso no se encontrara encriptado, ¿lo rechazaría? ¿Acaso es captado por sus filtros de conformidad? Y de ser así, ¿qué mensaje está usted enviando al rechazarlo?

¿Qué es la encriptación entrante?

La encriptación entrante es el proceso mediante el cual los emails que contienen información sensible, como por ejemplo números de tarjetas de crédito, son encriptados antes de ser almacenados en los servidores de correo de una organización. Los filtros de encriptación entrante escanean todos los emails comparándolos contra un set establecido de reglas, revisando el contenido y los adjuntos, así también como a los destinatarios.

¿Por qué es necesaria la encriptación entrante?

Los estándares de seguridad PCI establecen que los emails que contienen información de titulares de tarjetas de crédito deben estar encriptados durante su transmisión a través de redes públicas abiertas y que la información de los titulares debe protegerse mientras esté almacenada. Esto significa que la información personal o sensible como los números de tarjeta de crédito no puede guardarse en su red sin estar encriptada.

Por ejemplo, usted puede dirigir una gran organización de venta minorista a la cual los clientes le envían consultas vía emails que contienen información sensible – como datos de tarjetas de crédito. A fin de cumplir con la legislación PCI, su filtro de correo podría estar configurado para bloquear o eliminar este tipo de emails. A su vez, esto podría conducir a la disconformidad de sus clientes al ver que sus emails no reciben respuesta – resultando en pérdida de ganancias y daño no intencional a su marca.

¿Cómo funciona la encriptación entrante?

Utilizar un sistema de entrega de PDFs Seguros les permite a las organizaciones minimizar su riesgo PCI. En lugar de hacer ellos mismos la encriptación, emplean un servicio tercerizado que provee encriptación de emails sobre la marcha accionada por políticas automatizadas en una plataforma con certificación PCI. Cuando los mensajes que contienen información sensible llegan encriptados y seguros, es menos probable que sean bloqueados por los servicios existentes de filtrado de emails.

Cualquier email entrante que active una política automatizada es automáticamente encriptado dentro de un PDF Seguro, junto con cualquier adjunto, antes de ser entregado directamente a la bandeja de entrada del destinatario. Luego de recibir el email, el destinatario simplemente descarga los adjuntos encriptados e ingresa una contraseña autorregistrada para autenticar, abrir y leer los contenidos.

Qué buscar en una solución de encriptación entrante efectiva

Proporcionar una alternativa de encriptación segura para todo el correo entrante no tiene por qué ser complicado. Utilizar un sistema de entrega de PDF Seguro no solo garantiza almacenamiento seguro para la información sensible, sino que también asegura que su organización cumplirá con las normas de privacidad y los estándares de seguridad.

Conozca más acerca de la encriptación entrante con Echoworx OneWorld.

Además de la entrega de PDFs Seguros, cualquier solución de encriptación que valga la pena debe ofrecer métodos adicionales de entrega segura, desde Portal Web hasta Archivos Adjuntos Seguros, SMIME/PGP y TLS. Aunque las respuestas y cualquier diálogo adicional se realicen a través de funciones de Respuesta Segura integradas, sus empleados podrán optar también por opciones adicionales para comunicarse de forma segura con sus clientes.

Conozca más acerca de los métodos de entrega de encriptación segura de Echoworx OneWorld.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

15 Nov 2018
Get ready for PIPEDA

¿ESTÁ USTED PREPARADO PARA LA LEY DE REPORTE OBLIGATORIO DE VULNERACIONES DE CANADÁ?

Con la introducción de nuevas reglas bajo el Acta de Protección de Información Personal y Documentos Electrónicos (PIPEDA), pedir disculpas por una vulneración ya no es suficiente. Desde noviembre de 2018, todas las vulneraciones que involucren información canadiense de índole personal deben ser reportadas y las partes afectadas deben ser notificadas.

Pero, ¿a quién aplica PIPEDA?

PIPEDA es la ley federal de privacidad para organizaciones del sector privado. En pocas palabras, esta ley aplica a toda la información personal que se recolecta, usa o divulga en el trascurso de una actividad comercial cuando se hacen negocios con Canadá. Bajo las nuevas reglas de vulneración de la información, si alguna parte de esta información personal se filtra, se debe presentar un reporte en la Oficina del Comisionado de Privacidad de Canadá, se debe crear un registro de la vulneración y todos los individuos afectados por la vulneración deben ser alertados de que su información ha sido comprometida.

Siguiendo el liderazgo de Europa en protección de privacidad

Las actualizaciones a PIPEDA siguen a la RGPD de la Unión Europea – la cual entró en vigencia el pasado mes de mayo. Si bien las practicas existentes de protección de datos de Canadá satisfacen las demandas actuales de la RGPD, estas reglas adicionales sirven como garantía proactiva a medida que las normativas europeas se vuelvan cada vez más estrictas en los próximos años. También están diseñadas para ayudar a mantener la competitividad de las empresas canadienses en Europa – y evitar multas masivas.

¡Y estos nuevos cambios realizados a PIPEDA vienen con dientes!

Además del daño a la imagen de su compañía y las potenciales demandas judiciales, las violaciones a PIPEDA ahora conllevan graves multas de hasta $100,000. Si bien no son tan altas como las devastadoras y multimillonarias multas de la RGPD, las penalizaciones son lo suficientemente altas como para forzar el cumplimiento de las normas.

Entonces, ¿cómo mantenerse en cumplimiento?

Proteger adecuadamente la información personal sensible  es más difícil de lo que parece – y a menudo requiere un enfoque múltiple. Con el objetivo de cumplir con las nuevas reglas de PIPEDA, debe tomar medidas proactivas para ayudar a prevenir que una vulneración ocurra – esto incluye proteger la información que sale de su sistema. La encriptación de la información sensible es un indicador clave a la hora de demostrar que la información ha sido debidamente protegida bajo cualquier regulación o ley de privacidad.

He aquí 10 formas en las que puede asegurar datos sensibles en tránsito.

Por Alex Loo, VP de Operaciones en Echoworx

17 Sep 2018
What is a Chief Data Officer

¿Qué es un Director de Datos?

Vivimos en una era post privacidad.

Nuestra ubicación puede ser precisada con GPS. Nuestras fotos e itinerarios son conocidos al mundo, a través de nuestros smartphones conectados a internet. Posteamos nuestros más íntimos pensamientos y opiniones en las redes sociales para que todos las vean. Navegamos a través de publicidad dirigida específicamente basada en nuestras búsquedas de Google y hábitos de compra online.

Tom Goodwin, director de innovación en Zenith Media, argumenta que nosotros mismos buscamos esta pérdida de privacidad porque disfrutamos los beneficios que nos provee… hasta que una compañía falla en proteger nuestra información.[i] Es ahí cuando nos alzamos en armas en contra de la violación a nuestra privacidad. Es la típica pesadilla en relaciones públicas.

En Echoworx, nuestra propia investigación encuentra otra interrogante acerca de la privacidad de la información: la naturaleza cambiante de los datos personales luego de una vulneración. Las personas están dispuestas a divulgar información cuantitativa, bajo la creencia de que esta está protegida. Esta misma información adquiere características cualitativamente embarazosas una vez que se vuelve publica durante una vulneración – derivando en una perdida fatal de confianza del cliente.

¿Como se supone que los negocios naveguen estas contradicciones? ¿Como pueden las compañías ofrecerle a la gente los beneficios de la era post privacidad sin hacerle sentir que entregaron algo precioso? ¿Como pueden los comercios ganar la confianza para proteger información sensible de forma segura?

Una solución se encuentra en la creciente importancia del Director de Datos.

El auge del Director de Datos

El rol de Director de Datos nació durante la crisis financiera de 2008-09. Luego de las secuelas, había una clara necesidad de una persona que pueda garantizar el cumplimiento de las creciente demandas regulatorias. Mas que nunca en el ámbito bancario y en las finanzas, la información y su declaración a reguladores requirió un mayor control. Por años, la información no fue más que una ocurrencia tardía en la mayoría de las organizaciones. Si acaso la información se hubiera manejado de forma efectiva, habríamos tenido una advertencia de la crisis, o podríamos habernos recuperado de forma más completa.

En la década que transcurrió, sin embargo, el rol del CDO se ha expandido y ha evolucionado en los albores de la era de los Grandes Datos. Súbitamente, el valor de la información como recurso se volvió claro. El CDO era necesario para que se ocupe de maximizar ese valor.

En 2012, la firma de consultoría NewVantage Partners inicio una encuesta anual de ejecutivos de nivel C de Fortune-1000. Ese primer año, solo el 12% de las firmas tenía un CDO. Para 2018, el número había incrementado un 63.4%. Esta tendencia parece decidida a continuar. Según algunas estimaciones, un Director de Datos será considerado un rol “crucial para la misión” en hasta el 75% de las grandes empresas dentro de los próximos 3-5 años. ¡Incluso el Pentágono contrató a su primer CDO!

Porque usted necesita un Director de Datos

Hoy en día, el valor principal del CDO es ser la persona designada para optimizar enormes cantidades de datos generados por las compañías de hoy. Él o Ella puede extraer valor de la información y fomentar innovación alrededor de la Big Data y la analítica. El CDO impulsa las soluciones tecnológicas, mejora la ciberseguridad y aumenta las ganancias. Él o Ella trabaja para eliminar silos de datos y redundancias. El cambio tecnológico es manejado para reducir los costos de la “limpieza de datos” dentro de una compañía.

El CDO planea y ejecuta la estrategia corporativa alrededor de tecnologías emergentes tales como la inteligencia artificial (IA), Machine Learning (aprendizaje automatizado), y Blockchain (cadena de bloques). El CDO también representa una solución ágil a los rápidos cambios en regulaciones y privacidad de datos para los que la administración tradicional puede no estar preparada. A medida que evoluciona la tecnología, también lo hace el rol de CDO.

Privacidad vs valor en un mundo post privacidad

La información es una espada de doble filo. Tiene un enorme valor para las corporaciones. Pero también requiere una cuidadosa protección de la información que se les confió y promete riesgos y responsabilidades (tanto financieras y reputacionales) en el evento de una vulneración.

Al poner toda la información y la actividad relacionada a cargo del CDO, las organizaciones pueden establecer sistemas para garantizar que toda la información recolectada, almacenada, o compartida dentro de una organización sea tratada de forma segura y ética, y en cumplimiento de las regulaciones y leyes locales e internacionales.[ii] El manejo adecuado de la información y la aplicación prudente de medidas de seguridad, tales como encriptación reforzada de datos sensibles, puede ayudar a reducir los riesgos de un emprendimiento. Estas políticas también permiten que las compañías maximicen el valor de la información que recolectan.

En esta era post privacidad, las corporaciones que interactúan con datos sensibles del cliente deben adaptarse si quieren ser exitosas. Si se enfocan en “server mejor a las personas” con pedidos explícitos de permiso, opt-ins claros y concisos, seguridad rigurosa y encriptación, pueden construir un “intercambio de valor a lo largo de una vida” con los clientes Este es el tipo de transformación que el CDO puede aportar a las organizaciones. De esta manera, el CDO ayuda a navegar la línea entre privacidad y post privacidad en un mundo conectado.[iii]

___________

[i] https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world

[ii] https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

 

16 Jul 2018
Ley de privacidad de datos de California

Ley de privacidad de datos de California, AB 375: Es personal

La semana pasada, California aprobó una de las leyes de privacidad más avanzadas de los Estados Unidos, la Ley de Privacidad del Consumidor de California de 2018. Está siendo aclamada como un importante paso adelante con comparaciones como «GDPR llega a Estados Unidos» y otros titulares similares.

Tras su revisión, la ley de California tiene varios desafíos, es decir, no es necesario llegar a una legislación para cambiar las disposiciones de la ley.

Lo que está en la ley

La ley establece algunos nuevos derechos para los residentes de California, y al igual que el GDPR en Europa, se aplica a cualquier empresa que vende o tiene datos personales sobre los residentes de California.

Estos nuevos derechos son:

(1) El derecho de los californianos a saber qué información personal se recopila sobre ellos.

(2) El derecho de los californianos a saber si su información personal es vendida o revelada y a quién.

(3) El derecho de los californianos a decir no a la venta de información personal.

(4) El derecho de los californianos a acceder a su información personal.

(5) El derecho de los californianos a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.

En resumen, les da a los californianos una manera de optar por controlar los usos secundarios de sus datos, ya sea la venta agregada a intermediarios de datos, el seguimiento u otros usos que no estén directamente relacionados con la prestación de un servicio.

Lo que no está en la Ley

Si bien la ley tiene sanciones por infracciones que resultan de no proteger adecuadamente la información, esta ley en sí misma no contiene ningún requisito sobre cómo las empresas necesitan proteger la información, o el lenguaje para guiar a un tribunal está analizando si la protección fue adecuada.

Impacto en el mercado:

A diferencia del Reglamento General de Protección de Datos Europeo, el Acta de Privacidad del Consumidor de California de 2018 no contiene requisitos específicos que las empresas deben seguir para garantizar la Seguridad del procesamiento. La Ley prescribe cómo las empresas deben obtener el consentimiento para recopilar y usar información, y que no pueden discriminar a los consumidores por ejercer sus derechos.

La Ley de Privacidad del Consumidor de California depende en gran medida de otras leyes federales y de California para brindar orientación sobre estas áreas. Hay una serie de conflictos con estas otras leyes y áreas que probablemente deberían aclararse a través de una guía regulatoria o posibles cambios a la ley.

Además, todavía hay una serie de preguntas sobre cómo la Ley podría ser modificada bajo la presión de las empresas de tecnología y defensores de la privacidad, y qué regulaciones podrían publicarse para apoyar la ley.

En general, la naturaleza exacta de las obligaciones de una empresa no se conocerá durante un tiempo.

Una solución lógica

El cifrado de datos confidenciales es clave para demostrar que la información ha sido adecuadamente protegida bajo cualquier regulación o ley de privacidad.

Echoworx se compromete a cumplir con los requisitos de privacidad y legales de los países en los que opera. Echoworx continúa agregando centros de datos en todo el mundo para garantizar que los datos residan lo más cerca posible del país o la región de origen. Actualmente operamos centros de datos en los EE. UU., El Reino Unido, Irlanda, Alemania, México y Canadá para garantizar que los datos se puedan almacenar y mantener de acuerdo con las reglamentaciones y la legislación a las que están sujetos nuestros clientes.

Por David Broad CISSP, Jefe de Seguridad de la Información y Auditoría, Echoworx

14 Abr 2018
Exchanging files

Trabajar En La Nube: Cómo Asegurar El Intercambio De Archivos Grandes

Intercambio de archivos: suena muy fácil. Pero si observa la multitud de actividades de intercambio de archivos en una organización típica de hoy, comenzará a comprender el desafío.

Primero, está el tamaño.

Las configuraciones de correo electrónico típicas restringen los tamaños de los archivos adjuntos a 20 MB o menos, lo que no es realista para el tamaño real de los archivos que se envían hoy. En el pasado, intercambiar un archivo de 20 MB no era común. Hoy nuestros clientes comparten de manera regular archivos de más de 100 MB con destinatarios en todo el mundo.

Esto da lugar a otro problema: el rendimiento.  El correo electrónico nunca fue diseñado para manejar archivos extremadamente grandes, por lo tanto, cuando lo hace, a menudo conduce a problemas de entrega y de rendimiento de la red.  Todos lo hemos experimentado. Envía un mensaje con un archivo adjunto grande solo para obtener un mensaje no entregado después de horas, tal vez incluso días más tarde.  En la actualidad, la mayoría de las políticas corporativas le impiden incluso adjuntar archivos de un cierto tamaño en el momento del envío.

Guiándonos a la seguridad.

Compartir archivos usando FTP es demasiado «técnico» y difícil de usar para la mayoría de los clientes y en los escenarios B2C para nada lo és; también es un proceso manual.

Cualquier solicitud para habilitar una cuenta de FTP requiere la configuración de reglas de firewall para permitir la carga y descarga de archivos, así como la revisión y aprobación de seguridad.

Además, carecen de procesos automatizados como avisos de verificación. Pida a operaciones que abran solo unos pocos puertos, como FTP, para permitir transferencias de archivos: vea cuántos de ellos se aprueban rápidamente.

Un informe reciente de Verizon citaba que el 58% de las infracciones de datos de Healthcare PHI fueron causadas por personas internas: el 29,5% provenía de un uso indebido.

Conduciéndonos hasta – Sí, servicios de archivos compartidos no compatibles. Estas soluciones han llegado a compañías de todos los tamaños. No se equivoquen, sus usuarios siempre seguirán el camino de menor resistencia. Es un dilema clásico: un empleado, sin opciones para compartir archivos o correos electrónicos fallidos, recurre a soluciones externas, en alguna parte, para que puedan «eficientemente» compartir archivos.

Pero el punto de inflexión para la mayoría – auditorías.  Las regulaciones globales en evolución, como GDPR, Ley Dodd-Frank, exigen que las instituciones financieras mantengan informes sobre quién accedió a qué archivos y cuándo se realizó.

Al aprovechar las capacidades de portal de archivos grandes de nuestra plataforma de cifrado, las empresas tienen control total sobre los archivos de gran tamaño que necesitan para comunicarse.

Los empleados simplemente inician sesión en el portal seguro de webmail donde adjuntan uno o más archivos grandes junto con una nota adjunta. Luego, los archivos se cifran en el portal y se envía un mensaje de notificación al destinatario, que incluye un enlace al portal con funcionalidad completa de auditoría y recuperación, lo que permite a los usuarios compartir fácilmente dentro de las normas del gobierno corporativo y las políticas de la empresa.

Puede ver un ejemplo de cómo funciona viendo esta breve demostración de video.

Por Christian Peel, Vicepresidente de Ingeniería de Cliente, Echoworx

10 Abr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

La calma antes de la tormenta: «la ley de la nube» (Cloud Act)

Los últimos acontecimientos en el juicio entre el Gobierno de E.E.U.U. y Microsoft tienen impacto sobre las compañías que ofrecen servicios a nivel mundial. La Ley del Uso de Información en el Extranjero para Clarificar la Legalidad (Cloud Act) apunta a simplificar la forma en la que los grupos de garantes de la aplicación de la ley pueden conseguir información personal almacenada por compañías tecnológicas estadounidenses.

Qué Ha Ocurrido:

En diciembre del 2013, un Juez Magistrado de los Estados Unidos emitió una orden judicial apoyándose en la Ley de Comunicaciones Almacenadas (SCA) para que Microsoft divulgara información que tenía almacenada en un Centro de Datos en Irlanda[i]. Microsoft se negó a cumplir con la orden judicial que le requería entregar información almacenada en su Centro de Datos en Irlanda y alegó que dicha orden violaba la Ley Europea.

Microsoft apeló la decisión en el Tribunal para el Segundo Circuito, donde se recibieron peticiones de apoyo a Microsoft de varias partes. El Gobierno irlandés presentó un informe declarando que la orden violaba la Directiva General de Protección de Datos de la Unión Europea y las propias Leyes de Privacidad de Irlanda, y que el Gobierno estadounidense debería haber usado el antiguo Tratado de Asistencia Legal Mutua que existe entre ambos países. El tratado permite que se la colecte información según lo dicten las órdenes judiciales locales. El Segundo Circuito estadounidense falló a favor de Microsoft y el Ministerio de Justicia de los Estados Unidos apeló en la Corte Suprema.

Los alegatos orales sobre el caso fueron escuchados el día 27 de febrero. Sin embargo, en marzo, el Congreso de los Estados Unidos aprobó y el Presidente firmó la Ley del Uso de Información en el Extranjero para Clarificar la Legalidad[ii] (Ley CLOUD). Esta ley emendó la Ley de Comunicaciones Almacenadas (SCA) para poder exigirle a los proveedores de servicios estadounidenses que entreguen los datos que tienen en su poder sin importar en qué parte del mundo se encuentre los mismos. Respaldándose en este acontecimiento, el Ministerio de Justicia de los Estados Unidos le pidió a la Corte Suprema que desestimara el caso como obsoleto y Microsoft no se opuso.

Inclusive desde antes de esta decisión, se plantearon preguntas importantes con respecto al acceso que el Gobierno estadounidense tiene a la información de los ciudadanos en otros países. El Grupo de Trabajo del Artículo 29[iii] había difundido un informe[iv] cuestionando la adherencia de los Estados Unidos a los requisitos de los acuerdos del Escudo de Privacidad entre E.E.U.U. y la UE. En el informe, se recomendó que E.E.U.U. y la UE negocien nuevamente con el fin de desarrollar un plan para cerrar algunas brechas identificadas. Si no se toma acción, el Grupo de Trabajo advirtió que llevaría el problema a juicio para que el acuerdo del Escudo de Privacidad quede invalidado.

Impacto sobre el Mercado:

Todo esto está ocurriendo en el contexto de la entrada en vigor de la Regulación para la Protección General de Datos de la UE que tiene requisitos estrictos para las compañías que trabajan con la información de los residentes de la UE. Específicamente, el Artículo 48 de la Regulación para la Protección General de Datos de la UE afirma que:

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Esto directamente contradice a los requisitos de la Ley CLOUD que anulan de forma directa la necesidad de usar el enfoque contemplado por el MLAT.

Naturalmente, esto deja muchas preguntas sin resolver, como qué leyes y las de quiénes tienen mayor relevancia y en qué estado quedan los tratados sobre los que ya se habían hecho acuerdos anteriormente, entre otras preguntas más. También es probable que las compañías estadounidenses se vean afectadas significativamente a medida que los usuarios se vayan cambiando a proveedores de servicios de nube en sus jurisdicciones locales – o al menos aquellos usuarios en jurisdicciones sin semejantes enredos legales.

Por David Broad CISSP, Auditor Jefe de Sistemas de Gestión de la Seguridad de la Información, Echoworx

Referencias:

[i] https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)

[ii] https://www.congress.gov/bill/115th-congress/house-bill/4943/text

[iii] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

[iv] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782

07 Mar 2018
Echoworx | Email Encryption Solutions | Encryption, helping address GDPR compliance

EL CIFRADO, AYUDANDO AL ESFUERZO POR CUMPLIR CON GDPR

A partir del 25 de mayo de 2018, todas las empresas que se ocupan de datos personales en la Unión Europea (UE) deben emplear un alto nivel de seguridad para salvaguardar la información de los ciudadanos de la UE. Según el Reglamento General de Protección de Datos (GDPR), las empresas que no tomen medidas adecuadas para proteger los datos de quienes residen en los 28 países de la UE (antes del Brexit), enfrentan multas de hasta 20 millones de euros ($ 21,9 millones) o 4% de los ingresos anuales globales de una empresa. Las autoridades reguladoras tendrán mayores poderes para actuar contra las empresas que no cumplan.

El GDPR establece las bases
David Broad, Responsable de Auditoría y Seguridad de la Información de Echoworx, dice que el GDPR establece las bases de cómo las compañías deben proteger su propia información y la de sus clientes. Las prácticas de seguridad de referencia también deben ser coherentes con cualquier servicio de terceros que la empresa utilice (como Amazon), incluso si la empresa se encuentra fuera de la UE. Las regulaciones en toda la UE «solían ser un mosaico bastante amplio», dice Broad, y el GDPR armonizará esas reglas. La UE siempre ha tenido regulaciones estrictas, pero había problemas significativos si una empresa estaba haciendo negocios en varios países, ya que las reglas podían diferir en cada una de ellas.

«Era visto por muchos como una desventaja y un impedimento para los negocios», dice Broad. «Ahora, habrá un estándar que todos entiendan y conozcan».

Una solución lógica
El cifrado es una solución lógica para estas empresas y, si bien no es una solución obligatoria o la única, el GDPR fomenta su uso como una práctica recomendada para proteger la información sensible de las infracciones. Cada vez más, el cifrado se considera el método de partida para proteger las comunicaciones en tránsito y salvaguardar la información almacenada, según Jacob Ginsberg, Director Senior de Echoworx.
Ginsberg dice que las empresas están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos. El GDPR alienta la idea de la seguridad y la privacidad por diseño desde las primeras etapas de desarrollo, agrega. Esos dos aspectos, la privacidad y la seguridad, no siempre funcionaban en conjunto y el GDPR ayudaría a alinearlos. El cifrado puede desempeñar un papel en la alineación de estos aspectos.

La importancia del cifrado
Proteger la información en tránsito, ya sea a través de correo electrónico o intercambio de archivos grandes, puede ser un desafío para algunas organizaciones, ya que pueden no controlar la red o el servidor de correo electrónico, y el servidor puede no estar en la UE, dice Broad.
«No se puede simplemente enviar datos de clientes a través de una red de la que no se tiene control», dice. Una organización puede usar algún tipo de cifrado para datos en tránsito u optar por no enviar datos cifrados por correo electrónico. En cambio, podría enviar un mensaje benigno a un cliente diciéndole al cliente que inicie sesión en el portal de la compañía para recuperar la información pertinente.

No todas las empresas quieren construir un portal debido a la gran inversión en tecnología requerida, o porque pueden no necesitarlo todo el tiempo. Por ejemplo, algunas empresas pueden solo necesitar un portal por un corto tiempo cada año, como para recibir documentos tributarios anuales.

Así como Amazon ofrece soluciones de comercio electrónico para vendedores que no desean gestionar logística, pagos, hardware y almacenamiento de datos, los proveedores de cifrado como Echoworx pueden ayudar a las empresas a cumplir con el GDPR al proporcionar soluciones de cifrado y servicios para ayudar a los clientes a proteger datos.

Por Christian Peel, ‎VP de Ingeniería del Cliente, Echoworx

14 Sep 2017
GDPR

GDPR Reduce tu riesgo, protege a tus clientes

Ya conociste el RGPD, pero aún así puede haber una infracción y las multas son enormes. ¿Cómo se puede minimizar el riesgo?

Para el 25 de mayo de 2018, las empresas que realizan negocios con residentes de la UE deben cumplir con los estándares del Reglamento General de Protección de Datos (RGPD) o arriesgarse a multas de hasta 20 millones de euros o el 4 por ciento de sus ganancias anuales en todo el mundo. Pero incluso si tu empresa cumple con el Reglamento, los hackers seguirán tratando de obtener tus datos, y si tienen éxito, podrías enfrentar demandas colectivas y la destrucción de la confianza del consumidor que tanto te costó ganar.

todavía podrías enfrentar multas del RGPD.

Las noticias están llena de buenas razones para lograr la desconfianza del consumidor, como la Violación de Equifax en 2017 cuando se robaron 143 millones de registros, incluidos los números de seguro social vinculados a ellos. Pero si puedes demostrar que has tomado todas las medidas posibles para proteger a las personas que dependen de ti, es más probable que los tribunales y tus clientes te brinden el beneficio de la duda.

El cifrado de datos es un paso obvio, y es parte del RGPD, por lo que según el Reglamento, debes convertir sus datos a un formato codificado y difícil de desbloquear que mantenga la autenticación, integridad y la no invalidación. Pero también necesitas implementar la minimización de datos y la desidentificación.

En términos simples, la minimización de datos significa que no solicitas ni retienes más de lo que necesitas, mientras que la desidentificación elimina temporalmente los enlaces entre los puntos de datos y las personas que describen.

1. Minimización de datos

Con tantos datos personales disponibles, puede ser tentador recopilar y hacer referencias cruzadas a nueva información para obtener más información acerca de tus clientes. Pero a los consumidores no les gusta y desconfían cada vez más para compartir sus detalles. Entonces, si el nombre y el número de teléfono de un familiar en una cuenta de servicios financieros podría ayudar a verificar a la familia si el titular de la cuenta fallece, pedir los datos del lugar de trabajo del pariente puede ir demasiado lejos. Y definitivamente cruzas la línea si usas cualquiera de los datos para un propósito que el cliente no ha aceptado.

El RGPD establece explícitamente que debes limitar la cantidad de datos que recopilas, así como la forma en que los usas. También dice que solo puedes usar los datos para tu propósito específico y legal, y enfatiza la importancia de tener un plan para destruir la información una vez que el uso acordado haya finalizado.

Y francamente, menos información significa que tienes menos para robar.

2. Desidentificación

Es posible que tu institución, en algunos casos, necesite tener algunos datos vinculados directamente con los nombres de las personas, por ejemplo, mantener los nombres, números de cuenta y direcciones juntos para la generación de estados de cuenta. Sin embargo, otros grupos de trabajo no necesitarán información de identificación, pero es posible que necesiten poder volver a vincularla más tarde.

La desidentificación es diferente a la anonimización; la información todavía está vinculada, pero se toman medidas para enmascararla. Esto puede incluir dar seudónimos a las personas, además de la «k-anonimización», que oculta o reemplaza detalles que podrían exponer una identidad, como una fecha de nacimiento.

Como parte del cifrado, la desidentificación hace que sea mucho más difícil para los hackers utilizar la información robada.

Las recompensas de minimizar el riesgo

Si bien es una ley de la UE, cumplir con el RGPD tiene valor sin importar dónde hace negocios tu empresa. Cumplir estos estándares, minimizar la recopilación de datos y garantizar la desidentificación te ayudará a proteger tu reputación, a agregar motivos para que tus clientes confíen en ti y a reducir tu riesgo general.

¿Deseas más información?  Únete a nosotros, junto con la creadora de privacidad por diseño, la Dra. Ann Cavoukian, para participar en un seminario profundo sobre cómo prepararse para el RGPD.

 

By Alex Loo, VP Operations, Echoworx

08 Sep 2017
privacy by design

Privacidad por diseño, o por desastre

¿Tienes algún negocio europeo? Si es el caso, el RGPD podría dispararte multas de 20 millones de euros después del 25 de mayo de 2018, a menos que hayas construido los niveles más altos de protección de privacidad en tus sistemas.

El Reglamento General de Protección de Datos (RGPD) protege la privacidad y los derechos humanos de las personas y entra en vigencia en mayo. Aplica a las empresas con sede en la UE, además de las empresas extranjeras que realizan negocios en la UE. El alcance abarca una amplia gama de datos personales, por ejemplo, nombres, direcciones de correo electrónico, redes sociales, detalles bancarios o direcciones IP de la computadora.

Para las empresas que no cumplen con el RGPD, hay multas de hasta 20 millones de euros o hasta el 4 por ciento de sus ganancias anuales en todo el mundo , un gran mordisco en su balance final. La buena noticia es que hay una directiva para guiarlo, conocida como Privacidad por Diseño, o «PbD, por sus siglas en inglés».

Privacidad por Diseño
Cumplir con el RGPD significa seguir los siete principios de PbD que se incluyen casi literalmente en la regulación.

  1. Proactivo no reactivo; preventivo no correctivo
    Piensa en esto como «privacidad por diseño o desastre». Si creas privacidad, cifrado y ciberseguridad general adecuadas en tus productos y servicios, es menos probable que tengas una infracción en el lado del desastre que implica multas, demandas colectivas y daños a tu reputación.
  2. Privacidad como configuración predeterminada
    La mayoría de las personas no lee los contratos de licencia de usuario final ni los extensos documentos legales de las instituciones financieras. Haz que tus ofertas sean más fáciles de usar, de forma predeterminada con los niveles más altos de privacidad y cifrado, y pide claramente permiso específico para usar los datos del cliente para cualquier otra cosa que no sea la que pretenden. Por ejemplo, mantén vacías las casillas de opción para que el usuario final distraído no otorgue el permiso por accidente.
  3. Privacidad integrada en el diseño
    ¿Qué tan bien están cifradas tus aplicaciones y sistemas de administración de datos? Esto debe ser un hecho predeterminado, sin elección, incorporado a toda tu arquitectura de datos.
  4. Funcionalidad completa – suma positiva, no suma cero
    Existe el argumento de que la seguridad total y la privacidad total no son compatibles, pero está mal: un cifrado fuerte te permite tener ambas cosas. Además, cuando tus clientes sepan que lo estás usando, tendrán un mayor nivel de confianza en ti y estarán más dispuestos a compartir sus datos.
  5. Seguridad de extremo a extremo: protección completa del ciclo de vida Con tu sistema diseñado para respetar y mantener la privacidad en cada contacto, ¿qué sucede cuando terminas de usar los datos? Desde el momento en que un cliente da su nombre, hasta el cierre de la cuenta, debes asegurarte de que sus datos se administren de forma segura y, finalmente, se destruyan.
  6. Visibilidad y transparencia: mantenlo abierto
    Ser capaz de demostrar que estás usando los datos como está previsto en cada paso. Pero también debes estar dispuesto a compartir todos los datos que ha recopilado sobre alguien con esa persona, porque los datos les pertenecen. Y poder verlo significa que pueden corregir las imprecisiones, haciéndolo mucho más útil para ti.
  7. Respeto a la privacidad del usuario: mantenlo centrado en el usuario
    Estar centrado en el usuario significa que tu empresa y tus arquitectos de datos son proactivos a la hora de proteger la privacidad del cliente. Pero la incorporación de un cifrado de datos sólido y la ciberseguridad en general no se trata solo de estar seguro. La inversión en estas tecnologías y prácticas fomentará el respeto y la confianza de tus clientes, lo cual es bueno sin importar dónde hagas negocios.

 

By Alex Loo, VP Operations, Echoworx 

[Reference links]

14 Mar 2017
financial security

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (GDPR): ¿AGUANTARÁS LA TORMENTA DE SEGURIDAD?

Uno pensaría que las comunicaciones simples con empleados y clientes serían lo primordial para cualquier firma de servicios financieros, ¿cierto? ¿Que la necesidad de un cumplimiento en confidencialidad y regulación nunca había sido superior? Especialmente considerando que la información financiera ha sido la más comúnmente revelada y robada en violaciones recientes a la seguridad. ¡Piénsalo dos veces! Nuestra encuesta del año pasado reveló que, a pesar de que el 83% de los servicios financieros usan el correo electrónico más que cualquier otra forma de comunicación, 23% no utiliza o no sabe de ninguna tecnología in situ de cifrado para compartir correos y archivos.

Es hora de que los negocios aseguren la bóveda, pues el Reglamento General de Protección de Datos – GDPR (General Data Protection Regulation) está por ser implementado y los negocios están preocupados por su impacto. La Comisión Europea ha establecido nuevas regulaciones regionales, las cuales entrarán en vigor en abril de 2018. Los negocios que no cumplan con las nuevas leyes podrían enfrentarse a multas de €20 millones o el 4% de las ganancias mundiales – lo que sea mayor. Las multas de este nivel van a tener un impacto importante en cualquier negocio. Solo hace falta observar los costos incurridos por TalkTalk tras su conocida violación a la seguridad del año pasado (£60 millones y en aumento, a considerable pérdida de los clientes) – y se pueden ver multas como esta manteniendo a los directivos financieros preocupados.

Nosotros organizamos una mesa de diálogo con directores y oficiales de la seguridad de la información de compañías de servicios financieros. La mayoría de ellos admitieron que algo se tenía que hacer para cumplir el GDPR, pero que no sabían por dónde empezar. Estaba claro que estas importantes figuras de la industria de servicios financieros estaban completamente al tanto de la amenaza que representan los ciber-atacantes y los hackers. Ya han tomado acción al respecto. Sin embargo, la presión para reducir costos es un calvario que todos sufren. Investigaciones de TheCityUK Cyber Taskforce (p.11) encontró que 46% de las compañías consideran a las amenazas cibernéticas una preocupación clave en sus negocios, contrastado con un 10% arrojado en otra encuesta de un año atrás.

No es solo el correo electrónico interno el que debe estar cubierto por el nivel correcto de seguridad. La comunicación externa con los clientes también necesita medidas de seguridad. Las anécdotas de delitos cibernéticos y de violaciones a la seguridad siguen apareciendo en los titulares día a día, mientras que los consumidores están más conscientes de la tecnología y la seguridad que nunca. De hecho, una encuesta reciente del Departamento de Comercio de EE. UU. Encontró que el 45% de los consumidores informaron que las preocupaciones de seguridad cibernética les impidieron realizar transacciones financieras en la web.

Las organizaciones de servicios financieros deben contar con soluciones sólidas de cifrado que sean manejables por el negocio y que satisfagan las necesidades y expectativas de los clientes. Los bancos se han seguido resistiendo porque consideran que es demasiado complicado. Muchos argumentan que los clientes no entenderán cómo usar soluciones de seguridad más complejas. Esto, simplemente, ya no es una excusa. Hay muchas opciones en el mercado que han puesto la experiencia del usuario como principal. Una valiosa solución de cifrado de correo electrónico simplifica el proceso tanto para el remitente como para el destinatario.

El costo de una violación de seguridad de la información a una organización de servicios financieros va más allá de consideraciones financieras (aunque con la perspectiva de grandes multas inminentes como parte del GDPR, sin duda es una preocupación sustancial). La reducción en la confianza del cliente y el daño a la reputación son factores contribuyentes igualmente costosos. Durante mucho tiempo, las compañías de servicios financieros han aumentado sus precauciones de seguridad en el perímetro de sus negocios. Ahora, necesitan extender esta protección a sus clientes también. Cuestiones como la violación a TalkTalk, junto con los nuevos poderes del gobierno para espiar en la forma del Investigatory Powers Bill, han dejado a los clientes más preocupados que nunca sobre la seguridad de sus datos. Los bancos deben actuar con rapidez para tranquilizar a los clientes y evitar el cambio a un rival más seguro. Además, todas las compañías de servicios financieros deben asegurarse de cumplir con el GDPR, adoptando el cifrado de datos personales y la idea de seguridad y privacidad por diseño, antes de que sea implementado en 2018.

El Reglamento General de Protección de Datos (GDPR) entrará en vigencia en toda Europa en mayo de 2018, las empresas estadounidenses y canadienses que piensan que no las afecta tendrán un rudo despertar, con multas de 20 millones de euros o el 4% de sus ingresos globales, ¡el que sea más alto!

Para conocer más acerca del GDPR, mira nuestro seminario web con la creadora de Privacy by Design, la Dra. Ann Cavoukian.

Por Jacob Ginsberg, Director Senior, Echoworx

Este artículo originalmente apareció en el Global Banking & Finance Review

06 Ene 2017
National Security Laws

UN REINICIO BIENVENIDO A LA PRIVACIDAD CIUDADANA

La Consulta Pública de Canadá en cuanto a la Seguridad Nacional
La noción de que somos observados digitalmente, aparentemente de la noche a la mañana, se ha convertido en algo que mucha gente ahora acepta como un hecho de la vida en el mundo moderno post-Snowden. Gran parte de las noticias sobre la privacidad de los ciudadanos, como siempre, se han centrado en Estados Unidos, pero ¿estamos al margen? Canadá es un participante activo en el programa de cinco ojos, ha lanzado el ahora políticamente tóxico proyecto de ley C-51, y como miembros de la OTAN, el NORAD y suficientes acrónimos para llenar una sopa de letras, somos en gran medida un jugador activo. Por no hablar de lo conectados que estamos a nivel personal con el mundo en general. Puedo ser canadiense, pero no me hago ilusiones sobre mis datos: existo en línea, junto con mi comportamiento de compra y viaje, búsquedas en la web, correo electrónico y conversaciones en redes sociales, qué programas de TV veo, y con frecuencia, mi ubicación, en innumerables servidores en todo el mundo, y lo mismo aplica para ti. La pregunta más interesante, ahora que la vigilancia extralegal se ha convertido en el estándar de facto, es, ¿cómo han reaccionado los gobiernos y adónde, desde el punto de vista de las políticas, vamos desde aquí?

Atraídos al lado oscuro
Tanto Estados Unidos como el Reino Unido han decidido tomar un camino, intentando arrastrar la vigilancia extralegal al reino de la legitimidad. En los Estados Unidos, eligiendo mantener a Edward Snowden una persona non grata, el FBI intenta usar el “All Writs Act” (Ley de Todos los Escritos) para obligar a Apple a escribir software que rompa las funciones de seguridad, el uso aceptado de dispositivos Stingray a nivel local, y la lista continúa. El Reino Unido también ha estado reflexionando sobre la legislación del proyecto de Ley de Investigatory Powers (poderes de investigación) que obligaría a los proveedores de servicios de Internet, compañías de telecomunicaciones, y otros servicios en los que tú confías, a entregar información sobre tus hábitos sin una orden judicial. Canadá, por derecho propio, ha realizado algunas movidas preocupantes hacia el lado oscuro. C-51, por ejemplo, fue una debacle lo suficientemente preocupante que los liberales necesitaron para reafirmar que sí, de hecho, todavía creen en La Carta. Más recientemente, este verano, la Asociación Canadiense de Jefes de Policía comenzó a exigir vocalmente el poder de obtener las contraseñas telefónicas de las personas en el marco de una investigación.

Oportunidad de un reinicio
Pero parece como si nos hubieran dado la oportunidad de un reinicio. El gobierno canadiense ha abierto varios períodos de comentarios públicos este año en torno a la seguridad nacional, y específicamente cómo se adaptará a las investigaciones en la era digital. Este es un paso alentador para permitir que se escuchen las inquietudes de los ciudadanos y ofrecer la oportunidad de mejorar las leyes y reglamentos de seguridad nacional de Canadá, a saber, el C-51. Y aunque se necesitan dos para bailar el tango, y algunos ciudadanos dudan sobre la efectividad de tales consultas y la respuesta del gobierno, es responsabilidad de nuestra democracia responder y ajustar, de una manera complaciente, al público, ya que ese es su sello distintivo.

La voz de la resistencia
Afortunadamente, la voz de la resistencia y, en este caso, la razón, continúa haciéndose más fuerte y más contundente en todo el mundo cuando se trata de cuestiones de privacidad o seguridad. Apple estaba dispuesta a mantener su posición ante el gobierno en lugar de comprometer públicamente la seguridad de sus usuarios. Alex Stamos, ex oficial de seguridad informática (CISO) de Yahoo, renunció cuando supo de un programa secreto mediante el cual el gobierno podía buscar el correo electrónico de todos los usuarios de correo de Yahoo, en tiempo real, sin necesidad de una orden judicial. Con la consulta pública, también tenemos la oportunidad de expresar nuestra objeción a estas tendencias más amplias hacia la invasión de vidas de los ciudadanos y la reducción de las barreras a la violación de la privacidad.

¡Ahora que el gobierno ha hecho tus opiniones del #C51 públicas, tenemos algunas sugerencias para el siguiente paso!  https://t.co/NFoWF6L02E #cdnpoli pic.twitter.com/PlkZQCaFyb
— OpenMedia (@OpenMediaOrg) Febrero 28, 2017

Entonces, yo, junto a cientos de otros en la industria de la seguridad de Canadá, tomé parte en el período de comentarios públicos que el gobierno había dedicado a la seguridad nacional. Ojalá tú hayas hecho lo mismo. Esta fue una oportunidad para defender nuestros derechos fundamentales y reiniciar nuestra legislación en cuanto a la privacidad ciudadana.

La nueva ley anti-terror de Ottawa limitará los poderes de agencias espía y aumentará la vigilancia https://t.co/J1WKHiwHUY @GlobePolitics #cdnpoli
— The Globe and Mail (@globeandmail) Junio 20, 2017

Ahora, nos reclinaremos en nuestro asiento y esperaremos a ver cómo, de frente a una increíble cantidad de poder tecnológico, el gobierno decide tratar a sus ciudadanos: como una mina de información para explotar o cómo el recurso más precioso del país al cual proteger. Estaremos atentos.

Por Jacob Ginsberg, Director Senior, Echoworx