REVISTA DIGITAL ESPECIALIZADA EN CIBERSEGURIDAD www.ciberseguridadmx.com
www.ciberseguridadmx.com
Interpol lanza alerta por malware en terminales para tarjetas La Condusef pidió a los comercios estar alerta ante mensajes de actualización de sus sistemas de puntos de venta
L
a Interpol envió una “notificación morada” a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) para advertir de un malware que infecta a las terminales de puntos de venta para clonar tarjetas de crédito o débito. De acuerdo con la notificación, el modus operandi aplicado comienza cuando los presuntos estafadores, haciéndose pasar por personal de las instituciones financieras, envían mensajes aparentemente auténticos a las empresas o pequeños comercios informándoles de una “actualización del sistema de la terminal punto de venta” (de la computadora, no del lector de tarjetas físico), para lo cual les solicitan acceso remoto a la terminal e infectan la máquina a distancia. Una vez instalado el malware, los intrusos pueden ver las transacciones efectuadas con tarjetas, interceptarlas, capturar la información e incluso redirigir los datos de las tarjetas a un servidor externo, sin que el comercio dueño de la terminal punto de venta o el tarjetahabiente se den cuenta, explicó.
Además, recomendó verificar con la institución financiera las condiciones de uso de la terminal de punto de venta y, antes de permitir alguna actualización, contactar a la institución financiera. También sugirió a las instituciones financieras que avisen de esta situación a sus comercios afiliados y fortalezcan sus medidas de seguridad y de monitoreo para evitar que estafadores suplanten su identidad y con ello engañen a los usuarios.
Se debilita ciberseguridad en México México ocupa la posición 28 del Global Security Index 2017, de una lista de 165 países y con una puntuación del 0.66. Es el tercer país con mayor puntuación del continente, después de Estados Unidos y Canadá. Lo que hizo bajar su posición en la última edición del índice, en comparación con sus colegas del TLCAN, fue la baja inversión en medidas organizativas, como centros de
De esta manera, abundó en un comunicado, los delincuentes pueden conseguir datos como el número de cuenta del cliente, número de tarjeta, fecha de vencimiento, tipo de tarjeta y otros datos del titular de la tarjeta. Estos datos son cargados a una tarjeta conocida como “tarjeta paloma”, y toda vez que el malware permite manipular el proceso de verificación de la autenticidad del titular de la tarjeta, cualquier número puede ser considerado válido como NIP, pudiendo ser utilizada para realizar cualquier tipo de compra, ya sea en terminales de puntos de venta o compras en línea, detalló. Ante ello, la Condusef llamó a todos los comercios que utilicen terminales a estar alerta ante este tipo de llamadas de servicio de mantenimiento o de actualización que son fraudulentas.
2 ■ www.xtremsecure.com.mx
I+D, campañas de concientización pública y cursos de capacitación profesional, entre otros, y el bajo nivel de cooperación en esta materia. En México, más de 33 millones de personas fueron afectadas por el cibercrimen en 2017, con un costo financiero de 7.7 millones de dólares para los consumidores mexicanos, según el reporte “Perspectiva de Ciberseguridad en México”, del Consejo de México y la consultora McKinsey. El encargado de generar inteligencia y táctica para enfrentar ciberriesgos en México es el Centro Nacional de Investigación y Seguridad (CISEN), mientras que el CERT-MX, se encarga de responder a emergencias informáticas e investigación de cibercrímenes. Durante el gobierno de Peña Nieto se adoptó la Estrategia Nacional de Ciberseguridad de gobierno y, según datos de la Policía Federal, se han identificado más de 233,000 incidentes cibernéticos y ha desactivado 15,000 sitios web apócrifos en este sexenio.■
www.ciberseguridadmx.com
Ciberseguridad
muchos gastos, poca efectividad Hoy, tanto en México como en muchos lugares del mundo, el 84% de las brechas de la seguridad en las empresas se producen en las aplicaciones internas, externas, puestas y móviles.
Por Héctor Morales, Director de Seguridad Aplicativa en Optimiti Network.
¿
Quien diría que un simple correo electrónico puede voltear de cabeza a un gran consorcio? En leyenda ya se ha convertido la historia de un ataque de phishing que se brincó, como borreguito en pleno sueño, la cerca de seguridad impuesta mediante una inversión millonaria por una conocida tienda departamental en México, y que en vez de arrullarla la despertó de su letargo. Después de eso, ya nada puede ser igual. ¿De qué sirve levantar bardas de 10 metros de alto, instalar decenas de puertas con claves y códigos de acceso, sistemas de reconocimiento de voz y rostro, cámaras de vigilancia, registro de identidad y huellas dactilares, si como en cárcel de alta seguridad el asalto se gesta silencioso, subterráneo, a rastras desde el subsuelo, en la grácil inocencia de un email, por donde irremediablemente se fugará la información? De acuerdo con los más recientes estudios, tanto en México como en muchos lugares del mundo, el 84% de las brechas de la seguridad en las empresas se producen en las aplicaciones internas, externas, puestas y móviles. Vulnerar desde la web ya no es necesario para
los cibercriminales. ¿Para que desgastarse en romper las barreras a golpes de hackeo como antes, si ahí están miles de aplicaciones que encima de una ancha puerta tienen un gigantesco letrero que con amabilidad dice: “Pase usted”? Algo tiene que cambiar, empezando por el gasto destinado a la seguridad perimetral, cuya proporción reporta Gartner Maverick Research es un bestial 23 a 1, con respecto a lo que se invierte en seguridad aplicativa. Parece que levantar muros con más ladrillos no resulta efectivo cuando se pelea contra topos. Estamos hablando de gastos de millones de dólares aplicados en cubrir el perímetro, hasta que llega alguien, entra hasta la base de datos, compromete los datos, se los lleva y los expone. Entonces, ¿a quién le echamos la culpa: al correo electrónico, a los programadores, al jefe, a los frameworks? A esto se añade que los desarrolladores no nacemos como tales pensado en la seguridad. El enfoque, lastimosamente, es más pragmático: acabar rápido, entregar y cobrar, sin cifrar ni proteger absolutamente nada. Ese es el problema esencial. Basta hacer un análisis de vulnerabilidad o una prueba de penetración, para exhibir todos los trapitos al astro rey.
3 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Y ahora que deambulamos gozosos en las nubes para ciertas tareas, tampoco está de más seguir el consejo de cifrar todo lo que se suba a esas alturas, a menos que se esté hosteando el servicio, y aun así hay un ingrediente de seguridad compartida que exige asegurar las aplicaciones. El día de hoy se han desarrollado nuevas herramientas para abatir al máximo los riesgos. Una marcada tendencia en ciberseguridad es Endpoint Detection and Response (EDR) –una tecnología que en vez de prevenir se enfoca en detectar, responder y remediar las embestidas de las amenazas avanzadas–, cuya función no se basa en firmas de virus sino utiliza la inteligencia contextual para revelar patrones de comportamiento malicioso, mediante la correlación de todos los datos recogidos, en tiempo real. Otro elemento vital es el escáner de vulnerabilidades para establecer el alcance de éstas en las aplicaciones, que diagnostica y ofrece reportes y estadísticas. No obstante, la principal vertiente de mitigación es la concientización. Y como que a las empresas al fin les empieza a caer el veinte, así como a los propios desarrolladores, de construir aplicaciones menos vulnerables. Hacerlo así, mitiga más de 90% los riesgos. En México 73 millones de mexicanos están conectados a internet, desde casa o vía un smartphone, la gran mayoría de los cuales se sumergen en las aguas profundas de las redes sociales, cuya seguridad es altamente etérea, por lo que es imprescindible prestar
atención a la manera como navegan en Internet, comparten imágenes y todo tipo de información. En este mundo no sobra una pequeña dosis de paranoia, y siempre tener en mente que si ese dato se pierde, mis clientes pierden y yo también, no sólo en términos de recursos financieros sino en la propia reputación. La tecnología en nuestros desarrollos está creciendo demasiado rápido, más aún que nuestro nuevo modo de vida. ■
Seguridad es clave para consumo
en e-commerce, afirma Visa
M
éxico.- Pese a que en los últimos tres años las operaciones con tarjeta de débito y crédito en sitios de comercio electrónico ha registrado un crecimiento de 4.4 veces, al pasar de 10 millones en el primer trimestre de 2015 a 56 millones en el último trimestre de 2017, aún hace falta mejorar la experiencia del consumidor y la seguridad al usar estas vías de compras. Para Lee Araujo, director comercial de CyberSource de Visa para Latinoamérica, indicó que el factor clave para que los comercios que venden vía electrónica sean una opción para el cliente también debe estar acompañado de componentes de seguridad para aprobar las transacciones. Actualmente
un
gran
número
4 ■ www.xtremsecure.com.mx
de
compras que se intentan vía Internet son rechazadas por el banco emisor del banco, al temer que pueden ser operaciones fraudulentas, aunque el monto de las operaciones aprobadas en sitios de comercio electrónico según el Reporte de Inclusión Financiera ha crecido en consonancia con el número de operaciones. “Estamos conscientes de los requerimientos de seguridad de cada país en que se opera, y con la información que se tiene del cliente y el análisis de las operaciones que ha hecho se buscan factores de fraude para tratar de minimizarlo; se recomienda si una transacción tiene un alto nivel de posibilidad de ser fraude, en lugar de rechazar lo que se busca es analizar en tiempo real su viabilidad”, indicó. ■
www.ciberseguridadmx.com
El Back Up o respaldo de la Información la única opción para las empresas
P
ara iniciar me gustaría dar una explicación breve de lo que es el respaldo de información, que no es más que el proceso de copiar información de la empresa en un dispositivo físico, o bien, en la nube con el fin de poder recuperarlos en caso de algún tipo de desastre. El 31 de marzo quedó estipulado el Día Mundial del Back Up por World Back Up Day, como iniciativa a manera de concientizar a personas y empresas sobre la importancia de respaldar la información, ya que no es una opción para las organizaciones realizarlo, sino su única opción para no perder sus datos.
Un desastre natural también puede provocar grandes pérdidas de datos, por lo que es indispensable hacer conciencia y crear un programa diario de respaldo de información, es necesario resguardar y hacer copia de todo el trabajo que se realiza en las diferentes áreas de la empresa, desde la recepción, facturación, finanzas, administración, ventas, etc.
De acuerdo a World Back Up Day, estamos alcanzando 1.8 zettabytes de información (un zettabyte corresponde a 1 billón de terabytes), por lo que realmente el back up o respaldo, se vuelve la prioridad número uno para salvaguardar los datos.
¿Cómo puedo diseñar un plan de respaldo adecuado?
En el pasado han ocurrido eventos que han sido noticia a nivel mundial, como el ataque a las Torres Gemelas en Nueva York, Estados Unidos, en donde miles de datos quedaron calcinados, perdidos, sin poder recuperarse, debido a una falta de educación de respaldo de la información por parte de las empresas, y esto no queda allí, pues las consecuencias pueden ser fatales, se quedan sin comprobantes de todo un proceso y ciclo de vida empresarial.
Se estima que más del 77% de las empresas han sufrido pérdida de información, por no contar con un plan de respaldo.
Primero que nada debemos seleccionar la información privilegiada para la empresa para luego elegir el medio más adecuado para generar el respaldo, éste puede ser a través de un software de duplicación de la información, o bien en la nube, esta última podría ser la más recomendada ante un desastre catastrófico. Es importante que ambos casos cuenten con extrema protección de la información, por lo que se recomienda utilizar algún tipo de herramienta que garantice la integridad de los datos.
5 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Por otro lado, se debe programar un periodo corto, en el que se esté respaldando la información, si pueden realizarlo de manera diaria sería de gran ayuda para garantizar la actualización de todos los movimientos que se realicen en la empresa. Efectuar respaldo en la nube podría resultar muy satisfactorio, pues no se depende de ningún tipo de dispositivo propio para acceder a la información de la empresa, es decir, si requiero consultar algún dato, basta con un usuario y contraseña, y desde cualquier lugar y dispositivo puedo realizar la consulta. Gracias a la continua innovación tecnológica podemos contar con herramientas sofisticadas que nos ayudan en nuestro día a día para salvaguardar los activos fijos de nuestras organizaciones. A continuación se presentan de manera más detallada los pasos claves para un buen respaldo de la información:
¿Qué vamos a respaldar? Se debe definir qué información es crítica, porque cuando hacemos un respaldo normalmente los usuarios bajan instaladores, música e imágenes, y no es buena práctica subir toda esa información al storage que se
define, ya que se puede saturar el espacio de almacenamiento. Es necesario también definir las carpetas, especificarles con exactitud a los usuarios cuáles serán las carpetas que serán usadas para guardar los archivos de gran relevancia para la organización, y de esta forma se evita utilizar también el espacio.
¿En dónde lo vamos a respaldar? Definir un storage, en la nube o local (servidor físico) para tener la comunicación entre clientes (estaciones de trabajo) y servidores, dependiendo el sistema de respaldo que se maneje, se pueden mencionar a UltraBac o back up everything que son de los más accesibles en el mercado.
¿Cada cuándo lo vamos a respaldar? Es indispensable definir las fechas en las que se van a llevar a cabo los respaldos, puede ser semanal, quincenal o diario, dependiendo del tipo de respaldo que se vaya a implementar (un respaldo full, incremental o diferencial).
• Respaldo full: cuando se lleva toda la
información que está dentro de la carpeta que se va a respaldar.
• Incremental:
se puede definir que se va a ir respaldando diariamente, pero sólo se va a sobre escribir.
• Diferencial:
va sumando las modificaciones y archivos nuevos que se van creando diariamente durante el horario laboral.
Un buen sistema de respaldo se basa primero en la cantidad de información que se va generando día con día en la organización, pero para pequeños flujos de información se recomienda un servidor de archivos, para medianos flujos puede ser una NAS (Network Attached Storage) y en la actualidad muchas de las grandes empresas inmersas en el big data, implementan una SAN (Storage Area Network). La mayoría de las empresas y usuarios creen que guardar sus archivos en discos duros, memorias USB o DVD es lo más rápido y seguro, pero cabe la posibilidad de que estos dispositivos resulten dañados y dejan imposibilitada la consulta de la información, por lo que sería una buena práctica usar la nube, al día de hoy sólo el 30% la utiliza, pero sin duda en un futuro será la única forma de asegurarnos de poder tener acceso a ella independientemente de cualquier circunstancia fuera de nuestras manos. ■
¿Mostrar este HTML en una ventana separada? El 67% de los incidentes analizados en los últimos 12 meses por la compañía de seguros Hiscox se corresponden a errores del personal.
U
n simple gesto humano, un solo clic puede abrir las puertas de una empresa a todo tipo de ciberdelincuentes. Por desgracia, esto es más común de lo que puede parecer y hasta el 67% de los incidentes tramitados por Hiscox durante los últimos 12 meses se
corresponden con esta descripción. Las personas han dado cabida a los ransomware en un 23% de los casos, ataques dirigidos (20%), pérdida o mal uso de la información (16%), desviación de pagos y phising (12%), pérdida de dispositivos o documentos (7%), malware (6%) y fallos de software o hardware (3%). Y, entre estos ataques no está el cryptojacking, la nueva tendencia entre los ciberdelincuentes y que parece se convertirá, en los próximos meses, en el arma preferida de estos. Según el informe, el interés crece porque se trata de una táctica lucrativa mucho más directa que el ransomware, por ejemplo, y que permite obtener un beneficio prácticamente inmediato. Además, alerta la compañía de seguros, las transacciones fraudulentas están creciendo progresivamente. Se trata de que un criminal consiga persuadir a una organización para que le pague a él en lugar de a un proveedor. “Las negligencias de las personas se han convertido en el factor de riesgo más importante frente a las ciberamenazas. Es vital que las empresas inviertan de forma decidida en formación específica. Sin conocimientos básicos en estas materias nunca se podrá llevar a cabo un plan de ciberseguridad exitoso”, ha señalado Mónica Calonje, directora de siniestros de Hiscox.■
6 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
México de los Países más
Ciberatacados
Datos de la Unidad de Delitos Digitales de Microsoft muestran que el país sufre cada día millones de ataques cibernéticos.
U
n resplandor rojo se extiende por un mapa mundial que se muestra en un gran monitor de pared en el Centro de Cibercrimen de Microsoft. Se ve cómo Europa Central, parte de Asia, y sobre todo Estados Unidos y México están siendo ciberatacados. Todo es en tiempo real. En cuestión de segundos, análisis especializados desarrollados por la inteligencia artificial de Microsoft procesan millones de piezas de datos individuales. Se revela que la tasa de infección es más del doble de lo que se había anticipado, con un millón de ataques más al acecho en una “capa inferior”. Visualizar los datos de esta manera confirmó lo que sospechaban los analistas de malware de Microsoft y los investigadores del cibercrimen: después de años de monitorear un “botnet-in-thebox”, comúnmente utilizado para que los cibercriminales pueden comprar y descargar en línea el malware Win32/ Dorkbot, ha evolucionado hasta convertirse en una amenaza más sofisticada, que ahora sirve como un conducto importante para difundir algunos de los malware más invasivos en internet, malware capaz
de robar silenciosamente grandes volúmenes de información personal y financiera de millones de víctimas inocentes. México está en el top diez de los ciberataques mundiales, y en el monitor, donde se puede elegir ver país por país, se muestra a la Ciudad de México, Guadalajara, Monterrey y Chihuahua, como los más afectados de los últimos 30 días por parte del cibercrimen. Dorkbot está de momento en tercer lugar como el que tiene el mayor número de ciberataques, pero el ha ayudado a que otros malware, como B106 y Avalanche, códigos maliciosos de índole financiero, infecten más equipos y ocupen, literalmente, el primero y segundo sitio. En sólo unos segundos, Microsoft ha comenzado a combatirlos, a través de su inteligencia artificial y alerta a las autoridades. Determinamos que hay más de 100 mil nuevas infecciones cada mes de esta nueva versión más virulenta del malware Dorkbot, y sí, México ya es de los más ciberatacados con diferentes códigos maliciosos”, explica Shilpa Bratt, directora de Operaciones de Negocio de la Unidad de Crímenes Digitales de Microsoft.
7 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Como resultado, las agencias policiales de todo el mundo toman medidas para detener la propagación de este y otros malware. El FBI, Interpol, Europol y varios equipos nacionales como la Policía Cibernética de la SSP de México comienzan a intercambiar datos.
Más información Después de años de lucha, incautación, tráfico de cientos de dominios previamente propiedad de ciberdelincuentes, y recopilación de información de ciberataques, Microsoft comenzó a analizar los datos como parte de su Programa de Inteligencia Cibernética de Amenazas, y ha mejorado con algoritmos e inteligencia artificial para predecir el próximo ataque y adelantarse a los delincuentes, o realizar pronto parches de seguridad para los equipos, anticipando como será la nueva cepa. “Al analizar los datos, Microsoft puede notificar a los consumidores y las empresas sobre los dispositivos infectados, ayudarlos a eliminar el malware de sus dispositivos y obtener más información para llevar adelante la investigación”, afirma Bratt. Afirma que hasta ahora, los datos ya han revelado información importante sobre cómo los delincuentes han estado utilizando diversos malware, entre ellos Dorkbot, para dirigir las computadoras infectadas a compartir información robada, solicitar instrucciones
para una nueva actividad delictiva y descargar malware adicional para cometer nuevos delitos. “Una vez que un dispositivo está infectado, el malware literalmente se comunica con los delincuentes que lo colocan allí y espera instrucciones sobre cualquier actividad criminal que quieran que haga. Cuando se considera que millones de máquinas están infectadas, la cantidad de órdenes entre estos dispositivos afectados y los servidores que les dan indicaciones es asombroso. Estamos hablando a veces de miles de millones de órdenes por día”, explica Bratt.
Más retos Uno de los mayores desafíos que presenta una operación como esta es similar al desafío que enfrentan muchas organizaciones: estimar el poder de cómputo y el almacenamiento que se requerirán. Es por eso que Microsoft Azure, y su capacidad de escalar para que pueda manejar todos los datos entrantes, es fundamental para el éxito de las interrupciones de botnets. Sin esa capacidad, los datos críticos resultantes de la operación tardarían días en procesarse y analizarse o, lo que es peor, el hardware podría sobrecargarse y colapsar, dejando a los investigadores en la oscuridad. Agrega que la mediana de tiempo antes de que una empresa se dé cuenta de que han sido atacados es de más de 200 días. “Microsoft Cloud está ayudando a dificultar aún más que los ciberdelincuentes pirateen dispositivos”. ■
8 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Conferencia “Estrategia Nacional de Ciberseguridad y el reto para las empresas”
El pasado 2 de octubre se llevó a cabo la Conferencia: “Estrategia Nacional de Ciberseguridad y el reto para las empresas”. Tal conferencia fue ofrecida por la Dra. Erika Mata Sánchez, actual directora de Seguridad de la Información y CISO en BBVA Bancomer.
E
n su presentación nos dio un esbozo en torno a la evolución de la Informática: Añadiendo que “Las computadoras ya existían en la década de los 60´s, y desde entonces nos preocupa la seguridad. En los 70´s aparecen los primeros ataques”, Continúa mencionando que en los “80´s los gobiernos empiezan ya a preocuparse más por ataques informáticos”. El científico Fred Cohen crea el primer virus informático, y éste advierte sobre cómo defendernos de los virus informáticos. En los años 90´s nos comenta Erika Mata “aparece más el involucramiento […] aparece el crimen organizado y se involucran estos ataques informáticos”. Se ha detectado que en los delincuentes cibernéticos además de que están financieramente sólidos, prevalece la organización.
“Hay que hacer unos acuerdos de coordinación y de colaboración, para comunicarnos y trabajar en conjunto, autoridades, reguladores y entidades financieras”, sostiene Erika Mata. La directriz de la transformación digital en empresas, tanto en los bancos y las instituciones financieras, es a través de los avances tecnológicos, para el bienestar y garantías a las nuevas generaciones de clientes. Los cambios que esta transformación requiere, en forma de innovaciones, se realizan a gran velocidad. No obstante, la ciberseguridad tiene que contar con un enfoque renovado en la automatización, detección en tiempo real y respuesta en escala eficientemente. Y con esa precisión oportuna resalta la Dra. Mata: “Tenemos que hacer un alto y ponernos a pensar que todo el mundo habla de ciberseguridad, ciberintelingencia, cibercrimen, ciberataque”.
Es imprescindible tener suficientes recursos técnicos, como personal que esté capacitado. Y que el negocio sea lo genuinamente resiliente. La resiliencia cibernética requiere compromiso desde el nivel de junta directiva hasta el nivel de oficinas y sucursales. Protección es la prioridad “en donde proteger significa poner seguridad frente ataques, accidentes o fallas”, sintetiza Mata. Nos comenta la Dra. Mata que la “seguridad es parte de la organización; todos tenemos que actuar, si no hay una estrategia accionada”, pues es de gran importancia una estrategia nacional de ciberseguridad dadas las afectaciones en las que se han visto involucradas distintas instituciones y empresas ante los constantes ataques cibernéticos, y en específico en el caso de los bancos.
La ciberseguridad es la seguridad de los sistemas de la información y de las redes; los sistemas tienen un objetivo desde el punto de vista de seguridad, que es proteger operaciones y activos” define Mata". También hace relevancia que “La seguridad en la información no puede ser un tema de moda y no puede ser un producto y mucho menos una herramienta. La clave de todo esto es el fundamento, si no hay un modelo de gobierno, si no entendemos para qué o por qué hacemos negocios, si no identificamos riesgos, difícilmente podremos controlarlos hasta el nivel que sea posible”. ■
9 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Reglamento General de Protección de Datos Personales (RGPD) Las empresas deben cumplir con normas de privacidad que aseguren que toda la información, tanto propia como de terceros, se mantendrá resguardada y no se hará pública ni será compartida sin el consentimiento de los titulares de los datos.
C
on esta misión, llegará a México el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), y por lo mismo, todas las empresas deberán empezar a preparase y alinearse para cubrir el nivel de privacidad que esto requiere. El Parlamento Europeo y el Consejo de la Unión Europea el 27 de abril de 2016, anunciaron la creación y aplicación del Reglamento General de Protección de Datos Personales (RGPD), como medida para unificar el tratamiento de dichos datos y buscar la equivalencia en los Estados Miembros. El artículo 99 de este ordenamiento ordenó la entrada en vigor del RGPD a partir del 25 de mayo de 2018 y según se desprende de su lectura, las nuevas obligaciones trascienden el territorio de la Unión Europea, lo que obliga a cualquiera que trate datos personales, a estudiar el Reglamento y conocer, si le resulta aplicable. El mayor mito detrás del Reglamento General, está en afirmar que éste no tendrá aplicación más allá del territorio de la Unión Europea, sin embargo, el Parlamento Europeo y organismos como el Instituto de Ciberseguridad (INCIBE/España) confirman que, el RGPD tendrá aplicación fuera de la Unión Europea:
1
. Si la empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales en la UE, independientemente del lugar donde sean tratados; o
2
. La empresa se establezca fuera de la UE y ofrezca productos o servicios (onerosos o gratuitos) u observe el comportamiento de ciudadanos de la Unión.
En caso de que el RGPD te resulte aplicable, tendrás la obligación de contar con un departamento, área o personal
capacitado en materia de protección de datos personales. El Reglamento te obliga a designar un cargo de Oficial de Protección de Datos, que será tu representante legal ante las autoridades controladores; el mismo no necesariamente deberá estar presente en el organigrama de la empresa y puede ser un externo que, debidamente preparado y especializado, brinde los servicios de protector de los datos personales. Microsoft conoce la importancia de acatar los lineamientos de esta nueva regulación para evitar multas a las empresas, y por eso tiene el objetivo de apoyar a sus clientes y socios en esta transición y volverse tu aliado en esta nueva regulación de privacidad. Por esta razón, compartimos contigo los cuatro pasos que toda organización debería seguir para cumplir con esta regulación: detectar, administrar, proteger e informar. Estos pasos consisten en lo siguiente:
• Detectar:
es necesario saber si tu compañía maneja datos o relaciones con la Unión Europea para saber si RGPD aplica en tu organización.
• Administrar:
revisa qué tipo de datos personales maneja tu organización y los procesos que utiliza. Además, es necesario administrar el acceso a la información para evitar el mal uso de la misma.
• Proteger: la seguridad de la información se ha convertido en un factor esencial para las empresas, pero a partir de esta regulación, las empresas deberán adoptar medidas técnicas para proteger los datos personales.
• Informar:
el registro de los propósitos de procesamiento de la información, categorizarla, y el registro de acceso a los datos, requerirán de una auditoría que permita informar de las actividades realizadas en torno a los datos personales, permitiendo así controlar, detectar y evitar violaciones de privacidad.
10 ■ www.xtremsecure.com.mx
Microsoft pretende apoyar a todas las organizaciones, y una manera de hacerlo es con los servicios de nube que centralizan y simplifican los pasos técnicos y administrativos que se requieren ante esta regulación. La nube de Microsoft está desarrollada de acuerdo con principios sólidos de privacidad, seguridad y cumplimiento regulatorio. Además, ofrece herramientas, productos y servicios como Microsoft Trust Center, Enterprise Mobility + Security (EMS), SQL Server y Azure SQL Database, entre muchos otros, que ayudan a las empresas a cumplir con los requisitos de RGPD. Con el apoyo de estas herramientas, Microsoft reitera su compromiso de cumplir con RGPD y ayudar a sus clientes y socios en el proceso para el cumplimiento de este reglamento, asegurando que las empresas podrán responder ante solicitudes de datos personales, detectar e informar sobre violaciones de la privacidad y cumplir con las normas de esta nueva regulación. Para esto, Microsoft ayuda a las empresas a través de una sencilla evaluación donde se puede conocer el nivel de privacidad con el que cuenta la compañía y la manera en que esta regulación podría impactarla. ■