Etiqueta: ley general de protección de datos

ROI en ciberseguridad: ¿cómo cuantificar algo que no sucede?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 14 de abril de 2022

El mejor resultado de una estrategia de ciberseguridad bien ejecutada es, básicamente, una empresa sin interrupciones en sus operaciones o sistemas en caso de amenaza externa. En otras palabras, se trata de tener un ROI de ciberseguridad eficiente.

Sin embargo, aunque se trata sin duda de un resultado positivo, puede convertirse en un reto importante a la hora de demostrar la rentabilidad de la ciberseguridad.

A falta de resultados visibles que compartir, es posible que se encuentre respondiendo a preguntas de los líderes empresariales sobre el verdadero valor de la ciberseguridad.

Aunque la prevención de los daños causados por los ciberataques sólo debe considerarse una justificación de la inversión en ciberseguridad, si el resultado es invisible, se corre el riesgo de que esta inversión se ponga en el punto de mira y se cuestione su validez.

Así pues, con una inversión en ciberseguridad que abarca tecnología, personas y procesos, ¿cuál es la mejor manera de demostrar el ROI tangible en ciberseguridad de su inversión en protección de datos y privacidad?

ROI en ciberseguridad, ¿cómo cuantificar el valor de algo intangible?

Las organizaciones toman sus decisiones de inversión y gasto estimando el ROI. Si, por ejemplo, invierte 10 millones de dólares en desarrollar un nuevo producto, espera obtener 100 millones de beneficios. Si se gastan 15 millones de rands en un nuevo sistema informático, se espera conseguir 150 millones de rands de aumento de la productividad.

Pero si se gastan 25 millones de libras en ciberseguridad, ¿cuál es el valor resultante para la organización?

Además, ¿cómo puede determinar de forma sistemática y cuantitativa cuál de las numerosas herramientas y tecnologías de ciberseguridad disponibles proporcionará a su organización el mejor aumento posible de la ciberresiliencia por el dinero gastado?

En 2017, el gasto en seguridad informática aumentó del 5,9% al 6,2% del gasto total en TI en términos interanuales, pero en 2019, el gasto en seguridad informática cayó al 5,7% de las inversiones totales en TI.

La ausencia de razones tangibles para gastar no sólo causa frustración entre los profesionales de TI, sino que también deja a las organizaciones expuestas a fallos flagrantes de ciberseguridad y a ciberdelincuentes malintencionados que esperan el momento oportuno para atacar.

Al fin y al cabo, ninguna dirección hará grandes inversiones en una estrategia que no tenga rendimientos tangibles.

¿Cómo calcular el ROI en ciberseguridad?

En primer lugar, asegúrese de que dispone de una estrategia de seguridad definida y por capas para ofrecer la mejor protección posible a la reputación empresarial o financiera como resultado de un ciberataque o una brecha.

Varios ejemplos de años anteriores ya han demostrado las consecuencias de no mantener los datos personales de los clientes protegidos de las ciberamenazas. Según la empresa de ciberseguridad Coveware, por ejemplo, el coste medio de un ataque de ransomware el año pasado fue de 84.116 dólares, aunque algunas peticiones de rescate alcanzaron los 800.000 dólares.

Demostrar la ventaja competitiva

Para demostrar realmente el valor de su inversión en ciberseguridad, asegúrese de hacer hincapié en el impacto que tienen los protocolos de seguridad eficaces en toda la empresa.

Para muchas empresas, la ciberseguridad es un requisito previo a los compromisos comerciales y los requisitos normativos, como la Ley General de Protección de Datos (LGPD).

Con buenas credenciales de seguridad y procesos robustos, las empresas pueden abrir mercados y flujos de ingresos que antes eran imposibles de alcanzar, lo que demuestra el retorno de la inversión en ciberseguridad a largo plazo de una inversión en protección de datos y privacidad.

Maximice su inversión en tecnología y garantice el retorno de la inversión en ciberseguridad

Un estudio realizado por IBM con 500 organizaciones mundiales, entre ellas Brasil, y más de 3.200 profesionales de la seguridad muestra que el coste medio de una violación de datos es de 3,86 millones de dólares.

El estudio también muestra que tecnologías como la inteligencia artificial (IA), el aprendizaje automático, la automatización de procesos con robots (RPA) y la analítica, entre otras, pueden ayudar a la empresa a ahorrar dinero en caso de infracción.

Maximizar su inversión en ciberseguridad es crucial para demostrar el retorno de la inversión en ciberseguridad. Hay formas tangibles de conseguirlo generando una mayor eficacia, por ejemplo reduciendo el tiempo necesario para eliminar el ruido creado por tecnologías anticuadas, sobre todo en lo que respecta a la vigilancia y la respuesta.

Los marcos tecnológicos anticuados suelen producir múltiples alertas, lo que significa que debe revisar y aplicar sus propios conocimientos antes de redactar una respuesta.

Sin embargo, los avances en inteligencia artificial permiten ahora identificar patrones y comportamientos entre tecnologías en tiempo real, reduciendo el ruido a unas pocas alertas procesables.

Descubra las soluciones de seguridad y protección de datos

Las últimas soluciones de seguridad, protección de datos y privacidad ofrecen grandes beneficios en términos de impulsar la eficiencia y demostrar el retorno de la inversión en ciberseguridad.

El informe también concluye que las empresas que tienen totalmente implantada la automatización de la seguridad, en comparación con las que carecen de esta función, consiguen un ahorro de costes de 3,58 millones de dólares.

Estar preparado para responder a incidentes también puede ayudar a mantener bajos los costes cuando se responde a una violación de datos.

De hecho, las empresas sin un equipo de respuesta a incidentes soportaron una media de 5,29 millones de dólares en costes por infracciones, frente a los 2 millones de las empresas que mantienen un equipo de respuesta a incidentes y simulaciones, según IBM.

Por lo tanto, al combinar la inteligencia artificial, la automatización y el análisis humano para detectar y actuar frente a las ciberamenazas, pueden reducir el riesgo cibernético y el tiempo de permanencia de las infracciones, lo que permite a su equipo centrar sus esfuerzos en otras áreas.

Por último, considere la posibilidad de adoptar un marco de protección que esté disponible como centro de operaciones de seguridad híbrido.

Esto le da flexibilidad para adaptarlo a sus necesidades, al tiempo que contribuye a desarrollar las competencias adecuadas internamente en la empresa, lo que permite de nuevo la consolidación de los proveedores de seguridad.

a-file-id=”5623726″ height=”382″ src=”https://mcusercontent.com/24a0afe85a95b938f0283f881/images/38e2ea96-1011-d7be-9a45-490706e654b7.png” style=”border: 0px ; width: 600px; height: 300px; margin: 0px;” width=”300″ />

Ganarse la confianza de los directivos y garantizar la rentabilidad de la ciberseguridad

Los métodos y motivos de los ciberataques seguirán evolucionando, por lo que es necesario tomar decisiones informadas sobre los riesgos potenciales y mitigarlos mediante los procesos, la tecnología y los controles de seguridad adecuados.

Aunque demostrar el retorno de la inversión en ciberseguridad ha sido potencialmente difícil para los equipos de seguridad históricamente, aplicando la estrategia adecuada, canales de comunicación claros y aprovechando las tecnologías adecuadas, como soluciones de seguridad, protección de datos y privacidad, esto puede superarse fácilmente.

Soluciones como estas ayudan a impulsar la transformación digital en toda la empresa, lo que permite a su organización adaptarse a la creciente economía digital y hacer frente a las amenazas cambiantes con mayor confianza.

Y es ese argumento empresarial el que puedes presentar para conseguir el apoyo de la alta dirección y el consejo de administración.

CipherTrust: proteja su empresa y maximice su ROI en ciberseguridad

En el reto de garantizar un ROI eficiente en ciberseguridad, las empresas pueden confiar en la solución CipherTrust Data Security Platform, que permite a las empresas proteger su estructura contra los ciberataques.

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Para hacer frente a la complejidad del lugar donde se almacenan los datos, CipherTrust Data Security Platform ofrece sólidas capacidades para proteger y controlar el acceso a datos confidenciales en bases de datos, archivos y contenedores. Las tecnologías específicas incluyen:

Cifrado transparente CipherTrust

Cifre datos en entornos locales, en la nube, de bases de datos, de archivos y de Big Data con controles de acceso exhaustivos y un registro de auditoría de acceso a datos detallado que puede evitar los ataques más maliciosos.

Protección de bases de datos CipherTrust

Proporciona un cifrado transparente a nivel de columna de los datos estructurados y confidenciales que residen en bases de datos, como tarjetas de crédito, números de la seguridad social, números de identificación nacional, contraseñas y direcciones de correo electrónico.

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Ofrece servicios de tokenización de datos a nivel de aplicación en dos cómodas soluciones que proporcionan flexibilidad al cliente: Token sin Vault con enmascaramiento dinámico de datos basado en políticas y Tokenización en Vault.

Transformación de datos por lotes de CipherTrust

Proporciona servicios de enmascaramiento estático de datos para eliminar información confidencial de las bases de datos de producción, de modo que se alivien los problemas de conformidad y seguridad cuando se comparte una base de datos con un tercero para su análisis, prueba u otro tipo de procesamiento.

Administrador de CipherTrust

Centraliza las claves, las políticas de gestión y el acceso a los datos para todos los productos CipherTrust Data Security Platform y está disponible en formatos físicos y virtuales conformes con FIPS 140-2 Nivel 3.

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las empresas, que buscan mejorar su retorno de la inversión en ciberseguridad, proteger los datos en reposo y en movimiento en todo el ecosistema de TI y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.

Simplifica la seguridad de los datos, mejora la eficacia operativa y acelera el cumplimiento de la normativa. Independientemente de dónde residan sus datos.

La plataforma CipherTrust garantiza la seguridad de sus datos, con una amplia gama de productos y soluciones probados y líderes en el mercado para su implantación en centros de datos, ya sean los gestionados por proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP), o como un servicio basado en la nube gestionado por Thales, empresa líder en seguridad.

Cartera de herramientas que garantizan la protección de datos

Con los productos de protección de datos de CipherTrust Data Security Platform, su empresa consigue el ROI de la ciberseguridad de diferentes maneras:

Reforzar la seguridad y el cumplimiento de la normativa

Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza, la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) y la Ley General de Protección de Datos (LGPD), entre otros requisitos de cumplimiento.

Optimiza la eficacia del equipo y de los recursos

La plataforma de seguridad de datos de CipherTrust ofrece el soporte más amplio del sector para casos de uso de seguridad de datos, con productos diseñados para trabajar juntos, una única línea para soporte global, un historial probado de protección contra amenazas en evolución y el mayor ecosistema de asociaciones de seguridad de datos del sector.

Centrada en la facilidad de uso, las API para la automatización y la gestión receptiva, la solución CipherTrust Data Security Platform garantiza que sus equipos puedan implementar, asegurar y supervisar rápidamente la protección de su empresa.

Además, disponemos de servicios profesionales y socios para el diseño, la implantación y la formación, con el fin de garantizar una implantación rápida y fiable con un mínimo de tiempo del personal.

Reduce el coste total de propiedad

Cuando se trata del retorno de la inversión en ciberseguridad, la cartera de protección de datos de CipherTrust Data Security Platform ofrece un amplio conjunto de productos y soluciones de seguridad de datos que se pueden escalar fácilmente, ampliar para nuevos casos de uso y tienen un historial probado de protección de tecnologías nuevas y tradicionales.

Con la plataforma de seguridad de datos CipherTrust, las empresas pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ley general de protección de datos, lgpd, protección de datos, Retorno de la inversión en ciberseguridad

Cómo prevenir los ciberataques: claves para protegerse

Autor de la entrada Por Editorial Eval
Fecha de la entrada 1 de febrero de 2022

Aunque los ciberataques y las amenazas son una lucha constante y un gran reto para las empresas, pueden evitarse conociendo los distintos tipos de protocolos, exploits, herramientas y recursos que utilizan los ciberdelincuentes. Además, saber dónde y cómo se pueden producir los ataques garantiza la adopción de medidas preventivas para proteger los sistemas.

Básicamente, los ciberataques se ejecutan con mala intención, cuando un ciberdelincuente intenta explotar una vulnerabilidad en el sistema de una organización o individuos. Estos ataques amenazan con robar, alterar, destruir, inutilizar, obtener acceso o hacer uso de un activo no autorizado.

En la práctica, los ciberataques, las amenazas y el vandalismo son un problema peligroso y creciente para las empresas.

Casi todas las organizaciones modernas necesitan al menos una red informática y los activos que componen su estructura de conectividad, como conmutadores, puntos de acceso y enrutadores, para funcionar en su infraestructura de TI. Además, tenemos como estructura computacional servidores, ordenadores de sobremesa, portátiles, impresoras y otros dispositivos móviles que completan una arquitectura tecnológica.

Por desgracia, aunque estos dispositivos y aplicaciones ofrecen grandes ventajas a la empresa, también pueden suponer un riesgo. Basta una gestión ineficaz de los activos o que un empleado haga clic en un enlace malicioso para que los ciberdelincuentes accedan a su red e infecten sus sistemas.

Pero ese riesgo puede reducirse.

¿Cómo prevenir los ciberataques?

Prevenir una brecha en su red y sistemas requiere protección contra una variedad de ciberataques. Para cada ataque, debe desplegarse/utilizarse la contramedida adecuada para evitar que explote una vulnerabilidad o debilidad.

La primera línea de defensa de cualquier organización es evaluar y aplicar controles de seguridad.

1. Romper el patrón de ciberataque

Prevenir, detectar o detener el ciberataque lo antes posible limita el impacto en el negocio y el posible daño a la reputación.

Aunque suelen ser los atacantes más motivados los que tienen la persistencia necesaria para llevar a cabo ataques en varias fases, a menudo lo hacen utilizando herramientas y técnicas comunes, más baratas y fáciles de usar.

Por lo tanto, implante controles y procesos de seguridad que puedan mitigar los ataques, convirtiendo a su empresa en un objetivo difícil.

Del mismo modo, adopte un enfoque de defensa en profundidad para mitigar el riesgo en toda la gama de posibles ciberataques, dando a su empresa más resistencia para hacer frente a los ataques que utilizan herramientas y técnicas más adaptadas.

Como o Ransomware utiliza Protocolos de Acesso Remoto (RDP) Desprotegidos

2. Reduzca su exposición utilizando controles de seguridad esenciales contra los ciberataques

Afortunadamente, existen formas eficaces y asequibles de reducir la exposición de su organización a los tipos más comunes de ciberataques contra los sistemas expuestos a Internet.

Cortafuegos perimetrales y puertas de enlace a Internet – Establezca defensas perimetrales de red, en particular proxy web, filtrado web, escaneado de contenidos y políticas de cortafuegos para detectar y bloquear descargas ejecutables, bloquear el acceso a dominios maliciosos conocidos e impedir que los ordenadores de los usuarios se comuniquen directamente con Internet.
Protección contra programas maliciosos: establezca y mantenga defensas contra programas maliciosos para detectar y responder a códigos de ciberataques conocidos;
Gestión de parches: corrige las vulnerabilidades conocidas con la última versión del software para evitar los ataques que aprovechan los fallos del software;
Lista de permitidos y control de ejecución: evita que se ejecute o instale software desconocido, incluido AutoRun en unidades USB y CD;
Configuración segura: restrinja la funcionalidad de cada dispositivo, sistema operativo y aplicación al mínimo necesario para el funcionamiento de la empresa;
Política de contraseñas: asegúrese de que existe y se sigue una política de contraseñas adecuada;
Control de acceso de usuarios: incluye la limitación de los permisos de ejecución de los usuarios normales y la aplicación del principio del menor privilegio.

3. Mitigar la fase de “investigación

Toda la información publicada para consumo público debe filtrarse sistemáticamente antes de su publicación para garantizar que se elimine todo lo que pueda ser de valor para un atacante (como detalles de software y configuración, nombres/empleos/títulos de las personas y cualquier dato oculto).

La formación, la educación y la concienciación de los usuarios son importantes. Todos sus usuarios deben comprender cómo la información publicada sobre sus sistemas y su funcionamiento puede revelar posibles vulnerabilidades.

Deben ser conscientes de los riesgos de hablar de temas relacionados con el trabajo en las redes sociales y de la posibilidad de ser blanco de ciberataques y ataques de phishing. También deben comprender los riesgos para la empresa de divulgar información confidencial en conversaciones generales, llamadas telefónicas no solicitadas y destinatarios de correo electrónico.

4. Reducir la fase de “entrega

Las opciones de entrega de que dispone un atacante pueden reducirse significativamente aplicando y manteniendo un pequeño número de controles de seguridad, que son aún más eficaces cuando se aplican combinados:

Una protección antimalware actualizada puede bloquear correos electrónicos maliciosos y evitar que se descarguen programas maliciosos de sitios web;
Los cortafuegos y servidores proxy pueden bloquear servicios inseguros o innecesarios y también pueden mantener una lista de sitios malos conocidos. Del mismo modo, suscribirse a un servicio de reputación de sitios web para generar una lista de sitios denegados también puede proporcionar protección adicional;
Una política de contraseñas técnicamente aplicada impedirá que los usuarios seleccionen contraseñas fáciles de adivinar y bloqueará las cuentas tras un número determinado de intentos fallidos. También deben establecerse medidas adicionales de autenticación para el acceso a información corporativa o personal especialmente confidencial;
La configuración segura limita la funcionalidad del sistema al mínimo necesario para el funcionamiento de la empresa y debe aplicarse sistemáticamente a todos los dispositivos utilizados para llevar a cabo la actividad empresarial.

5. Minimizar la fase de “brecha” del ciberataque

Al igual que en la fase de entrega, la capacidad de explotar con éxito vulnerabilidades conocidas puede mitigarse eficazmente con unos pocos controles, que es mejor desplegar juntos.

Todos los programas maliciosos se basan en fallos de software conocidos y predominantemente parcheados. Una gestión eficaz de los parches contra vulnerabilidades garantiza que éstos se apliquen lo antes posible, limitando así el tiempo que su organización está expuesta a vulnerabilidades de software conocidas;
La protección contra malware en la pasarela de Internet puede detectar código malicioso conocido en un elemento importado, como un correo electrónico. Estas medidas deben complementarse con la protección contra programas maliciosos en los puntos clave de la red interna y en los ordenadores de los usuarios, cuando estén disponibles;
Unos controles de acceso de usuarios bien implantados y mantenidos restringirán las aplicaciones, los privilegios y los datos a los que pueden acceder los usuarios. La configuración segura puede eliminar el software innecesario y las cuentas de usuario predeterminadas. También puede garantizar que se cambien las contraseñas predeterminadas y que se desactiven todas las funciones automáticas que pueden activar programas maliciosos inmediatamente (como AutoRun para unidades multimedia);
La formación, educación y concienciación de los usuarios son extremadamente valiosas para reducir la probabilidad de éxito de la “ingeniería social”. Sin embargo, con las presiones del trabajo y el enorme volumen de comunicaciones, no se puede confiar en esto como control para mitigar ni siquiera un ciberataque;
Por último, la clave para detectar una brecha es la capacidad de supervisar toda la actividad de la red y analizarla para identificar cualquier actividad maliciosa o inusual.

Si se aplican sistemáticamente todas las medidas para las fases de investigación, entrega e infracción, la mayoría de los ciberataques pueden prevenirse.

Sin embargo, si el ciberdelincuente es capaz de utilizar funciones a medida, debe suponer que las evitará y conseguirá entrar en sus sistemas. Lo ideal sería que las empresas tuvieran un buen conocimiento de lo que constituye una actividad “normal” en su red, y una supervisión eficaz de la seguridad debería ser capaz de identificar cualquier actividad inusual.

Una vez que un atacante técnicamente capaz y motivado tiene pleno acceso a sus sistemas, puede ser mucho más difícil detectar sus acciones y erradicar su presencia. Aquí es donde una estrategia completa de defensa en profundidad puede ser beneficiosa.

La solución CipherTrust Data Security Platform permite a las empresas proteger su estructura contra los ciberataques

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Cifrado transparente CipherTrust

Protección de bases de datos CipherTrust

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Transformación de datos por lotes de CipherTrust

Administrador de CipherTrust

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las empresas proteger los datos en reposo y en movimiento en todo el ecosistema de TI y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.

Simplifica la seguridad de los datos, mejora la eficacia operativa y acelera el cumplimiento de la normativa. Independientemente de dónde residan sus datos.

Cartera de herramientas que garantizan la protección de los datos contra los ciberataques

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su empresa puede:

Reforzar la seguridad y el cumplimiento frente a ciberataques

Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza, Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), Ley General de Protección de Datos (LGPD)entre otros requisitos de cumplimiento.

Optimiza la eficacia del equipo y los recursos contra los ciberataques

Reduce el coste total de propiedad

La cartera de protección de datos de CipherTrust Data Security Platform ofrece un amplio conjunto de productos y soluciones de seguridad de datos que pueden ampliarse fácilmente, expandirse para nuevos casos de uso y tener un historial probado de protección de tecnologías nuevas y tradicionales.

Con la plataforma de seguridad de datos CipherTrust, las empresas pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, ley general de protección de datos, lgpd, protección de datos

Protección de datos

Políticas de seguridad: éxito sólo en el 41% de las empresas

Autor de la entrada Por Editorial Eval
Fecha de la entrada 5 de octubre de 2021

Aunque los ciberataques y las amenazas son una lucha constante, pueden evitarse conociendo las políticas de seguridad, los distintos tipos de protocolos, los exploits, las herramientas y los recursos que utilizan los malintencionados.

Además, saber dónde y cómo esperar los ataques le garantiza que está poniendo en marcha medidas preventivas para proteger sus sistemas.

Los ciberataques, las amenazas y el vandalismo son un problema peligroso y creciente para las empresas. Casi todas las empresas modernas necesitan una red de ordenadores, servidores, impresoras, conmutadores, puntos de acceso y enrutadores para funcionar.

El objetivo principal de cualquier política de seguridad informática es cumplir toda la legislación vigente y otros requisitos de seguridad para proteger la integridad de sus miembros y los datos corporativos que residen en la infraestructura tecnológica de la empresa.

Pero este reto sigue siendo para unos pocos. Así lo demuestra un estudio realizado por el Centro de Información y Coordinación Ponto BR (NIC.br), según el cual el 41% de las empresas brasileñas tienen políticas de seguridad bien establecidas contra los ciberataques.

La aplicación de estas políticas se considera una buena práctica a la hora de desarrollar y mantener un programa de ciberseguridad. A medida que más empresas desarrollan programas digitales, se necesitan políticas de seguridad eficaces para combatir eficazmente los ciberataques.

¿Qué es una política de seguridad y por qué es importante para combatir los ciberataques?

Básicamente, una política de seguridad es un conjunto de prácticas y procedimientos normalizados destinados a proteger la red de una empresa frente a las amenazas.

Normalmente, la primera parte de la política de ciberseguridad se centra en las expectativas generales de seguridad, las funciones y las responsabilidades en la organización. La segunda parte puede incluir secciones para diversas áreas de la ciberseguridad, como directrices para el software antivirus o el uso de aplicaciones en la nube.

Por defecto, el CISO dirige el desarrollo y las actualizaciones de una política de seguridad. Sin embargo, los CISO también deben trabajar con ejecutivos de otros departamentos para crear políticas actualizadas en colaboración.

Los equipos deben empezar con una evaluación de riesgos de ciberseguridad para identificar las vulnerabilidades de la organización y las áreas susceptibles de sufrir ciberataques y filtraciones de datos.

Es importante comprender la tolerancia de la organización a los distintos riesgos de seguridad, destacando los problemas clasificados como de bajo riesgo y los que amenazan la supervivencia de la organización. A continuación, el personal debe considerar los requisitos reglamentarios que debe cumplir para mantener la conformidad.

A continuación, los CISO pueden determinar qué nivel de seguridad debe implantarse para las brechas de seguridad y áreas de preocupación identificadas. Recuerde que los CISO deben ajustar el nivel de protección necesario a la tolerancia al riesgo de la organización.

De este modo, la organización garantiza que las zonas con menor tolerancia al riesgo reciban el mayor nivel de seguridad.

Informe de Thales sobre la amenaza de los datos 2021

¿Cuáles son las cuestiones de seguridad de la información que deben abordar las políticas de ciberseguridad contra los ciberataques?

Si su organización no dispone de una política de seguridad de la información para ningún área de interés, es probable que la seguridad en esa área esté en peligro: desorganizada, fragmentada e ineficaz.

Las cuestiones que deben abordar las políticas de seguridad difieren según las organizaciones, pero algunas de las más importantes son:

Seguridad física

¿Cómo se gestiona la seguridad en los centros de datos, salas de servidores y terminales de las oficinas de las empresas y otros lugares?

Las políticas de seguridad física cumplen una amplia gama de objetivos, como la gestión de accesos, la supervisión y la identificación de zonas seguras.

Conservación de datos

¿Qué datos recoge y trata la empresa? ¿Dónde, cómo y durante cuánto tiempo debe almacenarse?

Las políticas de conservación de datos afectan a varios ámbitos, como la seguridad, la privacidad y el cumplimiento de la normativa.

Cifrado de datos

¿Cómo gestiona la organización la seguridad del almacenamiento y la transmisión de datos?

Además de los objetivos de cifrado, las políticas de cifrado de datos también pueden tratar objetivos y normas en torno a la gestión de claves y la autenticación.

Control de acceso

¿Quién puede acceder a los datos sensibles y qué sistemas deben implantarse para garantizar que los datos sensibles se identifican y protegen de accesos no autorizados?

Formación en seguridad

La seguridad depende tanto de las personas como de la tecnología y los sistemas.

Los errores humanos contribuyen a muchas violaciones de la seguridad que podrían haberse evitado si los empleados y directivos hubieran recibido la formación suficiente.

Gestión de riesgos

Las políticas de gestión de riesgos de seguridad de la información se centran en las metodologías de evaluación de riesgos, la tolerancia de la organización a los riesgos en varios sistemas y quién es responsable de la gestión de amenazas.

Continuidad de las actividades

¿Cómo reaccionará su organización ante un incidente de seguridad que amenace procesos y activos empresariales críticos?

La seguridad y la continuidad de la actividad empresarial interactúan de muchas maneras: las amenazas a la seguridad pueden convertirse rápidamente en riesgos para la continuidad de la actividad empresarial, los procesos y la infraestructura que utilizan las empresas para mantener el curso de los negocios deben diseñarse teniendo en cuenta la protección.

Hemos cubierto sólo algunos puntos clave de las políticas de seguridad relevantes para las empresas de muchos sectores diferentes.

Pero cada organización es diferente, y el contenido de las políticas debe adaptarse a las circunstancias únicas de su empresa, y debe evolucionar a medida que cambien las circunstancias.

Compromiso con los principales requisitos de protección y cumplimiento

Eval y THALES pueden ayudarle a desarrollar las políticas de seguridad de su empresa, cumpliendo los requisitos clave de protección y conformidad.

Las empresas deben priorizar los riesgos de los datos creando una política de clasificación basada en la sensibilidad de los datos.

Deben elaborarse y aplicarse políticas que determinen qué tipos de información son confidenciales y qué métodos, como el cifrado, deben utilizarse para proteger dicha información.

Además, las empresas deben supervisar la transmisión de información para garantizar el cumplimiento y la eficacia de las políticas.

Afortunadamente, las nuevas soluciones tecnológicas pueden ayudar a las empresas a obtener una visibilidad completa de sus datos sensibles y reforzar el cumplimiento de los requisitos de protección, como la Ley General de Protección de Datos (GDPR).

La plataforma de seguridad de datos de CipherTrust permite a las organizaciones descubrir su información sensible, evaluar el riesgo asociado a esos datos y, a continuación, definir y aplicar políticas de seguridad.

Además de facilitar el cumplimiento de la ley de protección de datos en cualquier momento, su empresa puede ahorrar dinero al tiempo que se gana la confianza de sus clientes y socios.

Su empresa cumple la normativa con la ayuda de Eval

Una política de seguridad de la información sólida es el pegamento que une todos los controles de seguridad y requisitos de cumplimiento y es el documento que describe la estrategia de protección y privacidad en toda la organización.

Al mismo tiempo, puede ser una gran herramienta de rendición de cuentas cuando se trata de la confianza del consumidor. Para ser eficaz, una política de seguridad debe ser aceptada por toda la empresa para gestionar y actualizar eficazmente los controles de seguridad necesarios en un mundo de riesgos cibernéticos en constante evolución.

Si se gestiona bien y se sigue en consecuencia, la gestión de políticas es la base para lograr el cumplimiento del GDPR o de cualquier otra normativa futura sobre privacidad.

Aplicando marcos como la LGPD, se devuelve un mayor control a las personas/consumidores. Este control adicional contribuye en gran medida a aumentar el nivel de confianza que la gente siente hacia las empresas. Y, a su vez, puede aumentar los ingresos y los beneficios.

Los requisitos de la LGPD son mucho más que una lista de comprobación y si su organización procesa los datos personales de los interesados aquí en Brasil, debe tomarse el tiempo necesario para explorar los controles de seguridad que tiene establecidos para respaldar los requisitos de la ley de privacidad y garantizar que la información personal se protege y procesa adecuadamente.

Las organizaciones deben ser transparentes con sus clientes sobre las bases jurídicas de la recogida de datos y ofrecerles el control sobre si quieren o no compartir sus datos con otros.

A continuación, las organizaciones deben seguir adelante y asegurarse de que sólo utilizan los datos que recogen para los fines descritos inicialmente, siempre dentro de los límites del consentimiento proporcionado por sus clientes, y asegurarse de que respetan todos los derechos que les otorga la nueva legislación.

Para obtener más información sobre la plataforma de seguridad de datos CipherTrust, póngase en contacto ahora con los expertos de Eval.

Acerca de Eval

Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, ley general de protección de datos, lgpd, política de seguridad

Protección de datos

Ataques de ransomware: en aumento para empresas y gobiernos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 24 de agosto de 2021

¿Ha oído hablar de los ataques de ransomware? Lo más probable es que el término sea cada vez más frecuente en las noticias.

La expresión deriva del inglés
rescate
(rescate) con
ware
(software) se utiliza para definir cuando un sistema está contaminado por un
malware
(software malicioso) y se exige una cantidad para liberar la máquina y los archivos.

Los ciberdelincuentes se mueven y varios modelos de negocio han sido víctimas en los últimos años, desde empresas privadas hasta organismos públicos.

Recientemente, según una nota publicada por el Gobierno
el Tesoro Nacional sufrió un ataque de ransomware
y “los efectos de la acción delictiva están siendo evaluados por expertos en seguridad de la Secretaría del Tesoro Nacional y la Secretaría de Gobierno Digital”.

Otra víctima fue Lojas Renner, que sufrió el ataque el jueves (19/08) y tuvo su web y app caídas durante 2 días seguidos.

Para las organizaciones que caen víctimas, esto puede dar lugar a importantes pérdidas financieras, tanto en términos del rescate cobrado como de la pérdida de ventas y credibilidad.

¿Por qué aumentan los ataques de ransomware?

Según una
investigación de Statista
solo en 2020 se registraron 304 millones de ataques de ransomware en todo el mundo, lo que supone un aumento del 62 % con respecto al año anterior.

Así que, con datos como estos en mente, y con tantos informes de empresas y gobiernos que han sido víctimas de ciberdelincuentessurge la pregunta: ¿por qué aumenta el número de ataques?

Esto se debe a que, con el avance de la tecnología, ha cambiado la forma de operar de las empresas. Consideremos 3 ejemplos.

Cómo utiliza el ransomware los protocolos de acceso remoto desprotegidos (RDP)

Mayor virtualización

La virtualización se refiere a à adopción de un entorno virtual para utilizar diferentes aplicaciones y sistemas operativos en una única máquina física.

Es una técnica utilizada por las empresas de TI (tecnologías de la información) para mejorar o infraestructura existente, facilitando la escalabilidad del negocio.

Sin embargo, a la hora de implantar esta solución, es importante que las startups se mantengan alerta y busquen formas de garantizar la seguridad ya que los entornos virtualizados pueden cambiar rápidamente, por lo que se requieren profesionales formados para mantener una gestión adecuada y garantizar así que la organización esté libre de ataques de ransomware.

Exposición de datos sensibles en la nube

Otra medida que muchas empresas han implantado en los últimos años son los servicios en la nube.
computación en nube
(computación en nube).

Según
previsiones de Gartner
se espera que el gasto en servicios de nube pública en el año 2021 alcance los 332.300 millones de dólares, lo que representa un aumento del 23,1% en comparación con el año 2020.

Esto demuestra el creciente aumento del uso de soluciones en la nube. Con esta migración, ahora se almacenan muchos datos sensibles en nube.

Sin embargo, aunque la información en la nube esté mejor protegida que el almacenamiento local, esto no significa que no sea necesario desarrollar estrategias de seguridad.
desarrollar estrategias de seguridad.

A modo de ejemplo, es esencial establecer políticas para controlar políticaspara que la información esté protegida.

También según Statista, muchas empresas no se sienten plenamente preparadas a la hora de adoptar una solución en la nube y entre las principales razones se encuentran las
dificultades con la seguridad, la gobernanza y la falta de experiencia del personal.
.

Como resultado, muchos ciberdelincuentes pueden aprovecharse de ello para llevar a cabo ataques de ransomware.

Falta de despliegue de tecnologías de protección contra los ataques de ransomware

Teniendo en cuenta los puntos anteriores, es importante destacar que aunque muchas empresas están abrazando la transformación digital, también es
necesario implementar tecnologías de protección
tales como:

Criptografía;
Aprendizaje automático
(ML);
Sistemas de copia de seguridad
copia de seguridad
e
recuperación de desastres
;
Entre otros.

¿Cómo protegerse de los ataques de ransomware?

Para garantizar la seguridad de su empresaes esencial aplicar políticas internas para que todos los empleados las sigan y contribuyan a la prevención, tales comocomo por ejemplo

Gestión del acceso;
Compruebe las URL de las páginas;
Tenga cuidado al hacer clic en los enlaces de los correos electrónicos;
Entre otros.

También es muy importante contar con un buen antivirus y hacer copias de seguridad periódicas.

Otra estrategia clave es aplicar una solución de solución de cifrado, para que en caso de que su empresa sufra ataques de ransomware, con el uso del cifrado, su información estará protegida y no podrá ser leída por los delincuentes.

Más información sobre la protección de datos confidenciales mediante cifrado.

¿Cómo elegir la forma más adecuada de proteger los datos contra los ataques de ransomware?

La plataforma de seguridad de datos CipherTrust de Thales garantiza toda la estructura e integridad de los datos de su empresa, así como el formato de los campos de la base de datos, sea cual sea: Oracle, SQL, MySQL, DB2PostGreetc.

De forma sencilla, completa y eficaz, la solución CipherTrust ofrece funciones para proteger y controlar el acceso a bases de datos, archivos y contenedores, y puede proteger activos ubicados en entornos de nube, virtuales, de big data y físicos.

Con CipherTrust, puede proteger los datos de su empresa y anonimizar sus activos sensibles, garantizando la seguridad de su negocio y evitando futuros problemas de fuga de datos.

Ponte en contacto con Eval. Nuestros expertos podrán ayudarle, contribuyendo al desarrollo de sus proyectos de protección de datos y a la mejora continua de su empresa.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ataques de ransomware, ley general de protección de datos, lgpd, protección de datos

Protección de datos

Coches conectados: protección de datos en 3 pasos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 22 de marzo de 2021

Avanzamos con paso firme hacia un futuro en el que la alta conectividad se está convirtiendo en la norma del sector. Por eso la seguridad de los datos en los coches conectados se ha convertido en una preocupación.

Esto se debe en gran medida al aumento de la demanda de los consumidores, impulsada por la comodidad que pueden ofrecer los vehículos conectados a la IoT (Internet de las cosas).

Esta demanda de los consumidores tiene sentido si consideramos los beneficios a largo plazo de conducir o poseer vehículos conectados. He aquí algunas de ellas:

Un coche conectado mejora la experiencia de poseer o utilizar una amplia gama de aplicaciones y servicios que se emparejan a la perfección con el smartphone que posee el usuario;
La seguridad de pasajeros y conductores aumenta y los peligros se evitan más fácilmente;
El conductor tiene más control sobre el vehículo, así como sobre su diagnóstico a distancia;
Muchas tareas rutinarias, como aparcar, pueden automatizarse o automatizarse parcialmente;
Los posibles problemas del vehículo pueden detectarse mucho antes y se puede ahorrar dinero en combustible al elegir siempre la ruta más eficiente.

Temor de los consumidores a pesar de la innovación del coche conectado

Aunque se espera que el mercado mundial de los coches conectados supere los 219.000 millones de dólares en 2025, con un 60% de los vehículos conectados a Internet, el sector sigue afrontando retos en su intento de generalizarse debido a su principal inconveniente: el miedo de los consumidores a los ciberataques.

Todos sabemos que el aumento de dispositivos conectados, ya sean vehículos u otros aparatos, incrementa automáticamente el número de puntos de entrada y oportunidades para los delincuentes.

Teniendo en cuenta las consecuencias a menudo muy graves de este tipo de ataques, este temor de los consumidores es legítimo y debe ser abordado tanto por la industria de la IO, pero especialmente por los fabricantes de vehículos conectados si la industria quiere ganar la plena confianza de los consumidores y la adopción de sus productos y mantener sus datos seguros.

Estado actual de la seguridad de los coches conectados

De hecho, se están tomando medidas de protección para establecer normas de seguridad de los datos en otros ámbitos del intercambio de datos.

Por ejemplo, la Ley General de Protección de Datos (GDPR) ha marcado una diferencia significativa en la forma en que experimentamos la navegación web y cualquier interacción que implique el tratamiento de datos personales.

Sin embargo, actualmente no se exige a los proveedores de servicios IoT que cumplan ninguna ley o norma de seguridad adicional.

Mientras algunos piden una legislación gubernamental específica, ya hay varias empresas que trabajan en soluciones para aumentar la seguridad de los dispositivos conectados.

Aún no está claro cuál será exactamente el impacto sobre nuestra intimidad personal a medida que nos embarquemos en este futuro conectado. Lo que está claro, sin embargo, es que si los propios fabricantes de automóviles no intervienen con algunas tecnologías claras para evitar el pirateo, la mala gestión o las violaciones de la privacidad de los datos, la industria del coche conectado seguirá luchando por ser aceptada por el gran público.

¿Qué hacen actualmente los fabricantes de automóviles? Y lo que es más importante, ¿qué más hay que hacer para garantizar a los usuarios que sus datos están seguros?

¿Qué pueden hacer los fabricantes de automóviles para garantizar la seguridad de los datos en los coches conectados?

1. inversión en seguridad informática

Normalmente, los vehículos que estamos más acostumbrados a ver y conducir en el día a día no han sido equipados con ningún tipo de seguridad de hardware en la propia electrónica del coche.

Esto se debe a que el coche nunca se diseñó originalmente para tener un sistema abierto que pudiera conectarse a sistemas externos como dispositivos IoT. En cambio, el sistema del coche debe ser un sistema cerrado.

Por eso, en cuanto se conecta el vehículo a algo externo, no hay suficientes protecciones (por ejemplo, un cortafuegos) contra los malintencionados.

Esto se soluciona en los coches nuevos instalando algo llamado pasarela segura.

En el caso de los dispositivos IoT, no podría producirse ninguna interacción con el vehículo sin pasar antes por la pasarela segura, lo que haría mucho más seguro el intercambio de datos entre dos partes.

2. Inversión en seguridad del software

Con el continuo aumento de los incidentes de ciberseguridad, los fabricantes de automóviles necesitan incorporar un enfoque de la seguridad de los datos en los coches conectados que tenga en cuenta no sólo las exposiciones obvias en el software del coche, sino también las vulnerabilidades ocultas que pueden ser introducidas por los componentes de software de código abierto.

El código del software de los coches conectados es, cuando menos, extremadamente complejo: el software de un coche medio tiene alrededor de 100 millones de líneas de código.

Tanta complejidad conlleva muchas oportunidades de vulnerabilidades y un mayor riesgo de ataques maliciosos por parte de los ciberdelincuentes.

Hoy en día, no es raro oír hablar de malware diseñado específicamente para detectar fallos en el software de los automóviles.

Hoy en día, varios fabricantes de automóviles de renombre y sus proveedores de software despliegan herramientas de prueba que incluyen evaluaciones de seguridad en software estático y dinámico.

En los coches conectados, estas herramientas se utilizan para identificar errores de codificación que pueden dar lugar a vulnerabilidades del software y oportunidades para que piratas informáticos y delincuentes activen o desactiven determinadas funciones a distancia.

Aunque estas herramientas son eficaces para detectar fallos en el código escrito por el equipo interno de desarrolladores de los fabricantes de coches conectados. No son eficaces para identificar vulnerabilidades de código abierto en código de terceros.

Esto deja expuestos muchos de los componentes clave de las aplicaciones actuales, debido a que las crean desarrolladores que trabajan para proveedores externos de IoT en lugar de los propios fabricantes de automóviles.

3. Conocimiento y consentimiento del usuario

Además de proteger el hardware y el software del vehículo, es importante insistir en la responsabilidad de los fabricantes de coches conectados de alertar a los usuarios sobre la importancia de qué dispositivos permiten conectar y con qué fin.

Aquí es donde hay que obtener el consentimiento del usuario y aplicar rigurosamente normativas como el GDPR.

Los terceros proveedores de IoT deben definir claramente por qué quieren interactuar con los coches conectados y qué piensan hacer con los datos que obtengan del automóvil, pero es tarea de los fabricantes garantizar a los usuarios la seguridad de sus datos.

Alianza tecnológica entre Eval y Thales: confianza en los coches conectados

Con la vista puesta en un futuro cada vez más conectado, podemos estar seguros de que la relación entre los vehículos y el IoT no hará sino aumentar en complejidad.

Con un enfoque dedicado a la privacidad y seguridad de los datos, se puede mitigar significativamente cualquier riesgo de ciberataque o uso indebido de los datos en los coches conectados.

La industria del IoT está creciendo a un ritmo exponencial en estos momentos. Las empresas automovilísticas tradicionales deben dar prioridad a la seguridad.

Este planteamiento es necesario para aprovechar los enormes avances que la tecnología puede aportar a la vida de los conductores y usuarios de la carretera gracias a los vehículos conectados.

Con más de 20 años de experiencia en la conexión de vehículos, Eval y los clientes de Thales se benefician de su posición de liderazgo en la normalización de la conectividad móvil, prestando servicio a más de 450 operadores móviles de todo el mundo.

Las soluciones globales de conectividad y gestión remota del automóvil reducen en gran medida la complejidad de la cadena de suministro para los fabricantes de automóviles, al tiempo que facilitan la experiencia del usuario final durante los largos ciclos de vida de los vehículos.

Las soluciones de Eval y Thales permiten el uso de suscripciones de usuario final para servicios de infoentretenimiento en movilidad y proporcionan la capacidad técnica para la conectividad infoentretenimiento/telemática.

Aprovechando la experiencia probada y avanzada en seguridad digital e IoT, Thales Trusted Key Manager proporciona a los fabricantes de automóviles conectados soporte para la transformación digital, garantizando la seguridad de extremo a extremo del ecosistema automotriz.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas coches conectados, Dispositivos IoT, Internet de los objetos, ley general de protección de datos, lgpd, seguridad del software, Thales

Protección de datos

Diferencia entre los tipos de cifrado para la protección de datos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 13 de octubre de 2020

Las empresas pueden reducir la probabilidad de que se produzca una violación de datos y, por tanto, reducir el riesgo de multas en el futuro en virtud de la Ley General de Protección de Datos (GDPR), si optan por utilizar el cifrado para la protección de datos.

El tratamiento de datos personales conlleva naturalmente cierto grado de riesgo. Sobre todo hoy en día, cuando los ciberataques son casi inevitables para las empresas.

Por ello, el cifrado para la protección de datos desempeña un papel cada vez más importante en la seguridad informática de una gran parte de las empresas.

En general, el cifrado se refiere al procedimiento que convierte un texto no cifrado, también conocido como texto claro, en una información ilegible, en forma de interpretación mediante una clave, donde la información de salida sólo vuelve a ser legible utilizando la clave correcta.

Esto minimiza el riesgo de que se produzca un incidente durante el tratamiento de los datos, ya que el contenido cifrado es básicamente ilegible para terceros que no dispongan de la clave correcta.

El cifrado es la mejor manera de proteger los datos durante la transferencia y es una forma de proteger los datos personales almacenados. También reduce el riesgo de abusos dentro de una empresa, ya que el acceso se limita únicamente a las personas autorizadas con la llave adecuada.

Cifrado para la protección de datos y el GDPR: lo que debe saber

En la era actual de la informática, el cifrado se asocia a menudo con el proceso en el que un texto plano ordinario se convierte en texto cifrado, que es el texto hecho de tal manera que el destinatario del texto sólo puede descifrarlo y de ahí que este proceso se conozca como criptografía.

El proceso de convertir el texto cifrado en texto plano se conoce como descifrado.

Los principales usos del cifrado son los siguientes:

Confidencialidad: la información sólo puede ser consultada por la persona a la que va destinada y ninguna otra persona, excepto ella, puede acceder a ella;
Firma digital: En la que se firma la información para poder identificar al emisor de la misma, con integridad y no repudio.
Integridad: la información no puede modificarse en el almacenamiento o en la transición entre el remitente y el destinatario previsto sin que se detecte ninguna adición a la información;
Autentificación: se confirma la identidad del remitente y del destinatario. Así como se confirma el destino/fuente de la información.

Tipos de cifrado para la protección de datos:

En general, existen tres tipos de cifrado para la protección de datos:

Criptografía de clave simétrica

Es un sistema de cifrado en el que el emisor y el receptor del mensaje utilizan una única clave común para cifrar y descifrar los mensajes.

Los sistemas de clave simétrica son más rápidos y sencillos, pero el problema es que el emisor y el receptor necesitan intercambiar la clave de algún modo seguro.

El criptosistema de clave simétrica más popular es el Sistema de Cifrado de Datos (DES) y el Estándar de Cifrado Avanzado (AES). Estándar de cifrado avanzado (AES);

Funciones hash

En este algoritmo no se utiliza ninguna clave. Se calcula un valor hash de longitud fija en función del texto sin formato, lo que hace imposible recuperar el contenido del texto sin formato. Muchos sistemas operativos utilizan funciones hash para cifrar las contraseñas;

Criptografía de clave asimétrica

En este sistema, se utiliza un par de claves para cifrar y descifrar la información. Se utiliza una clave pública para cifrar y una clave privada para descifrar.

La clave pública y la clave privada son diferentes. Aunque todo el mundo conozca la clave pública, el destinatario sólo puede descifrarla porque sólo él conoce la clave privada.

Thales y E-VAL pueden ayudarle a cumplir los requisitos clave de la LGPD

Mantener la confidencialidad en el almacenamiento y tránsito de datos

El cifrado permite almacenar datos encriptados, lo que permite a los usuarios mantenerse alejados de los ataques realizados por piratas informáticos.

Fiabilidad de la transmisión

Un enfoque convencional que permite la fiabilidad es realizar el cifrado del canal de transmisión, ya sea simétrico o asimétrico, o incluso una combinación de ambos.

Si se utiliza criptografía simétrica, se necesita una clave para cifrar la información, luego hay que encontrar alguna forma de intercambiar la clave, lo que resulta ser un problema a resolver, que es el intercambio de claves de forma segura.

Conviene recordar que este método da buenos resultados.

Otra forma es utilizar criptografía asimétrica, en la que se puede utilizar la clave pública del destinatario para que el mensaje sólo pueda ser abierto por el destinatario que tenga la clave correspondiente, la clave privada.

El problema de este tipo de uso es el rendimiento.

Autenticación de identidades

Para la autenticidad, cuyo objetivo es saber si el emisor del mensaje es él mismo, hace uso de PKI, (Public Key Infrastructure).

Esto se hace cifrando el mensaje con la clave privada del remitente, del mismo modo que cualquiera puede tener su correspondiente clave pública, se puede verificar que el mensaje ha sido generado por el remitente adecuado.

¿Por qué el cifrado para la protección de datos es crucial para el cumplimiento del GDPR?

Aunque no hay requisitos explícitos de cifrado de protección de datos en la Ley General de Protección de Datos (GDPR), la nueva legislación le obliga a aplicar medidas de seguridad y salvaguardias.

La LGPD destaca la necesidad de utilizar medidas técnicas y organizativas adecuadas para la seguridad de los datos personales.

Dado que el cifrado para la protección de datos hace que la información sea ilegible e inutilizable para las personas sin una clave criptográfica válida,las estrategias de cifrado para la protección de datos pueden ser extremadamente beneficiosas para su empresa en caso de violación de datos y los requisitos en virtud del GDPR.

¿Recuerda la obligación de la LGPD de notificar a los clientes afectados por un incidente de seguridad?

Al encriptar sus datos, reduce la posibilidad de cumplir con esta obligación debido a problemas de ciberataques u otro tipo de problemas.

Ninguna información será técnicamente “violada” si los datos son ininteligibles para el atacante.

¿Cómo elegir la forma más adecuada de garantizar la seguridad de los datos?

Sencilla, completa y eficaz, la solución Cipher Trust ofrece capacidades para proteger y controlar el acceso a bases de datos, archivos y contenedores, y puede proteger activos ubicados en entornos de nube, virtuales, de big data y físicos.

Con CipherTrust, puede proteger los datos de su empresa y anonimizar sus activos sensibles, garantizando la seguridad de su negocio y evitando futuros problemas de fuga de datos.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas cifrado para la protección de datos, ley general de protección de datos, lgpd

Noticias y eventos

De repente LGPD: 10 preguntas y respuestas que su empresa debe conocer para cumplir los requisitos de la Ley de Protección de Datos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 2 de septiembre de 2020

Puede parecer controvertido imaginar que, de repente, la Ley General de Protección de Datos (LGPD), entrará en vigor en todo el país. Después de todo, la Ley Nº 13.709/2018, que define la nueva legislación, fue sancionada el 14 de agosto de 2018, estableciendo un período de adaptación de 18 meses, fijado para entrar en vigor en 2020.

Sin embargo, la ley sufrió aplazamientos en el mismo año en que debía entrar en vigor (2020), y luego hubo expectativas de que se prorrogara hasta 2021 como consecuencia de la pandemia de COVID-19.

Pero, entre idas y venidas en el Congreso Nacional y aprobaciones y vetos presidenciales, esperamos que la Ley entre en vigor en cualquier momento. Desgraciadamente, estos cambios generan mucha inestabilidad en relación con la nueva legislación y un riesgo que puede afectar directamente al principal objetivo de la ley: la protección y la privacidad de los brasileños.

Además de la definición (o falta de definición clara), de la fecha de entrada en vigor de la LGPD, el Gobierno Federal ha establecido recientemente la estructura de la Autoridad Nacional de Protección de Datos (ANPD)órgano responsable de garantizar la protección de datos personales, elaborar directrices para la Política Nacional de Protección de Datos Personales y Privacidad, supervisar y aplicar sanciones en casos de incumplimiento de la legislación, entre otras atribuciones definidas en la Ley 13.709.

Expectativas aparte, las empresas y organizaciones necesitan, ahora más que nunca, estar preparadas para los requisitos que pronto impondrá la ley de protección de datos. A pesar de todo este periodo de transición, sigue habiendo cuestiones sobre la LGPD que las empresas deben comprender para cumplir la nueva legislación.

Para ayudarle a aclarar las principales dudas, hemos elaborado una lista con las preguntas y respuestas más importantes para que pueda adaptar la LGPD a su empresa.

Preguntas y respuestas sobre la LGPD que su empresa debe conocer para cumplir la ley de protección de datos

Aunque no existe una lista de control universal aplicable a todos los casos, algunos problemas surgen con más frecuencia que otros. Y estas preguntas y respuestas sobre la LGPD serán pertinentes durante años, ya que la nueva legislación no tiene fecha de caducidad.

#1. ¿Es usted responsable o encargado del tratamiento de datos? ¿Determina usted los fines y medios del tratamiento de datos personales o trata datos personales por cuenta de terceros?

Responder a esta pregunta es crucial para determinar el alcance de sus obligaciones en virtud de la ley de protección de datos. De todas las preguntas y respuestas sobre la LGPD, ésta probablemente le orientará sobre la mayoría de las medidas que hay que tomar en adelante.

Los responsables del tratamiento deciden qué datos se recogen, con qué fin, cómo se tratan y durante cuánto tiempo. Esto significa que usted es responsable de cumplir un amplio abanico de obligaciones, como proteger los datos, cumplir los objetivos de, por ejemplo, minimización de datos y transparencia del tratamiento. También es usted quien tiene la obligación de responder y facilitar el ejercicio de los derechos del interesado.

Por otro lado, si usted es un encargado del tratamiento, trata los datos por cuenta de un responsable del tratamiento y sólo dentro del ámbito que éste haya determinado. Por lo tanto, usted no puede tomar decisiones sobre qué datos personales se procesan y cómo. Su principal obligación es proteger los datos que procesa frente a accesos no autorizados, modificaciones, etc.

#2. ¿Realiza todas las actividades de procesamiento usted mismo o utiliza servicios de procesamiento de terceros, como el alquiler de servidores?

Si utiliza un servicio de tratamiento por terceros, deberá celebrar un acuerdo específico por escrito (incluso en formato electrónico), que deberá regular, en particular, el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, los tipos de datos personales y las categorías de interesados, así como las obligaciones y los derechos del responsable del tratamiento.

Recuerde que, aunque no trate usted mismo los datos, sigue siendo responsable del tratamiento. Elija sólo aquellas empresas que garanticen la aplicación de medidas técnicas y organizativas de tratamiento adecuadas para cumplir los requisitos de la LGPD y garantizar la protección de datos.

El conjunto de preguntas y respuestas sobre la LGPD también se aplica a terceras empresas.

#3. ¿Quién puede acceder a los datos personales de su empresa? ¿Existen diferentes niveles de acceso para los distintos puestos?

El hecho de que usted, como responsable o encargado del tratamiento, tenga derecho a tratar los datos no significa que todos sus empleados puedan acceder a ellos: sólo deben tener esos derechos las personas cuya posición dentro de su empresa así lo requiera.

No olvide especificar el alcance de la autorización: a qué tipo de datos pueden acceder (por ejemplo, datos de clientes, datos relacionados con el empleo) y qué pueden hacer con ellos. Algunas personas necesitarán tener acceso completo, incluido el derecho a introducir, modificar o borrar los datos, mientras que para otras bastará con el derecho a verlos.

#4. ¿Todos los datos que recopila son realmente necesarios para la finalidad de su tratamiento?

Una de las principales normas de protección de datos personales es la minimización de datos. Obliga al responsable del tratamiento a limitar -por defecto- al mínimo necesario la cantidad de datos personales recogidos, así como el alcance de su tratamiento, el periodo de su almacenamiento y su accesibilidad.

Recuerde tener esto en cuenta al auditar sus bases de datos y al diseñar nuevos flujos de datos (creación de formularios, toma de decisiones sobre el seguimiento de actividades, etc.).

#5. Cómo se utilizan los datos recogidos: ¿cuál es la finalidad del tratamiento de datos personales?

Los datos sólo podrán tratarse con fines determinados, explícitos y legítimos, y no podrán tratarse de forma incompatible con dichos fines.

# LGPD 6. ¿Recoge datos confidenciales, como historiales médicos, datos sobre origen racial o étnico, creencias religiosas o filosóficas, etc.?

El tratamiento de datos sensibles está prohibido por defecto y sólo puede darse en circunstancias específicas descritas en la LGPD, por lo que una recomendación general sería evitar por completo el tratamiento de estos datos. Si esto no es posible, busque asesoramiento jurídico para identificar recursos que proporcionen una base legal para el tratamiento de dichos datos.

#7. ¿Ha comprobado si existen procesos en su empresa que requieran la realización de una evaluación del impacto de la protección de datos?

Dicha evaluación debe llevarse a cabo en el caso de un tratamiento que -teniendo en cuenta su naturaleza, alcance, contexto y fines- pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, en particular debido al uso de nuevas tecnologías.

Puede ser necesario en casos específicos, entre ellos:

la evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se fundamenten decisiones que produzcan efectos jurídicos sobre la persona física o le afecten de forma significativa.
El tratamiento de datos sensibles a gran escala.
Vigilancia sistemática a gran escala de una zona de acceso público.

#8. ¿Cómo se gestionará el derecho a la portabilidad de datos? ¿En qué formato se facilitarán los datos al interesado o a otro responsable del tratamiento a petición del interesado?

El derecho a la portabilidad de los datos puede ejercerse si el interesado ha facilitado datos a un responsable del tratamiento. El tratamiento se lleva a cabo por medios automatizados y se basa en uno de los siguientes fundamentos jurídicos: el consentimiento del interesado o un contrato en el que el interesado es parte.

Permite al interesado solicitar una copia de sus datos en un formato estructurado, común y legible. La LGPD no proporciona más especificaciones de este formato, por lo que corresponde al responsable del tratamiento elegirlo, teniendo en cuenta que el interesado puede solicitar que los datos se transmitan directamente a otro responsable.

#9. ¿Cómo puede un usuario solicitar el acceso a sus datos, incluida la recepción de una copia de sus datos personales tratados? ¿Este proceso se realizará de forma manual o automática? ¿En qué formato se entregará la copia?

El interesado puede solicitar al responsable del tratamiento una copia de sus datos personales objeto de tratamiento. Cuando se ejerza este derecho por primera vez, el responsable del tratamiento proporcionará dicha copia gratuitamente, pero en caso de solicitudes posteriores, el responsable del tratamiento podrá cobrar una tarifa razonable basada en los costes administrativos.

Salvo que el interesado solicite lo contrario, si la solicitud se realiza por medios electrónicos, la información también se facilitará en formato electrónico.

Al prepararse para que el interesado ejerza sus derechos sobre los datos, el responsable del tratamiento debe plantearse un puñado de preguntas importantes, siendo las más importantes:

Cómo puede presentarse la solicitud: a través de un sitio web específico, con un formulario de solicitud e instrucciones, o quizá, por ejemplo, por correo electrónico;
Este proceso se realizará de forma manual o automática;
En el primer caso, hay suficiente personal formado para gestionar la carga de trabajo entrante;
Los procedimientos y medios organizativos existentes permiten atender estas solicitudes sin demoras indebidas.

#10. ¿Se compartirán los datos con terceros, incluso dentro de su grupo? ¿Cuándo, cómo y sobre qué base jurídica?

Cuando usted es el responsable del tratamiento, compartir datos con otras entidades puede adoptar dos formas:

El tratamiento se llevará a cabo en su nombre, usted especifica su finalidad, duración, las obligaciones del encargado del tratamiento, etc.: en este caso, necesita celebrar un contrato que regule todas estas cuestiones con el encargado del tratamiento, y no tiene que pedir el consentimiento del interesado para hacerlo;
Su empresa pierde el control sobre los datos que comparte y su tratamiento, y el destinatario se convierte en controlador independiente de esos datos, en cuyo caso necesitará una base jurídica para compartir datos personales (por ejemplo, el consentimiento del interesado especificando con quién comparte los datos y con qué fin).

Preguntas y respuestas sobre la LGPD que van más allá del concepto básico

Preguntas básicas como “¿Qué es la LGPD?”, ” ¿Qué son los datos personales y confidenciales?”, “¿Cuándo entra en vigor la LGPD?” se han dejado de lado para mostrar que la ley de protección de datos está directamente vinculada a los procesos de negocio de su empresa, y por lo tanto el objetivo de la aplicación de la ley de protección de datos debe ser algo más profundo.

Esto significa que las preguntas y respuestas sobre LGPD deben centrarse en las herramientas, características como la adopción de la firma electrónica, el cifrado, la formación, entre otros puntos que no quedaron retratados en nuestra lista. Es necesario ir más allá.

A poco más de un año de su entrada en vigor, las empresas deben estar atentas a los próximos pasos de la Ley General de Protección de Datos. Es decir, la ejecución de las acciones de cumplimiento necesarias antes de la entrada en vigor de la LGPD.

Empresas como EVAL le ayudan a aplicar su estrategia para cumplir los requisitos previstos antes de que entre en vigor la LGPD con soluciones para evaluar riesgos, aplicar políticas, proteger datos, responder a incidentes y solicitudes y demostrar el cumplimiento.

EVAL puede ayudar a su empresa a unificar las operaciones empresariales con la protección y la seguridad de los datos, permitiendo la medición de riesgos en toda la organización para ayudar en la aplicación de un plan integral de cumplimiento de la LGPD.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ley general de protección de datos, lgpd

Protección de datos

ANPD y LGPD: La importancia de la Ley 13.853

Autor de la entrada Por Editorial Eval
Fecha de la entrada 7 de agosto de 2020

El 8 de julio de 2019 se publicó en el Diario Oficial de la Federación (DOU) la Ley Nº 13.853 con el objetivo de formalizar la creación de la Autoridad Nacional de Protección de Datos (ANPD).

Básicamente, la ANPD, como autoridad nacional y organismo de la administración pública, tiene la responsabilidad de garantizar, aplicar y hacer cumplir la Ley General de Protección de Datos (LGPD ) en todo el territorio nacional.

Según la LGPD, la Autoridad Nacional de Protección de Datos está compuesta por:

Consejo de Administración
Consejo Nacional de Protección de Datos Personales y de la Intimidad
Asuntos de Interior
Defensor del Pueblo
Órgano consultivo jurídico propio
Unidades administrativas y unidades especializadas necesarias para la aplicación de la LGPD

Además, el Consejo de Administración de la ANPD estará compuesto por cinco (5) consejeros, incluido el Director General.

Pero la ley 13.853 no consistió sólo en la creación de la ANPD, sino que fue más allá y estableció importantes cambios para las empresas que necesitan adaptarse a las exigencias de la Ley General de Protección de Datos.

Las modificaciones aprobadas eran fundamentales para la aplicabilidad de la LGPD. Ya que sin la creación de la ANPD, la ley corría el riesgo de volverse prácticamente inviable, contradiciendo un sistema que ha demostrado su eficacia en todo el mundo.

Requisitos de la LGPD: la Ley 13.853 fue más allá de la creación de la Autoridad Nacional de Protección de Datos – ANPD

La Ley General de Protección de Datos establece, entre varias competencias, que la ANPD debe velar por la protección de los datos personales y elaborar directrices para la Política Nacional de Protección de Datos Personales y Privacidad.

Por tanto, la Autoridad Nacional de Protección de Datos tiene una gran responsabilidad en cuanto a la supervisión de los requisitos definidos por la LGPD y que deben cumplir las empresas que deben adaptarse a la nueva legislación que entra en vigor en 2021.

Además de consolidar la creación de la ANPD, la Ley 13.853 se encargó de solidificar importantes cambios previstos en la legislación sobre protección de datos y privacidad:

La ley establece que la protección de datos es de interés nacional, evitando la proliferación de leyes estatales y municipales que intentan regular la materia;
El responsable del tratamiento puede ser una persona jurídica, y en su designación participará también el operador de los datos. En la versión original, esta cesión era exclusiva del responsable del tratamiento;
Con los cambios, la ley excluye la obligación de informar al interesado en los casos de tratamiento de datos personales para cumplir una obligación legal o reglamentaria o cuando lo realice la administración pública, para la ejecución de políticas públicas previstas en normas o contratos;
Amplía las hipótesis de comunicación y uso compartido de datos sensibles relacionados con la salud, explicando el alcance a los relacionados con la atención farmacéutica y los servicios auxiliares de diagnóstico y terapia. Además, también en los casos de portabilidad solicitada por el titular, o para las transacciones financieras y administrativas derivadas de la utilización y prestación de dichos servicios;
Se prohíbe a las compañías de seguros de enfermedad utilizar datos sanitarios para la selección de riesgos, o con el fin de contratar o excluir beneficiarios;
Introduce la posibilidad de renunciar a la comunicación por parte del responsable del tratamiento al responsable del tratamiento. Esto, en el caso de compartir datos que hayan sido objeto de corrección, supresión, anonimización o bloqueo de datos, cuando dicha comunicación resulte imposible o represente un esfuerzo desproporcionado.
Establece las condiciones para compartir datos personales, contenidos en bases de datos de organismos gubernamentales, con entidades privadas;
Prevé la posibilidad de conciliación directa entre el responsable del tratamiento y el interesado -en casos de filtraciones individuales o acceso no autorizado- antes de la aplicación de sanciones legales;
Establece la necesidad de que los miembros del Consejo de Administración de la ANPD, elegidos por el Presidente de la República, sean aprobados por el Senado Federal;
Define normas para la composición de la ANPD, sus atribuciones y el origen de sus ingresos;

La ANPD tiene una serie de funciones y responsabilidades, entre ellas investigar a las organizaciones que han sufrido violaciones de datos, imponer sanciones cuando proceda y, en general, auditar a las empresas por sus prácticas de recopilación y almacenamiento de datos.

¿Cómo apoya la ANPD a la Ley General de Protección de Datos y a las empresas?

Como autoridad nacional responsable de supervisar y aplicar sanciones en caso de incumplimiento de la legislación sobre protección de datos y privacidad, la Autoridad Nacional de Protección de Datos también pretende promover buenas prácticas en el tratamiento de datos personales y orientaciones sobre protección de datos.

En la práctica, la publicación de la ley 13.853, por la que se crea la ANPD, consolida las bases jurídicas para el tratamiento, la auditoría de datos y las políticas de privacidad, con el objetivo de garantizar que los datos personales de clientes y empleados se tratan de forma lícita.

La importancia de la ANPD para las empresas

La publicación de la Ley 13.853 fue fundamental para las empresas que ya enfrentan varios desafíos en su búsqueda rutinaria de seguridad de la información en sus procesos de negocio.

A menudo hay limitaciones de tiempo, presupuesto y preocupaciones operativas más acuciantes que pueden tener mayor prioridad que la ciberseguridad.

Pero también hay otros problemas, con la falta de conocimientos en materia de protección de datos y privacidad, que repercuten directamente en el difícil camino de cumplir los requisitos previstos por la LGPD.

Por lo tanto, la Autoridad Nacional de Protección de Datos debe ayudar a las empresas a comprender sus responsabilidades en materia de protección de datos proporcionándoles recursos, apoyo y orientación, adaptados a las necesidades de las organizaciones en función de su segmento, tamaño y aplicabilidad de la ley de protección de datos.

Además, la ANPD también debe promover el conocimiento entre la población de las normas y políticas públicas sobre protección de datos personales y medidas de seguridad, elaborar estudios sobre las prácticas nacionales e internacionales en materia de protección de datos personales y privacidad, y fomentar la adopción de normas para los servicios y productos que faciliten el control de sus datos personales, que deben tener en cuenta las especificidades de las actividades y el tamaño de los responsables.

De hecho, la tecnología está impulsando cambios en el entorno social, político, jurídico y comercial que la Autoridad Nacional de Protección de Datos debe regular.

Los riesgos más importantes para la protección de datos de las personas se derivan ahora del uso de las nuevas tecnologías, por lo que el papel de la ANPD será clave en todo este proceso.

A falta de poco más de un año, las empresas deben estar al tanto de los próximos pasos de la LGPD. Es decir, la aplicación de las medidas de cumplimiento necesarias de conformidad con la ley.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ANPD, Autoridad Nacional de Protección de Datos, ley general de protección de datos, lgpd

Protección de datos

Proyecto de cumplimiento de la LGPD: 4 pasos para aplicarlo

Autor de la entrada Por Editorial Eval
Fecha de la entrada 21 de julio de 2020

El paso esencial para poner en marcha un proyecto conforme al GDPR (Ley General de Protección de Datos ) y cumplir con las nuevas normas de gestión de datos es inventariar a fondo los datos personales que se recopilan en tu empresa.

Básicamente, se trata de responder a preguntas sobre el uso de los datos como: “¿Qué tenemos? ¿Dónde están? ¿Qué podría interpretarse como información protegida?”.

Esta información incluye cualquier cosa que pueda utilizarse para identificar a una persona, como el nombre, el número de teléfono, la dirección e incluso si esa persona prefiere utilizar un formato de 12 o 24 horas.

Pero este proceso no es tarea fácil. Los datos personales cubiertos por la LGPD y otras nuevas leyes de privacidad no sólo aparecen en campos de bases de datos bien definidos. Se necesitan otros pasos importantes para poner en marcha un proyecto conforme al RGPD.

La gestión de datos es sólo el primer paso hacia el cumplimiento del GDPR

Tanto si se crea en un contexto comercial como social, la protección de datos es un concepto con el que todo el mundo debería estar familiarizado.

Aunque todavía se están definiendo algunos aspectos concretos de la aplicación de los requisitos de la ley de protección de datos, la introducción de la LGPD ha coincidido sin duda con una tendencia al alza del celo de los particulares por su derecho a la intimidad, si no ha sido provocada por ella.

La preocupación de los consumidores por la privacidad significa que invertir en un programa de protección de datos aporta mucho más valor que simplemente proteger a las empresas de acciones legales o sanciones económicas.

Quizá lo más importante a la hora de poner en marcha un proyecto que cumpla el GDPR sea la necesidad de mantener la reputación de la marca y la confianza de los consumidores.

A medida que los consumidores se muestran más dispuestos a cambiar su lealtad a favor de una empresa que protege sus datos de forma segura, las empresas pueden aprovechar con confianza su cumplimiento del RGPD para asegurarse una ventaja competitiva.

Más allá de lo básico: 4 pasos para implantar un proyecto conforme al RGPD

A medida que las organizaciones tratan de actualizar la forma en que utilizan los datos y crear procesos más eficaces para preservar los derechos de los interesados, diversas actividades relacionadas con la protección de datos pueden consolidarse en un programa más amplio de control de la información.

Un programa de este tipo debería hacer algo más que simplemente consagrar el cumplimiento de la legislación sobre protección de datos para un ejercicio destinado a evitar multas reglamentarias:

Etapa 1 – Gobernanza: garantiza el cumplimiento de las normas establecidas por la ley y orienta a sus empleados.
Paso 2 – Legal: consentimiento, contrato, obligación legal, intereses vitales, función pública e intereses legítimos.
Etapa 3 – Tecnología: exactitud de los datos: todos los datos conservados deben ser sensibles y estar actualizados.
Paso 4 – Ciberseguridad: garantizar la infraestructura del servicio prestado, las condiciones para que el usuario pueda preservar y gestionar la privacidad, la recogida y el tratamiento de sus datos personales.

La legislación sobre protección de datos abarca todos los aspectos del funcionamiento de una organización. Para maximizar los beneficios empresariales derivados del cumplimiento del RGPD, las empresas deben ampliar la amplitud de sus programas de protección de datos para incorporar la seguridad de la información al diseño de las aplicaciones empresariales y la infraestructura técnica.

La legislación conduce a una propuesta de valor empresarial en materia de protección de datos y privacidad

La legislación de la LGPD exige que en la fase de diseño de cualquier operación de tratamiento, así como en el momento del propio tratamiento, las empresas apliquen medidas técnicas y organizativas apropiadas destinadas a aplicar eficazmente la protección de datos e integrar las salvaguardias necesarias para el tratamiento de datos.

Por lo tanto, los responsables de desarrollar y suministrar sistemas de datos deben estudiar cómo una aplicación adecuada de la privacidad puede promover el negocio, además de protegerlo de multas, y proponerlo como un elemento facilitador del negocio.

El objetivo empresarial de las distintas organizaciones variará, pero se requerirán cambios a nivel de datos y código, por lo que es probable que deban impulsarlos profesionales de la seguridad de la información con un buen conocimiento de la empresa.

Por lo tanto, los beneficios empresariales de la privacidad y la protección de datos deben identificarse y presentarse en un contexto comercial como un factor positivo y no como un coste para evitar multas.

Esta es una oportunidad para que los profesionales de la seguridad de la información destaquen los beneficios financieros que conllevan estas medidas de seguridad mejoradas, y comprometerse con la empresa sólo puede ayudar.

Aunque el coste adicional de diseñar la seguridad no es discrecional, trabajar en un proyecto que cumpla el GDPR puede aumentar el apoyo a la inversión y elevar el perfil y el valor percibido de la función de seguridad, definiendo y desarrollando la madurez empresarial de la empresa.

Traducir los requisitos en un proyecto que cumpla con éxito el GDPR

Una organización con un alto grado de madurez tendrá claramente definidas las funciones y responsabilidades de gobernanza, la gestión de riesgos acordada con los directivos, y los riesgos para la privacidad de los datos priorizados y mitigados eficazmente con todos los controles de datos adecuados para que la probabilidad de que se produzca una violación de datos sea mínima.

Sin embargo, el beneficio de reducir el riesgo sólo se obtendrá si se sustenta en un profundo conocimiento de la empresa, sus operaciones, iniciativas estratégicas y planes futuros.

Para evitar el fracaso de un proyecto de cumplimiento del RGPD y contar con una aceptación segura de la lógica de la aplicación de los cambios en la ley de protección de datos, es importante demostrar que lograr el cumplimiento tiene el beneficio de reducir el riesgo.

En lugar de centrarse en las implicaciones del incumplimiento, las empresas deben utilizar escenarios empresariales y herramientas tecnológicas que reduzcan el impacto de la exposición de datos, como la inclusión de firmas digitales en sus procesos y capacidades tecnológicas.

En última instancia, los beneficios empresariales se obtendrán mejor si la motivación para el cumplimiento es proteger a la organización, en lugar de la presión externa para el cambio.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas gestión de datos, ley general de protección de datos, lgpd, Proyecto conforme a la LGPD

Protección de datos

Intercambio seguro de datos: El gran reto de la sanidad

Autor de la entrada Por Editorial Eval
Fecha de la entrada 26 de mayo de 2020

A pesar de las numerosas ventajas de adoptar un intercambio seguro de datos, la protección de datos y la privacidad serán el principal reto que deberán superar estas organizaciones.

No todo consiste en adoptar tecnologías, como los sistemas de historiales médicos electrónicos; también hay políticas y procesos implicados, además de la concienciación de los usuarios.

De hecho, la protección de datos y la confidencialidad son prioridades absolutas en el sector informático, y la sanidad no será diferente. Pero no siempre es fácil alcanzar estos objetivos a gran escala.

No es de extrañar que el intercambio seguro de datos en la sanidad se considere el gran obstáculo para los próximos años.

Tenga siempre presente la seguridad del paciente

Para muchos expertos en salud y seguridad informática, el intercambio de datos en la sanidad es un “arma de doble filo”.

Por un lado, gestores y médicos quieren innovación en la asistencia sanitaria y que los pacientes puedan decidir qué datos quieren compartir y con quién.

Por otro lado, los profesionales de la tecnología quieren garantizar la protección de datos y la privacidad, por lo que cuando los pacientes permiten que se comparta su información médica, deben entender perfectamente qué ocurre con sus datos y por dónde viaja esa información.

La privacidad de los datos puede convertirse en una trampa

Para que se haga una idea, el 80% de las aplicaciones de salud conductual de la App Store de Apple comparten información con terceros.

Determinar quién tiene acceso a estos datos una vez compartidos puede ser difícil, sobre todo si hay un acuerdo de licencia de usuario final de por medio.

¿Has leído el acuerdo de licencia de usuario final de Facebook? Probablemente tardaría horas. Así que cuando hablamos de compartir datos de forma segura, un acuerdo de licencia de usuario que lleva horas leer y entender no es un consentimiento pensando en la protección de datos y la privacidad.

Esta preocupación también se aplica a las instituciones sanitarias. Las normas adoptadas para el almacenamiento y uso de datos por estas organizaciones también tendrán un impacto significativo en la vida de los pacientes, al poner directamente en sus manos el permiso para compartir datos.

En última instancia, las legislaciones existentes han reducido el riesgo de compartir información entre organizaciones sanitarias, pero si un paciente permite compartir sus datos médicos, la Ley General de Protección de Datos (GDPR ) puede no aplicarse, en caso de problemas.

Invertir en protección de datos y privacidad es fundamental, pero es sólo una etapa hacia un intercambio seguro.

Hoy en día, los sistemas operativos y las soluciones sanitarias están mejor protegidos y los atacantes han desplazado su atención hacia el elemento humano, con el objetivo de irrumpir en los sistemas de información de la organización.

A medida que aumentan el número y la frecuencia de los ciberataques diseñados para aprovecharse de personas inocentes, no puede subestimarse la importancia del factor humano en la gestión de la seguridad de la información.

Para combatir los ciberataques diseñados para explotar los factores humanos en la cadena de protección de datos y privacidad, es primordial reconocer la seguridad de la información con el objetivo de reducir los riesgos para la información sanitaria que se producen debido a las vulnerabilidades relacionadas con el usuario.

La educación, las políticas y los procesos, claves para un intercambio seguro

En octubre de 2019, el sistema sanitario de Alabama, en Estados Unidos, fue víctima de un ataque que le dejó sin poder aceptar nuevos pacientes en tres hospitales. Se pagó una cantidad no revelada para detener un ciberataque y restablecer el funcionamiento de los hospitales.

Pero la inversión en protección de datos y privacidad a través de la tecnología no es lo único que hay que hacer para reducir los riesgos y ataques que sin duda se producirán en esta nueva década. Los recursos tecnológicos son sólo la “punta del iceberg” para garantizar un intercambio de datos seguro.

A menudo, para que se produzcan ataques o se compartan datos de forma indebida, los virus y programas maliciosos necesitan la ayuda de los usuarios para introducirse en los ordenadores.

En el contexto de la seguridad de la información, la ingeniería social es el uso de técnicas para manipular a las personas para que divulguen información comercial o personal confidencial que puede utilizarse con fines fraudulentos.

En otras palabras, se puede engañar a la gente para que divulgue información estratégica que de otro modo no divulgaría.

Los vectores comunes de ataque a los usuarios incluyen:

Phishing: correos electrónicos falsos para engañar a la gente y hacer que haga clic en un enlace o abra un archivo adjunto que contiene una carga maliciosa;

Redes sociales: Las redes sociales pueden ser un poderoso vehículo para convencer a una víctima de que abra una imagen descargada de un sitio web o realice otras acciones comprometedoras;

Mensajería instantánea: los clientes de mensajería instantánea pueden ser pirateados por los ciberdelincuentes y utilizados para distribuir programas maliciosos a la lista de contactos de la víctima;

SMSishing: el SMSishing utiliza mensajes de texto para que los destinatarios naveguen a un sitio web o introduzcan información personal en sus dispositivos;

Las organizaciones deben impartir formación periódica para ayudar a los empleados a evitar las trampas habituales del malware y otras amenazas.

Y para lograr este objetivo, existe una amplia variedad de métodos para concienciar sobre la seguridad de la información, como materiales de formación basados en la web, formación contextual y formación integrada.

¿Por qué necesitan las organizaciones sanitarias políticas y procedimientos de seguridad informática?

El objetivo de las políticas y procedimientos de seguridad informática es hacer frente a las amenazas, aplicar estrategias para mitigarlas y recuperarse de las amenazas que han expuesto a una parte de su organización.

Las políticas y procedimientos de seguridad informática proporcionan a los empleados una hoja de ruta sobre qué hacer y cuándo hacerlo. Recuerde, por ejemplo, las molestas políticas de gestión de contraseñas que tienen todas las empresas.

Si no existiera una política y un procedimiento de este tipo en las organizaciones, ¿cuán habitual sería que la gente utilizara contraseñas sencillas y fáciles de adivinar que, en última instancia, exponen a la organización a un mayor riesgo de robo y/o pérdida de datos?

Las políticas de seguridad de la información de una organización suelen ser conceptos de alto nivel que pueden abarcar un gran número de controles de seguridad.

Emitida por la empresa para garantizar que todos los empleados que utilicen activos informáticos dentro de la organización cumplan las normas y directrices establecidas, la política de seguridad de la información está diseñada para que todos reconozcan que existen normas por las que tendrán que rendir cuentas en relación con la sensibilidad de la información corporativa y los activos informáticos.

El intercambio seguro de datos en sanidad es la convergencia de tecnología y concienciación

La alta dirección de las instituciones sanitarias desempeña un papel importante en la protección de los activos y el intercambio de información en una organización.

La dirección ejecutiva puede apoyar el objetivo de seguridad informática definiendo objetivos y prioridades de seguridad y garantizando las inversiones necesarias para la protección de datos y la privacidad.

Sin embargo, aunque sabemos que el uso de recursos como certificados y firmas digitales, herramientas como antivirus y cortafuegos y personal especializado en seguridad de la información.

Los usuarios finales tienen la responsabilidad de proteger los activos de información a diario, mediante políticas y procesos de seguridad que se han definido, comunicado y deben aplicarse.

El cumplimiento de las políticas de seguridad por parte de los usuarios finales es esencial para mantener la seguridad de la información en una organización; este grupo representa principalmente la protección de la información médica de pacientes y familiares en lo que pueden considerarse los momentos más frágiles de la vida de una persona.

Acerca de Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Etiquetas intercambio de datos, ley general de protección de datos, protección de historiales médicos

Acerca de Eval

Posts recentes

Comentários

Arquivos

Categorias

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
CÓDIGO POSTAL:05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97