Etiqueta: lgpd

Cómo prevenir los ciberataques: claves para protegerse

Autor de la entrada Por Editorial Eval
Fecha de la entrada 1 de febrero de 2022

Aunque los ciberataques y las amenazas son una lucha constante y un gran reto para las empresas, pueden evitarse conociendo los distintos tipos de protocolos, exploits, herramientas y recursos que utilizan los ciberdelincuentes. Además, saber dónde y cómo se pueden producir los ataques garantiza la adopción de medidas preventivas para proteger los sistemas.

Básicamente, los ciberataques se ejecutan con mala intención, cuando un ciberdelincuente intenta explotar una vulnerabilidad en el sistema de una organización o individuos. Estos ataques amenazan con robar, alterar, destruir, inutilizar, obtener acceso o hacer uso de un activo no autorizado.

En la práctica, los ciberataques, las amenazas y el vandalismo son un problema peligroso y creciente para las empresas.

Casi todas las organizaciones modernas necesitan al menos una red informática y los activos que componen su estructura de conectividad, como conmutadores, puntos de acceso y enrutadores, para funcionar en su infraestructura de TI. Además, tenemos como estructura computacional servidores, ordenadores de sobremesa, portátiles, impresoras y otros dispositivos móviles que completan una arquitectura tecnológica.

Por desgracia, aunque estos dispositivos y aplicaciones ofrecen grandes ventajas a la empresa, también pueden suponer un riesgo. Basta una gestión ineficaz de los activos o que un empleado haga clic en un enlace malicioso para que los ciberdelincuentes accedan a su red e infecten sus sistemas.

Pero ese riesgo puede reducirse.

¿Cómo prevenir los ciberataques?

Prevenir una brecha en su red y sistemas requiere protección contra una variedad de ciberataques. Para cada ataque, debe desplegarse/utilizarse la contramedida adecuada para evitar que explote una vulnerabilidad o debilidad.

La primera línea de defensa de cualquier organización es evaluar y aplicar controles de seguridad.

1. Romper el patrón de ciberataque

Prevenir, detectar o detener el ciberataque lo antes posible limita el impacto en el negocio y el posible daño a la reputación.

Aunque suelen ser los atacantes más motivados los que tienen la persistencia necesaria para llevar a cabo ataques en varias fases, a menudo lo hacen utilizando herramientas y técnicas comunes, más baratas y fáciles de usar.

Por lo tanto, implante controles y procesos de seguridad que puedan mitigar los ataques, convirtiendo a su empresa en un objetivo difícil.

Del mismo modo, adopte un enfoque de defensa en profundidad para mitigar el riesgo en toda la gama de posibles ciberataques, dando a su empresa más resistencia para hacer frente a los ataques que utilizan herramientas y técnicas más adaptadas.

2. Reduzca su exposición utilizando controles de seguridad esenciales contra los ciberataques

Afortunadamente, existen formas eficaces y asequibles de reducir la exposición de su organización a los tipos más comunes de ciberataques contra los sistemas expuestos a Internet.

Cortafuegos perimetrales y puertas de enlace a Internet – Establezca defensas perimetrales de red, en particular proxy web, filtrado web, escaneado de contenidos y políticas de cortafuegos para detectar y bloquear descargas ejecutables, bloquear el acceso a dominios maliciosos conocidos e impedir que los ordenadores de los usuarios se comuniquen directamente con Internet.
Protección contra programas maliciosos: establezca y mantenga defensas contra programas maliciosos para detectar y responder a códigos de ciberataques conocidos;
Gestión de parches: corrige las vulnerabilidades conocidas con la última versión del software para evitar los ataques que aprovechan los fallos del software;
Lista de permitidos y control de ejecución: evita que se ejecute o instale software desconocido, incluido AutoRun en unidades USB y CD;
Configuración segura: restrinja la funcionalidad de cada dispositivo, sistema operativo y aplicación al mínimo necesario para el funcionamiento de la empresa;
Política de contraseñas: asegúrese de que existe y se sigue una política de contraseñas adecuada;
Control de acceso de usuarios: incluye la limitación de los permisos de ejecución de los usuarios normales y la aplicación del principio del menor privilegio.

3. Mitigar la fase de “investigación

Toda la información publicada para consumo público debe filtrarse sistemáticamente antes de su publicación para garantizar que se elimine todo lo que pueda ser de valor para un atacante (como detalles de software y configuración, nombres/empleos/títulos de las personas y cualquier dato oculto).

La formación, la educación y la concienciación de los usuarios son importantes. Todos sus usuarios deben comprender cómo la información publicada sobre sus sistemas y su funcionamiento puede revelar posibles vulnerabilidades.

Deben ser conscientes de los riesgos de hablar de temas relacionados con el trabajo en las redes sociales y de la posibilidad de ser blanco de ciberataques y ataques de phishing. También deben comprender los riesgos para la empresa de divulgar información confidencial en conversaciones generales, llamadas telefónicas no solicitadas y destinatarios de correo electrónico.

4. Reducir la fase de “entrega

Las opciones de entrega de que dispone un atacante pueden reducirse significativamente aplicando y manteniendo un pequeño número de controles de seguridad, que son aún más eficaces cuando se aplican combinados:

Una protección antimalware actualizada puede bloquear correos electrónicos maliciosos y evitar que se descarguen programas maliciosos de sitios web;
Los cortafuegos y servidores proxy pueden bloquear servicios inseguros o innecesarios y también pueden mantener una lista de sitios malos conocidos. Del mismo modo, suscribirse a un servicio de reputación de sitios web para generar una lista de sitios denegados también puede proporcionar protección adicional;
Una política de contraseñas técnicamente aplicada impedirá que los usuarios seleccionen contraseñas fáciles de adivinar y bloqueará las cuentas tras un número determinado de intentos fallidos. También deben establecerse medidas adicionales de autenticación para el acceso a información corporativa o personal especialmente confidencial;
La configuración segura limita la funcionalidad del sistema al mínimo necesario para el funcionamiento de la empresa y debe aplicarse sistemáticamente a todos los dispositivos utilizados para llevar a cabo la actividad empresarial.

5. Minimizar la fase de “brecha” del ciberataque

Al igual que en la fase de entrega, la capacidad de explotar con éxito vulnerabilidades conocidas puede mitigarse eficazmente con unos pocos controles, que es mejor desplegar juntos.

Todos los programas maliciosos se basan en fallos de software conocidos y predominantemente parcheados. Una gestión eficaz de los parches contra vulnerabilidades garantiza que éstos se apliquen lo antes posible, limitando así el tiempo que su organización está expuesta a vulnerabilidades de software conocidas;
La protección contra malware en la pasarela de Internet puede detectar código malicioso conocido en un elemento importado, como un correo electrónico. Estas medidas deben complementarse con la protección contra programas maliciosos en los puntos clave de la red interna y en los ordenadores de los usuarios, cuando estén disponibles;
Unos controles de acceso de usuarios bien implantados y mantenidos restringirán las aplicaciones, los privilegios y los datos a los que pueden acceder los usuarios. La configuración segura puede eliminar el software innecesario y las cuentas de usuario predeterminadas. También puede garantizar que se cambien las contraseñas predeterminadas y que se desactiven todas las funciones automáticas que pueden activar programas maliciosos inmediatamente (como AutoRun para unidades multimedia);
La formación, educación y concienciación de los usuarios son extremadamente valiosas para reducir la probabilidad de éxito de la “ingeniería social”. Sin embargo, con las presiones del trabajo y el enorme volumen de comunicaciones, no se puede confiar en esto como control para mitigar ni siquiera un ciberataque;
Por último, la clave para detectar una brecha es la capacidad de supervisar toda la actividad de la red y analizarla para identificar cualquier actividad maliciosa o inusual.

Si se aplican sistemáticamente todas las medidas para las fases de investigación, entrega e infracción, la mayoría de los ciberataques pueden prevenirse.

Sin embargo, si el ciberdelincuente es capaz de utilizar funciones a medida, debe suponer que las evitará y conseguirá entrar en sus sistemas. Lo ideal sería que las empresas tuvieran un buen conocimiento de lo que constituye una actividad “normal” en su red, y una supervisión eficaz de la seguridad debería ser capaz de identificar cualquier actividad inusual.

Una vez que un atacante técnicamente capaz y motivado tiene pleno acceso a sus sistemas, puede ser mucho más difícil detectar sus acciones y erradicar su presencia. Aquí es donde una estrategia completa de defensa en profundidad puede ser beneficiosa.

La solución CipherTrust Data Security Platform permite a las empresas proteger su estructura contra los ciberataques

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Para hacer frente a la complejidad del lugar donde se almacenan los datos, CipherTrust Data Security Platform ofrece sólidas capacidades para proteger y controlar el acceso a datos confidenciales en bases de datos, archivos y contenedores. Las tecnologías específicas incluyen:

Cifrado transparente CipherTrust

Cifre datos en entornos locales, en la nube, de bases de datos, de archivos y de Big Data con controles de acceso exhaustivos y un registro de auditoría de acceso a datos detallado que puede evitar los ciberataques más maliciosos.

Protección de bases de datos CipherTrust

Proporciona un cifrado transparente a nivel de columna de los datos estructurados y confidenciales que residen en bases de datos, como tarjetas de crédito, números de la seguridad social, números de identificación nacional, contraseñas y direcciones de correo electrónico.

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Ofrece servicios de tokenización de datos a nivel de aplicación en dos cómodas soluciones que proporcionan flexibilidad al cliente: Token sin Vault con enmascaramiento dinámico de datos basado en políticas y Tokenización en Vault.

Transformación de datos por lotes de CipherTrust

Proporciona servicios de enmascaramiento estático de datos para eliminar información confidencial de las bases de datos de producción, de modo que se alivien los problemas de conformidad y seguridad cuando se comparte una base de datos con un tercero para su análisis, prueba u otro tipo de procesamiento.

Administrador de CipherTrust

Centraliza las claves, las políticas de gestión y el acceso a los datos para todos los productos CipherTrust Data Security Platform y está disponible en formatos físicos y virtuales conformes con FIPS 140-2 Nivel 3.

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las empresas proteger los datos en reposo y en movimiento en todo el ecosistema de TI y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.

Simplifica la seguridad de los datos, mejora la eficacia operativa y acelera el cumplimiento de la normativa. Independientemente de dónde residan sus datos.

La plataforma CipherTrust garantiza la seguridad de sus datos, con una amplia gama de productos y soluciones probados y líderes en el mercado para su implantación en centros de datos, ya sean los gestionados por proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP), o como un servicio basado en la nube gestionado por Thales, empresa líder en seguridad.

Cartera de herramientas que garantizan la protección de los datos contra los ciberataques

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su empresa puede:

Reforzar la seguridad y el cumplimiento frente a ciberataques

Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza, Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), Ley General de Protección de Datos (LGPD)entre otros requisitos de cumplimiento.

Optimiza la eficacia del equipo y los recursos contra los ciberataques

La plataforma de seguridad de datos de CipherTrust ofrece el soporte más amplio del sector para casos de uso de seguridad de datos, con productos diseñados para trabajar juntos, una única línea para soporte global, un historial probado de protección contra amenazas en evolución y el mayor ecosistema de asociaciones de seguridad de datos del sector.

Centrada en la facilidad de uso, las API para la automatización y la gestión receptiva, la solución CipherTrust Data Security Platform garantiza que sus equipos puedan implementar, asegurar y supervisar rápidamente la protección de su empresa.

Además, disponemos de servicios profesionales y socios para el diseño, la implantación y la formación, con el fin de garantizar una implantación rápida y fiable con un mínimo de tiempo del personal.

Reduce el coste total de propiedad

La cartera de protección de datos de CipherTrust Data Security Platform ofrece un amplio conjunto de productos y soluciones de seguridad de datos que pueden ampliarse fácilmente, expandirse para nuevos casos de uso y tener un historial probado de protección de tecnologías nuevas y tradicionales.

Con la plataforma de seguridad de datos CipherTrust, las empresas pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, ley general de protección de datos, lgpd, protección de datos

Lucha contra los ciberataques: la importancia de la prevención

Autor de la entrada Por Editorial Eval
Fecha de la entrada 14 de diciembre de 2021

A lo largo de 2021, particulares, empresas y gobiernos se han preocupado por combatir los ciberataques.

Mantener nuestros datos a salvo en un mundo en el que todo está en Internet, desde los diarios de viaje hasta la información de las tarjetas de crédito, la protección de datos se ha convertido en uno de los retos más acuciantes de la ciberseguridad.

El ransomware, los ataques de phishing, los ataques de malware y otras amenazas a la ciberseguridad son algunos ejemplos. No es de extrañar que uno de los ámbitos de la informática que más crece sea la lucha contra los ciberataques.

Las organizaciones reconocen cada vez más la necesidad de proteger los datos.

Las empresas en particular están prestando más atención, ya que las violaciones de datos causan grandes daños cada año y exponen grandes cantidades de información personal.

La lucha contra los ciberataques aumenta a medida que la sociedad está cada vez más conectada

Aunque muchos de los ataques que se produjeron en 2021 se debieron al aumento del uso de Internet como consecuencia de la pandemia de coronavirus y blockchain, la amenaza para las empresas sigue siendo importante.

Se calcula que el coste de la lucha contra los ciberataques en todo el mundo alcanzará los 10,5 billones de dólares en 2025, según la organización
Cybersecurity Ventures
especializada en ciberdelincuencia, las amenazas que plantean los ciberdelincuentes no harán sino aumentar a medida que las organizaciones dependan cada vez más de Internet y la tecnología.

Los casos de ransomware han aumentado en 2021 alrededor de un 62% desde 2019, y se considera la principal amenaza de este año. De hecho, las ciberamenazas son cada vez más sofisticadas en esta época y mucho más difíciles de detectar.

La naturaleza de todos los ataques es mucho más peligrosa que un simple robo. Así pues, profundicemos un poco más en este debate mostrando los principales casos de ciberataques que se producirán en 2021.

El oleoducto colonial

Si vamos a hablar de ciberataques que tendrán lugar en 2021, Colonial Pipeline debería estar en la lista.

Considerado el mayor oleoducto de combustible de Estados Unidos, sufrió un ciberataque en mayo de 2021 que interrumpió la distribución de combustible en 12 estados durante unos días. La empresa tuvo que pagar 4,5 millones de dólares como rescate para resolver la situación.

Sistema de abastecimiento de Florida

Un ciberdelincuente intentó envenenar el suministro de agua en Florida y consiguió aumentar la cantidad de hidróxido de sodio hasta un nivel potencialmente peligroso.

Los ciberataques se produjeron al piratear los sistemas informáticos de la planta de tratamiento de aguas de la ciudad de Oldsmar, aumentando brevemente la cantidad de hidróxido de sodio de 100 partes por millón a 11.100 partes por millón. Este escenario es un ejemplo de cómo una invasión de infraestructuras críticas a cualquier nivel pone en peligro la vida de los residentes.

Microsoft Exchange

Un ciberataque masivo ha afectado a millones de clientes de Microsoft en todo el mundo, en el que los ciberdelincuentes explotaron activamente cuatro vulnerabilidades de Día Cero en la solución Exchange Server de Microsoft.

Se cree que al menos nueve agencias gubernamentales, así como más de 60.000 empresas privadas sólo en Estados Unidos, se han visto afectadas por el ataque.

Fabricante de aviones Bombardier

Un popular fabricante canadiense de aviones, Bombardier, sufrió una violación de datos en febrero de 2021. La filtración puso en peligro datos confidenciales de proveedores, clientes y unos 130 empleados ubicados en Costa Rica.

La investigación reveló que una parte no autorizada accedió a los datos aprovechando una vulnerabilidad en una aplicación de transferencia de archivos de terceros.

Ordenadores Acer

El mundialmente conocido gigante informático Acer sufrió un ataque de ransomware y se le pidió que pagara un rescate de 50 millones de dólares, lo que supuso el récord del mayor rescate conocido hasta la fecha.

Se cree que un grupo de ciberdelincuentes llamado Revil es el responsable del ataque. Los delincuentes digitales también anunciaron la brecha en su sitio web y filtraron algunas imágenes de los datos robados.

En Brasil no fue diferente en cuanto a la intensidad de los ciberataques y delitos

En una encuesta realizada por la empresa de seguridad digital Avast, los ciberdelincuentes siguen aprovechándose de la pandemia del Covide-19 explotando los hábitos de la gente creados durante el periodo de bloqueo para propagar estafas.

Siguiendo la tendencia mundial, los ataques de ransomware, malware de criptomoneda, entre otras estafas, fueron frecuentes en Brasil.

En el caso de los dispositivos móviles, el adware y el fleeceware figuran entre las principales amenazas. Según Avast, el crecimiento de los ataques de ransomware en Brasil fue superior a la media mundial.

Combatir los ciberataques es ya hoy una gran preocupación para la mayoría de las empresas brasileñas, ya que muchos de estos ataques se produjeron apenas en 2021, como el ocurrido en Lojas Renner, que paralizó completamente el sistema.

Todavía tuvimos el caso del grupo Fleury, que no pudo realizar pruebas durante varios días, y JBS, que se vio obligada a pagar US$ 11 millones de rescate por el ataque de hackers a su operación en Estados Unidos, todas estas situaciones pusieron el tema aún más en evidencia en Brasil.

Organismos y empresas vinculados al gobierno brasileño también han sido blanco de los ciberdelincuentes. La Seguridad Social, el Ministerio de Trabajo, el Ministerio Público Federal y Petrobras, entre otras organizaciones, también sufrieron ataques.

Ya en 2021, la LGPD ofreció a las empresas la oportunidad de replantearse su forma de combatir la ciberdelincuencia.

La Ley General de Protección de Datos (LGPD) entró en vigor en septiembre de 2020. El objetivo general de la nueva legislación es establecer un marco normativo para la protección de los datos personales, facilitando a todos los ciudadanos brasileños la comprensión del uso que se hace de sus datos y, en caso necesario, la presentación de una reclamación sobre su tratamiento.

La finalidad de la LGPD puede resumirse en tres puntos clave:

Reforzar los derechos de las personas;
Desarrollar la capacidad de los agentes implicados en el tratamiento de datos;
Aumentar la credibilidad de la normativa mediante la cooperación entre las autoridades de protección de datos.

Si algo consiguió la LGPD durante 2021 fue concienciar sobre la protección de datos y la privacidad. En la práctica, las empresas no pueden esconder los incidentes bajo la alfombra por el riesgo de multas basadas en los ingresos.

La ley de protección de datos también ha dado a las empresas más visibilidad sobre los datos que recopilan. El principio básico de la LGPD es que las empresas sepan qué datos tienen y se aseguren de que los tratan de forma correcta y segura.

Las empresas que cumplen la LGPD disponen ahora de los elementos básicos que necesitan para elaborar un buen programa de seguridad de la información, porque si no sabes lo que tienes, no sabes lo que tienes que proteger.

La Ley de Protección de Datos y Privacidad también ha cambiado la ecuación financiera para las organizaciones en lo que respecta al riesgo de privacidad. Esto ha animado a las empresas a pensar de forma holística sobre los riesgos y a invertir en la mejora de los controles y la gobernanza de la privacidad.

Invertir en 2022 y más allá. La solución CipherTrust permite luchar contra la delincuencia digital

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Cifrado transparente CipherTrust

Protección de bases de datos CipherTrust

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Transformación de datos por lotes de CipherTrust

La solución de CipherTrust diseña productos y soluciones de protección de datos contra ciberataques para satisfacer una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza.

Administrador de CipherTrust

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

Simplifica la seguridad de los datos frente a los ciberataques, mejora la eficacia operativa y acelera el cumplimiento de las normativas. Independientemente de dónde residan sus datos.

La plataforma CipherTrust ofrece una amplia gama de productos y soluciones probados y líderes del mercado para garantizar la lucha contra los ciberataques.

Estos productos pueden implantarse en centros de datos o en proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP). Además, también es posible contar con el servicio en la nube gestionado por Thales, empresa líder en el segmento de la seguridad.

Cartera de herramientas de lucha contra la ciberdelincuencia garantizada

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su empresa puede:

Reforzar la seguridad y el cumplimiento de la normativa

CipherTrust diseña sus productos y soluciones de protección de datos contra ciberataques para satisfacer una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza.

Además, estos productos también cumplen la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), la Ley General de Protección de Datos (LGPD) y otros requisitos de conformidad.

Optimiza la eficacia del equipo y los recursos frente a incidentes de seguridad

La plataforma de seguridad de datos CipherTrust es líder del sector y ofrece un amplio soporte para casos de uso de seguridad de datos.

Con productos diseñados para trabajar juntos, un único hilo conductor para la asistencia global y un historial probado de protección contra las amenazas en evolución, esta plataforma también cuenta con el mayor ecosistema de asociaciones de seguridad de datos del sector.

La solución CipherTrust Data Security Platform se desarrolló centrándose en la facilidad de uso, con API para la automatización y la gestión receptiva.

Con esta solución, sus equipos pueden desplegar, asegurar y supervisar rápidamente la protección de su empresa contra los ciberataques.

Además, se dispone de servicios profesionales y socios para ayudar en la implantación y formación del personal, garantizando implantaciones rápidas y fiables.

De este modo, puede reducir el tiempo que necesita su personal para estas actividades.

Reduce el coste total de propiedad

La plataforma de seguridad de datos CipherTrust ofrece un amplio conjunto de productos y soluciones de seguridad de datos para proteger contra los ciberataques.

Esta cartera puede ampliarse fácilmente para adaptarse a nuevos casos de uso y tiene un historial probado de protección de tecnologías tanto nuevas como tradicionales.

Con la plataforma de seguridad de datos de CipherTrust, las empresas pueden preparar sus inversiones para combatir los ciberataques al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, lgpd, protección de datos, ransomware, seguridad de los datos

Protección de datos

Ciberataque a entidades financieras, un riesgo real

Autor de la entrada Por Editorial Eval
Fecha de la entrada 3 de noviembre de 2021

Bancos, fintechs y otras empresas del sector financiero han sido uno de los principales objetivos de los ciberataques a entidades financieras debido a la abundancia de información confidencial contenida en los ficheros de clientes.

Sobre todo porque cada vez más gente se pasa a la banca electrónica y busca formas alternativas y sin contacto de pagar durante la pandemia.

Ahora, una nueva ola de soluciones financieras, como Pix y Open Banking, está surgiendo para facilitar a los clientes las transacciones en tiempo real, pero amplificando aún más el panorama de las amenazas.

Junto con las crecientes amenazas, las instituciones financieras también deben cumplir los requisitos normativos, como la Ley General de Protección de Datos (LGPD), o de lo contrario se aplicarán multas y sanciones reglamentarias, lo que amplifica aún más los riesgos de grandes pérdidas para las empresas relacionadas con el segmento.

Según un estudio del Boston Consulting Group, las empresas de servicios financieros tienen 300 veces más probabilidades que otras empresas de ser objeto de ciberataques, como phishing, ransomware y otros ataques de malware, e incluso amenazas internas.

Las entidades financieras deben adoptar un enfoque más proactivo frente a los ciberataques o se arriesgan a sufrir violaciones de datos devastadoras

Los ciberdelincuentes tienen diferentes motivos a la hora de llevar a cabo ciberataques contra instituciones financieras, pero en el caso de los ciberdelincuentes, su objetivo es el beneficio económico.

Las instituciones financieras poseen una gran cantidad de información personal y financiera, lista para ser monetizada en caso de violación, incluidas las carteras de criptomonedas y la transferencia de dinero a través de Pix.

Al igual que otros métodos de ataque, los ciberdelincuentes trabajan para comprometer las credenciales de las cuentas a través del phishing. Basta con que un empleado reutilice las credenciales de una cuenta, como las contraseñas, para que los atacantes tengan todo lo que necesitan para llevar a cabo ciberataques contra instituciones financieras y sembrar el caos.

El ransomware es un tipo de malware que cifra archivos confidenciales o bloquea el acceso de las empresas a sus sistemas. La única forma de desbloquearlo es con una clave matemática que sólo el atacante conoce, y que recibirás tras pagar un rescate.

En el segmento financiero, el ransomware es uno de los ciberataques más comunes. Solo en 2017, el 90 % de las instituciones financieras sufrieron un ataque de ransomware. En 2020, el objetivo era la tercera mayor empresa fintech del mundo, Finastra.

¿Por qué es tan eficaz el ransomware para los ciberdelincuentes? Porque, la mayoría de las veces, es mucho más rápido y barato pagar el rescate que sufrir un tiempo de inactividad.

Afrontar los riesgos de los ciberataques: detectar y gestionar las amenazas

En la práctica, los bancos, las fintech y otras entidades financieras pueden seguir buenas prácticas de seguridad para garantizar la protección de su organización, sin dejar de cumplir la normativa.

Implantar capacidades de supervisión continua y detección de amenazas es el primer paso para colmar las evidentes lagunas de seguridad a las que se enfrentan muchos bancos e instituciones financieras.

De hecho, los ataques de ransomware no suelen ser un hecho aislado. De hecho, esto puede ocurrir varias veces en la misma empresa.

Independientemente de si una organización ha sufrido un incidente o no, es importante supervisar toda la gama de redes y aplicaciones del entorno informático de forma continua, en lugar de realizar evaluaciones periódicas.

Con ese tipo de visibilidad constante, las empresas saben si están en peligro o seguras.

Cada vez es más importante que los bancos y las fintech construyan una base sólida mediante la adopción de tecnologías y procesos de seguridad que aprovechen su capacidad para detectar ciberataques contra instituciones financieras lo antes posible.

Estas tecnologías pueden ayudar a las instituciones a protegerse de varias formas, por ejemplo, proporcionando un contexto importante para el comportamiento anómalo, señalando indicadores conocidos de peligro y acelerando la detección de amenazas y la respuesta a las mismas.

Sin embargo, la detección por sí sola no impide que los ciberdelincuentes ataquen.

Una vez detectadas las actividades sospechosas que pueden indicar las primeras fases de un ataque, es importante que las empresas dispongan de controles para detener la actividad futura y de un plan de respuesta a incidentes para mitigar el ataque.

El cifrado y la integridad de los datos también forman parte de la estrategia de protección contra los ciberataques

La gente utilizará cualquier aplicación financiera basándose en la confianza de que sus datos están seguros en sus manos, por lo que las violaciones de datos a través de ransomware son tan perjudiciales para la reputación de los bancos y las fintech.

Además de generar confianza, el cifrado es una de las formas más sencillas de cumplir la mayoría de las normativas gubernamentales. De hecho, muchos organismos de control incluso lo exigen.

Por ejemplo, además de la LGPD, las Payment Card Industry Data Security Standards (PCI DSS) exigen a las empresas que cifren la información de las tarjetas de crédito antes de almacenarla en su base de datos.

Cifrar los datos es crucial.

Sin embargo, cifrar los datos sólo durante el almacenamiento no es suficiente. A menos que no tenga previsto trasladar sus datos, cifrarlos durante el transporte es igualmente crucial.

Esto se debe a que los ciberdelincuentes pueden espiar las conexiones del servidor de aplicaciones e interceptar cualquier dato enviado.

Las copias de seguridad y la recuperación en caso de catástrofe, la forma más eficaz de reducir el tiempo de inactividad de las entidades financieras

Planificar las posibles interrupciones puede reducir el impacto para los bancos, las Fintech y otras instituciones financieras no solo en tiempo valioso, sino también en cantidades significativas de dinero en términos de pérdida de ingresos, credibilidad y servicios de recuperación.

Un informe reciente de Sophos, “
Estado del ransomware 2021
“, mostraba que el coste total medio de recuperarse de un ataque de ransomware podría ascender a 2 millones de dólares.

Crear un plan contra los ciberataques a instituciones financieras antes de que se produzca el desastre también sitúa a las organizaciones en una mejor posición para evitar el pago de rescates gracias a la capacidad de reanudar las operaciones.

Una sólida capacidad de recuperación en caso de catástrofe puede limitar el impacto de los ciberataques a una interrupción menor, en lugar de un acontecimiento que acabe con el negocio.

La plataforma de seguridad de datos CipherTrust permite la protección contra ciberataques a instituciones financieras

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Para hacer frente a la complejidad del lugar donde se almacenan los datos, la plataforma de seguridad de datos CipherTrust ofrece sólidas capacidades para proteger y controlar el acceso a datos confidenciales en bases de datos, archivos y contenedores frente a ciberataques. Las tecnologías específicas incluyen:

Cifrado transparente CipherTrust

Cifra los datos en entornos locales, en la nube, de bases de datos, archivos y Big Data con controles de acceso exhaustivos y un registro de auditoría detallado del acceso a los datos que puede evitar los ciberataques más malintencionados.

Protección de bases de datos CipherTrust

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Transformación de datos por lotes de CipherTrust

Administrador de CipherTrust

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

Simplifica la seguridad de los datos, mejora la eficacia operativa y acelera el cumplimiento de la normativa. Independientemente de dónde residan sus datos.

Cartera de herramientas que garantizan la protección de datos contra la ciberdelincuencia

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su empresa puede:

Reforzar la seguridad y el cumplimiento de la normativa contra los ciberataques

Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza, la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) y la Ley General de Protección de Datos (LGPD), entre otros requisitos de cumplimiento.

Optimiza la eficacia del equipo y de los recursos

Reduce el coste total de propiedad

Con la plataforma de seguridad de datos CipherTrust, las empresas pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, Ciphertrust, lgpd, protección de datos

Protección de datos

Políticas de seguridad: éxito sólo en el 41% de las empresas

Autor de la entrada Por Editorial Eval
Fecha de la entrada 5 de octubre de 2021

Aunque los ciberataques y las amenazas son una lucha constante, pueden evitarse conociendo las políticas de seguridad, los distintos tipos de protocolos, los exploits, las herramientas y los recursos que utilizan los malintencionados.

Además, saber dónde y cómo esperar los ataques le garantiza que está poniendo en marcha medidas preventivas para proteger sus sistemas.

Los ciberataques, las amenazas y el vandalismo son un problema peligroso y creciente para las empresas. Casi todas las empresas modernas necesitan una red de ordenadores, servidores, impresoras, conmutadores, puntos de acceso y enrutadores para funcionar.

El objetivo principal de cualquier política de seguridad informática es cumplir toda la legislación vigente y otros requisitos de seguridad para proteger la integridad de sus miembros y los datos corporativos que residen en la infraestructura tecnológica de la empresa.

Pero este reto sigue siendo para unos pocos. Así lo demuestra un estudio realizado por el Centro de Información y Coordinación Ponto BR (NIC.br), según el cual el 41% de las empresas brasileñas tienen políticas de seguridad bien establecidas contra los ciberataques.

La aplicación de estas políticas se considera una buena práctica a la hora de desarrollar y mantener un programa de ciberseguridad. A medida que más empresas desarrollan programas digitales, se necesitan políticas de seguridad eficaces para combatir eficazmente los ciberataques.

¿Qué es una política de seguridad y por qué es importante para combatir los ciberataques?

Básicamente, una política de seguridad es un conjunto de prácticas y procedimientos normalizados destinados a proteger la red de una empresa frente a las amenazas.

Normalmente, la primera parte de la política de ciberseguridad se centra en las expectativas generales de seguridad, las funciones y las responsabilidades en la organización. La segunda parte puede incluir secciones para diversas áreas de la ciberseguridad, como directrices para el software antivirus o el uso de aplicaciones en la nube.

Por defecto, el CISO dirige el desarrollo y las actualizaciones de una política de seguridad. Sin embargo, los CISO también deben trabajar con ejecutivos de otros departamentos para crear políticas actualizadas en colaboración.

Los equipos deben empezar con una evaluación de riesgos de ciberseguridad para identificar las vulnerabilidades de la organización y las áreas susceptibles de sufrir ciberataques y filtraciones de datos.

Es importante comprender la tolerancia de la organización a los distintos riesgos de seguridad, destacando los problemas clasificados como de bajo riesgo y los que amenazan la supervivencia de la organización. A continuación, el personal debe considerar los requisitos reglamentarios que debe cumplir para mantener la conformidad.

A continuación, los CISO pueden determinar qué nivel de seguridad debe implantarse para las brechas de seguridad y áreas de preocupación identificadas. Recuerde que los CISO deben ajustar el nivel de protección necesario a la tolerancia al riesgo de la organización.

De este modo, la organización garantiza que las zonas con menor tolerancia al riesgo reciban el mayor nivel de seguridad.

¿Cuáles son las cuestiones de seguridad de la información que deben abordar las políticas de ciberseguridad contra los ciberataques?

Si su organización no dispone de una política de seguridad de la información para ningún área de interés, es probable que la seguridad en esa área esté en peligro: desorganizada, fragmentada e ineficaz.

Las cuestiones que deben abordar las políticas de seguridad difieren según las organizaciones, pero algunas de las más importantes son:

Seguridad física

¿Cómo se gestiona la seguridad en los centros de datos, salas de servidores y terminales de las oficinas de las empresas y otros lugares?

Las políticas de seguridad física cumplen una amplia gama de objetivos, como la gestión de accesos, la supervisión y la identificación de zonas seguras.

Conservación de datos

¿Qué datos recoge y trata la empresa? ¿Dónde, cómo y durante cuánto tiempo debe almacenarse?

Las políticas de conservación de datos afectan a varios ámbitos, como la seguridad, la privacidad y el cumplimiento de la normativa.

Cifrado de datos

¿Cómo gestiona la organización la seguridad del almacenamiento y la transmisión de datos?

Además de los objetivos de cifrado, las políticas de cifrado de datos también pueden tratar objetivos y normas en torno a la gestión de claves y la autenticación.

Control de acceso

¿Quién puede acceder a los datos sensibles y qué sistemas deben implantarse para garantizar que los datos sensibles se identifican y protegen de accesos no autorizados?

Formación en seguridad

La seguridad depende tanto de las personas como de la tecnología y los sistemas.

Los errores humanos contribuyen a muchas violaciones de la seguridad que podrían haberse evitado si los empleados y directivos hubieran recibido la formación suficiente.

Gestión de riesgos

Las políticas de gestión de riesgos de seguridad de la información se centran en las metodologías de evaluación de riesgos, la tolerancia de la organización a los riesgos en varios sistemas y quién es responsable de la gestión de amenazas.

Continuidad de las actividades

¿Cómo reaccionará su organización ante un incidente de seguridad que amenace procesos y activos empresariales críticos?

La seguridad y la continuidad de la actividad empresarial interactúan de muchas maneras: las amenazas a la seguridad pueden convertirse rápidamente en riesgos para la continuidad de la actividad empresarial, los procesos y la infraestructura que utilizan las empresas para mantener el curso de los negocios deben diseñarse teniendo en cuenta la protección.

Hemos cubierto sólo algunos puntos clave de las políticas de seguridad relevantes para las empresas de muchos sectores diferentes.

Pero cada organización es diferente, y el contenido de las políticas debe adaptarse a las circunstancias únicas de su empresa, y debe evolucionar a medida que cambien las circunstancias.

Compromiso con los principales requisitos de protección y cumplimiento

Eval y THALES pueden ayudarle a desarrollar las políticas de seguridad de su empresa, cumpliendo los requisitos clave de protección y conformidad.

Las empresas deben priorizar los riesgos de los datos creando una política de clasificación basada en la sensibilidad de los datos.

Deben elaborarse y aplicarse políticas que determinen qué tipos de información son confidenciales y qué métodos, como el cifrado, deben utilizarse para proteger dicha información.

Además, las empresas deben supervisar la transmisión de información para garantizar el cumplimiento y la eficacia de las políticas.

Afortunadamente, las nuevas soluciones tecnológicas pueden ayudar a las empresas a obtener una visibilidad completa de sus datos sensibles y reforzar el cumplimiento de los requisitos de protección, como la Ley General de Protección de Datos (GDPR).

La plataforma de seguridad de datos de CipherTrust permite a las organizaciones descubrir su información sensible, evaluar el riesgo asociado a esos datos y, a continuación, definir y aplicar políticas de seguridad.

Además de facilitar el cumplimiento de la ley de protección de datos en cualquier momento, su empresa puede ahorrar dinero al tiempo que se gana la confianza de sus clientes y socios.

Su empresa cumple la normativa con la ayuda de Eval

Una política de seguridad de la información sólida es el pegamento que une todos los controles de seguridad y requisitos de cumplimiento y es el documento que describe la estrategia de protección y privacidad en toda la organización.

Al mismo tiempo, puede ser una gran herramienta de rendición de cuentas cuando se trata de la confianza del consumidor. Para ser eficaz, una política de seguridad debe ser aceptada por toda la empresa para gestionar y actualizar eficazmente los controles de seguridad necesarios en un mundo de riesgos cibernéticos en constante evolución.

Si se gestiona bien y se sigue en consecuencia, la gestión de políticas es la base para lograr el cumplimiento del GDPR o de cualquier otra normativa futura sobre privacidad.

Aplicando marcos como la LGPD, se devuelve un mayor control a las personas/consumidores. Este control adicional contribuye en gran medida a aumentar el nivel de confianza que la gente siente hacia las empresas. Y, a su vez, puede aumentar los ingresos y los beneficios.

Los requisitos de la LGPD son mucho más que una lista de comprobación y si su organización procesa los datos personales de los interesados aquí en Brasil, debe tomarse el tiempo necesario para explorar los controles de seguridad que tiene establecidos para respaldar los requisitos de la ley de privacidad y garantizar que la información personal se protege y procesa adecuadamente.

Las organizaciones deben ser transparentes con sus clientes sobre las bases jurídicas de la recogida de datos y ofrecerles el control sobre si quieren o no compartir sus datos con otros.

A continuación, las organizaciones deben seguir adelante y asegurarse de que sólo utilizan los datos que recogen para los fines descritos inicialmente, siempre dentro de los límites del consentimiento proporcionado por sus clientes, y asegurarse de que respetan todos los derechos que les otorga la nueva legislación.

Para obtener más información sobre la plataforma de seguridad de datos CipherTrust, póngase en contacto ahora con los expertos de Eval.

Acerca de Eval

Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, ley general de protección de datos, lgpd, política de seguridad

Protección de datos

Ataques de ransomware: en aumento para empresas y gobiernos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 24 de agosto de 2021

¿Ha oído hablar de los ataques de ransomware? Lo más probable es que el término sea cada vez más frecuente en las noticias.

La expresión deriva del inglés
rescate
(rescate) con
ware
(software) se utiliza para definir cuando un sistema está contaminado por un
malware
(software malicioso) y se exige una cantidad para liberar la máquina y los archivos.

Los ciberdelincuentes se mueven y varios modelos de negocio han sido víctimas en los últimos años, desde empresas privadas hasta organismos públicos.

Recientemente, según una nota publicada por el Gobierno
el Tesoro Nacional sufrió un ataque de ransomware
y “los efectos de la acción delictiva están siendo evaluados por expertos en seguridad de la Secretaría del Tesoro Nacional y la Secretaría de Gobierno Digital”.

Otra víctima fue Lojas Renner, que sufrió el ataque el jueves (19/08) y tuvo su web y app caídas durante 2 días seguidos.

Para las organizaciones que caen víctimas, esto puede dar lugar a importantes pérdidas financieras, tanto en términos del rescate cobrado como de la pérdida de ventas y credibilidad.

¿Por qué aumentan los ataques de ransomware?

Según una
investigación de Statista
solo en 2020 se registraron 304 millones de ataques de ransomware en todo el mundo, lo que supone un aumento del 62 % con respecto al año anterior.

Así que, con datos como estos en mente, y con tantos informes de empresas y gobiernos que han sido víctimas de ciberdelincuentessurge la pregunta: ¿por qué aumenta el número de ataques?

Esto se debe a que, con el avance de la tecnología, ha cambiado la forma de operar de las empresas. Consideremos 3 ejemplos.

Mayor virtualización

La virtualización se refiere a à adopción de un entorno virtual para utilizar diferentes aplicaciones y sistemas operativos en una única máquina física.

Es una técnica utilizada por las empresas de TI (tecnologías de la información) para mejorar o infraestructura existente, facilitando la escalabilidad del negocio.

Sin embargo, a la hora de implantar esta solución, es importante que las startups se mantengan alerta y busquen formas de garantizar la seguridad ya que los entornos virtualizados pueden cambiar rápidamente, por lo que se requieren profesionales formados para mantener una gestión adecuada y garantizar así que la organización esté libre de ataques de ransomware.

Exposición de datos sensibles en la nube

Otra medida que muchas empresas han implantado en los últimos años son los servicios en la nube.
computación en nube
(computación en nube).

Según
previsiones de Gartner
se espera que el gasto en servicios de nube pública en el año 2021 alcance los 332.300 millones de dólares, lo que representa un aumento del 23,1% en comparación con el año 2020.

Esto demuestra el creciente aumento del uso de soluciones en la nube. Con esta migración, ahora se almacenan muchos datos sensibles en nube.

Sin embargo, aunque la información en la nube esté mejor protegida que el almacenamiento local, esto no significa que no sea necesario desarrollar estrategias de seguridad.
desarrollar estrategias de seguridad.

A modo de ejemplo, es esencial establecer políticas para controlar políticaspara que la información esté protegida.

También según Statista, muchas empresas no se sienten plenamente preparadas a la hora de adoptar una solución en la nube y entre las principales razones se encuentran las
dificultades con la seguridad, la gobernanza y la falta de experiencia del personal.
.

Como resultado, muchos ciberdelincuentes pueden aprovecharse de ello para llevar a cabo ataques de ransomware.

Falta de despliegue de tecnologías de protección contra los ataques de ransomware

Teniendo en cuenta los puntos anteriores, es importante destacar que aunque muchas empresas están abrazando la transformación digital, también es
necesario implementar tecnologías de protección
tales como:

Criptografía;
Aprendizaje automático
(ML);
Sistemas de copia de seguridad
copia de seguridad
e
recuperación de desastres
;
Entre otros.

¿Cómo protegerse de los ataques de ransomware?

Para garantizar la seguridad de su empresaes esencial aplicar políticas internas para que todos los empleados las sigan y contribuyan a la prevención, tales comocomo por ejemplo

Gestión del acceso;
Compruebe las URL de las páginas;
Tenga cuidado al hacer clic en los enlaces de los correos electrónicos;
Entre otros.

También es muy importante contar con un buen antivirus y hacer copias de seguridad periódicas.

Otra estrategia clave es aplicar una solución de solución de cifrado, para que en caso de que su empresa sufra ataques de ransomware, con el uso del cifrado, su información estará protegida y no podrá ser leída por los delincuentes.

Más información sobre la protección de datos confidenciales mediante cifrado.

¿Cómo elegir la forma más adecuada de proteger los datos contra los ataques de ransomware?

La plataforma de seguridad de datos CipherTrust de Thales garantiza toda la estructura e integridad de los datos de su empresa, así como el formato de los campos de la base de datos, sea cual sea: Oracle, SQL, MySQL, DB2PostGreetc.

De forma sencilla, completa y eficaz, la solución CipherTrust ofrece funciones para proteger y controlar el acceso a bases de datos, archivos y contenedores, y puede proteger activos ubicados en entornos de nube, virtuales, de big data y físicos.

Con CipherTrust, puede proteger los datos de su empresa y anonimizar sus activos sensibles, garantizando la seguridad de su negocio y evitando futuros problemas de fuga de datos.

Ponte en contacto con Eval. Nuestros expertos podrán ayudarle, contribuyendo al desarrollo de sus proyectos de protección de datos y a la mejora continua de su empresa.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ataques de ransomware, ley general de protección de datos, lgpd, protección de datos

Protección de datos

¿Se aplica el cumplimiento de la LGPD en los centros sanitarios?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 6 de julio de 2021

Desde la entrada en vigor de la Ley General de Protección de Datos – LGPD, la protección de los datos personales se ha convertido en un reto mayor para el sector sanitario. Esto significa que la información debe gestionarse con un enfoque más holístico.

Las organizaciones sanitarias deben disponer de procedimientos que puedan ponerse en marcha inmediatamente para abordar el cumplimiento del RGPD. Empezando por ser más precavidos con los datos personales, sabiendo dónde se almacenan y cómo se procesan.

Esto se aplica al sector público y privado: hospitales y clínicas, atención dental, farmacias, residencias de ancianos, laboratorios de diagnóstico, tiendas de productos farmacéuticos y todas las demás empresas u organizaciones que procesan datos relacionados con la salud.

Para evitar cualquier infracción, las organizaciones sanitarias deben aplicar los requisitos de cumplimiento del RGPD, incluida la gestión de contratos, así como políticas, procedimientos, documentación y registros de pacientes, profesionales sanitarios y socios comerciales.

Por lo tanto, los registros de la actividad de tratamiento de datos y los periodos de conservación y supresión también deben ser adecuados con arreglo a la legislación sobre protección de datos.

Cumplimiento de la LGPD: Tratamiento de datos sanitarios en la era digital

Muchos de los sistemas utilizados en el sector sanitario son ahora totalmente digitales. Con la ayuda de la tecnología basada en la nube, los sistemas que contienen datos de los pacientes suelen “compartirse” entre hospitales, farmacias y otras instituciones con el fin de prestar un mejor servicio a los pacientes.

Pero, ¿cómo deben procesarse y compartirse estos datos sensibles sin dejar de cumplir el GDPR?

Teniendo en cuenta que los datos sanitarios se ensamblan sobre información confidencial del paciente, debe garantizarse que se cumplen debidamente los principios de la ley de protección de datos y privacidad antes de procesarlos o compartirlos.

En virtud de la LGPD, su organización tendrá que demostrar que su tratamiento ha cumplido requisitos específicos, que incluyen la aplicación de las salvaguardias adecuadas para garantizar la protección de esta información.

Dada la sensibilidad de la información personal relacionada con la salud, sólo debe ser tratada por profesionales sanitarios autorizados que estén sujetos a la obligación de confidencialidad médica y de los datos.

Las personas deben ser debidamente investigadas y se les deben recordar sus obligaciones de confidencialidad.

Además, es especialmente vital que las organizaciones sanitarias lleven a cabo evaluaciones de impacto sobre la protección de datos y establezcan medidas de seguridad específicas, como procedimientos de autenticación, uso de certificados y firmas digitales y controles de acceso a los datos personales de los pacientes.

En la práctica, mediante el cumplimiento de la LGPD, el paciente y las personas relacionadas con el Hospital y los médicos tendrán los siguientes derechos previstos:

Tener derecho a la confirmación de la existencia de tratamiento, entendiéndose por tratamiento cualquier operación realizada con datos personales tales como: recogida, elaboración, recepción, utilización, reproducción, transmisión, distribución, elaboración, archivo, modificación, comunicación, cesión, difusión, entre otros;
Tiene derecho a acceder a sus datos almacenados y a rectificarlos;
Anonimización (los datos anonimizados se refieren al interesado, que no puede ser identificado);
Portabilidad;
Supresión de datos una vez finalizado el tratamiento;
Información sobre el intercambio de datos;
Posibilidad de recibir información sobre la falta de consentimiento y sus consecuencias;
Revocación del consentimiento;

Si el control de acceso no es adecuado, puede dar lugar fácilmente a una violación de datos y, según la ley de protección de datos, a multas y sanciones que pueden poner en peligro la reputación y la salud financiera de cualquier institución sanitaria, independientemente de su tamaño.

¿Cuáles son las multas y sanciones de la LGPD que pueden aplicarse a las instituciones sanitarias?

La LGPD prevé seis sanciones o multas. Lo son:

Advertencia. Esta advertencia irá acompañada de un plazo para que la empresa cumpla la legislación. Si no se corrige en el plazo establecido, se impondrá una sanción;
Simple multa en la parte superior de la facturación. Esta multa puede alcanzar el 2% del volumen de negocios de la persona jurídica. El límite es de 50 millones de BRL por infracción.
Multa diaria. Esta multa también tendrá un límite máximo de 50 millones de BRL;
Difusión de la infracción. La infracción se hará pública y el daño a la imagen de la empresa podría ser enorme;
Bloqueo de datos personales. Esta sanción administrativa impide a las empresas utilizar los datos personales recogidos hasta que se regularice la situación;
Supresión de datos personales. La sexta sanción de la LGPD obliga a la empresa a borrar completamente los datos recogidos en sus servicios, causando un perjuicio a su funcionamiento.

El límite de multas en la LGPD es de 50 millones. Pero algunas de las sanciones pueden ser incluso peores, dependiendo de la organización. Por ejemplo, asumir públicamente la filtración de datos personales de miles de clientes puede hundir incluso a empresas sólidas, minando totalmente la credibilidad de un hospital, por ejemplo.

Medidas que pueden adoptar las organizaciones sanitarias para garantizar el cumplimiento de la normativa y reducir el riesgo de violación de la información personal de los pacientes.

Tras repasar los aspectos más importantes de la Ley General de Protección de Datos en relación con las instituciones sanitarias, repasemos brevemente tres medidas tangibles que las organizaciones médicas deben adoptar para proteger los datos personales que tratan.

1. Garantizar la sensibilización

Entre los pacientes

Un primer paso crucial para cumplir los requisitos de la ley de protección de datos es que todos los interesados, como los pacientes, deben ser informados de los detalles de los terceros con los que se compartirá su información para cumplir los requisitos de transparencia establecidos por la LGPD.

Además, el acuerdo de intercambio de datos debe definir claramente la finalidad, las bases jurídicas y la información que se va a compartir, junto con los detalles necesarios sobre el tratamiento de los derechos de los interesados y las normas de seguridad compartidas acordadas.

Toda esta información debe comunicarse de forma clara y fácil de entender.

Entre el personal

Se aconseja la formación periódica del personal en materia de protección de datos para reducir los riesgos de error humano y, por tanto, de violación interna de datos.

Mientras tanto, en la práctica, el personal debe respetar el secreto médico, ya que pueden producirse errores y accidentes. Por lo tanto, concienciar a todos los empleados sobre la importancia de la protección de datos, las salvaguardias que deben aplicarse y qué aspectos problemáticos típicos deben evitarse puede tener un impacto positivo significativo en los esfuerzos de cumplimiento de una institución.

Además, todos los empleados deben saber cómo reconocer una violación de datos, qué medidas se tomarán en caso de incidente de seguridad y qué partes interesadas deben participar en el proceso.

2. Tratar y compartir únicamente los datos personales necesarios para los fines de su trabajo.

También es importante que los datos sanitarios necesarios se procesen mínimamente y se compartan sólo si es necesario.

La divulgación no autorizada puede tener graves repercusiones en la vida de un paciente, por lo que debe garantizarse que el intercambio de datos se realiza sobre la base de cualquiera de los fundamentos jurídicos del tratamiento, con acuerdos adecuados para exigir responsabilidades a la parte pertinente.

Además, estos datos no deben compartirse a menos que, por ejemplo:

El interesado ha dado su consentimiento explícito;
Si el propio paciente hace públicos los datos;
Cuando se trata de una situación de vida o muerte en la que los pacientes no pueden dar su consentimiento y ello redunda en su interés vital;
Para medicina preventiva o del trabajo;
Evaluación de su capacidad laboral;
Para diagnóstico médico
Para la prestación de asistencia sanitaria o social o tratamiento o la gestión de sistemas y servicios de asistencia sanitaria o social

Tenga en cuenta que, en caso de compartirlos, las instituciones sanitarias deben disponer de salvaguardias que garanticen la seguridad de los datos.

3. Establecer controles de acceso estrictos

Dada la naturaleza compartida de los sistemas basados en la nube que suelen utilizarse en el sector sanitario, es fundamental garantizar que sólo las personas necesarias tengan acceso a los datos de los pacientes.

La aplicación de medidas como la autenticación de dos factores o el inicio de sesión único, así como el uso de firmas y certificados digitales, también pueden ayudar a proporcionar medidas adicionales para la protección de datos cuando se trata de acceder a los archivos de los pacientes.

Cumplimiento del GDPR: una inversión que merece la pena

Con la transformación digital del sector sanitario, también es necesario ajustar la forma en que se procesa la información y se accede a ella. Esto trajo consigo varios aspectos nuevos en relación con la protección de datos, exigiendo a las instituciones sanitarias que hicieran de la privacidad de los datos su máxima prioridad.

Aunque el cumplimiento del RGPD requiere que las organizaciones sanitarias inviertan tiempo y recursos, al fin y al cabo redunda en interés de los pacientes y de la propia organización.

El cumplimiento de la obligación no sólo reducirá la posibilidad de una posible violación de los datos, protegiendo a su organización de una cuantiosa multa y de daños a su reputación, sino que también desempeña un papel importante a la hora de ganarse la confianza de los pacientes y de mejorar la eficacia general del trato que reciben.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas instituciones sanitarias, lgpd, protección de datos

Protección de datos

LGPD en sanidad: impacto en la calidad institucional

Autor de la entrada Por Editorial Eval
Fecha de la entrada 1 de junio de 2021

Siempre es importante recordar que la Ley General de Protección de Datos (LGPD) no fue diseñada para hacer la vida difícil a las organizaciones, sino para proteger y promover los intereses de los individuos.

Se trata de dar a los ciudadanos el control sobre el tratamiento de sus datos personales, reducir los riesgos y permitirles confiar en las empresas con las que interactúan.

Casualmente, estos dos temas -confianza y riesgo- también caracterizan los principales retos a los que se enfrenta hoy el sector sanitario.

Las organizaciones sanitarias pueden ahora tener claro qué constituyen datos sanitarios y disponer de directrices muy claras sobre cuándo y cómo pueden procesarlos. Por supuesto, nada es tan sencillo.

La implantación y aplicación de la LGPD en la sanidad es un reto que aporta importantes beneficios a las instituciones médicas.

LGPD en sanidad para la mejora continua de las instituciones

La recogida y transferencia de datos en tiempo real entre los proveedores de servicios sanitarios -desde el trabajador de atención primaria al médico, pasando por los especialistas, farmacéuticos, fisioterapeutas, trabajadores sociales, etc.- está permitiendo un enfoque más coordinado de la atención al paciente, que ya está ofreciendo mejores resultados, así como ahorros de costes.

El recorrido típico del paciente a través de los proveedores de asistencia sanitaria requiere la captura segura de datos en multitud de dispositivos y plataformas, incluidos los equipos móviles y la nube.

Esto incluye el desarrollo de protocolos y normas para compartir y controlar el acceso a los datos, incluido el acceso a los datos por parte de los propios pacientes.

Para implantar instituciones médicas de calidad utilizando el RGPD en la asistencia sanitaria, las organizaciones necesitarán disponer de procesos y sistemas sólidos y sofisticados.

Deben saber dónde están los datos en cada momento, exactamente quién puede y quién no puede ver qué (y, quizá más importante, quién ha visto qué).

Habrá que formalizar y codificar jurídicamente las funciones y responsabilidades y, por supuesto, la privacidad y la seguridad tendrán que ser el punto de partida estándar desde el que se implanten estos procesos y sistemas.

La ley de protección de datos mejora la relación entre las organizaciones y proveedores sanitarios y sus clientes

El RGPD en el sector sanitario debería mejorar las relaciones entre las organizaciones médicas y sus clientes.

Esto se debe en gran parte a la confianza que les dará saber que su información personal está segura y que pueden acceder a ella fácilmente en caso necesario.

Los clientes tendrán la seguridad de que las organizaciones sólo conservarán su información personal si ellas se lo permiten y sólo podrá utilizarse de las formas definidas por la legislación.

En general, el RGPD en la sanidad debe verse como una oportunidad para las organizaciones implicadas, ya que les proporcionará una serie de beneficios: mayor satisfacción del cliente, mejora de los procesos, mayor conocimiento de sus datos y ayuda para evitar multas graves.

Sin embargo, las organizaciones y los proveedores de asistencia sanitaria deben asegurarse de ser siempre transparentes, ya que situaciones como no alertar a un paciente de una violación de datos o el uso indebido de la información del cliente pueden dañar las relaciones.

El cumplimiento de la LGPD en la sanidad es sólo el principio

La ley de protección de datos es exhaustiva en su ámbito de aplicación y añade nuevos requisitos estrictos a cualquier organización sanitaria que capte y utilice datos personales de los pacientes.

El cumplimiento no es un ejercicio aislado, sino que debe incorporarse a las estructuras organizativas.

Cuando se trata del GDPR en la sanidad, un componente crítico del cumplimiento es la implementación de una estrategia de ciberseguridad completa, con soluciones tecnológicas que ayuden a aislar las redes de las organizaciones sanitarias.

Las organizaciones sanitarias no sólo deben tratar de utilizar herramientas que les proporcionen una visión completa de su red tal y como existe en la actualidad, sino que también les permitan adaptarse rápidamente a las nuevas amenazas y prevenirlas antes de que se produzcan.

La LGPD supuso un cambio significativo en nuestra cultura colectiva hacia la ley de protección de datos y la privacidad de los usuarios.

Sin embargo, la legislación y el cumplimiento son sólo el principio.

Proporcionar a las instituciones sanitarias una lista de comprobación que deben seguir para evitar multas puede provocar cierto movimiento, pero sólo se pueden lograr avances más profundos si se da prioridad de forma fundamental y organizativa a la privacidad de los datos y la seguridad digital.

Sólo cuando las organizaciones están protegidas contra el fraude y el robo de datos mediante procesos empresariales seguros, herramientas de ciberseguridad sólidas y una estrategia global, pueden protegerse realmente los datos personales.

EVAL: Somos especialistas en firma digital

Ahora que entiendes un poco más sobre el uso y la validación de la firma digital, ¿qué te parece poner en práctica nuestros consejos en tu empresa?

Con un enfoque dedicado al mercado sanitario y un equipo altamente especializado, EVAL ofrece soluciones personalizadas que aportan seguridad y agilidad a los procesos de hospitales, laboratorios, clínicas y operadores sanitarios.

Además de la gestión de contratos, las firmas electrónicas y los certificados digitales aportan un gran valor probatorio al archivo digital de estos documentos. Las instituciones médicas pueden utilizar estas herramientas para evitar la formación de papel y digitalizar los documentos en papel existentes.

Póngase en contacto hoy mismo con nuestro equipo de expertos para descubrir cómo EVAL puede ayudar a su organización a gestionar sus contratos y el resto de documentos y procesos médicos.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas calidad de las instituciones sanitarias, lgpd

Protección de datos

Coches conectados: protección de datos en 3 pasos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 22 de marzo de 2021

Avanzamos con paso firme hacia un futuro en el que la alta conectividad se está convirtiendo en la norma del sector. Por eso la seguridad de los datos en los coches conectados se ha convertido en una preocupación.

Esto se debe en gran medida al aumento de la demanda de los consumidores, impulsada por la comodidad que pueden ofrecer los vehículos conectados a la IoT (Internet de las cosas).

Esta demanda de los consumidores tiene sentido si consideramos los beneficios a largo plazo de conducir o poseer vehículos conectados. He aquí algunas de ellas:

Un coche conectado mejora la experiencia de poseer o utilizar una amplia gama de aplicaciones y servicios que se emparejan a la perfección con el smartphone que posee el usuario;
La seguridad de pasajeros y conductores aumenta y los peligros se evitan más fácilmente;
El conductor tiene más control sobre el vehículo, así como sobre su diagnóstico a distancia;
Muchas tareas rutinarias, como aparcar, pueden automatizarse o automatizarse parcialmente;
Los posibles problemas del vehículo pueden detectarse mucho antes y se puede ahorrar dinero en combustible al elegir siempre la ruta más eficiente.

Temor de los consumidores a pesar de la innovación del coche conectado

Aunque se espera que el mercado mundial de los coches conectados supere los 219.000 millones de dólares en 2025, con un 60% de los vehículos conectados a Internet, el sector sigue afrontando retos en su intento de generalizarse debido a su principal inconveniente: el miedo de los consumidores a los ciberataques.

Todos sabemos que el aumento de dispositivos conectados, ya sean vehículos u otros aparatos, incrementa automáticamente el número de puntos de entrada y oportunidades para los delincuentes.

Teniendo en cuenta las consecuencias a menudo muy graves de este tipo de ataques, este temor de los consumidores es legítimo y debe ser abordado tanto por la industria de la IO, pero especialmente por los fabricantes de vehículos conectados si la industria quiere ganar la plena confianza de los consumidores y la adopción de sus productos y mantener sus datos seguros.

Estado actual de la seguridad de los coches conectados

De hecho, se están tomando medidas de protección para establecer normas de seguridad de los datos en otros ámbitos del intercambio de datos.

Por ejemplo, la Ley General de Protección de Datos (GDPR) ha marcado una diferencia significativa en la forma en que experimentamos la navegación web y cualquier interacción que implique el tratamiento de datos personales.

Sin embargo, actualmente no se exige a los proveedores de servicios IoT que cumplan ninguna ley o norma de seguridad adicional.

Mientras algunos piden una legislación gubernamental específica, ya hay varias empresas que trabajan en soluciones para aumentar la seguridad de los dispositivos conectados.

Aún no está claro cuál será exactamente el impacto sobre nuestra intimidad personal a medida que nos embarquemos en este futuro conectado. Lo que está claro, sin embargo, es que si los propios fabricantes de automóviles no intervienen con algunas tecnologías claras para evitar el pirateo, la mala gestión o las violaciones de la privacidad de los datos, la industria del coche conectado seguirá luchando por ser aceptada por el gran público.

¿Qué hacen actualmente los fabricantes de automóviles? Y lo que es más importante, ¿qué más hay que hacer para garantizar a los usuarios que sus datos están seguros?

¿Qué pueden hacer los fabricantes de automóviles para garantizar la seguridad de los datos en los coches conectados?

1. inversión en seguridad informática

Normalmente, los vehículos que estamos más acostumbrados a ver y conducir en el día a día no han sido equipados con ningún tipo de seguridad de hardware en la propia electrónica del coche.

Esto se debe a que el coche nunca se diseñó originalmente para tener un sistema abierto que pudiera conectarse a sistemas externos como dispositivos IoT. En cambio, el sistema del coche debe ser un sistema cerrado.

Por eso, en cuanto se conecta el vehículo a algo externo, no hay suficientes protecciones (por ejemplo, un cortafuegos) contra los malintencionados.

Esto se soluciona en los coches nuevos instalando algo llamado pasarela segura.

En el caso de los dispositivos IoT, no podría producirse ninguna interacción con el vehículo sin pasar antes por la pasarela segura, lo que haría mucho más seguro el intercambio de datos entre dos partes.

2. Inversión en seguridad del software

Con el continuo aumento de los incidentes de ciberseguridad, los fabricantes de automóviles necesitan incorporar un enfoque de la seguridad de los datos en los coches conectados que tenga en cuenta no sólo las exposiciones obvias en el software del coche, sino también las vulnerabilidades ocultas que pueden ser introducidas por los componentes de software de código abierto.

El código del software de los coches conectados es, cuando menos, extremadamente complejo: el software de un coche medio tiene alrededor de 100 millones de líneas de código.

Tanta complejidad conlleva muchas oportunidades de vulnerabilidades y un mayor riesgo de ataques maliciosos por parte de los ciberdelincuentes.

Hoy en día, no es raro oír hablar de malware diseñado específicamente para detectar fallos en el software de los automóviles.

Hoy en día, varios fabricantes de automóviles de renombre y sus proveedores de software despliegan herramientas de prueba que incluyen evaluaciones de seguridad en software estático y dinámico.

En los coches conectados, estas herramientas se utilizan para identificar errores de codificación que pueden dar lugar a vulnerabilidades del software y oportunidades para que piratas informáticos y delincuentes activen o desactiven determinadas funciones a distancia.

Aunque estas herramientas son eficaces para detectar fallos en el código escrito por el equipo interno de desarrolladores de los fabricantes de coches conectados. No son eficaces para identificar vulnerabilidades de código abierto en código de terceros.

Esto deja expuestos muchos de los componentes clave de las aplicaciones actuales, debido a que las crean desarrolladores que trabajan para proveedores externos de IoT en lugar de los propios fabricantes de automóviles.

3. Conocimiento y consentimiento del usuario

Además de proteger el hardware y el software del vehículo, es importante insistir en la responsabilidad de los fabricantes de coches conectados de alertar a los usuarios sobre la importancia de qué dispositivos permiten conectar y con qué fin.

Aquí es donde hay que obtener el consentimiento del usuario y aplicar rigurosamente normativas como el GDPR.

Los terceros proveedores de IoT deben definir claramente por qué quieren interactuar con los coches conectados y qué piensan hacer con los datos que obtengan del automóvil, pero es tarea de los fabricantes garantizar a los usuarios la seguridad de sus datos.

Alianza tecnológica entre Eval y Thales: confianza en los coches conectados

Con la vista puesta en un futuro cada vez más conectado, podemos estar seguros de que la relación entre los vehículos y el IoT no hará sino aumentar en complejidad.

Con un enfoque dedicado a la privacidad y seguridad de los datos, se puede mitigar significativamente cualquier riesgo de ciberataque o uso indebido de los datos en los coches conectados.

La industria del IoT está creciendo a un ritmo exponencial en estos momentos. Las empresas automovilísticas tradicionales deben dar prioridad a la seguridad.

Este planteamiento es necesario para aprovechar los enormes avances que la tecnología puede aportar a la vida de los conductores y usuarios de la carretera gracias a los vehículos conectados.

Con más de 20 años de experiencia en la conexión de vehículos, Eval y los clientes de Thales se benefician de su posición de liderazgo en la normalización de la conectividad móvil, prestando servicio a más de 450 operadores móviles de todo el mundo.

Las soluciones globales de conectividad y gestión remota del automóvil reducen en gran medida la complejidad de la cadena de suministro para los fabricantes de automóviles, al tiempo que facilitan la experiencia del usuario final durante los largos ciclos de vida de los vehículos.

Las soluciones de Eval y Thales permiten el uso de suscripciones de usuario final para servicios de infoentretenimiento en movilidad y proporcionan la capacidad técnica para la conectividad infoentretenimiento/telemática.

Aprovechando la experiencia probada y avanzada en seguridad digital e IoT, Thales Trusted Key Manager proporciona a los fabricantes de automóviles conectados soporte para la transformación digital, garantizando la seguridad de extremo a extremo del ecosistema automotriz.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas coches conectados, Dispositivos IoT, Internet de los objetos, ley general de protección de datos, lgpd, seguridad del software, Thales

Protección de datos

Repercusiones de la LGPD en el comercio minorista

Autor de la entrada Por Editorial Eval
Fecha de la entrada 19 de enero de 2021

No es ningún secreto que el papel de los datos en el sector minorista ha crecido considerablemente con el auge del comercio electrónico mundial y el comercio móvil. Por tanto, las repercusiones de la LGPD en el comercio minorista se dejan sentir con fuerza y definirán gran parte de la estrategia de protección de datos en el comercio minorista en los próximos años. Protección de datos en el comercio minorista

En este panorama digital de ritmo rápido y en constante evolución, la gobernanza de la información se ha convertido en un tema destacado, y las empresas del sector minorista se plantean cómo modernizar sus políticas de protección de datos.

El incumplimiento de estas políticas o el uso indebido de los datos personales de las personas puede tener graves consecuencias jurídicas, de reputación y financieras.

¿Cuáles son las repercusiones de la LGPD en el comercio minorista?

En esta era de estrategias de comunicación personalizadas y marketing en línea selectivo, los cambios radicales en la recogida, tratamiento y almacenamiento de datos tienen enormes implicaciones para los minoristas.

La Ley General de Protección de Datos (LGPD) entró en vigor en 2020 con algunas limitaciones en cuanto a la aplicación de multas y otro tipo de sanciones, pero en la práctica representa una gran oportunidad para los minoristas y algo que deben tener absolutamente en cuenta.

Esto se debe a que los datos son el bien más valioso que los minoristas pueden tener en relación con sus consumidores, tanto si son de empresa a empresa (B2B) como de empresa a consumidor (B2C).

Lo que sabe sobre sus consumidores determina su propuesta, sus precios y su cadena de suministro. Por este motivo, no tener en cuenta las repercusiones del RGPD en el comercio minorista puede ser un gran error.

Hay cuatro aspectos principales del GDPR que los minoristas deben conocer, y deben actuar con la rapidez suficiente para abordarlos todos

En primer lugar, los avisos de privacidad serán mucho más prominentes. Son las declaraciones que usted pone en su sitio web para informar a los consumidores de lo que hará con sus datos.

Las conocidas casillas seguirán ocupando un lugar destacado, pero los consumidores tendrán que activarlas de forma proactiva.

Esto significa que los minoristas deben facilitar información detallada que permita a los consumidores decidir con pleno conocimiento de causa si desean permitir que el minorista conserve y trate sus datos.

Los nuevos avisos de privacidad deben explicar por qué se necesitan los datos, cómo afectarán al consumidor, los criterios utilizados para decidir cuánto tiempo se conservan y el derecho del consumidor a retirar su consentimiento.

La segunda área clave es la rendición de cuentas y el mantenimiento de registros. Una vez más, el cumplimiento será un reto, pero los minoristas también tendrán que demostrar que han mantenido sus registros actualizados y que cumplen con el GDPR.

En tercer lugar, debe tener un acuerdo por escrito con cualquier tercero que procese los datos por usted.

Si un minorista subcontrata la recogida de información, como hacen muchas grandes empresas, necesita un contrato sólido por escrito que establezca las condiciones entre él y el subcontratista.

Además, hay cláusulas contractuales prescritas por la LGPD, lo que significa que muchos acuerdos entre minoristas y las partes que recogen y procesan sus datos tendrán que ser desechados y procesados desde cero con un coste significativo.

Por último, los minoristas deben abordar la mejora de los derechos individuales en relación con la información que se posee sobre las personas.

Esto incluye el derecho a ser olvidado y el derecho a la portabilidad de datos, que está vinculado al uso de datos.

Esto se debe a que los datos son el bien más valioso que los minoristas pueden tener en relación con sus consumidores, tanto si se trata de empresas entre empresas como de empresas entre consumidores.

¿Cómo pueden los minoristas aplicar un programa eficaz de protección de datos y reducir las repercusiones del RGPD en el comercio minorista?

Las necesidades de cumplimiento de la LGPD varían de un minorista a otro, en función de la medida en que sus actividades empresariales respaldan los derechos de privacidad de los datos personales de las personas en Brasil.

Poner en marcha un programa eficaz de LGPD puede resultar especialmente complicado para los minoristas, sobre todo para los que tienen diversos puntos de contacto con el cliente en todos los canales, así como para los que tienen franquicias.

Estos diversos puntos de contacto van desde los puntos de venta hasta el comercio electrónico y los centros de llamadas, pasando por las aplicaciones móviles, los quioscos, los sistemas ERP e incluso el correo electrónico.

Para empezar, los minoristas deberían plantearse algunas preguntas habituales a la hora de implantar su programa de privacidad de datos:

Si un interesado quiere borrar sus datos, ¿cómo localizo toda su información? ¿Cómo determinará la empresa lo que puede excluirse y lo que es necesario a efectos de retención reglamentaria o legal?
Si el consumidor interesado quiere acceder a sus datos personales, ¿qué puede proporcionarle la empresa? ¿En qué formato se entregará?
¿Qué datos personales conserva la empresa y durante cuánto tiempo?
¿Necesitamos trabajar con terceros proveedores para obtener copias de datos personales?
¿Tenemos empleados que puedan hacer peticiones similares y sabe la empresa cómo satisfacerlas?
¿Puede la empresa cumplir los plazos establecidos por el RGPD?

Las solicitudes de los interesados son, con diferencia, uno de los aspectos más complicados del cumplimiento del RGPD, porque los consumidores quieren saber:

Cómo se protegen sus datos personales;
Dónde se encuentran sus datos y quién tiene acceso a ellos;
Cómo corregir la información personal;
Si la empresa tiene consentimiento para utilizar o compartir sus datos personales.

En general, la LGPD exige a los minoristas que adopten un enfoque holístico de la gobernanza de la privacidad de los datos.

Recuerde que la ley de protección de datos se estableció en el entendimiento de que la privacidad de los datos seguirá evolucionando, y la aplicación de los derechos de privacidad de los datos personales tendrá que cambiar.

Los programas eficaces de protección de datos deben estar alineados con las funciones empresariales, operativas, jurídicas y tecnológicas de los minoristas, contribuyendo a impulsar una cultura de privacidad y protección de datos en toda la empresa.

Los minoristas que confirmen que sus políticas actuales cumplen los requisitos de la LGPD y establezcan filosofías corporativas de privacidad de datos sólidas y receptivas estarán mejor equipados para la nueva era de la privacidad de datos.

La posible inviabilidad del negocio como uno de los principales impactos de la LGPD en el comercio minorista

Las empresas minoristas deben replantearse su forma de pensar sobre los datos de los clientes y su propia responsabilidad. Así pues, si se aplica correctamente, el RGPD puede ser una oportunidad de mejora para las organizaciones.

Adoptar un enfoque basado en el riesgo. La privacidad tiene que ser un componente para el que estés preparado y en el que creas.

Las multas se impondrán en función de lo previsto en la LGPD, lo que supone un riesgo importante para las empresas.

Los valores asignados a cada situación pueden hacer totalmente inviable la existencia de la organización o comprometer su credibilidad ante el mercado y los consumidores.

Póngase en contacto con nosotros. Nuestros expertos podrán ayudarle, contribuyendo al desarrollo de sus proyectos de protección de datos y a la mejora continua de su empresa.

Acerca de Eval

Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas lgpd, protección de datos, Venta al por menor

Protección de datos

Cómo evitar el fraude con la protección de datos y seguir manteniendo una buena relación con su cliente

Autor de la entrada Por Editorial Eval
Fecha de la entrada 20 de octubre de 2020

A La Encuesta Global sobre Fraude e Identidad 2020 de Serasa Experianmuestra que el 57% de las empresas se enfrentan a pérdidas crecientes por fraude año tras año, a pesar de afirmar que son capaces de identificar con precisión a sus clientes.

La realidad muestra que tres de cada cinco empresas afirmaron que se había producido un aumento del fraude en los últimos 12 meses. En otras palabras, el estudio realizado por Serasa Experian muestra que la preocupación de las empresas por el aumento del fraude persiste incluso con las inversiones en seguridad y protección de datos realizadas en los últimos años.

Además, el coste medio de una violación de datos en 2020 es de 3,86 millones de dólares, según el estudio sobre violación de datos de IBM. A pesar del ligero descenso respecto a 2019 (3,9 millones de dólares), sigue siendo una cantidad muy elevada a pagar por el fraude y sus impactos con los clientes.

Pero, ¿qué ocurre cuando las empresas responsables de proteger nuestras identidades y finanzas se ven comprometidas por el fraude a través de un ciberataque?

En septiembre de 2017, la agencia de crédito al consumo Equifax admitió su tercer ciberataque en dos años, cuando los hackers aprovecharon una vulnerabilidad de su sitio web.

Datos clave sobre el ciberataque sufrido por Equifax

Alrededor de 143 millones de clientes estadounidenses quedaron potencialmente vulnerables, al ver comprometidos sus datos personales (con 400.000 en el Reino Unido);
Se puso en peligro información confidencial (como números de la seguridad social, números de carné de conducir, fechas de nacimiento, historial médico e información sobre cuentas bancarias), lo que dejó a los clientes expuestos a la usurpación de identidad;
Se ha criticado a Equifax por estar mal equipada para gestionar la filtración. Tardó cinco semanas en hacer pública la infracción, creó un sitio web de información y una línea de atención telefónica, donde los clientes criticaron la falta de información y los largos retrasos;
En una metedura de pata notable, los clientes también fueron dirigidos a un sitio web falso en los tweets de la empresa;
Las ofertas de un año gratuito de supervisión del crédito y de un servicio contra el robo de identidad se consideraron inadecuadas;
Se ha presentado una demanda en la que se acusa a Equifax de negligencia con los datos de sus clientes, con un coste potencial de 68.600 millones de dólares.

Los consumidores cuyos datos han sido filtrados, robados o utilizados en fraudes ni siquiera saben que su información personal está en peligro durante meses o incluso años. Pero, ¿qué otra opción tiene la gente: no viajar, no compartir, no utilizar las redes sociales?

De acuerdo, podemos tomar esas decisiones si lo necesitamos, pero seguimos necesitando asistencia sanitaria, utilizar un banco o una cooperativa de crédito, estar asegurados o incluso cobrar nuestras prestaciones de la Seguridad Social.

¿Cómo pueden las empresas dar los primeros pasos para prevenir el fraude y el robo de datos?

Estos son los principales consejos de los expertos para ayudarle a mantener la información confidencial de su empresa a salvo de los ladrones de datos.

1. deshacerse del papel

Si debe conservar archivos en papel, destrúyalos en cuanto ya no los necesite. En la práctica, hay nueve cosas que las empresas deben destruir:

Cualquier correspondencia con nombre y dirección;
Etiqueta de equipaje;
Itinerarios de viaje;
Tarjetas de embarque adicionales;
Ofertas de crédito;
Lista de precios;
Recibos de pago a proveedores y facturas pagadas;
Cheques cancelados;
Recibos.

2. Evalúe qué datos necesita proteger más contra el fraude

Audite o evalúe sus datos. Cada empresa es diferente. Cada una de ellas tiene normativas diferentes, tipos de datos diferentes, necesidades diferentes para esos datos y una cultura empresarial diferente.

Contrate a un experto externo para que evalúe qué datos tiene, cómo los protege (no cómo cree que los protege) y adónde van a parar.

Aunque pueda pensar que es un coste innecesario, si informa a sus clientes y clientes potenciales de que ha realizado una evaluación externa de los datos, puede descubrir que le sitúa en una posición ventajosa frente a sus competidores.

3. Restringir el acceso a sus datos confidenciales

No todo el mundo en la empresa necesita tener acceso a todo. ¿Necesita el director del proyecto información sobre precios? ¿Necesita el vendedor información sobre las operaciones? Al restringir los datos a los que tiene acceso cada persona, limitas tu exposición cuando un empleado decide lo que quiere robar o cuando la cuenta del empleado se ve comprometida por un extraño.

4. Aplicar controles internos y externos de privacidad de datos

Haga que los terceros y proveedores de servicios contratados por su empresa sigan los mismos estrictos controles de privacidad de datos que usted aplica en su propia organización.

Audítelos periódicamente para garantizar el cumplimiento de sus normas de seguridad.

5. Utilizar contraseñas seguras para proteger ordenadores y dispositivos

Dificulta el acceso de terceros a los dispositivos y ordenadores de tu empresa y de tus empleados en caso de pérdida o robo, protegiéndolos con contraseñas seguras y activando el borrado remoto en todos los dispositivos.

6. Instale o active un cortafuegos

Incluso las pequeñas empresas con pocos empleados tienen datos valiosos que deben protegerse. Asegúrese de que dispone de un cortafuegos para impedir que extraños accedan a la red de su empresa.

7. Proteja su red inalámbrica

Utiliza una contraseña segura y encriptación y seguridad para ocultar tu red inalámbrica a los extraños. No permitas que los vecinos o transeúntes entren en tu red o vean siquiera que existe. No haces más que crear problemas.

8. Combatir el fraude y mantener buenas relaciones con los clientes de conformidad con la LGPD.

Cumplir los principios básicos de la Ley General de Protección de Datos (LGPD ) y prevenir el fraude sin dejar de mantener buenas relaciones con los clientes pueden ir de la mano.

Reducir al mínimo la cantidad de datos personales recogidos, anonimizar esos datos y adoptar principios de privacidad mediante el diseño no sólo garantizará que se preserve el derecho de sus clientes a la privacidad de los datos, sino que también contribuirá a mitigar sus riesgos desde la perspectiva de la LGPD.

9. 9. Minimización de datos

Tanto si se basa en el interés legítimo para adquirir datos como si no, debe recopilar únicamente los datos mínimos necesarios para lograr su objetivo.

Si puede combatir el fraude con la mínima cantidad de información que no le identifique directamente, será mejor. Eso significará menos datos que proteger después.

10. Anonimización

Asegúrese de que todos los datos están protegidos mediante tokenización o cifrado.

Además de una mayor seguridad, una clara ventaja es que los requisitos obligatorios de notificación de infracciones se reducen significativamente en el caso de los datos anonimizados, ya que el riesgo de perjuicio para el interesado se reduce considerablemente, siempre que la clave no se vea comprometida.

11. Privacidad desde el diseño

Haga de la privacidad de los datos parte integrante del proceso de reflexión de su organización a todos los niveles.

Acostumbre a todos los departamentos a preguntar qué datos necesita, cómo los protegerá y si necesita o no consentimiento. Por no mencionar que una estrategia de privacidad bien pensada probablemente creará una mejor experiencia para el usuario.

Y no olvides la autenticación. Las credenciales violadas y robadas son una amenaza real para la seguridad de los datos de sus usuarios. Este vector de amenaza hace que la autenticación reforzada sea un componente esencial en la lucha contra el fraude y en la defensa del derecho a la privacidad de los datos de sus usuarios.

Cómo puede EVAL ayudar a su empresa a combatir el fraude

EVAL dispone de soluciones de cifrado de aplicaciones, tokenización de datos, anonimización, protección en la nube, cifrado de bases de datos, cifrado de big data, protección de archivos estructurados y no estructurados en servidor de archivos y en la nube, y gestión de claves para satisfacer diferentes demandas en el ámbito de la seguridad de los datos.

Son soluciones para que las empresas cumplan la normativa y estén protegidas contra la fuga de datos.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas fraudes, lgpd, protección de datos

Acerca de Eval

Posts recentes

Comentários

Arquivos

Categorias

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
CÓDIGO POSTAL:05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97