5 Derechos del GDPR – Parte 1: ¿Qué es el GDPR?

by Pablo Mosqueira on 02/24/2018

Con la fecha límite del 25 de Mayo acercándose rápidamente para el Reglamento General de Protección de Datos (GDPR) de la UE, las empresas que no se encuentren versadas con la pieza de legislación de 204-páginas, puede que pronto tengan un brusco y desagradable despertar – en específico una vez que el reglamento alcance implicaciones globales, lo que en cierta medida llegará a afectar a virtualmente cualquier empresa.

El GDPR se basa en la Directiva Protección de Datos de la Comisión Europea de hace casi 23 años – así como una pieza similar del Reino Unido, el Acta de Protección de Datos de 1988 – para no solo actualizar las leyes en respuesta el creciente panorama de amenazas del ciber seguridad, sino también para informar sobre una nueva generación de mejores prácticas para la protección de datos que puedan ser aplicadas a través de todas las industrias.

Después de muchos años de debate que datan desde antes del 2012, la unión europea impugnó esta legislación en diciembre del 2015, las organizaciones tuvieron más de dos años para leerla y prepararse para el cumplimiento. Este reglamento es la asignación y derechos específicos individuales que le permite a los ciudadanos de la Unión Europea tener mayor control sobre la propiedad de los datos personales que las empresas recolectan. Estos incluyen:

• El derecho de ser informado – asegurándose esencialmente que los datos del consumidor no sean recolectados sin notificar al individuo.

• El derecho de acceso – que le da a los ciudadanos el acceso previamente no autorizado a todos los datos que cierta organización a recolectado de ellos

• El derecho de rectificación – lo que permite a los usuarios corregir la información errónea que hay identificado de los datos recolectados como parte del “derecho de acceso

• El derecho de ser eliminado – también conocido como “el derecho de ser olvidado,” lo que le permite los ciudadanos terminar con cualquier relación de negocios Y todos los registros asociados bajo circunstancias de presión

• El derecho de restringir el proceso – en donde los individuos puedan pausa cuando lo decide una relación de negocios en lugar de tomar la ruta de “eliminar,” hi puedan ellos interrumpir la recolección y análisis de sus datos

• El derecho a la portabilidad de los datos – transfiere toda la propiedad de los datos al individuo, lo que significa que los negocios no pueden mantener ciertos datos como “rehenes” y restringirlos de poder ser vistos por otras organizaciones (competidores, por ejemplo) cuando el individuo quiera que estos sean compartidos.

Mientras que existen matices para cada uno de estos derechos, donde el texto del GDPR toca a profundidad, en reflexión a las políticas existentes con estos puntos como predominantes en mente, le ayudará a los equipos encargados de la protección de datos a tener un mejor entendimiento sobre la escala y alcance para la revisión y puesta al punto de sus políticas.

Lo que posiciona a la Plataforma de Seguridad Web Distribuída de iboss como la solución perfecta para los equipos encargados de la administración de la red a revaluar cómo recopilar y proteger los datos es que puede implementarse con relativa facilidad y sin grandes cambios de la red. La Plataforma del Gateway Distribuida de iboss, ofrece las últimas capacidades para la detección y protección de amenazas avanzadas para asegurar que los datos se encuentren aislados de las partes externas y tener una mínima exposición a las amenazas potenciales – con la comprobación de la mayoría de las exigencias fundamentales de la GDPR, de un plumazo. Debido a la entrega de gateways-en-la-nube que pueden ser desplegados al instante para reemplazar las soluciones tradicionales legadas basadas en appliance, los equipos de TI que se encuentren en una situación comprometida por reorganizar no tendrán que gastar recursos en exceso para la re-arquitectura de la red, lo que les permite centrarse en la variedad de cambios en la política que de otra manera podrían deslizarse a través de las brechas.

 

Sigue a Web Security GANG en Google+!

{ 0 comments }

Muchas organizaciones han aprendido durante el pesado periodo de brechas del 2017, que las mayores amenazas a la seguridad de la red a menudo vienen desde adentro, ya sea a través de la negligencia de empleados o el robo explícito de datos de la empresa. De hecho, entre los 874 incidentes reportados en el último Estudio del Costo Brechas de Datos  del Instituto Ponemon, 65 por ciento fueron atribuidos a faltas de conducta o negligencia.

Como resultado, cada vez más empresas están considerando las soluciones para la prevención de pérdida de datos (DLP)  en el 2018 que puedan detectar el comportamiento anómalo que podría indicar una brecha en progreso. Estas herramientas ofrecen información detallada sobre todo el tráfico de la red, y se pueden ser granular en no sólo atribuir la actividad de los usuarios, sino incluso obtener el conocimiento de los programas y aplicaciones – profesional y personal – que los usuarios acceden.

Mientras que este es un elemento esencial de la era digital, las amenazas a la seguridad de la red llegan a las organizaciones desde todos los ángulos, las empresas necesitan estar conscientes de no sobrepasarlas e inadvertidamente abrirse a multas considerables por violaciones. Las empresas necesitan mantener las siguientes tres preguntas en mente ante las iniciativas para el despliegue del DLP y el monitoreo de empleados:

¿Dónde se encuentra monitoreando?

Para empezar, dependiendo de lo dictado por la legislación local, las empresas pueden necesitar avisar previamente a los trabajadores antes de implantar el software de monitoreo. En algunos estados, por ejemplo, esta es una práctica obligatoria, aunque en otros puedan tener restricciones más matizadas que no requieran un inicio de sesión explícito del empleado antes de que las iniciativas del DLP puedan ser promulgadas. La vía más segura es leer las leyes extensamente desde un principio.

¿A quién está monitoreando?

La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) o la Ley Federal de Protección de Datos Personales, sin embargo, son leyes federales que establecen restricciones más amplias que la mayoría de las normas estatales o municipales sobre el tema. Las leyes en sí no tienen como objetivo la supervisión de empleados en forma directa, sino que aplican restricciones sobre la vigilancia de todas las comunicaciones electrónicas. Mientras que prohíben la vigilancia en un sentido general, las normas permiten la “excepción con finalidad comercial” – en donde un “fin comercial legítimo”, en sí un atrapa-todo con amplias interpretaciones, permitiendo la supervisión, así como la continuación del mismo una vez que se haya obtenido el consentimiento del empleado.

Cuando las reglas empiezan a complicarse es cuando se involucran las comunicaciones de terceros, generalmente cuando los empleados se comunican con amigos o familiares en la red de la empresa por razones no-relacionadas con el trabajo. Esta es otra matiz de estado-por-estado que las empresas deben tener en cuenta, puedes haber estados que requieren el consentimiento de todas las partes en un comunicado, en donde una empresa puede ser responsable de la intervención local de los medios.

¿Cuáles son las implicaciones mundiales?

Incluso empresas que se basan en reglamentos estatales y no se consideran a sí mismas “negocios globales” pueden encontrarse expuestas a multas internacionales por incumplimiento. El Reglamento General de Protección de Datos (GDPR)  de la Unión Europea, por ejemplo, observa que cualquier organización que recolecta cualquier dato de residentes – incluso si la empresa no tiene una sucursal en el continente – podrían ser acreedoras de importantes multas, en algunos casos, a partir de $20 millones.

Esto significa que incluso si una empresa está trabajando con un proveedor de terceros en Europa, el recolectar cualquier información personal desde el contacto de esta oficina remota sin garantizar una amplia protección de datos en el lugar podría dejarlos vulnerables a multas.

Afortunadamente, muchas soluciones DLP fueron diseñadas tomando el GDPR en mente y que realmente ayudan a dar a las organizaciones la postura que necesitan para estar preparadas para la promulgación de esta legislación en la primavera de este año. Esto no es una garantía, sin embargo, a medida que las empresas necesitan ser tan exhaustivas con la investigación de su software de seguridad como son en conocer las posibles ramificaciones legales del inadecuado control del monitoreo de empleados.

Ejecución de una Política de Uso Aceptable

Es necesario definir una política de uso aceptable del Internet y de la red de la empresa, publicarla y asegurarse que todos los empleados la conozcan y firmen de enterados. Pero más importante aún es asegurarse que la cumplan.

Así como el DLP, para la Prevención de Pérdida de Datos que requieren las empresas para proteger la información sensible, hay innumerables herramientas para el monitoreo de empleados y las mismos deben ajustarse a las previsiones contenidas en el artículo 70 de la Ley de Contrato de Trabajo, es decir, preservando la dignidad del trabajador y practicarse con discreción y en forma aleatoria y no dirigida.

Se requiere separar la información sensible de los empleados a la información sensible de la empresa, sin llegar a ser invasivo o intrusivo, ya que convertiría el ámbito de trabajo en un espacio de control de aspectos que exceden las relaciones laborales y avanzan sobre otras garantías, como la intimidad de las personas.

Aún así, el empleador cuenta con la facultad de adoptar las medidas que estime más oportunas de vigilancia y control que le permitan verificar el cumplimiento de los trabajadores a su servicio, de sus obligaciones laborales para la buena marcha de la productividad en la organización.

Aprenda cómo el conjunto de funciones para la Prevención de Fuga de Datos (DLP)  de iboss proporciona la protección contra el uso no autorizado de la nube y de la pérdida de datos confidenciales.

 

Sigue a Web Security GANG en Google+!

{ 0 comments }

Atacantes Explotan Vulnerabilidad de Flash sin Parche

03.02.2018 Administración Segura de Contenido

Adobe advirtió el jueves que los atacantes están explotando una brecha de seguridad previamente desconocida en su software de Flash Player para el acceso a sistemas de Microsoft Windows. Adobe dice que planea liberar un arreglo para corregir el defecto en los próximos días, pero ahora puede ser un buen momento para verificar su exposición […]

Leer el artículo completo →

Explosión de Fintech Expone Mayor Riesgo a Bancos

02.02.2018 Administración Segura de Contenido

A pesar de enfrentarse a un marejada con importantes cambios debido a la abundancia de productos digitales que inundan el mercado, los bancos continúan cumpliendo con la misma función esencial de hace siglos – custodiar los fondos de sus clientes, en el nivel más básico, y orientar a los clientes hacia las decisiones financieras responsables […]

Leer el artículo completo →

9 Pasos para Protegerse del Ransomware

27.01.2018 Amenazas Persistentes Avanzadas

“Solo pague el rescate.” Así dijo un oficial del FBI durante la Cumbre de Seguridad Cibernética en Boston en 2015. Sin embargo, desde entonces, el FBI ha publicado un documento oficial que advierte sobre el ransomware y proporciona una lista de mejores prácticas sobre cómo combatirlo. Y así, el nuevo documento dice que, “el FBI […]

Leer el artículo completo →

3 Beneficios de Seguridad de Gateways Cloud No-Compartidos

16.01.2018 Control Accesos a la Web

La Nube sigue siendo un concepto algo abstracto para muchos usuarios, muchos de los cuales no entienden que no sólo hay una nube – por no hablar de lo que ofrecen las diferentes nubes. Es la variedad de los tipos de nubes, aplicaciones y casos de uso que hacen que la nube trabaje para las […]

Leer el artículo completo →

Spectre y Meltdown Sacuden el Panorama de la Ciberseguridad; Amenazan los Ambientes Clouds Compartidos

09.01.2018 Amenazas de la Web

(actualizado Enero 19, 2018) Los gigantes de la tecnología fueron impulsados a modo pánico esta semana, cuando las vulnerabilidades de casi dos décadas de antigüedad en dispositivos utilizados en todo el mundo resultaron ser perfectos para ser aprovechados por Spectre y Meltdown , dos bugs que afectan a casi todos los dispositivos conectados. Spectre y Meltdown […]

Leer el artículo completo →

Diez Consejos Prácticos al Seleccionar un MSSP

16.11.2017 Administración Segura de Contenido

La mayoría de las empresas tienen problemas para mantenerse al día contra el constante embate de amenazas cibernéticas. Muchos están recurriendo a los MSSPs (Managed Security Services Providers) proveedores de servicios de seguridad gestionados para proteger sus redes de forma rentable y fiable.  Elegir un MSSP requiere de análisis e investigación. No todos ofrecen el […]

Leer el artículo completo →

Pieles Rojas de Washington obtiene visibilidad y control sin precedentes sobre Amenazas Web Avanzadas con iboss

01.08.2017 Amenazas Persistentes Avanzadas
Thumbnail image for Pieles Rojas de Washington obtiene visibilidad y control sin precedentes sobre Amenazas Web Avanzadas con iboss

De acuerdo al VP de Tecnología de Información de este equipo de la NFL, necesitaba tener mayor visibilidad dentro de los puertos y protocolos ocultos utilizados por las explotaciones evasivas. La solución que estaban utilizando, no les estaba ofreciendo la visibilidad y la defensa contra amenazas avanzadas que necesitaban. Ellos seleccionaron la Plataforma para el […]

Leer el artículo completo →

Porqué Necesita Desplegar IPv6: Se Trata de Rendimiento y Seguridad

26.07.2017 Nuevas Tecnologías Web

Durante décadas se vienen escuchado los argumentos para el uso de IPv6, pero aquí es una razón novedosa: se trata de conseguir un mejor rendimiento de la red. Un estudio reciente de las operaciones de red de Cloudflare demuestra que una red IPv6 puede operar a 25ms a 300ms más rápido que a través de […]

Leer el artículo completo →