Insider Threats: Derechos del empleado y del empleador

Download PDF

 

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

En las entradas anteriores, he tratado de acercar al lector una visión general de las amenazas internas. También hemos podido observar cuál es la situación actual en las organizaciones con respecto a este tema, donde comprobamos que genera preocupación pero todavía no alcanzan la suficiente concienciación en algunos ámbitos. En la tercera entrada tratamos cuáles eran los principales riesgos asociados a las amenazas internas, es un tema muy extenso ya que existen multitud de riesgos que se pueden derivar de una amenaza interna, ya sea intencional o de forma involuntaria. Por último, en el anterior post quise traer diferentes frameworks metodológicos que permiten crear un plan contra las amenazas internas que permite crear políticas y controles para prevenirlas o bien para mitigarlas.

[Read more…]

Un análisis a los riesgos del uso de drones

Download PDF

Una vez más, continuo con la serie de posts en la temática de drones. Así como en la anterior entrada hablé sobre casos reales de uso, sus implicaciones y la legislación actual, esta vez analizaré los riesgos que conlleva el uso de los drones en diferentes situaciones. Aunque seguramente solo conozcamos la cara conocida de los drones, como las innovaciones que supone y las posibilidades que ofrece, el desarrollo de estos aparatos también ha contribuido a la aparición de nuevos riesgos para la seguridad ciudadana.

Por este motivo, me dispongo a analizar los diferentes riesgos que conllevan los drones para finalmente determinar el nivel de importancia de cada uno de ellos y clasificarlos como riesgos altos, medios o bajos. Para realizar esta clasificación, me basaré en dos criterios: probabilidad de ocurrencia y severidad del daño. Para el primer indicador asignaré valores del 1 al 5, siendo el 5 el de mayor peso. Para el segundo, asignaré valores de la A a la E, siendo la E el de más peso. Después de concatenar ambos indicadores, determinaré el grado de importancia del riesgo en base a la siguiente matriz:  [Read more…]

Privacidad desde una perspectiva internacional: Futuro

Download PDF

A lo largo de esta serie de post hemos hablado sobre la privacidad, sobre la importancia de la protección de datos en entornos empresariales, como pueden afectar severamente a nosotros mismos y a las entidades que manejan estos datos, y por último, como minimizar el impacto y la probabilidad de estos riesgos mediante procesos de auditoría. Ya que conocemos todos estos aspectos, me gustaría hablar de cómo será el futuro en España en el ámbito de la privacidad.

No es una novedad el hecho de que la Unión Europea, y por tanto esto incluye a España, está pasando por un momento de transición. El 25 de mayo de 2016 entró en vigor el nuevo reglamento Europeo de protección de Datos [1], pero la aplicación de esta, de forma obligatoria, en los países de la unión no se va a dar hasta mayo de 2018, por lo que hasta ese momento la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), será la normativa a seguir en España. Este nuevo reglamento supone una garantía adicional a los ciudadanos Europeos. Una de las principales características que acompaña a esta declaración, es que existen organizaciones, que a pesar de poder tratar con datos de ciudadanos de la UE, estas empresas se regían por las normativas de otros países, por lo que eso implica, mayor inseguridad. Si dichas empresas se están rigiendo por normativas distintas a las de la región de la cual manejan datos, es por el simple motivo de que de esta formas tienen ciertos beneficios que a partir de la aplicación del nuevo reglamento no van a tener.

Este futuro es muy cercano y por ese motivo es importante conocer cómo nos van a afectar estos cambios. Es más a pesar de que este nuevo reglamento Europea propone unas bases obligatorias para todos los países de la unión, pero este reglamento puede ser extendido con las legislaciones propias de cada país. Por ejemplo, [2] en España la AEPD (Agencia Española de Protección de Datos) y la sección de derecho público de la Comisión General de Codificación del Ministerio de Justicia van a establecer, en unos días, el primer borrador del anteproyecto de ley de modificación de la LOPD para que se ajuste al reglamento Europeo.

De una forma u otra, aún no conocemos las modificaciones de la LOPD para ajustarse al nuevo reglamento, por lo que analizaremos los cambios obligatorios que el reglamento Europeo va a establecer. Entre estos cambios destacan, nuevos principios, nuevos derechos, nuevas obligaciones y nuevas figuras [3]:

  • Principios:
    • Transparencia: la información debe ser concisa, clara y sencilla.
    • Minimización de datos: el objetivo de este principio es recoger únicamente aquellos datos estrictamente necesarios para la prestación de un servicio.
    • Responsabilidad proactiva: se trata de que el responsable de tratamiento sea capaz de cumplir con los principios declarados anteriormente.
  • Derechos:
    • Derecho al olvido: el individuo interesado tendrá derecho a pedir al responsable del tratamiento de datos, la supresión de los datos personales que le conciernen, y este responsable estará obligado a suprimirlos cuando se cumpla alguna de las circunstancias recogidas en la norma.
    • Derecho a la portabilidad: el individuo interesado tendrá derecho a recibir datos personales de su incumbencia que hayan sido facilitados al responsable de tratamiento, y a transferirlos a otro responsable de tratamiento sin que el primero pueda oponerse.
  • Obligaciones:
    • Registros de actividad: cualquier responsable de tratamiento tendrá que realizar la tarea de llevar un registro de sus actividades de tratamiento efectuadas de forma obligatoria.
    • Evaluación de impacto: esto tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.
    • Consulta previa: el responsable de tratamiento deberá realizar una consultas previa a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto muestra que dicho tratamiento conllevaría un gran riesgo si el responsable no toma ciertas medidas.
  • Figuras:
    • Autoridad de control: este será un organismo que en cada país miembro de la Unión Europea regulará, supervisará y vigilará el tratamiento de datos de carácter personal.
    • Delegado de Protección de datos (DPO): esta figura necesitará tener conocimientos en el ámbito del  Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas. Estas funciones podrán ser desempeñadas en el marco de un contrato de servicios. Si alguna persona tiene cuestiones relativas al tratamiento de sus datos personales deberán acudir a esta nueva figura.

En conclusión, poco a poco se van dando pequeños pasos para mejorar el sistema de privacidad, el cual es necesario que sea bastante restrictivo por el bién de datos. A pesar de todo, la tecnología avanza con gran rapidez, y eso puede suponer que se generen brechas en las normativas que se van desarrollando, por lo que es necesario, que se contemple el hecho de actualizaciones de estas normativas frecuentemente. Al fin y al cabo esto es un problema que nos afecta a todos, ¡ todos estamos expuestos!, de una manera u otra.

Referencias:

[1] <<El reglamento de protección de datos en 12 preguntas>>, Agencia Española de Protección de Datos, acceso el 30 de noviembre de 2017, http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_05_26-ides-idphp.php

[2] <<¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo de Protección de Datos?>>, Confilegal, acceso el 30 de noviembre de 2017, https://confilegal.com/20170324-como-habra-que-adaptar-la-nueva-lopd-al-reglamento-europeo-de-proteccion-de-datos/

[3] <<Principales cambios LOPD con el nuevo Reglamento>>, GrupoTutela, acceso el 30 de noviembre de 2017, http://grupotutela.com/cambios-lopd-nuevo-reglamento/

Privacidad desde una perspectiva internacional: controles y auditoría

Download PDF

En el post anterior hemos visto la gran diversidad de problemas y riesgos que deben afrontar las empresas. Con el propósito de prevenir que estos riesgos se hagan realidades necesario conocer, analizar y actuar para prevenir los riesgos que puedan poner en jaque mate a nuestra empresa.

Identificar y gestionar estos riesgos de privacidad es clave para gestionar información personal en cualquier entidad. Es necesario tener en consideración realizar una auditoria para realizar estas labores. Los auditores consideran riesgos clave y puntos métodos de control cuando realizan una auditoria. De esta forma una empresa se puede evaluar para ver cómo se enfrentan sus políticas de privacidad ante los requisitos legislativos.
La metodología que se sigue tiene un fuerte vínculo con los conceptos que se presentan en la ISO 31000:2009 Risk Management – Principles and Guidelines. El diagrama que se muestra a continuación está basado en el proceso de gestión de riesgos de privacidad de la ISO 3100:2009.

4Como se puede observar en el diagrama [1] [2] este proceso cuenta con varias fases:

  • Establecer el contexto: cada caso a auditar es completamente distinto, ya que los problemas que una empresa pueda son derivados de su propio entorno, el cual está sujeto a muy diversas circunstancias. Además la definición de privacidad es muy subjetiva dependiendo el país, la cultura o la organización, por lo que entender el contexto bajo el cual se lleva a cabo el proceso de auditoría es vital para que sea exitoso.  Además también es imperativo que la visión de todos los involucrados sea la misma.
  • Identificar los riesgos: los riesgos de privacidad, como ya hemos visto están relacionados con la gestión de información personal, y pueden tener consecuencias tanto para los propietarios de esos datos como para las empresas que lo tratan. Por ellos, es necesario identificarlos mediante el uso de diferentes herramientas. Existen áreas que tienen un alto nivel de riesgo en este ámbito por lo que en ellas podemos identificar algunos. Estas áreas son, las redes sociales, Big Data, dispositivos mçoviles y el modelo operativo. Además en este proceso también se pueden identificar oportunidades para mejorar o fortalecer la gestión de información personal.
  • Analizar los riesgos: este proceso cuenta con dos fases, por un lado asignar calificaciones basadas en el riesgo que suponen, el impacto que pueden tener, y por otro lado la evaluación de los controles implementados. La calificación se puede obtener se puede obtener en base a una matriz que tenga en cuenta el impacto y la probabilidad.
Probabilidad Consecuencia/Impacto
1 – Inapreciable 2 – Menor 3- Moderado 4 – Alto 5 – Severo
5 – Seguro Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
4 – Probable Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
3 – Posible Riesgo Moderado Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
2 – Improbable Riesgo Bajo Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
1 – Raro Riesgo Bajo Riesgo Bajo Riesgo Moderado Riesgo Moderado Riesgo Significativo

Una vez realizada la matriz para la calificación de los riesgos es necesario evaluar los controles existentes para conocer el nivel de mitigación existente. Algunos ejemplo de controles de privacidad de una organización son las políticas de privacidad, los controles de privacidad de la base de datos y la criptografía.

  • Evaluar los riesgos: en este paso se calcula el riesgo residual. Este riesgo residual es el resultado del nivel de riesgo tras valorar el riesgo y los controles existentes para mitigarlo. En base a esto se puede priorizar aquello que más daño pueda causar a la empresa auditada y desarrollar un plan de auditoria.
  • Tratar los riesgos: el auditor, basándose en su criterio, debe determinar una respuesta apropiada a un riesgo o a una oportunidad. Muchas agencias de auditoria de TI tienen sus propios criterios y frameworks de tratamiento de riesgos por lo que los auditores puede apoyarse en estas guías predefinidas. Algunas respuestas básicas incluyen, dejar de realizar una tarea que pueda causar que el riesgo ocurra, modificar los controles existentes en cierto aspecto para reducir la probabilidad de que ocurran o para minimizar su impacto. También es preciso destacar que es necesario considerar la relación entre el coste y el beneficio al tratar un riesgo.
  • Monitorización: es importante monitorizar y realizar revisiones continuamente de los riesgos de privacidad y del tratamiento de los datos. Hay una alta probabilidad de que estos riesgos cambien a lo largo del tiempo y tal vez sea necesario reconsiderar su relevancia y si siguen presentes o han sido solucionados. Además es óptimo que cualquier toma de decisiones esté basada en información lo más actualizada posible.
  • Comunicación y consultoria: se deben proveer reportes a las personas involucradas en la auditoría en cada fase de la misma. Y es necesario notificar todos los puntos importantes que surjan en el proceso.

En conclusión, la noción y el entendimiento de la privacidad va a continuar creciendo día a día, y con ello se espera que aparezcan nuevos requisitos regulatorios para las prácticas que manipulen datos personales, y como ya hemos visto a los largo de esta serie de artículos, el debate está servido, ya que existen opiniones excesivamente dispares.

Por lo que en este escenario tan volátil, los auditores deben de ser capaces de establecer y seguir metodologías de auditoría de privacidad para evitar que las organizaciones para las que trabajan se vean involucradas con riesgos innecesarios. Además como hemos explicado existen una serie de pasos para poder minimizar estos riesgos hasta un nivel aceptable, aunque en un mundo tan cambiante los auditores deben ser conscientes de las nuevas tendencias tecnológicas que surgen con el paso de los años. Debido a todos estos motivos, es una gran idea añadir el plan de auditoria de privacidad al plan de auditoría anual.

Referencias:

[1] <<Privacy Audit—Methodology and Related Considerations>>, ISACA, acceso 29 de noviembre del 2017,
https://www.isaca.org/Journal/archives/2014/Volume-1/Pages/Privacy-Audit-Methodology-and-Related-Considerations.aspx?utm_referrer=

[2] <<Privacy risk and opportunity identification>>, ICT, acceso el 29 de noviembre de 2017,
https://www.ict.govt.nz/assets/GCPO/Privacy-risk-and-opportunity-identification.pdf

Privacidad desde una perspectiva internacional: Riesgos

Download PDF

En el post anterior hemos obtenido una visión global de la situación empresarial en el ámbito de la privacidad, tanto Europea como Estadounidense. A pesar de que todo parece estar bastante bien regulado, siempre existen riesgos en el tratamiento de datos personales. Por eso hoy hablaremos sobre estos riesgos.
La mayoría de empresas cuentan con el documento de privacidad, que como ya hemos comentado anteriormente, recoge las políticas de esta empresa en lo referente a tratamiento de datos personales. A pesar de que a través de este documento la empresa en cuestión nos prometa ciertas garantías pueden existir brechas de seguridad y otros diversos problemas, ya que los datos personales son un tipo de información muy valiosa y delicada, y por ello es necesario ser consciente de los riesgos que su manipulación implica. Muchos de estos riesgos suceden en entornos web en los que el usuario es preguntado por ciertos datos, por ejemplo la información de facturación y envío cuando realizamos una compra online. En la siguiente tabla [1] se recogen algunos de los más importantes que se dan en este tipo de entornos:

Título Frecuencia Impacto Descripción
Vulnerabilidades de aplicación web Alta Muy alto Las vulnerabilidades son un problema clave en cualquier sistema que resguarde y opere con datos sensibles para el usuario. Realizar un diseño e implementación inadecuados o detectar un problema y aplicar un parche de forma abrupta son situaciones propensas a tener brechas de seguridad.
Filtración de datos por parte del operador Alta Muy alto Fallar en la prevención de la filtración de cualquier información que contenga o esté relacionado con datos de usuario, a cualquier entidad no autorizada resulta en una pérdida de datos confidenciales. Esto puede ser causado por una gestión de accesos inadecuada, almacenamiento inseguro, duplicación de datos o falta de conciencia.
Respuesta insuficiente ante una brecha de datos Alta Muy alto Puede suceder cuando no se informa a los propietarios de los datos sobre la posible brecha o filtración, cuando no se consigue solucionar un problema relacionado con este tipo de datos o cuando no se limita la información filtrada.
Borrado insuficiente de datos personales Muy alta Alto Esto ocurre cuando no se borran los datos correctamente, o en un cierto tiempo después de finalizar el propósito para el cual han sido recogidos o tras una petición.
Políticas, Términos y condiciones no transparentes Muy alta Alto Esto sucede cuando no se provee suficiente información acerca de cómo se procesan y son tratados los datos, así como su recolección y almacenamiento. No hacer esta información accesible y entendible para personas sin conocimientos legislativos también es motivo de que esto suceda.
Recolección de datos innecesaria para el propósito primario. Muy alta Alto Recolectar datos descriptivos, demográficos o cualquier otro tipo de datos innecesarios para los propósitos del sistema. Esto también se aplica a los datos recogidos sin consentimiento previo del propietario.
Compartición de datos con entidades de terceros Alta Alto Proveer datos de usuarios a una entidad externa sin obtener el consentimiento del usuario. También puede deberse a una compartición de resultados por una transferencia o por un intercambio en forma de compensación monetaria o por uso inadecuado de recursos de entidades externas en sitio web.
Desactualización de datos personales Alta Muy alto El uso de datos de usuario desactualizados, incorrectos o fraudulentos. También existe este riesgo cuando se falla al actualizar o corregir estos datos.
Expiración de sesiones insuficiente o inexistente Media Muy alto Incumplimiento de la terminación de sesiones efectiva. Esto puede resultar en la recolección de datos de usuario adicionales sin su consentimiento o consciencia.
Transferencia de datos insegura Media Muy alta Sucede cuando se realizan transferencia de datos a través de canales inseguros o sin ningún tipo de encriptación, excluyendo de esta forma la filtración de datos. Esto también incluye no promocionar los mecanismos que limitan la superficie de filtración.

Los riesgos citados están muy orientados a los entornos web, aunque también existen algunos riesgos algo más generales [2] que pueden darse en otro tipo de ámbitos.

  • Riesgo de incumplimiento: descubrir un caso de incumplimiento a través de una auditoría, una investigación o una evaluación de riesgos necesita cambios en las prácticas de negocio.
  • Riesgo contractual: el hecho de que una empresa no cumpla con sus obligaciones de privacidad especificadas supone una gran riesgo para cualquier entidad, y sobre todo para las personas encargadas del tratamiento de datos dentro de esa entidad.
  • Riesgo para el propietario de los datos: el uso inadecuada de la información personal de una persona puede derivar en un gran daño en forma de pérdida de capital, otro tipo de pérdidas financieras, daño a su reputación, discriminación y otros muchos.
  • Riesgo ético: en algunos casos las organizaciones tratan los datos de de forma correcta técnicamente, pero aun así puede considerarse un proceso no ético. En  algunas jurisdicciones, la mayoría de leyes y regulaciones referentes a la privacidad y protección de los datos no han sido escritos contemplando las prácticas de negocio modernas y los avances tecnológicos, por lo que no tienen en cuenta los problemas de privacidad que han surgido a raíz de este desarrollo tecnológico. Por este motivo este riesgo se debe de tener en especial consideración en áreas como Big Data, Internet of Things y Cloud Computing.
  • Riesgo de demostración de responsabilidad: se espera de las empresas el uso responsable de la información, pero además de serlo las empresas han de demostrar al resto del mundo que su gestión de la privacidad es efectiva. Si una empresa no es capaz de demostrar esto se encuentra en una situación delicada.
  • Riesgo de imagen y reputación: una mala gestión de la privacidad puede derivar en daños irreparables para la imagen de una empresa, y si esto sucede, dicha empresa no podrá tener éxito, ya que no será deseado contratar sus servicios.

Tras analizar posibles riesgos que existen en este entorno, deducimos que es necesario una fuerte regulación para prevenir que estos riesgos se conviertan en realidad. Esto se realiza a través de la auditoría de privacidad, por lo que este será el siguiente tema a tratar.

Referencias:

[1] <<OWASP Top 10 Privacy Risks Project>>, Owasp, acceso el 28 de noviembre del 2017,
https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project#tab=Top_10_Privacy_Risks_2

[2] <<Privacy Risk>> Nymity, acceso el 28 de noviembre del 2017,
https://www.nymity.com/products/Privacy-risk.aspx

Privacidad desde una perspectiva internacional: UE vs EEUU

Download PDF

En el post anterior hemos analizado la situación general en torno a la privacidad y la protección de datos, y hemos aprendido varios conceptos relevantes.

En esta ocasión vamos a comparar las diferencias que existen entre la Unión Europea y los Estados Unidos de América algo más en profundidad. Estas diferencias son enormes, tanto a nivel normativo como a nivel ideológico. Europa apuesta por poner mayor confianza en el estado, mientras que en estados unidos se tiende a confiar más en el individuo, tratando de minimizar el papel del estado.

En el ámbito de la protección de datos, observamos que las diferencias entre ambos son casi insalvables. ¡Empecemos a comparar! [1]

Ámbito legal de la protección de datos

En Europa se tiende a crear una normativa general para todos los países de la unión, y  sobre todo ahora con el cambio del nuevo reglamento, el cual entrará en vigor en España en el segundo trimestre de 2018. Este reglamento será aplicado tanto al sector público como al privado, y solamente tendrá algunas modificaciones dependiendo del país, aunque la base será la misma, como hemos comentado en el post anterior. Este nuevo reglamento tiene como objetivo proteger aún más los datos de las personas.

Sin embargo, Estados Unidos, no cuenta con una normativa de alcance general, pero si cuenta con determinadas normativas que se especializan en un área determinada, o para una empresa determinada.

Autoridades encargadas del cumplimiento de las normativas

Mientras que en Europa existen agencias nacionales como la AEPD en España o incluso regionales como la ACPD (Agencia Catalana de Protección de datos), en Estados Unidos no existe ningún tipo de autoridad semejante.

Alcance de la normativa

En europa, tiene un alcance general, y por sectores específicos, y las únicas excepciones existentes están tasadas. Sin embargo, en Estados Unidos se resuelve cada caso de manera individual en los Tribunales.

Enfoque de la normativa

El modelo Europeo sigue un enfoque preventivo, optando por intentar evitar que se vulneren los derechos de las personas. Ya sabemos como es el dicho, más vale prevenir que curar.

Por otro lado, en Estados Unidos se tiene un enfoque totalmente Opuesto, siendo este un enfoque de actuación. No se actúa hasta que se realiza una vulneración de la normativa. Cada caso se lleva a las cortes, y se compensa la vulneración.

Recogida de datos

En Europa solamente se recogen datos cuando es necesario y totalmente imprescindibles. Sin embargo, en Estados Unidos existe un escenario más favorable a las empresas o entidades, ya que, la recogida de datos se efectúa cuando a dicha empresa o entidad le conviene.

¿Quién está protegido por ley?

Mientras que en Europa la ley protege tanto a ciudadanos Europeas como a las personas que no tienen la ciudadanía, en Estados Unidos la ley solamente protege a aquellos con ciudadanía Americana, aunque a pesar de esto se ha intentado extender a ciudadanos europeos.

Perspectiva de los ciudadanos

Mientras que en Europa se confía en el Gobierno/Estado (enfoque paternalista), en Estados Unidos se confía en el mercado, ya que este se autorregula (enfoque liberal).

Sanciones

Las sanciones por incumplimiento de la normativa en Europa están tasadas, y suelen rondar precios astronómicos, aunque también existen casos en los que se atribuyen delitos por la vía penal.

En Estados Unidos, sin embargo, no existen tales tasaciones, cada caso es un mundo. Como ya hemos comentado en Estados Unidos cada caso se trata de forma individual, y en consecuencia las sanciones son personalizadas para cada caso.

A pesar de todo, y aunque las diferencias que presentan ambos sistemas sean tan sumamente grandes, existen varios programas para intentar unificar, en la medida de los posible, a ambos lados del Atlántico. A continuación se presentan los más relevantes.

International Safe Harbor Privacy Principles

Estos son unos principios [2] desarrollados entre los años 1998 y 2000 con el fin de prevenir accidentes, así como pérdida de datos en transacciones entre empresas de Estados Unidos, Europa y Suiza. Las empresas estadounidenses que manipulaban datos de consumidores se apoyaron en los siete principios establecidos para cumplimentar la directiva de protección de datos europea. Solamente las organizaciones estadounidenses  reguladas por la Federal Trade Commission o por el Department of Transportation pueden pàrticipar en este programa. Los siete principios son estos:

  • Notificación:  los individuos deben ser informados de que sus datos son recolectados y de cómo se usan.
  • Elección: los individuos deben tener la opción de optar por no participar en la recopilación y transmisión de los datos a terceros.
  • Transferencia: los individuos deben de de tener la opción de transferir sus datos a otras entidades que cumplan con estos principios.
  • Seguridad: se deben de realizar esfuerzos con tal de prevenir la pérdida de datos.
  • Integridad de los datos: los datos deben ser relevantes y de confianza para el motivo por el cual han sido recolectados.
  • Acceso: los individuos deben de tener acceso a su información y deben de poder corregirla o borrarla en caso de ser imprecisa.
  • Aplicación: deben existir medios eficaces para la aplicación de estos principios.

2

Privacy Shield Framework

Los programas que engloban este framework ( EU-US y Swiss-US) [3] han sido diseñados por el Departamento de Comercio de los Estados Unidos, la Comisión Europea y la Administración Suiza. El objetivo de este framework es el proveer a ambas lados del océano con un mecanismo para cumplir los requisitos de protección de datos cuando se transfieren datos personales a través de transacciones del comercio transatlántico. Estos frameworks son relativamente nuevos, ya que uno de ellos se empezó a utilizar en Julio de 2016 y el otro en Enero de 2017.

Para que una organización pueda unirse a cualquiera de los frameworks ha de pedir una certificación ante el Departamento de Comercio de Estados Unidos y comprometerse a cumplir con los requisitos del framework.

Referencias:

[1] <<Comparativa de la Protección de Datos en Europa y en Estados Unidos>>, El jurista, acceso el 27 de noviembre de 2017, http://www.eljurista.eu/2015/04/26/comparativa-de-la-proteccion-de-datos-en-europa-y-en-estados-unidos/

[2] <<nternational Safe Harbor Privacy Principles>>, Wikipedia, acceso el 27 de noviembre de 2017, https://en.wikipedia.org/wiki/International_Safe_Harbor_Privacy_Principles

[3] <<Privacy Shield Overview>>, Privacy Shield Framework, acceso el 27 de noviembre de 2017, https://www.privacyshield.gov/Program-Overview

Privacidad desde una perspectiva internacional: Introducción

Download PDF

Todas las personas tenemos una serie de derechos y responsabilidades en la sociedad en la que vivimos. Uno de estos derechos fundamentales, el cual forma parte de la Declaración Universal de los Derechos Humanos es el derecho a la privacidad.

La privacidad, [1] en su forma tradicional, puede definirse como aquello que una persona lleva a cabo en un ámbito reservado, algo que se mantiene fuera del alcance de otras personas, y puede ser asociado al concepto de intimidad. Sin embargo, actualmente la tecnología está muy presente en nuestras vidas, por lo que el concepto de privacidad obtiene una dimensión mucho mayor de la que tenía en el pasado. Los datos se convierten en el activo más preciado, además de que es sencillo recogerlos, almacenarlos y tratarlos. El crecimiento tecnológico es tan fugaz, que hoy en día raro es conocer a alguien que no haya vendiendo ya su alma al diablo. Las redes sociales, las compras con tarjetas, las llamadas telefónicas y otras muchas actividades que realizamos día a día son fuente de una cantidad inmensa de datos, entre los cuales se encuentran nuestro datos personales. La tecnología a pesar de ser traducirse en herramientas que nos facilitan el día a día automatizando tareas que nunca antes hubiésemos imaginado, conlleva una serie de riesgos, y la pérdida de privacidad es uno de ellos y un tema muy serio a tratar.

Por este motivo, en esta serie de post se analizarán los diferentes aspectos de este derecho desde un punto de vista tecnológico e internacional, al igual que las regulaciones legales que existen para este tipo de actividad

Conceptos básicos

Antes de analizar el marco y tendencias internacionales referentes a este tema, es necesario tener claros una serie de conceptos:

  • La protección de datos [2] es una disciplina jurídica cuyo objetivo es proteger la intimidad y el resto de derechos fundamentales de las personas frente al riesgo que supone la recopilación y el uso indiscriminado de sus datos personales por diferentes entidades.
  • El aviso de privacidad [3] es un documento generado por la persona o entidad responsable de la recopilación y tratamiento de datos personales el cual debería ser presentado ante el titular de los datos. Normalmente cualquier empresa la cual necesite datos personales de un individuo presenta este documento, y aunque sea tedioso leerlos, debido a su carácter, longitud, o porque simplemente confiamos en el buen hacer de dicha entidad, es una buena práctica leer estos documentos, ya que de esta forma sabemos con certeza dónde, cómo y para qué se van a utilizar nuestros datos.

Marco legislativo Español

Cada país tiene diferentes medidas y leyes referentes a la privacidad y uso de datos personales. En España existen diferentes documentos jurídicos y entidades que recogen cómo se debe de hacer uso de estos datos. Entre ellos destacan las instrucciones de la Agencia Española de Protección de Datos, la Constitución (artículo 18.4) y la Ley Orgánica 15/1999, de 13 de diciembre.

A pesar de que podamos conocer más o menos el reglamento español, otros países tienen diferentes normas, y ciertas empresas trabajan bajo la jurisdicción de otros países que no son España, por lo que es interesante analizar diferentes legislaciones para tener una visión más global.

Unión Europea

El marco legislativo de la UE está dando un gran cambio actualmente. Se está llevando a cabo una reforma del reglamento la cual afectará en gran medida a todos los países que conforman la UE. Con este nuevo reglamento la UE pretende estandarizar todo lo referente a leyes en este sector, estableciendo unos mínimos que todo país de la UE deberá cumplir. A partir de este mínimo cada país será responsable de modificar sus leyes de forma que se cumplan los mínimos, pero con la capacidad de poder ampliar las propuestas de la reforma de la UE.

Estados Unidos

En los Estados Unidos de América, a diferencia de la unión Europea, tienen leyes de protección de datos relativamente débiles. La información que puede ser objeto de protección incluyen registros de salud e información de crédito. Algunas leyes destacadas son las siguientes:

  • HIPAA: la ley de Transferibilidad y Responsabilidad del Seguro Sanitario [4] es una de las leyes más amplias de este sector en EEUU. Fue promulgada en 1996, y en ella se especifica quién puede tener acceso a tu información sanitaria.
  • FACTA: la ley Federal de Transacciones Crediticias Justas y Exactas [5] recoge las regulaciones que se aplican para proteger la información de crédito de los consumidores de los riesgos asociados con el robo de datos.
  • COPPA: la ley de Protección de Privacidad de Menores [6] se promulgó en 1998 para proteger la privacidad de los niños menores de 13 años. Esta ley está dirigida sobretodo a sitios web que están dirigidas a este tipo de público.

Referencias:

[1] <<Definición de Privacidad>>, Definición.de, acceso el 27 de noviembre de 2017,
https://definicion.de/privacidad/

[2] <<¿Qué es la protección de datos?>>, Cuidatusdatos.com, acceso el 27 de noviembre de 2017, http://www.cuidatusdatos.com/infoprotecciondedatos.html

[3] <<¿Qué es el aviso de privacidad?>>, Protecciondedatospersonales.org, acceso el 27 de noviembre de 2017, http://www.protecciondedatospersonales.org/%C2%BFque-es-el-aviso-de-privacidad/

[4] <<Your rights under HIPAA>>, U.S. Department of Health & Human Services, acceso el 27 de noviembre de 2017, https://www.hhs.gov/hipaa/for-individuals/guidance-materials-for-consumers/index.html

[5] <<Fair and Accurate Credit Transactions Act>>, Wikipedia, acceso el 27 de noviembre de 2017, https://en.wikipedia.org/wiki/Fair_and_Accurate_Credit_Transactions_Act

[6] <<Children’s Online Privacy Protection Rule (“COPPA”)>>, Federal Trade Commission, acceso el 27 de noviembre de 2017, https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

Blockchain Risks

Download PDF

   Como hemos aprendido en los dos anteriores posts, blockchain reduce tremendamente la posibilidad de que surjan errores. Además, los registros no pueden ser  modificados por nadie una vez que se han añadido. Debido a que cada transacción se registra y se verifica, la integridad de los registros está garantizada. Por ello, mucha gente del sector IT plantea el hecho de que auditar sistemas basados en blockchain va a ser innecesario. Pero ¿es eso cierto?

Sin duda alguna es totalmente falso.En este post voy a resaltar los principales riesgos que se deben tener en cuenta cara a la auditoría de un sistema con tecnología blockchain. Tal y como hace referencia Deloitte en uno de sus artículos sobre blockchain y sus riesgos, el blockchain se puede dividir en dos tipos: “permissionless and permissioned chains”, esto es, cadenas sin permiso y autorizadas.[1] Blockchain sin permiso permite que  cualquiera sin ningún tipo de verificación participe en la red de transacciones. Sin embargo, las autorizadas están formadas por responsable o responsables que evalúan la participación de una persona u entidad en el entorno blockchain.

La mayoría de los riesgos que hoy en día se plantean no van asociados al tipo de blockchain del que se use. Ya que, es cierto que un riesgo está directamente relacionado con la integridad de los eslabones que componen la cadena blockchain, pero los grandes riesgos que realmente asustan a los expertos son independientes a ello. Después de informarme bien, y leer y releer una enorme cantidad de artículos en lo que refiere a este tema, me gustaría destacar una tabla publicada por ISACA que recopila de manera muy visual los posibles riesgos del blockchain y su relevancia. [2]

 

ISACA Blockchain Risks

Como se puede observar, categorizan los riesgos según su impacto y su probabilidad. Siendo de color verde los riesgos de menos importancia y difuminándose a color rojo los que aumentan su relevancia. En ISACA entienden por críticos, los siguientes riesgos:

  • Plataform Vulnerabilities:

La integridad del blockchain está determinada por la plataforma de software sobre la cual se ejecuta. Si la plataforma se considera poco fiable, ello afecta al blockchain.

  • Targeted Malware:

La infraestructura que admite el blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. Ningún software está exento de ataques, y hay que tenerlo en cuenta.

  • Change control:

Abuso del privilegio de administración y cambio no autorizado en la infraestructura.

 

Además de estos tres posibles riesgos que ISACA destaca como los riesgos con mayor grado de  impacto/probabilidad, me gustaría destacar desde mi punto de vista los principales riesgos weak-chainen cuanto a seguridad se refiere: el acceso o control de acceso, la robustez del cifrado y la seguridad individual de cada nodo. Respecto a la seguridad de cada nodo, hay un dicho que me viene a la cabeza: “una cadena es tan débil, como el eslabón más débil de esta”. En este caso ocurre lo mismo, por ello es imprescindible disponer de planes de contingencia adecuados. A su vez, es cierto que el blockchain se caracteriza por estar cifrado, pero es de destacar que existen infinidad de algoritmos de cifrado. Y, no todos poseen el mismo nivel de seguridad.

En conclusión, puesto que estamos tratando una tecnología emergente, la mayoría de información y opiniones respecto a sus posibles riesgos son meras suposiciones. Suposiciones que se basan en experiencias pasadas, experiencias que se basan en casos  similares. Lo que nadie duda, es que esta tecnología ha venido para quedarse. Sin embargo, hasta que no se quede y se estandarice, no se podrá hacer una lista cerrada de los riesgos que implica. Lo que está claro es que a poca gente le gustan los cambios, y es porque con los cambios surgen riesgos que hasta el momento no se planteaban. El blockchain implica cambios y por lo tanto, implica nuevos riesgos. En lo que auditoría respecta, cualquier gran empresa o profesional que se quiera centrar en auditar esta nueva tecnología debe estar al tanto de los cambios que implica dicha tecnología, tanto de los casos que triunfen como de los que fracasen, y aprender de ellos. Deben ir perfeccionando la técnica de auditar según se vaya perfeccionando la tecnología.


Referencias:

[1]: Blockchain risk management (Prakash Santhana and Abhishek Biswas, 2017),https://www2.deloitte.com/content/dam/Deloitte/us/Documents/financial-services/us-fsi-blockchain-risk-management.pdf

[2]: Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf

 

Riesgos de la identidad digital: Introducción

Download PDF

La identidad digital es todo lo que manifestamos en el ciberespacio e incluye tanto nuestras actuaciones como la forma en la que nos perciben los demás en la red. 

(Aparici y Osuna Acedo, 2013)

El término de la identidad digital también llamada identidad 2.0, empieza a emplearse en la década de 1990 con la introducción de los ordenadores personales.  Se trata de una revolución anticipada de la verificación de la identidad en línea utilizando tecnologías emergentes centradas al usuario.

En resumen, todas nuestras actuaciones dentro del espacio digital (imágenes, comentarios, etc.) conforman nuestra identidad o perfil digital. Por tanto, es imprescindible tener en cuenta que a través de esto los demás nos verán de un modo u otro en el ciberespacio. [1]

Para que nos sigamos situando en qué es la identidad digital, a continuación, menciono cuáles son sus características y propiedades:

image18

Social: En ningún momento se llega a comprobar si una identidad es real o no.

Subjetiva: Depende del reconocimiento de los demás y de cómo perciban a la persona.

Valiosa: Se utiliza para investigar cómo es esa persona o empresa y así ayudar a tomar decisiones sobre ella.

Indirecta: No permite conocer a alguien personalmente.

Compuesta: La huella digital se construye por las aportaciones de la persona y de las demás personas que la rodean, sin necesidad de dar consentimiento.

Real: La información de la identidad puede producir efectos tanto positivos como negativos en la vida real.

Contextual: La divulgación de información en un contexto erróneo puede tener un impacto en nuestra identidad digital y, por tanto, en nosotros.

Dinámica: La identidad digital está en constante cambio o modificación. [2]

 

En el caso de las organizaciones, los riesgos de la identidad digital son una de las cuestiones más importantes. Al igual que cada individuo debe tener cuidado con la huella que deja, las compañías deben cuidar mucho su reputación. Por ello, aunque que la identidad digital ayude notablemente a mejorar las calidades de los negocios o a que las empresas contraten a personas a través de Internet, hay que tener en cuenta que obtener una información falsa o incluso hacer un mal uso de los datos, nos lleva a una vulnerabilidad, tanto personal como empresarialmente hablando.

En la mayoría de los casos, y sobre todo en las multinacionales, los empleados tienen que seguir la política global, es decir, existe una estrategia digital corporativa la cual ayuda a reducir los riesgos de la identidad 2.0. Pese a eso, he encontrado una encuesta hecha a varios trabajadores de distintas compañías, en la que los encuestados consideran que la huella digital sólo es parcialmente controlable. En su opinión, el principal factor de riesgo es el “empleado”, tanto para la imagen de la compañía como para la seguridad de la misma. [3]

Resultado de imagen de Bring your own identityHoy en día existe una “fatiga de identidad”, es decir, los usuarios tienen demasiadas cuentas, con demasiados usuarios y contraseñas. Para intentar evitar dicha fatiga, algunas compañías han conseguido que la experiencia del usuario sea más cómoda, migrando dicha conexión a sitios que ofrecen un proceso más rápido y sencillo (Facebook, Google, LinkedIn…). A este proceso se le llama BYOI (Bring Your Own Identity), Imagen relacionadapero a pesar de que se puede obtener beneficio de ello, como, por ejemplo, reducir los costes administrativos al evitar el olvido de contraseñas y nombres de usuario, también tiene riesgos. Uno de ellos sería en el caso de que la identidad digital subyacente se viese comprometida, lo que le llevaría al usuario a realizar esfuerzos considerables para restablecerla. Sin embargo, se pueden reducir esos riesgos, por ejemplo, creando un proceso de autenticación basado en el riesgo. Este proceso evaluará una variedad de factores configurables como la hora del día, la ubicación geográfica, etc. [4]

Por lo tanto, he llegado a la conclusión de que la huella digital radica sobre todo en los comportamientos y acciones de los perfiles sociales de la propia organización y de los empleados. Lo que me lleva a reflexionar sobre la seguridad que existe en la red y como una violación de la privacidad o un robo de identidad podría dañar una reputación, ya sea de la organización como de la persona misma. Ante esta situación debemos tener cuidado con los riesgos que acarrea tener un perfil digital, y poner precauciones para evitar cualquier posible incidencia o problema. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud?

Continuará…


Referencias

[1] Wikipedia. <<Identidad 2.0>>. Acceso el 5 de octubre de 2017, https://es.wikipedia.org/wiki/Identidad_2.0

[2] Gobierno de Canarias. <<Características y propiedades de la identidad digital>>. Acceso el 5 de octubre de 2017, http://www3.gobiernodecanarias.org/medusa/ecoescuela/seguridad/identidad-digital-profesorado/caracteristicas-y-propiedades-de-la-identidad-digital/

[3] Ben Ayed, G. (2011). Digital Identity Metadata Scheme: A Technical Approach to Reduce Digital Identity Risks. Advanced Information Networking and Applications (WAINA), 2011 IEEE Workshops of International Conference on, 607-612.

[4] ISACA. http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=321

 

IoT: Solos pero acompañados

Download PDF

Cada vez salen a la venta más dispositivos que nos acompañan en el día a día y monitorizan todo lo que hacemos y estos dispositivos también se están aplicando a la empresa. Todos ellos están conectados a internet, directa o indirectamente, para que los datos que generan puedan ser consumidos desde cualquier lugar. Y es que, hoy por hoy, es muy difícil estar solo.

El Internet of Things(internet de las cosas o IoT)lo conforman más de 20 billones de dispositivos conectados a la red y más de 8 billones de esos dispositivos son los que nosotros compramos para nuestro uso diario o para el control de las tareas del hogar. Gran cantidad de esos dispositivos, por no decir el 100%, están compuestos de sensores que recogen información sobre el entorno en el que se encuentran. Y como nos podemos imaginar, todos ellos están, de una u otra manera conectados a internet, gracias al que envían los datos que recogen a los servidores de las empresas que los crearon o con aplicaciones de terceros.

Es entonces cuando nos podemos dar cuenta de que nuestra vida está siendo monitorizada y que nosotros hemos decidido que nuestra casa se controle desde el software de una empresa que, realmente, ¿sabemos qué está haciendo con ellos o cómo los almacena?

Según un artículo del ISACA Journal, los riesgos de Internet of Things más importantes que acechan al ámbito de Internet of Things son dos principalmente: la vulnerabilidad de la privacidad de los usuarios y el problema de la seguridad de la información que estos dispositivos generan.

Internet of things ha entrado en nuestra vida íntima y en la empresas gracias a los dispositivos que prometen monitorizar o detectar cualquier cosa de manera que sea mucho más fácil de gestionar o de sacar conclusiones de ella. La mayoría de estos dispositivos son consumidos personalmente y se dedican a extraer datos de carácter sensible sobre la persona que los porta. Es por eso que la privacidad de las personas se ha visto vulnerada por estos dispositivos ya que actúan como pequeños espías que nos vigilan constantemente. Y es por esto que puede existir rechazo por parte de algunas personas.

Pero el problema no es que simplemente nos monitorizan, el problema reside en el lugar al que va toda la información que estos dispositivos recolectan y cómo esa información es almacenada, enviada a las diferentes aplicaciones que la interpretan y finalmente quién puede consumir esa información y de qué manera.

Otro de los grandes problemas que presenta el internet de las cosas es la seguridad de los aparatos que lo conforman. Raúl Rojas, un profesor de informática en la Universidad Libre de Berlín, sufrió un ciberataque en la smarthouse que él mismo construyó. La mayoría de sus objetos estaban conectados a internet, gracias a eso, el podía controlarlos desde cualquier parte. Un día, sufrió un ataque a una de las bombillas, la cual comenzó un ataque DoS (denegación de servicio) sobre la casa. Como resultado de esto, la casa quedó inutilizada durante un tiempo, en el que Raúl no pudo controlar ninguno de los dispositivos. Esto no fue tan grave comparado con la catástrofe que podría haber ocurrido si alguien hubiese utilizado alguna de las numerosas vulnerabilidades encontradas en un modelo de marcapasos instalado en 465.000 personas.

Posibles ataques a dispositivos IoT

Finalmente también existe el problema de la disponibilidad. Muchos de estos dispositivos pueden crear nuevos e inesperados errores que hagan que un sistema clave de nuestro negocio deje de funcionar porque cierto sensor dejó de enviar información o que nos quedemos encerrados en casa porque la cerradura no responde ante el comando de abrirse.

Y es que según un artículo que presentó ISACA Journal, en el que presenta varios retos sobre la seguridad de IoT, nos advierten sobre estos problemas. En este artículo se citan problemas como la insuficiente autenticación para acceder a los dispositivos IoT, la falta de encriptación de los datos que los dispositivos recolectan o la mala seguridad de los portales donde estos datos se pueden visualizar.

No todo son cosas malas en el mundo del internet de las cosas, este también permite la creación de nuevos elementos para las empresas que les permitan avanzar en sus procesos de negocio y las hagan más eficaces. Por ejemplo, en el sector energético existe la posibilidad de detección de fugas mediante medidores conectados a la red o en el ámbito automovilístico existe ya una gran línea de productos que, por ejemplo, recogen información sobre el comportamiento de las ruedas dependiendo de la superficie sobre la que están rodando para su mejora en el futuro.

Es por todo esto que no solo hay que fijarse en los riesgos que IoT puede llegar a tener, solo es necesario detectarlos y mitigarlos para conseguir que las ventajas que ofrecen estos dispositivos se puedan aprovechar de una manera segura.


Referencias

Proviti <<The Internet of Things: What Is It and Why Should Internal Audit Care?>>

<<Security and Privacy Challenges of IoT-enabled Solutions>> Isaca Journal, acceso el 8 de octubre del 2017 https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/security-and-privacy-challenges-of-iot-enabled-solutions.aspx?utm_referrer=

<<This guy’s light bulb performed a DoS attack on his entire smart house>> Splinter News, acceso el 9 de octubre del 2017, https://splinternews.com/this-guys-light-bulb-performed-a-dos-attack-on-his-enti-1793846000

<<Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions)>> Statista, acceso el 9 de octubre del 2017, https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/