¿Hay un antes y un después de Wannacry?

wannacray

wannacray

Hay muchas preguntas que han surgido a raíz de la aparición del malware WannaCry, que incluso tuvieron su eco en el posterior ciberataque un mes más tarde con el NotPetya, pero quizás las más interesantes que nos podríamos hacer son: ¿Hay un antes y un después de Wannacry? ¿Debemos poner en nuestro calendario un “antes de Wannacry” y empezar como si se tratara de un nuevo año cero pero en la era digital? ¿Hay que hacer un reseteo “electrónico” desde el momento de su aparición? Es decir, ¿es el 12 de mayo de 2017 la nueva fecha cero en nuestros calendarios?

Leer el resto

¿Qué es el internet de las cosas?

IoT o el Internet de las Cosas es un concepto inventado por Kevin Ashton (MIT) y utilizado para definir un nuevo ecosistema tecnológico en el que la información de máquinas, sensores y personas puede ser integrada, dando lugar a nuevas formas de interactuar con nuestro entorno tanto a nivel personal como en el mundo empresarial.

Leer el resto

Preparándonos para el GDPR

 

Con la llegada del 2018 entramos de lleno en la recta final para la implementación de las novedades que introduce el General Data Protection Regulation (GDPR). Este reglamento de la Unión Europea, aprobado en 2016 y que supondrá profundos cambios en la normativa de protección de datos, se volverá obligatorio a partir del próximo mes de mayo, por lo que todas las empresas deben tener incorporadas las modificaciones necesarias para entonces.

Desde la aprobación en 1995 de la Directiva referente al procesamiento de información personal, la Unión Europea no había elaborado nuevas regulaciones en esta materia. La creciente necesidad de armonizar y actualizar las legislaciones estatales hizo que el 12 de marzo del 2014 el Parlamento Europeo aprobase una primera versión del GDPR, que dos años después adquiriría su redacción definitiva.

El GDPR tiene como objetivo primordial unificar los estándares de la Unión Europea y lograr que los ciudadanos europeos tengan mayor control sobre sus datos personales, entendiéndose estos como toda información relativa a una persona física identificada o identificable cuya identidad pueda determinarse directa o indirectamente.

¿Cuáles son los aspectos más relevantes del GDPR?

Es conveniente advertir que el ámbito de aplicación del GDPR no solo se extiende a las compañías con sede en la UE, sino que también incluye a todas aquellas fuera del territorio europeo que traten datos de ciudadanos comunitarios. Todas estas empresas deberán recabar el consentimiento explícito de las personas, denominadas interesados en el reglamento, cuya información vaya a ser tratada. Esto último además se aplicará de manera retroactiva, es decir, toda autorización obtenida de forma tácita hasta el momento deberá ser ratificada de manera expresa.

Otra de las novedades más destacadas es el plazo de notificación en caso de que se produzca una brecha de seguridad. Las empresas dispondrán de 72 horas para reportarlas a la autoridad de control y a los afectados una vez producidas.

Si este u otros mandatos del GDPR se incumplieran, las multas podrían ascender hasta el 4% del volumen de negocio total anual o a 20 millones de euros, eligiendo entre estas opciones la de mayor cuantía. Sin embargo, la determinación final del importe podrá ser graduada por la autoridad nacional de control, la Agencia Española de Protección de Datos en el caso de España, que decidirá en base a criterios de efectividad, proporcionalidad y disuasión.

En cuanto a los derechos de los ciudadanos, el GDPR obliga al responsable del tratamiento de la información personal a proporcionar al interesado un informe exhaustivo en el que se incluirán, por ejemplo, el periodo de conservación de los datos o la existencia de decisiones automatizadas. Asimismo se introduce el derecho al olvido, que supone una formulación reforzada del actual derecho de cancelación, por el que el interesado podrá solicitar que sus reseñas dejen de ser almacenadas, tratadas o publicadas en internet.

El derecho a la limitación en el uso de los datos es otro de los aspectos importantes incluidos en el GDPR. Esta limitación se producirá cuando el interesado haga constar la inexactitud de alguno de sus identificadores, cuando se produzca un tratamiento ilícito pero no se desee la supresión, cuando el responsable ya no necesite la información personal pero el interesado los precise para una reclamación o cuando el interesado ejercite su derecho de oposición, hasta que este se resuelva.

Por otra parte, en cuanto a las obligaciones impuestas al responsable, este deberá realizar un análisis de riesgos en el que detallará las medidas técnicas y organizativas a implementar para cumplir con el GDPR. También tendrá que llevar un registro de actividades que incluirá, entre otros, los fines del tratamiento, la descripción de las categorías de interesados y de datos o la información sobre transferencias internacionales.

Primeros pasos en la adaptación al GDPR


Vista la magnitud de la reforma y el poco tiempo que resta para que el cumplimiento del GDPR se vuelva obligatorio, es necesario sentar unas bases claras para poder ajustarnos a la nueva normativa. Nosotros apostamos por seguir estos cinco pasos:

1. Conoce a tu empresa para determinar los puntos débiles en los procedimientos de tratamiento de datos personales. Debemos autoanalizarnos para ser capaces de detectar en qué aspectos es más probable que no seamos capaces de cumplir con las exigencias impuestas por el GDPR. Solo así focalizaremos el esfuerzo en necesidades reales y concretas y podremos cumplir con los plazos de Europa.

2. Haz un inventario de datos e identifica a las personas clave a las que incluir en el proceso. Esto es importante ya que el GDPR, en su artículo 9, refuerza la protección de determinadas informaciones por considerarlas especialmente sensibles. Realizando una recolección detallada de datos y personas facilitamos la tarea de localizar aquellos que deben gozar de las consideraciones de seguridad especiales incluidas en el reglamento.

3. Define las medidas técnicas y organizativas y el método a seguir. La adaptación al GDPR exige transversalidad. No es posible lograr una adecuación completa a la norma europea sin abordar este reto desde una perspectiva global. Por ello, las reformas no pueden afectar solo a una parte de la corporación, sino que han de incorporar tanto medidas en el plano técnico como en el organizativo.

4. Implanta las medidas. En este caso se trata de llevar a la práctica el plan diseñado en la fase anterior, siendo capaces de integrar todas las áreas.

5. Forma y conciencia a todo el personal. Esta es una tarea que debe darse en todas las fases de la adaptación, ya que al final el éxito o el fracaso dependerá de los trabajadores y de su habilidad para incorporar los cambios.

 

Miguel Ángel Thomas socio responsable del área de Ciberseguridad en everis. Contacta con él a través de Linkedin.

La importancia de la tecnología Cloud para la transformación digital de la banca

Como viene pasando en todo lo que nos rodea, los cambios en el mundo de la banca son cada vez más rápidos y ocurren con mayor cadencia. La capacidad de adaptación, flexibilidad y adopción de nuevas reglas de juego es clave para la supervivencia de un sector que además está sometido a fuertes regulaciones: internas, Banco de España, BCE, etc. Por si todo este panorama no fuese suficientemente complejo, recientes procesos han obligado a la banca a absorber diversas fusiones entre entidades y, por lo tanto, a integrar nuevos y distintos sistemas, siendo necesario establecer puentes que les permitan la interconexión con los ya existentes.

Leer el resto

La importancia del networking

En televisión, prensa, redes sociales,… seguramente has podido escuchar un concepto muy familiarizado con esta época digital y el mundo globalizado en el que vivimos: networking.

Pero ¿qué es el networking? Recogiendo opiniones de distintas personas acerca de qué les puede sugerir o cómo se podría definir, tendríamos las siguientes ideas:

Leer el resto