Guía visual de la Ley de Protección de Datos de la UE

En 2015, 28 estados miembros europeos desarrollarán un conjunto de leyes de protección de datos a través de una Directiva que busca definir los datos personales, aplicar sanciones a los delitos, respetar el derecho a ser olvidado y más. Por esto, las empresas están ahora debatiendo cómo afectará esto a la forma de hacer negocios, sobre todo en términos de cómo se manejará la información del cliente.
En su lugar, la Comisión Europea señala que toda persona tiene derecho a la protección de datos personales. Esto es especialmente importante en estos días, cuando la pérdida de los datos personales y los delitos por violación de datos van en aumento. Una reciente investigación sobre delitos de violación de datos en Europa asegura que unos 645 millones de registros personales se perdieron entre 2005 y 2014. Sin embargo, y pese a la cobertura mediática de los delitos por violación de los datos y la privacidad personal, más de un tercio (36%) de los ciudadanos de Europa ni siquiera conoce el Reglamento de Protección de Datos de la UE.

Las nuevas normas se remontan a una directiva de protección de datos de 1995 y sus posteriores enmiendas. Incorporan los cambios realizados después de eventos de alto impacto y se reclaman por las normas de privacidad más estrictas dadas las regulaciones de protección de datos existentes.

Las nuevas leyes de protección de datos integran el “derecho al olvido”, que fue ratificado por una decisión a favor en el segundo trimestre de 2014. Esto permite a los usuarios solicitar a los buscadores que eliminen los resultados de búsqueda relacionados con ellos. Además, se exigirá a las empresas que pidan explícitamente al usuario su consentimiento en el tratamiento de los datos, en lugar de asumir que está deacuerdo. Las infracciones dejarán de ser secretas para los clientes porque la nueva normativa marca que la notificación debe hacerse dentro de 24 horas después de la infracción o el delito.
Los legisladores sostienen que una vez que las nuevas normas entren en vigor, la economía digital de Europa tendrá una mejora significativa en y la protección de datos será “a prueba de futuro.” Esto considera los retos digitales que puedan surgir en el ámbito tecnológico, en constante cambio en Europa. Estos desafíos pueden surgir de la información personal transmitida a través de la computación en nube, el aumento de las revelaciones on line de los datos de carácter personal a los sitios web, así como la adopción continuada de los pagos en línea y otros avances tecnológicos. Conozca cómo puede preparar a su empresa para la nueva normativa de protección de datos de la UE mediante la visualización de la siguiente infografía: El Reglamento de Protección de Datos de la UE

eu-data-protection

 

La privacidad de los datos en los negocios: parte del negocio

Las recientes filtraciones de datos en grandes empresas como grandes bancos y cadenas minoristas dejan una cosa clara: la privacidad y protección de datos es una preocupación para todas las organizaciones, no sólo para las grandes. Si las grandes empresas con muchos recursos disponibles pueden estar afectadas por ataques y perder sus datos, las organizaciones más pequeñas sin estos recursos también están en riesgo.

Los usuarios no sólo están preocupados acerca de si sus datos están seguros; hoy también les preocupa si sus datos serán utilizados correctamente por las empresas con las que tratan. La preocupación entre los usuarios sobre la privacidad ha ido en aumento.

Las estadísticas así lo demuestran. Una encuesta realizada en marzo de 2014 por la empresa de investigación de mercado GfK destacó la significativa y creciente preocupación de los consumidores acerca de sus datos personales. El 49% de los encuestados está “muy” preocupado por cómo se protegieron sus datos, el 60% de los encuestados declaró que su preocupación ha aumentado en los últimos 12 meses.

Los consumidores también están tomando medidas. Un estudio de 2014 de Radio Mundial reveló que el 69% de los encuestados haría menos negocios con una empresa que sabía había sido violada; el 67% trataría sólo haría negocios con empresas que a su juicio podían manejar sus datos. Las consecuencias para las empresas son claras.

Así que, ¿qué deben hacer las empresas? En primer lugar, es necesario reconocer que la protección de datos es ahora una parte importante de los negocios. Esto significa que, efectivamente, deben acercarse a esto como algo importante, y no sólo como un dolor tolerable.

Para ello, las organizaciones deben primero hacer balance, recordar exactamente lo que están protegiendo y considerar lo que es más importante, es decir, sus datos fundamentales. Estos deben ser protegidos con los mejores recursos disponibles. Tenga en cuenta que los niveles de protección necesarios pueden cambiar, dependiendo de la normativa (como la futura normativa de protección de datos en la Unión Europea).

La normativa local en materia de protección de datos puede variar significativamente. En los Estados Unidos, no hay ley integral que abarque todos los sectores. En cambio, en su lugar está la legislación de la industria, como el Health Insurance Portability and Accountabililty Act (HIPAA).

En otros países, existen regulaciones más amplias que cubren todos los sectores más comunes. Por ejemplo, los países de la Unión Europea pronto serán cubiertos por el Reglamento General de Protección de Datos de la UE, que exige normas a escala comunitaria sobre protección de datos. Japón tiene leyes similares en forma de Ley de Protección de Datos de Carácter Personal, que se remonta a 2003.

Sin embargo, no todas las organizaciones entienden realmente estos reglamentos: en la UE, sólo el 13% de las empresas calificó de “muy buenas” las próximas regulaciones. Esto a pesar del hecho de que, por ejemplo, en las empresas de la UE se puede ser multado con hasta un 5% de su facturación anual si se violan las regulaciones propuestas.

Enfoques similares se deben tomar para mitigar las preocupaciones sobre la privacidad. Asegúrese de que los datos que está recopilando se utiliza correctamente y de tal manera que no se perciba como “escalofriante” por los usuarios finales. La misma protección de datos que se hace para los datos básicos se debe aplicar aquí también: los usuarios finales no con vistos con buenos ojos por las empresas que no protegen los datos de sus clientes.

Al final, la protección de datos no se reduce sólo a los aspectos técnicos, sino a que las organizaciones deciden lo que es importante. Cerca de un nuevo año, las empresas pueden aprender de los muchos incidentes de 2014 y garantizar que sus propias organizaciones no sean víctimas de ataques similares. Para saber más sobre la ley de protección de datos, lea nuestra infografía, The Road to Compliance: A visual Guide to the EU Data Protection Law

Trend Micro protege los datos del usuario a través de su tecnología integrada de prevención de pérdida de datos que protege los datos que se encuentran en puestos de trabajo, servidores, redes, e incluso en la nube. También protege la transferencia de datos entre ubicaciones y viene con gestión de la política central, que no requiere la instalación de diferentes tecnologías a través de seguridad multicapa.

Sandworm y SCADA

Al hilo de la noticia de que la vulnerabilidad “sandworm” (CVE-2014-4.114) se está utilizando en ataques contra la Organización del Tratado Atlántico Norte (OTAN) y varias industrias europeas, los investigadores de Trend Micro Kyle Wilhoit y Jim Gogolinski y el resto del equipo de Trend Micro FTR han descubierto nuevos y preocupantes ataques que utilizan esta vulnerabilidad. Nuestros investigadores acaban de encontrar ataques activos contra las organizaciones que utilizan el software de control de supervisión y adquisición de datos (SCADA), como un primer paso evidente en los ataques dirigidos de estilo APT.
Estos ataques se dirigen a PCs con Microsoft Windows que funcionan con la suite CIMPLICITY HMI con un spear phishing. El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad “sandworm” en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema.
Black Energy es una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Dos miembros de la familia de malware Black Energy BLACKEN.A y BLACKEN.B ya se han visto en otros ataques que utilizan la vulnerabilidad “sandworm”.
Otro tema interesante que nuestros investigadores han encontrado es que los mails de spear phishing parecen venir de Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos.
Microsoft ha lanzado una actualización de seguridad que protege contra los intentos de aprovechar la vulnerabilidad  “sandworm”, MS14-060. En base a la actividad actual y anterior, esta actualización de seguridad debe ser una prioridad para el despliegue inmediato tan pronto como sea posible, especialmente en aquellos sectores de infraestructuras críticas.
Trend Micro ofrece protección contra esta vulnerabilidad con Trend Micro Deep Security y Office Scan con el plugin de Intrusion Defense Firewall (IDF). También ofrecemos protecciones contra BLACKEN.A y BLACKEN.B través de Office Scan y nuestros otros productos de seguridad de end point.
Puede encontrar información más detallada sobre la vulnerabilidad “sandworm” en este post y más detalles de nuestras investigaciones en estos nuevos ataques centrados en SCADA aquí.

¿Están sus datos seguros en el Internet de todo?

Prefiero usar el término “Internet de todo”para lo que la mayoría dela gente llama Internet de las cosasporque en muchos sentidos, este último términono es suficiente.Lo que hace a Internetdetodo tanpoderosoes lainformación que sobre usted y sobre mí recopilan los dispositivos.

Piense en cómo funcionan  realmente estos dispositivos. Casi siempre tienen que “llamar a casa” a algún servidor central gestionado por el proveedor de servicios. Esto significa que todo lo que hace el dispositivo es visto por el proveedor. Tiene que confiar que sus datos van a estar seguros y no se les va a dar un mal uso.

Por desgracia, hay muchas formas de que sus datos sean mal utilizados o estén en riesgo. Por ejemplo, los propios dispositivos pueden no ser seguros y estar en el punto de mira de un atacante. Los módulos que son utilizados por estos dispositivos, normalmente de código abierto, son susceptibles de ser atacados en el tiempo, y el proveedor puede que no piense demasiado sobre cómo obtenerlos y actualizarlos de forma rápida y sin problemas. Incuso los servidores pueden ponerse en riesgo ellos mismos y romper la brecha de seguridad de un ataque dirigido.

Esto sin ni siquiera entrar en lo que el proveedor de servicio puede hacer con sus datos. En realidad, no es consciente de la magnitud de los datos que un dispositivo Internet de las cosas puede tiene hasta que no lee la política de privacidad. Estas políticas son, sin embargo, difíciles de comprender, y pueden cambiar sin ningún tipo de notificación alconsumidor.

Las políticas de privacidad pueden, al menos,decir qué datos se recopilan pero, en general, no revelan todo de lo que se puede hacer con su información. Por ejemplo, muchas tienen disposiciones que establecen que sus datos serán utilizados para enviar a los proveedores. En la práctica, esta generalización se puede utilizar como base jurídica para justificar muchas maneras diferentes de utilizary posiblemente explotar sus datos.

¿Qué deben hacer los usuarios? Antes de comprar un dispositivo de hardware conectado a Internet, asegúrese de que está deacuerdo con el hecho de que todos los datos que les proporciona, potencialmente, pueden ser almacenados en servidores no seguros en los centros de datos de diferentes países, durante un largo período de tiempo. Sus “datos personales en reposo”  en los servidores del fabricante representan un mayor riesgo para usted según pasa el tiempo. Algunos de los riesgos incluyen la posibilidad de violaciones de datos,  intercambio o reventa de datos, junto con el abandono general de los datos en escenarios tales como fallos en la seguridad de la empresa, o sucesos como venta o fusión de la empresa.

Si usted es el tipo de consumidor preocupado por su privacidad, le recomendamos que averigüe qué tipo de datos (información personal identificable, credenciales de usuario, etc) está siendo recopilada en su dispositivo y enviada al proveedor investigando ventas / soporte del fabricante. Y si usted está pensando en diferentes proveedores de servicios, compare sus políticas de privacidad y vea con cuál está más deacuerdo. Revisar su política de privacidad puede ser un buen comienzo para ser consciente de lo que otros pueden estar haciendo con sus datos.

Tenga en cuenta también que muchas start up pueden no haber fomalizado su modelo de negocio aún. Sus datos son parte clave en la forma en que constituyen o monetizan el servicio que proporcionan. Estas cuestiones pueden ocasionar el mal uso de sus datos. Se podría argumentar que una empresa que está cobrando más por su servicio es menos propensa a monetizar el empleo de sus datos, pero de nuevo no hay garantía – los datos son clave en el Internet de las Cosas. Una empresa más seria que tiene una marca que proteger puede ser mejor opción, aunque esto no está plenamente garantizado.

Para saber más sobre cómo estar seguros en el Internet de Todo, lea nuestras “Consideraciones de seguridad para los consumidores que compran dispositivos Smart Home”, que pueden servir de guía en la toma de decisiones sobre los dispositivos conectados a Internet que usted introduce en su vida diaria.

Las app móviles también compiten en privacidad y seguridad

Raimund Genes (Chief Technology Officer)

Hoy en día muchos desarrolladores de aplicaciones móviles querrían desarrollar la próxima aplicación móvil de más éxito. Después de todo, si usted juega bien sus cartas, podría llegar a ser comprado por una empresa mucho más grande como Facebook, Google o Microsoft por miles de millones de dólares. Es bastante difícil diseñar una aplicación móvil con las características de facilidad de uso y que se convierta en popular entre millones de usuarios. Hay otras cosas por las que las apps son competitivas, incluida la seguridad y privacidad de los usuarios.

¿Cómo puedenhacer estoa los desarrolladores? En primer lugar, considere cómo está escrita la aplicación. ¿Se están siguiendolas mejores prácticas? Los desarrolladores de PCs y Macs ya han aprendido que susaplicaciones pueden sufrir de vulnerabilidades que pueden ser explotadas. ¿Está haciendo todo lo posible para evitar estos problemas?

Una de las razones para endurecer sus apps contra la posible explotación es el reempaquetado. Esto ocurre cuando los chicos malos tienen una aplicación legítima y añaden su propio código malicioso para ello.Este código adicional puede ser cualquier cosa-abuso de SMS Premium o incluso robo de información.Esto no sólo perjudica al usuario final, sino que también daña su buen nombre así. (Para tener más información en profundidad sobre la aplicación reenpaquetado, lea nuestro documento relevante, Fake Apps: Feigning Legitimacy.)

Si sumodelo de negocio gira en torno a los anuncios distribuidos por las redes de anuncios de terceros, tenga cuidado al elegir con qué redes decide asociarse.Algunas redes de publicidad de menos renombre que otras piden demasiado información al usuario para dirigir sus anuncios o permitir que anuncios maliciosos se ejecuten en sus redes. Recuerde: no se trata sólo de lareputación on line de ellos, sino dela suya también.

Otra cuestión es cómo se integra con distintas redes sociales. Se ha convertido en muy popular integrar las redes sociales en las aplicaciones móviles. Esto es perfectamente seguro, siempre y cuando se haga correctamente. Las redes sociales, en general,utilizan algún tipo de API para permitir a aplicaciones de terceros que accedan a su información; utilizar estas APIs en lugar de simplemente pedir credenciales de acceso privados a sus usuarios.

En términos de privacidad, considere lo que usted está pidiendo por parte del usuario. Todos hemos visto cómo algunas aplicaciones piden permisos que no tienen absolutamentenada que ver con su propósito principal. ¿Por qué una app que es una linterna necesita tener acceso a su calendario o contactos? Considere lo que usted realmente necesita de sus usuarios y no pida cualquier cosa sólo porque es posible.

Ofrecemos herramientas que ayudarán a los desarrolladores de aplicaciones móviles a comprobar si susaplicaciones son seguras.La Mobile App Reputation Service comprueba aplicaciones en función de su comportamiento e identifica cualquier comportamiento potencialmente problemático en sus aplicaciones. Esperamos que estas herramientas ayudarán a que los desarrolladores se den cuenta de que la protección de la privacidad y la seguridad de sus usuarios debe ser parte integral de la creación de la próxima aplicación móvil.

https://www.youtube.com/watch?v=xuS-zwUBNSk&feature=player_embedded