LOPD

leyes ciberseguridad prestigia seguridad
Qué leyes nos afectan en el ámbito de la ciberseguridad
1020 680 Prestigia

La ciberseguridad se compone de un compendio de leyes, ya que no existe una única que regule todo. Más precisamente, las Leyes de Ciberseguridad introducen un sistema de certificación de seguridad de las TIC a cumplir por las organizaciones. Este objetivo específico, intentará resolver el problema de los numerosos esquemas de certificación existentes en algunas compañías. Hace algunos meses ya hablamos sobre el reglamento general de protección de datos (GDPR) y por ello, las leyes de Ciberseguridad proporcionarán un marco general, con un conjunto de reglas que regirán los esquemas de certificación para categorías específicas de productos y servicios, para garantizar que esos futuros esquemas de certificación serán reconocidos válidamente con el fin de seguir una unificación de pauta a seguir.

Obligaciones para las empresas

El primer paso que deben ejecutar todas las pymes o grandes organizaciones es identificar y analizar las áreas de riesgo durante el procesamiento de datos personales, mediante la preparación de un inventario de todas las actividades de tratamiento realizadas por la compañía. Este enfoque requiere una actitud proactiva de cada organización, que debe establecer las medidas necesarias para minimizar sus riesgos. En los casos en que se detecten tratamientos con un alto nivel de riesgo para los derechos y libertades de las partes interesadas, se debe realizar una Evaluación de Impacto de Protección de Datos (DPIA) y la empresa debe introducir las medidas necesarias para mitigar los riesgos.

Esta obligación también se extiende a las compañías, que pueden tener consecuencias importantes económicas. Por lo tanto, las empresas deben asegurarse de implementar todos los procedimientos que permitan detectar, informar e investigar violaciones de seguridad.

Algunas leyes que te pueden afectar

A continuación, te comentamos algunas leyes que pueden afectar a tu pyme o compañía:

  • LOPD: La LOPD establece un conjunto de principios, derechos y deberes que las organizaciones deben cumplir. Su objetivo principal es garantizar que los datos proporcionados por los usuarios se traten de la manera correcta. Por esta razón, aquellas empresas, asociaciones, administraciones o trabajadores independientes que manejan datos personales a diario.
  • GDPR: El 25 de mayo de 2016, entró en vigencia el Reglamento General de Protección de Datos (GDPR). Este nuevo Reglamento es aplicable a partir del 25 de mayo de 2018 a nivel Europeo. A diferencia de lo que sucedió con la Directiva 95/46 / CE, GDPR es directamente aplicable y, por lo tanto, no necesita ninguna ley nacional para implementarlo. Por lo tanto, desde el 25 de mayo de 2018, el GDPR se aplica a todas las empresas que operan en la Unión Europea, reemplazando a la LOPD.
  • ISO 27001: El estándar ISO 27001 está diseñado para funcionar como un marco para el sistema de gestión de seguridad de la información (SGSI) de una organización. Esto incluye todas las políticas y procesos relevantes sobre cómo se controlan y usan los datos. ISO 27001 no exige herramientas, soluciones o métodos específicos, sino que funciona como una lista de verificación de cumplimiento.
  • PCI-DSS: La normativa PCI DSS se aplica a cualquier organización (independientemente del tamaño o número de transacciones) que acepte, almacene, transmita o procese los datos del titular de la tarjeta. Si tu compañía o pyme trabaja con tarjetas de crédito, la normativa PCI-DSS te aplica. Incluso si has subcontratado todas las actividades de PCI DSS a un tercero, aún serás responsable de garantizar que todas las partes contratadas cumplan con el Estándar. Si eres un proveedor de servicios, incluido un desarrollador de software, la normativa PCI DSS te aplica si procesas, transmites o almacenas datos del titular de la tarjeta, o si tus actividades afectan la seguridad de los datos del titular de la tarjeta mientras se procesan, transmiten o almacenan.

¿Sabías que puede haber normativas que podrían afectar y desconocías? ¿Tienes dudas específicas de alguna de ellas? Desde Prestigia Seguridad, nuestros expertos pueden asesorarte en este tipo de directivas al igual que realizar distintas auditorias de seguridad para su cumplimiento, no dudes en contactar con nosotros para informarte.

Sectores mas vulnerables a ciberataques
Cuáles son los sectores más vulnerables a sufrir ciberataques
1020 690 Prestigia

La protección de datos masivamente en determinados sectores, los hace más vulnerables a sufrir ciberataques. En la mayoría de ocasiones, los ciberdelincuentes intentarán obtener datos sensibles e información confidencial como contraseñas o números de tarjetas de crédito.

La pérdida de datos personales, por ejemplo, a causa de una brecha de seguridad, supone una pérdida financiera y de credibilidad y reputación para la empresa. En el reportaje Impida que una brecha de seguridad acabe con su pyme, en el que participó nuestro CTO José María Muntané, vimos que el 40% de pymes que ha sufrido un ciberataque, ha tenido que interrumpir su actividad a raíz del incidente.

Los 3 sectores más vulnerables a sufrir ciberataques

Sector bancario

La competitividad con empresas tecnológicas como Google, Apple, Microsoft o Facebook, hace que la transformación digital en el sector financiero, esté avanzando a pasos de gigante. La mayoría de entidades bancarias, utilizan la nube como servidor de los datos personales de sus clientes, y eso, las transforma en empresas más vulnerables. La gran cantidad de datos sensibles que mueve el sector, lo convierte en uno de los principales objetivos de los ciberdelincuentes.

Las investigaciones del Grupo NCC, revelaron que las vulnerabilidades de seguridad en el sector bancario, han aumentado en más del 400% desde 2013. Entre los ataques más utilizados encontramos el DDoS, utilizado para saturar los sistemas y acompañado de un posterior ataque de phishing hacia los usuarios de la entidad bancaria.

La banca en línea de Reino Unido HSBC, reveló que sus servicios en línea habían sido blanco de cibercriminales, utilizando un ataque DDoS, aunque afirmó que se había defendido con éxito.

Sector sanitario

El sector sanitario también está en pleno proceso de transformación digital. Hoy en día, ya es algo normal recibir los resultados de nuestras pruebas médicas directamente a nuestro teléfono móvil, e incluso podemos realizar consultas o solicitar atención médica vía smartphone. El sector sanitario en Estados Unidos sufre de media 32.000 ciberataques diarios, según fortinet.

Este es uno de los sectores más vulnerables por el hecho de mover millones de datos muy sensibles y críticos, de todos y cada uno de nosotros. Hay que tener en cuenta también, que la mayoría del software que utilizan, no está actualizado acorde con los ciberataques que pueden sufrir hoy en día, dado que la seguridad no se tomó como parte del proceso del desarrollo en la mayoría de las ocasiones.

A los ciberdelincuentes les sería muy fácil realizar un ataque de Ransomware, pidiendo un rescate para eliminar la restricción de la plataforma sanitaria. Incluso, con la cantidad de datos que podrían recopilar, podrían realizar un ataque phishing a los pacientes, incluyendo sus datos personales, para darle veracidad.

Por otra parte, los dispositivos médicos conectados a internet, son extremadamente vulnerables a sufrir ciberataques, debido a la información personal que transmiten.

Sector jurídico

Los despachos de abogados son un gran atractivo para los ciberdelincuentes. La gran cantidad de datos sensibles que almacenan, entre ellos números de cuenta bancaria, se intentan sustraer mediante ataques de phishing por correo electrónico. 

Según Law, en Inglaterra el 73% de bufetes de abogados sufrió un ciberataque durante el 2016, aumentando un 60% respecto al 2015.

El ciberataque más utilizado por los delincuentes dentro del sector jurídico, es el ataque Ransomware, exigiendo así al bufete de abogados, un rescate para la recuperación de los datos personales de los clientes. En españa, según INCIBE, durante el año 2017, al menos 70 bufetes de abogados fueron víctimas de un ataque de este tipo.

El despacho de abogados Araoz & Rueda sufrió un ciberataque en 2017 y, comunicó a sus clientes, que si en los próximos días recibían un correo electrónico sospechoso, ignoraran cualquier hipervínculo y se pusieran en contacto con ellos.

Que tu empresa no esté incluida en ninguno de los sectores de los que hemos hablado, no significa que no sea vulnerable a sufrir ciberataques. En nuestro blog, puedes encontrar una guía con 10 consejos para mejorar la ciberseguridad de tu pyme.

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso! 🙂

novedades RGPD
Principales novedades del Reglamento General de Protección de Datos (RGPD)
1024 690 Prestigia

Dentro de poco menos de dos meses será plenamente aplicable el Reglamento General de Protección de Datos (RGPD), un nuevo texto legislativo que establece el mismo marco normativo para todos los países de la Unión Europea y que introduce cambios jurídicos, técnicos y organizativos relevantes.

En primer lugar, es importante tener en cuenta que el RGPD aplicará tanto a entidades de la UE como de fuera de la misma si tratan datos de personas de la UE; así, las grandes plataformas que procesan y almacenan datos personales (tales como Facebook, Google o MailChimp) también deberán cumplir con el nuevo régimen jurídico y ello representa un importante punto de inflexión.

Además de reforzar algunas obligaciones ya existentes en la normativa española actual (LOPD), el RGPD prevé un nuevo principio rector, el principio de responsabilidad proactiva o accountability, en virtud del cual las entidades deben introducir en sus organizaciones la cultura del cumplimiento en el ámbito de la protección de datos para que adopten las medidas técnicas y organizativas que sean necesarias para asegurar que están en condiciones de cumplir con los principios, derechos y garantías del RGPD.

Junto con ello se introducen una serie de novedades que resumimos a continuación:

1. Registros de Actividades de Tratamiento. Se sustituye la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Agencia Española de Protección de Datos (AEPD) por el de implementar un registro escrito de todas las actividades de tratamiento de datos.

2. Información. Se deberá informar más y mejor a las personas acerca del tratamiento de sus datos. Por ejemplo, habrá que informar de la base jurídica del tratamiento, del plazo de conservación de los datos, del derecho a revocar consentimiento o de reclamar ante la Autoridad de Control, entre otros.

Dicha información debe facilitarse con un lenguaje claro y sencillo. Por ello, la Autoridades de Control españolas (AEPD, Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos) recomiendan cumplir el deber de información a través de un sistema de doble capa, de manera que:

  • En la primera capa se incluya información básica y resumida del tratamiento de los datos.
  • En la segunda capa se incluya información adicional, mediante un sistema de preguntas y respuestas sencillas.

3. Consentimiento. Se exige, con carácter general, un consentimiento inequívoco que, a criterio de las Autoridades de Control, no puede ser tácito dado que el RGPD exige una manifestación inequívoca del interesado o clara acción afirmativa.

4. Encargados de tratamiento. Obligación de elegir Encargados de Tratamiento que ofrezcan “garantías suficientes” para aplicar medidas técnicas y organizativas apropiadas, y se añade nuevos requisitos a incluir en los contratos a suscribir con cada uno de ellos.

5. Medidas de seguridad. Se sustituye el régimen exhaustivo y detallado actual ya que el RGPD únicamente prevé que hay que establecer medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo que las entidades deberán realizar.

6. Derechos de los afectados. Además de introducir algunas novedades en relación con los derechos de Acceso y Oposición, se sustituye el derecho de Cancelación por el Derecho de Supresión/Derecho al Olvido y se introducen nuevos derechos como el derecho de Limitación (derecho a obtener la limitación de los datos cuando se cumplan determinadas condiciones) o el de Portabilidad (derecho a recibir los datos personales de forma estructurada, de uso común y lectura mecánica para transmitirlos a otro Responsable del Tratamiento).

7. Notificación de violaciones de seguridad. Obligación de notificar las violaciones de los datos personales a la AEPD, sin dilación indebida y a ser posible, antes de las 72 horas.

8. Delegado de Protección de Datos. Se prevé una nueva figura, la del Delegado de Protección de Datos, destinada a asesorar y supervisar el cumplimiento del RGPD en las entidades, siendo obligatorio su designación en los supuestos de tratamiento realizados por Autoridades u Organismos públicos o cuando las actividades principales consistan en operaciones que requieran evaluaciones de perfil o de tratamientos de datos sensibles a nivel masivo así como tratamientos de datos relativos a condenas e infracciones penales.

Finalmente, hay que tener presente que la nueva normativa también es más dura a la hora de sancionar las eventuales infracciones que se produzcan en este ámbito ya que se prevén multas que pueden llegar a ser de hasta 20 millones de euros o, en el caso de empresas, de un importe equivalente al 4% del volumen de negocio anual del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocatspartner legal de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.