2014 será el «año del cifrado»

Fuente || http://m.dinero.com

Expertos de la compañía Unisys se aventuraron a hacer sus predicciones acerca de las tendencias en materia de seguridad informática que se verán este año.

Además del expandido uso del sistema de cifrado y de las tecnologías biométricas, se espera un aumento de programas de seguridad empresarial para programas de ‘BYOD’, además de la tendencia de ‘traiga su propia seguridad’, según expertos en seguridad de Unisys

Expertos de seguridad de Unisys predicen que el año 2014 será el “año del cifrado” debido a que las compañías se encuentran en alerta ante la posibilidad de que su tráfico interno de datos no cifrado pueda ser detectado desde el exterior de las organizaciones.

Debido a los rumores de que el gobierno norteamericano accedió a datos de redes internas de los proveedores de Internet más importantes, las empresas han comenzado a utilizar más el sistema y las herramientas de cifrado dentro de sus organizaciones. Esta tendencia, según expertos de seguridad de Unisys, continuará creciendo en 2014.

«Independientemente de lo que se piense de Edward Snowden, el contratista del gobierno que divulgó secretos sobre la vigilancia por parte del gobierno norteamericano, no se puede negar que tales informaciones han aumentado el nivel de conciencia sobre la seguridad cibernética en todo el mundo» afirma Dave Frymier, Chief Information Security Officer de Unisys. «Antes de eso, muchas empresas estaban ejecutando datos no cifrados dentro de sus redes internas, que consideraban seguras. Pero ahora han comenzado a usar el sistema de cifrado internamente, por lo que esperamos que el 2014 sea el año del sistema de cifrado.»

Como resultado de las declaraciones de Snowden, gerentes de alto nivel de diversas organizaciones a nivel mundial han dedicado sus esfuerzos a la prevención de pérdida de datos, cifrado y a dar prioridad a inversiones en términos de seguridad, afirmaron expertos de Unisys. Con esto, el aumento en el uso de sistemas de cifrado permitirá e incentivará  que cada vez más compañías utilicen las soluciones de infraestructura como servicio (laaS) en la nube y ya no duden de la seguridad de los datos en esta.

Nuevo lector de huellas de iPhone impulsa la aceptación de biometría

Expertos de Unisys predijeron que los consumidores acogerían con agrado los nuevos lectores de huellas del iPhone 5S, debido a la precisión y facilidad de uso, con lo que se podría dar la aceptación generalizada de herramientas de tipo biométrico como el escaneo de iris ocular y reconocimiento facial como forma de protección de dispositivos, datos e identidades de usuarios para transacciones en línea.

La aceptación de la biometría iniciará la evolución para ir más allá de la combinación tradicional de identificación/contraseña usada más frecuentemente para verificar identidades en línea. Además, la capacidad de determinar con precisión y de manera automática el dispositivo específico de un usuario, así como la localización geográfica, darán a los gerentes de seguridad de las compañías más contexto sobre los intentos de los usuarios de acceder a las redes. De esta manera, las soluciones de autenticación contextual pueden dar alertas a los gerentes cuando por ejemplo, alguien que esté fuera del área geográfica predeterminada intente acceder a sus redes.

De igual modo, los controles de acceso basados en atributos identifican solicitudes de acceso que no se encuentran dentro del estándar normal, tales como intentos por obtener información que no es consultada con frecuencia o intentos de acceder a información en horas poco comunes. Al combinar todas estas informaciones y otros métodos de gestión de identidad, como la biometría, los profesionales de seguridad pueden dificultar aún más el ingreso a los sistemas, redes y aplicaciones, para aquellos que no poseen permisos.

Enfoque en seguridad para dispositivos móviles y aplicaciones

Los expertos de Unisys predijeron un aumento en la conciencia sobre seguridad cibernética y técnicas de protección relacionadas con los programas empresariales BYOD, de ‘traiga su propio dispositivo’. Por ejemplo, Italo Cocentino, Director de Programas Estratégicos para Unisys en América Latina, cree en el aumento de los escenarios de ‘Bring Your Own Security’, en los cuales los empleados usan sus propios dispositivos móviles para el trabajo, y por lo tanto usan sus mismas medidas de seguridad, lo hacen frecuentemente sin el consentimiento de los gerentes de seguridad de las empresas.

«Eso abre todo un abanico de problemas relacionados a la manera en que las empresas lidian con las personas que tienen su propio sistema de seguridad en sus dispositivos, y cómo eso interfiere en la capacidad de la empresa de monitorear y gestionar el dispositivo», expresó Cocentino.

Cocentino también habló sobre los modelos de software Sandbox, en los cuales las empresas implementan aplicaciones móviles en un entorno que está completamente aislado de otras aplicaciones, que continuarán teniendo gran nivel de aceptación. Al implementar este modelo, las organizaciones pueden detener, iniciar, instalar o desinstalar aplicaciones móviles corporativas sin afectar otras partes del dispositivo móvil.

Entre las instituciones financieras, los avances como la biometría en dispositivos móviles ayudarán a incrementar significativamente la aceptación de transacciones bancarias y comercio electrónico en dispositivos móviles. Del mismo modo, 2014 será el año en que los bancos exploren más el uso de terminales autoservicio que requieran una combinación de métodos de seguridad físicos y digitales, incluyendo sistemas biométricos.

Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio.

Fuente || http://www.privacidadlogica.es

Probablemente, uno de los aspectos más importantes de la reforma europea de protección de datos, sea la regulación del Data Protection Officer (traducido como Delegado o Responsable de Protección de Datos), y sobre el que más se ha escrito analizando su estatus y funciones en los últimos tiempos. Tras su configuración inicial, regulada en los artículos 35 a 38 de la Propuesta de Reglamento de Protección de Datos Personales, el texto aprobado en el seno de la Comisión LIBE, ha introducido cambios al respecto.

Lo primero que llama la atención, es cuándo esta figura debe ser obligatoria. Así, si bien parece que hay consenso en que debe existir un Data Protection Officer en las Administraciones públicas, así como cuando el tratamiento por parte del responsable o encargado consista en monitorizar al interesado, no lo hay en el otro supuesto, que en la Propuesta de Reglamento, exigía contar con un DPO cuando la empresa tuviese más de 250 trabajadores.

En este sentido, en el texto de la Comisión LIBE, esta última, la de los 250 trabajadores, ha sido sustituida por la siguiente:

“Cuando el tratamiento de datos realizado por la empresa afecte a más de 5000 interesados en un período de doce meses”

En el libro de Comentarios Prácticos a la Propuesta de Reglamento de Protección de Datos ya me refería a que la designación obligatoria no debía estar en relación con el número de trabajadores, sino con la categoría o tipología de los datos personales objeto de tratamiento:

“Por lo que se refiere al ámbito privado, la redacción actual de la Propuesta de Reglamento parte de que sea obligatorio cuando la empresa tenga 250 trabajadores o más, craso error desde mi punto de vista, ya que no habría que estar al número de empleados sino al tipo de datos de carácter personal tratados, y más en el caso español, en el que no tenemos grandes empresas, siendo el tejido empresarial mayoritariamente PYMES”.

Como vemos, se sustituye el número de trabajadores por el número de titulares de los datos objeto de tratamiento. Sin embargo, en cierta medida, lo cual es una auténtica novedad, la Comisión LIBE sí ha introducido que el DPO sea obligatorio dependiendo del tipo de datos que se traten, ya que el nuevo texto ha añadido un supuesto más de obligatoriedad. Concretamente, “cuando las actividades del responsable o encargado consista en el tratamiento de categorías especiales de datos del artículo 9, datos de localización (geolocalización), así como el tratamiento de datos de menores y empleados a gran escala”.

Vayamos por partes para analizar este nuevo supuesto en que como digo, será obligatorio designar (o contratar a un DPO).

En primer lugar, las categorías especiales de datos del artículo 9, son los relativos al tratamiento de datos que puedan revelar la raza u origen étnico, opiniones políticas, religión o creencias filosóficas, orientación sexual o identidad de género, pertenencia a sindicatos, así como el tratamiento de datos genéticos, biométricos, salud, sexo, así como sanciones administrativas, judiciales, condenas penales, presuntos delitos o medidas de seguridad afines.

Sobre esta relación de tipos de datos que son enumerados en el citado artículo 9, conviene hacer las siguientes precesiones:

–      En relación al artículo 9 en la redacción dada por la Propuesta de Reglamento, la Comisión LIBE ha añadido nuevos supuestos. Concretamente, los referentes a creencias filosóficas, orientación sexual o identidad de género, datos biométricos, sanciones administrativas y judiciales, así como la comisión de presuntos delitos.

–      Grosso modo, la redacción actual coincide en gran medida con lo que en la LOPD se regula en los artículo 7 “Datos especialmente protegidos” y  artículo 8 “Datos de salud”.

–      Destaca la inclusión de los datos biométricos, que en principio, tienen el carácter de identificativos, pero a lo largo de todo el texto tanto de la Propuesta de Reglamento como el que ha salido aprobado en la Comisión LIBE, este tipo de datos se equiparan a los que conocemos en la LOPD como “especialmente protegidos”.

En resumen, podríamos concluir que estos cambios sobre cuándo debe existir un DPO, están orientados a que esta figura profesional se vaya consolidando, de forma que sea casi obligatorio en todos los sectores.

Por otra parte, y a través de las modificaciones introducidas en el Considerando 75, y el nuevo Considerando 75 a), se refuerza la posición y funciones del DPO, y se regula lo que podríamos considerar como requisitos de formación y experiencia para poder desarrollar esta labor. De esta forma, aparece en el nuevo texto, concretamente en el citado Considerando 75, que el DPO, ya sea personal en plantilla o contratado por el responsable o encargado, incluso si es a tiempo parcial, debe estar protegido contra el despido, así como que en materia de responsabilidad, se entiende que en caso de incumplimiento, ésta recaerá en la organización (responsable o encargado). Además, se incluye que obligatoriamente, el DPO debe ser consultado con carácter previo a realizar el tratamiento de datos personales, con la finalidad de poder introducir los principios de la Privacidad por Diseño y por Defecto.

En cuanto a su formación y experiencia, se encuentra detallada con la adición del Considerando 75 a), especificando que “deberá tener un alto grado de conocimiento sobre el contenido y aplicación de la normativa de protección de datos, incluyendo la adopción de medidas técnicas y organizativas así como procedimientos; conocer los requisitos técnicos de la privacidad por diseño, por defecto y seguridad; conocer también los sectores que requieran de un conocimiento más específico cuando el responsable o encargado traten datos especialmente protegidos; la habilidad de realizar inspecciones, consultas, documentación y análisis, así como poder actuar en representación del responsable”.

Por su parte, el responsable debe permitir que el DPO pueda actualizar y mejorar sus conocimientos acudiendo a cursos de formación, que sean necesarios, además, para llevar a cabo sus funciones. Finalmente, en el citado nuevo Considerando, se matiza que no necesariamente el DPO tenga que trabajar a tiempo completo respecto a su responsable, lo que supone, que lógicamente, un DPO pueda realizar su labor para varios responsables o encargados.

Por otra parte, en lo referente a la posición del DPO en el seno de la organización, que regula el artículo 36, también se han introducido matices. Como muchos ya sabrán, el DPO debe ejercer su actividad de forma independiente, aunque en la se pueda discutir si esa independencia es efectiva o no lo es. En aras de tratar de reforzar esta independencia, en el texto aprobado por la Comisión LIBE se ha introducido que el DPO reporta su actuación a la Dirección Ejecutiva del responsable o encargado, y que éstos, a su vez, podrán nombrar una persona dentro del staff de la citada Dirección Ejecutiva encargada del cumplimiento del Reglamento de Protección de Datos de la Unión Europea. Es decir, si seguimos el tenor literal de esta novedad, por una lado tendríamos el DPO, y por otro, este miembro de la Dirección Ejecutiva, que podría actuar como “enlace” entre el primero (el DPO) y la mencionada Dirección.

Asimismo, este artículo 36 ha introducido la obligación de secreto del DPO sobre los datos personales que conozca en el ejercicio de sus funciones, si bien, esta obligación ya se entendía consustancial a sus funciones, ya sea por la obligación general existente (recordemos el artículo 10 de la LOPD), ya sea porque está regulado en diversos sectores (por ejemplo, si el DPO fuese un funcionario en el ámbito de las AAPP).

Por último, también se ha añadido alguna función más, que están reguladas en el artículo 37. Así, a las ya conocidas, por ejemplo, de controlar el cumplimiento de las obligaciones contenidas en este Reglamento, formar al personal, documentar y notificar las brechas de seguridad, se añade las de “crear conciencia”, que más bien podemos traducir en “promocionar la cultura de protección de datos en la organización”, informar a los representantes de los trabajadores sobre el tratamiento de datos de los empleados (si acudimos al Derecho Laboral, esta función ya estaría incluida por ejemplo, a la hora de implantar un sistema biométrico de control de horario), así como verificar que se cumple lo referente a la consulta previa que regula el artículo 34. Este precepto ha sido modificado en su “finalidad”, ya que anteriormente regulaba la llamada “autorización previa” para determinados supuestos de tratamiento, mientras que actualmente aparece como “consulta previa” al DPO o la autoridad de control (si no hay DPO) cuando se den una serie de supuestos.

Por último, se elimina la delegación a favor de la Comisión Europea que contenía la Propuesta de Reglamento para que ésta desarrollase la figura del DPO.

 Serie de posts sobre el Reglamento de Protección de Datos de la Unión Europea y el documento aprobado en la Comisión LIBE:

 Reglamento de Protección de Datos UE: el consentimiento de los menores.

 Reglamento de Protección de Datos UE: derecho de información mediante iconos gráficos.

 Reglamento de Protección de Datos UE: el nuevo régimen sancionador, multas hasta 100 millones de euros.