Organización.Tratamiento de datos.Personas.

Organización.

Analizar los riesgos y aplicar soluciones.

Read More

Tratamiento de datos.

Leyes y tecnología en la estrategia, cultura, procesos.

Read More

Personas.

Un activo a sensibilizar.

Read More

info@asegurdat.com
+ 34 93 270 13 86

Tecnología

La tecnología de la información y la comunicación (TIC), forma parte del activo de la entidad. La transformación digital ha hecho que buena parte de las actividades que antes se realizaban manualmente, estén siendo sustituidas por procesos semi-manuales o mecanizados.

Nuestros clientes, usuarios, personal y proveedores, confían en que los servicios que les ofrecemos por medios electrónicos se prestan en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas y se realizan de forma manual.

El ciberespacio es desde hace varios años un ámbito estratégico de primera importancia, por lo que su protección resulta fundamental. Constituyen un desafío las actividades delictivas que se desarrollan cada vez con mayor frecuencia en el ciberespacio, como el crimen organizado, o el espionaje, a través de sofisticados procedimientos técnicos y operativos. Algunos ejemplos a destacar son la internet oculta (deep web), donde se realizan actividades ilegales de todo tipo favorecidas por el anonimato del usuario, y los ataques avanzados con herramientas como las advanced persistent threats (APT), a través de las cuales se realizan ataques de alto impacto de manera global y continua principalmente contra activos de organizaciones de todo tipo.

Las ciberamenazas, que constituyen riesgos que afectan singularmente a la mayor parte de entidades, se han convertido en un potente instrumento de agresión contra las entidades y usuarios en sus relaciones con las mismas, de manera que la ciberseguridad figura entre los doce ámbitos prioritarios de actuación de la Estrategia de Seguridad a nivel global, como instrumento actualizado para encarar el constante y profundo cambio mundial en el que nos hayamos inmersos y como garantía de la adecuada actuación de las entidades. En particular, dicho ámbito de actuación de ciberseguridad se refiere a la garantía de la seguridad de los sistemas de información y las redes de comunicaciones e infraestructuras propias.

Los efectos de la amenaza pueden ser: robo de información, destrucción de información, anulación del funcionamiento de los sistemas o efectos que tiendan a ello, suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc., robo de dinero, estafas, …

La seguridad de las tecnologías TIC, debe tener la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso mediante tecnología de la información y la comunicación a datos personales, solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin embargo, el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. Por tanto, se pondrán medidas de seguridad contra:

a). Amenazas internas: generalmente estas amenazas pueden ser más serias que las externas, por varias razones, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc., además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite mínimos movimientos. Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por no estar, habitualmente, orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

b). Amenazas externas: que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Tenga presente que las amenazas informáticas que viene (presente, futuro) ya no son con la inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual.

a). La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital, provocando así la confusión lógica del usuario y permitiendo de este modo la intrusión en los sistemas

La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo”.

b). Obtención de perfiles de los usuarios por medios, en un principio, lícitos: seguimiento de las búsquedas realizadas, históricos de navegación, seguimiento con geo posicionamiento de los móviles, análisis de las imágenes digitales subidas a Internet, etc.

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros, la seudonimización y el cifrado de datos personales.

 

Contacte cuando desee.

+34.93.270.13.86 (fijo y móvil).

consulta@asegurdat.com

41tic

//

Leyes

Su entidad conoce las obligaciones legales respecto al tratamiento de datos personales y por tanto las responsabilidades que deben asumir los Presidentes, Directores, Gerentes, etc., llamados Responsables de tratamiento de […]

Read More
Organizar

Las leyes vigentes en protección de datos personales regulan un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos […]

Read More
RR.HH.

El tratamiento de datos de carácter personal, en el ámbito de los recursos humanos, tiene dos ámbitos obligados que debe cumplir el personal que participa en dicho tratamiento, deber de […]

Read More
Tecnología

La tecnología de la información y la comunicación (TIC), forma parte del activo de la entidad. La transformación digital ha hecho que buena parte de las actividades que antes se […]

Read More