blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

¡Tu celular está en peligro! Descubre cómo protegerlo de los ciberdelincuentes.

NextVision

0

Imagina que tu celular es una caja fuerte donde guardas tus secretos más preciados: fotos de familia, información bancaria, mensajes privados. ¿Estaría lo suficientemente protegida? En la era digital, nuestros smartphones se han convertido en extensiones de nosotros mismos, almacenando una cantidad inimaginable de datos personales. Pero al igual que una casa necesita una buena cerradura, tu celular requiere una protección sólida contra las amenazas cibernéticas.

Más allá de lo estético y bonito que pueda ser tu funda o vidrio para proteger el celular físico. Existen otra formas de proteger y en esta nota te mostramos cómo.

 

Tu Celular, Tu Fortaleza:

  • Autenticación robusta: Implementa mecanismos de autenticación multifactor (MFA) como patrones, PINs o reconocimiento biométrico (facial o de huellas dactilares) para restringir el acceso no autorizado a tu dispositivo.
  • Actualizaciones de software: Mantén tu sistema operativo y aplicaciones actualizados. Estas actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades conocidas.
  • Fuentes de aplicaciones confiables: Descarga aplicaciones exclusivamente desde tiendas oficiales como Google Play Store o App Store. Estas plataformas cuentan con rigurosos procesos de revisión que minimizan el riesgo de instalar malware.
  • Gestión de permisos: Revisa cuidadosamente los permisos que solicitan a las aplicaciones al instalarlas. Otorga únicamente aquellos permisos estrictamente necesarios para su funcionamiento.
  • Redes Wi-Fi públicas: Evita realizar transacciones financieras o acceder a información sensible en redes Wi-Fi públicas, ya que son propensas a ser interceptadas. Opta por conexiones privadas y seguras.
  • Conciencia ante el phishing: Desconfía de correos electrónicos o mensajes sospechosos que soliciten información personal o te redirigen a sitios web desconocidos. Verifica la autenticidad del remitente antes de hacer clic en enlaces.
  • Respaldos regulares: Realiza copias de seguridad periódicas de tus datos en la nube o en un dispositivo externo. Esto te permitirá recuperar tu información en caso de pérdida o daño del dispositivo.
  • Soluciones de seguridad: Considera la instalación de una solución de seguridad móvil conocido como (antivirus) para detectar y bloquear amenazas potenciales.

Ventajas de utilizar protección en tu celular

Una protección en tu celular es como un escudo que protege tu información personal y financiera. Aunque los sistemas operativos móviles como Android e iOS son cada vez más seguros, contar con una capa adicional de protección nunca está de más. Por ejemplo:

Kaspersky Security for Mobile: Tu Escudo 

Una de las mayores ventajas de Kaspersky Security Mobile es su compromiso con la facilidad de uso. Incluso si no eres un experto en tecnología, podrás disfrutar de una protección de primer nivel sin complicaciones.

  • Interfaz intuitiva: Tiene una interfaz clara y sencilla que te guía paso a paso a través de todas las funciones. Los menús son fáciles de navegar y las opciones están claramente etiquetadas.
  • Configuración rápida: La configuración inicial es rápida y sencilla. En pocos minutos, tendrás tu dispositivo protegido.
  • Actualizaciones automáticas: Se encarga de mantener tu aplicación actualizada con las últimas amenazas, sin que tengas que preocuparte por nada.
  • Personalización: Puedes personalizar la configuración para adaptarla a tus necesidades específicas, pero sin complicar las cosas.

 

Conclusión:

Los ciberdelincuentes no descansan y buscan constantemente nuevas formas de vulnerar tu privacidad. No te conviertas en su próxima víctima. Protege tu celular con una solución de seguridad de confianza. Al invertir en la seguridad de tu dispositivo, estarás garantizando la protección de tus datos personales y tu identidad digital.

 

Recuerda, la ciberseguridad es un viaje continuo…

¡El futuro de tu seguridad está en tus manos!

Autora de la nota: Neimar Zambrano- Líder de Proyectos y Consultora de Ciberseguridad en NextVision

nextvision.com

Necesidad Creciente de Proteger los Datos Personales

NextVision

0

Necesidad Creciente de Proteger los Datos Personales

 

Actualmente la protección de los datos personales y la seguridad de la información se han vuelto cruciales para la supervivencia y la integridad de cualquier organización. Esta realidad es particularmente relevante en Argentina, debido a la falta de un marco regulatorio fuerte que contemple la figura del delegado de protección de datos (DPO, por sus siglas en inglés).

El rol del DPO es fundamental ya que supervisa la privacidad de la información y sirve como enlace entre la empresa, los titulares de los datos y las autoridades de control. Así por ejemplo el Reglamento General de Protección de Datos Europeo (RGPD) subraya la importancia de este cargo, exigiendo que las entidades designen un DPO en casos donde el tratamiento de los datos lo lleva a cabo una autoridad pública, o las actividades principales de la entidad requieren una observación regular y sistemática de los datos a gran escala, o el procesamiento de categorías especiales de datos personales.

Por otro lado, la legislación en Argentina no impone requisitos específicos para la designación de un DPO, la ausencia de un DPO deja un vacío significativo en la gobernanza de la privacidad que puede resultar en sanciones, pérdidas económicas significativas y daños a la reputación, especialmente en el caso de brechas de seguridad. Esta carencia es preocupante considerando la cantidad y sensibilidad de los datos personales manejados por las empresas actualmente. Sin una figura responsable que promueva las mejores prácticas de privacidad y protección de datos, las organizaciones están notablemente desfavorecidas, no sólo a nivel local sino también en el escenario internacional, donde las expectativas de cumplimiento con las normativas de protección de datos son cada vez más altas.

 


 

En los últimos años, diversas organizaciones en Latinoamérica han experimentado incidentes de seguridad que han comprometido datos personales sensibles. Así por ejemplo, importantes bancos y empresas de telecomunicaciones en la región han sido víctimas de ciberataques que resultaron en el acceso no autorizado a información personal de millones de clientes. Estos incidentes no solo tienen un impacto económico directo, sino que también erosionan la confianza del consumidor y dañan la reputación corporativa.

En reconocimiento de los desafíos modernos en la protección de datos, varios países de América Latina ya han avanzado en la reforma de sus legislaciones para incluir la figura del Delegado de Protección de Datos. Por ejemplo, Brasil, bajo su Ley General de Protección de Datos (LGPD), y Chile, en su nueva ley de protección de datos personales, han establecido requisitos para la designación de un DPO, asegurando un enfoque más estructurado y formal hacia la seguridad de la información y la privacidad de los datos. Estos movimientos reflejan una comprensión clara de la importancia de adaptar las normativas a la realidad digital y globalizada de hoy.

En este contexto, Argentina también se encuentra en un proceso de revisión y modificación de su actual ley de protección de datos personales. Se espera que las nuevas enmiendas introduzcan la figura del DPO, alineando así la legislación nacional con las mejores prácticas internacionales y respondiendo efectivamente a las necesidades de protección de datos en el ámbito digital. Este es un momento esperanzador para Argentina, ya que una actualización legislativa podría significar un gran paso adelante en la protección de los derechos de los ciudadanos en el ámbito de la privacidad y la seguridad de la información, fortaleciendo así la confianza en las instituciones y en el ecosistema digital del país.

Conclusión

Sin embargo, no es prudente esperar a que la legislación imponga la designación de un DPO para comenzar a considerar su incorporación dentro de la estructura organizativa. Un DPO eficaz no solo supervisa y evalúa regularmente las prácticas de protección de datos para asegurar que se mantengan al día con las normativas vigentes, sino que también desempeña un papel crucial en la promoción de una cultura de privacidad dentro de la organización. Este profesional es fundamental para establecer protocolos que minimicen los riesgos de filtración y uso indebido de datos personales, contribuyendo así a la integridad y confiabilidad de la empresa.

Además, la presencia de un DPO ayuda a construir y mantener la confianza del público al asegurar que los datos personales son tratados de manera transparente y segura. Esto no solo mejora la imagen pública de la empresa sino que también refuerza la protección de los derechos fundamentales de los individuos en nuestra sociedad digital.

En resumen, la designación de un DPO es una inversión en la seguridad y la privacidad de los datos que beneficia a todos los stakeholders. A medida que avanzamos, el enfoque en la privacidad y seguridad de los datos personales no solo debe ser una prioridad legal, sino también una prioridad ética para proteger a las personas en un mundo cada vez más digitalizado.

 

Los datos son un recurso fundamental para las organizaciones y, por ello, hay que saber tratarlos y protegerlos.

 

Conozca más sobre nuestro servicio NV DPO as a Service , o contáctenos para recibir más información de nuestros especialistas a: info@nextvision.com

nextvision.com

 

 

GDPR: Todo lo que tu empresa necesita saber

NextVision

0

¡Descargá la Guía GDPR para obtener más información!

El Reglamento General de Protección de Datos (GDPR) busca crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Comenzará a aplicarse el 25 de mayo de este año en todos los Estados miembros de la Unión Europea. Para esa fecha las instituciones, empresas y organizaciones europeas (e internacionales que operen en la UE) deberán cumplir con los requisitos que dispone. Entre las novedades más destacadas, pueden mencionarse la introducción de la figura del Oficial de Protección de Datos; el alcance territorial; el cumplimiento con los principios de privacidad desde el diseño; los nuevos derechos de los sujetos; el enfoque de riesgo y las multas por incumplimiento, entre otras cuestiones. En esta nota te explicaremos todo lo que tu organización necesita saber sobre esta nueva reglamentación.

¿Qué es GDPR?

Una breve historia

En 1995 se creó la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Recién en 2012 la Comisión Europea propuso actualizar la regulación de protección de datos. Es así que en 2014 el Parlamento Europeo aprobó su primera versión del Reglamento en primera lectura y un año más tarde hizo lo propio el Consejo de la Unión Europea. De esta forma la regulación pasó a la etapa final de legislación.

En diciembre de 2015 el Parlamento y el Consejo llegaron a un acuerdo y el texto definitivo se firmó a principios de 2016. El nuevo Reglamento General de Protección de Datos entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En ese período transitorio, los responsables y encargados del tratamiento debieron ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del GDPR en el momento de su aplicación.

¿A quiénes afecta el GDPR?

El GDPR no solo se aplicará a organizaciones ubicadas dentro de la UE, sino también a organizaciones ubicadas fuera de la UE que ofrezcan bienes o servicios a las personas físicas y/o jurídicas de la UE, que monitoreen su comportamiento o que reciban datos personales desde Europa.

Se aplicará a todas las empresas que procesan los datos personales de los interesados ​​que residen en la Unión Europea, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos ‘en el contexto de un establecimiento’.

¿Cuáles son los cambios respecto de la normativa anterior?

GDPR es el nuevo marco legal en la Unión Europea que reemplazará a la actual Directiva de Protección de Datos. La diferencia más importante entre ambas es la distinción entre una “regulación” y una “directiva”. La Directiva de Protección de Datos son recomendaciones a tener en cuenta y no son legalmente vinculantes, dejan abierta a la interpretación. El GDPR, en cambio, es una ley y debe ser cumplida por todas las organizaciones.  

Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios:

  • Consentimiento: las condiciones para el consentimiento se han fortalecido. Las empresas ya no podrán usar términos y condiciones ilegibles, ya que la solicitud de consentimiento debe ser proporcionada en un lenguaje de fácil acceso, sencillo y claro. Debe ser tan fácil retirar el consentimiento como darlo.
  • Enfoque de riesgo: las medidas dirigidas a garantizar el cumplimiento de GDPR deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Algunas de las medidas que establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas debe adaptarse, por tanto, a las características, tamaño y procesamiento de datos que maneje cada una de las organizaciones.

 

  • Seguridad, protección de datos y aplicaciones cloud: se obtendrá una visibilidad completa del uso y actividades de los servicios y aplicaciones cloud. Todas las empresas, cualquiera que sea su localización, deberán responsabilizarse de la protección de los datos de sus clientes. En el caso de las compañías que contratan servicios en la nube, serán los responsables últimos de la seguridad de los datos de carácter personal, y no el prestador del servicio.

 

  • Notificación de incumplimiento: será obligatoria en todos los estados miembros donde una violación de datos probablemente “genere un riesgo para los derechos y libertades de las personas”. Esto debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes después de registrar por primera vez una violación de datos.
  • Privacidad por defecto / desde el diseño: como concepto ha existido desde hace años, pero solo se está convirtiendo en parte de un requisito legal con GDPR. En esencia, requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de ser una adición. Exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos).
  • Oficiales de Protección de Datos (OPD): actualmente, las empresas están obligadas a notificar sus actividades de procesamiento a las Autoridades de Protección de Datos (APD) locales, lo cual les resulta engorroso dado que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR esto ya no será necesario. En su lugar, habrá requisitos internos de mantenimientos de registros y además se incorporará la figura del Oficial de Protección de Datos. Su rol será obligatorio en aquellos casos de empresas cuyas actividades centrales de procesamiento requieren un monitoreo regular y sistemático de datos a gran escala, o son de categorías especiales de datos, o los mismos están relacionados con condenas y delitos penales.

La ley otorga a los sujetos ocho derechos específicos, pueden mencionarse los siguientes:

  • Derecho a estar informado: proporciona transparencia con respecto a cómo son recolectados, procesados y utilizados los datos personales de los sujetos.
  • Derecho de acceso: es el derecho ​de los interesados a obtener de los controladores de datos la certeza de que su información personal está siendo o no procesada, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Esta medida apunta hacia la transparencia de los datos.
  • Derecho a la rectificación: otorga el derecho de que los datos personales sean rectificados en caso de ser incorrectos o incompletos.
  • Derecho a ser olvidado: es el derecho de las personas de que sus datos personales sean borrados de cualquier lugar si no existe una razón convincente para que estén almacenados. También implica el cese de la diseminación de datos y, potencialmente, que terceros detengan el procesamiento de los mismos.
  • Derecho a restringir el procesamiento: permite bloquear o suprimir los datos personales en el momento en que están siendo procesados o en uso.
  • Derecho a la portabilidad de datos: es el derecho de un sujeto de recibir los datos personales que le conciernen y que previamente proporcionó en un “formato de uso común y legible por máquina”. También el interesado tiene derecho a transmitir esos datos a otro controlador.
  • Derecho a objeción: permite objetar acerca del procesamiento de sus datos sin un consentimiento explícito.
  • Derecho a no ser sujeto de toma de decisiones automatizadas: es el derecho de objetar sobre la toma de decisiones automáticas -sin intervención humana- que se hagan sobre los datos personales.

¿Las empresas que operan en la UE ya están listas para GDPR?

En el 2017 Kapersky Lab, compañía internacional dedicada a la seguridad informática y partner de NextVision, realizó una encuesta a más de dos mil responsables de departamentos IT acerca de sus conocimientos y puntos de vista sobre la nueva legislación. Aunque la mayoría de ellos (73%) cree que el reglamento de almacenamiento y procesamiento de datos personales es importante, tienen niveles de confianza bajos respecto a la capacidad de las organizaciones de cumplir el GDPR adecuadamente. No obstante, consideran que es una oportunidad para mejorar su capacitación.

De acuerdo al informe, los niveles más altos de ‘conocimiento adecuado’ entre los responsables de los departamentos de IT se encuentran en los sectores de la construcción (51 %) y servicios financieros (47 %) y los más bajos se encuentran en los sectores sanitarios (28 %), educativos (26 %) y de fabricación (29 %).

En cuanto a países que muestran más preparación para cumplir el GDPR figuran Reino Unido, Francia, Alemania, Italia, Países Bajos y España. Los países que demostraron menor preparación son Bélgica, Portugal, Dinamarca y Noruega: los responsables IT manifestaron que no contaban con ningún conocimiento aparte de haber escuchado el término GDPR o que directamente no sabían en qué consistía.

¿Qué sucede si tu empresa no cumple con GDPR?

Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual, o hasta € 20 millones de euros. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar los conceptos de privacidad desde el diseño.

Existe un enfoque escalonado de multas, por ejemplo una empresa puede recibir una multa del 2% por no tener sus registros en orden, por no notificar a la autoridad supervisora ​​y al sujeto de los datos sobre una infracción o por no realizar la evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que la ‘nube’ no estará exenta de la aplicación de GDPR.

¿Cómo cumplir con GDPR?

La Agencia Española de Protección de Datos elaboró una “Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento” con una serie de medidas a considerar para que las empresas cumplan con el reglamento:

  • Identificación de la base jurídica de los tratamientos que se realizan: los tratamientos básicos involucran una relación contractual entre el interesado y el responsable o en el consentimiento del interesado. También es habitual que existan obligaciones legales para el responsable. El responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en una base jurídica ya estipulada.
  • Verificación de la información que se proporciona a los interesados: se debe ofrecer a los interesados una mayor información sobre los tratamientos que se realizan, independientemente del tamaño de la organización. La información podrá proporcionarse por diversos medios -avisos en páginas webs, espacios reservados en formularios o carteles informativos- y en diversas instancias. Sin embargo, dependiendo del tratamiento a realizar, no sería prioritario informar sobre ciertas cuestiones, tales como los datos de contacto del Oficial de Protección de Datos o la adopción de decisiones automatizadas.
  • Establecimiento de un registro de actividades de tratamiento: el responsable debe prever la existencia de este registro e incluir en él los contenidos previstos por el GDPR.
  • Ejercicio de derechos de los interesados: el responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes, como establecer una dirección de correo electrónico específica y derivar a una persona de la organización para que se encargue de tramitar todas las solicitudes que se reciban. Es importante que el modo de implementar estos mecanismos, por sencillos que sean, estén claramente establecidos.
  • Identificación de medidas de seguridad: permiten garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar accesos no autorizados. Deben poder adaptarse a las características de los tratamientos, al tipo de datos tratados y a la tecnología disponible. El responsable debe asegurarse de que las medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) se apliquen y, dependiendo el caso o el nivel de complejidad, evaluar si se requiere alguna medida distinta o adicional.
  • Verificación de las relaciones con los encargados de tratamiento: el responsable puede encomendar parte de las operaciones a un encargado de tratamiento, por ejemplo el almacenamiento de la información o la realización de distintas tareas sobre la base de los datos personales. El responsable debe asegurarse de que los encargos estén siempre amparados en un contrato y de que incluya todos los aspectos que establece el GDPR. Especialmente, el encargado sólo tiene que tratar los datos para los fines que le encomiende el responsable, debe aplicar las medidas de seguridad adecuadas y mantener una estricta confidencialidad sobre la información tratada.

Propuesta de NextVision

Para adecuar la protección de datos de una empresa a GDPR, NextVision ofrece los siguientes servicios que permitirán que el GDPR se convierta en una ventaja competitiva para tu empresa:

  • Análisis de GAP respecto GDPR, definiendo el plan de acción para adecuarse (GAP es un análisis de la situación actual desde un punto de vista legal, técnico y organizativo, para implementar las mejores recomendaciones de adecuación al reglamento).
  • Determinación de las responsabilidades de seguridad.
  • Definición de la metodología de evaluación de riesgos y plan de implantación de controles necesarios.
  • Adecuación de la Gestión de Incidentes, evaluación de impacto y notificación a afectados.
  • Test interno y externo para evaluar posibles vulnerabilidades y su posible explotación.
  • Servicios jurídicos especializados con más de diez años de adaptaciones a protección de datos.

El futuro de la protección de datos

El GDPR tiene como intención crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Aplica para todas las organizaciones que procesan datos de personas físicas y/o jurídicas de la UE en cualquier parte del mundo.

La reglamentación introduce cambios sustanciales con respecto a la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Es muy importante que el responsable de tratamiento de la organización esté al tanto de las modificaciones y que tome las medidas correspondientes para adecuarse al  reglamento, no solo por las multas que establece el incumplimiento, sino también para implementar una política de datos personales transparente que garantice la confianza de las personas.

Te invitamos a descargar la Guía GDPR realizada por nuestros expertos para obtener más información.