Crónica de la Jornada de Seguridad en entornos Cloud y Protección de Datos de BSI

Introducción y Bienvenida
Sylvia Ariza, Directora de Marketing – BSI Iberia
David Díaz, Director Regional Cataluña – BSI Iberia


Sylvia dio inicio a la jornada, presentando a cada uno de los ponentes. Posteriormente, David realizó una presentación sobre BSI, centrada en el nuevo catálogo de formación y servicios de la empresa. Del nuevo catálogo destacó, el nuevo servicio de Certificación en PCI DSS y la nueva formación en Seguridad Online “Wombat”, estructurada en microcursos especializados para los diferentes niveles de personal dentro de las organizaciones.

Objetivo 2018: Cumplir con el RGPD
Belén Durán, Directora – NEOLEGIS, Abogados y Consultores S.L.P.

En primer lugar, Belén agradeció a BSI la oportunidad de participar en esta Jornada de Seguridad. Entrando en materia, expuso las diferencias entre Reglamento y Directiva europeas, destacando que una de ellas es que el nuevo RGPD pasa a ser de aplicación directa a todos los estados miembro de la Unión. A pesar de ello, es necesario encontrar su encaje en el ordenamiento jurídico español (ej. en el régimen sancionador). En este sentido, informó que próximamente se hará público el anteproyecto de reforma la LOPD , para adaptar la legislación española al RGPD.

Posteriormente, expuso el concepto de reversibilidad de la identidad del titular de los datos, como determinante para establecer si un determinado tratamiento de datos, debe necesariamente o no cumplir el RGPD. En este sentido, indicó que las técnicas de seudonimización/anonimización pueden ayudar a reducir el alcance del cumplimiento.

También, destacó toda una serie de cambios respecto a la LOPD. A continuación, se indican resumidamente algunos de ellos:
  • Las implicaciones derivadas de la creación de las nuevas figuras del DPD y el Representante del Responsable/Encargado.
  • El cambio de obligatoria a no obligatoria, de la notificación de los ficheros a las Agencias.
  • La implementación del nuevo derecho a la Portabilidad.
  • La idea de la capacidad de demostrar el cumplimiento del RGPD / Responsabilidad proactiva (Accountability).
  • La elaboración del nuevo Registro interno de Actividades de tratamiento.
  • Las nuevas obligaciones respecto a las Notificaciones de violaciones de datos.
  • La realización de Evaluaciones de impacto sobre los nuevos tratamientos. La necesaria consulta a la Agencia de aquellos que puedan comportar un riesgo alto.
Finalmente, respecto a la nueva figura del DPD, destacó la promoción que está realizando la AEPD, de la acreditación de ENAC para la certificación de estos profesionales.

Cloud & the privacy vs security issue
Gigi Robinson, Product Technical Manager – BSI Iberia

Gigi, inició su presentación partiendo de una definición de Privacidad y Seguridad. Expuso, algunas de las diferencias de estos conceptos solapados, respecto al objetivo que persigue cada uno.

Posteriormente, centró gran parte de su ponencia en la presentación de la norma ISO/IEC 27018, específica para organizaciones (business, academia, government), que traten datos personales (PII) en entornos Cloud (privado y público).

De dicha norma destacó su Anexo A, que incluye un conjunto nuevo de controles específicos alineados con la norma ISO/IEC 29100 (Privacy framework), los cuales proporcionan una buena combinación con ofrecidos por la ISO/IEC 27002.

Ciberseguridad y Cumplimiento en Entornos Cloud
José Luis Colom Planas, Compliance, Management & IT Advisor – Govertis

José Luis, empezó su presentación exponiendo que la implementación de un SGSI (ISO 27001), proporciona una adecuada base para el cumplimiento en el Cloud. Sin embargo, aclaró que para proporcionar dicha base, es necesario que este se trate de un sistema material (efectivo) un sistema que establezca acciones, en contraposición a un sistema formal (de papel).

Posteriormente, realizó un repaso de las diferentes extensiones de ISO/IEC 27001, que existen hoy en día para la Seguridad en entornos Cloud:
  • ISO 27017: El Anexo A de esta norma, incluye un conjunto de controles extendidos para servicios Cloud. A su vez, la estructura de dichos controles distingue separadamente las responsabilidades de cumplimiento que recaen sobre los Clientes, de las que recaen sobre los Proveedores Cloud.
    • ISO 27018: Esta norma se centra en la seguridad de los datos de carácter personal en este tipo de entornos. Se trata de una norma que, como su hermana, es de adscripción voluntaria, y que a pesar de no garantizar, ayuda al cumplimiento del nuevo RGPD europeo.
      • CSA STAR: La certificación define la batería de controles conocida como CCM (Cloud Controls Matrix), cuyos controles se encuentran alineados con ISO/IEC 27001. Se diferencia de las certificaciones ISO, en que es una certificación cualificada (puntuaciones bronce, plata y oro).

    • NIST Cybersecurity Framework: También mencionó este marco específico, debido a que establece claramente las equivalencias de sus controles con los que se incluyen en la ISO/IEC 27001.
    • Finalmente, trasladó a los asistentes la clara y reciente tendencia de las empresas a moverse al Cloud. Entre los motivos, destacó el atractivo que representa en términos de economías de escala (por el hecho de poder convertir CAPEX en OPEX). A su vez, indicó que este movimiento en el caso de las PYMEs puede proporcionar, en gran parte de los casos, más seguridad/protección que mantenerse en un modelo totalmente autogestionado.

      Caso Práctico ISO/IEC 27001 – Seguridad de la Información
      Manel González, Information Security Manager – Ricoh

      Manel González, se encargó de cerrar la Jornada compartiendo con los asistentes su experiencia en Ricoh España. Desde sus inicios con la implantación de ISO/IEC 27001, hasta la construcción un Sistema integrado de gestión (ISO 9001/14001/20000-1/27001, OHSAS 18001, etc.), con el objetivo de lograr la gestión total de riesgos (ISO 31000).

      En primer lugar, nos explicó cómo se encuentra estructurado el SGSI del Grupo Ricoh. Dicha estructura se compone de los siguientes niveles:
      • Ricoh Japón: Propietaria del SGSI, y responsable de establecer las políticas a alto nivel del sistema.
      • EMEA (Ricoh Group PLC): Zona económico-geográfica que dispone de cierta autonomía, encargada de adaptar las políticas de alto nivel a las normativas de la región (ej. normativa europea).
      • Ricoh España: Centro perteneciente a EMEA con capacidad de gestión del SGSI en modo semi-autónomo, encargado de adaptar finalmente las políticas del nivel anterior a la normativa española.
      En relación al Modelo de Auditoría, y concretamente a la hora de definir un alcance “tratable” para ellas, Manel expuso el sistema de categorización de sedes utilizado por la compañía. Dicha categorización distingue:
      • Sedes obligatorias: Aquellas que necesariamente deben ser auditadas, por sus especiales características, o su elevado nivel de riesgo.
      • Sedes preparadas: Aquellas que pueden ser seleccionadas y que se encuentran listas para ser auditadas en cualquier momento.
      Respecto al Modelo de Análisis de riesgos utilizado, explicó que este se encuentra modalizado en los siguientes dos niveles:
      • Base line: Definido por una Directriz global, que establece el nivel mínimo de riesgo a cubrir.
      • “Top up”: Formado por el conjunto de riesgos superiores a la Base line, que se deciden tratar en detalle a través de la elaboración de diferentes planes.
      Finalmente, expuso el Modelo de Gobierno establecido, basado en la creación de un Risk Management Board (RMB). Dicho RMB, formado por miembros de la dirección y de las diferentes áreas/departamentos, ha ido ampliando su alcance de autoridad a todos los ámbitos de Compliance de la organización.


      Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
      Departamento de Consultoría.

      Internet Security Auditors Authorized Training Organization de ISACA en España y Colombia

      La organización ISACA ha seleccionado a Internet Security Auditors para firmar un acuerdo que la convierte en Authorized Training Organization en España y Colombia para ofrecer sus cursos de certificación Core (CISA, CISM, CGEIT y CRISC) y de sus cursos del programa CyberSecurity Nexus.

      CISA y CISM son las certificaciones de ISACA de mayor reconocimiento a nivel mundial entre Auditores de Sistemas de Información y Responsables de Seguridad de la Información, que están acreditadas por ANSI bajo la norma ISO/IEC 17024:2012, y que más de 129.000 y 32.000 profesionales de la Seguridad poseen en todo el mundo desde su creación el año 1978 y 2002 respectivamente.

      Gracias a este nuevo acuerdo de colaboración Internet Security Auditors amplia y pone a la disposición del sector el mayor y más valorado portfolio de cursos oficiales preparatorios para certificaciones del mundo en ciberseguridad.


      Para más información sobre los cursos y las fechas disponibles, consulte nuetra página web.

      Vicente Aguilera vuelve a participar en el programa 8aldia de la cadena 8TV

      Con motivo de las próximas elecciones en Holanda y Francia, y después del revuelo causado en EE.UU. tras el ascenso tan controvertido de Donald Trump a la Casa Blanca, Vicente Aguilera fué como invitado nuevamente al programa 8aldia de Josep Cuní en el canal 8TV para hablar de los riesgos de un ciberataque y de las probabilidades de sufrir alteraciones en los resultados de las votaciones electrónicas.

      Para los que queráis ver la entrevista al completo:
      http://www.8tv.cat/8aldia/8-al-dia-amb-josep-cuni/vicente-aguilera-es-factible-modificar-manipular-la-informacio/

      Crónica del Mobile World Congress 2017

      El Mobile World Congress es el mayor evento del mundo en área de exposición para marcas de la industria de la telefonía móvil, y uno de los congresos de referencia a nivel mundial. Está organizado por GSMA, una asociación de operadores móviles y compañías que dan soporte a la estandarización, desarrollo y promoción del sistema de telefonía móvil GSM1. Desde sus inicios el MWC ha ido incrementando su superficie. En Barcelona, se ha realizado en dos localizaciones distintas, en Fira Montjuïc y en Fira Gran Vía. Actualmente, el evento cuenta con exposiciones y conferencias en Fira Gran Vía, y con el 4YFN (una plataforma del Mobile World Capital orientada a las startup) en Fira Montjuïc. Pero el MWC no solamente es un congreso de móviles, sino que la presencia de otras tecnologías ha ido en aumento, llegando a ser un encuentro tecnológico (móviles, ciberseguridad, realidad virtual, robótica, sistemas operativos…)

      En la edición de este año estaba presente el grupo Ingenico, así como algunas marcas de pago.
      Ingenico Group tenía, entre muchos otros elementos, tres tipos de TPV novedosos expuestos (desde los más comunes hasta los más sofisticados).

      1. TPV Move/5000: Se trata de un terminal móvil funcionando bajo el sistema operativo Telium Tetra. Dispone de conectividad 3G, GPRS, Bluetooth y WiFi. Certificado en PCI PTS (Pin Transaction Security) 4.x Online y Offline.



      2. TPV APOS: Se trata de un point-of-sale de reducidas dimensiones (para poder sujetarlo con una mano), y está basado en Android 5.1 con sistema de seguridad en el pago integrado. Dispone de conectividad 4G, 3G, 2G y WiFi. Certificado en PCI PTS (Pin Transaction Security) 4.x Online y Offline.



      3. Point-of-Sale Integrado: Se trata de un POS integrado, que consta de distintos periféricos (lector de código de barras, terminal de pago TPV, impresora, tablet personalizable por el cliente (puede ser Android, Windows o Mac) y pantallas customizables para el negocio).

      Por su parte, VISA, tenía organizado su expositor en distintas secciones, las que más me llamaron la atención fueron los pagos mediante Contactless y VISA Checkout. Es bien sabido que los pagos contactless han llegado para quedarse, y es que es muy cómodo poder pagar simplemente acercando la tarjeta a un terminal. Pues bien, VISA mostraba los últimos proyectos llevados a cabo con esta tecnología:

      1. Anillos para los juegos olímpicos
      Durante los juegos olímpicos, se dotó a los profesionales con dos tipos de anillos distintos, dichos anillos contenían todo el hardware necesario para permitir el pago sin contacto.



      2. Pulseras Contactless
      Un ejemplo que nos viene más de cerca es el caso de Caixabank Payments, con sus pulseras contactless.


      3. Relojes tradicionales
      Se trata de un reloj (no smartwatch) con componentes tecnológicos añadidos en la correa. Dichos relojes utilizan la tecnología de GoTappy, e incorporan el siguiente chip:


      https://www.gotappy.com/flexitag

      4. Joyas expresamente diseñadas
      Joyas realizadas con la colaboración del grupo DCK,  para poder incorporar los componentes que permiten realizar los pagos sin contacto.



      Cabe destacar que, actualmente, los sistemas usados para utilizar los dispositivos mencionados anteriormente, son de prepago. El servicio se llama bPay, y permite realizar recargas desde cualquier tipo de tarjeta, ya sea MasterCard o Visa.

      Ejemplos en uso de pagos mediante Contactless:
      CaixaBank ha realizado pulseras Contactless personalizadas según equipo de futbol. El precio de mantenimiento de dichas pulseras es de 10 € al año. En el siguiente enlace pueden observarse distintas pulseras según equipo de fútbol.

      https://www.caixabank.cat/particular/tarjetas/pulseraclubsfutbol_ca.html#fc-barcelona

      En el siguiente enlace se pueden observar las pulseras normales que ofrece (sin personalizar, pero con distintos colores para escoger).
       
      Además, CaixaBank también dispone de una tarjeta adicional llamada Tap Contactless. Se trata de un adhesivo que se puede pegar en el dorso del móvil, y efectuar pagos.

      https://www.caixabank.cat/particular/tarjetas/tapcontactless_ca.html

      VISA Checkout:
      VISA Checkout es una aplicación que permite la realización de pagos mediante el móvil. En el caso de uso realizado, el usuario se tenía que registrar y dar una muestra de voz. (El factor de validación del usuario para realizar la compra con el número de tarjeta asociado era la voz.) Todo esto se combinaba con la realidad virtual, de manera que mientras se estaba jugando, se podían comprar elementos adicionales.

      Transportes basados en tarjetas inteligentes
      También estaba presente la “Autoritat del Transport Metropolità (ATM)”, mostrando el proyecto de la “T-Mobilitat”. “T-Mobilitat” es un proyecto para modernizar los sistemas de pago integrado actuales en los transportes públicos de Catalunya (basados en tarjetas de cartón) hacía una única tarjeta inteligente para realizar los pagos mediante terminales contactless. El proyecto abarcará todo tipo de transportes (Metro, Ferrocarrils de la Generalitat de Catalunya, Rodalies de Catalunya, Tram, Bus) de distintos municipios.

      Además, se contará con una aplicación para móvil y relojes inteligentes (para poder realizar los pagos, consulta de saldo y validaciones) mediante la tecnología NFC. No solo se plantea un cambio de tarjeta, sino también un cambio en lo que respeta a la tarificación. Como bien es sabido, la tarificación en el área de Barcelona se organiza según 6 zonas (siendo Barcelona zona 1), el precio se va incrementando a medida que se realicen viajes que pasen por más de una zona. Dicho sistema tiene un inconveniente, y es que puede discriminar negativamente a los ciudadanos, dado que no se basa en la distancia real (km recorridos). Con la T-Mobilitat, se quiere poner fin a las zonas, y empezar a cobrar por km recorrido y frecuencia de viajes realizados.

      Ejemplo de una de las máquinas validadoras con el nuevo sistema implementado:


      Otro aspecto positivo que brindará la T-Mobilitat es la trazabilidad. Las tarjetas de cartón actuales, aunque disponen de número de identificación, no son trazables. Así pues, en caso de pérdida de títulos unipersonales (entendiendo los abonos mensuales, trimestrales, T-Jove etc.) es imposible anular la tarjeta perdida y realizar un duplicado, y, por lo tanto, se tiene que volver a comprar otra. Con la T-Mobilitat, será posible desactivar una tarjeta y realizar duplicados.

      Dicho sistema entrará en vigor, en la corona de Barcelona, a finales del año 2018, realizándose una prueba piloto entre febrero y marzo de 2018 en la línea L9 Sud. En un primer momento coexistirán ambos tipos de tarjetas (cartones y T-Mobilitat).

      Finalmente, en el congreso de este año, había mucha presencia de tecnologías relacionadas con la realidad virtual y las redes 5G. A continuación, se enumeran algunos ejemplos:
      1. Transmisión de vídeos de realidad virtual con resolución 8K en tiempo real. (Intel)
      2. Juegos basados en realidad virtual. (HTC VIVE)
      3. Cines de realidad virtual. (Samsung Galaxy VR)
      4. Atracciones basadas en realidad virtual. (Samsung Galaxy VR)
      5. Juegos basados en realidad virtual, mediante el uso de sensores específicos en las manos y los pies, para poder determinar el movimiento del jugador. (Samsung Galaxy VR)
      1GSM hace referencia a ‘Global System for Mobile Communications’, un sistema estándar de telefonía móvil digital.



      Autor: Marc de Tébar
      Dpto. Consultoría

      Crónica del workshop: IoT – Privacidad y Seguridad en el Internet de las Cosas. RootedCon 2017

      La semana pasada tuvo lugar en Madrid una nueva edición de la Rooted CON 2017, uno de los congresos de seguridad de referencia.

      Nuestro compañero del departamento de auditoría Luis Enrique Benítez estuvo presente entre el grupo de ponentes, presentado el WORKSHOP@WARFARE “IoT – Privacidad y Seguridad en el Internet de las Cosas

      Durante su workshop se montó un pequeño laboratorio de análisis en el que se interceptaban y manipulaban las comunicaciones de un Smart TV, quedando expuesto el comportamiento de estos dispositivos.

      La tendencia es que los fabricantes cada vez más apuestan por elaborar productos conectados: “Nuevas tendencias, antiguas vulnerabilidades”, todo apunta que dentro de una década lo que se echará en falta es la intimidad y la privacidad.



      Para consultar la presentación completa:
      https://www.isecauditors.com/presentaciones-2017#2017-001


      Autor: Luis Enrique Benítez
      Departamento de Auditoría

      La SIC declara USA país no confiable para los datos personales de los ciudadanos colombianos

      El pasado 22 de febrero se publicó en el sitio web de la SIC (Superintendencia de Industria y Comercio) de Colombia, una Circular Externa para "Adicionar un capítulo tercero al Título V de la Circular Única" sobre Transferencia Internacional de Datos.

      Lo importante de esta modificación es que, por fin, la SIC pasa a tomar la decisión referente a los países en los que se "confía" para que datos de carácter personal de ciudadanos colombianos puedan ser transmitidos. La SIC hace referencia a que el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece como regla general la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo las excepciones que expresamente señala, y prevé que “Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.

      La SIC pretende dejar claro que esta circular está basada en la necesidad de establecer con claridad (hasta hoy no se hacía así, quedando la decisión ambiguamente bajo la responsabilidad de los Responsables del Tratamiento) que países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir y transmitir datos personales en atención a los mandatos de la ley.

      Los estándares que define la SIC como necesarios para "confiar" si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, se basa en 6 criterios orientados a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
      • Existencia de normas aplicables al tratamiento de datos personales.
      • Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
      • Consagración normativa de derechos de los Titulares.
      • Consagración normativa de deberes de los Responsables y Encargados.
      • Existencia de medios y vías judiciales y/o administrativas para garantizar la tutela de los derechos de los Titulares y exigir el cumplimiento de la ley.
      • Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares.
      Y lógicamente, la SIC ha realizado el ejercicio, pues sólo quedaba eso, de enumerar qué países cumplen con estos 6 criterios de "confiabilidad", resultando una lista no especialmente extensa que por continentes resulta:
      • América: Argentina, Canadá, Costa Rica, México, Perú, Uruguay
      • Europa: Albania, Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, Estonia, España, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Serbia, Suecia, Suiza
      • Asia: República de Corea
      • Oceanía: Nueva Zelanda
      • África: Ninguno
      Resulta llamativo que, definitivamente, en este listado quedan fuera Estados Unidos, donde proveedores de servicios Cloud como Amazon, Google, Microsoft entre otros, se convierten en empresas, a priori, donde no se podrá confiar la información de ciudadanos colombianos, siempre y cuando no se tenga la capacidad de seleccionar y seleccione el país donde se alojarán los datos del proveedor. Sobre todo, resulta llamativo cuando entre la UE y EUA se aprobó el marco de Privacy Shield para el intercambio de datos personales, sobre el que ya escribimos algún artículo en nuestro blog (ver [1], [2], [3] y [4]). Aunque, claro está, este acuerdo se realizó entre la UE y USA, y Colombia debería desarrollar el suyo propio para poder justificar la equiparación. Pero es también a tener en cuenta como gran cantidad de países con estrechas relaciones comerciales también quedan fuera de este "círculo de confianza" como son: Bolivia, Brasil, Chile, Ecuador, Panamá, toda Centroamérica (excepto Costa Rica) y todos los países del Caribe.

      La primera duda que surgirá en las empresas colombianas cuyos servicios de alojamiento de datos se encuentren en USA es ¿y ahora qué? Pues lo primero será asegurar que cuando la Transferencia de datos personales se vaya a realizar a un país que NO se encuentre en el listado anterior, corresponderá al Responsable del tratamiento verificar si ese país cumple con los estándares fijados (los 6 puntos enumerados anteriormente), caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

      A parte de que la SIC exige la existencia de un contrato, acuerdo o autorización que permita la transferencia internacional de datos personales en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, si no se tiene dicho contrato, acuerdo o autorización, deberá cumplirse con alguna de las siguientes reglas:
      • Informar al Titular la transmisión de datos y contar con su autorización para ello, o
      • Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber:
        • Transmitir datos personales solo a países que proporcionen niveles adecuados de protección de datos, para lo cual se deberá tener en cuenta que se cumplan los 6 requerimientos y estén en la lista de países "confiables", o
        • Estar dentro de una de las excepciones establecidas en los literales contenidos en el artículo 26 de la Ley 1581 de 2012 para justificar la trasferencia y son que la:
          • Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
          • Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
          • Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
          • Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
          • Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
          • Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
        • Obtener una declaración de conformidad emitida por la SIC.
      Por tanto, las empresas colombianas a lo que ya debían que era informar inequívocamente a los titulares de los datos personales que sus datos van a transferirse a terceros países y pedir su autorización; segundo y añadido a esto, cuando el país destinatario no esté en la de países confiables, estar seguros que se cumple alguna de las excepciones y tener permiso explícito del Titular para evitar problemas legales; y tercero, en caso de duda, pedir aclaración y autorización a la SIC para que esta determine lo que bajo el punto (iii) queda bajo su responsabilidad. Va a ser a partir de esta última situación, cuando tendremos la certeza sobre qué hacer con la transferencia de datos a estos proveedores en USA (u otros).

      Está claro que el legislador y los reguladores competentes en Protección de Datos de Colombia han hecho estos últimos 4 años lo que no se había hecho en dos décadas en materia de Datos Personales y está intentando aclarar y ayudar a marchas forzadas sobre todo aquello que está generando mayores incertidumbres. Lo importante ahora será que el cumplimiento de la Ley no pueda suponer un quebradero de cabeza para las empresas del país. En breve empezaremos a verlo.

      Esta circular externa cerraba el plazo de comentarios el 8 de marzo y está por ver si no sufre cambios antes de llegar su confirmación.

      Referencias:
      [1] http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
      [2] http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
      [3] http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
      [4] http://blog.isecauditors.com/2016/02/por-fin-un-safe-harbour-2-0.html

      Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
      Global Sales Manager, Internet Security Auditors

      Se filtran más de 35.000 datos de pago de clientes de Acer

      Aprovechando un error de configuración en un sitio web, un grupo de cibercriminales tomaron datos de pago de más de 35.000 clientes, esto generó a Acer una multa de USD 115.000

      ¿Qué sucedió?
      Después de una investigación realizada por la oficina del Fiscal General Schneiderman se determinó que “Acer Service Corporation”, no protegió de manera adecuada la información de datos de tarjetas de crédito de más de 35.000 clientes.

      La brecha fue detectada por un análisis realizado por Discover a cientos de tarjetas fraudulentas, y se determinó que el último sitio donde todas estas habían hecho una transacción legal fue en el sitio web de Acer.

      La investigación subsecuente determinó que al menos un atacante fue capaz de explotar vulnerabilidades del sitio de comercio electrónico.

      ¿Por qué sucedió?
      La investigación determinó que el sitio web pasó por diferentes momentos de configuraciones erróneas que permitieron ampliar la superficie de ataque y abrieron las posibilidades de que el o los atacantes pudieran sacar provecho de estas.

      Por ejemplo: entre jul 4 de 2015 y abril 28 de 2016 se dejó habilitado el modo de depuración en la aplicación de comercio electrónico, este modo dejó toda la información que paso por la aplicación guardada en archivos de texto plano fácilmente accesibles, esta información incluía nombre completo, número de la tarjeta de crédito, fecha de expiración, código de verificación, usuario, contraseña, correo electrónico, dirección, ciudad, estado y código postal.

      Adicionalmente a esto, la configuración del servidor permitió indexación de directorios para usuarios no autorizados.

      Como resultado de este conjunto de errores de configuración se permitió el acceso a archivos no autorizados al atacante con un simple navegador.

      ¿Cómo se hubiera podido detectar/evitar este ataque?
      • Haciendo una separación de los ambientes de tarjetahabiente: Todas las labores de desarrollo (incluyendo depuración) se deben realizar en ambientes de controlados de desarrollo. En caso de requerir casos especiales en ambientes productivos se deberán activar controles adicionales, limitar los accesos, monitorear la actividad y eliminar cualquier archivo que contenga información sensible.
      • Haciendo configuraciones seguras de las aplicaciones y los equipos: Todas las aplicaciones, equipos y dispositivos que son parte del ambiente de tarjetahabiente, deben estar configurados de manera segura y no deben permitir que un usuario con bajos privilegios pueda tener acceso a información para la que no ha sido previamente autorizado.
      • Monitoreando los archivos de configuración de las aplicaciones y los sistemas: Todos los servidores o estaciones de trabajo que sean parte del ambiente de tarjetas, deben tener un monitoreo de todos los archivos críticos, entre estos tenemos los directorios, ejecutables, librerías, archivos de configuración y páginas web del sistema operativo, marcos de trabajo, motores de bases de datos, aplicaciones y cualquier componente que haya sido modificado para mantener un estado de configuración segura.
      • Cualquier cambio en estos archivos debe levantar alarmas.
      • Centralización o monitoreo de logs: todos los registros de actividad que se generen deben llevarse a una plataforma o punto centralizado diferente del dispositivo donde se producen, el tiempo en que deben llevarse a esta plataforma debe ser muy corto.
      • Diariamente se debe hacer una revisión de estos logs en búsqueda de actividades ilícitas o no autorizadas.
      • Formación y concientización en seguridad: Se debe dar formación y concienciación a todos los usuarios sobre las buenas prácticas del uso de los diferentes medios de comunicación electrónicos y prácticas de seguridad.
      • Los desarrolladores de aplicaciones deberán recibir formación periódica en prácticas de desarrollo seguras.
      • Los administradores de plataforma deberán tener formación en la aplicación de los diferentes controles de seguridad y aplicar de manera consistente las guías de configuración de servidores y aplicaciones.
      Fuente:
      https://ag.ny.gov/press-release/ag-schneiderman-announces-settlement-computer-manufacturer-after-data-breach-exposed

      Autor: Javier Roberto Amaya Madrid - ISO 27001 LA, PCI QSA, PCIP
      Departamento de Consultoría

      Internet Security Auditors en la RootedCon 2017

      Este fin de semana se celebra en Madrid una nueva edición de uno de los eventos sobre seguridad informática más importantes, la RootedCon 2017.

      Este año Luis Enrique Benítez del departamento de auditoría, participará con un workshop el viernes 3 de marzo en el que se efectuarán, en tiempo real y con la colaboración de los participantes, análisis de seguridad a distintos dispositivos conectados.

      Para más información sobre el evento:
      https://www.rootedcon.com/rooted2017/ponencias-rooted2017#lenrique_benitez

      Designación del Delegado de Protección de Datos

      En mi artículo anterior "Implicaciones para el Responsable de Seguridad de la Reforma de Protección de datos Europea", empezamos a profundizar en las implicaciones para los Responsables de Seguridad, del nuevo Reglamento General de Protección de Datos europeo (RGPD). Actualmente, el Grupo de Trabajo del Artículo 29 (GT29), ha publicado 3 Guías y Preguntas frecuentes relativas al Derecho a la Portabilidad de los datos, al Delegado de Protección de Datos (DPD -figura que sustituirá al actual Responsable de Seguridad-) y a la Autoridad de Control Principal. Estos documentos, pretenden ayudar en la implementación del RGPD, clarificando conceptos no definidos en este y exponiendo algunos ejemplos. En este artículo, nos centraremos en el proceso de designación del DPD incluido en la Guía y Preguntas frecuentes sobre el DPD.

      Designación obligatoria
      El Artículo 37(1) del RGPD, establece los casos en los que las organizaciones deberán designar obligatoriamente un DPD. En este sentido, el GT29 recomienda que las organizaciones documenten el análisis que lleven a cabo, para respaldar sus conclusiones y poder demostrar que han tenido en cuenta los factores principales que determinan dicha obligación.

      Uno de los factores, es que la organización se trate de una autoridad u organismo público (37(1)(a)). La Guía aclara, que en este concepto también quedarían incluidas personas físicas o jurídicas de derecho público o privado, como son los servicios de transporte público o de suministro de agua y energía.

      Respecto a la definición de las actividades principales de la organización (37(1)(b)), de acuerdo con el considerando 97 del RGPD, se consideran aquellas actividades primarias directamente vinculadas al tratamiento de datos personales (ej. la asistencia sanitaria de un hospital, basada en el tratamiento de datos de salud), excluyendo aquellas actividades consideradas auxiliares (ej. pago de nóminas de trabajadores).

      Otro factor es que el tratamiento se realice a gran escala (37(1)(b) y (c)). Para determinarlo, en la línea del considerando 91, el GT29 recomienda tener en cuenta a su vez, factores como: el número de interesados afectados, el volumen de los datos, el tiempo del tratamiento y la retención de los datos, y su alcance geográfico.

      En cuanto a los tratamientos que requieran una observación (monitorización) habitual y sistemática (37(1)(b)), de acuerdo al considerando 24 relativo a la observación del comportamiento de los interesados, quedan incluidas claramente todas las formas de seguimiento y elaboración de perfiles en Internet (ej. publicidad personalizada). Sin embargo, dicha observación no se encuentra restringida únicamente a los entornos y seguimientos online. El GT29 interpreta como "habituales" las observaciones recurrentes, periódicas o que se lleven a cabo en todo momento. Y como "sistemáticas" (automatizadas o no) las basadas en sistemas, organizadas o metódicas, que se lleven a cabo como parte de un plan de recopilación de datos o formen parte de una estrategia.

      Experiencia y habilidades del delegado
      De acuerdo al Artículo 37(5) y al considerando 97, la experiencia y habilidades son función de los siguientes elementos:
      • Nivel de conocimientos: El delegado debe de tener un nivel de conocimientos proporcional a la sensibilidad, la complejidad y la cantidad de datos que procesa la organización.
      • Cualidades profesionales: El delegado debe tener conocimientos especializados en las leyes y las prácticas de protección de datos, nacionales y europeas, así como un conocimiento profundo del RGPD. Además, debe tener conocimientos suficientes acerca de los tratamientos, los sistemas de información, y las necesidades de seguridad y protección de datos de la organización.
      • Capacidad para desempeñar sus funciones: En este contexto, la capacidad es interpretada como la conjunción de cualidades personales y conocimientos. Una vez tratados los conocimientos, dentro de las cualidades personales, deben encontrarse la integridad y la ética profesionales: la principal preocupación del delegado debe ser el cumplimiento del RGPD.
      • Delegado mediante un contrato de servicios: Aspecto a tener en cuenta en aquellos casos en que medie un contrato de servicios, ya sea con un individuo o una organización externa. En este último caso, es importante que los miembros de la organización que actúen como DPD, cumplan los requisitos relevantes de la Sección 4 del RGPD, en especial en lo que se refiere al conflicto de intereses.
      Los aspectos tratados en este artículo, forman parte de las primeras Guías publicadas por el GT29 para la implementación del RGPD. De acuerdo con la nota de prensa de la publicación, y el anuncio del Plan de acción del 2016, durante este año 2017 verán la luz las Guías sobre la Evaluación del Impacto en la Protección de Datos y la Certificación. Como se puede observar, ya está en marcha la cuenta atrás para el cumplimiento del RGPD, recomendamos a todas las organizaciones afectadas que no lo dejen todo para el final y poco a poco vayan trabajando en ello.

      Referencias:
      1. http://blog.isecauditors.com/2016/06/implicaciones-para-el-responsable-de-seguridad-reforma-proteccion-datos-europea.html
      2. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 (sección "Plenary meetings")
      3. http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf
      4. http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf
      5. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SPA&toc=OJ:L:2016:119:TOC
      6. http://ec.europa.eu/newsroom/document.cfm?doc_id=40853
      7. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf

      Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
      Departamento de Consultoría.