TODAY IS THE DAY: THE WORLD INTERNET DAY

Y nadie, por lo que parece, está del todo a salvo de sufrir un ataque masivo-destructivo, con trasfondo de puro chantaje-extorsión, como el acontecido este pasado fin de semana a nivel mundial.

Pero sí tiene a su alcance la posibilidad de evitar que el incidente se convierta en una catástrofe para su empresa; tan solo tiene que preguntarse:

–  Si le hubiera pasado a mi empresa ¿ tendría de qué preocuparme ? (…y mucho).

–  ¿ Efectúo (preferentemente a diario según sector de actividad) copias de seguridad de mi información ? ¿ con qué regularidad ?.

–  ¿ Externalizo el servicio de las copias de seguridad ?,  ¿ las guardo en lugar seguro ?

–  ¿ Cuánto hace que nadie verifica que estas copias de seguridad se están realizando correctamente y es totalmente recuperable su contenido?

–  ¿ Tengo contrato con la empresa proveedora del servicio de externalización de mis copias de seguridad ?

Pensar hoy un momento en ello puede permitirle el asegurar la continuidad de su negocio el día D+1 de haber sufrido un ataque informático.

 

¿ … Y SI UN DÍA PIERDES TODA TU INFORMACIÓN ?

Hace poco más de un año publicábamos esta noticia:

SU EMPRESA YA NO EXISTE….

Una empresa informática de dominios web ha borrado todos sus datos de los servidores de su propia empresa… y todos los datos de sus más de 1.500 clientes, al introducir de forma totalmente involuntaria un fatídico comando UNIX sin concretar un destino. Ese fue su gran fallo, ya que su ordenador interpretó que lo que quería era borrar todos los datos de sus servidores y las copias de seguridad de los mismos. No es lo mismo “RM”… que “RM-RF”, ya que la primera parte del comando, “RM”, hace referencia a una orden de eliminar; la siguiente “R” borra todo el contenido dentro de un directorio dado, y la “F” fuerza a la máquina a ignorar todas las advertencias habituales que vienen cuando se va a proceder a una eliminación sin marcha atrás. Las opciones de recuperar los datos son prácticamente nulas.

Podría ser una noticia de hoy mismo.

Posiblemente, como pasa con frecuencia “con lo de hacer testamento”, te hayas dicho a menudo:

–          “Tengo que hacerlo; tengo que hablar con mis técnicos de sistemas (internos o externos) para asegurar la continuidad de mi negocio en caso de algún incidente grave de seguridad” (ataque informático, incendio, inundación, fenómenos climatológicos…).

Sí, porque un “incidente grave de seguridad” puede generar para tu negocio una auténtica “catástrofe”. Porque de auténtica catástrofe se puede considerar el hecho de perder toda tu información, el no tener una copia de seguridad actualizada y comprobada periódicamente, no poder recuperar la información… y con el riesgo, además, de que toda esta información “esté ahora en manos de otro”.

Supongo que no sabes lo que es hasta que te pasa.

No esperes a que te pase para comprobarlo. Aplica las medidas de seguridad adecuadas para proteger algo tan valioso para tu negocio como es la información que posees.

Decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados, elaborado por la Agencia Española de Protección de datos

La Agencia Española de Protección de Datos (AEPD) apuesta de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. Con motivo de las fiestas navideñas que se avecinaban, la AEPD elaboró un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta si te regalaban o ibas a regalar un dispositivo conectado.

  1. Tu cuerpo dice más de lo que crees.
  2. Una ventana indiscreta.
  3. Dispositivos vulnerables.
  4. Protege tus datos ante pérdidas o robos.
  5. Apps: no aceptes sin leer.
  6. La ubicación no siempre es necesaria.
  7. Juguetes conectados.
  8. Demasiadas contraseñas.
  9. Menores: edúcales.
  10. ¿Sabes dónde compras?

En este link se puede ver el desarrollo de cada uno de estas 10 claves… que no tienen caducidad pasadas estas fiestas; mantienen toda su vigencia.

CÓMO PROTEGER, EN CINCO PASOS, LA PRIVACIDAD DE LA INFORMACIÓN DESDE TU PUESTO DE TRABAJO

El 28 de enero se conmemorará, un año más, el Día internacional de la privacidad de la información. Y es por la cercanía de la fecha por lo que hoy recuperamos estas recomendaciones publicadas en su día en el blog de INCIBE (Instituto Nacional de Ciberseguridad).

CÓMO PROTEGER EN 5 PASOS LA PRIVACIDAD DE LA INFORMACIÓN DESDE TU PUESTO DE TRABAJO

Son cada vez más las noticias sobre incidentes de ciberseguridad ocurridos en empresas, como son robo de datos, o fugas de información. En algunas ocasiones son ocasionados por el propio personal de la empresa por desconocimiento, aunque en otras ocasiones son ataques realizados por empleados malintencionados o ciberdelincuentes desde el exterior. Sin embargo, podemos evitar estas situaciones si seguimos las buenas.

 ¿Por dónde comenzar cuando queremos proteger la información de nuestra empresa? Esta pregunta tiene muchas posibles respuestas pero en la mayor parte de los casos el punto de partida debería ser analizar cuál es la información más importante y crítica de nuestra organización.

 Gran parte de la información la gestionamos desde nuestro puesto de trabajo. Por este motivo es importante que siempre consideremos 5 aspectos importantes para proteger la privacidad de esta información:

  1. Es importante clasificar la información que manejamos, para implementar las medidas de seguridad adecuadas a su criticidad.
  2.  Los dispositivos móviles son susceptibles de ser robados o extraviados, por lo que debemos llevar en ellos la información cifrada.
  3.  Es importante bloquear el equipo cuando no estemos trabajando en él para evitar el acceso a la información por usuarios no autorizados.
  4.  Es importante seguir una política de mesas limpias en nuestras oficinas para no exponer documentación sensible.
  5.  Las contraseñas que utilizamos para acceder a nuestros equipos deben ser robustas y secretas para garantizar la confidencialidad.

 Revisa y pon en práctica estas recomendaciones para proteger la privacidad de uno de los principales activos de tu empresa: la información.

 ¡Ponte en marcha!

 

https://www.incibe.es/protege-tu-empresa/blog/proteger-cinco-pasos-privacidad-informacion-empresa-puesto-de-trabajo

 

 

Guía “Cómo gestionar una fuga de información en un despacho de abogados”

Esta Guía TIC, publicada por el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, analiza de forma práctica cómo prevenir una fuga de información en un despacho de abogados y cómo gestionarla en caso de producirse.

Lo que es aplicable de esta guía a un despacho de abogados, es aplicable a la mayoría de empresas y profesionales.

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales. Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.

La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. En el amplio apartado dedicado a cómo gestionar la fuga de información se expone un plan para la gestión de los incidentes que recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción.

En este link se puede descargar la guía:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/INCIBE_AEPD_Gestionar_fuga_de_informacion.pdf

Por lo que se refiere a protección de datos personales, la Guía indica que:

“La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos. Sus funciones son garantizar y tutelar el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.

En este sentido, y para aquellos supuestos en los que una fuga de información conlleve una fuga de datos personales, el Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el responsable del tratamiento. En efecto, los Considerandos 85 a 87 y los artículos 33 y 34, recogen la obligación para el responsable del tratamiento de que, tan pronto como éste tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que haya tenido constancia de ella, notificar tal violación de seguridad a la autoridad de control competente, a menos que el responsable pueda demostrar la improbabilidad de que la citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (pe.,porque tales datos iban cifrados o porque se han adoptado medidas ulteriores eficaces que garanticen que ya no existe tal riesgo). Es lo que se conoce como Data Breach Notification.

Además de tal notificación, el responsable del tratamiento de los datos objeto de la fuga (en este caso, el despacho) deberá comunicar al interesado, sin dilación indebida, la violación de la seguridad de sus datos personales en caso de que ésta pueda entrañar un alto riesgo para sus derechos y libertades. Tal notificación deberá realizarse respetando el contenido mínimo establecido en el artículo 34 del citado Reglamento europeo.

Esta comunicación es importante al objeto de que las personas afectadas por la fuga de sus datos estén informados del incidente y de los datos que han sido sustraídos, a fin de que puedan tomar las acciones oportunas para su seguridad, tales como el cambio de contraseñas, la revocación de números de tarjetas, ser especialmente cautelosos con eventuales accesos a sus cuentas de correo, etc. Además, se debe proporcionar algún canal para que los afectados puedan mantenerse informados sobre la evolución del incidente y las distintas recomendaciones que pueda realizar la organización a los afectados, con el objetivo de minimizar las consecuencias”

(Fuente: Agencia Española de Protección de Datos y Guía “Cómo gestionar una fuga de información en un despacho de abogado”).

GUÍA SOBRE PRIVACIDAD Y SEGURIDAD EN INTERNET

La Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) han presentado la

“Guía sobre Privacidad y seguridad en internet”

que tiene por objetivo concienciar a los usuarios de la importancia de proteger su información personal, ofreciendo consejos y recomendaciones prácticas para fomentar e impulsar la cultura de protección de datos entre los ciudadanos, e insistir en la necesidad de que éstos adopten una actitud proactiva en cuanto al hábito de actualizar y ampliar sus conocimientos sobre seguridad, como medida preventiva para usar las nuevas tecnologías con confianza. Y es que son los propios usuarios quienes aportan gran cantidad de información y datos personales al usar la mayoría de los servicios más populares en la Red. Tanto la AEPD como INCIBE consideran que la privacidad y la seguridad son aspectos fundamentales que deben tenerse en cuenta para minimizar los riesgos que pueden llegar a producirse en un mundo hiperconectado.

La guía (que consta de 18 fichas) viene acompañada de seis vídeos tutoriales explicativos en los que se muestra cómo acceder a las configuraciones de privacidad y seguridad de algunos de los servicios más populares de internet.

Éste es el link de acceso a la guía:

https://www.osi.es/sites/default/files/docs/guiaprivacidadseguridadinternet.pdf

Fichas:

  1. Tus dispositivos almacenan mucha información privada ¿Te habías parado a pensarlo?
  2. ¿Por qué son tan importantes las contraseñas?
  3. ¿Son suficientes las contraseñas?
  4. No esperes a tener un problema para realizar copias de seguridad
  5. ¿Será fiable esta página?
  6. ¿Tengo obligación de dar mis datos cuándo me los piden?
  7. ¿Cómo puedo eliminar datos personales que aparecen en los resultados de un buscador?
  8. ¿Cómo puedo usar el navegador para que no almacene todos los pasos que doy por Internet?
  9. ¿Quién puede ver lo que publico en una red social?
  10. Identificando timos y otros riesgos en servicios de mensajería instantánea
  11. Toda la información que se publica en Internet ¿es cierta?
  12. Phishing: el fraude que intenta robar nuestros datos personales y bancarios
  13. ¡Qué le pasa a mi conexión de Internet!
  14. Quiero proteger mi correo electrónico
  15. ¿Qué tengo que tener en cuenta si guardo mi información personal en la nube?
  16. ¿Puedo compartir ficheros por Internet de forma segura?
  17. No tengo claro para qué está utilizando mi hijo Internet, ¿qué puedo hacer?
  18. ¿Las pulseras y relojes que miden la actividad física son seguros?

Vídeos “configuración de privacidad”:

FACEBOOK: https://www.youtube.com/watch?v=xItJJCR7DBw&feature=youtu.be

TWITTERhttps://www.youtube.com/watch?v=NKHGRIfgamU&feature=youtu.be

INSTAGRAM: https://www.youtube.com/watch?v=cIAD2vv72TM&feature=youtu.be

YOU TUBE: https://www.youtube.com/watch?v=cIAD2vv72TM&feature=youtu.be

WHATS APP: https://www.youtube.com/watch?v=RpwRtQN9iv0&feature=youtu.be

SNAPCHAT: https://www.youtube.com/watch?v=H8D7BDnDL9E&feature=youtu.be

ATAQUE HACKER AL SINDICATO DE MOSSOS D’ESQUADRA

La madrugada del pasado 18 de mayo, unos piratas informáticos lanzaron un ataque contra el Sindicat de Mossos d’Esquadra (SME), accediendo a su base de datos y filtrando los datos personales de todos los Mossos d’Esquadra afiliados a este sindicato (casi 5.000) así como tomando el control de la cuenta oficial de Twitter del sindicato y de su sitio web. Y fue por medio de un tweet como se facilitó un archivo con los nombres, apellidos, nº de NIF y de miembro del cuerpo, cuenta bancaria, teléfono personal y dirección particular, entre otros datos personales.

Un día después, el grupo de hackers denominado GrammaGroupPR reivindicó el ataque y colgó un vídeo con todos los pasos que realizaron para infiltrarse en el servidor del sindicato. Por el vídeo que colgaron en YouTube, y en otras plataformas, los piratas informáticos tardaron 40 minutos exactos en infiltrarse en la red y capturar los datos personales de los 5.540 agentes.

Y lo que temían los Mossos d’Esquadra afectados se cumplió tan solo un día después: a una de las agentes le desaparecieron 5.000€ de su cuenta bancaria (dato filtrado y difundido después del ataque en la red). Ahora, la Unidad de Delitos Informáticos de los Mossos d’Esquadra investigará cómo se ha cometido la sustracción, y por quien: si por los mismos hackers que atacaron el sistema del sindicato o bien ha sido obra de alguna persona que aprovechó los datos gracias a la filtración.

A VUELTAS CON “SNAPCHAT”

La aplicación Snapchat funciona de forma similar a una app de mensajería instantánea, permitiéndote añadir contactos y enviarles mensajes en forma de fotos o vídeos de forma individual o a grupos. La principal diferencia es que tú seleccionas el tiempo que el receptor podrá ver ese mensaje (de 1 a 10 segundos) antes de que se destruya.

Según la compañía de ciberseguridad Kaspersky, “…cuando hackean una cuenta de Snapchat, por lo general, el resultado es el envío de un mensaje de spam a todos los contactos de la lista de amigos del usuario. Si descubres que tu cuenta ha sido hackeada, restablece tu contraseña lo antes posible. Y si recibes un mensaje de spam que procede de la cuenta de un amigo, hazle saber lo antes posible que su cuenta ha sido hackeada, ya que, lo más probables es que no lo sepa”.

Kaspersky lleva años advirtiéndolo: las publicaciones de Snapchat no son realmente temporales: la aplicación recoge en sus términos y condiciones que tiene derecho a “almacenar y compartir cualquier foto que se publique en la app“, lo que trae consigo una serie de problemas de privacidad.

Es de vital importancia que se cambie la contraseña de vez en cuando y no reutilizarla. Los usuarios deben ser conscientes de los contenidos que comparten y preguntarse si esa publicación la subirían a otras redes sociales. Además, si a un usuario le gusta compartir cosas cotidianas que realiza a diario, es muy importante que cambie los ajustes de privacidad de la cuenta para que las publicaciones de “Mi historia” solo las puedan ver sus amigos (para no dar “pistas” a los ciberdelincuentes, ya que éstos recopilan información en las redes sociales para estafar y engañar a sus víctimas).

 Kaspersky también advierte de la peligrosidad de conectar a Snapchat aplicaciones de terceros (aplicaciones que no son creadas por la propia Snapchat), pues cabe la posibilidad de que algunas puedan ser aplicaciones espía que se dedican a recopilar fotos privadas.

 

VISUALIZADOS LOS DATOS DE OTROS CONTRIBUYENTES (los del “Borrador” de la Renta 2015)

La noticia pasó casi “de puntillas” por los medios, aunque no por ello deja de tener su importancia.

Y es que, coincidiendo con el inicio de la Campaña de Renta 2015, algunos de los pocos contribuyentes que lograron acceder al colapsado sitio web de la Agencia Tributaria se encontraron con algo realmente sorprendente: llegaron a visualizar el borrador (en formato .pdf) de otras contribuyentes.

La Agencia Tributaria indicó que los casos de cruces de borradores entre contribuyentes al entrar en la herramienta Renta WEB habían sido “muy puntuales y muy limitados” y que, en cuanto se tuvo constancia del error, se desactivó la herramienta de “vista previa”. Según la Agencia, los casos fueron muy pocos, ya que de los 100 servidores con los que cuenta la Agencia Tributaria, este error únicamente se producía cuando en la misma fracción de segundo dos contribuyentes accionaban la pestaña “vista previa”.

Después de tener conocimiento de estos errores, la Agencia Tributaria notificó a la Agencia de Protección de Datos los casos detectados, cumpliendo así con la ley.