La GDPR en ciberseguridad y fraude online

Publicado por Eva Moya - 31/01/2018

En pocas semanas, Europa activará la nueva ley de protección de datos GDPR (General Data Protection Regulation) que pretende unificar el tratamiento de los datos de carácter personal en los países miembros para proteger la privacidad de los ciudadanos europeos.

Es importante recordar que el alcance de esta ley no es sólo territorial, pues tiene por objetivo proteger los datos de los europeos allá donde estén alojados. Esto significa que aquellas compañías u organizaciones que operen con este tipo de datos también se verán obligadas a cumplir con la GDPR.

La GDPR 

Para empezar, planteemos algunos datos clave a tener en cuenta:

  • Entrada en vigor: Mayo 2018.
  • Objetivo: protección de la privacidad de los ciudadanos europeos, a través de la protección de datos de carácter personal. Para conseguirlo habrá que tomar decisiones tanto a nivel organizativo como a nivel técnico y de tecnología.
  • ¿Qué es un dato personal?: según el Artículo 4 de la ley, es “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
  • Alcance: todo tipo de organizaciones públicas y privadas (incluyendo las de tipo científico como universidades y laboratorios).
  • Consentimiento: el consentimiento del tratamiento de los datos debe poder demostrarse, por tanto, ya no sirven los consentimientos por omisión.
  • Penalización: la máxima penalización en caso de una brecha de datos está en el 4% de la facturación global o 20 millones de euros.
  • Transparencia: en caso de brecha de datos, las organizaciones están obligadas a comunicar que ha tenido lugar una “brecha”, qué datos se han visto afectados y cuáles son las consecuencias antes de 72 horas. También se pedirá incluir evidencias de cómo se ha intentado mitigar.
  • Preguntas frecuentes: https://www.eugdpr.org/gdpr-faqs.html
  • Descarga de la ley: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679

Respecto a la aplicación de la ley hay que hablar de dos actores muy relevantes que entran en juego y que la ley define en el artículo 4 como: 

  • Data Processor o encargado del tratamiento: “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Un ejemplo claro de “data processor” sería un proveedor de servicios en nube o cloud computing donde pueden llegar a estar alojados los datos de carácter personal en un momento dado.
  • Data Controller o responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”. Por tanto, son todas aquellas organizaciones que vayan a dar un uso determinado a esos datos.



¿Cómo afecta la GDPR en el ámbito de la ciberseguridad y el fraude online?

El sector de la ciberseguridad cobra especial protagonismo dada su capacidad para desplegar todo tipo de medidas que eviten el impacto de las diferentes amenazas que puedan afectar a los datos a proteger.

El sector, despega definitivamente en el 2018, no sólo por la nueva ley, sino porque distintos organismos internacionales, como el propio World Economic Forum consideran ya las ciberamenazas como una de las amenazas más graves a nivel mundial.

gpdr-02.png

De hecho, según el último informe de ENISA , entre las 15 ciberamenazas más frecuentes acaecidas durante el 2017 se encuentran varias relacionadas con la filtración de datos, o con la suplantación de identidad como por ejemplo las campañas de phishing o spam para conseguir credenciales bancarias. Así pues, aunque el cumplimiento de la GDPR pudiera parecer farragoso, representa una gran oportunidad para las organizaciones.

gpdr-01.png

Todo robo de datos y/o de identidad implica un riesgo, cuando más, esos datos están relacionados con un número de cuenta o de tarjeta que pueden facilitar el robo de dinero a través de su uso fraudulento en la banca online.

En este sentido, resulta relevante recordar, que en el trasfondo de esta ley, se observa la necesidad de que las organizaciones contemplen una buena estrategia de gestión del riesgo que permita aplicar medidas apropiadas en todo el ciclo de vida de la ciberamenazas. Por tanto, la simple compra de herramientas de ciberseguridad no permite, per se, dar cumplimiento a la ley, pues si la organización no ha realizado un análisis profundo de las amenazas, puede dejar sin proteger una parte del proceso. De ahí que la ley haga hincapié en las dos capas de niveles de seguridad: organizacional y técnica.

Cabe recordar que la ley obliga a poner todas las medidas necesarias para evitar el impacto de la amenaza, por tanto, una buena estrategia permitirá descubrir puntos ciegos que quizá no se habían contemplado.

Una vez con la estrategia definida, será más fácil determinar el portfolio de servicios y herramientas que se necesitan para cumplir con la misma, y lo más importante, para proteger a nuestros usuarios.

En este punto es donde las nuevas tecnologías, como la biometría del comportamiento o el deep learning permiten dar soluciones más eficaces y eficientes. Y más, para el caso del fraude en banca online, donde se manejan datos tan sensibles que pueden terminar con el robo del dinero de un cliente o en el máximo de multa en caso de incumplimiento de la GDPR.

Estas nuevas tecnologías surgen precisamente con la intención de dar solución a la nueva problemática criminal, y por ende, facilitan a los responsables de los datos cumplir con su cometido y/o cuando menos, evidenciar que se han puesto todas las medidas al alcance para la mitigación.

En definitiva, el sector de la ciberseguridad se convierte así en uno de los grandes afectados por la GDPR, pues será responsable de la protección adecuada de los datos de las organizaciones. Pero a la vez, la propia ley impulsa una reflexión seria sobre las medidas y herramientas que permitirán una mayor protección y ofrecer un mejor servicio a los ciudadanos.

Deep Learning for Online Fraud Prevention

 

Temas: GDPR

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more