Resumen JORNADA PRIBATUA – «500 DÍAS CON EL RGPD DE PLENO EN NUESTRAS VIDAS. Y ¿AHORA QUÉ? ¿CÓMO LO LLEVAMOS?» – #jPRIB2019RGPD

Ayer, 3 de octubre, se celebró por la tarde en el Ilustre Colegio de Abogados de Alava, la Jornada organizada por PRIBATUA sobre el estado de la protección de datos, tras 500 días de implantación a todos los efectos del RGPD.

La primera ponencia corrió a cargo de D. Pedro Alberto González, Delegado de Protección de Datos en la Agencia Vasca de Protección de Datos quien valoró el estado de protección de datos en Euskadi como mejorable, con las lógicas diferencias entre organizaciones.

Ponencia «RGPD 500 días después»

 

 

A continuación,D. Jorge García Herrero, abogado y Delegado de Protección de Datos compartió su visión sobre el Reglamento y ciertas inconsistencias que deben ir solucionándose con el paso del tiempo.

Ponencia «RGPD 500 días y yo con estos pelos»

 

 

 

D. Luis Tarrafeta Sayas, responsable de IT y miembro del Comité Delegado de Protección de Datos del Ayuntamiento de Pamplona expuso la compatibilidad entre lo que propone el RGPD y el ENS. Una frase suya como reflexión «El Cumplimiento no significa Seguridad».

Ponencia «Echando la rueda a andar»

 

Dª. Laura Davara Fdez. de Marcos. Doctora en Derecho y Socia de Davara&Davara, trató sobre el buen uso a nivel corporativo de las Redes Sociales dentro de las diferentes legislaciones existentes, dejando como conclusión que no se presuma por defecto el sentido común de los usuarios en las TIC y menos en las Redes Sociales.

Ponencia «Redes Sociales ¿Redes Legales?»

 

D. Hugo Llanos, Responsable de Proyectos en el Área de Consultoría Tecnológica en LKS, bajó a tareas concretas a acometer desde el punto de vista tecnológico dando un recorrido de la seguridad en los datos estructurados y los no estructurados.

Ponencia «Medidas de seguridad y proactividad»

 

 

Para terminar, como suele ser costumbre, una animada mesa redonda moderada por Dª. Lourdes Oroz, Vicepresidenta de PRIBATUA en la cual los ponentes respondieron a las preguntas y dudas de los asistentes.

En resumen, una buena Jornada con unos ponentes de calidad a los cuales es una gozada escuchar siempre.

 

 

 

 

JORNADA PRIBATUA – «500 DÍAS CON EL RGPD DE PLENO EN NUESTRAS VIDAS. Y ¿AHORA QUÉ? ¿CÓMO LO LLEVAMOS?» – #jPRIB2019RGPD

@PRIBATUA organiza una Jornada para evaluar la transcendencia del RGPD dentro de todas las organizaciones.

Fecha: 2019.ko Urriak 3an – 3 de octubre de 2019

Lugar: Ilustre Colegio de Abogados de Álava     Fray Francisco de Vitoria Ibilbidea, 4 01007 Vitoria-Gasteiz

Horario: de 16:00-19:00 horas

Entrada libre hasta completar aforo

Ponencias:

16:00-16:30 horas

16:30-17:00 horas

17:00-17:30 horas

17:30-18.00 horas

18:00-18:30 horas

    • D. Hugo Llanos, Responsable de Proyectos en el Área de Consultoría Tecnológica en LKS.
      • Medidas de seguridad y proactividad.

18:30-19:00 horas Mesa Redonda moderada por Dª. Lourdes Oroz, Vicepresidenta de PRIBATUA.

 

I Congreso de ISACA en Bilbao

Nos es grato anunciar que PRIBATUA copatrocina el I Congreso de ISACA en Bilbao a celebrar el próximo viernes 10 de Mayo.

En este evento se juntará la comunidad de profesionales de la Auditoría de TI, Ciberseguridad, Riesgos Tecnológicos y Gobierno de TI, residentes en el norte de España. Será una jornada, compuesta por ponencias y mesas redondas con los mejores expertos en cada área, siempre bajo un enfoque práctico y casos de éxito, con la finalidad de conseguir un intercambio de conocimiento esencial y necesario en este tipo de jornadas. Y, por supuesto, habrá tiempo y espacio para networking.

Con las principales empresas, universidades y organismos oficiales.

Más información

 

ICAALAVA – FORMACIÓN RGPD

El Ilustre Colegio de Abogados de Alava (ICAALAVA) organizó el pasado 14 de Junio una formación para sus colegiados sobre los cambios que introduce el Nuevo Reglamento Europeo de Protección de Datos Personales.

La jornada comenzó con el acto de apertura por parte del Decano del Colegio Antón Echevarrieta Zorrilla y una breve introducción de la Directora de la Agencia Vasca de Protección de Datos Personales, Margarita Uría Etxebarría.

 

En la primera ponencia Román Intxaurtieta Madariaga, Letrado Instructor Inspector de la AVPD, trató sobre los «Principios y derechos del RGPD»  para posteriormente entrar en el gran cambio que supone el nuevo reglamento como es  «La Responsabilidad Proactiva en el RGPD».

 

En la segunda parte, Lourdes Oroz y Jon Azkarate, vicepresidenta y presidente de PRIBATUA respectivamente, abordaron la proactividad bajando al lado práctico y con el ejemplo de lo que debe implementar un bufete de abogados, tanto a nivel de medidas organizativas como de medidas de seguridad concretas.

 

 

Por último, agradecer al Ilustre Colegio de Abogados de Alava por la invitación cursada y vista la presencia de más de 100 asistentes, darle igualmente la enhorabuena por la gestión realizada.

 

CHARLA IKASLAN GIPUZKOA – RGPD

Siguiendo con el marco de la colaboración existente entre PRIBATUA e Ikaslan, el día 12 de Junio se celebró una Jornada destinada a los centros FP de Ikaslan Gipuzkoa en el CIFP Usurbil LHII,  sobre los cambios introducidos recientemente por el Nuevo Reglamento Europeo de Protección de Datos Personales (RGPD).

La presentación corrió a cargo de Mikel García Larragán, asociado de PRIBATUA y experto en Protección de Datos, donde además de introducir conceptos genéricos sobre la Protección de Datos Personales, se debatió sobre los roles, responsabilidades, obligaciones y derechos de los Centros de Formación Profesional Vascos dentro del nuevo Reglamento Europeo de Protección de Datos.

 

A juzgar por la presencia y el interés mostrado por los asistentes, estamos satisfechos del trabajo realizado y encantados de seguir colaborando con Ikaslan.

 

Informe CCN-CERT ciberamenazas y tendencias 2018

Como es habitual en la última década, el Centro Criptográfico Nacional (CCN-CERT) publica las nuevas tendencias en lo referente a los incidentes de seguridad dentro del panorama internacional.

 

Como principales datos, se pueden resumir los siguientes:

  • Los estados son la primera fuente de ciberespionaje seguidos a distancia de los ciberdelincuentes que están orientados a la búsqueda del beneficio económico contra las entidades financieras y del ciberterrorismo que actualmente está más enfocado en actividades propagandísticas.
  • Dentro de las tendencias al alza destacan los ataques por Denegación de Servicio (DoS) para producir indisponibilidad; el ciberespionaje para producir conflictos políticos; el ransomware por su  relación facilidad de implantación/beneficio económico y los ataques contra las redes sociales.

 

Hay dos informes disponibles:

CCN-CERT_IA-09-18_Ciberamenazas2017_Tendencias2018_ResumenEjecutivo2018

CCN-CERT IA-09-18 CIBERAMENAZAS Y TENDENCIAS

 

MARISTAK PRESENTA POST CICLO DE CIBERSEGURIDAD

El 19 de Abril del 2018, Maristak-Durango Ikastetxea presentó el primer Post Ciclo de Ciberseguridad de Bizkaia.

En el acto de presentación, arropados por el Basque Cybersecurity Centre, la Diputación de Bizkaia y el Ayuntamiento de Durango expusieron las directrices del Post Ciclo basadas en metodología ETHAZI (retos).

Además difundieron su idea de conseguir en este Post Ciclo una igualdad entre hombre y mujeres como contrapartida a lo que es habitual dentro del mundo tecnológico. Algo que curiosamente no pasa tan acentuadamente en PRIBATUA donde el 40% de los asociados son mujeres y mucho menos en la Junta Directiva con un 66% de participación.

El post-ciclo será homologado por el Gobierno Vasco y tendrá una duración de un año. El requisito para acceder es poseer la titulación de grado superior en sistemas informáticos en la red, desarrollo de aplicaciones web o multiplataforma.

El curso académico empezará en Septiembre, pero ya se pueden empezar a realizar las preinscripciones.

Iniciativas así son de agradecer si queremos que Euskadi sea pionera dentro del mundo de la ciberseguridad.

 

CASO CCLEANER

Sí así es; una aplicación que se encarga de limpiar Windows y detectar posibles agujeros de seguridad ha sido comprometida y no es la primera vez ni será la última que el lado del mal ataca a soluciones aparentemente del lado del bien.

Para los malos evidentemente es una doble victoria el conseguir algo del estilo.

 

CCleaner aplicación del grupo Avast, reconocida por su producto Antivirus, fue atacada en su versión 5.33.6162 como en CCleaner Cloud v1.07.3191 el pasado 15 de Agosto del 2017 afectando a 2,27 millones de equipos y siendo detectado el ataque el 12 de septiembre por investigadores de Cisco Talos.

 

¿Cómo puede ocurrir algo así?

Los desarrolladores de este tipo de software firmar digitalmente las aplicaciones y así el usuario final puede verificar que se trata de un software legítimo.

Pero si un atacante consigue interceptar esta firma, bien mediante un simple robo o bien rompiendo la seguridad de la misma, puede incluir malware y hacerlo pasar como parte de la aplicación global.

Una vez que los usuarios se descargan las aplicaciones desde los servidores corporativos de descarga , el malware llega a los dispositivos de los usuarios.

En el caso concreto de CCleaner además de descargarse la aplicación de limpieza de Windows, el instalador incorporaba un payload “Domain Generation Algorithm“ que se conectaba a un servidor C&C (mando y control) para controlar remotamente el malware.

Según estudios realizados todo indica a que ha sido un experto grupo de hackers chinos, Axiom  el causante de la infección y que consiguieron infiltrarse en la red de Avast cinco meses antes de ejecutar el ataque, mediante la solución de acceso remoto TeamViewer al haberse apoderado de credenciales existentes en la deep web que permitieron conectarse a una estación de trabajo desatendida.

Desde esta estación de trabajo saltaron a un segundo equipo desatendido en el que habilitaron una puerta trasera en el Escritorio Remoto de Windows (RDP).

A partir de aquí empezaron a desarrollar y depurar una primera versión de malware que ya infectaba ordenadores con el objetivo de robar datos y acceder a privilegios de administrador. Con ese acceso ya pudieron robar las firmas y preparar la versión definitiva del malware

Evidentemente su profesionalidad llegaba a conseguir que el payload descargado no se eliminase actualizando el propio software CCleaner y la solución pasaba por instalar otro antimalware.

 

¿Qué podemos hacer para prevenir algo parecido?

Por un lado está la obligación de una empresa de seguridad de proteger sus activos mediante una estrategia de seguridad corporativa. El estudio demuestra que había equipos desatendidos que fueron los primeros comprometidos; que había credenciales de brechas de seguridad que seguían siendo válidas, que la propia organización no fue capaz de detectar el ataque y que el mismo empezó a generarse 6 meses antes de su descubrimiento; lo cual no hace más que poner en duda dicha estrategia.

En resumen, la empresa estaba muy centrada en el desarrollo de su producto sin mostrar tanto afán en realizar ciertas tareas de seguridad en la propia organización. Nos puede venir a la mente el famoso dicho de «En casa de herrero …..»

 

Desde el punto de vista del afectado, el usuario final, la única forma de hacer frente a estas amenazas es el uso de varios sistemas antimalware y una serie de acciones recomendadas hasta la saciedad:

  • No vale con tener un antivirus, por supuesto actualizado y con su correspondiente licencia. Las opciones free no son muy recomendadas por no incorporar análisis de patrones de acciones.
  • Hay que incorporar a cualquier dispositivo, sea equipo de sobremesa, portátil, tablet o móvil un firewall que nos permita protegernos de ataques externos y de accesos no autorizados desde el propio dispositivo y que nos informe de ello.
  • Actualización de los sistemas mediante los parches de seguridad del fabricante.
  • Realización de copias de seguridad con frecuencia de los datos importantes.
  • Concienciación del posible desastre a evitar.

 

 

 

ESCUELA PROFESIONAL DE CIBERSEGURIDAD INDUSTRIAL

El Centro de Ciberseguridad Industrial ha organizado una ESCUELA PROFESIONAL DE CIBERSEGURIDAD INDUSTRIAL con una serie de talleres y cursos que se pueden visualizar en el documento adjunto.

Dentro del convenio existente entre PRIBATUA y CCI, los precios para los Asociados de PRIBATUA de los talleres tendrían un precio de 300 € y las sesiones de inmersión 175 €.

 

Animaros de verdad, porque la oportunidad merece la pena cuando estamos hablando del CCI y una realidad como es la ciberseguridad industrial.

 

El “estudio en compañía” del nuevo Reglamento de Protección de Datos. Jornada en el MICAP.

El mes pasado (marzo 2018) presentamos las conclusiones del estudio del Nuevo Reglamento Europeo de Protección de Datos Personales en una jornada celebrada en la sala de conferencias del Colegio de Abogados de Pamplona.

La fase final de este trabajo de «estudio en compañía», que iniciamos el pasado jueves y tendrá continuidad en otras jornadas que realizaremos en breve, resultó muy interesante.

Se confirman las ventajas de compartir y no competir, han sido meses de trabajo en los que hemos ganado todos; la única competencia la hemos tenido con nosotros mismos para aprender y mejorar el conocimiento del reglamento.

Nos hemos descubierto profesionalmente y hemos hecho compañeros de estudio y reflexión.

Desde la Asociación PRIBATUA dejamos abierto el resultado del trabajo que empezamos hace meses, el grupo ha ido tomando su propio rumbo y el resultado no ha podido ser mejor.

Solamente nos queda nombrar, por hacer justicia de su trabajo, a las personas componentes del Grupo de Trabajo que no figuran en el texto de la  noticia adjunta del colegio:

  • Carolina Goñi, asociada de PRIBATUA, y miembro de la Junta directiva, por su orden y redacción de las actas que nos han permitido tener el guión del trabajo, además de las aportaciones profesionales de estudio.
  • Ana Cebollada que desde su posición de aprendiz ha aportado su trabajo y otra visión mas fresca.
  • Ana Hueso que desde el mundo de la archivística nos hizo ver otra faceta de este reglamento que ignorábamos.

A todas ellas mil gracias.

http://www.micapinforma.com/2018/03/el-estudio-en-compania-del-nuevo.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+MicapGabineteDeComunicacinOnline+%28MICAP+Gabinete+de+Comunicaci%C3%B3n+online%29