NEWSLETTER 22FEB2020
"Brechas de Seguridad y Fuga de Información"
La gran mayoría de las instituciones del Sector Salud procesan y almacenan información de la salud de los pacientes, que se compone de datos sensibles de los pacientes como historial médico, fichas, números de seguros, datos financieros personales y mas. Sin duda, esta información sensible atrae gran atención de los “Malos Actores” (ciberdelincuentes) que tienen como objetivo explotarlos para obtener un beneficio económico.
Las implicaciones jurídicas de la mHealthCOM SALUD
por Ana Caballero, abogada especialista en Tecnologías de la Información, protección de datos y eSalud en la jornada de Reputación Sanitaria Digital #eHealthNET (16/09/2015)
Mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención.
La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante Tratamiento) por parte de entidades de naturaleza pública y privada.
En la siguiente presentación, establecemos la visión del lado del Ingeniero, no solo Jurídico, puesto que la Ley nos dice que debemos hacer, mas no como hacerlo, de esta forma brindamos un Plan de Acción para la aplicabilidad de la Ley alineado a las buenas practicas que garanticen la seguridad, calidad y cumplimiento de la Legislación Colombiana.
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...genesismarialyortiz
El documento discute la importancia de aplicar la ley contra delitos informáticos en el sector privado. Primero, explica que la aplicación efectiva de estas leyes es crucial para garantizar la seguridad de los datos de las empresas y prevenir el uso indebido de la tecnología. Segundo, señala que adoptar medidas legales es cada vez más necesario debido al aumento de los ciberataques y el avance de la tecnología. Tercero, destaca que esto no solo protege la información de las empresas, sino que también promueve la confianza de los client
El documento presenta información sobre la ética profesional y responsabilidad legal en relación al VIH/SIDA. Discuten las leyes chilenas sobre prevención del VIH, no discriminación, y protección de datos personales. Señala que los resultados de exámenes de VIH deben mantenerse confidenciales y que los establecimientos de salud no pueden negar atención a personas con VIH. Los datos sensibles como el estado de salud deben tratarse con privacidad según la ley de protección de datos.
A nivel global, el robo de información ha crecido en los últimos años propagándose a diferentes empresas e instituciones, y la industria de la salud que a través de las prácticas médicas procesa información personal y sensible está cada día más expuesta a este delito que aumenta el riesgo a la privacidad y a la integridad de los datos de salud.
Pechakucha con algunos aspectos de interés sobre la Ley Orgánica de Protección de Datos (LOPD), recomendaciones de la Agencia Española de Protección de Datos y enlaces a las Guías para los Centros Educativos.
Este manual establece las políticas y procedimientos de WIN SPORTS S.A.S. para el tratamiento de datos personales de acuerdo con la ley colombiana. Explica conceptos como datos personales, tipos de datos, quiénes son responsables de proteger los datos, y los procedimientos para recolectar, almacenar y usar datos personales de una manera legal y ética. Además, describe los derechos de los titulares de datos y cómo pueden acceder o rectificar su información personal.
Ponencia XIII Congreso Derecho Informatico, LimaRominaGarrido
Ponencia realizada en el XIII Congreso de Derecho e Informatico, organizado por la FIADI y la Universidad de Lima. Tema: Tratamiento de datos por organismos públicos bajo la ley chilena de protección a la vida privada y la ley de acceso a la información.
Las implicaciones jurídicas de la mHealthCOM SALUD
por Ana Caballero, abogada especialista en Tecnologías de la Información, protección de datos y eSalud en la jornada de Reputación Sanitaria Digital #eHealthNET (16/09/2015)
Mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención.
La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante Tratamiento) por parte de entidades de naturaleza pública y privada.
En la siguiente presentación, establecemos la visión del lado del Ingeniero, no solo Jurídico, puesto que la Ley nos dice que debemos hacer, mas no como hacerlo, de esta forma brindamos un Plan de Acción para la aplicabilidad de la Ley alineado a las buenas practicas que garanticen la seguridad, calidad y cumplimiento de la Legislación Colombiana.
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...genesismarialyortiz
El documento discute la importancia de aplicar la ley contra delitos informáticos en el sector privado. Primero, explica que la aplicación efectiva de estas leyes es crucial para garantizar la seguridad de los datos de las empresas y prevenir el uso indebido de la tecnología. Segundo, señala que adoptar medidas legales es cada vez más necesario debido al aumento de los ciberataques y el avance de la tecnología. Tercero, destaca que esto no solo protege la información de las empresas, sino que también promueve la confianza de los client
El documento presenta información sobre la ética profesional y responsabilidad legal en relación al VIH/SIDA. Discuten las leyes chilenas sobre prevención del VIH, no discriminación, y protección de datos personales. Señala que los resultados de exámenes de VIH deben mantenerse confidenciales y que los establecimientos de salud no pueden negar atención a personas con VIH. Los datos sensibles como el estado de salud deben tratarse con privacidad según la ley de protección de datos.
A nivel global, el robo de información ha crecido en los últimos años propagándose a diferentes empresas e instituciones, y la industria de la salud que a través de las prácticas médicas procesa información personal y sensible está cada día más expuesta a este delito que aumenta el riesgo a la privacidad y a la integridad de los datos de salud.
Pechakucha con algunos aspectos de interés sobre la Ley Orgánica de Protección de Datos (LOPD), recomendaciones de la Agencia Española de Protección de Datos y enlaces a las Guías para los Centros Educativos.
Este manual establece las políticas y procedimientos de WIN SPORTS S.A.S. para el tratamiento de datos personales de acuerdo con la ley colombiana. Explica conceptos como datos personales, tipos de datos, quiénes son responsables de proteger los datos, y los procedimientos para recolectar, almacenar y usar datos personales de una manera legal y ética. Además, describe los derechos de los titulares de datos y cómo pueden acceder o rectificar su información personal.
Ponencia XIII Congreso Derecho Informatico, LimaRominaGarrido
Ponencia realizada en el XIII Congreso de Derecho e Informatico, organizado por la FIADI y la Universidad de Lima. Tema: Tratamiento de datos por organismos públicos bajo la ley chilena de protección a la vida privada y la ley de acceso a la información.
La presentación describe el marco legal de la privacidad, la identidad digital y la protección de datos personales en el sector salud de Colombia. - Propertyrights de Colombia Ltda. - relaciones creativas entre derecho, educación y tecnología - www.propertyrights.co -
La Superintendencia de Industria y Comercio impuso a Colmedica una multa de 1.034 millones de pesos por incumplir sus deberes de proteger la información personal de sus usuarios. La investigación encontró que los datos personales y médicos de 30 pacientes, incluidos 3 menores, estuvieron disponibles públicamente en el sitio web de Colmedica sin restricciones de acceso. Colmedica no tomó las medidas de seguridad adecuadas ni informó a las autoridades sobre la violación, lo que vulneró los principios de privacidad y seg
El documento resume la Ley de Privacidad de Datos de México. La ley fue creada para regular la protección de datos personales en poder de particulares y empresas, equilibrando los derechos de privacidad de los individuos con los derechos de uso de datos de las empresas. Algunos puntos clave incluyen la clasificación y protección de datos sensibles, la designación de un encargado de privacidad y la facultad del Instituto Federal de Acceso a la Información para auditar mecanismos de protección de datos.
En la actualidad, vivimos en un mundo altamente conectado y digitalizado, donde la información personal se recopila, se comparte y se utiliza en diversas plataformas y servicios en línea. Por lo tanto, proteger nuestra privacidad y salvaguardar nuestros datos personales se ha vuelto esencial para preservar nuestra seguridad, autonomía y dignidad.
La protección de nuestra privacidad, la prevención del uso indebido de nuestra información y la promoción de la confianza en la economía digital son razones fundamentales para asegurar la protección adecuada de nuestros datos personales. Asimismo, la implementación de regulaciones y la adhesión a principios éticos son elementos clave para garantizar una sociedad digital segura y responsable.
Ciberseguridad en el Sector Salud | CISObeat WebinarCISObeat
Allison Lara & Adataliz Castillo
Fundadoras de Peruvian Community of CyberWomen
@PCCyberW
Pueden ver el video en:
https://www.youtube.com/watch?v=miP7Pn3TNh8&t=6s
Este documento discute la diferencia entre seguridad de la información y protección de datos. La seguridad de la información se enfoca en evitar la pérdida o modificación no autorizada de datos, mientras que la protección de datos se enfoca en evitar el abuso de información personal. Aunque las medidas de protección son similares, los motivos son diferentes: la seguridad de la información busca proteger los intereses de la institución que maneja los datos, mientras que la protección de datos busca cumplir con obligaciones legales y éticas de proteger la priv
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...Emisor Digital
Este documento resume una presentación sobre la protección de datos personales y el gobierno electrónico. La presentación cubre (1) la definición de protección de datos personales, (2) la definición de gobierno electrónico, (3) las oportunidades y riesgos de la intersección entre protección de datos y gobierno electrónico, (4) el marco legal y reglamentario relevante, (5) la realidad actual de la protección de datos en la administración chilena, y (6) el futuro de la protección de datos en la administra
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento discute la importancia de la seguridad y privacidad de la información en los sistemas informáticos. Explica que la Ley Orgánica de Protección de Datos establece límites para el tratamiento y almacenamiento de datos personales. También analiza los riesgos comunes a la seguridad de los sistemas como virus, intrusos, empleados malintencionados y propone medidas para proteger la confidencialidad, integridad, disponibilidad y consistencia de la información.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la información contenida en los sistemas es vital y debe ser protegida de acceso no autorizado y alteraciones, según la Ley de Protección de Datos. También analiza los principales riesgos como virus, hackers y ataques masivos, e identifica medidas de seguridad físicas, informáticas y organizativas para reducir estos riesgos y cumplir con la ley.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la información contenida en los sistemas es vital y debe ser protegida de acceso no autorizado. Señala que la seguridad implica proteger la confidencialidad, integridad y disponibilidad de la información mediante análisis de riesgos y medidas técnicas, organizativas y legales como la LOPD.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para garantizar la seguridad en los sistemas.
en esta lectura que realizamos en parejas vimos acerca de los análisis de riesgo y sobre el marco entre otros conceptos y posteriormente realizamos un mapa en el cual explicamos estos conceptos.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para garantizar la seguridad en los sistemas.
La presentación describe el marco legal de la privacidad, la identidad digital y la protección de datos personales en el sector salud de Colombia. - Propertyrights de Colombia Ltda. - relaciones creativas entre derecho, educación y tecnología - www.propertyrights.co -
La Superintendencia de Industria y Comercio impuso a Colmedica una multa de 1.034 millones de pesos por incumplir sus deberes de proteger la información personal de sus usuarios. La investigación encontró que los datos personales y médicos de 30 pacientes, incluidos 3 menores, estuvieron disponibles públicamente en el sitio web de Colmedica sin restricciones de acceso. Colmedica no tomó las medidas de seguridad adecuadas ni informó a las autoridades sobre la violación, lo que vulneró los principios de privacidad y seg
El documento resume la Ley de Privacidad de Datos de México. La ley fue creada para regular la protección de datos personales en poder de particulares y empresas, equilibrando los derechos de privacidad de los individuos con los derechos de uso de datos de las empresas. Algunos puntos clave incluyen la clasificación y protección de datos sensibles, la designación de un encargado de privacidad y la facultad del Instituto Federal de Acceso a la Información para auditar mecanismos de protección de datos.
En la actualidad, vivimos en un mundo altamente conectado y digitalizado, donde la información personal se recopila, se comparte y se utiliza en diversas plataformas y servicios en línea. Por lo tanto, proteger nuestra privacidad y salvaguardar nuestros datos personales se ha vuelto esencial para preservar nuestra seguridad, autonomía y dignidad.
La protección de nuestra privacidad, la prevención del uso indebido de nuestra información y la promoción de la confianza en la economía digital son razones fundamentales para asegurar la protección adecuada de nuestros datos personales. Asimismo, la implementación de regulaciones y la adhesión a principios éticos son elementos clave para garantizar una sociedad digital segura y responsable.
Ciberseguridad en el Sector Salud | CISObeat WebinarCISObeat
Allison Lara & Adataliz Castillo
Fundadoras de Peruvian Community of CyberWomen
@PCCyberW
Pueden ver el video en:
https://www.youtube.com/watch?v=miP7Pn3TNh8&t=6s
Este documento discute la diferencia entre seguridad de la información y protección de datos. La seguridad de la información se enfoca en evitar la pérdida o modificación no autorizada de datos, mientras que la protección de datos se enfoca en evitar el abuso de información personal. Aunque las medidas de protección son similares, los motivos son diferentes: la seguridad de la información busca proteger los intereses de la institución que maneja los datos, mientras que la protección de datos busca cumplir con obligaciones legales y éticas de proteger la priv
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...Emisor Digital
Este documento resume una presentación sobre la protección de datos personales y el gobierno electrónico. La presentación cubre (1) la definición de protección de datos personales, (2) la definición de gobierno electrónico, (3) las oportunidades y riesgos de la intersección entre protección de datos y gobierno electrónico, (4) el marco legal y reglamentario relevante, (5) la realidad actual de la protección de datos en la administración chilena, y (6) el futuro de la protección de datos en la administra
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento discute la importancia de la seguridad y privacidad de la información en los sistemas informáticos. Explica que la Ley Orgánica de Protección de Datos establece límites para el tratamiento y almacenamiento de datos personales. También analiza los riesgos comunes a la seguridad de los sistemas como virus, intrusos, empleados malintencionados y propone medidas para proteger la confidencialidad, integridad, disponibilidad y consistencia de la información.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la información contenida en los sistemas es vital y debe ser protegida de acceso no autorizado y alteraciones, según la Ley de Protección de Datos. También analiza los principales riesgos como virus, hackers y ataques masivos, e identifica medidas de seguridad físicas, informáticas y organizativas para reducir estos riesgos y cumplir con la ley.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para asegurar la seguridad en los sistemas.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la información contenida en los sistemas es vital y debe ser protegida de acceso no autorizado. Señala que la seguridad implica proteger la confidencialidad, integridad y disponibilidad de la información mediante análisis de riesgos y medidas técnicas, organizativas y legales como la LOPD.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para garantizar la seguridad en los sistemas.
en esta lectura que realizamos en parejas vimos acerca de los análisis de riesgo y sobre el marco entre otros conceptos y posteriormente realizamos un mapa en el cual explicamos estos conceptos.
El documento trata sobre la seguridad y privacidad en los sistemas informáticos. Explica que la informatización ha traído mejoras pero también nuevos riesgos relacionados con el acceso no autorizado a información personal. Aborda la importancia de garantizar la seguridad de la información para protegerla de accesos, alteraciones o pérdidas no deseadas, así como la privacidad de los datos personales. Finalmente, analiza los principales riesgos y medidas para garantizar la seguridad en los sistemas.
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxOsiris Urbano
Evaluación de principales hallazgos de la Historia Clínica utiles en la orientación diagnóstica de Hemorragia Digestiva en el abordaje inicial del paciente.
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARIS”. Esta actividad de aprendizaje propone el reto de descubrir el la secuencia números para abrir un candado, el cual destaca la percepción geométrica y conceptual. La intención de esta actividad de aprendizaje lúdico es, promover los pensamientos lógico (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia y viso-espacialidad. Didácticamente, ésta actividad de aprendizaje es transversal, y que integra áreas del conocimiento: matemático, Lenguaje, artístico y las neurociencias. Acertijo dedicado a los Juegos Olímpicos de París 2024.
En la ciudad de Pasto, estamos revolucionando el acceso a microcréditos y la formalización de microempresarios informales con nuestra aplicación CrediAvanza. Nuestro objetivo es empoderar a los emprendedores locales proporcionándoles una plataforma integral que facilite el acceso a servicios financieros y asesoría profesional.
Business Plan -rAIces - Agro Business Techjohnyamg20
Innovación y transparencia se unen en un nuevo modelo de negocio para transformar la economia popular agraria en una agroindustria. Facilitamos el acceso a recursos crediticios, mejoramos la calidad de los productos y cultivamos un futuro agrícola eficiente y sostenible con tecnología inteligente.
2. Brechas de Seguridad
y Fuga de Información
NEWSLETTER
22FEB2020
Giovani Becerra Cerda
CEO & Owner | Inntesec
M : +569 8921 7125
E : gbecerra@inntesec.com
W : www.inntesec.com
3. La gran mayoría de las instituciones del
Sector Salud procesan y almacenan infor-
mación de la salud de los pacientes, que
se compone de datos sensibles de los pa-
cientes como historial médico, fichas, nú-
meros de seguros, datos financieros perso-
nales y más. Sin duda, esta información
sensible atrae gran atención de los “Ma-
los Actores” (ciberdelincuentes) que tie-
nen como objetivo explotarlos para obte-
ner un beneficio económico.
Según un reporte sobre violaciones (bre-
chas) de seguridad y de datos en el Sec-
tor Salud realizado por “Bitglass” analiza
los datos del "Muro de la vergüenza" del
Departamento de Salud de los Estados
Unidos. La base de datos incluye la infor-
mación de salud de los pacientes y que di-
chas violaciones que en conjunto afecta-
ron a más de 27 millones de personas.
Estas violaciones se dividen en las siguien-
tes categorías:
1. Incidentes de hacking y de TI: Viola-
ciones de seguridad relacionados con
“Malos Actores” (hackers) y con una
seguridad TI inadecuada.
2. Acceso no autorizado o exposición:
Acceso total no autorizado y divulga-
ción de información médica protegida.
3. Pérdida o robo: Violaciones de seguri-
dad causados por la pérdida o el robo
de dispositivos EndPoint.
Otros: Varias violaciones y fugas relaciona-
das con elementos como la eliminación
inadecuada de los datos.
Hallazgos Claves
A pesar de la disminución del número
de violaciones por año, el recuento de
las violaciones alcanzadas en el Sector Sa-
lud llegó a 386 en 2019, un aumento del
33% desde 2018 (290).
El promedio de personas afectadas por
cada violación alcanzó 71.311 en 2019,
casi el doble que en 2018 (39.739).
El número total de exfiltración de regis-
tros se ha duplicado con creces cada
año; de 4,7 millones en 2017 a 11,5 millo-
nes en 2018, y a 27,5 millones en 2019.
Los incidentes de hacking y de TI
(60,6%) fueron la principal causa de viola-
ciones en el Sector Salud en 2019, un au-
mento dramático desde el 45,8% en 2018.
Los dispositivos EndPoint perdidos y ro-
bados provocan cada vez menos violacio-
nes cada año, pasando de 148 en 2014 a
42 en 2019.
2
4. En 2019, los incidentes provocados por los “Malos Acto-
res” (hackers) y los incidentes de seguridad TI provoca-
ron el 60,6% de las violaciones en el Sector Salud. En rela-
ción con otras causas de violaciones, esta categoría impactó
a un porcentaje excesivo de personas (86,7%), lo que signifi-
ca que estas fugas fueron mayores en promedio. Cerca de 24
millones de personas afectadas por violaciones en el sector
salud vieron su información expuesta por incidentes de
hacking y de TI, mientras que todas las demás categorías
combinadas afectaron a 3,6 millones. Esto significa que el he-
cho de no proteger los datos en los entornos de TI puede per-
mitir infracciones a gran escala.
Análisis de Violación
de Datos 2019
3
5. Aunque los dispositivos EndPoint perdidos y robados pueden
haber sido las principales razones de las violaciones en 2014,
las amenazas que prevalecen hoy en día con mayor fuerza
son el Hacking y los Incidentes de seguridad TI. Estas cate-
gorías, cuyo impacto han ido creciendo cada año, aumenta-
ron exponencialmente en 2019. A medida que las organizacio-
nes sigan adoptando la migración a la nube y la transforma-
ción digital, es probable que esta tendencia continúe. Por
ello, las organizaciones del Sector Salud deben aprovechar
las herramientas adecuadas para proteger con éxito los regis-
tros de los pacientes y responder al creciente volumen de
amenazas a sus ecosistemas de TI.
23.862.875 fueron los incidentes de Hacking y de TI, afecta-
ron a más personas que cualquier otra causa de violaciones
en 2019 (como lo han hecho cada año desde 2015).
Las Violaciones de
Seguridad aumentan
año tras año
4
6. Según datos del Instituto Ponemon, el costo por registro de
una violación de datos en el Sector Salud ascendió a USD
429 en 2019. Este es el costo por registro mas alto de cual-
quier industria, el Sector Financiero se encuentra en segundo
lugar con un costo por registro de USD 210 y el Sector Go-
bierno se encuentra en el último lugar con un costo por regis-
tro de USD 78. Además, USD 429 representan un aumento
del 3,5% con respecto a 2018 y un aumento del 11,4% desde
2017.
El problema anterior se agrava por el hecho de que las Insti-
tuciones del Sector Salud tardaron un promedio de 236 días
en identificar las violaciones de datos (es el tiempo más largo
para cualquier industria) y un promedio de 93 días en conte-
nerlas (también el tiempo más largo para cualquier industria).
Combinando el costo por registro de una violación de datos y
el número total de registros expuestos, se puede calcular el
costo total de violación del Sector Salud para cada año. Co-
mo se muestra aquí, se pierden miles de millones de dóla-
res anualmente debido a una ciberseguridad inadecuada
en el Sector Salud. Como se puede ver a continuación, el nú-
mero de violaciones, así como el costo total en 2019 más que
se duplicó desde 2018.
El Costo de las
Violaciones de Datos
en 2019
5
7.
8. Legislación y Realidad Chilena
Modificaciones posteriores a
la promulgación de la Ley
19.628
La Ley 19.628 ha sido objeto de una serie
de modificaciones. La mayoría de estas
han tenido por objeto remediar ciertas si-
tuaciones de discriminación o vulneración
que sufrían las personas debido al tráfico
de sus datos personales por parte de em-
presas. Sin embargo, ninguna de estas
modificaciones supuso una reforma inte-
gral a la ley, ni se abocó a suplir de mane-
ra general algunas de sus falencias estruc-
turales. Es por esto que pueden ser catalo-
gadas como “leyes parche”.
Ley 20.575
Promulgada el 14 de febrero de 2012, es
quizás la modificación más importante
que ha sufrido la Ley 19.628. La ley cuen-
ta con dos partes: los artículos 1o a 6o
constituyen un cuerpo normativo indepen-
diente, mientras que los artículos 7o y 8o
7
9. modifican la Ley 19.628. El principal méri-
to de esta ley fue consagrar en la legisla-
ción chilena el principio de finalidad, anali-
zado más adelante. Vale la pena mencio-
nar que esta legislación tuvo el propósito
expreso de evitar el abuso en el tratamien-
to de datos personales por parte de distin-
tas entidades, al punto que la prensa la de-
nominó como “Ley DICOM” (El Mostrador,
2012), en alusión a las prácticas de quie-
nes utilizaban los datos consignados en
Equifax, heredera de la antigua empresa
dedicada al tratamiento de datos e infor-
mación de carácter comercial.
Categorías de datos y defini-
ción de banco de datos en la
Ley 19.628
Como es común en la legislación compara-
da sobre datos personales, la Ley 19.628
contempla la definición de ciertos concep-
tos, incluyendo las distintas acepciones
de “datos”. Siguiendo a Cerda (2012), “da-
to” puede ser entendido como una “uni-
dad básica de información cuando la infor-
mación que porta el dato es relativa a una
persona determinada o susceptible de ser-
lo, se denomina dato personal o dato nomi-
nativo, esto es, una unidad de información
que se predica de persona determinada o
determinable”.
La ley define cuatro categorías de datos:
1. Dato de carácter personal o datos
personales: “son aquellos relativos a
cualquier información concerniente a
personas naturales, identificadas o
identificables”.
2. Datos sensibles: “aquellos datos per-
sonales que se refieren a las caracte-
rísticas físicas o morales de las perso-
nas o a hechos o circunstancias de su
vida privada o intimidad, tales como
los hábitos personales, el origen ra-
cial, las ideologías y opiniones políti-
cas, las creencias o convicciones reli-
giosas, los estados de salud físicos o
psíquicos y la vida sexual”.
3. Dato caduco: “aquel que ha perdido
actualidad por disposición de la ley,
por el cumplimiento de la condición o
la expiración del plazo señalado para
su vigencia o, si no hubiese norma ex-
presa, por el cambio de los hechos o
circunstancias que consigna”.
4. Dato estadístico: “el dato que, en su
origen, o como consecuencia de su
tratamiento, no puede ser asociado a
un titular identificado o identificable.
Este último queda, por tanto, fuera del
ámbito de aplicación de la ley”.
8
10. Calidad de los Datos
Este principio se encuentra recogido en el
inciso segundo del artículo 9 de la Ley
19.628, el que establece que la informa-
ción los datos personales debe ser exac-
ta, actualizada y responder con veracidad
a la situación real de su titular. La contra-
vención a esta obligación da lugar a que
este solicite que los datos sean modifica-
dos, bloqueados o eliminados.
Protección especial de los da-
tos sensibles
El legislador ha optado por entregar un ni-
vel especial de protección a ciertos datos
personales que, en atención a su naturale-
za, son considerados de carácter sensi-
ble. Entre ellos se encuentran aquellos da-
tos personales que se refieren a las carac-
terísticas físicas o morales de las perso-
nas, o a hechos o circunstancias de su vi-
da privada o intimidad, tales como los há-
bitos personales, el origen racial, las ideo-
logías y opiniones políticas, las creencias
o convicciones religiosas, los estados de
salud físicos o psíquicos y la vida sexual.
Por lo mismo, la definición de dato perso-
nal es de carácter amplio y la definición
de dato sensible hace referencia a hechos
o circunstancias relativas a la intimidad o
la vida privada. El tratamiento de los datos
sensibles es particularmente propenso a
lesionar derechos fundamentales del afec-
tado, situación por la cual el legislador ha
optado por otorgarle un nivel de resguar-
do mayor.
Atendidas estas circunstancias, el legisla-
dor decidió invertir la regla aplicable a los
datos personales y establecer que el trata-
miento de datos de carácter sensible se
encuentra, en principio, prohibido. Solo
tres excepciones establecidas expresa-
mente por la ley permiten el tratamiento de
este tipo de datos, a saber: (i) que la ley lo
autorice, (ii) que exista consentimiento del
titular, o (iii) que dichos datos sean necesa-
rios para la determinación u otorgamiento
de beneficios de salud que correspondan
a sus titulares.
Seguridad de los datos
Este principio se encuentra recogido en el
artículo 11 de la Ley 19.628, que estable-
ce la obligación del responsable de los re-
gistros o bases donde se almacenen da-
tos personales, de cuidar de ellos con la
debida diligencia, haciéndose responsa-
ble de los daños causados. Sin embargo,
la ley no establece estándares de cuidado
o medidas concretas que dichos responsa-
bles deban tomar a fin de velar por la se-
guridad de los datos o prevenir su daño.
Por consiguiente, son los tribunales los lla-
mados a definir, caso a caso, si se han to-
9
11. mado las medidas suficientes para cum-
plir con dicho principio.
Que información entrega el
Sector Salud de Chile
Al navegar por internet y buscar en las ma-
yoría de las clínicas y hospitales los térmi-
nos como; Ley de Datos Personales, Pro-
tección de Datos, Seguridad de los Datos,
Ciberseguridad o Seguridad de la Informa-
ción es muy lamentable que no aparezca
información sobre estos temas tan impor-
tantes. Por otro lado al revisar el sitio web
de Clínicas de Chile y buscar términos rela-
cionados con Ley de Datos Personales, la
verdad, es que no hay artículos e informa-
ción relacionada, tampoco menciona con
claridad sobre el Tratamiento que le dan a
los Datos Personales o de la Ficha Clínica,
la Protección Especial de los Datos Sensi-
bles o la Seguridad de los Datos. Lo único
que aparece en materia de Ciberseguri-
dad es una entrevista realizada el 2018 al
doctor José Fernández, gerente clínico de
Rayen Salud quien explicó las medidas
que las clínicas y hospitales pueden tomar
para mitigar los riesgos de un ciberataque
en salud.
En entrevista con EmolTV, el doctor José
Fernandez, médico cirujano y gerente clíni-
co de Rayen Salud, afirmó que, en rela-
ción a la Transformación Digital Sanitaria
en Chile. “tenemos un gran avance respec-
to a la región. Por lo menos en salud públi-
ca el 90% de los centros de atención pri-
maria están completamente digitalizados,
eso quiere decir que cuentan con ficha clí-
nica electrónica”.
Ahora bien, agregó que “obviamente cuan-
do uno va incorporando la ficha clínica
electrónica, en donde se guarda informa-
ción muy sensible, se debe ir incorporan-
do también educación y tecnología, que
cuiden la seguridad de lo que allí existe y
en eso ha ido un poco más lento”.
Lo anterior se produce, aseguró el espe-
cialista, porque “en general los procesos
de transformación digital son mas rápidos
que los procesos normativos, legislativos o
de educación social”.
10
12. Nuestra Visión de Cyber Security &
Human Hacking
Identifique a sus usuarios de
alto riesgo
Estos incluyen altos ejecutivos (CEO, Presi-
dentes, Gerentes, Directores, Subgeren-
tes, Jefaturas, Médicos), personal de recur-
sos humanos, administrativos(as), enferme-
ros(as), TI entre otras. Implemente más
controles y seguridad en estas áreas, inclu-
ya una revisión de los perfiles sociales y
públicos para las tareas y descripciones
del trabajo, información jerárquica, deta-
lles fuera de la oficina o cualquier otro da-
to corporativo sensible, e identifique cual-
quier dirección de correo electrónico dis-
ponible públicamente y listas de conexio-
nes.
Controles de seguridad
La implementación de herramientas como
la autenticación de dos factores, los filtros
de correo electrónico (ATP) y la gestión de
los niveles de acceso y permiso para to-
dos los empleados son algunas de las for-
11
13. mas de garantizar que la organización ten-
ga las defensas más altas posibles contra
los “Malos Actores” (ciberdelincuentes).
Establezca una política de se-
guridad (ISO 27001/27002,
NIST, HIPPA)
Cada organización debe establecer una
política de seguridad. La política debe revi-
sarse constantemente con regularidad pa-
ra identificar brechas (violaciones de da-
tos) y asegurarse de que los empleados
sigan la política.
Debe incluir acciones simples como:
1. No abrir archivos adjuntos o hacer
clic en enlaces de una fuente descono-
cida.
2. No usar unidades USB en computa-
dores de oficina.
3. Política de administración de contra-
señas (sin reutilizar contraseñas, sin
notas adhesivas en las pantallas como
recordatorios de contraseña, etc.)
4. Requerir capacitación en seguridad
para todos los empleados.
5. Revisar la política sobre acceso Wi-
Fi. Incluya a los contratistas y socios
como parte de esto si necesitan acce-
so inalámbrico cuando están en el si-
tio.
Desarrollar procedimientos
estándar
Los equipos de TI deben tener procedi-
mientos implementados para garantizar
que haya un orden dentro de la organiza-
ción.
Los procedimientos recomendados de la
organización deben incluir:
1. Hacer que el personal estudie la polí-
tica de seguridad y la haga cumplir.
2. Establecer cómo se debe informar al
liderazgo ejecutivo sobre las ciberame-
nazas y su resolución.
3. Establecer un cronograma para pro-
bar el plan de respuesta a incidentes
de ciberseguridad.
4. Registrar tantos dominios de la com-
pañía como sea posible que sean lige-
ramente diferentes al dominio real de
la compañía.
Capacitación para todos los
usuarios
No importa cuán buenos sean sus pasos
de prevención, las violaciones de datos
12
14. son inevitables. La educación del usuario
juega un papel importante en minimizar
los peligros del Fraude del CEO. Los me-
jores programas de capacitación aprove-
chan la educación del usuario para garanti-
zar que se eviten las amenazas.
La educación continua sobre posibles tác-
ticas de fraude de CEO es lo único que
puede equipar a los usuarios para mante-
nerse a salvo de estos ataques. La capaci-
tación sobre la concientización de seguri-
dad de la nueva escuela puede ayudar a
sus empleados a identificar estafas de
phishing instintivamente.
Inntesec Security Awareness
Services
El eslabón más débil e importante en la ca-
dena de seguridad son las personas, don-
de, los “errores humanos” son una puer-
ta de entrada para los ataques, esta situa-
ción advierte sobre la importancia de avan-
zar con un cambio cultural al interior de
las organizaciones. Buscamos crear con-
ciencia y provocar un cambio disruptivo
a través de una nueva visión que estamos
promoviendo, donde el usuario que es el
eslabón más débil e importante en una or-
ganización es clave en esta transforma-
ción para llevarlo a un nivel de Human Fi-
rewall. Para lograr este objetivo nos basa-
mos en nuestro Programa conocido como
Inntesec Security Awareness Services
(Inn-SaS).
Hoy el 90% de las inversiones y el gasto TI
es en tecnología y menos del 10% en los
usuarios. Esta estrategia no es la más ade-
cuada, ya que los “Malos Actores” (ciber-
delincuentes) siguen infiltrándose en las
redes y sistemas a través del Human
Hacking, provocando fraude, violaciones
de datos y generando pérdidas millona-
rias. “Está demostrado que la tecnología
por sí sola no es suficiente”.
Cabe destacar que el costo promedio de
pérdidas económicas que provocaron los
“Malos Actores” (ciberdelincuentes) a las
organizaciones en los últimos años supe-
ran los USD 2.500.000 y el costo prome-
dio de una violación de datos es de USD
500.000.
A través de Inntesec Security Awareness
Services (Inn-SaS) los usuarios aprende-
rán a conocer y gestionar mejor los ries-
gos de seguridad por concepto de Hu-
man Hacking con relación a; social engi-
neering, phishing, spear phishing, spoo-
fing, ransomware, ATP. La capacitación de
los empleados es el primer paso para pre-
venir las brechas de seguridad y estable-
13
15. cer una estrategia de concientización en
ciberseguridad e ingeniería social.
Implementar un Programa de Concienti-
zación de Ciberseguridad es clave, nues-
tra visión disruptiva, es llevar al usuario
que es el eslabón más débil e importante
de una organización a un nivel de Human
Firewall a través de un programa anual de
Inntesec Security Awareness Program,
que mide el nivel de madurez de cada
usuario y a su vez de toda la organización
llevándola desde un 60% de probabilidad
real que sea víctima de un fraude, suplan-
tación de identidad o data breach a me-
nos de un 10% totalmente medible, dicho
programa incluye:
1. Charlas de Concientización sobre
Cyber Security para altos ejecutivos y
usuarios en general.
2. e-Learning a través de Newsletter, Vi-
deos Educativos y Videos de Entrena-
miento Interactivos en materia de
Cyber Security, con entrega de certifi-
cado para los usuarios que han pasa-
do satisfactoriamente el curso e-Lear-
ning.
3. Simulador de Ataques Ethical
Phishing, Vishing, USB Attack, Social
Engineering y mucho más.
Nos puedes contactar escribiéndonos a
ventas@inntesec.com o bien llamando al
+569-8921-7125 para coordinar una reu-
nión y programar una prueba de concepto
(PoC).
Fuente: Bitglass, Derechos Digitales, Clíni-
cas de Chile, Inntesec.
14