Merchant Cash Advances Equipment Financing Working Capital SBA Loans Small Business Loans Long Term Loansbusiness loans best business loans Big Lines of Credit Short Term Loads

Artículo de Rodrigo Orenday “Lecciones del #INEleaks”

Rodrigo Orenday Serratos, socio de ProtDataMx, ha publicado en su blog una nota muy interesante acerca de las repercusiones de la fuga de información de la lista nominal del padrón electoral del INE encontrada en un servidor de Amazon en la nube la semana pasada y que se difundió en twitter bajo el hashtag #INEleaks.

La nota hace una explicación muy detallada sobre ese caso y otras fugas de datos relevantes y hace un énfasis particular en la necesidad que tienen las empresas y organizaciones de implementar medidas de seguridad físicas, técnicas y administrativas conforme a la normativa nacional de protección de datos para resguardar la información personal de sus clientes o usuarios y de esa forma, poder minimizar el riesgo de una fuga de información y evitar posibles multas y sanciones por parte del INAI.

La nota puede ser descargada en este vínculo o en el Blog de Rodrigo Orenday

Filtración de la Lista Nominal del Padrón Electoral del INE en Servidores de Amazon

example_record_redactEl pasado 23 de Abril, el portal Databreaches.net dio a conocer la filtración de una de una copia de la Lista Nominal del Padrón Electoral del Instituto Nacional Electoral (INE) en un servidor Cloud de la empresa Amazon en Estados Unidos. De acuerdo con ese portal, la fuga fue descubierta por Chris Vickery, Investigador en seguridad informática del MacKeeper Security Research Centre, la cual la dio a conocer a través de su blog y un video donde señala haber tenido acceso a la información de más de 93 millones de personas mediante un archivo con un tamaño aproximado de 132 Gigas el pasado 14 de Abril de 2016.
La información estuvo públicamente accesible más de siete días días en el servidor de Cloud de Amazon donde fue encontrada la copia que no contaba con ninguna contraseña o método de autenticación alguno para su protección. Vickery indicó que se puso en contacto con el Departamento de Estado en los EUA, la Embajada de México en Washington y el propio Instituto Nacional Electoral (INE) para reportar este incidente y después de insistir acerca del riesgo de que la información estuviera públicamente abierta- inclusive con el US-CERT y el Department of Homeland Security y la empresa Amazon-, el acceso al archivo electrónico no fue completamente bajado sino hasta la madrugada del pasado viernes 22 de Abril.

El diario mexicano el Universal reporta que con base en una entrevista de radio en el programa de Joaquín López Dóriga de Radio Fórmula: “El Consejero del INE Ciro Muramaya indicó que tiene identificada la copia de donde provienen los datos de la Lista Nominal que aparecieron en los servidores de Internet de Amazon y que la identidad del responsable se dará a conocer cuando termine la indagatoria para no alertar al autor de la filtración.”.

El Consejero Ciro Murayama ha aclarado a diversos medios de comunicación que “la copia no proviene de los datos del INE, sino de los otorgados a los partidos políticos. Así es. Tampoco se trata de cuestionar al conjunto de los partidos políticos, en general son muy cuidadosos; en este caso es una persona en específico.”

El Director Ejecutivo del Registro Federal de Electores, René Miranda Jaimes ha explicado a diversos medios que: “en las copias que se generan y se entregan, existen por primera vez, a partir de la entrega del 2015, candados de seguridad que yo estoy seguro nos permitirán identificar plenamente la copia de la que estamos hablando, y en su caso, sancionar al responsable”. Como parte de las indagatorias, agregó el funcionario electoral que “solicitaron a Amazon información sobre quién contrató el espacio de almacenamiento en la nube, así como la frecuencia y el origen de las consultas.”

Ciro Murayama indica que “a cada copia se le siembran algunas particularidades para ubicarla con toda precisión en caso de uso indebido”. Agregó que “se trata de una copia proporcionada por el INE, y cada copia tiene una huella dactilar que la hace única, contiene una serie de datos que permiten diferenciarla de las que se entregan a otros partidos.”

Todo parece indicar que no fue un hackeo a los sistemas informáticos del INE, sino que se trata de la filtración de una copia de las Listas Nominales de Electores que el INE entrega en formato electrónico a los partidos políticos por disposición legal el 15 de Febrero de cada año. De acuerdo con diversas fuentes consultadas, el INE ya interpuso una denuncia ante la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), se dio aviso a la Policía Cibernética y a la Unidad Técnica de lo Contencioso Electoral del INE y ya se ha iniciado un procedimiento ordinario sancionador para que se impongan las sanciones que correspondan a los responsables. Sin embargo, hasta ahora todavía no se conoce la identidad de la persona ni su afiliación al partido político que filtró la información de la Lista Nominal en los servidores Cloud de Amazon.

Vale la pena destacar que conforme al Art. 483 de la Ley General de Instituciones y Procedimientos Electorales las sanciones aplicables a servidores públicos podrían consistir en:
a) Apercibimiento privado o público;
b) Amonestación privada o pública;
c) Sanción económica;
d) Suspensión;
e) Destitución del puesto; e
f) Inhabilitación temporal, hasta por cinco años, para desempeñar empleos, cargos o comisiones en el servicio público
De acuerdo al Art. 484 de ese ordenamiento, las faltas y sanciones deben ser valoradas, y en su caso, sancionadas conforme a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

Esta no es la primera vez que se filtran datos e información del padrón electoral y de información personal de ciudadanos mexicanos en Internet.

En Noviembre de 2013 fue el portal Buscardatos.com que permitía buscar y obtener los datos e información de ciudadanos mexicanos, argentinos, chilenos y paraguayos en forma gratuita. Para información más detallada ver la siguiente entrada en ProtDataMx.

En 2010, se reveló la venta de las bases de datos e información del padrón electoral del entonces Instituto Federal Electoral (FE) en el barrio de Tepito. Ver la siguiente nota del diario La Razón.

El caso Choicepoint en 2003 en donde dicha empresa adquirió la base de datos del padrón electoral a través de un empleado del anterior IFE Instituto Federal Electoral. Ver la siguiente entrada en Blog de Privacidad y Protección de Datos de Cristos Velasco.

Y la pregunta es ¿hasta cuando más debemos tolerar este tipo de situaciones y dejar impunes a los responsables de poner en riesgo nuestra información personal?

Es muy probable que una copia de lista filtrada en los servidores de Amazon ya este circulando en el mercado negro y en el Dark Net por lo que recomendamos a la población estar muy alerta para evitar situaciones como robo de identidad, extorsiones telefónicas y fraudes financieros.

Algunas de las fuentes de información consultadas para la redacción de esta entrada son:

The Daily Dot (En Inglés)
(En Español)

El Universal

El País

El Financiero

Reforma

Excélsior

Proceso

Animal Político

Forbes México

Radio Fórmula

Aristegui Noticias

Milenio

Entérate México

Expansión

Parlamento Europeo aprueba el Reglamento General de Protección de Datos y la Directiva sobre Protección de Datos para Autoridades Policiacas y Judiciales

El pasado jueves 14 de Abril, el Parlamento Europeo aprobó el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)

Jan Philipp Albrecht, Miembro del Parlamento Europeo por el Partido Verde Alemán señalo durante su discurso en la Sesión Plenaria que:

“La Regulación General de Protección de Datos hace que un nivel elevado y uniforme de protección de datos en toda la Unión Europea sea una realidad. Este es un gran éxito para el Parlamento Europeo y un feroz Europeo “sí” a fortalecer los derechos de los consumidores y la competencia en la era digital. Los ciudadanos podrán ser capaces de decidir por sí mismos qué información personal desean compartir.”

“Nosotros, los europeos no solamente exportamos un alto nivel de protección de los derechos de privacidad y de los consumidores en línea – sino que también seremos capaces de establecer un estándar de oro para el mercado digital del mañana, cuando estas normas sean esenciales para todos y cada nueva tecnología, producto y servicio.”

Las reglas del nuevo Reglamento incluyen disposiciones relativas a:

- El derecho al olvido;
- Consentimiento claro y afirmativo para el tratamiento de datos privados por el interesado;
- El derecho a transferir datos a otro proveedor de servicios (portabilidad de datos);
- El derecho a saber cuando los datos han sido hackeados (obligaciones de notificación de fuga de datos);
- Asegurar que las políticas de privacidad se explican en un lenguaje claro y comprensible;
- Una ejecución de la legislación más efectiva y multas de hasta el 4% de la facturación anual total a escala mundial de las empresas, como elemento disuasorio para cumplir con el reglamento;
- Obtención del consentimiento de los padres de menores de edad para utilizar redes sociales en Internet; y
- Una autoridad de control a través de una ventanilla única para recibir quejas relacionadas con la protección de datos destinadas a racionalizar el proceso de cumplimiento por parte de las empresas (one-stop shop).

El Reglamento General de Protección de Datos entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea y sus disposiciones serán aplicables en todos los Estados Miembros dos años después de su publicación.

Recomendamos ver los siguientes vínculos:

Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (En idiomas oficiales de la Unión Europea)

Artículos y Notas de Prensa

IAPP Privacy Tracker

Euroactiv

The Guardian

Techcrunch

Presentation in the 9th GDD-Fachtagung Datenschutz International in Berlin

Photo_CristosLast March 15, 2016, Dr. Cristos Velasco gave a conference titled: “Data Transfers to Countries of the LAC Region after the EUCJ Safe Harbor Decision” during the 9th GDD-Fachtagung Datenschutz International Conference in Berlin.
The conference was attended by a total of 22 members of the Gesellschaft fur Datenschutz und Datensicherheit e.V. , which is the largest association of privacy and data protection professionals in Germany.

The conference was conducted in English and covered the following themes:
- Current State of Data Protection Laws in Selected Countries of Latin America and the Caribbean.
- International Data Transfer Mechanisms
- Main Legal Developments and Interoperability with other Regional Data Protection Frameworks

A major part of the conference was devoted to analyze the general requirements and available mechanisms to conduct international data transfers from Latin America to Europe and vice versa and its implications after the Safe Harbor Decision of the Court of Justice of the European Union (CJEU) of October 2015; latest developments in selected countries of Latin America; interoperability with other international data protection frameworks (APEC Cross-Border Privacy Rules System) and cross-border cooperation agreements for the enforcement of data protection laws. The final part of his presentation finalized with some personal views and pending tasks to be developed in countries of LAC.

The presentation is available in the following hyperlink
Cristos_Velasco_Presentation.V2

Publicación del Nuevo Libro de Cristos Velasco «Jurisdicción y Competencia Penal en Relación al Acceso Transfronterizo en Materia de Ciberdelitos»

Portada_LibroLa más reciente obra del Dr. Cristos Velasco titulada «Jurisdicción y Competencia Penal en Relación al Acceso Transfronterizo en Materia de Ciberdelitos» [ISBN 978-84-9086-992-5] ha sido publicada por la editorial Tirant lo Blanch. Este libro es la continuación de su predecesor «La Jurisdicción y Competencia sobre Delitos Cometidos a través de Sistemas de Cómputo e Internet» publicado en Mayo de 2012.

Una gran parte del contenido de la presente obra está dedicado a analizar el acceso transfronterizo a datos e información en terceros países por parte de autoridades policiales y judiciales para propósitos de investigaciones en materia de ciberdelitos. Si bien el tema no es nuevo, ha tomado relevancia en los últimos años debido a que las pruebas y evidencias que pueden ser útiles para una investigación penal pueden encontrase no solamente en sistemas de cómputo utilizados por delincuentes ubicados en diferentes territorios, sino también albergadas en servidores y centros de datos de proveedores de servicios de almacenamiento de cómputo en la nube (cloud computing) localizados y ubicados en distintos países, lo cual complica la labor y las tareas de investigación de las autoridades investigadoras nacionales. El acceso transfronterizo a datos trae consigo otros temas polémicos y complejos de resolver en el ámbito local, tales como aspectos de soberanía nacional bajo el derecho internacional, medidas de salvaguarda y protección de derechos fundamentales como el derecho a la protección de datos, aspectos de cooperación internacional a través de mecanismos de asistencia mutua jurídica y conflictos de leyes en materia de protección de datos entre distintos países.

La presente obra ofrece algunas perspectivas y posibles soluciones en torno a la temática con base en la experiencia del autor y su activa participación en seminarios y conferencias internacionales relacionadas con cibercrimen, ciberseguridad y protección de datos.

Asimismo, esta edición incluye la revisión y el análisis de los marcos jurídicos sobre competencia y jurisdicción penal y legislación sobre delitos cometidos a través del uso de tecnologías de información de diez países latinoamericanos (Argentina, Brasil, Colombia, Costa Rica, Chile, México, Panamá, Paraguay, Perú y República Dominicana), así como una revisión de las actividades de sus respectivos Centros o Equipos de Respuesta a Incidentes de Seguridad Informática (CERT’s) que juegan un papel fundamental en coordinar, facilitar y ofrecer servicios de respuesta inmediata tanto a víctimas de delitos como a organizaciones e instituciones encargadas de la administración y control de sistemas de seguridad las 24 horas del día durante los 365 días del año.

Este libro contiene un total de 415 páginas y está dividido en dos partes; la primera parte consta de tres capítulos y la segunda parte de cuatro capítulos; y finaliza con una sección de conclusiones y perspectivas en torno a la temática que estamos seguros será de gran relevancia y utilidad para funcionarios y empleados de organismos internacionales y regionales; autoridades nacionales de protección de datos y oficinas gubernamentales encargadas de crear e implementar políticas de seguridad de la información; CERTs y redes de contacto 24×7; legisladores; abogados postulantes, Jueces, Magistrados y profesionistas de apoyo encargados de la administración de justicia penal; profesores; investigadores y estudiantes de derecho interesados en la temática.

Esta obra la estaré presentando oficialmente durante conferencias y seminarios internacionales relacionados con cibercrimen, seguridad de la información y protección de datos en Europa y Latinoamérica, así como en algunas universidades y círculos académicos en España y México durante 2016, incluida la Feria Internacional del Libro de Guadalajara en Diciembre de 2016. El libro puede ser adquirido en formato electrónico o impreso directamente en:

Tirant lo Blanch España (España y países de la Unión Europea)

Tirant lo Blanch México (México, Estados Unidos y Canadá y países de Latinoamérica)

Publication of Coauthorship Article titled: “Global Views on Internet Jurisdiction and Trans-border Access” by Springer

Data_Protection_On_the_Move_BookSpringer recently published an article I co-authored with Professor Julia Hörnle and Anna- Maria Osula titled: “Global Views on Internet Jurisdiction and Trans-border Access”. This article was originally published in the book: Data Protection on the Move. Current Developments in ICT and Privacy/Data Protection coordinated by Serge Gutwirth, Ronald Leenes & Paul de Hert.

This article offers insights and perspectives on the jurisdiction of law enforcement authorities (LEAs) under international law and reviews current approaches to the territoriality principle and trans-border access to data for LEAs to conduct criminal investigations; controversial topics that are currently in the center of discussions, both at the international and national level. The views and perspectives offered in this paper seek to contribute to the international debate on cross-border access to data by LEAs and how the principles on internet jurisdiction should evolve in order to turn the administration of the criminal justice system more efficient, dynamic and compliant with the needs to obtain and secure evidence while respecting data protection safeguards.

The complete bibliography info of the publication is the following:

Article title: “Global Views on Internet Jurisdiction and Trans-border Access”
Authors: Cristos Velasco, Julia Hörnle and Anna- Maria Osula
Book title: Data Protection on the Move. Current Developments in ICT and Privacy/Data Protection
Published on: January 2016
Suggested citation: Cristos Velasco, Julia Hornle & Anna- Maria Osula, “Global Views on Internet Jurisdiction and Trans-border Access” in Data Protection on the Move. Current Developments in ICT and Privacy/Data Protection, Springer (2016), Pages 465-476.
DOI: 10.1007/978-94-017-7376-8-17
Print ISBN: 978-94-017-7375-1
Online ISBN: 978-94-017-7376-8
Series Title: Law, Governance and Technology Series
Series Volume: 24
Series ISSN: 2352-1902
Publisher: Springer Netherlands
Chapter available for purchase at:
http://link.springer.com/chapter/10.1007/978-94-017-7376-8_17
Book available for purchase at:
http://www.springer.com/de/book/9789401773751?wt_mc=ThirdParty.SpringerLink.3.EPR653.About_eBook

Recomendación de la UIT sobre Big Data y Cloud Computing

ITU_LogoLa Unión Internacional de Telecomunicaciones (UIT) recientemente publicó la Recomendación ITU-T Y.3600 Big Data – Requisitos y Capacidades del Cómputo en la Nube.

Esta Recomendación establece de manera muy técnica y general los requisitos y capacidades y ejemplifica escenarios y casos del cómputo en la nube basados en los grandes datos (Big Data), así como su contexto dentro del ecosistema. La Recomendación de la UIT contiene un total de 38 páginas que incluye tres Apéndices con casos y ejemplos del cómputo en la nube basados en los grandes datos e incluye definiciones sobre Big Data y Big Data como un Servicio (BDaaS), el rol y función de cada parte en el Ecosistema del Big Data y su principal objetivo es proporcionar un enfoque sobre la utilización del cómputo en la nube para enfrentar los desafíos existentes en la recolección y tratamiento de los grandes volúmenes de datos y además aborda los siguientes temas:

- Aproximación sobre los grandes volúmenes de datos;
- Introducción a los grandes volúmenes de datos;
- Ecosistema de los grandes volúmenes de datos y sus funciones;
- Relación entre el cloud computing y el big data;
- El cómputo en la nube basado en el contexto del sistema de grandes volúmenes de datos y beneficios;
- Requisitos del cómputo en la nube con base en los grandes volúmenes de datos;
- El cómputo en la nube basado en las capacidades de los grandes volúmenes de datos, entre otros.

La Recomendación se encuentra disponible en idioma inglés en el siguiente vínculo.

Multas en Materia de Protección de Datos del INAI de 2012 a 2015

INAI_LogoDe acuerdo con un comunicado de prensa del INAI, esa institución reporta que de la entrada en vigor de la LFPDPPP, en 2012, al 15 de diciembre de 2015, el INAI ha resuelto diversos Procedimientos de Imposición de Sanciones y en 30 casos determinó imponer una sanción económica a empresas y/o personas físicas que pertenecen a los sectores financieros y de seguros, el de información en medios masivos y el de servicios educativos. De acuerdo con los registros del INAI, 19 corresponden al sector de servicios financieros y de seguros cuyo monto total asciende a 107 millones 530 mil 240 pesos; siete al de información en medios masivos por un monto total de 42 millones 868 mil 255 pesos, y cuatro al de servicios educativos, por 10 millones 428 mil 840 pesos. El INAI reporta que el monto total de multas impuestas a esos y otros sectores de 2012 a 2015 rebasa los 185 millones de pesos.

El INAI señala que las infracciones cometidas por empresas y/o personas físicas con mayor frecuencia y por las cuales se han hecho acreedoras a una sanción económica son: (i) tratar datos personales en contravención a los principios establecidos en la ley (licitud, información, responsabilidad, lealtad y consentimiento); (ii) recabar o transferir datos personales sin el consentimiento expreso de las personas, y (iii) omitir el Aviso de Privacidad, alguno o todos los elementos previstos en la norma.

Finalmente, el INAI reporta que los sectores más verificados son el de servicios financieros y de seguros, con 31procedimientos; el de información en medios masivos, con 10; el de servicios profesionales científicos y técnicos, con 10; el de comercio al por menor, con 6; el de servicios de salud y asistencia social, con 6; el de apoyo a los negocios, con 5 y el de servicios de esparcimiento, con 5.

Fuentes relacionadas:

Excelsior

Proceso

El Sol de México

Vanguardia

Perfiles de Países sobre Ciberdelincuencia y Ciberseguridad en Wiki del Consejo de Europa

CoELogoEl Consejo de Europa recientemente dio a conocer un nuevo sitio web para la Comunidad Octopus sobre Cibercrimen que contiene información y eventos relevantes relacionados con el ciberdelito y la ciberseguridad.
El nuevo rediseño del portal incluye un nuevo Wiki que contiene los perfiles de192 países sobre el estado de la ciberdelincuencia y la ciberseguridad. El Wiki contiene los perfiles de 16 países de América Latina y el Caribe (LAC) que yo elabore con base en mi investigación jurídica y sobre políticas públicas y con el apoyo financiero del Consejo de Europa. Entre los países cuyo perfil ayude a redactar se encuentran: Belice, Bolivia, Brasil, Chile, Colombia, Costa Rica, República Dominicana, Ecuador, Guatemala, Honduras, México, Panamá, Paraguay, Perú, Uruguay y Venezuela.

Insto a expertos, políticos, legisladores, fiscales, jueces, magistrados y académicos de los países de LAC a unirse a esta comunidad y facilitar contenidos e información actualizada en el ámbito del ciberdelito y la ciberseguridad en sus respectivos países. La cooperación internacional es clave en la lucha contra la ciberdelincuencia y estoy seguro de que expertos y personas interesadas de los países de LAC seguramente podrán beneficiarse del uso de esta herramienta creada por el Consejo de Europa.

El Wiki sobre Ciberdelitos y Ciberseguridad del Consejo de Europa se encuentra disponible en:
http://www.coe.int/en/web/octopus/countries

OECD Recommendation on Digital Security Risk Management for Economic and Social Prosperity

DSRM_BannerThe OECD Council published on 17 September 2015 the Recommendation on Digital Security Risk Management for Economic and Social Prosperity and its Companion Document (the OECD Recommendation on DSRM) .
The OECD Recommendation on DSRM was the result of a multi-stakeholder process initiated in 2012 developed by the OECD Working Party on Security and Privacy in the Digital Economy (WPSPDE) to review the 2002 Recommendation of the Council concerning Guidelines for the Security of Information Systems and Networks: Toward a Culture of Security.

As it is mentioned in the OECD Recommendation on DSRM, the implementation of this recommendation will promote a more holistic public policy approach to digital security and establish new coordination mechanisms both within government and with non-governmental stakeholders as well as foster enhanced public-private cooperation at the domestic, regional and international levels.

General and Operational Principles

The OECD Recommendation on DSRM contains a set of general and operational principles, which are designed for all stakeholders to approach the use of the digital environment for economic and social prosperity. Section 1 contains four general principles:

1. Awareness, skills and empowerment stipulate that all stakeholders should understand digital security risks and its management implications and empowerment with the necessary skills and education to help manage security risks in the digital environment;

2. Responsibility provides that all stakeholders should be responsibly and be accountable for the management of digital security risk;

3. Human rights and fundamental values provides that all stakeholders should manage digital security risks in a transparent manner and consistent with human rights and fundamental values recognized by democratic societies, including the freedom of expression, the free flow of information, the confidentiality of information and communication, the protection of privacy and personal data, openness and fair process;

4. Co-operation should take place within governments, public and private organisations, as well as amongst them and individuals and it should be extended across borders at regional and international levels.

Section 2 of the OECD Recommendation on DSRM contains four operational principles:

5. Risk assessment and treatment cycle calls upon leaders and decision makers to ensure that digital security risk assessment should be carried out as an ongoing systematic and cyclical process and inform the decision making process for treating the risk;

6. Security measures call upon leaders and decision makers to ensure that security measures are appropriate to and commensurate with the risk;

7. Innovation call upon leaders and decision makers to ensure that Innovation is considered as integral to reducing digital security risk to the acceptable level determined in the risk assessment and treatment;

8. Preparedness and continuity call upon leaders and decision makers to ensure, that a preparedness and continuity plan are adopted in order to reduce the adverse effects of security incidents, and support the continuity and resilience of economic and social activities.

Likewise, the OECD Recommendation on DSRM contains twenty-four recommendations for the development of national cyber security strategies at the highest level of government. The strategies shall: (i) be tailored as appropriate to small and medium enterprises and to individuals, and articulate stakeholders’ responsibility and accountability according to their roles, ability to act and the context in which they operate; and (ii) result from a coordinated intra-governmental approach and an open and transparent process involving all stakeholders, be regularly reviewed and improved based on experience and best practices, using internationally comparable metrics where available.
Among the measures that governments should include in national strategies are inter alia:
(i) Adopting a comprehensive framework to manage digital security risk to the government’s own activities;
(ii) Establishing co-ordination mechanisms among all relevant governmental actors;
(iii) Establishing one or more Computer Security Incident Response Teams (CSIRT) at national level;
(iv) Encouraging the use of international standards and best practices on digital security risk management;
(v) Adopting innovative security techniques to manage digital security risk;
(vi) Coordinating and promoting public research and development on digital security risk management with a view to fostering innovation;
(vii) Supporting the development of a skilled workforce that can manage digital security risk;
(viii) Adopting and implementing a comprehensive framework to help mitigate cybercrime, drawing on existing international instruments;
(ix) Allocating sufficient resources to effectively implement the strategy;
(x) Strengthening international cooperation and mutual assistance;
(xi) Engaging with all the stakeholders; and
(xii) Creating the conditions for all stakeholders to collaborate in the management of digital security risk.

The OECD Recommendation on DSRM includes a Companion Document, which discusses the key concepts enshrined in the Recommendation, comments on the applicability of the principles to different stakeholders and provides an explanation for each principle outlined in the Recommendation.

The OECD is currently promoting the principles and recommendations contained in its Recommendation on DSRM among member and non-member countries and said organization will likely provide a preliminary report of the countries that have adopted the principles and best practices in the field of DSRM during the OECD Ministerial Meeting on the Digital Economy: Innovation, Growth and Social Prosperity to be held in Cancun, Mexico on 21-23 June 2016.

For further information on the OECD Recommendation on DSRM, see:

Recommendation of the Council on Digital Security Risk Management for Economic and Social Prosperity of 17 September 2015 C(2015)115.

Press release of the Internet Technical Advisory Committee (ITAC) of October 1, 2015.