//
Archivos

Seguridad de la información

Esta categoría contiene 72 entradas

Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte

Te ofrecemos algunos consejos que debes tener en cuenta si crees que tu información puede haberse visto comprometida

Los vehículos en los que nos trasladamos son cada vez más seguros gracias a la eficacia de las medidas de seguridad que incorporan. En cualquier caso, no puede afirmarse que los vehículos sean completamente seguros, ya que el riesgo sigue existiendo. Los sistemas informáticos en los que nuestros datos personales son almacenados y procesados también son cada vez más seguros pero, como cualquier otro producto o servicio, se encuentran sujetos a posibles errores o fallos de funcionamiento que, en ocasiones, pueden terminar afectando a nuestra información personal, permitiendo que otras personas puedan tener acceso a nuestros datos personales. Esto es lo que se conoce como una “brecha de seguridad”.

Sigue leyendo

Anuncios

La confianza de nuestros clientes no tiene precio

Hace unos días el INCIBE  ha publicado este interesante artículo con el fin de que tomemos conciencia sobre la importancia que tiene en nuestra imagen y reputación las brechas de seguridad y las fugas de datos. Os animo a leer este pequeño artículo y a reflexionar sobre su contenido. Espero que os guste.

https://www.incibe.es/protege-tu-empresa/blog/confianza-nuestros-clientes-no-tiene-precio

Fuente: INCIBE

¿Se puede incluir a un ciudadano en el registro de morosos cuando se ha interpuesto una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no?.

El artículo 4.3 de la LOPD explicita lo siguiente:

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 Este apartado del artículo 4 forma parte del cuerpo del principio de calidad expuesto en la LOPD.

 Por tanto, si se incluyera los datos de un ciudadano en el registro de morosos mientras exista una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no, y dicha reclamación sea de conocimiento de las partes, no cumpliría con el requisito expuesto en dicho principio de calidad, ya que el dato incluido “no responde a la veracidad de la situación actual del afectado ni a su exactitud…

 La Sección Primera de la Sala de lo Contencioso de la Audiencia Nacional así lo ha confirmado en una sentencia del 30 de mayo de 2012 en la que viene a ratificar, en parte,  la sanción impuesta contra Orange (France Telecom) por la Agencia Española de Protección de Datos, sanción que ascendía a 50.000€, aunque luego fue reducida a 6.000€ por dicho Tribunal.

 Entre los aspectos mas importantes de la sentencia destacamos los siguientes párrafos:

 “El Abogado del Estado sostiene en su escrito de contestación a la demanda que France Telecom instó la inscripción en el fichero Asnef de una deuda de 125 € sin efectuar el previo requerimiento de pago y además, no esperó el resultado de la Junta Arbitral de Consumo a la que acudió el denunciante y pese a que la Junta Arbitral entendió que la deuda existía en su concepto, nada obste a que la AEPD valorase si las inclusiones en los ficheros de morosidad se hicieron cumpliendo o no la normativa de protección de datos y en este caso Orange incluyó los datos del denunciante en el fichero de morosidad pese a que conocía la reclamación administrativa en cuestión.”

 “La AEPD fundamenta también la infracción del principio de calidad de datos, en el hecho de haber incluido France Telecom los datos del denunciante en el fichero Badexcug y haberlos mantenido en el fichero Asnef, por el impago de una factura pese a conocer la existencia de una reclamación administrativa formulada ante los servicios de protección al consumidor de …”

 “La redacción del artículo 38 del RDLOPD, tras la aplicación de la citada STS de 15 de julio de 2010 es la siguiente:

 Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

 a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

 b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

 c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

 3 El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.

 Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, tanto la redacción actual del precepto como la original requiere al inicio del apartado 1.a) que la deuda sea cierta, exigencia que responde al principio de veracidad y exactitud de los datos recogido en el artículo 4.3 de la LOPD al expresar que ” Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 

 

 

FACUA denuncia a Google ante Protección de Datos por exponer mensajes privados de chat

FACUA-Consumidores en Acción ha denunciado a Google ante la Agencia Española de Protección de Datos (AEPD) por un fallo de seguridad en Google Talk, Google Hangout y el chat de Google Gmail que está provocando que se filtren a terceros conversaciones privadas de los usuarios.

google talk incidenciaLa propia compañía reconoció en la mañana del jueves 26 estar investigando “informes que indican un problema con Google Talk”. Al final de la tarde del mismo día, la empresa anunciaba que el servicio se había restaurado “para algunos usuarios” y que esperaban “solucionar el problema para todos los demás en breve”.

FACUA advierte de que al momento de publicar este comunicado, Google todavía no había confirmado la restauración del servicio por completo.

Numerosos usuarios han manifestado a través de las redes sociales su preocupación por una grave incidencia que ha podido desvelar información confidencial a múltiples destinatarios del servicio que se han encontrado con mensajes ajenos de forma involuntaria.

FACUA ha pedido a la AEPD que realice los controles e inspecciones oportunos para verificar si Google ha incumplido la normativa, obligue a la empresa a corregir esta grave vulneración y le aplique las sanciones correspondientes.

Principio de seguridad de los datos

En su denuncia, FACUA argumenta que Google puede haber vulnerado el “principio de seguridad de los datos”, regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red.

La norma establece en este artículo que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos”.

Fuente: Facua

Impresiones de la nueva ISO 27000 para 2013

Hay más de 30 normas de la serie ISO 27000, las cuales están en constante cambio porque la seguridad de la información y las mejores prácticas evolucionan constantemente. Estos son los cambios que probablemente ocurrirán en 2013 con estas normas:
imagesCAJDV1XB
ISO/IEC 27001: dado que esta es la norma principal de la serie, su revisión se espera con gran expectación. Fue publicada en 2005, por lo que los cambios seguramente no serán menores. El cambio más grande (además de los controles del Anexo A, véase la norma ISO 27002 a continuación) será en la estructura de la norma. De acuerdo con las directivas ISO anexo SL (anteriormente denominado ISO Guide 83), la estructura de cada estándar de administración debe ser alineado, por lo que el mismo destino tendrá esta revisión de la norma ISO 27001. Estos cambios son visible en la norma ISO 22301, la norma de continuidad de negocio nuevo, que fue la primera en cumplir con la Guía 83.

La fecha de publicación de la norma ISO 27001 no se ha establecido aún, pero podría ser en la segunda mitad de 2013.

ISO/IEC 27002: la revisión de esta norma se publicará junto con la norma ISO 27001, ya que brinda directrices para la aplicación de los controles de la ISO 27001 Anexo A. Por lo tanto, estas dos normas deben alinearse completamente. ¿Cuáles serán las revisiones?

ISO/IEC 27004: este es el estándar que define las métricas de seguridad de la información, en otras palabras, la forma de medir seguridad de la información en una organización. Se ha publicado inicialmente en 2009 entrará en proceso de revisión durante 2013.

ISO/IEC 27006: esta norma define los requisitos para los organismos de certificación que prestan los servicios de auditoría. Como otras normas de auditoria (ISO 19011 e ISO 17021) están actualmente en proceso de revisión. Se espera que la versión revisada de la norma ISO 27006 se publicará en 2013 o 2014.

ISO/IEC 27011: es el estándar que proporciona directrices para la gestión de seguridad de la información en las telecomunicaciones. Como se basa en gran medida en la norma ISO 27002, se revisará una vez que la nueva versión de la norma ISO 27002 se publique. Puede ocurrir en el 2013, pero es más probable en 2014.

ISO/IEC 27014: define la gobernanza de la seguridad de la información, ya que esta norma está, al momento de escribir este artículo en estado FDIS (final), se espera que se publicará en el primer semestre de 2013.

ISO/IEC TR 27016: es el estándar que define la economía organizacional para la gestión de información de seguridad. Dado que esta norma se encuentra todavía en la versión preliminar, es teóricamente posible que se publicará en 2013, sin embargo, 2014 es mucho más realista como un año de publicación.

ISO/IEC 27017: es el estándar que define la seguridad en Cloud Computing. Ya que dependerá en gran medida de revisar la norma ISO 27001 e ISO 27002, a lo sumo se publicará a finales de 2013 o el primer semestre de 2014.

ISO/IEC 27018: es el estándar que va a proporcionar el código de prácticas para el control de la protección de datos para los servicios públicos de Cloud Computing. Similar a la norma ISO 27017, esta norma debe esperar hasta que se publique la norma ISO 27002.

ISO/IEC TR 27019: es la norma que se centra en las directrices de gestión de seguridad para la industria de la energía. Al estar basado en la norma ISO 27002, no se espera que se publicará hasta finales de 2013 o en 2014.

ISO/IEC 27033-5: se encuentra todavía en la fase de borrador, y define cómo utilizar comunicaciones seguras mediante red privada virtual (VPN). Su publicación se espera hacia finales de 2013.

ISO/IEC 27036: está todavía en la fase de borrador y se especifica la forma de regular la seguridad de la información en las relaciones con los proveedores. Esta norma se publicará en cuatro o cinco partes, tres de los cuales podrían ser publicados en 2013 o principios de 2014.

ISO/IEC 27040: define la seguridad de almacenamiento. Está programado para ser publicado en 2013, pero puede ser empujado hasta 2014.

Como se puede ver, muchas normas se publicarán pronto, o por lo menos van a ser revisadas. ¿Quién dice que la seguridad informática es un negocio aburrido?

Fuente: ISO 27001 Standard

Fuente: Segu-Info

CCN-CERT: MAGERIT v3 y 17 nuevas guías STIC

MAGERIT, la metodología de análisis de riesgos para la administración pública ha liberado su versión 3. En esta nueva versión se alinea más su contenido con los objetivos de la ISO
Para todos aquellos que tengan insomnio, los tres documentos (pdf) están disponibles en la página web del CCN-CERT para cualquier ciudadano sin ningún tipo de restricción:

Está magnífica noticia coincide un mes después de que el propio CCN-CERT comunicase que había publicado 17 nuevas guías técnicas de seguridad denominadas STIC.
En el caso de estos documentos STIC, algunos de ellos son públicos y en otros hace falta solicitar un usuario que tan solo facilitan a la administración pública o empresas que tengan acuerdos con el Ministerio de Defensa. ¿Por qué? Esa es una buena pregunta. En el caso de Estados Unidos la información está en la página del NISTNSA o incluso hay organizaciones como CIS que también la facilitan  Pero por lo visto hacer seguro un iPhone, pese a ser un documento sin clasificar, no es algo para cualquiera.
Todo apunta a que de momento no es una prioridad para nuestro Centro Criptológico Nacional establecer mecanismos que aseguren los sistemas de información de todo aquello que esté fuera del ámbito del Esquema Nacional de Seguridad. Esperemos que otros organismos como el Instituto Nacional de Tecnologia de la Comunicación, piensen más allá del muro del norte.
Fuente: Security by Default

Evita que te rastreen en las redes sociales con estas herramientas

Facebook, Twitter o Google tienen la mayoría de tus datos y hábitos de navegación. También existen cientos de empresas de cobro por publicidad que serían beneficiadas haciendo seguimiento de lo que consumes y compartes en la red. ¿Cómo evitarlo y asegurar tu privacidad?

Puedes bloquear el acceso a tu contenido con estas aplicaciones:
1.Do Not Track Plus: La herramienta permite bloquear Facebook y otros anunciantes en la red. Asimismo, te informa sobre los espacios que quieren obtener tus datos. Después de instalarlo bloqueará las redes. La extensión está en la página principal, disponible para Chrome.
2.Disconnect: Es otra buena opción para bloquear redes de forma específica. El sitio principal tiene extensiones para detener el seguimiento en la web de Facebook, Twitter y Google. Se incluye la app Collusion —para Chrome, Safari y Mozilla—, que genera mapas con los sitios que intentan obtener información de tus movimientos en la red.
3.Ghostery: Es una herramienta con más opciones. Aparece en la barra de navegación y muestra cuántas empresas se han bloqueado cuando estás visitando una página web. Ghostery da a conocer más sobre las empresas. Además, identifica el tipo de datos que recogen.
Fuente: Cryptex

Técnicas para fortalecer la seguridad de tu correo electrónico

Pese al avance de las redes sociales, el correo electrónico sigue siendo el servicio más utilizado por los internautas a la hora de comunicarse. A continuación, os contamos los principales peligros relacionados con la privacidad de los mensajes y algunas soluciones para blindarlos.
El correo electrónico es utilizado a diario por millones de personas. Para muchos constituye la base diaria de su comunicación en el trabajo y el ámbito personal. Sin embargo, es interesante saber que este sistema apenas ha evolucionado durante los años de popularización de Internet. En general, se ha buscado más la compatibilidad y simplificación del servicio que profundizar en aspectos como la seguridad.
De hecho, cuando enviamos un correo utilizando el protocolo SMtP o lo recibimos a través de PoP3/iMAP, tenemos que saber que tanto el usuario como la contraseña de la cuenta se envían en texto plano sin encriptar. Es decir, cualquier persona conectada a nuestra red o a la del servidor con un sniffer de red (capturador de paquetes) debidamente configurado podría ver esa información y, por supuesto, interceptar los paquetes dentro de los que viajan los datos de nuestros correos electrónicos.
Es cierto que es complicado y poco probable esta clase de espionaje, sobre todo por la inmensa cantidad de información que viaja por la Red. Pero, el riesgo está ahí y a ciertas personas puede suponerles un problema importante de seguridad. Por ello, en estas páginas, os contamos algunas técnicas que podemos seguir para mejorar la fiabilidad de nuestros envíos de e-mail y, con ello, preservar nuestra información personal.
Sumario

SkyDrive: cuando tu almacenamiento no es tan privado como pensabas

Creer que la nube es una extensión de tu ordenador personal puede ser una falsa ilusión, sobre todo cuando los archivos que uno deja en un servicio de almacenamiento no son tan privados como uno pensaba. Hoy nos enteramos que eso le pasó a varios usuarios de SkyDrive, que vieron cancelada su cuenta sin previo aviso de un día a otro porque Microsoft consideró que los archivos que alojaban violaban los términos de uso del servicio.

En enero de 2012, un fotógrafo alemán que tenía 4 fotografías de desnudos parciales en una carpeta no compartida y que él pensaba que nadie veía, encontró su cuenta cancelada por parte de Microsoft. El asunto causó bastante revuelo en la prensa, y se habló de la función de guardado automático de las fotos que uno toma con el móvil pero también del hecho de que Microsoft estuviera monitorizando archivos supuestamente privados.

En mayo, un usuario holandés, que había subido 12 GB de contenido a su cuenta en SkyDrive, vio cerrado su acceso a su cuenta de Windows Live, lo que significaba que tampoco podía acceder a su correo en Hotmail, o a Xbox Live. La única explicación que le dio Microsoft fue que habían encontrado una carpeta en su SkyDrive con contenido que no estaba aprobado por el código de conducta de Microsoft SkyDrive. También esta carpeta era privada y no estaba compartida con nadie más.

Este usuario terminó creando una nueva cuenta, perdiendo la anterior, lo que tenía guardado e incluso las aplicaciones que había comprado.

¿Por qué sucede esto? Microsoft se reserva el derecho a suspender una cuenta por cualquier razón, y de hecho monitorea lo que los usuarios suben a SkyDrive, aunque sean cuentas privadas. Por esto no deberíamos ser tan ligeros al considerar a la nube, por lo menos en este caso, como una extensión de nuestro ordenador. Hace poco hablábamos de Cubby, y no está de más tener los términos de servicio en cuenta como uno de elementos a considerar en el momento de elegir uno u otro servicio de almacenamiento en la nube.

Algunos usos prohibidos que define el código de conducta famoso de Microsoft SkyDrive son los siguientes:

Subir, publicar, transmitir, transferir, distribuir o facilitar la distribución de ningún contenido (incluyendo texto, imágenes, sonido, video, datos, información o software) o usar el servicio en alguna forma que:

  • muestre desnudez de cualquier tipo, total, parcial o desnudez en formas no humanas como cómics, arte o manga.
  • incite o exprese pornografía, obscenidad, vulgaridad, odio, blasfemia, intolerancia, racismo o violencia gratuita.
  • tergiverse la fuente de todo lo que publique o cargue, incluyendo la suplantación de otro individuo o entidad.
  • ofrezca o cree vínculos a sitios externos que infrinjan este Código de Conducta.
  • incluya contenido protegido por leyes de propiedad intelectual, derechos de privacidad o publicidad, o cualquier otra ley aplicable, a menos que usted posea o controle dichos derechos o haya recibido todos los consentimientos necesarios.
  • tenga intención de dañar o explotar a menores de cualquier manera.
  • esté diseñado para solicitar o recopilar información de identificación personal de cualquier menor de edad (menores de 18 años de edad), incluyendo pero no limitado a: nombre, dirección de correo electrónico, dirección postal, número de teléfono o el nombre de su escuela.
  • invada la privacidad de nadie, tratando de recopilar, almacenar o publicar información privada o personal, como contraseñas, información de cuentas, números de tarjetas de crédito, direcciones u otra información de contacto sin su conocimiento y consentimiento voluntario.
  • sea ilegal o que viole las leyes locales y nacionales, incluyendo pero no limitado a la pornografía infantil, bestialidad, incesto, drogas ilegales, la piratería de software, y el acoso.
  • amenace, acose, difame, estafe, degrade o intimide a una persona o grupo de personas por cualquier razón, incluyendo por causas de su edad, género, discapacidad, etnia, orientación sexual, raza o religión, o incite o promueva a otras personas a hacerlo.
  • dañe o perturbe, o tenga la intención de dañar o alterar, equipo de otro usuario o que permita que usted u otras personas puedan acceder ilegalmente al software o eludir la seguridad en los sitios Web o servidores, incluyendo pero no limitado a enviar spam.
  • intente suplantar a un empleado de Microsoft, agente, director, conductor, administrador, moderador, otro usuario o cualquier otra persona a través de cualquier medio.
  • promueva o facilite la compra y venta de municiones o de armas de fuego.
  • contenga “correo basura”, “spam”, “cartas en cadena”, “esquemas piramidales”, “marketing de afiliación” o publicidad comercial no solicitada.
  • tergiverse el contenido que publique o cargue o contenga el mismo o similar contenido que ya ha publicado.
  • intente manipular los servicios, incluidos rankings y los sistemas de reputación en los servicios, violando cualquiera de las disposiciones de este Código de Conducta, en connivencia con otras personas en la votación o el uso de múltiples perfiles.
  • se ofrezca para hacer transferencias internacionales de dinero por montos que excedan el precio de venta de un artículo, con la intención de solicitar un reembolso de cualquier porción del pago.
  • contenga publicidad de planes de hacer dinero, tarjetas de descuento, asesoría de crédito, encuestas o concursos online.

Recomendaciones básicas de seguridad sobre el uso de WhatsApp

Aprende a utilizar con seguridad el servicio de mensajería instantánea móvil WhatsApp.

Como ya sabrás, WhatsApp es un servicio de mensajería instantánea que puedes instalar en tu smartphone –Android, iPhone, Blackberry, etc.- que te permite, a través de una conexión a Internet (Wi-Fi o tarifa de datos del móvil), chatear en tiempo real con los contactos de tu teléfono móvil que también tengan instalada esta aplicación.

Entre las principales funcionalidades que incluye esta aplicación se encuentran:

  • envío de mensajes de texto con emoticonos
  • envío de imágenes, vídeos y audios
  • envío de posición geográfica a contactos
  • creación de grupos de chat con varios contactos

WhatsApp es una herramienta muy interesante y además, ¡está de moda! A día de hoy, más de 10 millones de usuarios en España la utilizan a diario. Pero este hecho, no debe hacerte olvidar que, debes tomar ciertas precauciones cuando utilizas esta aplicación de la misma forma que las tomas con los programas de mensajería instantánea en el ordenador o los chats.

Logo WhatsApp

A continuación, te proporcionamos algunos consejos que te pueden ayudar hacer un uso seguro y responsable de WhatsApp:

  • No envíes mensajes ofensivos a ningún contacto, se respetuoso y trata con educación a tus contactos. ¡Netiquétate!
  • No envíes a través de la aplicación información privada sobre ti: datos bancarios, número PIN del móvil o tus contraseñas de acceso a otros servicios/aplicaciones. No sabes lo que tus contactos podrían hacer con esa información…
  • Cuidad tu imagen, no envíes fotos ni vídeos tuyos en los que aparezcas en situaciones comprometidas (sexting). En el momento que envías una foto o vídeo a un contacto, pierdes su control para siempre pudiéndote esto ocasionar problemas en tu vida personal, profesional, etc.
  • Cuidado con las redes Wi-Fi que utilizas para enviar «whatssApp’s». Si no están debidamente protegidas o son redes Wi-Fi públicas, un delincuente o persona con malas intenciones podría capturar las conversaciones que intercambias con tus contactos.
  • Atento a los mensajes en cadena, bulos, que circulan a través de Whatsapp, no te creas cualquier mensaje que te envíe un contacto (aunque éste sea de confianza). Contrasta la información, antes de realizar cualquier acción, con otros contactos, páginas web de confianza, etc.
  • Antes de abrir un fichero que te han enviado, es recomendable analizarlo con un antivirus para comprobar que no contiene virus.
  • Elimina el historial de tus conversaciones para evitar que si alguien accede a tu dispositivo móvil, pueda leerlas y obtener información sobre ti que no deseas.

Para más información sobre WhatsApp, puedes consultar la sección de «Preguntas Frecuentes» de su sitio web.

Fuente: http://www.osi.es

Sigue leyendo

Estadística del blog

  • 116,239 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: