//
Archivos

seguridad

Esta etiqueta está asociada a 7 entradas

La seguridad no tiene precio

Por un litigio, Facebook se vio obligada a pagar más de 10 millones de dólares a organizaciones que se dediquen a ayudar a los usuarios de redes sociales para el uso seguro de la tecnología en este formato. La Justicia a nivel mundial cada vez toma más participación en las nuevas tecnologías.

Facebook ocupa un escenario central para la Justicia a nivel mundial. Es que la red social más grande del mundo, por este carácter, tuvo muchos problemas a nivel judicial, como siempre se vaticinó. Desde la condena a un hombre colombiano de parte de la Corte Suprema de ese país por extorsión sexual perpetrada a través de esa web, hasta la obligación de brindar datos de usuarios acosadores solicitada por el Tribunal Superior del Reino Unido, por mencionar solo dos hechos que tuvieron gran repercusión en las últimas dos semanas. Ahora, y debido a una demanda en su contra, la empresa deberá pagar 10 millones de dólares a las organizaciones encargadas de brindar ayuda a los usuarios en torno al uso seguro de las redes sociales, sobre todo en las cuestiones relativas a la privacidad y el robo de identidad, temas que conciernen sobre todo a la Justicia.

Asimismo, desde la empresa se comprometieron a que la gente pueda tener un mayor control sobre la información personal que se brinda en una de las funciones conocida como “historias patrocinadas”. De esta forma, y accediendo a llevar a cabo esta acción, la corporación pudo poner fin a uno de los tantos litigios que son llevados en su contra alrededor del mundo.

Según un informe detallado de los abogados accionantes, los cambios en esta aplicación equivalen a más de 100 millones de dólares debido a la gran inversión publicitaria que infiere, lo que a su vez fue motivo de la demanda.

Así es que Facebook se comprometió a brindar la suma de 10 millones de dólares a organizaciones como Electronic Frontier Foundation y el Center for Internet and Society de la escuela de leyes de Stanford, que se encargan de “educar” y brindar información a los usuarios para que se puedan proteger adecuadamente de los abusos de las nuevas tecnologías, sobre todo teniendo en consideración el derecho a la privacidad que muchas veces se vio violado en redes sociales.

La empresa también pagará a los letrados la envidiable suma de 10 millones de dólares, aparte de los aportados a las organizaciones, en concepto de honorarios, según informaron fuentes judiciales del caso.

La aplicación permite, en concreto, utilizar contenido de los miembros de la red social que permite que se utilice contenido de los perfiles para, de esa forma, promocionar productos, marcas, sitios de interés y cuestiones similares. El nombre de la persona aparece mostrando que alguna de estas opciones les “gusta”, como indica el lenguaje de Facebook.

Cinco miembros de la red social presentaron una demanda que buscó pasar por colectiva, alegando que no se puede realizar esa clase de publicidad sin el consentimiento de las personas, debido a que se generan ganancias que los usuarios no perciben.

De todas formas, y aguardando la precisión final al respecto de esta cuestión que será brindada por una jueza del estado de California, en Estados Unidos, Facebook anunció que llevar a cabo los cambios solicitados en la demanda puede llegar a demorar algo más de dos años, comprometiéndose de todas formas a realizarlos.

Fuente: DiarioJudial

Escrito por Marcelo Temperini

Problemas en centro de datos causaron interrupción:Twitter

LONDRES (AP) — Twitter reveló que la interrupción de este jueves, que generó que usuarios de diversas partes del mundo tuvieran problemas para acceder a la red social, se debió a fallas de su sistema y no a una aglomeración del tráfico en la red debido a los Juegos Olímpicos.
La compañía, con sede en San Francisco, informó que la interrupción fue causada por una “notable” doble falla en sus centros de datos. Cuando un sistema falla, se supone que otro paralelo se hace cargo, pero coincidentemente los dos sistemas dejaron de trabajar casi al mismo tiempo, de acuerdo con Twitter.
Desearía decir que la interrupción de hoy puede explicarse por las olimpiadas o incluso por un error en cascada”, dijo Mazen Rawashdeh, vicepresidente de ingeniería, en un comunicado en el que pidió disculpas a los usuarios. “En vez de eso, se debió a este doble revés infraestructural”.
Se disculpó por ofrecer a los usuarios “nada de nada” en vez de servicio, y agregó que la compañía “invierte agresivamente” en sus sistemas para evitar que se repita la situación.
Los usuarios del sitio fueron recibidos el jueves por un mensaje incompleto que indicaba que “Twitter está fuera de servicio por el momento”. Los campos donde deberían aparecer las razones de la falla y un plazo para restaurar el servicio estaban ocupados por códigos de programación.
La interrupción del servicio fue reportada por más de una hora en varios países en América, Europa, Asia y Africa. Algunos usuarios lograron publicar actualizaciones a través de sus teléfonos o aplicaciones de intermediarios. Tuits sobre la antorcha olímpica, que recorre Londres, siguen siendo publicados, aunque más lentamente que durante las primeras horas del día. Se espera que los Juegos Olímpicos generen un aumento sin precedentes en la actividad de los fans de los deportes en Twitter y otras redes sociales una vez que den inicio el viernes en Londres.
Durante la reciente final del campeonato europeo de fútbol, los usuarios dispararon más de 15.000 tuits por segundo, estableciendo un récord relacionado con el deporte para el sitio.
Fuente: bsecure.com.mx
Fuente: Cryptex-Segu-info

Conceptos básicos sobre ISO 22301

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.

Relación con BS 25999-2

La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.

¿Cuáles son los beneficios de la continuidad del negocio?

Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.

¿Quién puede implementar esta norma?

Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.

¿Qué es ISO 22301?

Nota: la gestión del riesgo es parte de la gestión corporativa general.

Términos básicos utilizados en la norma

  • Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio.
  • Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo tolerable de interrupción [MTPD]).
  • Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe reanudar una actividad o se deben recuperar recursos.
  • Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida.
  • Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones comerciales.

Contenido de ISO 22301

La norma incluye estas secciones:

Introducción

0.1 General

0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)

0.3 Componentes de PDCA en esta norma internacional

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

4.1 Conocimiento de la organización y de su contexto

4.2 Conocimiento de las necesidades y expectativas de las partes interesadas

4.3 Determinación del alcance del sistema de gestión

4.4 Sistema de gestión de la continuidad del negocio

5 Liderazgo

5.1 General

5.2 Compromiso de la dirección

5.3 Política

5.4 Funciones, responsabilidades y autoridades organizativas

6 Planificación

6.1 Acciones para tratar riesgos y oportunidades

6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos

7 Apoyo

7.1 Recursos

7.2 Competencia

7.3 Concienciación

7.4 Comunicación

7.5 Información documentada

8 Funcionamiento

8.1 Planificación operativa y control

8.2 Análisis de impactos en el negocio y evaluación de riesgos

8.3 Estrategia de la continuidad del negocio

8.4 Establecimiento e implementación de procedimientos de continuidad del negocio

8.5 Prueba y verificación

9 Evaluación de desempeño

9.1 Supervisión, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por parte de la dirección

10 Mejoras

10.1 No conformidades y acciones correctivas

10.2 Mejora continua

Bibliografía

Documentación obligatoria

Si una organización desea implementar esta norma, necesitará la siguiente documentación obligatoria:

  • Lista de requisitos legales, normativos y de otra índole
  • Alcance del SGCN
  • Política de la Continuidad del Negocio
  • Objetivos de la continuidad del negocioes
  • Evidencia de competencias del personal
  • Registros de comunicación con las partes interesadas
  • Análisis del impacto en el negocio
  • Evaluación de riesgos, incluido un perfil de riesgo
  • Estructura de respuesta a incidentes
  • Planes de continuidad del negocio
  • Procedimientos de recuperación
  • Resultados de acciones preventivas
  • Resultados de supervisión y medición
  • Resultados de la auditoría interna
  • Resultados de la revisión por parte de la dirección
  • Resultados de acciones correctivas

Normas relacionadas

Otras normas de ayuda en la implementación de la continuidad del negocio son:

  • ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y comunicación para la continuidad del negocio
  • PAS 200 – Gestión de crisis: orientación y buenas prácticas
  • PD 25666 – Orientación para prueba y verificación de programas de continuidad y contingencia
  • PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
  • ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y comunicación para recuperación de desastres
  • ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad operativa
  • ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos

 Descargar el diagrama de implementacion

 Fuente: Cryptex

http://www.iso27001standard.com/ique-es-iso-22301

¿Que medidas de seguridad debo que tener en cuenta al realizar compras online?

· Comprueba las características de seguridad de la página en la que vas a comprar.
Para saber que estás dentro de un entorno seguro, la dirección debe empezar por https://. Después, al hacer tu pedido, busca un candado cerrado junto a la barra de dirección. Con un simple clic sobre él puedes comprobar el certificado de seguridad de la tienda.

· Analiza tu PC.
Asegúrate de que no existe ningún virus o amenaza instalada y activa en tu ordenador. Las más comunes y peligrosas en este ámbito son los troyanos bancarios: permanecen a la espera de que te conectes a determinadas páginas bancarias y sistemas de pago para enviar al delincuente los datos con?denciales que introduces. Pueden llegar a tu ordenador como adjuntos en mensajes o a través de descargas desde webs de contenido dudoso.

· No hagas caso de los mensajes que solicitan datos confidenciales.
Provenientes de entidades financieras. Los bancos nunca solicitan datos a usuarios.

· No envíes nunca datos confidenciales a través del correo electrónico.

· Realiza tus compras con tarjeta de crédito mejor
Nunca con la tarjeta de débito, ya que su protección es mejor ante posibles fraudes o estafas.

· Investiga la reputación del vendedor o de la tienda online antes de realizar la compra.
Encuentra opiniones e información en blogs, foros, comunidades y redes sociales, o consulta los votos que otros consumidores han dado a la tienda.

· Evalúa siempre el portal donde compres.
Busca referencias u opiniones sobre la tienda en portales más reconocidos, y valora que tenga un diseño profesional y que contenga datos de contacto comprobables.

· No hagas caso a los mensajes de spam publicitario.
Nunca pulses en ningún link de dichos mensajes, la mayoría conducen a páginas que imitan a las originales y que tienen fines fraudulentos.

· Utiliza tu instinto
Muchas veces el aspecto de un sitio web (un diseño poco profesional) es un indicio de que nos encontramos frente a un comercio online inseguro.

· Mantén tu solución de seguridad y tu sistema operativo siempre actualizado
Posibles vulnerabilidades del sistema operativo pueden servir para instalar códigos maliciosos o introducirse en tu ordenador sin que te des cuenta de ello.

Fuente: Zonavirus

 

Soluciones de seguridad para la empresa: legislación y cumplimiento

La seguridad de la información desde el punto de vista legal ha cobrado gran importancia para las empresas y las organizaciones, con la LOPD como normativa de referencia.

Ya en los años 70, cuando la tecnología informática era incipiente y comenzaba a llegar al ámbito empresarial a través de los grandes sistemas informáticos, los legisladores comenzaron a intuir los importantes cambios que se avecinaban en el tratamiento de la información. Paralelamente, en Europa se dieron los primeros pasos en el ámbito legislativo en relación con el tránsito de personas a través de las distintas fronteras de los países que componen la unión, debido a la necesidad de compartir información relativa a personas, lo que lógicamente incluía datos de carácter personal. Aquellas iniciativas constituyeron el germen de la actual normativa de protección de datos de carácter personal, entre otras.

En las últimas dos décadas se ha desarrollado diversa legislación en torno a la seguridad de la información, los sistemas de telecomunicaciones o la firma electrónica y todas ellas enfocadas al tratamiento y la seguridad la información. En la actualidad, la legislación relativa a las tecnologías de la información y su tratamiento se han convertido en parte fundamental de la actividad de las organizaciones y las empresas, que están obligadas al cumplimiento de las normas que les aplican en función de su actividad o de los datos que tratan.

En el caso de España, la legislación en torno a las tecnologías de la información, cobraron gran relevancia con la popularización y difusión de la Ley Orgánica de Protección de Datos (LOPD), una normativa que ha hecho las veces de catalizador, acercando dicha legislación a las empresas y las organizaciones. Hoy día, ninguna organización realiza su actividad sin tener en cuenta los aspectos legales o la legislación que aplique en función de su actividad o del tipo de información que trate.

El cumplimiento de la legislación se ha convertido en una prioridad para las organizaciones y las empresas, sobre todo en materia de protección de datos de carácter personal, debido a las sanciones asociadas al incumplimiento de esta normativa y de otras. En el caso de la normativa de protección de datos de carácter personal (LOPD) o la ley de servicios de la sociedad de la información (LSSI), es la Agencia Española de Protección Datos la encargada de velar por el cumplimiento de dichas normas, actuando de oficio, es decir, por iniciativa propia en el ámbito de sus competencias o cuando se produce una denuncia.

Lo cierto es que cumplir con la normativa aplicable, sobre todo en el caso de aquella relativa a protección de datos personales no es una tarea sencilla, que requiere y a la vez es muy recomendable, contar con asesoramiento profesional. En la actualidad, existen multitud de empresas que proveen servicios de asesoramiento legal en normativa relativa a tecnologías de la información, siendo las más comunes, aquellas dedicadas al cumplimiento de la normativa de protección de datos personales.

Debido a la velocidad a la que evolucionan tanto las tecnologías como los tratamientos de la información, los legisladores tienen un importante reto ante sí para mantener la legislación actualizada y acorde con el escenario en el que aplica dicha legislación. Por otro lado, el cumplimiento con la legislación se ha convertido en uno de los sectores dentro de la industria tecnológica que más ha crecido en los últimos años, puesto que la demanda de servicios profesionales en este ámbito ha aumentado de forma significativa.

Desde INTECO-CERT queremos recordar que la seguridad de la información, no solamente hace referencia a aspectos técnicos u organizativos, sino también legales. El incumplimiento de las normas o la falta de medidas de seguridad, pueden derivar en incidentes con importantes consecuencias económicas, a través de sanciones. Por otro lado, es importante destacar que la seguridad es un proceso continuo, que requiere una revisión y un mantenimiento constante, tanto en los aspectos técnicos, como organizativos y legales.

Fuente: Inteco

iCloud y la seguridad de tus datos

Ha pasado un buen tiempo desde que iCloud fue lanzado, y se ha transformado en uno de los servicios más convenientes de Apple. Con iCloud, podemos llevar “nuestra vida digital a la nube”, como dijo Steve Jobs en su momento. Pero desde el día uno, siempre hubo preguntas con respecto a su seguridad. Por eso, desde Ars Technica han hecho un estudio sobre la seguridad de iCloud y concluyeron que nuestra información está más que segura.

 

Apple se encarga de mantener todos nuestros datos seguros a través de un formato encriptado enviado a los servidores usando SSL via WebDav, IMAP y HTTP. Luego, con la excepción de correo electrónico y notas, se encripta de nuevo en el servidor de destino. Estas dos excepciones existen porque de esta manera es mucho más fácil para realizar búsquedas en el servidor.

Sigue leyendo

INTECO publica un nuevo Estudio sobre la seguridad de las redes inalámbricas (WIFI) en los hogares españoles

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado los resultados de la última oleada del “Estudio sobre la seguridad de las redes inalámbricas (wifi) en los hogares españoles” (2º cuatrimestre de 2011), realizado por su Observatorio de la Seguridad de la Información (http://observatorio.inteco.es).

Este estudio constituye la séptima oleada de una serie que comenzó en 2008 y la metodología utilizada durante el trabajo de campo llevado a cabo durante el 2º cuatrimestre de 2011 está basada en un panel online dedicado compuesto por hogares con conexión a Internet repartidos por todo el territorio español.

En el análisis se pone de manifiesto el uso generalizado de las conexiones wifi y su amplia introducción en los hogares en España. Así, 8 de cada 10 usuarios españoles se conecta a Internet a través de una red inalámbrica wifi.

En cuanto a la conexión, la gran mayoría de los internautas (74,1%) lo hacen a través de su propio router, mientras que un 25,2% se conecta habitualmente a una red pública (ayuntamientos, cafeterías, etc.) y un 11,9% accede a Internet conectándose a la red de otro usuario: amigo, vecino, etc.

En las redes inalámbricas ajenas (ya sean públicas o de otro particular) la posibilidad de que el tráfico sea interceptado o descifrado es mayor que cuando se utilizan redes propias. Cabe destacar en este sentido, que un 44,8% de los que se conectan a redes de terceros lo hacen siempre que lo necesitan: en cualquier lugar, esté o no protegida esa red y para realizar cualquier tipo de servicio online (incluyendo intercambio de datos personales, operaciones económicas, etc.). Esto supone un mal hábito de seguridad si se utiliza la red para asuntos que impliquen el uso de información confidencial (conversaciones, emails, contraseñas y cualquier tráfico no cifrado).

Por otro lado, es conveniente proteger nuestras redes inalámbricas con una contraseña robusta asociada a un buen protocolo de cifrado. En este sentido, en los resultados se observa una tendencia positiva: los usuarios españoles han mejorado su seguridad inalámbrica abandonando estándares (poco seguros como el protocolo WEP) y adoptando en mayor medida los sistemas de cifrado WPA y WPA2. El uso de WPA/WPA2 (30,4%) supera al de WEP (20,2%).

Sin embargo, el 15,3% de los hogares españoles declaran no tener o desconocen si tienen su conexión wifi protegida, según los resultados de este 2º cuatrimestre de 2011. Es imprescindible proteger la red wifi con un sistema de cifrado, ya que, de lo contrario, cualquier intruso situado dentro del radio de emisión podría acceder a los datos que se estén intercambiando a través de la conexión inalámbrica.

Respecto a las incidencias de seguridad en el 2º cuatrimestre de 2011, el 14% de los usuarios declaran que sospechan que su wifi ha sufrido alguna intrusión en los últimos meses. Esto puede estar sustentado en el hecho de que para asegurar una red inalámbrica se debe, además de usar un estándar seguro, protegerlo con una contraseña robusta. En caso contrario, los datos quedarán igualmente accesibles para los atacantes, anulando el efecto de la tecnología.

Son varias las recomendaciones de seguridad para proteger las comunicaciones inalámbricas, entre ellas la de aplicar un buen estándar de cifrado como sistema de seguridad (WPA2 es sin duda el más seguro), no difundir el nombre de la red a la hora de configurar en el router SSID (Service Set IDentifier), apagarlo si no se va a utilizar habitualmente, y por último, y no menos importante, la contraseña elegida para proteger la red wifi debe ser robusta.

El Estudio sobre la seguridad de las redes inalámbricas (wifi) en los hogares españoles, 2º cuatrimestre de 2011 (7ª oleada), está disponible para su descarga en la sección web del Observatorio INTECO: http://www.inteco.es/Seguridad/Observatorio/Estudios/estudio_inalambricas_2C2011

El informe se realiza a partir de una metodología basada en el panel online dedicado compuesto por más de 3.500 hogares con conexión a Internet repartidos por todo el territorio español.

Fuente: Inteco

Estadística del blog

  • 108,148 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: