Tríada CIA, “más importante que nunca” para la seguridad TI

Categorías relacionadas:
Amenazas, Aplicaciones, BI y analítica, Big Data, Cómo hacerlo, Cloud / Nube, Cloud Computing, Cloud computing, Continuidad, Destacado, Lo más reciente, Lo más reciente, Mejores prácticas, Nubes públicas y privadas, Productos de seguridad, Protección, Recuperación, SaaS, Seguridad, Seguridad, Seguridad, Seguridad, Tips

La histórica definición de la seguridad de TI es algo que muchos tomadores de decisión conocen desde siempre. Se basa en la llamada Tríada CIA, en la que la combinación de los elementos Confidencialidad, Integridad y Disponibilidad (CIA, por sus siglas en inglés) proporciona un punto integral de partida. En otras palabras, por largo tiempo, la base de la seguridad de TI en las organizaciones ha consistido en garantizar esta trilogía.

Leer más...



¿Cuánta privacidad estamos dispuestos a renunciar a cambio de redes sociales gratuitas?

Categorías relacionadas:
Cómo hacerlo, CSO, Destacado, Identidad y Accesos, Lo más reciente, Lo más reciente, Medios sociales, Políticas y normas, Protección, Protección de datos, Seguridad, Seguridad, Seguridad, Tips

renunciar-privacidad

Si usted sabe que cada anuncio que ve responde a los productos exactos que quería, ¿a qué estaría dispuesto a renunciar?, ¿estaría dispuesto a publicar su dirección de casa para que otros lo vean?, ¿su nivel de ingresos?, ¿su fecha de nacimiento?, ¿estaría dispuesto a decir todo en Internet?

Para la mayoría de nosotros, la respuesta automática es “no”, pero la realidad de los medios de comunicación social no está demasiado lejos. Algunas plataformas como Facebook se basan en publicidad dirigida para mantener el servicio gratuito.

Usted podría argumentar que es un pequeño precio a pagar por la capacidad de conectarse a prácticamente cualquier persona en el mundo, y seguro, la publicidad en sí misma no es inherentemente mala. Pero cuando la publicidad cruza la línea e invade la privacidad, los consumidores tienen que hacerse preguntas duras sobre qué datos personales están dando.

Facebook y otras plataformas similares son empresas con fines de lucro, lo que significa que son como cualquier otra empresa. En su industria en particular, se basan en fragmentos de datos que rastrean dónde ha estado conectado y lo que ha estado buscando. Este seguimiento se justifica de la siguiente manera: si busca un asiento de seguridad para la ducha, sería genial ver anuncios de marcas que venden este producto y cuáles tienen las calificaciones de seguridad más altas.

Sin embargo, si la búsqueda es más personal, probablemente no desee que Facebook destaque su actividad y la divulgue a través de toda su actividad en Internet.

Imagínese la búsqueda de información sobre una condición médica grave u opiniones políticas impopulares. ¿Qué pasa si usted se sentó en su escritorio en su hora de comida y buscó instituciones para rehabilitación de pacientes drogadictos u opciones de elección reproductiva? Imaginar un escenario de pesadilla en el que una mujer busca en línea abogados de divorcio o información sobre los centros de violencia doméstica, qué ocurrirá cuando otra persona utilice su computadora.

El adagio que “nada se ha borrado o es privado en Internet” puede ser verídico. Pero, ¿por qué estamos alentando activamente a los usuarios de redes sociales a ser cautelosos, como si este tipo de rastreo y recopilación de datos fuera inevitable? No es egoísta oponerse a que los anunciantes sepan qué preocupaciones de salud tiene. Tampoco es erróneo no querer que su empresa sepa acerca de estas preocupaciones específicas de salud, especialmente si usted las administra adecuadamente y no afectan su capacidad para hacer su trabajo. En definitiva, usted tiene todo el derecho de no querer ser rastreado y seguido.

Sin embargo, eso es exactamente lo que se pide a los usuarios de Internet que hagan a cambio de medios sociales “libres”. Los expertos que han hablado en favor de la publicidad dirigida sólo hablan de los beneficios que tiene para los demás, como “mejores resultados de los motores de búsqueda”, una “mejor analítica” o un “”mejor software.

Pero no hablan de que sus datos personales terminan en un servidor en algún lugar, almacenados por una cantidad ilimitada de tiempo, accesible por cualquier persona y con los medios para entrar en ella.

La privacidad es de vital importancia, y no es algo a lo cual uno deba renunciar tan casualmente.

Eva Velasquez, CIO EEUU

 

Leer más...



Considere estas nuevas condiciones de privacidad de Linkedin

Categorías relacionadas:
Continuidad, Del día, Lo más reciente, Lo más reciente, Redes Sociales, Seguridad, Seguridad, Tendencias, Tendencias, Tips

LinkedIn-privacidad

Quien paga, juega. Esta es la idea que parece subyacer en las nuevas políticas de privacidad de Linkedin, actualizadas el pasado viernes y que entrarán en vigor a partir del próximo 7 de junio. Y, es muy importante que los empleados que utilizan los servicios premium de la red social tengan en cuenta esta frase antes de ponerse a bucear en la página o a presentar su candidatura para puestos en empresas competidoras. Porque, tal y cómo asegura la propia compañía, “usted es el dueño de su cuenta personal, pero quien contrata las características premium tiene el derecho a vetar su acceso a estos servicios, así como a obtener información sobre el uso que le está dando a dichos privilegios pagados”.

Sin embargo, las nuevas condiciones parecen excluir la opción de búsqueda de trabajo del dominio de los jefes o, por lo menos, dejan un espacio para llegar a un acuerdo entre ambas partes. “Entendemos que ciertas informaciones como la búsqueda de empleo o los mensajes personales son críticos y no será obligatorio compartirlos con el pagador a menos que elijan esa opción dentro de la plataforma”. Esto significa que los usuarios deben ser muy cuidadosos a la hora de configurar sus acuerdos y asegurarse de que no están compartiendo datos (en estos ámbitos) que no quieran, con sus responsables.

Otro aspecto a tener en cuenta –y que no aparece en la nueva normativa de Linkedin- tiene que ver con si ya está compartiendo información que podría violar los acuerdos de confidencialidad de su empresa. Como periodista especializado en nuevas tecnologías he encontrado muchos ‘regalitos’ dentro de los perfiles de profesionales del mundo TI.

Por ejemplo, cuando investigo a proveedores, encuentro frecuentemente reseñas de gente que narra con todo lujo de detalle los problemas que ha resuelto. Los perfiles dan cuenta de graves problemas que han sucedido, especificando el tipo de error de sistema, datando el suceso y pormenorizando todos los daños. Después, los profesionales TI detallan como lo han arreglado. Sin duda, es un caramelo para los abogados que tratan con temas de confidencialidad.

Si volvemos a los puntos del nuevo acuerdo entre Linkedin y los usuarios, encontramos algunos pasajes, como éste a continuación, que podrían recibir algo así como un premio denominado el ‘Juramento Más Hipócrita’. Literalmente asegura que “añadimos que nuestra restricción contra la creación de identidades falsas en nuestros servicios no ha sido renunciada solo porque Linkedin pueda permitir un perfil claramente ficticio en relación con una campaña promocional que ha aprobado”.

Otra política incomprensible: “Si no está de acuerdo con estos cambios, puede cerrar su cuenta”. Pero, si decide irse, ¿cree que sus datos serán borrados? Esta es la respuesta: “retenemos su información personal incluso después de haber cerrado la cuenta siempre que ésta sea estrictamente necesaria para cumplir con nuestras obligaciones legales, los requisitos reglamentarios, la resolución de conflictos, el mantenimiento de la seguridad y la prevención del fraude y el abuso”.

Luego está el recordatorio de todas las formas en que la red social le seguirá para siempre. “Si opta por importar su libreta de direcciones, recibiremos sus contactos, incluida la información de contacto de su proveedor de servicios o de la aplicación que se agregó automáticamente a su libreta de direcciones. Si sincroniza su correo electrónico o calendarios recopilaremos su información sobre sus reuniones y datos personales sobre usted cuando utiliza los servicios de nuestros clientes y socios, tales como posibles empleadores y sistemas de seguimiento que nos proporcionan datos de solicitud de empleo”, refiere el acuerdo. “Registramos los datos de uso cuando visita o usa nuestros servicios, incluyendo nuestros sitios. Utilizamos direcciones de inicio de sesión, cookies, información del dispositivo y direcciones de protocolo de Internet, así como su ubicación, servidor proxy, sistema operativo, navegador web y complementos”.

Pero, para ser justos, esta no es, ni siquiera de cerca, la peor política de privacidad que he visto. Pero dada la cantidad de datos que muchas personas del mundo TI introducen en Linkedin, vale la pena echar un vistazo a todos estos cambios.

-IDG.es

Leer más...



Conozca los perfiles de los empleados “de alto riesgo” para la seguridad TI

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Cloud / Nube, Colaboración, Continuidad, Continuidad de negocios, CSO, Del día, Destacado, Estrategia CIO, Estrategias, Estrategias, Eventos, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Mejores prácticas, Políticas y normas, Productos de seguridad, Protección, Protección de datos, Redes Sociales, Rol del CIO, Seguridad, Seguridad, Seguridad, Seguridad, Seguridad, Tecnologías, Tendencias, Tips, Tips

riesgo-perfil

logo-15-anos-CIO-Mexico¿Quiénes son los empleados denominados “de alto riesgo” para la seguridad de su organización? ¿Por qué representan un riesgo? ¿Cómo identificarlos? ¿Cómo operan? ¿Qué medidas preventivas o procesos se pueden implementar?

CIO México y Computerworld México le invitan cordialmente a participar en el webcast que se realizará el próximo miércoles 19 de octubre a partir de las 10 am, en el cual se presentarán los 7 perfiles de los infiltrados más comunes y de alto riesgo dentro de las organizaciones.

En este evento usted tendrá la oportunidad de exponer sus dudas y conocer las experiencias de otros colegas suyos, responsables de áreas de Seguridad TI en organizaciones públicas y privadas. Contaremos con la participación de Pavel Orozco, Director de Ingeniería para América Latina; Ramón Salas, Director Regional para México y Centroamérica, ambos de Forcepoint, y José Luis Becerra, Editor de CIO México, como moderador.

Puede registrarse aquí.

Para más información, puede comunicarse al (55) 50 97 05 50, o en el correo cioresources@cio.com.mx

Leer más...



Adopta Microsoft primer estándar internacional de privacidad en la nube

Categorías relacionadas:
Administración, Administración del riesgo, Cloud / Nube, Cloud Computing, Cloud computing, Continuidad, Del día, Lo más reciente, Lo más reciente, Nubes públicas y privadas, Protección, Seguridad, Seguridad, Seguridad, Tendencias

Microsoft se convirtió esta semana en el primer proveedor de servicios en la nube en adoptar un estándar internacional para privacidad en la nube del mundo.

El estándar es conocido como ISO/IEC 27018, y fue desarrollado por la Organización Internacional para la Estandarización (ISO) para establecer un enfoque internacional y uniforme que permita proteger la privacidad de los datos personales almacenados en la nube.

El Instituto Británico de Estándares (BSI) verificó que tanto Office 365 como Dynamics CRM Online están alineados con el código de práctica del estándar para la protección de la Información Personal de Identificación (PII) en la nube pública. Y de manera similar, Bureau Veritas ha hecho lo mismo para Microsoft Intune.

¿Qué aporta el estándar?

De acuerdo con Microsoft, adherirse al ISO 27018 asegura a los clientes empresariales que la privacidad estará resguardada de diferentes maneras.

Una de ellas es que tienen el control de sus datos, ya que la adherencia al estándar asegura que Microsoft sólo procesará datos personales de acuerdo con las instrucciones que les brinden los clientes.

Además, los usuarios saben qué sucede con sus datos, pues la adherencia al estándar asegura la transparencia sobre las políticas referentes al retorno, transferencia y eliminación de información personal de clientes que se almacena en los centros de datos.

La adherencia al ISO 27018 brinda un número importante de salvaguardas de seguridad. Asegura la existencia de restricciones definidas sobre cómo se manejan los datos personales, con inclusión de restricciones sobre su transmisión en redes públicas, almacenamiento en medios portátiles y procesos adecuados para los esfuerzos de recuperación y restauración de datos. El estándar incluye una obligación de confidencialidad que asegura que los datos no serán utilizados para publicidad.

Y en lo que se refiere al acceso a los datos por parte de algún gobierno, el estándar requiere que las solicitudes por parte de las autoridades gubernamentales o judiciales para divulgar datos personales sean dadas a conocer a los clientes empresariales, “a menos que esta divulgación esté prohibida por la ley”, señaló Brad Smith, abogado general y vicepresidente ejecutivo de Asuntos Legales y Corporativos de Microsoft.

Leer más...