lunes, 21 de enero de 2019

Los certificados ISO pueden ayudar a justificar la procedencia del despido disciplinario por uso fraudulento de Internet (España)

El uso de internet para fines personales o la utilización inadecuada o fraudulenta del ordenador corporativo puede constituir causa de despido disciplinario. Un ejemplo es esta reciente sentencia del TSJ de Madrid de 26 de octubre de 2018 en la la que se declara la procedencia del despido de un empleado que, saltándose la normativa de la empresa (la cual contaba además con varios certificados ISO, entre ellos la ISO27001 sobre seguridad), conectó un router extraíble y compartía clandestinamente su dirección IP.


El caso concreto enjuiciado
A mediados de abril de 2017 un trabajador conectó a su puerto de acceso un router externo, que emitía una red denominada San Luis, conectada a la IP del cliente C.

El día 7 de junio de 2017, el departamento de sistemas de la demandada descubrió el dispositivo y lo desconectó.
La investigación y búsquedas de redes diferentes a las homologadas e instaladas por la empresa, vino determinada por las quejas que venía recibiendo del cliente, que advertían que entre las 13:00 y la 15:00 la red se caía y no podían trabajar. Todo ello en un contexto de nerviosismo de la clientela tras la aparición a mediados de mayo del randsomware wannacry, por lo que la empresa estaba extremando las medidas de seguridad, poniendo todo tipo de parches y advirtiendo a todos los trabajadores que extremaran la cautela.


El día 8 de junio de 2017 se comprobó que al desconectar el router intruso de la IP de CECA y en consecuencia la red San Luis, la red dedicada a la asociación bancaria funcionaba sin incidencias.


Fuente: sincro.com.es



miércoles, 9 de enero de 2019

Guía para el Uso Seguro de Juguetes conectados a Equipos Informáticos

Hoy en día muchos juguetes tecnológicos se conectan a nuestros móviles, tabletas, o directamente a Internet. De este modo mejoran sus prestaciones, pero también implican nuevos riesgos para toda la familia que debemos conocer y gestionar.

Para responder a esta inquietud, IS4K (INCIBE) en colaboración con la Asociación Española de Fabricantes de Juguetes facilita esta guía para el uso seguro de juguetes conectados, con  recomendaciones para familias antes y después de su compra. 

El documento se compone de diferentes fichas en las que se abordan distintos aspectos para conocer mejor las funcionalidades de estos juguetes, saber en qué fijarse a la hora de adquirirlos, configurarlos de forma segura y aplicar pautas para disfrutarlos con los menores riesgos.

Imagen guia






Aprender de los incidentes de ciberseguridad de 2018: Realice diligencia debida

Los incidentes de ciberseguridad siguieron afectando a las empresas en 2018. Los expertos analizan las lecciones aprendidas y las respuestas de los consumidores a las mayores violaciones de seguridad de la información del año.


Dado que las violaciones de datos se están convirtiendo en una realidad cotidiana, es casi imposible saber qué brechas seguirán siendo influyentes o impactantes a lo largo de un año. Para este resumen de ciberseguridad, decidimos centrarnos en analizar Under Armour, Cambridge Analytica-Facebook, Uber y Marriott Hotels como los incidentes de ciberseguridad más poderosos de 2018.

No todos los riesgos de seguridad de la información son violaciones de datos, pero todas las violaciones de datos son un riesgo de seguridad. Las violaciones de datos del consumidor pueden revelar información personal, métodos de pago o información de seguridad sobre una empresa, sus empleados o sus usuarios. Si bien las infracciones pueden estar en la seguridad, como malware o hacks de mainframe, o la adquisición de datos, el costo y el impacto de una brecha continúan disparándose.

El estudio del Costo de una brecha de datos 2018 de Ponemon Institute encontró que el costo total promedio de los incumplimientos de datos se ha disparado 6,4% a $ 3,86 millones de dólares. Las brechas de datos afectan los resultados finales de una empresa al afectar la confianza del consumidor, pero las infracciones recientes han comenzado a tener en cuenta el costo del tiempo entre la brecha y la divulgación: su diligencia debida y el plan de respuesta a la infracción.


Diligencia debida y divulgación

¿Cuáles son las formas concretas en que las empresas deben garantizar la seguridad de los datos y reducir el riesgo de brechas en 2019? Los expertos recomiendan diligencia debida, auditorías internas y un procedimiento de divulgación, especialmente cuando leyes como la Ley de Privacidad del Consumidor de California y GDPR comienzan a entrar en vigencia en 2019 y 2020.

Fuente: searchdatacenter.techtarget.com



lunes, 7 de enero de 2019

¿Deben fusionarse las funciones de director de privacidad y de seguridad de la información?

A la conferencia anual sobre seguridad y riesgos de la privacidad, organizada por la Asociación Internacional de Profesionales de la Privacidad (IAPP), solían ir exclusivamente profesionales de la privacidad. Pero en los últimos años, se ha visto un número creciente de profesionales de seguridad y de TI que asisten. ¿Es hora de una fusión de CPO-CISO?

Dado el panorama regulatorio global cambiante, gracias al inicio de GDPR, la Ley de Protección al Consumidor de California (CCPA), las leyes de seguridad y seguridad cibernética de China y las leyes de notificación de incumplimiento abundan, no sorprende ver la fusión de los roles de privacidad y seguridad como una tendencia emergente en este espacio. Está claro que la nueva norma para las leyes de privacidad requerirá controles de seguridad de TI claros, tangibles y operativos.
Si bien los jefes de privacidad (CPO) y los jefes de seguridad de la información (CISO) pueden temblar ante la idea de asumir más responsabilidad de la que ya tienen, hay muchos buenos motivos para que estos equipos estén estrechamente alineados, incluso si los roles no pueden ser combinados
Tanto las regulaciones de privacidad como las de seguridad ahora requieren procedimientos y controles técnicos que proporcionan evidencia de que una compañía realmente cumple con las regulaciones. Históricamente, sin embargo, muchas organizaciones usan políticas basadas en papel, que en gran parte no se aplican por dos razones:
A menudo están escritos por profesionales legales y de cumplimiento que saben muy poco acerca de los usuarios promedio dentro de sus empresas y, por lo tanto, no son prácticos de implementar o seguir. Sin embargo, muchos profesionales de la privacidad están acostumbrados a redactar políticas que ayudan a sus compañías a cumplir con los requisitos reglamentarios, pero no necesariamente reflejan lo que su compañía está haciendo en la práctica, ni siquiera lo que es posible en la práctica.
Estas políticas también suelen redactarse sin consultar a los equipos de TI y seguridad de la empresa. Debido a esto, no siempre reflejan lo que es técnicamente posible hacer cumplir, ni el trabajo diario de los empleados dentro de la organización.
Sin privacidad, seguridad y TI trabajando juntos, la realidad del verdadero cumplimiento es casi imposible.

¿Por qué deberían los CPO y los CISO trabajar juntos?
Si bien los CPO deben ser los principales responsables de las políticas que abordan la información personal y cómo la organización las recopila, utiliza y administra, los CISO deben ser responsables de las políticas que se centran en la protección de los sistemas, la seguridad de TI y la forma en que se transfieren los datos. retenido Al final del día, para que las políticas sean accionables y las organizaciones tengan éxito, los CISO y los CPO deben trabajar juntos.

Fuente: discoverthenew.ituser.es