Revista Cybersecurity #9. ID Secure: Usted…¿Es Usted?

• NOTA DE TAPA: ID Secure. Usted... ¿Es usted? 
• INFORME ESPECIAL: Abordar la salud desde la mirada de la ciberseguridad 
• NOTAS: MDM y ciberseguridad
• Entendiendo la Gestión de riesgos de terceros 
• IA en el mundo de la ciberseguridad 
• Seguridad personalizada: el rol de analytics 
• Principales marcos de cumplimiento normativo para 2021 
• Enfoque basado en la madurez versus enfoque basado en el riesgo: ¿Cuál es la respuesta correcta? 
• Nuevo estándar para credenciales electrónicas Frameworks and standards 
• Detrás de la “política de privacidad” de WhatsApp 
• Google Meet: un objetivo de los estafadores.

 

Si no puede ver la revista online lo invitamos a descargar la versión PDF aquí.

Security along the Container-based SDLC - OSS Tool List

 Security along the Container-based SDLC - OSS Tool List

CLOUD · SDLC · DEVSECOPS ∼ KUBERNETES · CONTAINER · MICROSERVICE · SCA · PENTESTING · SAST · DAST · IAST · RASP (72 tools)

 

• OWASP Dependency-Track - https://dependencytrack.org
  Type: SCA
  
  Description: Dependency-Track is an intelligent Supply Chain Component Analysis platform that allows organizations to identify and reduce risk from the use of third-party and open source components.
  Dependency-Track monitors component usage across all versions of every application in its portfolio in order to proactively identify risk across an organization. The platform has an API-first design and is ideal for use in CI/CD environments.
  
  
• OpenAM - https://github.com/OpenIdentityPlatform/OpenAM
  Type: IAM
  
  Description: Open Access Management (OpenAM) is an access management solution that includes Authentication, SSO, Authorization, Federation, Entitlements and Web Services Security.
  Cross Domain Single Sign On (CDSSO), SAML 2.0, OAuth 2.0 & OpenID Connect ensure that OpenAM integrates easily with legacy, custom and cloud applications without requiring any modifications. It's a developer-friendly, open-source control solution that allows you to own and protect your users digital identities.
  
  
• AquaSec Kube-Bench - https://github.com/aquasecurity/kube-bench
  Type: Security Audit
  Description: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark.
  Note that it is impossible to inspect the master nodes of managed clusters, e.g. GKE, EKS and AKS. It supports the tests for Kubernetes as defined in the CIS Benchmarks 1.3.0 to 1.5.0 respectively.

 

More...

Kit de Autodiagnóstico sobre Teletrabajo Seguro (KATS)

Descubra el nivel de riesgo de su organización respecto al Teletrabajo y obtenga recomendaciones de implementación de mejores prácticas junto a un plan de mitigación de los riesgos detectados.

Como en cualquier análisis de riesgo y herramientas de autoevaluación, a partir de una serie de preguntas muy sencillas, KATS permite determinar el nivel de exposición de la organización frente a posibles ataques. Además, es muy sencillo de utilizar y gratuito. Simplemente se debe descargar un archivo Excel (sin macros) y contestar las preguntas.

TRANSVERSAL

El relevamiento toma en cuenta diversos temas: Acceso Remoto, Equipos de los Usuarios, Hábitos de los Usuarios, Cumplimiento, Gestión y Organización de la Seguridad y Seguimiento del Proyecto.

INTERNACIONAL

Las recomendaciones y el plan de acción para mitigar los riesgos detectados se basan en las mejores prácticas internacionales: ISO, PCI, CSA, NIST, etc.

EFECTIVO

KATS es sencillo de utilizar y su salida es clara y concreta. Además, su utilidad no termina en el diagnóstico sino que hace énfasis en el seguimiento de la implementación del plan de acción.

DESCARGUE EL KIT DE MANERA GRATUITA:

Global Fraud and Risk Report 2019/20

México – Las actividades criminales en redes sociales fueron un factor relevante en el 27% de los incidentes sufridos por las empresas a nivel global en los últimos 12 meses, según datos del último Reporte Global de Fraude y Riesgo 2019, publicado hoy por Kroll, una división de Duff & Phelps, el líder mundial en mitigación de riesgos, investigaciones, cumplimiento, protección cibernética, soluciones de seguridad y manejo de crisis. 

Casi dos tercios (64%) de los líderes de negocios globales encuestados, mencionaron a las redes sociales como una prioridad importante para desarrollar una defensa estratégica en sus organizaciones. El informe muestra que las empresas ahora enfrentan un panorama de riesgo  mayor, a medida que las organizaciones buscan abordar las amenazas digitales emergentes y lidiar con complejos problemas de reputación y de regulación.

El Reporte Global de Fraude y Riesgo 2019 de Kroll, con una investigación dirigida por Forrester Consultoría, examina el panorama actual de riesgo global y analiza los mayores riesgos que enfrentan compañías globales y los pasos que se están tomando para prevenir, detectar y responder a las amenazas diarias.

El riesgo más común, sufrido por el 39% de las empresas, es la fuga de información interna, destacando la creciente amenaza interna a la propiedad intelectual, secretos comerciales y otros tipos de información confidencial. En la encuesta del año pasado, el robo de información fue el tipo de fraude más común experimentado por primera vez en diez años, con el 29% de los encuestados informando ser afectados por este tipo de incidente.

El robo de datos y el daño a la reputación causados por las relaciones con terceros fue el siguiente en la lista de incidentes significativos, afectando al 29% de los encuestados este año. El fraude externo también fue una cuestión importante, para el 28%. A pesar del riesgo planteado por terceros, casi la mitad (47%) de los líderes empresariales admiten no llevar a cabo la debida diligencia sobre los proveedores.

La amenaza digital se ve agravada por tecnologías emergentes como las criptomonedas. Casi todos (91%) de los líderes empresariales globales encuestados están investigando criptomonedas y blockchain, considerándolo como un riesgo potencial para sus organizaciones. Más de una de cada tres de las empresas (35%) mencionaron el riesgo de fraude o robo como la principal preocupación al considerar invertir en tales áreas, seguidas de la falta de una supervisión regulatoria clara (29%), tecnología no probada (19%) e implicación potencial con malos actores (16%).

El informe reveló que los incidentes relacionados con el fraude siguen siendo frecuentes, específicamente con partes externas que afectaron a más de una cuarta parte (28%) de los encuestados globales en los últimos 12 meses. México es particularmente vulnerable a la fuga de información interna, con un 46%.  Al mismo nivel se encuentra el robo de datos y el daño de imagen causado por un tercero con un 32%, los dos se encuentran un 3% más alto que el promedio global.

El entorno empresarial actual sigue presentando desafíos a las empresas en términos de mitigación de riesgo y gestión de la reputación. Como tal, el 84% de las empresas se sienten amenazadas por la manipulación del mercado a través de la difusión de Fake News, más comúnmente alimentadas por las redes sociales y los medios de comunicación. Además, los embajadores e influencers de marca presentan un nuevo desafío para los procedimientos de diligencia adecuados; el 78% de los encuestados los usa en cierta medida, lo que significa que las empresas tienen que examinar no solo a los influencers en sí mismos, sino también su entorno a un nivel más amplio en redes digitales.

La investigación destaca que las empresas deben asegurarse de anticipar esta amplia gama de amenazas y detectarlas de manera efectiva antes de que se conviertan en problemas más grandes. Cuatro de cada cinco (80%) de las empresas consideraron que sus mecanismos de detección de riesgos cibernéticos eran efectivos, pero cuando se les preguntó acerca de las amenazas futuras, a la mayoría de los encuestados (90%) les preocupa que un ciberataque que podría provocar una crisis económica mundial. 

Curiosamente, los programas internos de denuncia para irregularidades se consideraron la forma menos efectiva de detectar algún riesgo, con solo el 66% de los líderes empresariales declarando que fueron efectivos.

Tom Everett-Heath, Director y Jefe Global de Inteligencia de Negocios e Investigaciones en Kroll, comentarios: “El panorama de riesgos ha seguido evolucionando en los últimos años. Las empresas ahora operan en mercados más complejos y volátiles que nunca, confiando en una red más amplia de terceras partes y cada vez más digitalizados. En muchos casos, también están poniendo su reputación en manos de personas influyentes de las redes sociales. No sorprende que las empresas ahora buscamos mejores formas y más eficientes para prevenir y detectar estas amenazas cada vez más variadas, antes de que se conviertan en problemas importantes ".

Results of Our Annual Fraud and Risk Survey

Download Kroll’s annual Global Fraud and Risk Report to learn about the biggest risks facing global organizations, by region and by sector, and the steps being taken to prevent, detect and respond to daily threats.
In 2019, Kroll commissioned Forrester Consulting to conduct an online survey of 588 senior executives across the globe who have significant involvement in determining their organization’s risk management strategies.

Download the Report

Fuente:www.kroll.com

Herramienta de Evaluación de Seguridad de Microsoft (MSAT)

La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita diseñada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos.

MSAT permite fortalecer la seguridad de su entorno informático y de su negocio de manera fácil y efectiva. Comience tomando una instantánea del estado actual de su seguridad y utilice a continuación MSAT para monitorizar de forma constante la capacidad de su infraestructura para responder a las amenazas de seguridad.

Conocer los riesgos

MSAT está diseñado para ayudarle a identificar y abordar los riesgos de seguridad en su entorno de TI. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnología.

MSAT proporciona:

• Un conocimiento constante, completo y fácil de utilizar del nivel de seguridad,
• Un marco de defensa en profundidad con análisis comparativos del sector.
• Informes detallados y actuales comparando su plan inicial con los progresos obtenidos.
• Recomendaciones comprobadas y actividades prioritarias para mejorar la seguridad.

El proceso de MSAT

MSAT consta de más de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prácticas comúnmente aceptadas, estándares tales como las normas ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones normativas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.

La evaluación está diseñada para identificar los posibles riesgos de negocio de su organización y las medidas de seguridad implementadas para mitigarlos. Centrándose en problemas comunes, las preguntas han sido desarrolladas para proporcionar una evaluación de seguridad de alto nivel de la tecnología, procesos y usuarios que participan en el negocio.

A partir de una serie de preguntas acerca del modelo de negocio de su compañía, la herramienta crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de su empresa al hacer negocios según el modelo empresarial y de negocio definido por BRP. Una segunda serie de preguntas tienen como fin elaborar un listado con las medidas de seguridad que su empresa ha implementado a lo largo del tiempo. Juntas, estas medidas de seguridad forman capas de defensa, proporcionando una mayor protección contra los riesgos de seguridad y vulnerabilidades específicas. Cada capa contribuye a una estrategia combinada para una protección a fondo. La suma de ellas se conoce como Defense-in-Depth Index (DiDI). El BRP y DiDI se comparan entonces para medir la distribución del riesgo a través de las áreas de análisis (AoAs): infraestructura, aplicaciones, operaciones y usuarios.

Además de medir la equivalencia entre riesgos de seguridad y defensas, esta herramienta también mide la madurez de su organización. La madurez de la seguridad se refiere a la evolución llevada a cabo en el fortalecimiento de la seguridad y las tareas de mantenimiento. En el extremo inferior, son pocas las medidas de seguridad empleadas y las acciones llevadas a cabo son reacciones a los acontecimientos. En el extremo superior, se establecen y se prueban unos procesos que permiten a la compañía mayor proactividad y una respuesta más eficiente y consistente cuando es necesario.

Las recomendaciones sugeridas para la gestión de riesgos tienen en cuenta la tecnología existente, la presente situación de la seguridad y las estrategias de defensa en profundidad. Las sugerencias están pensadas para ayudarle a reconocer las prácticas más recomendadas.

DESCARGA

2019 Open Source Security and Risk Analysis (OSSRA) Report

Can you say with confidence that the open source components used in your applications are up-to-date with all crucial patches applied? It’s impossible to patch software when you don’t know you’re using it. 

The 2019 OSSRA report offers an in-depth look at the state of open source security, compliance, and code quality risk in commercial software. Based on the anonymized data of over 1,200 audited codebases, this report provides: The latest insights and surprising statistics about open source security and license risk The components most likely to have identified vulnerabilities Six key recommendations to improve your application risk management processes Download the report today. Can you say with confidence that the open source components used in your applications are up-to-date with all crucial patches applied? It’s impossible to patch software when you don’t know you’re using it. The 2019 OSSRA report offers an in-depth look at the state of open source security, compliance, and code quality risk in commercial software. Based on the anonymized data of over 1,200 audited codebases, this report provides:

• The latest insights and surprising statistics about open source security and license risk 
• The components most likely to have identified vulnerabilities 
• Six key recommendations to improve your application risk management processes 

Download the report

I Congreso Auditoría & GRC - ISACA (España) - Presentaciones

El 20 de marzo 2018, se ha celebrado en el Auditorio Bankia el I Congreso de Auditoría & GRC. Un acto, al que acudieron cerca de 250 profesionales, en el que se habló te temas tan diversos como el RGPD, Auditoría en Blockchain, Transformación Digital, Data Analytics, Implantación de GRC, y COBIT.

Este nuevo congreso, motivado por la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento, se enfocó en generar una visión global de los procesos, gestión de riesgos, fraude, control interno y cumplimiento normativo y legislativo, sin dejar de lado la metodología y ejecución de revisiones y auditorías de los mismos.

Como es habitual en ISACA Madrid Chapter, la jornada ha estado compuesta por ponencias y mesas redondas con los mejores expertos en cada área, siempre bajo un enfoque práctico y casos de éxito, con la finalidad de conseguir un intercambio de conocimiento esencial y necesario en este tipo de jornadas.

Programa:

• Apertura
• Margarita Uria, Directora de la Agencia Vasca de Protección de Datos (AVPD)
• La adaptación al GDPR antes del próximo 25 de mayo.
• Luis Felipe López Álvarez, Profesor de Derecho Administrativo y de Internet de la UDIMA, y Socio Director de Syntagma, Centro de Estudios Estratégicos (ver presentación)
• Implementación del GDPR.
  • Cecilia Álvarez, Presidenta de la APEP
  • Ruth Benito, Of counsel de Elzaburu
  • Marta Fernández, Abogada de la asesoría jurídica de BNP Paribas
  • Ana Solana, General Counsel Franco Benelux & Iberia en The Body Shop
  • Modera: José Miguel Cardona, Socio de la División de Seguridad de la Información de Auren
• El valor de la transformación digital en la auditoría Interna.
• David Salazar Fernández, Manager Advisory Services, EY (ver presentación)
• Auditoría en Blockchain.
• COBIT 5 & GRC. Errores y aciertos en su implementación.
• Alexander Zapata, Presidente de ISACA Medellín (ver presentación)
• Implementación de GRC: Casos de éxitos y precauciones en la implantación de herramientas GRC
• Juan Fco. Cornago Baratech, Responsable técnico de las soluciones de GRC y Resiliencia de SIA Group (ver presentación)
• Jorge de las Peñas, Gerente de Gobierno de TI de Mutua Madrileña (ver presentación)
• Javier Heras Cano, Head of Risk, Compliance & Internal Audit en Grupo VIPS/Starbucks Coffee España & Portugal (ver presentación)
• Modera: Erik de Pablo, Director de Investigación de ISACA Madrid
• Técnicas avanzadas de auditoría: Data analytics.

Fuente:www.isaca.org

5 tendencias que amenazarán la seguridad informática en 2017

Según la compañía de seguridad ESET, el ransomware, el malware en smartphones, el espionaje de datos personales y los ataques al Internet de las Cosas y a los videojuegos son algunas de las principales amenazas que predominarán el próximo año.

1.- Ransomware. Durante los últimos meses se han creado cientos de nuevas variantes que han afectado a cientos de miles de usuarios. No obstante, el verdadero problema ha sido la profesionalización definitiva de este modelo de negocio, algo que permite que cualquier delincuente sin apenas conocimientos pueda ganar importantes cantidades de dinero infectando a usuarios. “Esta tendencia se repetirá lamentablemente en 2017 e incluso es posible que veamos aún más infecciones debido al uso de técnicas de propagación más avanzadas que el simple fichero malicioso adjunto a un correo electrónico”, explica Josep Albors, director del Laboratorio de ESET España. 

2.- Malware en smartphones. A medida que el sistema operativo de Google afianza su posición predominante en el mercado móvil, los delincuentes priorizan los ataques sobre esta plataforma para obtener beneficios de sus víctimas. A este problema se le han unido otros como, por ejemplo, los enlaces maliciosos enviados a través de aplicaciones de mensajería instantánea. Se trata de una tendencia que, según ESET, seguirá al alza el próximo año, pues para el delincuente el único esfuerzo consiste en suplantar la marca de una empresa conocida y así engañar al usuario para que pulse en el enlace malicioso.

3.- Espionaje de datos personales. Es lo que se conoce como “Ataque al CEO” y que consiste en recopilar información de la persona que maneja las cuentas de la empresa, ya sea a través de fuentes abiertas como las redes sociales o espiándole el móvil. Una vez que los delincuentes han aprendido cómo realiza las transferencias de dinero con sus clientes de confianza, proceden a engañar a su víctima para que transfiera importantes sumas de dinero a números de cuenta que nada tienen que ver con sus proveedores o clientes habituales.

más...


Fuente: www.ituser.es/

Estudio: Índice del Riesgo de la Información [Iron Mountain y PwC]

¿Estamos haciendo suficiente para hacer frente al riesgo de la información?

El último estudio de Iron Mountain y PwC muestra cómo controlan su información las medianas y grandes empresas, además de los procesos, directrices y personas relacioandas.

Este es el tercer estudio anual de PwC e Iron Mountain para descubrir cómo perciben y gestionan el riesgo de la información las medianas empresas europeas (entre 250 y 2.500 empleados). El estudio de 2012 reveló una amplia complacencia con respecto a las posibles amenazas y la vulnerabilidad. Su sucesor de 2013 sugirió que las medianas empresas habían respondido , pero que sus esfuerzos preliminares para abordar el riesgo de la información se estaban ahogando en el pantano de los grandes datos. Este año hemos decidido estudiar si las tendencias de la gestión del riesgo de la información se limitan a las medianas empresas europeas o si están más extendidas. 

El estudio de 2014, que una vez más hace uso de la capacidad investigadora y los amplios conocimientos empresariales de PwC en combinación con los conocimientos técnicos de Iron Mountain, incluye medianas empresas de Estados Unidos y Canadá y grandes empresas (con más de 2.500 empleados) de ambos continentes. 

Descarga del estudio

 Tools Online de comparacion:
Con la herramienta online podrás comparar el Índice del Riesgo de la Información de tu empresa con las 1.200 empresas incluidas en el estudio de PwC.Responde preguntas y recibirás de forma gratuita tu índice del riesgo de la información

 Acceso

Link relacionados:
- Presentan el III Índice de Madurez del Riesgo de la Información 2014 de PwC
 - Las empresas españolas repuntan 2,5 puntos en protección de datos

Information Supplement: PCI DSS Risk Assessment Guidelines - November 2012

WAKEFIELD, Mass., November 16, 2012 —The PCI Security Standards Council (PCI SSC), a global, open industry standards body providing management of the Payment Card Industry Data Security Standard (PCI DSS), PIN Transaction Security (PTS) requirements and the Payment Application Data Security Standard (PA-DSS), today released the PCI DSS Risk Assessment Guidelines Information Supplement, a product of the PCI Risk Assessment Special Interest Group (SIG). Organizations planning and performing a risk assessment in accordance with PCI DSS 12.1.2 can use the information supplement to help identify threats and the associated vulnerabilities that could jeopardize the security of payment card data.

More...

Objective

The objective of this document is to provide supplemental guidance and recommendations for performing a risk assessment in accordance with PCI DSS Requirement 12.1.2. A risk assessment, as required in the PCI DSS, is a formal process used by organizations to identify threats and vulnerabilities that could negatively impact the security of cardholder data.

 

This document does not replace, supersede, or extend any PCI DSS requirements; rather it provides guidance for organizations to identify, analyze, and document the risks that may affect their cardholder data environment (CDE).
 

Intended Audience

This guidance is intended for any organization that stores, processes, or transmits cardholder data (CHD). Examples include merchants, service providers, acquirers (merchant banks), and issuers. The intended audience includes large, medium, or small organizations

 

Donwload

 

 

Disponible IRAM-NM-ISO IEC 27005 [Argentina]

Tecnología de la información. Gestión del riesgo de seguridad de la información. (ISO/IEC 27005:2008, IDT)

Edición 1
Vigente desde 11/7/2012
Páginas  95
Precio (Pesos Argentinos) 395.00

Mas información

Nueva versión de MAGERIT

1/10/2012

 

El CCN-CERT ha publicado una nueva versión de la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3) elaborada por el Consejo Superior de Administración Electrónica y a la que podrán acceder todos los usuarios interesados desde la parte pública del portal www.ccn-cert.cni.es (herramienta PILAR - Metodología).

MAGERIT es la metodología de análisis y gestión de riesgos elaborada como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT es la metodología sobre la que se basa la herramienta PILAR, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española. MAGERIT consta de tres documentos, catálogo, técnicas y método los cuales pueden descargar a continuación:

• Libro I: Método
• Libro II: Catálogo de Elementos
• Libro III: Guía de Técnicas

 Más información
Acceso a Entorno de Análisis de Riesgos PILAR 5.1
Acceso al Portal de la Administración Electrónica

 

Fuente: CCN-CERT

 

Visto en csirtcv.gva.es

 

 

Dos tercios de las empreas latinas carecen de una estrategia de gestión de riesgo

Investigación de Coleman Parkes Research solicitada por HP

 

CAROLINA RUIZ VEGA / 10 SEP 2012, 10:51 AM

Apenas una tercera parte de las empresas en Latinoamérica tienen establecida una estrategia de gestión del riesgo, reveló una investigación de Coleman Parkes Research,  realizada a solicitud de la compañía Hewlett Packard (HP).

La mitad de de los encuestados informaron que en sus empresas se dedica más tiempo a medidas reactivas y 56%, que se gasta más presupuesto en este tipo de medidas.

Además, cuatro de cada 10 encuestados consolidan sus informes de gestión de riesgo manualmente o no miden el riesgo directamente.

Aún así, el estudio considera que, en comparación con años anteriores, las organizaciones están empezando a volverse más proactivas, con más enfoque en la estrategia, la gobernanza y la inteligencia de seguridad

Por ejemplo, solo 13% informó que la seguridad no tiene mucha visibilidad en el nivel ejecutivo (hasta que se produce un incidente).

Además, casi dos tercios de los empresarios están incrementando la adopción de tecnología de seguridad de la información y gestión de incidentes (SIEM, por su sigla en inglés).

Temor a la nube
Si bien la mitad de los encuestados opina que los servicios en nube podrían ser tan seguros como sus propios data centers en las instalaciones de la empresa, 60% no comprenden los requisitos de seguridad y/o buscan servicios sin analizar al proveedor de servicios, por lo que el mayor desafío en relación con la nube y la seguridad no está relacionado con tecnología, sino con la educación.

Otros temores se derivan de la seguridad móvil: a 56% les preocupa la pérdida o el robo de datos y a 67%, la gestión centralizada de los dispositivos.

En cuanto a gestión de la identidad, los encuestados consideran que los mayores problemas son la gobernanza de la identidad (60%) y la protección de la privacidad y los datos (88%). 

Visto en www.elfinancierocr.com

Esto es lo que internet sabe de los usuarios

Un vistazo a la política de privacidad online es más que suficiente para saber que las redes sociales tienen acceso a más datos personales que la mayoría de agentes que actúan en internet.

 www.marketingdirecto.com

En algunos casos se recolecta información expresa que los usuarios ofrecen, como la tarjeta de crédito o el número de teléfono. En otros, reúnen datos basándose en la información de localización acerca de cómo y dónde se usan sus servicios. Y esto puede incluir cualquier cosa, desde el dispositivo a través de cual se conecta hasta información sobre el navegador. Algunos de ellos pueden ser realmente específicos, como su última búsqueda o el último anuncio sobre el que ha pinchado, y todo esto aún se mantiene dentro del  juego justo.

Dependiendo del tipo de recogida, las redes sociales usan estos datos para mejorar los servicios de localización y la publicidad relacionada. Y unos pocos sitios sociales incluso pueden compartir cierta información con los anunciantes o con un tercer participante, y en esos casos usted es el responsable de familiarizarse con la política de privacidad que otras compañías aplican a su información.

La infografía creada por Baynote explica por qué su navegación web y sus interacciones online se han convertido en algo mucho más personalizado. Especifica, para varias redes sociales (Pinterest, Google, Facebook, Twitter, Linkedin y Pandora), el tipo de datos que se recogen, el método utilizado para recopilarlos y cómo se utilizan esos datos una vez que los tienen.

Fuente: www.marketingdirecto.com

Informe Global de Riesgo 2012 [ Foro Mundial de Economia ]

World Economic Forum - Global Risks 2012 - Seventh Edition

Economic imbalances and social inequality risk reversing the gains of globalization, warns the World Economic Forum in its report Global Risks 2012. These are the findings of a survey of 469 experts and industry leaders, indicating a shift of concern from environmental risks to socioeconomic risks compared to a year ago. Respondents worry that further economic shocks and social upheaval could roll back the progress globalization has brought, and feel that the world’s institutions are ill-equipped to cope with today’s interconnected, rapidly evolving risks. The findings of the survey fed into an analysis of three major risk cases: Seeds of Dystopia; Unsafe Safeguards and the Dark Side of Connectivity. The report analyses the top 10 risks in five categories - economic, environmental, geopolitical, societal and technological - and also highlights "X Factor" risks, the wild card threats which warrant more research, including a volcanic winter, cyber neotribalism and epigenetics, the risk that the way we live could have harmful, inheritable effects on our genes. Key crisis management lessons from Japan’s earthquake, tsunami and nuclear disasters are highlighted in a special chapter.

 

Disponible la Lección 11 Análisis y gestión de riesgos (Intypedia)

Se encuentra disponible la Lección 11 de Intypedia, la Enciclopedia de la Seguridad de la Información titulada "Análisis y gestión de riesgos" del autor José Antonio Mañas.

En ella, Alicia le muestra a Bernardo los pasos que hay que seguir para realizar un correcto análisis de las amenazas a las que puede enfrentarse un sistema de información, su impacto y la consiguiente gestión de riesgos, recomendando algunas metodologías.

 La lección tiene una duración de 14:13 minutos y está formada por 4 escenas o capítulos:

• Escena 1. Riesgos y protecciones en los sistemas de información.
• Escena 2. Análisis de impacto y análisis de riesgos.
• Escena 3. Gestionando los riesgos.
• Escena 4. Recomendaciones. Metodologías.

El vídeo viene acompañado por 3 documentos: el guión de la lección, las diapositivas de apoyo y los ejercicios para autoevaluación.

Documentos

• - Guión [PDF][157KB]
• - Diapositivas [PDF][382KB]
• - Ejercicios [PDF][131KB]

 En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta lección.

La siguiente entrega de la enciclopedia visual de la seguridad de la información será en diciembre de 2011 con la Lección 12 "Seguridad en redes WiFi", del autor Raúl Siles.

Los videos anteriores se encuentran disponibles en la web de intypedia.



Web Application Security: Business and Risk Considerations (ISACA)

The use of web applications in the enterprise has grown exponentially in the last decade. While businesses are benefitting in many ways from the new capabilities of these applications, the prevalence of inherent security vulnerabilities in web applications is creating significant exposure for many enterprises. This paper explores the root causes of these vulnerabilities, examines the associated risks and impacts, and provides guidance as to how enterprises can alter their practices to mitigate this risk.

While this document focuses specifically on web application security, the guidance presented applies to all types of software development activities.

Download (636K; Registration Required)

NIST releases draft Risk Assessment Guidance - SP 800-30 Rev. 1

Risk assessment is one of four steps in the risk managed process agencies should undertake in securing their computer networks, says the National Institute of Standards and Technology.

The agency released Sept. 19 a draft publication meant to guide agencies in performing risk assessments, stating that it will accept public comment through Nov. 4. The document is special publication 800-30, which originally covered risk management guidelines--which are now instead covered by 800-39. 



























A risk assessment should include an explicit risk model, an assessment approach, and an analysis approach, the draft document states. A risk model defines key terms and their relationships. Defining terms early can lead to useful distinctions, such as between threat sources and threat events, the draft notes. Multiple threat sources can cause the same threat event, it adds. For example a key server being taken offline is a threat event, but sources can be as diverse as a denial-of-service attack and power failure.






















More...


Download
SP800-30-Rev1-ipd.pdf (823 KB)





Visto en fiercegovernmentit.com

Link relacionado
-  SP 800-30 Rev. 1 (NIST)

Kaspersky report: Global IT Security Risks (Junio 2011)

Las redes sociales están catalogadas como unas de las mayores amenazas de seguridad, junto con varias formas de intercambio de archivos.

La encuesta ‘Global IT Security Risks’ (Riesgos globales de seguridad TI) llevada a cabo por Kaspersky Lab junto con B2B International, dio a conocer las actividades de los empleados que generalmente son restringidas.

El acceso a las redes sociales está totalmente bloqueado en el 53 por ciento de las compañías, mientras que el 19 por ciento de éstas se restringe de alguna forma dicha actividad.

Las redes sociales ocupan el segundo lugar entre las actividades prohibidas más frecuentemente, después del intercambio de archivos entre compañeros de trabajo. Otro tipo de actividades frecuentemente restringidas son los juegos en línea, el acceso a ciertos sitios Web, el streaming de video y los servicios de mensajes instantáneos.

“Las compañías están preocupadas por la productividad así como por la seguridad, y ello define el enfoque de las actividades restringidas para los empleados”, apuntó Costin Raiu, Director del Equipo Global de Investigación y Análisis de Kaspersky Lab. “Las redes sociales están consideradas una actividad que consume tiempo pero también como una fuente potencial de ataques de software malicioso y una amenaza para la información confidencial”. Concluyó.

Recientemente las redes sociales se han convertido en uno de los mayores canales de distribución de malware gracias a su popularidad y a nuevas vulnerabilidades en estos recursos en línea. La más notable en Twitter, por ejemplo, es un malware que infecta al equipo del usuario con tan sólo ver un mensaje contaminado.

Según los expertos de Kaspersky Lab, las redes sociales son víctimas de numerosos ataques, por lo que la preocupación que muestran las compañías a este respecto está completamente justificada.

Para información detallada de los resultados de la investigación de Kaspersky Lab, así como nuestras recomendaciones, entre al siguiente link.


Fuente: www.revistae-go.com


Descarga del reporte:

Kaspersky - Global IT Security Risks (711 KB) [INTECO]

Posibles causas que alteran las diferencias entre riesgo percibido y riesgo real

Cuando uno se dedica a ser consultor, día a día te vas topando con diferentes tipos de organizaciones y los más variopintos modelos de negocio. Es quizás una de las cosas más bonitas que tiene la consultoría, la variedad de contextos , situaciones y problemas a los que te tienes que enfrentar , lo que hace que cada jornada de trabajo sea un reto continuo que no deja de hacerte aprender. Sin embargo, la sensación común, que se repite en todas las organizaciones, es la necesidad continua de justificar el papel que juega la Seguridad de la Información dentro de las organizaciones del siglo XXI.

Intentando ser autocrítico, trato de dar respuesta al porqué de estas percepciones tratando de buscar qué elementos contribuyen a justificar semejante comportamiento y este post va precisamente de eso. Voy a tratar de reflexionar en voz alta sobre ello comentando los puntos que entiendo son relevantes para que se produzcan estas circunstancias.

1. Modelos de negocio de las organizaciones: Toda organización puede ser vista como un gran proceso que recibe ciertas entradas y genera ciertas salidas. En este sentido, la cadena de valor de la organización viene dada por los procesos de transformación de las materias primas (sean bienes tangibles o intangibles) en resultados económicos. Fruto de la evolución hacia la sociedad de la información y el conocimiento, cada vez son más las organizaciones cuyo modelo de negocio se basa en el procesado de información como materia prima para la entrega de productos que son resultado de aglutinar o procesar dicha Información. Pensemos en las empresas de servicios TI como Google, Facebook, Linkedin o en fabricantes de productos software como Microsoft o Apple. En estos casos, el valor está asociado al coste de producción o construcción de servicios y muy vinculado con la propiedad intelectual necesaria para poderlos elaborar.

Primera dificultad para nuestra mente en relación a juzgar el valor de la información.

2. Modelo económico del valor: Vivimos en una sociedad capitalista donde el valor de las cosas debe ser materializado por el criterio monetario de su coste o de su estimación económica. Por tanto, la percepción del valor de las cosas utiliza un criterio basado en el precio o valor económico de los objetos. Ante la pregunta de qué vale más, si un servidor o un llavero USB, nuestro instinto juzgara que será más valioso el objeto más grande o el más complejo. Este modelo instaurado es quizás uno de los factores por los que no se valora de forma adecuada la “propiedad intelectual”, porque seguimos juzgando el precio por la valía de los objetos.

Segunda dificultad de nuestra mente en relación a juzgar el valor de la información.

3. Modelo operativo de las organizaciones: Las organizaciones recurren cada vez más al uso de las Tecnologías de la Información para dar soporte a sus actividades principales o primarias de negocio. Por tanto, el área TI es una actividad secundaria o de soporte según el modelo de valor de la cadena de Porter. Ello significa que existe una dependencia entre las actividades que generan valor y el buen funcionamiento de las piezas necesarias que están por debajo dando soporte a esos procesos productivos. Para las áreas directivas y no técnicas, las herramientas son las diferentes aplicaciones o sistemas como el correo electrónico que son necesarias para su día a día. Dadas sus carencias en conocimientos técnicos no son capaces de pensar en la cantidad de elementos técnicos que deben funcionar correctamente para que ellos no tengan ningún problema. Se abstraen completamente de la infraestructura TI que necesita su organización para poder funcionar. Y esta forma de ver al área técnica ahora se ha consolidado como un área creciente de negocio bajo las siglas "Cloud Computing" que viene a ofrecer un pago por servicios y uso de aplicaciones siendo un tercero el que asume el coste y la gestión de la infraestructura TI.

Tercera dificultad para nuestra mente en relación a valorar la complejidad subyacente que da soporte al tratamiento de la Información.

4. Modelo humano de gestión del miedo: Nuestra mente es un dispositivo esencial para garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que sea capaz de sobrevivir pero bajo un contexto basado en garantizar el alimento y la protección frente a depredadores. Nuestros antecesores tenían como actividades básicas el comer o subsistir y nuestros mecanismos de alerta o detección del peligro están vinculados a hechos físicos visibles, tangibles y sensitivos. Por tanto, nos da miedo aquello que  fundamentalmente se produce por situaciones o escenarios de amenaza física como puedan ser terremotos, riadas, explosiones, incendios, etc. ¿Qué pasa entonces con las amenazas sobre la información?. Pensar en miedo ante una situación de hacking informático, un robo de datos o una suplantación de identidad es algo que al ser humano le cuesta bastante sentir. Solo son adecuadamente juzgadas estas situaciones cuando podemos establecer una relación directa causa-efecto entre los siguientes elementos: amenaza, activo, daño, consecuencias económicas o de otra naturaleza. Solo en aquellas situaciones donde tengamos cierta estimación del daño que supone un incidente relacionado con la información podremos sentir miedo y disparar por tanto los mecanismos de gestión del riesgo. Un hecho significativo que puede ilustrar esta cuestión es que muchas de las temáticas de ficción en cine ahondan sobre tramas donde el personaje principal sufre las consecuencias físicas debido a problemas sobre sistemas de información. Quizás el mejor ejemplo de este tipo de películas puedan ser “La jungla de cristal 4” o “Firewall”.

Cuarta dificultad para nuestra mente respecto a la percepción del peligro en amenazas que afectan a la información dado que raramente somos capaces de valorar las consecuencias de un incidente con elementos que generen miedo sobre nuestra supervivencia.

5. Modelo humano de gestión del riesgo: Nuestra mente es un dispositivo esencial en garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que capaz de sobrevivir pero bajo un contexto basado en garantizar la supervivencia física. Por tanto, el elemento esencial a la hora de tomar decisiones está fundamentado en el miedo que es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos. Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

• La primera es intuitiva, emocional y basada en la experiencia. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.
• La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.

Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional. Por tanto, nuestro cerebro tiende a ignorar los riesgos que son difíciles de comprender o de percibir. Pero eso no hace que las probabilidades de ocurrencia disminuyan sino que simplemente nuestra percepción del riesgo cambie.

Como ejemplo de reflexión pensemos en cualquier organización. En general siempre nos encontramos con unas medidas básicas de seguridad física como son tener puertas y ventanas, disponer de alarmas presenciales, video vigilancia, etc. Si pensamos en los primeros tipos de engaño en relación a la percepción del valor, las organizaciones ya no solo tienen los puntos "físicos" de entrada a sus instalaciones sino que ahora hay medios lógicos de acceso como puede ser la página web, el correo electrónico, las conexiones remotas, etc. ¿Cómo están protegidos esos puntos de acceso a la Organización, de igual forma que los puntos de acceso físico? La respuesta común es que no. Las medidas de protección que nadie discute son aquellas que garantizan el valor tangible de los activos tangibles de las Organizaciones, es decir, sus edificios, sus instalaciones, sus oficinas, todo aquello que tiene un valor económico tangible y fácilmente estimable que justifica la ecuación de la seguridad en relación al coste de la protección y la inversión en prevenir daños.

Sin embargo, en los aspectos de seguridad lógica las cosas no están ni por asomo tan controladas. Quizás será necesario que la evolución se encargue de hacernos aprender a base de malas experiencias para que evolucionemos nuestros miedos con el fin de adecuarlos a las nuevas situaciones y circunstancias del siglo XXI.

Fuente: Inteco.es