Prevención y mitigación de ransomware y otros códigos maliciosos

El impacto de los recientes ciberataques de tipo ransomware (Wanacry, Petya) a nivel mundial muestra dos hechos claros: Que cualquier organización, incluso las grandes multinacionales, son vulnerables. Que las empresas más pequeñas son las que sufren los impactos mayores. En Seguir leyendo Prevención y mitigación de ransomware y otros códigos maliciosos

Gestión de incidentes con impacto en la privacidad

El nuevo Reglamento Europeo de Protección de Datos establece la obligación de reportar a la autoridad reguladora y en un plazo no superior a 72 a horas cualquier brecha de la seguridad que pueda tener potencialmente un impacto significativo en Seguir leyendo Gestión de incidentes con impacto en la privacidad

PSD2 y autorización de transacciones electrónicas: algunas notas sobre el último documento de la EBA

El pasado mes de Febrero, la Autoridad Bancaria Europea (EBA) publicó el borrador final del Estándar Técnico Regulatorio (RTS, Regulatory Technical Standard) sobre Autenticación Reforzada y Comunicaciones Seguras en el contexto del artículo 98 de la Directiva de Pagos PSD2 (2015/2366). Seguir leyendo PSD2 y autorización de transacciones electrónicas: algunas notas sobre el último documento de la EBA

Data Protection Officer (DPO): la cualidad más difícil

Mucho se está escribiendo últimamente sobre la figura del DPO (Data Protection Officer o Delegado de Protección de Datos) contemplada en el nuevo Reglamento General de Protección de Datos Europeo (RGDP); especialmente sobre la formación y cualidades que ha de Seguir leyendo Data Protection Officer (DPO): la cualidad más difícil

Usuarios privilegiados: Cómo controlar su acceso al sistema

El control de acceso a los sistemas es uno de los elementos básicos de cualquier programa de ciberseguridad y privacidad. Una gestión efectiva del control de acceso lógico permite: Establecer quién (tanto si se trata de una persona como de Seguir leyendo Usuarios privilegiados: Cómo controlar su acceso al sistema

Impactos en la Privacidad: La taxonomia del Profesor Solove

El profesor Daniel Solove propuso en 2006 una detallada taxonomía de impactos en la la privacidad que se ha constituido como una referencia básica sobre el tema, que vamos a tratar de resumir a continuación. La taxonomía de Solove se Seguir leyendo Impactos en la Privacidad: La taxonomia del Profesor Solove

Herramientas de ayuda al Data Protection Officer (4): El ciclo de vida de la Información

La recientemente aprobada Regulación Europea de Protección de Datos establece la necesidad de llevar a cabo Análisis de Impacto en la Privacidad (DPIA, según siglas en Inglés) en aquellos tratamientos de información que puedan tener un impacto significativo en el Seguir leyendo Herramientas de ayuda al Data Protection Officer (4): El ciclo de vida de la Información

Un par de indicadores esenciales de la efectividad de las medidas de seguridad

Hace unas pocas semanas vio la luz la nueva versión del famoso estándar de seguridad de datos de la industria de tarjetas, PCI/DSS 3.2. Una lectura entre líneas de los nuevos requisitos incluidos permite identificar, en mi opinión, algunas de Seguir leyendo Un par de indicadores esenciales de la efectividad de las medidas de seguridad

Gestión de configuraciones seguras de sistemas

Las configuraciones por defecto de servidores, estaciones de trabajo, elementos de red y otros dispositivos, son una de las principales fuentes de vulnerabilidad de los sistemas. Una configuración por defecto puede hacer por ejemplo que un sistema tenga habilitadas cuentas Seguir leyendo Gestión de configuraciones seguras de sistemas

Analítica de datos e innovación bancaria

En el contexto de la incesante digitalización de la economía, el valor comercial de la información aumenta en paralelo al uso innovador de los datos de los consumidores. Las personas vamos dejando constantemente por el mundo digital (a veces sin Seguir leyendo Analítica de datos e innovación bancaria

Iniciando el camino para cumplir con la nueva Regulación Europea de Protección de Datos

La aprobación el 14 de abril de 2016 de la nueva Regulación General de Protección de Datos, supone la unificación de la normativa en todos los estados miembros de la UE. Dicho reglamento ha generado mucha polémica durante todo el proceso Seguir leyendo Iniciando el camino para cumplir con la nueva Regulación Europea de Protección de Datos

Monitorización Continua y Seguridad de la Información

Un componente esencial de cualquier sistema de control es el de monitorización. Se trata de un elemento común en modelos de control generales como COSO o en otros estándares de gestión de riesgos más específicos como puede ser el 800-37 Seguir leyendo Monitorización Continua y Seguridad de la Información

Analítica de ubicación de dispositivos móviles: impacto en la privacidad

En este breve artículo vamos a hablar del análisis de ubicación de móviles y su impacto en la privacidad. Las soluciones analíticas de ubicación de dispositivos móviles brindan grandes oportunidades para optimizar el comercio y la prestación de servicios en Seguir leyendo Analítica de ubicación de dispositivos móviles: impacto en la privacidad

Autenticación reforzada en el marco de la directiva de pagos PSD2

La directiva revisada de servicios de pago (PSD2) de la comision europea establece el requisito de Autenticacion Reforzada (Strong Authentication) como uno de los pilares esenciales para garantizar la seguridad de los pagos minoristas por Internet. Esta directiva es un Seguir leyendo Autenticación reforzada en el marco de la directiva de pagos PSD2

Perfilado de Activos de Información

Una de las dificultades inherentes a las metodologías de Seguridad de la Información viene determinada por la naturaleza intangible y por la ubicuidad de los activos de información. La mayor parte de las metodologías establece como punto de partida para Seguir leyendo Perfilado de Activos de Información

Control de autorizaciones en aplicaciones web: vulnerabilidades típicas

Dentro de las vulnerabilidades de las aplicaciones web, algunas de las más frecuentes se encuentran asociadas al modo en que la aplicación decide si un usuario está autorizado a ejecutar una determinada función o acceder a un determnado recurso (ej: Seguir leyendo Control de autorizaciones en aplicaciones web: vulnerabilidades típicas

Limitaciones organizativas a la seguridad de las aplicaciones

La seguridad de las aplicaciones suele enfocarse como un añadido al final del proceso de desarrollo. Normalmente este “añadido” suele materializarse en la realización de algún tipo de tests de seguridad (pen testing, análisis estáticos y dinámicos del código fuente…), Seguir leyendo Limitaciones organizativas a la seguridad de las aplicaciones