Privacidad desde una perspectiva internacional: controles y auditoría

by 1 Comment

Download PDF

En el post anterior hemos visto la gran diversidad de problemas y riesgos que deben afrontar las empresas. Con el propósito de prevenir que estos riesgos se hagan realidades necesario conocer, analizar y actuar para prevenir los riesgos que puedan poner en jaque mate a nuestra empresa.

Identificar y gestionar estos riesgos de privacidad es clave para gestionar información personal en cualquier entidad. Es necesario tener en consideración realizar una auditoria para realizar estas labores. Los auditores consideran riesgos clave y puntos métodos de control cuando realizan una auditoria. De esta forma una empresa se puede evaluar para ver cómo se enfrentan sus políticas de privacidad ante los requisitos legislativos.
La metodología que se sigue tiene un fuerte vínculo con los conceptos que se presentan en la ISO 31000:2009 Risk Management – Principles and Guidelines. El diagrama que se muestra a continuación está basado en el proceso de gestión de riesgos de privacidad de la ISO 3100:2009.

4Como se puede observar en el diagrama [1] [2] este proceso cuenta con varias fases:

  • Establecer el contexto: cada caso a auditar es completamente distinto, ya que los problemas que una empresa pueda son derivados de su propio entorno, el cual está sujeto a muy diversas circunstancias. Además la definición de privacidad es muy subjetiva dependiendo el país, la cultura o la organización, por lo que entender el contexto bajo el cual se lleva a cabo el proceso de auditoría es vital para que sea exitoso.  Además también es imperativo que la visión de todos los involucrados sea la misma.
  • Identificar los riesgos: los riesgos de privacidad, como ya hemos visto están relacionados con la gestión de información personal, y pueden tener consecuencias tanto para los propietarios de esos datos como para las empresas que lo tratan. Por ellos, es necesario identificarlos mediante el uso de diferentes herramientas. Existen áreas que tienen un alto nivel de riesgo en este ámbito por lo que en ellas podemos identificar algunos. Estas áreas son, las redes sociales, Big Data, dispositivos mçoviles y el modelo operativo. Además en este proceso también se pueden identificar oportunidades para mejorar o fortalecer la gestión de información personal.
  • Analizar los riesgos: este proceso cuenta con dos fases, por un lado asignar calificaciones basadas en el riesgo que suponen, el impacto que pueden tener, y por otro lado la evaluación de los controles implementados. La calificación se puede obtener se puede obtener en base a una matriz que tenga en cuenta el impacto y la probabilidad.
Probabilidad Consecuencia/Impacto
1 – Inapreciable 2 – Menor 3- Moderado 4 – Alto 5 – Severo
5 – Seguro Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
4 – Probable Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo Riesgo Extremo
3 – Posible Riesgo Moderado Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
2 – Improbable Riesgo Bajo Riesgo Moderado Riesgo Significativo Riesgo Significativo Riesgo Extremo
1 – Raro Riesgo Bajo Riesgo Bajo Riesgo Moderado Riesgo Moderado Riesgo Significativo

Una vez realizada la matriz para la calificación de los riesgos es necesario evaluar los controles existentes para conocer el nivel de mitigación existente. Algunos ejemplo de controles de privacidad de una organización son las políticas de privacidad, los controles de privacidad de la base de datos y la criptografía.

  • Evaluar los riesgos: en este paso se calcula el riesgo residual. Este riesgo residual es el resultado del nivel de riesgo tras valorar el riesgo y los controles existentes para mitigarlo. En base a esto se puede priorizar aquello que más daño pueda causar a la empresa auditada y desarrollar un plan de auditoria.
  • Tratar los riesgos: el auditor, basándose en su criterio, debe determinar una respuesta apropiada a un riesgo o a una oportunidad. Muchas agencias de auditoria de TI tienen sus propios criterios y frameworks de tratamiento de riesgos por lo que los auditores puede apoyarse en estas guías predefinidas. Algunas respuestas básicas incluyen, dejar de realizar una tarea que pueda causar que el riesgo ocurra, modificar los controles existentes en cierto aspecto para reducir la probabilidad de que ocurran o para minimizar su impacto. También es preciso destacar que es necesario considerar la relación entre el coste y el beneficio al tratar un riesgo.
  • Monitorización: es importante monitorizar y realizar revisiones continuamente de los riesgos de privacidad y del tratamiento de los datos. Hay una alta probabilidad de que estos riesgos cambien a lo largo del tiempo y tal vez sea necesario reconsiderar su relevancia y si siguen presentes o han sido solucionados. Además es óptimo que cualquier toma de decisiones esté basada en información lo más actualizada posible.
  • Comunicación y consultoria: se deben proveer reportes a las personas involucradas en la auditoría en cada fase de la misma. Y es necesario notificar todos los puntos importantes que surjan en el proceso.

En conclusión, la noción y el entendimiento de la privacidad va a continuar creciendo día a día, y con ello se espera que aparezcan nuevos requisitos regulatorios para las prácticas que manipulen datos personales, y como ya hemos visto a los largo de esta serie de artículos, el debate está servido, ya que existen opiniones excesivamente dispares.

Por lo que en este escenario tan volátil, los auditores deben de ser capaces de establecer y seguir metodologías de auditoría de privacidad para evitar que las organizaciones para las que trabajan se vean involucradas con riesgos innecesarios. Además como hemos explicado existen una serie de pasos para poder minimizar estos riesgos hasta un nivel aceptable, aunque en un mundo tan cambiante los auditores deben ser conscientes de las nuevas tendencias tecnológicas que surgen con el paso de los años. Debido a todos estos motivos, es una gran idea añadir el plan de auditoria de privacidad al plan de auditoría anual.

Referencias:

[1] <<Privacy Audit—Methodology and Related Considerations>>, ISACA, acceso 29 de noviembre del 2017,
https://www.isaca.org/Journal/archives/2014/Volume-1/Pages/Privacy-Audit-Methodology-and-Related-Considerations.aspx?utm_referrer=

[2] <<Privacy risk and opportunity identification>>, ICT, acceso el 29 de noviembre de 2017,
https://www.ict.govt.nz/assets/GCPO/Privacy-risk-and-opportunity-identification.pdf

Controlando nuestro alrededor

by 1 Comment

Download PDF

Como ya hablé en el post anterior, IoT es capaz de poner en riesgo partes muy importantes de nuestras organizaciones o vidas privadas. Es por esto, que las empresas, ya sean grandes, medianas o pequeñas, deben hacer el ejercicio de revisar los sistemas que tienen implantados para detectar los riesgos que pueden llegar a tener, de esta manera, podrán implementar un sistema de controles que les permita mitigar el daño que dichos riesgos puedan llegar a causar. Es en este punto en el que el trabajo del auditor se convierte en vital.

Lo primero que debe hacer la compañía al implantar nuevos sistemas que incluyan dispositivos de IoT es revisarlos de manera que se puedan identificar los riesgos que se van a añadir a la organización y posteriormente implantar un plan de migración de los mismos para minimizar los daños. Entre medias de este proceso entra en juego el papel de la auditoria de seguridad. En esta, los auditores deberán identificar los riesgos que existan y crear unos controles para revisar y mitigar dichos riesgos.

Es en este momento cuando los auditores pueden crear un cuadro de controles a aplicar. En este cuadro se listan los riesgos que se han detectado y los controles que se pueden aplicar a estos. En estos cuadros también se pueden añadir los ámbitos de impacto de dicho riesgo, los responsables de realizar los controles o los puestos/empleados a los que puede afectar de ocurrir. A continuación, tenemos un cuadro en el que se han listado unos de los riesgos más críticos en IoT y los controles que se pueden aplicar: [1]

Riesgo Control
Ataques físicos al dispositivo
  • ¿Es el dispositivo accesible físicamente a cualquier persona?
  • ¿Está el dispositivo vigilado?
  • ¿Está el dispositivo monitorizado contra alteraciones hardware?
Manipulación de datos en el dispositivo
  • ¿Está el dispositivo cifrado?
  • ¿Cuenta el dispositivo con un código de autenticación de mensajes o firma digital?
Ataques de interceptación (Man-in-the-middle)
  • ¿Está el dispositivo protegido a nivel de protocolo?
  • ¿Está el dispositivo emparejado?
Manipulación del sistema operativo
  • ¿Está el sistema operativo en modo lectura solo?
  • ¿Está el sistema operativo firmado?
  • ¿Está el sistema operativo cifrado?
Acceso no autorizado al dispositivo
  • ¿Tiene contraseña el dispositivo? ¿Es segura?
  • ¿Qué puertos están abiertos?
Accesos de terceros
  • ¿Tiene el dispositivo programas de terceros instalados? ¿Son seguros?
  • ¿Tenemos contacto con los desarrolladores de los programas instalados?

Una vez realizada esta tabla la organización será la encargada de asegurarse que dichos controles se van realizando periódicamente y que se reporta si se encuentra alguna anomalía. También tendrá que preparar a los responsables de llevarlos a cabo de manera que sepan realizarlos correctamente.

En este ámbito nos podemos encontrar con frameworks que usan tecnologías muy innovadoras, como blockchain, que prometen crear un sistema de fiabilidad para los dispositivos IoT. En el reto que es crear este framework, se proponen solucionar el problema que existe a la hora de gestionar el acceso a los dispositivos. El framework propone una solución para crear un sistema que conceda y revoque el acceso a los dispositivos mediante una blockchain descentralizada, anónima y segura. Dicho framework, que esta recién sacada del laboratorio, es la prueba de que el campo de IoT está en auge y que se están utilizando tecnologías muy innovadoras para tratar de crear nuevos sistemas que permitan controlar y hacer más seguros nuestros dispositivos más personales. [2]

Por otra parte, también existen “frameworks” o guías más experimentadas que nos brindan buenos consejos para la compra, implantación e instalación de dispositivos IoT en nuestras empresas, como es el caso de OWASP IoT Project. Mediante este proyecto se quiere ayudar a los fabricantes, desarrolladores y compradores de IoT a prestar atención a los problemas de seguridad más importantes que presentan los dispositivos y como se pueden mitigar o controlar. [3]

owasp-100709974-large

El rol del auditor en todo este proceso es vital ya que él o ella será el encargado de crear un sistema preventivo para que la organización a la que ha auditado no tenga ningún problema o sea capaz de controlarlos. Es por esto por lo que los auditores tienen una gran responsabilidad dentro de la empresa ya que su juicio es vital para impedir que ocurran problemas que le cuesten grandes cantidades de dinero a las organizaciones.

Referencias:

[1] <<Cyber risk in an Internet of Things world>>, Deloitte, acceso el 27 de Noviembre de 2017, https://www2.deloitte.com/us/en/pages/technology-media-and-telecommunications/articles/cyber-risk-in-an-internet-of-things-world-emerging-trends.html#

[2]<<Internet of Things: Risk and value considerations>>, LinkedIn, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

[3]<<Fairaccess>>, LinkedIn, acceso el 27 de Noviembre de 2017, https://es.slideshare.net/mimolik/fairaccess

<<FairAccess: a new Blockchain-based access control framework for the Internet of Things>>, Oscars Laboratory, acceso el 27 de Noviembre de 2017, http://download.xuebalib.com/xuebalib.com.31639.pdf

<<Internet of Things: Risk and value considerations>>, Isaca, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

<<OWASP Internet of Things Project>>, OWASP, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

La aplicación de la firma electrónica y sus usos fraudulentos

by 1 Comment

Download PDF

La firma electrónica es utilizada internacionalmente y tal es la seguridad que nos da si se usa de la forma correcta que como podemos encontrar en la prensa puede ser utilizada para dirigir un país. Esto ocurrió en el año 2011 cuando el presidente Hugo Chávez enfermó, y para poder seguir gobernando y tomando decisiones desde otro país, en este caso desde Cuba, implantó un sistema de firma electrónica que le permitía promulgar decretos desde la distancia [1].

Pero como ya introducimos en post anteriores el problema viene cuando no se tienen en cuenta los riesgos y no se toman las medidas necesarias para proteger las claves. Como en todo siempre pensamos a mí no me puede pasar, esas cosas pensamos que solo pasan a la empresa vecina y cuando pasan nos echamos las manos a la cabeza. Uno de los ejemplos es el caso que ha ocurrido en México en el que una serie de personas a través de un mensaje que circulaba en Facebook invitaban a la gente a acudir a recoger su firma electrónica, llamada e-firma en México, y entregarla con su contraseña correspondiente a cambio de dinero. De lo que se aprovechaban es de que alguna gente desconocía los riesgos que tiene ese hecho, y de que con ese certificado pueden hacerse pasar por ellos para cualquier trámite fiscal [2].

Otro de los casos que podemos encontrar en la prensa, es un caso de suplantación de identidad que ocurrió en Estados Unidos. En este caso, tres médicos del Hospital Magee-Womens de Pittsburgh denunciaron al centro médico en el que trabajaban, por incorporar sus firmas sin avisarles y sin su permiso en los resultados de diversas pruebas que se habían realizado en el centro [3].

Otra noticia que nos presenta los riesgos que ya se describieron anteriormente, es una noticia de un periódico español en el que se advierte de los riesgos de guardar los certificados electrónicos directamente en nuestro ordenador. En la noticia se advierte del riesgo real ya que se presenta el programa mediante el cual un consultor de seguridad afirma que puede sustraer todos los certificados almacenados en un ordenador con sistema operativo Windows, y utilizar los mismos para realizar el “mal” [4].

A burglar opening a safe that is a computer screen

Un dato curioso que podemos encontrar en la prensa, es el resultado de una investigación que se ha realizado de la firma electrónica. Los resultados de la misma muestran que las personas que firmaban con la firma manuscrita, es decir con papel y boli, no engañaban ni trataban de obtener más beneficios, mientras que en el caso de los que firmaron con firma electrónica se veía, como los mismos habían obtenido más boletos que los que les correspondían. Por tanto, la conclusión a la que llegaba el estudio es que las personas no se identifican con su firma electrónica, y que solo ven que la misma tiene valor cuando la realizan de forma manuscrita [5].

Y algunos ahora os preguntareis, todo esto de la firma electrónica está muy bien, pero, ¿Puede ayudar la misma a el comercio electrónico internacional? Según un informe realizado en la Universidad de Londres [6], la misma facilita mucho la relación para crear empresas en el extranjero y poder firmar documentos a distancia más rápidamente, pero dictamina que el problema que se encuentra la misma es el hecho de que en cada país se aplica una legislación, y que para la misma pueda ser utilizada con más seguridad debería impulsarse un consenso entre los diferentes países. Podemos decir que esto es lo que ha ocurrido en Europa mediante la publicación del Reglamento (UE) 910/2014, por lo que Europa podríamos decir que ha cumplido, y por tanto ahora los tramites a realizar dentro de Europa contarán con esa garantía que se pedía. Además, se aceptarán también certificados que no provengan de Europa siempre que cumplan con las exigencias descritas en dicho reglamento.

En cuanto al uso que se hace la misma en la industria, está claro que uso está en auge, como ejemplo podemos utilizar el caso de la empresa estadounidense Docusign [7] que está trabajando en hacer digital la documentación de empresas, particular y gobiernos y que ya opera en 43 países a nivel mundial. Es interesante ver como en la industria relacionada con la firma electrónica están trabajando y trayendo nuevas novedades que permitan hacerla más segura de lo que ya es, además de las soluciones biométricas que ya existían ahora se están introduciendo nuevas formas de firmar. Una de estas nuevas formas es la de realizar la firma mediante el uso de la voz, este sistema llamado FirVox [8] ha sido lanzado por una empresa española y el mismo convierte la voz en una firma electrónica avanzada, y cumple con lo establecido en el Reglamento (UE) 910/2014.

firvox-logo-med

Por último y no menos importante, en el post anterior, hablamos de los prestadores de servicios de certificación y de cómo ahora los mismos debían de ser auditados, pero nos dejamos algunas cosas en el tintero, por ello ahora voy a introducir cuales son los controles a realizar:

  • Verificar que la infraestructura TI que soporta el proceso de firma electrónica está correctamente configurado, para garantizar que la información crítica está correctamente protegida contra modificaciones y accesos no autorizados.
  • Verificar que los datos críticos de la firma electrónica están respaldados y almacenados de forma segura.
  • Verificar que los dispositivos de creación de firma utilizados son auténticos.
  • Verificar que para cada una de las firmas que se realizan con cada uno de los certificados, se guarda el registro de quien, en qué fecha y donde ha realizado dicha firma.
  • Verificar que la firma permite comprobar los datos principales de los firmantes a partir del certificado, sin necesidad de usar herramientas especiales.
  • Verificar que los documentos son verificables en cualquier momento por un tercero a partir de la información de representación visible del documento.
  • Se debe revisar toda la documentación relacionada con la política de seguridad, la gestión de riesgos, la continuidad del negocio, gestión de incidentes, términos y condiciones, contratos firmados con terceros, seguros, planes de auditoria internos, listas de control de accesos y evidencias para contrastar las operaciones seguras, es decir protocolos y logs.
  • Verificar que se cumplen los requisitos de las normas establecidas, que se utilizan las medidas criptográficas necesarias y otras medidas de seguridad.
  • En caso de que sea necesario realizar pruebas para garantizar la conformidad de los prestadores de servicios de certificación, se podrán reutilizar las pruebas realizadas por el prestador y en caso de que estas se vean que no son como deberían o no contemplen todos los casos necesarios se podrán realizar pruebas adicionales.

Referencias

[1] “Chávez gobernará desde La Habana con una firma digital”, El País, consultado el 27 de noviembre,

http://elpais.com/diario/2011/07/18/internacional/1310940008_850215.html

[2] “Alertan por fraude en emisión de firma electrónica por redes sociales”, Noticias 360º, consultado el 27 de noviembre,

http://noticias360.com.mx/index.php/2016/10/31/alertan-por-fraude-en-emision-de-firma-electronica-por-redes-sociales-matamoros/

[3] “Second lawsuit charges medical report falsification”, Post-Gazzete, consultado el 27 de noviembre,

http://old.post-gazette.com/localnews/20031219lawsuitr2.asp

[4] “La seguridad de los certificados para hacer la declaración en internet, ¿en riesgo?”, 20 minutos, consultado el 27 de noviembre,

http://www.20minutos.es/noticia/378330/0/vulnerabilidad/certificados/digitales/

[5] “La firma electrónica nos tienta a actuar de manera deshonesta”, Investigación y Ciencia, consultado el 28 de noviembre,

http://www.investigacionyciencia.es/noticias/la-firma-electrnica-nos-tienta-a-actuar-de-manera-deshonesta-13786

[6] “A review of electronic signatures regulations: do they facilitate or impede international electronic commerce?”, ACM Digital Library, consultado el 27 de Noviembre,

http://dl.acm.org/citation.cfm?id=1151458

[7] “Docusign busca desterrar el papel”, El País, consultado el 26 de Noviembre,

http://economia.elpais.com/economia/2014/08/01/actualidad/1406915943_812439.html

[8] “FirVox convierte la voz en una firma electrónica avanzada imposible de falsificar”, Europapress Portaltic, consultado el 27 de Noviembre,

http://www.europapress.es/portaltic/software/noticia-firvox-convierte-voz-firma-electronica-avanzada-imposible-falsificar-20161011144048.html

[9] “Electronic Signature (E-Sign) Audit Work Program”, Knowledge Leader, consultado el 27 de Noviembre,

https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/WPElectronicSignature!OpenDocument

[10] “Auditing Framework for TSPs”, European Union Agency for Network and Information Security, consultado el 27 de noviembre,

https://www.enisa.europa.eu/publications/tsp-auditing-framework

[11] “Auditoria”, Firma electrónica de confianza, consultado el 27 de noviembre,

http://firmacertificada.es/auditoria/

¿Monitorizar nuestra privacidad?

by 1 Comment

Download PDF

PrivacyDigitalAge

En el anterior post comentaba cuáles son los riesgos que pueden afectar a nuestra privacidad y las amenazas a las que puede ser sometida. Ya que en ese post comenté los riesgos y amenazas en varios ámbitos de la vida diaria, esta vez quiero centrarme en los controles que se deberían tener en cuenta para enfrentarse a esos riesgos y amenazas, pero dentro del entorno empresarial. [1]
La utilización en la vida empresarial de las nuevas tecnologías, servicios web, redes sociales y otras herramientas tecnológicas, resulta cada vez más determinante para la competitividad. Ahora existen nuevos elementos que forman parte de la estrategia de la empresa como supervisar los procesos de trabajo con propósitos de eficiencia, control de calidad e información confidencial.

Estos avances tecnológicos han ampliado las fronteras de la información a la que se puede acceder. Los datos personales tienen un valor que quizás no todo el mundo tenga en cuenta. El procesamiento ilícito de estos datos por parte de los empleados u otros sujetos de una empresa podría tener un impacto significativo en la privacidad de la persona, no sólo a nivel psicológico, sino también en términos de daño material. [2]

El correo electrónico de la empresa es una herramienta de trabajo puesta a disposición del personal para el cumplimiento de sus tareas. Por lo tanto, el empleador puede legítimamente controlar que ésta se utilice para el cumplimiento de sus actividades. Debido a esto, hay empresas que recurren a monitorear la actividad laboral con fines de eficiencia y seguridad, generando así tensiones en el ambiente.

images

La mayoría de empresas usan programas de software que pueden monitorear el patrón de uso de la web, las comunicaciones vía email y hasta la geolocalización de las personas. Y es que, informes calificados indican que casi un 80% de las grandes compañías estadounidenses monitorean a sus empleados por medio de email, conexiones a web o sistemas de videovigilancia. [3]

Todo esto ha supuesto un verdadero reto. Por un lado, tenemos al empleado y su derecho a la privacidad, y por otro lado, está la empresa que necesita controles frente a posibles amenazas que puedan provenir de la tecnología que usan sus empleados. Así que, ¿cómo deben las empresas ejercer el “debido control” sin menoscabar la privacidad de sus trabajadores?

La clave es encontrar mecanismos para garantizar un manejo confidencial de la información a la que se acceda. Generalmente, al utilizar controles basados en las tecnologías de la información, se hace tratamiento de datos personales. La Agencia Española de Protección de Datos y la jurisprudencia de los tribunales han indicado cuáles son las condiciones para su realización, y exponen un conjunto de principios que es necesario tener en cuenta. [4]

  • La legitimación para el tratamiento de los datos personales en el ámbito laboral, deriva de la existencia de una relación laboral, y de acuerdo con el artículo 6.2 de la LOPD, exenta de obligación de consentimiento. Aunque será necesario informar al trabajador de la existencia de controles.
  • El tratamiento de datos personales deberá ajustarse al Principio de Proporcionalidad. Por ejemplo, se podrán realizar labores de videovigilancia en lugares donde se hace conteo de dinero metálico, pero no en todas las dependencias de la empresa.
  • El empresario debe tener en cuenta que la única finalidad que valida este control es “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”, y no otra.
  • En cumplimiento del Principio de Calidad de los Datos, los datos que se obtengan y almacenen deberán “ser exactos y puestos al día y no podrán conservarse por más tiempo del necesario”.
  • Deberá garantizarse en todo momento el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a los trabajadores.

En definitiva, el control debe justificarse en una razón objetiva vinculada a asuntos que afectan al ámbito laboral y debe ser proporcional a la necesidad de la empresa, evitando acceder a más información de la necesaria. Que el personal conozca sus expectativas de privacidad respecto del uso de los dispositivos que la empresa les provee, genera más confianza en la relación de ambos. Agrega, además, valor a la empresa en términos de eficiencia y tranquilidad.

 

Y con esto acabo con los post relacionados con la privacidad. Una pequeña reflexión para despedirme…

Recordemos que ahora, con la aprobación de Privacy Shield, se están realizando grandes modificaciones, a fin de mejorar la protección de la privacidad en Internet. Vivimos un momento donde los datos no hacen más que crecen de forma extrema, donde la huella digital es inevitable. [5]

Las regulaciones y normas están en constante cambio, y la privacidad volverá a cambiar dentro de unos cuantos años sin lugar a dudas. Seguramente, el concepto de “privacidad” cambiará tanto que no tendrá el mismo significado que el que tiene hoy en día, y muchas de las cuestiones, comportamientos e información que hoy en día consideramos privadas ya no lo serán. Espero que en ese futuro la privacidad sea algo de interés para las personas, algo que quieran cuidar, que sepan las consecuencias que conlleva perder esa privacidad, y lo importante que es ese derecho que tenemos.

¡Respetad y cuidad vuestra privacidad! :)

 

REFERENCIAS

[1] Aldama Notario, M. (2016). Cuida tu privacidad. Blogs.deusto.es. Disponible en: https://blogs.deusto.es/master-informatica/cuida-tu-privacidad/ [Consulta 27 Nov. 2016].

[2] ISACA (2016). Privacy protection in the workplace. Disponible en: http://www.isaca.org/Groups/Professional-English/privacy-data-protection/GroupDocuments/2014-07-04%20Privacy-protection-in-the-workplace-Guide-for-employees.pdf [Consulta 27 Nov. 2016].

[3] Elpais.com.uy. (2016). Intimidad y privacidad en la empresa: las fronteras del control. Disponible en: http://www.elpais.com.uy/economia/empresas/intimidad-privacidad-empresa-fronteras-control.html [Consulta 27 Nov. 2016].

[4] Rrhhdigital.com. (2016). Privacidad de los empleados Vs Control Interno. Disponible en: http://www.rrhhdigital.com/editorial/76781/-applicalia- [Consulta 28 Nov. 2016].

[5] Aldama Notario, M. (2016). EU-US Privacy Shield. Blogs.deusto.es. Disponible en: https://blogs.deusto.es/master-informatica/eu-us-privacy-shield/ [Consulta 28 Nov. 2016].

 

Profundizando en el mundo de PCI DSS

by Leave a Comment

Download PDF

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.

 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

“A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist”: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf

 

Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

by 1 Comment

Download PDF

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.

¡Erase una vez…, un control! Controles chulos para social media

by 1 Comment

Download PDF

Mis jovenzuelos lectores, espero que los riesgos desde el punto de vista empresarial hayan quedado claros. Al fin y al cabo, los medios sociales es la tercera actividad más popular que una persona random hace después del puesto número uno y dos que se lo llevan mirar el email y leer artículos (o libros). ¡Es lo que tienen las cosas estas que tienen pixeles y que emiten luz! ¡Algunos los llaman monitores! Estos objetos nos desinhiben un poquito más de lo que haríamos en la vida real. Un 15% de nosotros compartimos con nuestros allegados (y no tan allegados), información online que realmente no llegaríamos a compartir en el mundo físico, al menos así [1] lo detalla Kaspersky, una firma de seguridad IT muy conocida en el mundo.

¡Uno puede partir de una dirección email y acabar colándose por las resquebradizas fisuras de algún sistema empresarial o simplemente esperando al acecho tras enviar una serie de emails con logotipos y mensajes que pueden confundir al personal! La mayoría no, pero mucha gente afirma que ellas o ellos no son precisamente de interés para un cibercriminal. Algo que ciertamente podría ser verdad, pero en el caso de organizaciones, instituciones o PYMES podrían acabar siendo un verdadero honeypot que atrae hasta al hacker junior en sus comienzos… Aún y todo, de aquellos que reclaman no ser de interés para un hipotético cibercriminal, un 40% recibe emails sospechosos o mensajes desconcertantes en aplicaciones de mensajería. Los propios empleados y trabajadores (en plantilla, subcontratados, becarios) pueden ser excelentes embajadores de la compañía (hablando bien, representando la marca, dando charlas), pero a su vez, unas dianas más grandes que el reloj de la piscina descubierta de Artxanda.

Por ende, podría parecer interesante poner en práctica algún que otro control con los que nos sintamos, como organización mucho más cómodos y seguros.

social_overload1

Hay empresas que reconocen que los social media (en inglés) son herramientas muy chulas para facilitar sus tareas y objetivos de las mismas, pero a su vez, pueden representar un riesgo penumbroso (mala reputación, documentos filtrados). Los comités de auditoría debieran tomar cartas en el asunto y encarar dichos riesgos.

Del mismo modo que en clase de telemática aprendíamos la pila TCP/IP con un acercamiento top-down, hay gente que  sugiere acercarse al problema de los riesgos o mitigarlos, de una manera similar [2]: primero habría que identificar los riesgos (describir el riesgo, evaluar su probabilidad, detectar el impacto etc) luego especificar las herramientas que se llegarán a utilizar (en tu organización) para monitorear las áreas de riesgos así como de qué manera los resultados van a ser dirigidos y contemplados. Acto seguido poner en marcha esas herramientas e implementarlas y por último quedarte en constante vigilia a la vez que vas haciendo pequeños ajustes.

Una manera buena de comenzar sería generando y poniendo en común una guía, directrices o políticas [3] sobre los medios sociales con una documentada y clara estrategia para los recursos humanos (aún más relevante cuando te pueden seguir el camino de migas que dejas atrás y encontrar el nombre de la empresa donde trabajas). Es el empleado quien debiera tener muy presente que es un activo muy apetitoso y propenso a cometer alguna que otra metedura de pata involuntaria . Estas directrices vienen acompañadas normalmente por un documento o guía que detalla y encamina cual es la estrategia en relación a los medios sociales que la compañía está siguiendo (albergando por ejemplo, una definición extensa de lo que son los social media para la empresa también). No descartaría personalmente un proceso de reciclaje en la empresa (con los empleados, directivos etc.) en el sentido de impartir y actualizar los conocimientos y las bases del porqué del cuidado a tener en los medios sociales y la razón de ser de las guías y directrices. Es al fin al cabo, un recordatorio para mantener al día a los empleados y jefes sobre las últimas tendencias cibercriminales, los controles y nuevos posibles riesgos. Porque una vez más, el humano es el eslabón más débil de la cadena. Al final, se demuestra confianza [4] entre las personas de tu plantilla esforzándote por educarles y haciéndoles entender la misión de la empresa.

policy

Antes hablábamos de monitorear las áreas de riesgos, y efectivamente, es un buen remedio, al menos para mitigar el impacto de los riesgos mencionados en anteriores posts. Yo lo enfocaría más por la senda de monitorear la actividad de tu organización en los medios sociales, a modo de alertas, debieras tener un sistema que te permita tomar decisiones o que te haga llegar un aviso cuando algo no cuadre bien en el ciberespacio. Del mismo modo, yo estaría ojo avizor a cualquier mensaje que pudiera hacer sentir mal al consumidor, y por tanto, procedería a su pronta eliminación. ¡O eso, o respondes a las inquietudes del cliente de turno con sus comentarios en Twitter, Facebook etc! Otorgad cierta prioridad a dedicar tiempo para responder en los medios sociales [4 bis]. Otro elemento interesante del que no me gustaría olvidarme es la segregación de responsabilidades. Internamente hablando, hemos de asegurarnos de que cada empleado tiene su propio ámbito de trabajo y no interviene en las responsabilidades de otro compañero. De esta manera, podríamos reducir el riesgo de meter la pata al postear, escribir algún artículo o subir datos en vuestra página web corporativa sin que el responsable tenga constancia de ello (o incluso sin haber dado permiso de hacerlo público).

¡Atención! Llámalo backup, copia de seguridad, pendrive, DVD… (¡sé que has tenido que cerrar los ojos en esas dos últimas palabras!). Es realmente [5] y con toda humildad, un acción preventiva que las organizaciones o pequeñas empresas debieran de implantar en su lista de controles. Ataques como los ransomware pueden paralizar tu actividad empresarial ipso facto, lo cual te puede generar pesadillas. En general, para controles de seguridad, el responsable de turno en la empresa tendría que proactivamente ponerse en contacto con el departamento de sistemas y definir un roadmap para blindar vuestras instalaciones “digitales” (protegerlas de vulnerabilidades).

Y para acabar, no te olvides de mantener actualizadas las políticas de seguridad y comportamiento sobre los medios sociales cada cierto tiempo (las que he comentado antes), y que éstas sean comprensibles por el pueblo! ¡O sea, por tus empleados! Por muy tecnólogo que sea tu perfil, has de procurar allanar tu vocabulario y que impregne a la mayoría del personal [6]. Un caso anecdótico es el del departamento de justicia de Victoria (¡Australia!), echadle un ojo, porque responde a una forma de transmitir información muy amigable:

Hay voces que abogan por crear un documento que reúna políticas de seguridad para post-incidentes [7] también, es decir, una serie de procedimientos para analizar cuáles fueron nuestros errores, analizar qué controles fallaron, el ámbito del incidente, aprender lecciones y detallar los pasos venideros para evitar que se repita el problema.

¡Al final, van a tener razón con aquello de que es mil veces mejor prevenir que curar! :)

Referencias:

[1] Tuttle, Hilary, Users not grasping social media risks. Risk Management [0035-5593], 2014 vol.:61 pág.:44

[2] “Monitoring Social Media for Risks, Control Issues and opportunities”, cmswire, http://www.cmswire.com/cms/customer-experience/monitoring-social-media-for-risk-control-issues-opportunities-015194.php , acceso el 17 de Noviembre

[3] James Field , John Chelliah , (2013) “Employers need to get to grips with social-media risks: Two key policies required to cover all the bases”, Human Resource Management International Digest, Vol. 21 Iss: 7, pp.25 – 26

[4] “Top five risks companies face when using social media”, techxb,  http://techxb.com/top-five-risks-companies-face-when-using-social-media, acceso el 18 de Noviembre

[5] “5 Ways CFOs Can Implement an Effective Cybersecurity Strategy”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-ways-cfos-can-implement-an-effective-cybersecurity-strategy-03.html, acceso el 18 de Noviembre

[6] He, Wu, (2012) A review of social media security risks and mitigation techniques, Journal of Systems and Information Technology [1328-7265] vol.14 iss:2 pág.:171 -180 (Océano)

[7] “5 Essential Incident Response Checklists”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-essential-incident-response-checklists-06.html, acceso el 18 de Noviembre

Experts Advise Corporate Audit Committees To Focus on Addressing Social Media Risks
Odom, Che. Accounting Policy & Practice Report (2011), pág.:755-756.

Field, James, Human Resource Management International Digest [0967-0734] (2013) vol.:21 iss:7 pág.:25 -26

Corporate Risks from Social Media, Computer (2014), pág.: 13 – 15

Lean Six Sigma en TI

by 2 Comments

Download PDF

Luego de haber hablado de dos metodologías muy importantes, llegó el gran momento:

Lean + Six Sigma = Lean Six Sigma!!! … enfocado a las TI

Para ello, recordemos algunas cosas:

  • Lean es una metodología que tiene como objetivo eliminar todos aquellos pasos innecesarios que no generan valor durante la creación de un producto o servicio, quedándose con el flujo de procesos mejorado, completo, racionalizado y eficaz, que ayude a satisfacer adecuadamente al cliente.
  • Six Sigma es una metodología de mejora continua que busca calidad a través de la reducción de defectos en todo tipo de procesos, para de esa forma reducir costos e incrementar la satisfacción de los clientes. El propósito de Six Sigma es reducir la variación de los procesos para que estos no generen más allá de 3.4 defectos por millón.

Estas dos metodologías pueden usarse por separado, pero suman mucho más valor si se combinan para formar a Lean Six Sigma: Lean (eliminación de actividades que no generen valor, acortamiento de tiempo de espera del proceso) y Six Sigma (calidad en cada paso del proceso, cero defectos).

lss

Lean Six Sigma puede aplicarse en cualquier tipo de organización, teniendo como objetivo, lograr calidad con la eliminación de los defectos mediante  una adecuada definición del problema, midiendo y analizando sus causas raíces para eliminarlas y de esta manera, poder asegurar el correcto funcionamiento de los procesos en la organización.

Algunas de sus mejores prácticas son:

  • Alto compromiso de la alta gerencia y toda la organización.
  • Planificar la implementación.
  • Planificar las comunicaciones.
  • Planificar la Formación (si se va a contratar a expertos, este punto se obvia).
  • Acertada selección de Proyectos, alineados a los objetivos del negocio.
  • Documentación de Beneficios Financieros.
  • Adecuada elección de herramientas para el despliegue de proyectos de LSS y gestión de proyectos.

La implementación de LSS en una organización de TI no implica más riesgos que en cualquier otro tipo de organización, los cuales tienen que ver con:

  • La resistencia al cambio por parte de los empleados.riesgos
  • Falta de compromiso de la alta gerencia.
  • Consumo de tiempo
  • Consumo de dinero, al contratar a expertos o usar recursos de la organización.

Los cuales pueden ser controlados con incentivos, capacitaciones, entre otras cosas. Pero, como veo las cosas, en el caso de fallar, ya sabemos las cosas que no deberíamos volver a hacer, así que no consideraría abortar un proyecto de implantación de ésta metodología, ya que las ventajas que trae consigo, son mucho mayores a sus riesgos asociados.

Si quieres conocer un poco más acerca de Lean Six Sigma en TI, no te pierdas el siguiente post!

Los controles para mitigar los riesgos asociados a la propiedad intelectual

by Leave a Comment

Download PDF

En mi post anterior hablé sobre los diferentes riesgos relacionados con la propiedad intelectual. Estuvimos hablando tanto de los riesgos externos como de los internos y recordamos que ambos son de igual importancia, es decir, no podemos dejar de contemplar ni a los unos ni a los otros.

En este post quiero hablar sobre los diferentes controles que se pueden aplicar en las empresas para estos riesgos. Estos controles nos servirán de escudo contra estas amenazas y les servirán a las empresas para saber si están fallando (en caso de que éstas los estén empleando) o si simplemente no se están aplicando.

431071-Kysb

Los controles que os iré mencionando y recomendando en este post son algunos de los muchos que están presentes en la ISO 27002. Esta ISO es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). También deciros que la última versión de este estándar se publicó en el año 2013; con esto lo único que pretendo es concienciaros de que no es un estándar obsoleto y en desuso.

Retomando el tema de los controles, ¿qué tipo de controles aplicaríamos contra los riesgos externos? ¿Y contra los riesgos internos? ¿Qué controles tendríamos que aplicar para mitigar los riesgos relacionados con los ciberataques? ¿Y para mitigar aquellos relacionados con el espionaje corporativo?

En este post os iré dando una serie de recomendaciones sobre qué controles aplicar para mitigar los riesgos que mencioné en mi anterior post: ciberataques (riesgo externo) y espionaje corporativo (riesgo interno). Para ello, seguiremos los controles que nos proporciona el estándar ISO 27002.

[Read more…]