¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing

¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing

Medidas para prevenir el phishing. Vía

¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing

Infografía: para evitar el hackeo de las impresoras

 
Podéis obtener más información en este enlace.

Videotutorial de la app gratuita CONAN mobile

Todavía no te has descagado esta APP, si quieres navegar más seguro, te la recomiendo, además es gratuita.

Razones para almacenar información corporativa en la nube

Los servicios en la nube están a la orden del día. Son muchos los particulares que usan estos servicios para almacenar información, música, fechas, contactos y un largo etcétera. Y la pregunta que queremos plantearnos en este post es; ¿y por qué no utilizar una plataforma cloud para nuestra información corporativa?

Esta pregunta nos la hemos hecho todos en alguna ocasión, pero para poder responderla tenemos que conocer las ventajas e inconvenientes que tiene un servicio de almacenamiento de información corporativa en la nube.

Son muchos los motivos por los que podemos decidirnos por contratar un servicio cloud en nuestra organización. El primer aspecto es la descentralización de la información, que ofrece un entorno cloud ya que se puede acceder a ella desde cualquier dispositivo y lugar.

Otro aspecto a favor de utilizar la nube en un entorno corporativo es el ahorro de recursos ya que no requiere que haya una importante estructura para mantener la información en nuestra organización. Disponer de herramientas de almacenamiento propio requiere de desarrollo, mantenimiento hardware y software, además de importantes controles de seguridad que tienen un coste humano y económico importante. Además el uso de herramientas colaborativas a través de la nube está revolucionando y modernizando los métodos de trabajo, permitiendo el trabajo simultáneo sobre un documento, directorios compartidos con distintos permisos de acceso y otras muchas ventajas que todos ya conocemos. Este, por tanto, es otro aspecto a tener en cuenta a la hora de tomar la decisión de utilizar los servicios de la nube.

En cambio no todos los aspectos de almacenar la información en la nube son positivos, o al menos debemos tener en consideración algunos aspectos a la hora de decidir y aplicar contramedidas para garantizar la seguridad de la información. El primer inconveniente es la dependencia de terceros. Terceros que tendrán sus riesgos propios y que nosotros no podemos controlar. En cualquier caso debemos exigir que nuestro proveedor los considere y los trate de forma adecuada para garantizar la seguridad de nuestra información. Otro aspecto que podemos contemplar como negativo es la necesidad de conexión a Internet para acceder a nuestra información, y no tenerla en red local.

Pero… ¿qué medidas de seguridad tiene que tener nuestro proveedor para que sea fiable y seguro? ¿Cómo sabemos si la confidencialidad de nuestra información está asegurada? La seguridad es uno de los miedos e inconvenientes que ven las organizaciones para confiar en estos servicios en la nube.

En primer lugar debemos garantizar la confidencialidad de la información. El mayor activo de una organización es la información que maneja. Por tanto es el activo que más protegido debe estar. Para ello debemos asegurarnos que la información está en todo momento cifrada, y por tanto que alguien que intercepte la comunicación no pueda disponer de la información.

En segundo lugar debemos asegurarnos la disponibilidad de la información. Las organizaciones necesitan disponer de los datos constantemente y tener acceso a la misma es algo que el proveedor cloud debe asegurar. Para ello lo más común es acordar contratos SLA (Service Level Agreement) o Acuerdos de Nivel de Servicio. Esto no es más que un contrato escrito entre proveedor y cliente donde se acuerdan los servicios prestados y el nivel de calidad de dicho servicio. En este contrato se suelen definir aspectos como la disponibilidad que garantiza el proveedor del servicio, tiempo de respuesta en caso de incidentes, tiempo de resolución de incidencias, y otros muchos parámetros que aseguran al cliente la calidad del servicio. Es habitual también que aparezcan las compensaciones que, en caso de incumplimiento garantiza el proveedor.

En tercer lugar debemos garantizar la trazabilidad de la información. Para ello es importante que el servicio garantice la autenticación y se realice una adecuada gestión de logs o registros donde en un momento dado se puedan revisar los accesos y la información que ha sido accedida. Por otro lado, pero también en cuanto a las medidas de seguridad que debemos tener en cuenta, y que nuestro proveedor debería cumplir es lo referente a las copias de seguridad. Si decidimos utilizar un entorno cloud de un tercero, debemos saber la política de copias que llevan a cabo, su periodicidad, y la seguridad que tienen las mismas con el fin de garantizar la seguridad de nuestra información que no olvidemos que es nuestro principal activo.

Pongamos el ejemplo de un comercio donde aloja toda la información de sus clientes en la nube y cuando va a realizar una venta o un reparto no tiene acceso a esa información. ¿Quién paga ese perjuicio? Además de lo ya mencionado anteriormente, debemos asegurarnos que el proveedor cloud cumple los requisitos legales y normativos. Además es conveniente saber dónde se aloja la información para saber qué requisitos normativos afectan a nuestra información.

Además, si almacenamos datos de carácter personal, como responsables del tratamiento, debemos conocer si intervienen terceras empresas, además de supervisar que el proveedor cumple con las medidas de seguridad de acuerdo con la información que almacenamos. La Agencia Española de Protección de Datos ha publicado una guía donde nos informa de los pasos que hay que dar respecto a la LOPD si somos clientes cloud computing.

En conclusión, son muchos los aspectos positivos a la hora de almacenar la información de nuestra organización en la nube, ya que además ofrecen otros servicios que pueden aumentar la productividad de en el trabajo. En cambio, si nos decidimos por esta opción, no debemos olvidarnos de que ésta no debe comprometer la seguridad de nuestra información, y antes de tomar la decisión debemos garantizar la confidencialidad y disponibilidad de nuestra información.

Ahora que ya conoces un poco las principales ventajas y desventajas de almacenar la información en la nube, ¿sabes lo que vas a hacer? Sea lo que sea, ¡hazlo de forma segura!

by INCIBE via Blog de Empresas de INCIBE

Dime qué nivel LOPD tienes y te diré que controles necesitas.

Muchos de nosotros pensamos que para cumplir la Ley Orgánica de Protección de Datos (LOPD) es suficiente con tener un archivador que contenga el documento de seguridad, inscribir unos ficheros ante la Agencia de Española de Protección de Datos, poner un aviso legal en nuestra web y firmar acuerdos con nuestros proveedores. Todo esto es necesario pero no es suficiente para cumplir con la LOPD.

Es necesario además cumplir los controles o medidas de seguridad recogidas en el Reglamento de Desarrollo de la LOPD, también conocido como RDLOPD. Estas medidas de seguridad abarcan tanto controles referentes a sistemas de información automatizados, como sistemas de información no automatizados (papel).

No todas las empresas deben implantar todas las medidas descritas en este Reglamento, dado que estas medidas están asociadas al nivel de seguridad de los datos tratados (básico, medio y alto). Es decir, en función de los datos que tratemos en nuestra empresa, aplicaremos más o menos medidas de seguridad.

Por lo que a esto respecta, podemos encontrar medidas que van desde la realización de copias de respaldo, la implantación de mecanismos de autenticación para acceder a los equipos o la existencia de medidas de seguridad para la gestión de soportes de almacenamiento.

Pero no nos podemos olvidar que este Reglamento también tiene un apartado dedicado a controles de seguridad para la gestión de la información en soporte papel. Estos van desde la definición de un criterio de archivo a la gestión del almacenamiento seguro de la documentación.

Además si tratamos datos de carácter personal clasificados con un nivel de seguridad medio o alto, debemos realizar auditorías que verifiquen la correcta implantación de estos controles.

Es por este motivo, que debemos conocer de primera mano los controles que son necesarios implantar para cumplir de modo efectivo con la LOPD y su Reglamento de Desarrollo. En la siguiente infografía os presentamos de una manera sencilla y clara cuáles son estos controles.

Si queremos conocer en detalle todos estos controles podemos encontrarlos en el documento oficial: RD 1720/2007 conocido como RDLOPD, De forma resumida os los presentamos en la siguiente infografía:

by INCIBE via Blog de Empresas de INCIBE