Category Archive Estandares de Seguridad

PorjLeonett

Acusan a Google de espiar a usuarios de Chromium mediante función de búsqueda por voz

Rick Falkvinge, político sueco, acusa a Google de utilizar una función de Chromium para activar sin autorización el micrófono del PC y transmitir a Google el audio captado.

La afirmación, hecha por Falkvinge, presidente del Partido de la Piratería en su blog, se originó en una notificación de error de código publicada por un usuario de Debian, quien escribió: “Cuando activo Chromium, este descarga algo; hay una notificación de status que incluye las líneas “micrófono: si” y “autorizar captura de audio: si”.

Falkvinge interpreta lo anterior como que “Google se ha arrogado el derecho de escuchar todas las conversaciones, en todos los lugares donde se ejecuta Chrome, sin el consentimiento de las personas cuyas conversaciones están siendo escuchadas”.

Según el sitio Silicon Angle, esta característica forma parte del código que Google está utilizando para implementar su función de búsqueda por voz -disponible por ahora en Android- en computadoras de escritorio y laptops. Falkvinge no cuestiona la funcionalidad en sí, sino que el micrófono capte activamente todo lo que el usuario dice. “Obviamente, no es tu propia computadora que está analizando el comando de búsqueda, sino los servidores de Google”, escribe Falkvinge, agregando que “esto implica que tu equipo es configurado sigilosamente para enviar lo que se dice en tu habitación a terceros, a una empresa privada situada en otro país, sin tu consentimiento ni conocimiento; se trata de una transmisión activada por un conjunto de condiciones desconocidas y no verificables”.

Falkvinge señala que, en lo fundamental, esta funcionalidad es una herramienta de escucha activa. El sitio Silicon Angle pregunta retóricamente: “¿Qué impediría a Google, más adelante, utilizar la captura de audio para perfeccionar sus anuncios o, aún peor, crear una base de datos aún mayor sobre cada uno de sus usuarios?”

Por ahora se desconoce cuándo la funcionalidad será incorporada en Chrome, pero al formar ya parte de Chromium, es sólo cuestión de tiempo.

Según Silicon Angle, otro problema sería que inicialmente no había una opción que permitiera desactivar esta función. El problema habría sido corregido por Google, incorporando una función que permite desactivar la transmisión de audio. “Esto significa que los usuarios serán monitoreados a menos que exploren las preferencias de Chrome/Chromium para desconectarlo – aunque en realidad la mayoría de los usuarios ni siquiera se dan cuenta que están siendo monitoreados, y menos aún sabrán cómo desactivar la función”, escribe Silicon Angle.

Google ha respondido afirmando que esta función está desactivada de forma predeterminada, y no lo contrario; es decir, activada por defecto, lo que contradice las declaraciones de Falkvinge.

En su blog dedicado a discutir el código de Chromium, Google escribe: “Respecto de las afirmaciones en el sentido que Hotword activa/graba audio sin pedir autorización al usuario, queremos recalcar que *no* es una función activada por defecto. Por el contrario, el propio usuario debe desactivarla. Al abrir “chrome://settings” verá un casillero marcado ‘OK Google’ para iniciar búsquedas por voz. Este casillero está desactivado de forma predeterminada. A menos que el usuario lo decida, el módulo Hotword no será activado”.

Fuente>  http://diarioti.com

PorjLeonett

Las pérdidas de datos y los tiempos de inactividad cuestan a las empresas 1,7 billones de dólares

Sólo el 6% disponen de planes para recuperación ante desastres en los entornos móviles, cloud y Big Data.

EMC Corporation (NYSE:EMC) ha presentado las conclusiones de un nuevo estudio sobre protección de datos a nivel mundial que revela que la pérdida de datos y los tiempos de inactividad han costado a las empresas 1,7 billones de dólares (1,7 millones de millones de dólares) en los últimos doce meses, el equivalente a casi el 50% del PIB de Alemania. La pérdida de datos se ha incrementado un 400% desde 2012, y sorprendentemente, el 71% de las organizaciones no confían plenamente en su capacidad para recuperarse tras una interrupción de sus sistemas.

En el estudio Global Data Protection Index de EMC®, llevado a cabo por Vanson Bourne, han participado 3.300 responsables de TI de mediana y gran empresa en 24 países.

Impacto de la pérdida de datos y el tiempo de inactividad

Los casos de pérdidas de datos se han reducido de manera general. No obstante, el volumen de datos perdidos por cada incidente crece de forma exponencial:

· El 64% de las empresas analizadas ha sufrido pérdidas de datos o períodos de tiempo de inactividad en los últimos doce meses.

· Las empresas han registrado de media más de tres días (25 horas) de tiempo de inactividad imprevisto en los últimos 12 meses.

· Las interrupciones también provocaron pérdidas de ingresos (36%) y retrasos en el desarrollo de producto (34%).

Nueva oleada de desafíos para la protección de datos

Las tendencias empresariales, como Big data, movilidad y la nube híbrida, están generando nuevos desafíos para la protección de datos:

· El 51% de las empresas no cuentan con un plan de recuperación ante desastres para ninguno de estos entornos, y solo el 6% disponen de un plan para los tres.

· De hecho, el 62% consideran Big data, movilidad y nube híbrida “difíciles” de proteger.

· El 30% de los datos primarios están ubicados en algún tipo de almacenamiento en la nube, lo que podría provocar pérdidas sustanciales.

La paradoja de la protección

Adoptar tecnologías de protección de datos avanzadas disminuye enormemente la probabilidad de sufrir una interrupción. Muchas empresas acuden a múltiples proveedores de TI para resolver este problema. Sin embargo, un enfoque de implementación en silos aislados puede aumentar los riesgos:

· Las empresas que no han implementado una estrategia de disponibilidad continúa tienen el doble de probabilidades de sufrir pérdidas de datos que aquellas que sí la utilizan.

· Las empresas con tres o más proveedores de soluciones de protección de datos pierden tres veces más datos que aquellas con una estrategia de protección de datos unificada con un solo proveedor.

Refiriéndose al estudio, Guy Churchward, Presidente, EMC Core Technologies, declaró “Destaca el enorme impacto monetario de los periodos de tiempo de inactividad no planificados y la pérdida de datos para las empresas de todo el mundo. Un 62% de los responsables de TI entrevistados consideran un desafío proteger los datos en la nube híbrida, big data y móviles, por lo que es razonable que casi ninguno confíe en que se superen los futuros desafíos empresariales en relación con la protección de datos. Esperamos que este estudio lleve a los responsables de TI a detenerse y evaluar de nuevo si sus actuales soluciones de protección de datos se adaptan a las nuevas necesidades empresariales actuales, así como sus objetivos a largo plazo”.

Jesús Velasco EMC España

Por su parte, Jesús Velasco, Senior Account Manager, Data Protection & Availability Division de EMC España, agregó: “Este estudio de EMC demuestra que la Protección de la Información es uno de los retos más importantes para las compañías, ya que un 64% de las empresas consultadas admiten haber sufrido caídas que provocaron pérdida de información, con el consecuente impacto en productividad. Las nuevas tecnologías de almacenamiento para entornos Big data, nubes híbridas y dispositivos móviles aportan un reto adicional para la protección de la información, un ámbito en el que el 51% de las empresas no tienen implementada una solución”.

Fotografía: Jesús Velasco, Senior Account Manager, Data Protection & Availability Division de EMC España.

Fuente: Diario IT

PorjLeonett

Estándares de seguridad ISO 27000: ¿qué hay de nuevo?

La semana pasada tuve la oportunidad de participar, como representante de ESET en México, del segundo Congreso de Seguridad de la Información, organizado por el Instituto Politécnico Nacional (IPN), impartiendo el taller ‘Implementación del estándar ISO/IEC 27001:2013’.

En este taller planteamos varios objetivos a alcanzar, como conocer los conceptos básicos de seguridad de la información utilizados en la serie de estándares 27000, identificar los requisitos definidos en la nueva versión de ISO 27001, así como reconocer las principales diferencias entre las ediciones 2005 y 2013 de este estándar.

Como resultado, en esta publicación quiero compartirles algunas consideraciones abordadas en el taller, mismas que pueden ser tomadas en cuenta cuando se tiene como objetivo gestionar la seguridad de la información utilizando como base los estándares ISO.

Consideraciones para la familia de estándares 27000

Con anterioridad revisamos la serie de normas ISO 27000, mostrando la principal característica de cada documento. Sin embargo, en los últimos dos años estos estándares han tenido importantes modificaciones en su contenido, que a continuación revisaremos.

  • ISO/IEC 27000

Una manera de comenzar la implementación de ISO/IEC 27001 puede ser a través de conocer este documento, que contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al sistema de gestión de seguridad de la información (SGSI), el proceso continuo que gestiona todos los esfuerzos de una organización, enfocados en proteger sus activos de información a través de la evaluación y tratamiento de riesgos de seguridad.

Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001 (cláusula 2). También, en este último todos los términos y definiciones han sido eliminados, únicamente haciendo referencia a este documento.

  • ISO/IEC 27001

A diferencia de otros documentos de esta familia, ISO 27001 es certificable para las organizaciones que desean mostrar su compromiso con la protección de la información. En general, especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.

También incluye el Anexo A que se conforma de 14 dominios, 35 objetivos de control (una descripción de lo que se desea alcanzar con la aplicación de controles) y 114 controles de seguridad, que pueden ser seleccionados e implementados como parte del proceso de tratamiento de riesgos.

El Anexo B (principios de la OCDE) y Anexo C (correspondencia con los estándares ISO 9001 e ISO 14001) han sido removidos en la nueva edición. Este último debido a que se adopta la estructura delAnexo SL, que ofrece lineamientos para establecer un sistema de gestión genérico, correspondiente con los estándares que han sido revisados y actualizados, así como aquellos que se publicarán en el futuro.

  • ISO/IEC 27002

El código de prácticas para controles de seguridad de la información provee una lista de objetivos de control y controles comúnmente aceptados, que busca servir como una guía para la implementación de los mismos.

A diferencia de la versión 2005 de ISO 27001, en la edición 2013 ya no es una referencia normativa, por lo que su uso es opcional. Aunque todavía es ampliamente recomendable, ahora otras fuentes de información pueden consultadas para la aplicación de los controles de seguridad.

  • ISO/IEC 27004

Este estándar provee una guía enfocada en la medición y evaluación de la efectividad del sistema de gestión, de los objetivos de control y los controles, utilizados para gestionar la seguridad de la información de acuerdo con los requisitos de ISO/IEC 27001. Puede ser de mucha utilidad cuando la organización requiera dar cumplimiento a las cláusulas de evaluación de desempeño del SGSI.

  • ISO/IEC 27005

La gestión de riesgos de seguridad de la información descrita en este estándar tiene como objetivo guiar a los usuarios durante la implementación de los requisitos en materia de evaluación y tratamiento de riesgos de ISO 27001.

Aunado al proceso de gestión de riesgos plasmado en este estándar, es necesario aplicar una metodología de evaluación de riesgos de seguridad, que permita en primer lugar definir los criterios de aceptación de los riesgos, determinar el impacto y la probabilidad de cada uno de estos, para elegir opciones de tratamiento conscientes, enfocadas en reducir los riesgos a un nivel aceptable, con base en los criterios previamente establecidos.

  • ISO/IEC 27007

Este estándar proporciona una guía para llevar a cabo auditorías al SGSI y sobre las competencias que requieren los auditores. Tiene como base ISO 19011, que es el estándar utilizado para auditorías a sistemas de gestión de cualquier tipo. Sin duda, se trata de una referencia muy útil cuando se deba dar cumplimiento a la cláusula  de auditorías internas de ISO 27001.

Con la revisión de estos documentos, podemos tener una mayor visión al momento de abordar los requisitos de ISO 27001, ya que como su nombre lo indica, se trata de guías que facilitan y complementan la implementación.

En este mismo sentido, también se puede consultar ISO/IEC 27003, el estándar orientado a proporcionar más información sobre la operación de cada uno de los elementos necesarios para estar en cumplimiento con la norma 27001.

Hasta este punto revisamos aspectos importantes de los documentos de la familia 27000. En posteriores publicaciones revisaremos otros elementos a tomar en cuenta cuando se trabaja con los estándares ISO durante la gestión de la seguridad de la información. Hasta entonces y ¡éxito en la implementación de su SGSI!

Fuente:  welivesecurity