En la era de la transformación digital, la migración a la computación en la nube se ha convertido en algo más que una simple tendencia: es un imperativo estratégico para las organizaciones que buscan mantenerse competitivas y ágiles en el acelerado panorama empresarial actual. Sin embargo, con la creciente adopción de servicios en la nube surge una preocupación apremiante: la seguridad. El debate en torno a la migración a la nube y sus implicaciones para la seguridad ha pasado a ocupar el primer plano de las discusiones tanto entre los profesionales de TI como entre los líderes empresariales. A medida que más organizaciones confían sus datos a entornos de nube, la necesidad de medidas de seguridad sólidas nunca ha sido más crítica. La migración de datos a la nube introduce una infinidad de consideraciones de seguridad únicas. La complejidad del proceso de migración en sí plantea desafíos que pueden provocar pérdidas o violaciones de datos si no se gestionan de manera efectiva. Además, el cambio hacia la adopción de la nube crea nuevas oportunidades para que los ciberdelincuentes aprovechen las vulnerabilidades, lo que plantea riesgos importantes para la información confidencial de las organizaciones. Reconocer y comprender estos riesgos no sólo es esencial sino imperativo para las organizaciones que se embarcan en su viaje a la nube. Un enfoque proactivo para abordar estos desafíos permite a las organizaciones navegar el proceso de migración con mayor conciencia, reforzando su postura de seguridad frente a las amenazas cibernéticas en evolución. Entonces, ¿qué es exactamente la seguridad en la nube y por qué es importante? La seguridad en la nube abarca un conjunto integral de pautas, tecnologías y mejores prácticas destinadas a proteger los datos confidenciales almacenados en entornos de nube contra accesos no autorizados, infracciones y amenazas cibernéticas. A diferencia de los métodos de almacenamiento tradicionales en los que los datos residen en dispositivos locales, el almacenamiento en la nube implica almacenar datos en servidores remotos administrados por proveedores de servicios en la nube (CSP). Si bien los CSP son responsables de mantener la seguridad inmediata de su infraestructura en la nube, los usuarios comparten la responsabilidad de garantizar la seguridad de sus datos mediante el cumplimiento de las mejores prácticas y el cumplimiento de los protocolos de seguridad. No se puede subestimar la importancia de la seguridad en la nube, particularmente en el panorama actual donde los activos digitales tienen un valor inmenso. Los datos almacenados en la nube representan un tesoro de información que requiere protección. Para las empresas, lo que está en juego es aún mayor, con consecuencias potenciales que van desde responsabilidades legales hasta daños irreparables a la reputación y la confianza en caso de una violación de datos. Afortunadamente, la seguridad en la nube ofrece beneficios, lo que la convierte en una inversión que vale la pena tanto para individuos como para organizaciones. Estos beneficios incluyen: Protección de datos confidenciales: las medidas de seguridad en la nube ayudan a mitigar los riesgos de violaciones de datos y acceso no autorizado, garantizando que la información confidencial permanezca segura y protegida. Cumplimiento de las regulaciones: muchas industrias están sujetas a regulaciones estrictas que rigen el manejo y la privacidad de los datos. La seguridad en la nube ayuda a las organizaciones a lograr el cumplimiento de estas regulaciones, evitando así sanciones y repercusiones legales. Continuidad del negocio: al salvaguardar los recursos de la nube contra amenazas cibernéticas, desastres naturales y fallas técnicas, las medidas de seguridad en la nube contribuyen a operaciones comerciales ininterrumpidas y minimizan las interrupciones. Gestión de la reputación: mantener una postura de seguridad sólida a través de iniciativas de seguridad en la nube ayuda a las empresas a preservar su reputación y ganarse la confianza de clientes y socios. A medida que las empresas recurren cada vez más a la tecnología de la nube para mejorar sus operaciones y su agilidad, los beneficios de la migración a la nube son innegables. Sin embargo, junto con estos beneficios vienen desafíos únicos que las organizaciones deben afrontar para garantizar una transición fluida y segura. Exploremos los beneficios, los desafíos y las medidas de control clave asociadas con la migración a la nube. Beneficios y desafíos de la migración a la nube La migración a la nube ofrece numerosas ventajas, incluidas seguridad, escalabilidad y flexibilidad mejoradas. Al aprovechar la tecnología de la nube, las organizaciones pueden optimizar la utilización de recursos, agilizar las operaciones y adaptarse a las condiciones dinámicas del mercado con agilidad. Preocupaciones comunes A pesar de sus beneficios, la migración a la nube presenta desafíos que las organizaciones deben abordar de manera proactiva. Estos incluyen garantizar la seguridad de los datos, el cumplimiento de las regulaciones y mantener el control sobre la soberanía de los datos. Abordar estas preocupaciones requiere un enfoque estratégico y una vigilancia constante. Medidas de control clave en la nube Cifrado y gestión de claves El empleo de cifrado para datos en reposo y en tránsito, junto con prácticas sólidas de gestión de claves, mejora la seguridad de los datos en la nube. Soluciones como Bring Your Own Key (BYOK) y Hold Your Own Key (HYOK) brindan a las organizaciones un mayor control sobre las claves de cifrado, mitigando el riesgo de acceso no autorizado. Prácticas de migración segura La migración segura a la nube implica mantener la confidencialidad, autenticidad e integridad durante todo el proceso de migración. El empleo de cifrado, controles de acceso y prácticas sólidas de administración de claves garantiza la seguridad de los datos y las aplicaciones durante la migración y más allá. Monitoreo y cumplimiento continuos El monitoreo continuo y la auditoría de cumplimiento son componentes esenciales de la seguridad en la nube. Al evaluar periódicamente el cumplimiento de los estándares y regulaciones de la industria, las organizaciones pueden identificar y abordar las vulnerabilidades de seguridad de manera proactiva, salvaguardando los datos confidenciales y manteniendo el cumplimiento normativo. En conclusión, sortear las complejidades de la migración a la nube requiere un enfoque estratégico y proactivo para la seguridad y la gestión de riesgos. Al abordar inquietudes comunes, superar desafíos e implementar medidas de seguridad sólidas, las organizaciones pueden desbloquear todo el potencial de la tecnología en la nube y al mismo tiempo proteger su información confidencial contra las amenazas cibernéticas en evolución. Para explorar nuestra gama de soluciones de seguridad en la nube y soluciones de privacidad y protección de datos, comuníquese con nosotros en sales@jisasoftech.com o visite www.jisasoftech.com para obtener más detalles.
Etiqueta: seguridad de datos
La seguridad ha sido el foco de la computación en la nube desde sus inicios. Las empresas han dudado en trasladar aplicaciones importantes y datos confidenciales a la nube porque temen ceder el control a partes externas. Aunque los proveedores de servicios en la nube han implementado fuertes medidas de seguridad, como defensas antimalware y salvaguardias de privacidad, todavía existen preocupaciones, especialmente con respecto a la propiedad y el acceso a los datos. La computación en la nube ha revolucionado la forma en que operan las empresas, ofreciendo flexibilidad, escalabilidad y eficiencia incomparables. Sin embargo, junto con estos beneficios surgen preocupaciones sobre la seguridad de los datos. Confiar información confidencial a proveedores externos de servicios en la nube plantea preguntas sobre quién tiene acceso a los datos y cómo se protegen. Si bien el cifrado es una medida de seguridad estándar, la propiedad y la gestión de las claves de cifrado siguen siendo un punto de controversia. Bring Your Own Key (BYOK) aborda este problema permitiendo a los usuarios conservar el control sobre sus claves de cifrado, garantizando la seguridad de sus datos en la nube. Entendamos el cifrado, la gestión de claves y BYOK. Cifrado y gestión de claves: el cifrado desempeña un papel crucial a la hora de proteger los datos en la nube. Todos los datos almacenados y transmitidos entre clientes y hosts se cifran para evitar el acceso no autorizado. Sin embargo, la eficacia del cifrado depende de la seguridad de las claves de cifrado. Si estas claves se ven comprometidas, los atacantes pueden obtener acceso a datos cifrados, lo que hace que el cifrado sea ineficaz. BYOK: Empoderar a los usuarios con control: Traiga su propia clave (BYOK) aborda el desafío de la gestión de claves de cifrado en la nube. A diferencia de los métodos de cifrado tradicionales en los que el proveedor de la nube administra las claves, BYOK permite a los usuarios generar, almacenar y controlar sus claves de cifrado de forma independiente. Esta separación de funciones garantiza que incluso si los datos están alojados en un servidor de terceros, los usuarios conservan la propiedad y el control sobre las claves utilizadas para cifrar y descifrar sus datos. ¿Cómo funciona Trae tu propia clave (BYOK)? BYOK, o Bring Your Own Key, es un método de seguridad de datos que otorga a las organizaciones la capacidad de llevar sus claves de cifrado a un entorno de nube, conservando así el control y la gestión sobre ellas. Este proceso aborda las preocupaciones relacionadas con la visibilidad y la propiedad de las claves, garantizando que los proveedores de infraestructura, como los proveedores de servicios en la nube (CSP), no puedan acceder a estas claves en un estado no cifrado. Es esencial comprender que las organizaciones almacenan y protegen las claves BYOK dentro del entorno de la nube, lo que impone algunas limitaciones al control proporcionado por BYOK. Sin embargo, los proveedores de servicios en la nube integran sus capacidades BYOK con módulos de seguridad de hardware (HSM) tradicionales para garantizar que estas claves estén protegidas contra el acceso no autorizado. Ventajas de BYOK: la seguridad de los datos es primordial para las empresas en el panorama empresarial actual y BYOK ofrece varias ventajas como parte de una estrategia de seguridad integral. Exploremos algunos de los beneficios clave: Seguridad de datos mejorada: BYOK fortalece las medidas de seguridad de los datos, permitiendo a las organizaciones utilizar sus datos para diversos fines, como análisis de datos en la nube y uso compartido interno, manteniendo al mismo tiempo los más altos estándares de seguridad. Esto puede resultar especialmente beneficioso para el cumplimiento de normativas como el RGPD, que exigen prácticas avanzadas de protección de datos, incluido el derecho al olvido. Control de datos mejorado: anteriormente, los datos almacenados en la nube se cifraban utilizando claves propiedad de los CSP, lo que dejaba a las organizaciones con poco control sobre sus propios datos. Esta falta de control fue especialmente preocupante para industrias fuertemente reguladas como las finanzas y la atención médica. Con BYOK, las organizaciones recuperan el control al administrar sus claves de cifrado, mejorando el control general de los datos. Flexibilidad entre geografías: BYOK permite a las organizaciones utilizar las mismas claves de cifrado para proteger los datos independientemente del proveedor de servicios en la nube o la ubicación geográfica. Esta flexibilidad agiliza los procesos de gestión clave y permite la personalización para cumplir con requisitos de seguridad específicos, lo que resulta especialmente beneficioso para las empresas multinacionales que operan en diversas regiones. Mitigación del impacto de las violaciones de datos: si bien las organizaciones anticipan las violaciones de datos, BYOK puede minimizar su impacto al garantizar que los datos protegidos mediante este método sigan siendo ilegibles e inutilizables tanto para las amenazas internas (dentro del CSP) como para los piratas informáticos externos. Al reducir el potencial de violaciones de datos, BYOK también puede ayudar a prevenir multas por cumplimiento y mitigar la pérdida de negocios asociada con dichos incidentes, lo que resulta en ahorros de costos indirectos para las organizaciones. Para adaptarse a las diversas demandas del mercado en materia de seguridad, cumplimiento y rentabilidad, las soluciones de administración de claves CryptoBind están diseñadas para admitir varias configuraciones Bring Your Own Key (BYOK), Hold Your Own Key (HYOK) y Bring Your Own Encryption (BYOE). La implementación, las funcionalidades técnicas y las garantías legales de estos mecanismos varían según el proveedor de servicios en la nube elegido para su negocio. Para obtener más detalles sobre cómo proteger sus claves de cifrado en la nube, no dude en comunicarse con nosotros. Estamos aquí para ayudarle en cada paso del camino. Contáctanos hoy para más información. www.jisasoftech.com Sales@jisasoftech.com+91-9619222553
En el panorama digital en rápida evolución de la India, donde Aadhaar se ha convertido en algo más que una simple identificación de 12 dígitos, la necesidad de medidas efectivas de protección de datos nunca ha sido más esencial. Si bien Aadhaar ha desempeñado un papel importante en la reducción del fraude y el aumento de la inclusión financiera, las preocupaciones sobre la filtración de datos y el robo de identidad han aumentado al mismo tiempo. En respuesta a estos problemas, la Autoridad de Identificación Única de la India (UIDAI) desarrolló el concepto de Aadhaar Vault, una fortaleza digital diseñada para proteger la información de identificación personal (PII) de los ciudadanos. El viaje de Aadhaar ha sido paradójico: ha funcionado como una barrera al fraude y una vulnerabilidad que amenaza la privacidad de los ciudadanos. Actualmente, el entorno de autenticación digital depende en gran medida de Aadhaar, que está vinculado a diferentes áreas de la vida de un individuo, incluidos números de teléfono móvil y cuentas bancarias. Las violaciones de datos son inevitables a medida que crece el número de transacciones digitales. Esto resalta la importancia de mejorar los procedimientos de privacidad de datos, lo que llevó al desarrollo de Aadhaar Data Vault. Decodificación de Aadhaar Vault: una solución integral Aadhaar Vault no es una entidad singular sino una solución cohesiva que comprende componentes clave: considérelo como el guardián de la información confidencial. Esta poderosa herramienta cifra los datos de Aadhaar y crea una «Clave de referencia» única para cada número de Aadhaar. Esta clave de referencia sirve como guía para los datos, garantizando un movimiento seguro dentro de la organización y, en última instancia, hasta la bóveda de datos. Considere esto como una instalación de almacenamiento altamente segura. Los números cifrados de Aadhaar y sus correspondientes claves de referencia encuentran protección dentro de Data Vault. Si bien la clave de referencia se puede compartir dentro de la organización, los datos cifrados se mantienen seguros, lo que reduce el riesgo de acceso no autorizado. Módulo de seguridad de hardware (HSM): el HSM es la columna vertebral de Aadhaar Vault, responsable de generar, almacenar y administrar claves de cifrado. Garantiza el funcionamiento perfecto del sistema y gestiona tareas como actualizaciones clave sin causar interrupciones ni tiempo de inactividad. ¿Cómo funciona la bóveda de datos de Aadhaar? Aadhaar Data Vault almacena de forma segura la información de Aadhaar de un individuo en forma cifrada. Vinculado al servidor de autenticación de Aadhaar (AUA), se puede acceder a él a través del número de Aadhaar y el proceso de autenticación. Los datos dentro de la bóveda están protegidos por una clave de referencia, generada durante la inscripción. En esencia, Aadhaar Data Vault cifra y protege los datos de Aadhaar de un individuo, permitiendo el acceso a través de una clave de referencia específica obtenida durante la inscripción. Esta clave de referencia facilita el intercambio de datos de Aadhaar con entidades autorizadas. Factores a considerar con respecto a Aadhaar Data Vault: El acceso a Aadhaar Data Vault está restringido únicamente a los sistemas internos. Las claves de referencia se almacenan en dispositivos HSM. Por motivos de seguridad, Aadhaar Data Vault debe estar situado en una zona de red mínima aislada de cualquier otra zona de red no confiable. UIDAI exige que Aadhaar Data Vaults emplee una sólida tecnología de cifrado, estrictas medidas de seguridad y notificaciones rápidas en caso de intentos de entrada sospechosos. Si el número de Aadhaar no se almacena en estas bases de datos, la información demográfica o una fotografía pueden conservarse en sistemas separados, como un sistema de base de datos de clientes. Las claves de referencia no deben compartirse con servidores NPCI o UIDAI, ya que son específicas de una agencia u organización. Aadhaar Data Vault es el único sistema autorizado para ocultar el número de Aadhaar. Aadhaar Data Vault debe implementar un método sólido para actualizar y eliminar de forma segura los números de Aadhaar. ¿Cómo nuestra solución Aadhaar Data Vault puede ayudarle a proteger sus datos? Para implementar Aadhaar Data Vault en una organización, la solución CryptoBind Aadhaar Data Vault es el paquete de software completo necesario. La solución Aadhaar Data Vault, creada por JISA en respuesta a los desafíos y teniendo en cuenta las pautas de seguridad abordadas por UIDAI, facilitará que AUA/KUA/Sub AUA o cualquier otra autoridad para fines específicos bajo la Ley Aadhaar implemente una Bóveda de datos de Aadhaar cifrada para el almacenamiento seguro del número de Aadhaar y los datos eKYC. Muestra una API SOAP/REST para almacenar de forma directa y segura números de Aadhaar y datos de Aadhaar conectados en una Bóveda de datos de Aadhaar bajo cifrado administrado por UIDAI. El paquete admite el cifrado de bases de datos para la protección de datos con integración HSM. En conclusión, Aadhaar Data Vault proporciona a las personas una solución de almacenamiento segura para guardar y compartir sus datos de Aadhaar con organizaciones autorizadas. Este sistema aporta numerosos beneficios, incluida la protección contra el fraude y el robo de identidad, el fácil acceso a la información de Aadhaar y la eliminación de la necesidad de llevar tarjetas físicas de Aadhaar. Para mantener la seguridad, las personas deben salvaguardar su clave de referencia y compartir sus datos de Aadhaar exclusivamente con entidades autorizadas para acceder a ellos. El objetivo principal de Aadhaar Data Vault es salvaguardar los datos de Aadhaar de las personas contra el acceso no autorizado, garantizando que solo las entidades autorizadas puedan recuperarlos, cumpliendo así con su propósito previsto. Contáctenos: www.jisasoftech.com Sales@jisasoftech.com +91-9619222553
En el panorama en constante evolución de la seguridad digital, proteger los datos confidenciales se ha vuelto primordial. Un componente crucial para lograr esta protección es el Módulo de seguridad de hardware (HSM). Un HSM de uso general es un dispositivo criptográfico que cumple con los estándares y está diseñado para crear un entorno confiable para realizar diversas operaciones criptográficas, incluida la administración de claves, el cifrado y el intercambio de claves. En este artículo, exploraremos por qué los HSM se consideran confiables, así como sus aplicaciones y funcionalidades operativas. Un módulo de seguridad de hardware es un dispositivo criptográfico especializado diseñado para proteger datos confidenciales en varios estados: en tránsito, en uso y en reposo. Utiliza medidas de seguridad física, controles lógicos y cifrado sólido para crear un entorno confiable. Entendamos cómo funciona el módulo de seguridad de hardware. ¿Cómo funcionan los módulos de seguridad de hardware? El núcleo de la funcionalidad de HSM es el cifrado, que hace que los datos confidenciales sean indescifrables para entidades no autorizadas. Los HSM generan y almacenan claves de cifrado, cruciales para una comunicación segura. Estos dispositivos utilizan hardware especializado para crear entropía y generar claves aleatorias de alta calidad, lo que mejora la seguridad. Los HSM suelen cumplir estándares reconocidos internacionalmente, como FIPS 140 o Common Criteria. La certificación garantiza que el diseño del producto, los algoritmos criptográficos y la implementación cumplan con rigurosos estándares de seguridad. ¿Por qué es confiable un HSM? Base de hardware certificado: el núcleo de la confiabilidad de un HSM es su base en hardware certificado, bien probado y especializado. Estos dispositivos cumplen con estándares reconocidos internacionalmente, como FIPS 140 o Common Criteria, lo que garantiza que el hardware se diseñe e implemente teniendo en cuenta la seguridad. Sistema operativo centrado en la seguridad: los HSM se ejecutan en sistemas operativos diseñados específicamente para la seguridad. Estos sistemas operativos están optimizados para resistir malware, virus y acceso no autorizado, creando un entorno seguro para operaciones criptográficas. Protección y ocultación de información criptográfica: todo el diseño de un HSM oculta y protege activamente la información criptográfica. Esto incluye claves de cifrado, certificados y otros datos confidenciales, lo que dificulta que los atacantes comprometan o manipulen dicha información crítica. Control de acceso a la red: los HSM tienen acceso limitado a la red a través de una interfaz controlada y moderada. Las reglas internas rigen estrictamente este acceso, lo que reduce el riesgo de entrada no autorizada y posibles vulnerabilidades. En ausencia de un módulo de seguridad de hardware, las operaciones convencionales y los procesos criptográficos ocurren dentro de entornos compartidos. Esta situación expone los datos de la lógica empresarial ordinaria a un posible compromiso, ya que los atacantes pueden obtener acceso a información confidencial como claves y certificados. Esta vulnerabilidad permite a los piratas informáticos instalar certificados arbitrarios, ampliar el acceso no autorizado, manipular código y plantear riesgos importantes para las operaciones criptográficas. Aplicaciones de los módulos de seguridad de hardware: los HSM encuentran aplicaciones en diversos escenarios donde el compromiso de las claves digitales podría tener consecuencias graves. Algunas funciones y aplicaciones clave incluyen: Autoridades de certificación: los HSM sirven como instalaciones seguras de almacenamiento de claves y generadores de claves criptográficas para las autoridades de certificación, particularmente para claves primarias y confidenciales. Autenticación: los HSM ayudan en el proceso de autenticación verificando las firmas digitales, garantizando la integridad y autenticidad de los datos. Cifrado de datos y verificación de integridad: cifran datos confidenciales almacenados en ubicaciones menos seguras, como bases de datos, y verifican la integridad de la información almacenada. Producción de tarjetas inteligentes: los HSM generan claves seguras para la producción de tarjetas inteligentes, garantizando la seguridad de estos dispositivos de autenticación. Carteras de criptomonedas: los HSM se emplean como almacenamiento seguro de claves criptográficas en carteras de criptomonedas, protegiendo los activos digitales del acceso no autorizado. Leer más: Amplia descripción general del módulo de seguridad de hardware Fortalecimiento de la seguridad de los datos con CryptoBind® HSM: en el panorama cambiante de la computación cuántica y la criptografía, se vuelve imperativo abordar los riesgos y vulnerabilidades potenciales asociados con estos avances. Las soluciones de seguridad CryptoBind Hardware Security Module ofrecen una solución confiable y robusta para mitigar dichas amenazas, garantizando la protección de la información confidencial. Las personas y las organizaciones pueden adoptar una postura proactiva para proteger sus datos implementando CryptoBind HSM, garantizando un futuro digital seguro en medio del panorama cambiante de la seguridad de los datos y los desafíos de la criptografía. Para obtener información detallada sobre cómo CryptoBind® HSM puede mejorar la seguridad de sus datos, no dude en comunicarse con nosotros. Su futuro digital seguro está a su alcance. Contáctenos: Sitio web: www.jisasoftech.com Correo electrónico: sales@jisasoftech.com Teléfono: +91-9619222553
Durante muchos años, un tema candente en la investigación sobre seguridad informática ha sido la eliminación de contraseñas de los procedimientos de inicio de sesión en Internet. El uso de contraseñas plantea numerosos problemas de seguridad. LAS CONTRASEÑAS NO ESTÁN TAN protegidas COMO CREES. Las contraseñas son el tipo de autenticación más popular. Sin embargo, en la práctica y la aplicación, son la forma de autenticación menos eficaz. La seguridad y la rendición de cuentas están estrechamente relacionadas. Las organizaciones deben contar con sistemas de autenticación sólidos para prevenir y denegar el acceso según los permisos de un usuario a fin de responsabilizar a una persona por sus acciones. UN NÚMERO EXTREMADAMENTE ALTO DE CONTRASEÑAS DEL MUNDO REAL HAN SIDO HACKEADOS. Los piratas informáticos saben mucho sobre reglas, pautas y selecciones generales de contraseñas. Esta comprensión de cómo elegimos las contraseñas como usuarios generales de computadoras e Internet hace que descifrarlas sea más fácil y rápido. Los piratas informáticos han violado miles de redes corporativas y servicios en línea conocidos. Muchos de estos ataques dieron a los piratas informáticos acceso inmediato o retrasado a las contraseñas de los usuarios. La autenticación SIN CONTRASEÑA es la nueva era: debido a la seguridad y la facilidad de uso del proceso, la autenticación sin contraseña ofrece a las empresas y a los equipos de gestión de TI una opción diferente para la verificación de identidad. Por lo general, se utiliza junto con otros procedimientos de autenticación, como la autenticación multifactor (MFA) o el inicio de sesión único (SSO), y está reemplazando rápidamente los métodos convencionales de nombre de usuario y contraseña en términos de popularidad. A pesar de que se gastan millones de dólares en autenticación, los usuarios de numerosas organizaciones e instituciones todavía utilizan contraseñas para acceder a sus sistemas y aplicaciones. Esto es para que los piratas informáticos no tengan la oportunidad de robar esas credenciales, ya que los productos tradicionales de MFA todavía dependen de contraseñas. Por lo tanto, implementar una estrategia de inicio de sesión sólida que pueda fortalecer la seguridad se ha vuelto crucial para las organizaciones. La MFA sin contraseña se conoce como autenticación sin contraseña. En su lugar, utiliza autenticación biométrica, claves criptográficas y otros tipos de factores de autenticación que comúnmente son compatibles con los dispositivos existentes. La autenticación sin contraseña fortalece la seguridad de la organización al eliminar el riesgo de credenciales comprometidas al eliminar la dependencia anterior de las credenciales de seguridad (nombres de usuario y contraseñas). Usar menos contraseña implica poder validar la identidad de un usuario sin el uso de contraseñas. Esta es la ciberseguridad del futuro. El futuro de la seguridad biométrica en la era cuántica: según la investigación, un sistema biométrico basado en tarjetas que elimina las limitaciones y proporciona a los gobiernos, empresas e individuos una forma poderosa de verificar su identidad tanto en línea como fuera de línea. Esta solución implica colocar un lector de huellas dactilares en una tarjeta que funciona como una microcomputadora, tiene su propio sistema operativo y puede ampliarse su uso agregando aplicaciones integradas. Los usuarios tocan la tarjeta mientras presionan con el pulgar o el dedo sobre el lector para iniciar sesión en un sitio web o desbloquear una puerta. La computadora a bordo verifica su impresión y transmite de forma segura la verificación cifrada al dispositivo, por lo que se envían muy pocos datos entre los dos. La seguridad biométrica debe integrarse en cualquier sistema de seguridad nuevo desde el principio, porque las computadoras cuánticas posiblemente podrían destruir incluso la criptografía más avanzada utilizada para protegerlos. Para facilitar una transición fluida a la infraestructura de cifrado para la era de la computación cuántica, las organizaciones anticipan poder desarrollar tecnología para la criptografía poscuántica que se agregará a los sistemas de tarjetas inteligentes y avanzará en la adopción de la criptografía. En JISA Softech continuaremos avanzando hacia la adopción temprana de la criptografía poscuántica con el fin de construir y mantener una base para una transmisión de información segura. Para más información Contáctenos: www.jisasoftech.com Sales@jisasoftech.com
En respuesta al aumento de incidentes relacionados con fallas técnicas en el sector financiero, la Junta de Bolsa y Valores de la India (SEBI) ha adoptado un enfoque proactivo al formar un grupo de trabajo. Este grupo ha desarrollado un marco integral para abordar los desafíos y riesgos asociados con la adopción de soluciones de computación en la nube. El marco tiene como objetivo guiar a las entidades reguladas (RE) de SEBI en la implementación de estrategias sólidas de gestión de riesgos para la adopción de la nube. Marco de computación en la nube de SEBI: El objetivo principal del marco de SEBI es reducir los riesgos asociados con la adopción de la nube mediante el establecimiento de controles esenciales de acceso y datos. Al proporcionar un enfoque basado en principios, el marco describe controles obligatorios y medidas de seguridad básicas para las RE y los proveedores de servicios en la nube (CSP). Aborda la gobernanza, la gestión de riesgos, el cumplimiento y otros aspectos cruciales para garantizar una transición segura a la computación en la nube. El marco de SEBI está diseñado para ayudar a las RE a gestionar los riesgos asociados con la adopción de la nube. El marco comprende nueve principios de alto nivel: Submarco de gobernanza, riesgo y cumplimiento Selección de proveedores de servicios en la nube Propiedad y localización de datos Responsabilidad de la entidad regulada Debida diligencia de la entidad regulada Controles de seguridad Obligaciones contractuales y reglamentarias Planificación de la continuidad del negocio, recuperación ante desastres y resiliencia cibernética Gestión de riesgos de concentración y dependencia de proveedores Comprensión de la computación en la nube: La computación en la nube es la entrega de servicios informáticos bajo demanda a través de Internet, incluidos almacenamiento, potencia de procesamiento, aplicaciones y software. Permite a los usuarios acceder a recursos informáticos desde cualquier lugar con una conexión a Internet, ofreciendo escalabilidad, facilidad de implementación y menores costos de mantenimiento. Descripción general de las regulaciones SEBI para proteger los datos en la nube: El marco regulatorio SEBI establece requisitos específicos para las entidades reguladas destinadas a reforzar la seguridad de datos de la nube. Las principales disposiciones dentro de este marco incluyen: Adopción obligatoria de módulos de seguridad de hardware (HSM) y sistemas de administración de claves (KMS) Protección de datos en uso mediante cifrado Retención del control de claves en servicios en la nube Componentes clave del marco: El marco enfatiza la importancia de una sólida estrategia de gestión de riesgos para la adopción de la nube, que orienta a las RE a través de la evaluación de riesgos, la implementación de controles, el seguimiento del cumplimiento y la garantía del cumplimiento de los estándares regulatorios. Las directrices son aplicables a diversas entidades del mercado financiero, incluidas bolsas de valores, sociedades de compensación, depositarios, corredores de bolsa, fondos mutuos, empresas de gestión de activos, agencias de registro KYC y registradores calificados de una emisión y agentes de transferencia de acciones. Cronograma de implementación: los RE que actualmente no utilizan ningún servicio en la nube deben adherirse al marco de inmediato. Aquellos que ya utilizan servicios en la nube tienen un período de transición de hasta 12 meses para garantizar el cumplimiento. Durante este período, se espera que las RE evalúen su riesgo tecnológico, se alineen con las necesidades comerciales e implementen las medidas necesarias para cumplir con las pautas de SEBI. Soluciones CryptoBind en relación con los lineamientos de SEBI: JISA Softech ofrece soluciones integrales diseñadas para empoderar a las organizaciones a abordar de manera efectiva los desafíos que plantea el Marco para la Adopción de Servicios en la Nube. A medida que las empresas migran sus aplicaciones a nuevas infraestructuras, la necesidad de una solución sólida para salvaguardar los datos, tanto en las instalaciones como en la nube, se vuelve primordial. Seguridad de claves criptográficas: CryptoBind HSM, un módulo de seguridad de hardware dedicado, proporciona a las organizaciones un entorno seguro para la gestión de claves y operaciones criptográficas. A través de CryptoBind HSM, las organizaciones mantienen un control total sobre las claves criptográficas, desde su generación hasta su destrucción. Esto garantiza que las claves confidenciales sigan siendo inaccesibles y no controladas por el CSP, lo que proporciona a las organizaciones un mayor grado de control y propiedad sobre sus activos criptográficos. Garantizar la seguridad de los datos en reposo y en movimiento Nuestra estrategia de cifrado emplea cifrado a nivel de columna y a nivel de aplicación para garantizar la seguridad de los datos en reposo y en movimiento. Al cifrar archivos y dejar sus metadatos sin cifrar, permitimos a los proveedores de servicios en la nube (CSP) realizar tareas esenciales de administración del sistema sin necesidad de acceso privilegiado a datos confidenciales. Este enfoque logra un delicado equilibrio, permitiendo una gestión perfecta y al mismo tiempo preservando la confidencialidad de la información protegida. Gestión integral de claves criptográficas CryptoBind KMS (sistema de gestión de claves) es una solución centralizada que facilita las actualizaciones y distribución automatizadas de claves entre varias aplicaciones. Con CryptoBind KMS, las organizaciones pueden gestionar eficazmente todo el ciclo de vida de claves simétricas y asimétricas. Este sistema respalda procesos comerciales sólidos, ayudando a cumplir con las auditorías internas y externas, infundiendo así confianza en las prácticas de gestión clave. Traiga su propia clave (BYOK) JISA Softech presenta BYOK, brindando a los clientes el poder de ser propietarios de claves. Con la capacidad de traer sus propias claves maestras, las organizaciones pueden establecer políticas de administración de claves y aplicar estrictos controles de acceso. Este nivel de control garantiza que solo las entidades autorizadas puedan acceder y descifrar los datos, lo que reduce el riesgo de acceso no autorizado y posibles violaciones de datos. Traiga su propio cifrado (BYOE) En el marco BYOE, el Módulo de seguridad de hardware (HSM) actúa como intermediario entre la organización y los sistemas de almacenamiento del Proveedor de la nube. Además, HSM gestiona todas las tareas de procesamiento criptográfico, proporcionando una capa adicional de seguridad y control para las organizaciones que utilizan sistemas de almacenamiento en la nube. Nuestras ofertas están diseñadas para ayudar a las organizaciones a integrar perfectamente las medidas de seguridad especificadas en el marco. Estas soluciones permiten a las organizaciones reforzar la seguridad de sus datos en la nube, salvaguardar la información confidencial y cumplir con los requisitos normativos de manera efectiva. Para obtener detalles adicionales sobre el cumplimiento de SEBI y la implementación óptima de las soluciones necesarias, no dude en ponerse en contacto con nosotros. El equipo de JISA Softech está comprometido a brindar soluciones y asistencia exhaustivas, garantizando que su organización no solo cumpla con los estándares requeridos sino que también fortalezca la seguridad de sus datos de acuerdo con las regulaciones de SEBI. Contáctenos hoy para una consulta y orientación experta. Contáctenos: www.jisasoftech.com Sales@jisasoftech.com +91-9619222553
En una era en la que los datos son los reyes, el cifrado de información confidencial se ha convertido en una práctica no negociable para las organizaciones que buscan cumplir con diversos mandatos regulatorios y salvaguardar su reputación. El uso del cifrado no sólo fortalece la resiliencia contra las filtraciones de datos, sino que también protege contra las posibles consecuencias de tales incidentes. Sin embargo, la eficacia del cifrado depende de la implementación de procedimientos sólidos de gestión de claves. Una de las mejores prácticas fundamentales en la gestión de claves implica el uso de módulos de seguridad de hardware (HSM) para generar y salvaguardar claves y certificados secretos dentro de un límite físico seguro. Esto garantiza que el material clave permanezca inmune a los ataques, ya que nunca queda expuesto de forma clara en la memoria de la aplicación o del servidor. Sin embargo, si bien los HSM son un elemento fundamental, una estrategia de cifrado integral necesita más. El diseño y la implementación de prácticas de gestión clave sólidas, alineadas con los requisitos reglamentarios y adaptadas a flujos de trabajo únicos, son igualmente cruciales. A menudo, esto implica designar personal bien versado en procedimientos de gestión clave para integrarlos perfectamente en las operaciones comerciales diarias. En el pasado, las organizaciones se enfrentaban a importantes desafíos a la hora de proteger los sistemas críticos dentro de sus propios centros de datos. Un avance rápido hasta el presente, donde un número cada vez mayor de cargas de trabajo residen en la nube, lo que presenta desafíos de administración de claves nuevos y más complejos. Los entornos de múltiples nubes, impulsados por diversos requisitos de aplicaciones, se han convertido en la norma más que en una opción estratégica. En el panorama en rápida evolución de la computación de múltiples nubes, las empresas están aprovechando cada vez más diversas plataformas de nube para cumplir diversos objetivos comerciales. Ya sea impulsadas por la necesidad de mejorar la colaboración, reducir el espacio del centro de datos o mejorar los tiempos de respuesta de los clientes, las organizaciones se enfrentan al desafío de garantizar configuraciones de seguridad consistentes y una protección sólida de los datos en sus entornos de múltiples nubes. En este contexto, una estrategia sólida de gestión de claves criptográficas desempeña un papel fundamental a la hora de proteger los datos y las cargas de trabajo confidenciales. Para las organizaciones que navegan en el panorama de múltiples nubes, la gestión de claves puede parecer un desafío desalentador. La confianza ya se extiende a los proveedores de servicios en la nube cuando se les confían datos confidenciales. Para abordar estas inquietudes, muchos proveedores han introducido iniciativas “Traiga su propia clave” (BYOK). Si bien son un paso adelante positivo, estas iniciativas implican confiar a la misma entidad no solo los datos confidenciales sino también las claves secretas necesarias para descifrarlos. BYOK: Superar los desafíos en entornos de múltiples nubes Bring Your Own Key (BYOK) surge como una estrategia crucial para abordar las complejidades asociadas con la gestión de claves en entornos de múltiples nubes. Sin embargo, la última generación de administradores de claves está cerrando la brecha al adoptar la funcionalidad BYOK. En conclusión, a medida que las organizaciones continúan navegando por las complejidades de los entornos de múltiples nubes, se vuelve imperativo adoptar un enfoque proactivo para la gestión de claves, particularmente a través de soluciones BYOK. Esto garantiza que la promesa de la nube pueda cumplirse plenamente y, al mismo tiempo, mejorar la seguridad de los datos en un panorama digital en constante evolución. En JISA Softech, nos especializamos en brindar soluciones de Sistemas de administración de claves (KMS) con enfoques Bring Your Own Key (BYOK) y Bring Your Own Encryption (BYOE). Adoptar BYOK permite a las organizaciones transformar los desafíos de un entorno de múltiples nubes en ventajas estratégicas. Esta metodología no sólo se adhiere a las mejores prácticas de la industria, sino que también permite a las empresas aprovechar plenamente las ventajas de la migración a la nube. Ofrece la flexibilidad de ejecutar operaciones criptográficas de forma segura y eficiente, garantizando la confidencialidad e integridad de la información sensible. Contáctenos para obtener soluciones personalizadas de protección y privacidad de datos adaptadas a las necesidades de su organización. www.jisasoftech.com sales@jisasoftech.com +91-9619222553
MSI acaba de sufrir un ataque masivo de ransomware, pero aún peor: ¡perdió una tonelada de datos críticos a manos de los piratas informáticos! ¡MSI afectada por un ataque de ransomware + robo de datos! El 7 de abril de 2023, MSI (Micro-Star International) sufrió un ataque de ransomware en el que los piratas informáticos supuestamente extrajeron 1,5 terabytes de códigos fuente, firmware BIOS, claves privadas y otros datos de sus servidores. En su conciso documento regulatorio ante la Bolsa de Valores de Taiwán (TWSE), MSI admitió que fue pirateado, pero no detalló las circunstancias o la naturaleza del ataque. Después de detectar algunos sistemas de información siendo atacados por piratas informáticos, el departamento de TI de MSI ha iniciado un mecanismo de defensa de seguridad de la información y procedimientos de recuperación. La Compañía también ha informado de la anomalía a las autoridades gubernamentales pertinentes. MSI afirmó que el ataque había “[no] impacto significativo en nuestro negocio en términos financieros y operativos actualmente”, pero dijo que estaba “mejorando las medidas de control de seguridad de la información de su red e infraestructura para garantizar la seguridad de los datos”. En una declaración pública, MSI también instó a los usuarios a obtener actualizaciones de firmware/BIOS únicamente de su sitio web oficial y a abstenerse de utilizar otras fuentes. Leer más: ¡Los usuarios de MSI corren el riesgo de recibir actualizaciones de BIOS/firmware no autorizadas! Los piratas informáticos exigen 4 millones de dólares a MSI para no divulgar datos robados El ataque de ransomware MSI y el robo de datos parecen ser cometidos por la banda de ransomware Money Message. Si bien aparentemente MSI ha restaurado archivos cifrados por el ransomware de Money Message, la pandilla ahora tiene acceso a aproximadamente 1,5 terabytes de datos críticos de MSI. Según BleepingComputer, las conversaciones entre Money Message y un representante de MSI muestran a la pandilla exigiendo un pago de rescate de 4 millones de dólares. De lo contrario, Money Message liberará los archivos robados. Para demostrar que efectivamente robaron esos archivos MSI, Money Message publicó capturas de pantalla de lo que describen como bases de datos de planificación de recursos empresariales (ERP) de MSI y archivos que contienen código fuente de software, claves privadas y firmware BIOS. Recomendado: ¿Puede Aprobar nuevo participante bloquear a los piratas informáticos de WhatsApp? Si Money Message divulga datos confidenciales de MSI, puede que no sólo sea vergonzoso para la empresa taiwanesa, sino que también podría permitir que otros actores de amenazas utilicen el código fuente y las claves privadas para crear malware dirigido a sus clientes. En vista de esto, los usuarios de MSI sólo deben descargar e instalar software o firmware BIOS desde el sitio web oficial de MSI. ¡Por favor apoye mi trabajo! ¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito! Nombre: Adrian WongTransferencia bancaria: CIMB 7064555917 (Código Swift: CIBBMYKL)Tarjeta de crédito/Paypal: https://paypal.me/techarp El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso ha publicado un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina. Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad. Lectura recomendada Volver a > Negocios | Programas | Soporte técnico ARP ¡ARP técnico! Apóyenos visitando a nuestros patrocinadores, participando en los foros Tech ARP o haciendo una donación a nuestro fondo. ¡Gracias! Así: Me gusta Cargando…
El Instituto Nacional de Estándares y Tecnología ha actualizado su Marco de Ciberseguridad para 2024. La versión 2.0 del NIST CSF, la primera actualización importante desde que se lanzó el marco hace una década, se creó con el objetivo de ampliar la audiencia principal desde la infraestructura crítica a todos. organizaciones. En general, el NIST CSF tiene como objetivo estandarizar prácticas para garantizar una protección uniforme de todos los activos cibernéticos de EE. UU. La hoja de referencia de TechRepublic sobre el NIST CSF es una descripción general de esta nueva mejor práctica recomendada por el gobierno e incluye pasos para implementar el marco de seguridad. ¿Qué es el marco de ciberseguridad del NIST? El NIST CSF es un conjunto de estándares opcionales, mejores prácticas y recomendaciones para mejorar la ciberseguridad y la gestión de riesgos a nivel organizacional. El objetivo del CSFl es crear un lenguaje común, un conjunto de estándares y una serie de objetivos fácilmente ejecutables para mejorar la ciberseguridad y limitar el riesgo de ciberseguridad. El NIST tiene documentación exhaustiva sobre el CSF en su sitio web, junto con enlaces a preguntas frecuentes, recursos de la industria y otra información necesaria para facilitar la transición empresarial a un mundo CSF. ¿El marco de ciberseguridad del NIST es sólo para uso gubernamental? El marco NIST no es sólo para uso gubernamental: puede adaptarse a empresas de cualquier tamaño. El CSF afecta a cualquiera que tome decisiones sobre ciberseguridad y riesgos de ciberseguridad en sus organizaciones, y a los responsables de implementar nuevas políticas de TI. Los estándares NIST CSF son opcionales, es decir, no hay penalización para las organizaciones que no deseen seguirlos. Sin embargo, esto no significa que el NIST CSF no sea un punto de partida ideal para las organizaciones: se creó con escalabilidad e implementación gradual para que cualquier empresa pueda beneficiarse y mejorar sus prácticas de seguridad y prevenir un evento de ciberseguridad. ¿Se aplica el marco de ciberseguridad del NIST fuera de los Estados Unidos? Aunque el NIST CSF es una publicación del gobierno de EE. UU., puede resultar útil para las empresas a nivel internacional. El NIST CSF está alineado con la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión 2.0 probablemente será traducida por voluntarios de la comunidad en el futuro, dijo el NIST. Los resultados de ciberseguridad descritos en el CSF son “neutrales en cuanto a sector, país y tecnología”, escribió el NIST en la Versión 2.0. VER: Todas las hojas de trucos de TechRepublic ¿Por qué se creó el marco NIST? El mundo de la ciberseguridad está fragmentado, a pesar de su importancia cada vez mayor para las operaciones comerciales diarias. Las organizaciones no comparten información, los profesionales de TI y los ejecutivos de nivel C eluden sus propias políticas y las organizaciones hablan sus propios lenguajes de ciberseguridad. El objetivo del NIST con la creación del CSF es ayudar a eliminar el caótico panorama de ciberseguridad en el que nos encontramos. ¿Cuándo se creó el Marco de Ciberseguridad del NIST? El expresidente Barack Obama firmó la Orden Ejecutiva 13636 en 2013, titulada Mejora de la ciberseguridad de las infraestructuras críticas, que preparó el escenario para el Marco de Ciberseguridad del NIST que se publicó en 2014. La orden ejecutiva de ciberseguridad de 2017 del expresidente Donald Trump fue un paso más allá e hizo que el marco creado por La orden de Obama en la política del gobierno federal. La versión 2.0 del NIST CSF se creó en conjunto con la Estrategia Nacional de Ciberseguridad de marzo de 2023 bajo la presidencia de Joe Biden. Cobertura de seguridad de lectura obligada ¿Qué hay de nuevo en la versión 2.0 del marco de ciberseguridad del NIST? La versión 2.0 del NIST CSF amplía el alcance del marco desde la infraestructura crítica a organizaciones en todos los sectores y agrega un nuevo énfasis en la gobernanza. La parte de gobernanza posiciona la ciberseguridad como una de las fuentes más importantes de riesgo empresarial que los altos líderes empresariales deberían considerar, junto con las finanzas, la reputación y otros. El NIST CSF 2.0 incluye guías de inicio rápido, herramientas de referencia y guías de perfil organizacional y comunitario. Las herramientas de referencia se crearon para proporcionar a las organizaciones una forma simplificada de implementar el CSF en comparación con la versión 1.1. La versión 2.0 del NIST CSF agrega: La función de «gobierno», que se centra en cómo las organizaciones pueden tomar decisiones informadas con respecto a su estrategia de ciberseguridad. Ejemplos de implementación y referencias informativas, que se actualizarán en línea periódicamente. Perfiles organizacionales, que pueden ayudarlos a determinar su situación actual. estado en términos de ciberseguridad y a qué estado podrían querer pasar. ¿Cuáles son las 6 actividades principales del Marco NIST? A partir de la Versión 2.0 del Marco NIST, estas son las seis actividades principales: identificar, proteger, detectar, responder, recuperar y gobernar. Estas actividades, o funciones, del Marco NIST se utilizan para organizar los esfuerzos de ciberseguridad en el nivel más básico. ¿Cuáles son los cuatro componentes del marco de ciberseguridad del NIST? El marco se divide en cuatro componentes: Núcleo, Perfiles Organizacionales, Niveles y Referencias Informativas. Básico El componente principal es “un conjunto de actividades para lograr resultados específicos de ciberseguridad y hace referencia a ejemplos de orientación para lograr esos resultados”. Además, se divide en tres elementos: funciones, categorías y subcategorías. Funciones: En este apartado se explican las seis funciones: Identificar, proteger, detectar, responder, recuperar y gobernar. Juntas, estas seis funciones forman un enfoque de alto nivel para proteger los sistemas y responder a las amenazas. Piense en ellas como sus tareas básicas de gestión de incidentes. Categorías: cada función contiene categorías que se utilizan para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, gestión de identidad, seguridad de datos y seguridad de plataforma. Subcategorías: Son divisiones adicionales de categorías con objetivos específicos. La categoría de seguridad de los datos podría dividirse en tareas como proteger los datos en reposo, en tránsito y en uso o crear, proteger, mantener y probar copias de seguridad. Perfiles organizacionales Los perfiles son tanto esquemas del estado actual de ciberseguridad de una organización como hojas de ruta hacia los objetivos del CSF para posturas de seguridad más sólidas. El NIST dijo que tener múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de ciberseguridad y facilitar el paso de niveles inferiores a superiores. Los perfiles ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que sirve. Niveles Hay cuatro niveles de implementación y, si bien los documentos del CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares del CSF para proteger la infraestructura crítica. NIST considera que los niveles son útiles para informar los perfiles actuales y de destino de una organización. Nivel 1: denominada implementación parcial, las organizaciones del Nivel 1 tienen una postura de ciberseguridad reactiva y ad hoc para proteger sus datos. Tienen poca conciencia del riesgo de ciberseguridad organizacional y cualquier plan implementado a menudo se realiza de manera inconsistente. Nivel 2: En el nivel llamado informado sobre riesgos, las organizaciones pueden estar aprobando medidas de ciberseguridad, pero la implementación aún es poco sistemática. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse de una violación de datos, pero no han llegado a un punto proactivo. Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha implementado los estándares NIST CSF en toda la empresa y es capaz de responder repetidamente a las crisis cibernéticas. La política se aplica de manera consistente y los empleados están informados de los riesgos. Nivel 4: llamado adaptativo, este nivel indica la adopción total del NIST CSF. Las organizaciones adaptables no sólo están preparadas para responder a las amenazas cibernéticas: detectan amenazas de forma proactiva y predicen problemas en función de las tendencias actuales y su arquitectura de TI. Referencias informativas y otros recursos en línea Las Referencias informativas proporcionadas con la Versión 2.0 del CSF son documentación, pasos para la ejecución, estándares y otras pautas. Un buen ejemplo en la categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows. En la versión 2.0, las referencias informativas, los ejemplos de implementación y las guías de inicio rápido se pueden encontrar a través del sitio web del NIST CSF o del documento CSF. ¿Cuándo se actualiza el marco de ciberseguridad del NIST? A medida que cambian las necesidades de las organizaciones, el NIST planea actualizar continuamente el CSF para mantenerlo relevante. Las actualizaciones del CSF se realizan como parte de la conferencia anual del NIST sobre el CSF y tienen en cuenta los comentarios de los representantes de la industria, por correo electrónico y mediante solicitudes de comentarios y solicitudes de información que el NIST envía a grandes organizaciones. ¿Qué organizaciones pueden utilizar el marco de ciberseguridad del NIST? El NIST CSF afecta a todos los que tocan una computadora por motivos comerciales. Los equipos de TI y los CXO son responsables de implementarlo; los empleados regulares son responsables de seguir los estándares de seguridad de su organización; y los líderes empresariales son responsables de capacitar a sus equipos de seguridad para proteger su infraestructura crítica. Específicamente, la nueva función de gobierno del NIST CSF 2.0 incluye canales de comunicación entre ejecutivos, gerentes y profesionales: cualquiera que tenga interés en la salud tecnológica de la empresa. El grado en que el NIST CSF afectará a la persona promedio tampoco disminuirá con el tiempo, al menos no hasta que se implemente de manera generalizada y se convierta en el nuevo estándar en la planificación de la ciberseguridad. ¿Cómo puedo implementar el marco de ciberseguridad del NIST? Comience a trabajar en la implementación del CSF visitando el sitio web del Marco de ciberseguridad del NIST. De particular interés para los tomadores de decisiones de TI y los profesionales de seguridad es la página de Recursos Marco del NIST, donde encontrará metodologías, pautas de implementación, estudios de casos, materiales educativos, perfiles de ejemplo y más. «El CSF no prescribe cómo se deben lograr los resultados», señala el NIST en el marco. «Más bien, enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados». El NIST CSF puede mejorar la postura de seguridad de organizaciones grandes y pequeñas, y potencialmente podría posicionarlo como líder en prácticas de ciberseguridad con visión de futuro o prevenir un evento catastrófico de ciberseguridad.
El prestigioso medio estadounidense sobre derechos del consumidor «Consumer Reports» publicó hace unos días su última investigación. El informe revela que Facebook comparte los datos de sus usuarios con muchas empresas externas. La reciente investigación de Consumer Reports ha arrojado luz sobre las extensas prácticas de intercambio de datos en Facebook. Revela que los datos de cada usuario se comparten con una cantidad asombrosa de empresas. El estudio, que analizó datos de Meta, la empresa matriz de Facebook, encontró que, en promedio, Facebook recopiló datos sobre cada usuario de un promedio de 2.230 empresas. Esta revelación ha generado importantes preocupaciones sobre la escala de la vigilancia y las posibles implicaciones para la privacidad del usuario y la seguridad de los datos. Escala de vigilancia Los hallazgos del estudio son realmente alarmantes, ya que demuestran la naturaleza generalizada de la recopilación y el intercambio de datos en la plataforma. La investigación reveló que los datos de cada participante fueron compartidos por una media de 2.230 empresas, siendo algunos individuos identificados por más de 7.000 empresas. Este amplio intercambio de datos involucra a una amplia gama de entidades, incluidos minoristas conocidos como Home Depot, Macy’s y Walmart, así como compañías de informes crediticios y datos del consumidor como Experian y Neustar de TransUnion, entre otras. El estudio analizó datos de 709 usuarios de Facebook y encontró que los datos de cada usuario se compartían con un promedio de 2230 empresas. Desde un punto de vista formal, este tipo de intercambio de datos generalmente se completa mediante el seguimiento de servidor a servidor. Es diferente de los tradicionales «píxeles de seguimiento» y cookies, y los usuarios no pueden detectar este comportamiento de seguimiento. Según los informes, existen muchos tipos de empresas que comparten datos de usuarios con Facebook. El informe afirma que el conocido corredor de datos local LiveRamp. Al mismo tiempo, Amazon y PayPal también están en la lista. Por supuesto, herramientas como las cookies y los píxeles de seguimiento también desempeñan un papel y los datos compartidos del usuario se pueden utilizar para pintar un «retrato» de los intereses y actividades de un usuario. La respuesta de Meta Meta, la empresa detrás de Facebook, ha defendido sus prácticas de intercambio de datos. La empresa no negó que comparte datos de los usuarios, sin embargo, dijo que es transparente sobre su recopilación y uso. Meta dijo: «Ofrecemos una variedad de herramientas de transparencia para ayudar a las personas a comprender la información que las empresas eligen compartir con nosotros y gestionar cómo se utiliza». Caitriona Fitzgerald, subdirectora del Centro de Información sobre Privacidad Electrónica, dijo: «Este tipo de seguimiento que está completamente fuera de la vista del usuario va mucho más allá de lo que la gente espera cuando utiliza Internet». Ella dijo sin rodeos que si bien los usuarios «probablemente» saben que Meta ha aprendido lo que hacen en Facebook e Instagram, no esperan que Meta sepa qué tiendas visitan, qué noticias leen o cada sitio web que visitan. Gizchina Noticias de la semana ¿Qué datos se comparten? Los datos examinados en el estudio provienen de dos tipos de recopilación: eventos y audiencias personalizadas. Los eventos se refieren a acciones específicas realizadas por los usuarios, como realizar una compra o visitar un sitio web. Sin embargo, las audiencias personalizadas implican la carga de información personal y hábitos de compra de los clientes para publicar anuncios específicos. Esto significa que se comparte una amplia gama de información personal y actividades en línea con una amplia red de empresas. Esto plantea serias dudas sobre el consentimiento del usuario y el control sobre sus datos. Implicaciones para la privacidad y la regulación Las implicaciones de este amplio intercambio de datos son de gran alcance, ya que no solo plantea preocupaciones sobre la privacidad del usuario y la seguridad de los datos, sino que también subraya la necesidad de una regulación y supervisión sólidas de las prácticas de datos en las plataformas de redes sociales. Los hallazgos del estudio han reavivado el debate sobre la necesidad de leyes de protección de datos más estrictas y una mayor transparencia en torno a las prácticas de intercambio de datos. Con la creciente conciencia de la escala de la vigilancia y el intercambio de datos, existe una necesidad urgente de tomar medidas regulatorias para garantizar que los usuarios tengan un mayor control sobre sus datos y estén adecuadamente protegidos de las prácticas generalizadas de recopilación e intercambio de datos. Las prácticas de intercambio de datos de Facebook han sido objeto de controversia. Además, los acuerdos de intercambio de datos de Facebook con otras empresas, como Amazon, Apple, Microsoft, Netflix y Spotify, han generado preocupaciones sobre el alcance del intercambio de datos y el impacto potencial en la privacidad del usuario. Además, Facebook ha sido criticado por su falta de transparencia y la dificultad que enfrentan los investigadores para acceder a fuentes de datos independientes y compartibles desde la plataforma. La empresa niega rotundamente esta acusación. La participación de la empresa en el escándalo de datos de Cambridge Analytica alimentó aún más las preocupaciones sobre la privacidad de los datos y el consentimiento del usuario. Recordemos que en aquel escándalo se recogieron datos personales de millones de usuarios de Facebook sin su consentimiento. Los detalles de este escándalo se pueden encontrar en un artículo de The New York Times. A la luz de estas revelaciones y controversias, las implicaciones éticas de las prácticas de intercambio de datos de Facebook son un tema de debate continuo. Facebook ha declarado que no vende los datos de sus usuarios. El alcance del intercambio de datos y el impacto potencial en la privacidad de los usuarios plantea preguntas importantes sobre los derechos de los usuarios. También plantea dudas sobre las responsabilidades de las empresas de tecnología en el manejo de los datos de los usuarios. Palabras finales La investigación de Consumer Reports ha revelado el asombroso grado en que se comparten los datos de los usuarios de Facebook. El informe afirma que los datos se comparten con miles de empresas. Esto requiere atención inmediata por parte de reguladores y formuladores de políticas. La industria tecnológica debe abordar las implicaciones de privacidad y seguridad de prácticas tan generalizadas de intercambio de datos. A medida que los usuarios se vuelven más conscientes de la escala de la vigilancia, existe una necesidad apremiante de mayor transparencia. También es necesario que los usuarios rindan cuentas y controlen sus datos en las plataformas de redes sociales. El autor de Bio Efe Udin es un escritor de tecnología experimentado con más de siete años de experiencia. Cubre una amplia gama de temas en la industria tecnológica, desde la política industrial hasta el rendimiento de los teléfonos móviles. Desde móviles hasta tablets, Efe también ha estado atenta a los últimos avances y tendencias. Proporciona análisis y reseñas perspicaces para informar y educar a los lectores. Efe es un apasionado de la tecnología y cubre historias interesantes, además de ofrecer soluciones cuando es posible. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.