La reforma de 2009 del marco legislativo de la UE para las comunicaciones electrónicas (Directiva de la UE 2009/140/CE) introdujo el artículo 13a en su Directiva Marco (Directiva 2002/21/CE enmendada en 2009/140/CE).

Este artículo 13a se refiere a la seguridad e integridad de las redes, comunicaciones y servicios electrónicos. La primera parte del artículo requiere que los proveedores de redes y servicios gestionen los riesgos de seguridad y mantegan medidas de seguridad apropiadas para garantizar la seguridad (párrafo 1) e integridad (párrafo 2) de sus redes. La segunda parte del artículo (párrafo 3) requiere que los proveedores informen las brechas de seguridad significativas y las pérdidas de integridad a las autoridades nacionales competentes, que además deben informar sobre estos incidentes a ENISA (European Union Agency for Network and Information Security) y la Comisión Europea (CE) anualmente.

En 2010, ENISA, la CE, los ministerios de comunicaciones electrónicas... Continuar leyendo

HP y el Instituto Ponemon han presentado Estudio del Coste de Cibercrimen 2014 (infografía), en el que se pone de manifiesto, que los ciberdelitos han supuesto un promedio de 12,7millones de dólares para las organizaciones, aumentando un 96 % respecto al primer informe que ambas instituciones elaboraron hace cinco años.

De los 17 sectores incluidos en el estudio, todos han afirmado haber sido víctimas de la ciberdelincuencia, con el volumen anual más alto por cada organización estadounidense en las industrias de Energía, Servicios Públicos y Defensa. Del estudio se desprende que la ciberdelincuencia es común e intrusiva. Las organizaciones han experimentado durante este año un aumento del 176 % en el número de ciberataques con un promedio de éxito de 138 ataques a la semana en comparación a los 50 ataques a la semana de 2010.

El promedio de tiempo para resolver un ataque cibernético es de 45 días, mientras que el coste medio incurrido durante... Continuar leyendo

En la actualidad, las organizaciones hacen uso de tecnologías de la información para su operación diaria. El logro de sus objetivos se debe en gran medida a su utilización. Sin embargo, existen riesgos inherentes a ellas, es decir, la posibilidad de que una debilidad sea aprovechada por una amenaza y sus consecuencias: divulgación, modificación, pérdida o interrupción de información sensible.

Las herramientas y medios técnicos por sí mismos ya no garantizan un adecuado nivel de seguridad con relación al manejo de la información. En este contexto, las políticas de seguridad surgen como una herramienta para ayudar en el proceso de concientización de los miembros de una organización, sobre la importancia y sensibilidad de la información, además de ofrecer un marco normativo para el uso adecuado de la infraestructura de TI.

De acuerdo con la encuesta ... Continuar leyendo

Se mire por donde se mire, el lanzamiento de iOS 8.0.1 fue un desastre. Al contrario de lo que se piensa, esto no es algo exclusivo de la nueva Apple de Tim Cook. Por supuesto que sucedía cuando Steve Jobs estaba al frente de Apple, pero nunca se había dado el caso en un dispositivo como el iPhone y una característica tan crucial como hacer una llamada con un teléfono.
La forma en que Apple se organiza como una startup tiene sus ventajas e inconvenientes, algo que ya mencionamos la semana pasada. A pesar del error, Apple retiró la versión defectuosa de iOS en una hora. En ese tiempo, casi 40.000 usuarios de iPhone 6 y iPhone 6 Plus habían actualizado sus teléfonos.

Una vez metido la pata, la empresa reaccionó con rapidez. Al día siguiente ya teníamos una versión funcional de iOS para descargar, la 8.0.2. Pero lo cierto es que iOS 8.0.1 nunca... Continuar leyendo

Gobiernos e instituciones han lanzado diversas iniciativas de ciberseguridad, que van desde el establecimiento de determinados estándares hasta leyes y reglamentos más amplios. Para hacer frente a la necesidad de recursos en ciberseguridad, la asociación mundial de auditoría y tecnologías de la información, ISACA, ha publicado sus European Cybersecurity Implementation Series.

Dichas directivas sobre ciberseguridad para Europa son parte del programa Cybersecurity Nexus (CSX) de ISACA un centro de recursos donde las empresas y los profesionales de la seguridad pueden encontrar investigaciones, formación y una comunidad sobre ciberseguridad. Además, esta serie de directivas proporciona asesoría sobre implementación práctica, alineada con los requerimientos y buenas prácticas de la European Network and Information Security Agency (ENISA). Las directivas publicadas incluyen cuatro white papers y un programa sobre... Continuar leyendo

Voy a describir qué veo a diario en las organizaciones y cual es el estado del arte en materia de prevención de incidentes. En este sentido mi visión se basa en mi día a día que posiblemente no afecte tanto a empresas muy grandes donde el área de seguridad de la información cuenta con departamento propio y suficientes recursos asignados.

La reflexión principal que da título a este post es que existe una situación de "Rey desnudo" como el cuento de Hans Christian Andersen dentro de los departamentos de TI en materia de seguridad. Las organizaciones creen que están vestidas por tener sistemas de protección perimetral y antivirus pero realmente no pueden valorar si esas medidas los deja "desnudos" frente a los cibercriminales.

Contenido completo en fuente original Blog de Javier Cao Avellaneda

Por estos días se habla mucho de temas relacionados con ciberseguridad, hackers, ataques informáticos, ataques a las identidades digitales, etc. Internet es un mundo que está lleno de amenazas que pueden afectar directamente infraestructuras críticas en las empresas, lo que seguramente repercute en una gran pérdida de dinero y estabilidad en las organizaciones.

En el marco del encuentro internacional TIC, ANDICOM 2014 que se desarrolla por estos días en Cartagena, Leonardo Huertas, Chief Security Ambassador en 11Paths, empresa del Grupo Telefónica, aseguró que cualquier persona, empresa o gran organización está expuesta a sufrir un ataque cibernético y que para ello siempre se debe estar preparado.

“En internet se ciernen muchos peligros. Los más importantes son el fraude y los ataques contra las identidades online. Identidades que pueden ser de altos directivos de una compañía, directivos de rango medio,  funcionarios del común… Todos... Continuar leyendo

Por el cargo, que está en niveles gerenciales, pagan cifras astronómicas, pero alrededor de este también se genera un gran estrés y elevado riesgo laboral. Compadézcanse del pobre jefe de seguridad de la información. La profesión apenas existía hace una generación.

Pero para combatir la creciente amenaza de las violaciones de seguridad en línea, las empresas y los Gobiernos están contratando ejecutivos cuya principal responsabilidad es hacer que los sistemas de datos sean seguros.

Cuando las cosas van mal –y es a menudo– estos ejecutivos esperan cargar con la culpa. "Somos como ovejas esperando a ser sacrificadas", dijo David Jordan, director de seguridad de la información para el condado de Arlington, en Virginia. "Todos sabemos nuestro destino cuando hay una violación significativa. Este trabajo no es para pusilánimes".

Hace una década, pocas organizaciones tenían un jefe especializado en seguridad de la información o CISO, como se les conoce. Ahora, más de la ... Continuar leyendo

Ante las fugas y robos de información que proliferan en los ámbitos industriales y comerciales, la seguridad de los datos es una cuestión que centra cada vez más la atención de los responsables empresariales.

Preocupa especialmente la filtración de datos de tarjetas de crédito y cuentas bancarias, pero también de otros documentos sensibles como planes de negocio o listados de datos personales que puedan utilizarse para fines no autorizados. Y no hay que olvidar que la protección de los datos tiene implicaciones tanto legales como económicas, puesto que las organizaciones se enfrentan a fuertes sanciones en caso de divulgación fraudulenta de datos personales.

A pesar de que el foco se dirige normalmente a los archivos electrónicos, muchas fugas de seguridad se realizan a través de documentos impresos: según una encuesta realizada por Quocirca en 2012, el 70 % de las empresas europeas ha sufrido algún episodio de sustracción de datos relacionado con la impresión.... Continuar leyendo

¿Cuál es la importancia del Gobierno, Riesgo y Cumplimiento (GRC) en las empresas?

Como el último estudio que realizó Deloitte [PDF] lo evidencia, existe un 67% de empresas que han tenido eventos de seguridad internos –fraude interno-, producto de que existen deficiencias en los controles de tecnología.

Existen grandes retos para las compañías financieras, en el aspecto de que los controles o los esfuerzos que viene haciendo en el aspecto tecnológico, no necesariamente se alinean con otras áreas de soporte del negocio. Por ejemplo, gestión de riesgo operacional y el área de auditoría interna, vemos que trabajan de manera separada.

Entonces bajo una cultura de Gobierno, Riesgo y Cumplimiento (GRC), que es lo que se viene comentando, estos pequeños silos o áreas se empezarían a integrar, y se podrían... Continuar leyendo