Gestión de incidentes con impacto en la privacidad

El nuevo Reglamento Europeo de Protección de Datos establece la obligación de reportar a la autoridad reguladora y en un plazo no superior a 72 a horas cualquier brecha de la seguridad que pueda tener potencialmente un impacto significativo en la privacidad de la información de las personas. Dependiendo de la gravedad del incidente, puede […]

Usuarios privilegiados: Cómo controlar su acceso al sistema

El control de acceso a los sistemas es uno de los elementos básicos de cualquier programa de ciberseguridad y privacidad. Una gestión efectiva del control de acceso lógico permite: Establecer quién (tanto si se trata de una persona como de una aplicación) puede acceder a que entornos / sistemas, de acuerdo a la política de […]

Un par de indicadores esenciales de la efectividad de las medidas de seguridad

Hace unas pocas semanas vio la luz la nueva versión del famoso estándar de seguridad de datos de la industria de tarjetas, PCI/DSS 3.2. Una lectura entre líneas de los nuevos requisitos incluidos permite identificar, en mi opinión, algunas de las principales dificultades y situaciones que limitan el éxito y efectividad de los programas de […]

Gestión de configuraciones seguras de sistemas

Las configuraciones por defecto de servidores, estaciones de trabajo, elementos de red y otros dispositivos, son una de las principales fuentes de vulnerabilidad de los sistemas. Una configuración por defecto puede hacer por ejemplo que un sistema tenga habilitadas cuentas de usuario predefinidas con contraseñas ampliamente conocidas que permitirán a un atacante una vez identificadas […]

Perfilado de Activos de Información

Una de las dificultades inherentes a las metodologías de Seguridad de la Información viene determinada por la naturaleza intangible y por la ubicuidad de los activos de información. La mayor parte de las metodologías establece como punto de partida para el análisis de riesgos la elaboración de un inventario de los activos de información, como […]

Control de autorizaciones en aplicaciones web: vulnerabilidades típicas

Dentro de las vulnerabilidades de las aplicaciones web, algunas de las más frecuentes se encuentran asociadas al modo en que la aplicación decide si un usuario está autorizado a ejecutar una determinada función o acceder a un determnado recurso (ej: un documento). El escenario de mayor riesgo es cuando un atacante es capaz de explotar […]