RSA Conference: We need better cyber hygiene

Study: CISO leadership capacity undervalued by most C-level execs

Study: CISO leadership capacity undervalued by most C-level execs | http://t.co/YGfaLZhkmI #infosec #CISO
— Cyberpöstpunk® ÆlbЯt (@cyberpostpunk) August 13, 2014

61%  
of executives do not believe their CISO would be successful in a leadership role outside of information security.

28% 
of executives say a decision by their CISO has hurt their business’ bottom line. 

Speaking to the New York Times, one CISO compared the position to sheep waiting for the slaughter.  

DATA PROTECTION AND SECURITY MEASURES

How to comply with the Responsibility Principal in the Mexican Data Protection field. (PART I)

You can see my latest blog entry in http://www.molet.mx/noticias 

¿Existe la Privacidad de datos en America Latina?

Mi buen amigo Andrés Velázquez me hizo una entrevista en su podcast sobre el tema de Privacidad. Aquí les comparto la liga del podcast:
http://www.crimendigital.com/podcast/064-existe-la-privacidad-de-datos-con-juan-carlos-carrillo 

Para ver más presentaciones del tema pueden visitar el sitio http://slideshare.net/juan_carrillo

Cómo crear un buen Password

A estas alturas ya debe saber que "123456 " no es una contraseña inteligente .

Si aún estas utilizando una contraseña débil y ni siquiera ha cambiado todas sus contraseñas en línea desde que la noticia de los miserables vulnerabilidad Heartbleed SSL salió a la luz publica eres el objetivo perfecto para la piratería informática.

El no poder crear fuertes contraseñas en línea deja las llaves de la actividad bancaria, tarjeta de crédito, redes sociales, correo electrónico y más - básicamente toda tu vida - en peligroso alcance de las manos por arranque de los hackers .

Tu podrías hacer lo siguiente

a)         No hacer nada y arriesgarse (que recomendamos encarecidamente que no ), o

b)        Tomar las 10 minutos más o menos dolorosos para tu cerebro para construir un ejército de contraseñas seguras y dormir bien por la noche otra vez .

¿Cuáles son las contraseñas seguras?

a)         Son largas.

a.    Estamos hablando de 8 a 15 caracteres.

b)        Son complicados.

a.    Letras, números, símbolos especiales (como mínimo).

c)         Cambiar tus contraseñas (vamos, hazlo ya!)

a.    No sentarse y ponerse cómodo. Estar alerta . Juega un papel proactivo en la protección de su información privada en línea, cambiando regularmente de ellos, de manera óptima con tanta frecuencia como lo haría con las sabanas de su cama, aproximadamente cada seis a ocho semanas.

b.    Si usted está realmente motivado y tener la memoria de un elefante , alterar ellos cada semana .

Para obtener más consejos sobre cómo practicar mejor, más fuerte la higiene contraseña, echa un vistazo a la informativa, infografía reveladora debajo de http://www.whoishostingthis.com .

Tomado del sitio http://m.entrepreneur.com/article/233214

En Privacidad… 10 preguntas para toda organización.

Cuando visitó a las organizaciones es normal que las personas me digan que ya tienen TODO o no tienen NADA en materia de privacidad.

Diría mi abuelo, ni tanto que queme al Santo, ni tanto que no lo alumbre.

¿Cómo saber en donde estoy en el tema de privacidad?

Anexo 10 grupos de preguntas para medir en donde se encuentra tu empresa en materia de protección de datos personales.

1.     ¿Quién es tu Chief Privacy Officer (CPO) y quién es tu Chief Information Security Officer (CISO)?

a.     Todo en la compañía los conocen?

2.     ¿Quién es el ejecutivo que lidera la seguridad y privacidad de la información?

a.     ¿Es una posición formal o informal?

b.     ¿Existe un comité de seguridad y/o privacidad?

c.      ¿Esta la seguridad representada en la mesa directiva?

d.     ¿Se tiene el entendimiento de la mesa directiva de la importancia de la privacidad?

e.     ¿Conoce la mesa directiva las posibles multas y penas?

f.      ¿Esta incorporada la privacidad en la estrategia de ventas?

3.     ¿Se tiene un inventario de datos personales y clasificación de los mismo (Que datos, Donde estan y Quien tiene acceso a ellos)

4.     ¿Quién es más probable que quiera acceder a los sistemas de tu empresa?

a.     ¿Qué nivel de sofisticación, alcance geográfico y los motivos (por ejemplo económica / malversación, robo de identidad, robo de secretos comerciales) pueden tener estos enemigos?

5.     ¿Tu empresa tiene un plan de respuesta a incidentes?

a.     ¿Tu empresa ha identificado a los miembros clave internos y externos (IT, legal, relaciones públicas, marketing, etc.) que deberían involucrarse en el caso de una vulneración a la seguridad?

b.     ¿Tu empresa tiene un plan para comunicarse con las autoridades policiales?

6.     ¿Está su empresa un entorno BYOD?

a.     ¿Cuál es la política sobre BYOD?

7.     ¿Tu empresa tiene una visión clara de los flujos de datos?

a.     ¿Qué flujos de datos tienen interacción con terceros o contratistas?

b.     ¿Cómo confirmas la integridad de los contratistas?

c.      ¿Cómo te aseguras que las soluciones de terceros, incluido el software, están libres de problemas e incluyen la indemnización por posibles defectos?

8.     ¿Tu empresa ha evaluado la amenaza interna?

a.     ¿Tiene tu empresa monitoreo de las redes internas para el acceso o el uso compartido de archivos?

9.     ¿Tiene tu empresa una administración activa tanto la seguridad física y cibernética?

a.     ¿Cómo y cada cuanto se revisa?

10. ¿Se tiene documentada la forma en que se interactúa con los proveedores, clientes y socios?

a.     ¿Hasta qué punto tiene tu compañía ofrecer productos o servicios que, si se ve comprometida o mal usada la información, afectarían a la empresa?

b.     ¿Cada cuanto se está entrenando a su personal con un programa continuo? 

74% de las empresas considera insuficiente la difusión de la LFPDPPP

8 de cada 10 empresas resguardan algún tipo de datos personales de sus clientes, proveedores, de su recurso humano o de potenciales clientes, entre los cuáles 90% conserva sólo datos de identificación (nombre, edad, domicilio, sexo, RFC y CURP); 33% guarda datos patrimoniales (cuentas bancarias, saldos, propiedades, deudas, etc.) y 18% resguarda datos sensibles como estados de salud físico y mental, resultados de análisis clínicos, tipo de sangre y otros. Sin embargo, 74%de las empresas evaluadas considera que la LFPDPPP no ha sido difundida apropiadamente, sobre todo en lo referente a las ventajas que puede representar para los negocios en línea.

En el marco del Seminario de Protección de Datos Personales que la Asociación Mexicana de Internet (AMIPCI) se mostraron los resultados de una encuesta para conocer qué tan preparadas están las empresas e internautas para dar cumplimiento a las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Según los datos que arroja este estudio, 28% de las empresas evaluadas no pudo definir lo que es un dato personal; el 18% desconoce la LFPDPP y su reglamento, y sólo el 26% ha escuchado sobre ella, lo que arroja que sólo un 56% de las empresas está al tanto de las obligaciones que impone dicha legislación. 

Al hacer la presentación de los resultados, Renato Juárez , vicepresidente de Investigación de Mercados de la AMIPCI, explicó que la AMIPCI decidió hacer este estudio ante la importancia de la LFPDPPP en la industria de Internet, ya que, como puede observarse, el fundamento de estos negocios está en el orden y adecuación que den a sus bases de datos, que determinan el contacto que tienen principalmente con sus clientes y proveedores. 

El estudio reveló que 20% de las empresas no saben lo que son los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO), y 3 de cada 10 sólo ha escuchado sobre ellos, lo que indica que la mitad de las empresas encuestadas posee conocimientos insuficientes sobre estos derechos. Por el contrario, sólo 3 de cada 10 firmas han definido un proceso interno para la atención de solicitudes de ejercicio de derechos ARCO por parte de los titulares de los datos que están en sus expedientes. 

Finalmente, entre las empresas que tienen conocimiento de sus responsabilidades en materia de protección de datos personales, casi la totalidad (9 de cada 10 empresas) declara que consideran y analizan las políticas o herramientas de privacidad y seguridad de la información que ofrecen los productos y servicios de software o servicios en la nube, antes de utilizarlos. 

El estudio incluye, adicionalmente, una encuesta a usuarios de Internet en donde se les cuestionó sobre su conocimiento de los derechos que la Ley les otorga como titulares de sus datos personales. 

Este segmento indicó que 9 de cada 10 usuarios de Internet han entregado datos de identificación y 4 de cada 10 han revelado datos sensibles. Los sitios de Internet dónde los usuarios declaran haber entregado sus datos personales son:

• Sitios de redes sociales (77%)
• Banca en línea (63%)
• Compras en línea (62%) 

Sobre el aviso de privacidad de los sitios de Internet donde los usuarios entregan datos personales, 4 de cada 10 dice revisarlo siempre o casi siempre, pero sólo 4% conoce el objetivo de que exista un aviso de privacidad en estos sitios.

Otros datos importantes del estudio señalan que:

• Casi la mitad de los internautas evaluados consideran los derechos ARCO como muy importantes, aunque sólo 3 de cada 10 ven como probable el ejercer sus derechos ARCO ante el responsable del tratamiento de sus datos personales.
• 76% de los internautas evaluados han habilitado configuraciones de privacidad que ofrecen las redes sociales.
• 61% no saben qué tratamiento le darán a sus datos personales en las redes sociales en las que se encuentran inscritos.

 Para consultar el “Primer Estudio sobre Protección de Datos Personales”, visita: http://bit.ly/IGFDB0

Who should the CISO must report to?

I was thinking this morning about how the CISO worked and it come to my attention that even when must of the organizations ask the CISO to report to the CIO, but those the CIO knows the value of the information? If He does, then the CISO should report to the CFO, but if he doesn't then we must see it from the compliance perspective and then the CISO should report to the Compliance, Auditor manager or maybe the risk manager, or maybe in a few years we are going to see the CISO reporting to the CEO.

At the beginning of the decade, when companies were in the process of establish or creating organizations to struggle a wide range of computer security pressure, it was a widespread practice for CIO to take on the double role of CIO and CISO.

The need for information risk administration in companies, governments, enterprises or family business has never been greater and since september 11 or the financial crisis, never more perceptible. Who is the Chief/Corporate Information Security Officer (CISO)? What is the role of today’s information security cluster? Who bridges the gap among business and technologists? How can the organization be successful in the eBusiness environment?

With the years it became a good practice in the organizations to produce a new C-level administration position: a chief security officer (CSO) who would have responsibility not only for corporate information security, but also for physical security. According to a survey released in June 2009 by consulting firm PricewaterhouseCoopers, it appears that a majority of organizations now have a meeting between the security chief (either with the chief security officer or chief information security officer title), the problem becomes how often that happens more than 40% only have this meetings once a year, while other 45% have their meetings either twice or 4 times per year and only 15% have this meetings on a monthly basis

Outside the big picture difficulty of who the CISO should report to or who reins the security funds, companies must also fight with the more street-level inquiries of what happens in the occurrence of an explicit security breach or incident. When a member of staff is found to be viewing pornography or downloading sensitive financial information onto a USB device or burning it to a CD against the enterprise policy, or when a hacker is found to have infiltrated the network and stolen sensitive client information, what is the string of command and processes for responding to the incident?

The positional control of the CISO must award the power to scrutinize roughly any information at the company from an angle of understanding fortification efficacy. This must contain access to audit reports and the capacity to pressure audits, access to shield settings down to the minimum point, access to proof of various sorts, and access to all the groups within the organization and their ability to understand and report on actions. This is more often a people feedback mechanism than a technological feedback method at the CISO's level.

The moment in time has come for more companies to take information safety sincerely. Does the upper management think the same way?

La seguridad de Información en México

En los pasados días he participado en eventos de seguridad muy interesantes, el día 16 en el IBM Security day y el día 17 el equipo de seguridad de E&Y presento su reporte global sobre la seguridad, con un enfoque muy particular de México.

Mis reflexiones de ambos días son muy similares... Los altos directivos, como CFO o CEO, no se han dado cuenta que la seguridad de la información no es un tema que pueda ser un rubro mas de las actividades y funciones del CIO. Po mas capaz, inteligente, brillante y/o visionario que pueda ser un CIO, nunca podrá tener toda la visión de negocio que pueden tener los que gobiernan y dirigen las compañías.

Tuve la experiencia hace unos años de trabajar con una empresa de consultoría en la creación de un BIA (Business Impact Analysis), y cuando empezamos el proyecto, coordinamos el hacer un ejercicio en el cual a todos los mandos medios y altos de la compañía se les harían 10 preguntas, sobre los planes de contingencia y remediación de la empresa. La reacción de todos y cada uno de ellos fue la de voltear a ver al gerente de TI (léase yo) para ver que respondían y con una risa entre nerviosa e ignorante, todos y cada uno de los presentes no tuvo mas de 6 preguntas correctas... Creen que alguien salió de aquella sala de juntas preocupado, molesto, motivado o tan siquiera inquieto de involucrarse en lo que podría mejorar? Quieren la respuesta o la imaginan?

Todo quedaría como una anécdota sino tuviéramos situaciones como la de Julio a Septiembre de 2006 en la avenida reforma de nuestra bella ciudad de México o los constantes temblores que sufre nuestra ciudad o mas recientemente la influenza. Citando la Biblia “Nadie sabe el día ni la hora...”, lo que si sabemos es que la seguridad de la información dentro de las empresas tiene un valor intangible (No tan intangible como los 96 millones de euros de Cristiano Ronaldo), y el problema es que quienes empiezan a conocer mejor el valor del negocio y la información son los delincuentes que ven con ojos de beneplácito como los dueños y altos directivos no se reúnen a revisar sus planes de seguridad y continuidad.

He leído en diferentes lugares, la seguridad no es un proyecto, o no es un fin, sino un proceso, el problema es que al proceso le falta la cereza, es decir directivos que no sean de TI o de auditorias o de cumplimiento, sino directivos como pueden ser los directivos de recursos humanos de áreas de negocio, ventas, mercadotecnia, finanzas, administración, etc.

Solo cuando todos pongan en sus funciones diarias una parte de trabajo de mantenimiento y mejoramiento de la seguridad, podremos hablar que hemos iniciado el proceso de seguridad, antes de eso, solamente podemos hablar de esfuerzos aislados por despertar a la realidad.

El trabajo a realizar depende de TODOS, ¿quienes son TODOS? Pues desde los estudiantes de las universidades en entender los temas de seguridad de la información, el que cada empleado sienta que es parte de su función el proteger los activos de la compañía, de los gerentes de cumplimiento, TI, auditoria y demás áreas que hasta el día de hoy han cargado con la responsabilidad de la seguridad y continuidad de los negocios y por ultimo y los que mas requieren de involucrarse en estos temas, a la alta dirección de las empresas