miércoles, 29 de diciembre de 2021

Los Sistemas de Gestión de Privacidad de la Información como extensión de un Sistema de Gestión de Seguridad de la Información: La ISO27701:2019

La ISO 27701 es el estándar que especifica y provee la guía de implementación de un Sistema de Gestión de Privacidad de la Información (en adelante, SGPI) en forma de una extensión de los Sistemas de Gestión de Seguridad de la Información (en adelante, SGSI) establecidos en el estándar ISO27001.

Este artículo pretende ser una referencia rápida, no exhaustiva, a los requerimientos necesarios para adaptar los SGSI implementados para convertirlos en un SGPI y cubrir así los requerimientos del REGLAMENTO (UE) 2016/679, más conocido como: Reglamento General de Protección de Datos (en adelante, RGPD).

lunes, 27 de diciembre de 2021

Tendencias de Seguridad para este 2022

 

Finalizando este año 2021, toca mirar hacia atrás y valorar lo que ha supuesto este año en el mundo de la ciberseguridad, pero también toca mirar hacia delante y tratar de conocer qué nos vamos a encontrar en el siguiente año y a qué nos vamos a enfrentar. Con la experiencia que da un año más y atendiendo a las tendencias actuales en el mundo de la seguridad informática, desde Internet Security Auditors señalamos una serie de predicciones para este 2022:

martes, 14 de diciembre de 2021

El fraude en los pagos. Parte II: El fraude en cifras económicas

1. Introducción

En este segundo artículo de la serie ‘El fraude en los pagos’, se analiza el coste económico real causado por el uso no autorizado de las tarjetas de pago y la banca electrónica, a la vista de las publicaciones públicamente accesibles realizadas por la asociación comercial UK Finance, centradas en el mercado del Reino Unido.

2. Evaluación de los datos facilitados por UK Finance Limited

En la siguiente gráfica, se puede observar cómo ha ido evolucionando el volumen de transacciones fraudulentas realizadas. Estos valores hacen referencia al conjunto de transacciones fraudulentas no autorizadas, y engloban el conjunto de fraudes realizados con tarjetas de pago y banca electrónica. Si bien UK Finance incluye datos relativos a los fraudes realizados con cheques, el presente artículo no entra a valorar esta casuística, de modo que este valor no ha sido tenido en consideración para la elaboración de las gráficas, y no se menciona ni analiza.

martes, 7 de diciembre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (III)

1. Evaluaciones remotas de entornos PCI DSS

Para terminar con esta serie de post en relación con el impacto de la COVID-19 en los entornos PCI DSS, vamos a analizar, por último, el impacto que ha tenido en la realización de las evaluaciones de cumplimiento.

Dado que los países y regiones se ven afectados de manera diferente y enfrentan diferentes tipos de restricciones, no es posible que el PCI SSC brinde una posición universal sobre la viabilidad de las evaluaciones remotas en todas las regiones. La capacidad para evaluar un entorno, y hasta qué nivel se puede completar la evaluación de acuerdo con los requisitos del programa existente, deberá determinarse caso por caso, dada la situación actual en cada región o país.

Siempre que sea posible, las evaluaciones in situ deben completarse de acuerdo con los requisitos, procedimientos y acuerdos de evaluación del programa PCI SSC aplicables. Cuando se hayan completado o puedan completarse evaluaciones in situ, los evaluadores y las entidades deben completar la evaluación y presentar su documentación de validación como de costumbre.