15 Nov 2018
Get ready for PIPEDA

¿ESTÁ USTED PREPARADO PARA LA LEY DE REPORTE OBLIGATORIO DE VULNERACIONES DE CANADÁ?

Con la introducción de nuevas reglas bajo el Acta de Protección de Información Personal y Documentos Electrónicos (PIPEDA), pedir disculpas por una vulneración ya no es suficiente. Desde noviembre de 2018, todas las vulneraciones que involucren información canadiense de índole personal deben ser reportadas y las partes afectadas deben ser notificadas.

Pero, ¿a quién aplica PIPEDA?

PIPEDA es la ley federal de privacidad para organizaciones del sector privado. En pocas palabras, esta ley aplica a toda la información personal que se recolecta, usa o divulga en el trascurso de una actividad comercial cuando se hacen negocios con Canadá. Bajo las nuevas reglas de vulneración de la información, si alguna parte de esta información personal se filtra, se debe presentar un reporte en la Oficina del Comisionado de Privacidad de Canadá, se debe crear un registro de la vulneración y todos los individuos afectados por la vulneración deben ser alertados de que su información ha sido comprometida.

Siguiendo el liderazgo de Europa en protección de privacidad

Las actualizaciones a PIPEDA siguen a la RGPD de la Unión Europea – la cual entró en vigencia el pasado mes de mayo. Si bien las practicas existentes de protección de datos de Canadá satisfacen las demandas actuales de la RGPD, estas reglas adicionales sirven como garantía proactiva a medida que las normativas europeas se vuelvan cada vez más estrictas en los próximos años. También están diseñadas para ayudar a mantener la competitividad de las empresas canadienses en Europa – y evitar multas masivas.

¡Y estos nuevos cambios realizados a PIPEDA vienen con dientes!

Además del daño a la imagen de su compañía y las potenciales demandas judiciales, las violaciones a PIPEDA ahora conllevan graves multas de hasta $100,000. Si bien no son tan altas como las devastadoras y multimillonarias multas de la RGPD, las penalizaciones son lo suficientemente altas como para forzar el cumplimiento de las normas.

Entonces, ¿cómo mantenerse en cumplimiento?

Proteger adecuadamente la información personal sensible  es más difícil de lo que parece – y a menudo requiere un enfoque múltiple. Con el objetivo de cumplir con las nuevas reglas de PIPEDA, debe tomar medidas proactivas para ayudar a prevenir que una vulneración ocurra – esto incluye proteger la información que sale de su sistema. La encriptación de la información sensible es un indicador clave a la hora de demostrar que la información ha sido debidamente protegida bajo cualquier regulación o ley de privacidad.

He aquí 10 formas en las que puede asegurar datos sensibles en tránsito.

Por Alex Loo, VP de Operaciones en Echoworx

12 Nov 2018
Encryption shouldnt be cryptic

¡LA ENCRIPTACIÓN NO DEBERÍA SER UNA EXPERIENCIA CRÍPTICA!

Encriptación, encriptación y más encriptación – la palabra pegadiza de seguridad en boca de todos. En un panorama digital cada vez más traicionero, proteger su información con algoritmos herméticos parece una estrategia lógica, ¿no?

Absolutamente.

Pero tomar la decisión de encriptar los emails confidenciales que salen de su red segura va más allá de solamente la encriptación.  Los algoritmos no son los diferenciadores a la hora de comparar las múltiples soluciones de email seguro.  Puede encontrar encriptación RSA de 2048-bits y encriptación AES de 256-bits en las firmas de seguridad SHA2 de casi cualquier producto de seguridad moderno.

El componente de la solución que encripta y desencripta es (al menos la mayoría de las veces) sólido y predecible. Pero por encima de aquel núcleo de seguridad yace el tema más interesante.  Controlar qué emails requieren encriptación, los diferentes tipos de entrega, la simplicidad en la registración, la imagen e impresión (conocido como “branding”) de los emails y del sitio web son los verdaderos diferenciadores de una solución de emails de primera clase.

Como Director de Participación de Clientes en Echoworx, un reconocido líder en comunicación digital segura, es mi trabajo ayudar a organizaciones con un nivel de empresa a entender cómo la encriptación de emails encaja en sus modelos de negocio. Y para mí, esto comienza ayudándolos a crear una experiencia fluida para sus clientes de principio a fin.

Cuando trabajo con una empresa nueva, siempre se necesita un poco de tiempo para cubrir los aspectos de seguridad básicos de la plataforma. Sin embargo, usted podría sorprenderse al saber que se emplea mucho más tiempo en los ajustes finos de la experiencia del cliente para alinearla con los objetivos y expectativas de la empresa. El email seguro se convierte en una parte integral de la estrategia de comunicaciones para la empresa entera. Necesita verse auténtico y usar frases y terminología que coincidan con la propaganda y el sitio web de la compañía.

También es importante considerar cuán variados serán los destinatarios de los emails seguros.  Una abuela en casa con mínimos conocimientos informáticos que necesita que todo le sea explicado en detalle contra un millennial conocedor de la tecnología que espera eficiencia y automatización. ¡La misma experiencia de email seguro se utiliza para ambos, así que será mejor que no enajene a nadie!

Sus clientes son únicos, pero todos ellos necesitan confiarle su información más personal, y lo abandonarán si usted la pierde. Una encuesta reciente de Echoworx encontró, por ejemplo, que un 80 por ciento del total de los clientes considerarían abandonar una marca luego de una vulneración a la información. Esa no es una cifra menor.

Así que, ¿cómo alcanzamos esta mezcla perfecta de email seguro y fácil de leer y enviar?

En cuanto a los empleados de su compañía, ellos no quieren pasos extra o sistemas separados. Si es incómodo, no lo utilizarán. Afortunadamente, su red corporativa ya es segura gracias a los cortafuegos, los controles de acceso y la seguridad nativa en su servidor de email.  Así que deje que la encriptación se lleve a cabo cuando el email esté por salir de su red (esto comúnmente se llama “puerta de enlace”).

Es el destinatario quien necesita trabajar con la versión encriptada de ese email, y la mejor forma de hacerlo feliz es enviarlo en el formato que entiende. Un socio comercial debería recibir encriptación transparente (llamada TLS), mientras que un cliente que recibe un resumen de cuenta mensual debería tener un  PDF adjunto seguro.  Un banco europeo podría exigir emails PGP ya que sus empleados tienen software PGP corriendo en sus computadoras.  La plataforma de emails seguros debería resolver esto basándose en las políticas que usted defina durante la personalización inicial del servicio.

Si usted está haciendo negocios internacionalmente también querrá estar al tanto de las leyes y regulaciones jurisdiccionales locales. En nuestro mundo post-RGPD, usted sabe que el dónde y cómo almacena la información de sus clientes importa. Pero no olvide considerar cómo sus comunicaciones alcanzarán a personas en muchos países cuyo idioma no es el inglés.  He aquí otro ejemplo de aquella capa de usabilidad que habita por encima de la verdadera encriptación.

Usted quiere que sus clientes se sientan como en casa con usted y cómodos al enviar información sensible a través de canales encriptados. Un cliente confundido es propenso a cuestionar la validez de un email seguro y puede ser más susceptible a estafas. Invertir en privacidad de datos no solo es bueno para su marca – es un buen servicio al cliente.

¡Es muy simple cuando se hace bien!

Por Sarah Happé, Directora de Participación de Clientes, Echoworx

25 Oct 2018
Moving PGP to the cloud

¿ESTÁ MOVIENDO SU PGP A LA NUBE? HE AQUÍ LO QUE NECESITA SABER

¿Es la encriptación PGP parte de su estrategia de mensajería segura? ¿Está usted alojando este sistema en sus instalaciones en la actualidad? ¿Ha pensado alguna vez en mudar su encriptación PGP de emails a la nube? Puede sonar desalentador, pero, con las herramientas y servicios correctos, moverlos a la nube es una inversión para que usted y  sus clientes consideren.

Un sistema PGP alojado localmente consume muchos recursos y requiere que un software esté instalado en su estación de trabajo y en sus servidores. La demanda en su departamento de informática puede ser considerable – migrarlo todo a la nube puede quitarle mucha tensión a su personal.

He aquí algunos puntos a considerar si usted está pensando en hacer el cambio:

La encriptación de emails debería ser más que adecuada

Tenemos la responsabilidad de proteger los mensajes confidenciales que enviamos, y necesitamos hacerlo de una forma que no se interponga con hacer negocios.

Una solución de encriptación de email efectiva tiene cinco cualidades principales:

  • Es fácil de implementar
  • Puede escalar para mantenerse al ritmo de las crecientes demandas y los súbitos aumentos en volúmenes de emails
  • Es rica en funciones, y basada en los estándares actuales, compatible con tecnologías de encriptación ampliamente utilizadas en la actualidad
  • Es jurisdiccionalmente consciente, por lo que los mensajes enviados desde la UE, por ejemplo, no son almacenados o enviados a través de los Estados Unidos u otras jurisdicciones que puedan comprometer el cumplimiento de las normas de la RGPD
  • Se opera de forma segura por un proveedor confiable que se dedica a la seguridad

Tener sistemas heredados o antiguos no debe ser un impedimento para migrar a la nube

Mover un sistema PGP local a la nube no solo es posible, sino que estos sistemas heredados o antiguos pueden migrarse sin disrupciones, una consideración crucial desde el punto de vista del negocio si su organización envía grandes números de mensajes seguros diariamente. Y usted obtiene acceso a métodos de envío seguro adicionales, como la habilidad de enviar mensajes vía portal web y demás funciones, como la habilidad de personalizar mensajes encriptados con su marca.

Gestión de claves sin la gestión

De acuerdo al decimotercer estudio de encriptación encomendado por Thales al Ponemon Institute, la gestión de claves continúa siendo uno de los principales temas sensibles para el 57 por ciento de las organizaciones. Y muchas de estas organizaciones reportan que continúan gestionando sus procesos de claves de forma manual. Esta no es una estadística nueva. De hecho, ¡la gestión de claves se mantenido como un tema sensible de forma consistente año tras año! Migrar a la nube le permitirá simplificar su proceso de gestión de claves – y automatizarlo.

¿Por qué utilizar la Seguridad como un Servicio?

En el clima de hoy, los negocios deben escalar rápidamente para poder alcanzar las demandas que cambian constantemente. Las amenazas de seguridad evolucionan constantemente, y la tecnología continúa transformándose a un paso acelerado. Nuevos desarrollos como la informática móvil, la Internet de las Cosas, Software como Servicio e Infraestructura como Servicio están conduciéndonos a cambios fundamentales en la manera en la que operan los negocios.

Trabajar con una Seguridad en la nube como proveedor de servicios puede aportar muchos beneficios. Sheila Jordan, CIO en Symantec, señala, por ejemplo, que mientras las inversiones en Informática y tecnología pueden usarse para operar y hacer crecer a una compañía, la lista de tareas a llevar a cabo siempre será mayor que los recursos y fondos disponibles. A menudo, la informática es vista como un rubro fácil donde acortar gastos, y en respuesta, los CIOs “deben priorizar las demandas que afectan de forma más directa la rentabilidad y las metas financieras de la compañía”. Los CIOs son responsables no solo de proteger la información, sino también de ayudar a las compañías a usar esa información para generar conocimiento práctico y viable. Migrar a la nube les permite a las organizaciones rastrear y reportar en tiempo real.[1]

¿Está pensando en la Seguridad como un Servicio? He aquí algunas preguntas a considerar:

  • ¿Cuál es su perfil de riesgo?
  • ¿Está respondiendo a una crisis especifica?
  • ¿Tiene un plan claro implementado?

 

Una vez que la decisión de migrar a la nube ha sido tomada, elija cuidadosamente su proveedor. No busque una solución única: si lo hace, podría encontrar que la solución que eligió se ha vuelto rápidamente obsoleta o que no es el único foco para abarcar un producto más grande. Contacte a su nuevo socio para capacitar y entrenar a sus equipos y guiar a su compañía a través del proceso. Y más importante aún, familiarícese con el equipo con el que trabajará ya que tener una buena relación puede hacer la diferencia a la hora de lidiar con una crisis.

Sheila Jordan de Symantec lo dice mejor: “Cuando uno trabaja con un socio que entiende su negocio y hacia donde uno se dirige, este puede ofrecerle soporte global y soluciones que crecerán con su organización. Los socios indicados siempre estarán enfocados en el cliente, haciendo todo lo que esté a su alcance para impulsar su compañía hacia adelante”.

Vea que tan fácil es migrar sus PGP a la nube.

Por Christian Peel, VP de Ingeniería, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” en Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, editorial. Ajay K. Sood (Toronto: Foro CLX, 2018), 23-45.

22 Oct 2018
Am i a data controller or data processor

UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

La Regulación General de Protección de Datos (GDPR) entró en vigencia el 25 de mayo de 2018. Particularmente, la RGPD les da a los individuos más control sobre su información personal, y requiere que las compañías sean claras sobre porque recolectan información. Bajo la RGPD, las corporaciones que acceden a información de clientes son definidas como controladores y/o procesadores. Cualquier corporación que haga negocios dentro de la UE o con ciudadanos o residentes de la UE deben cumplir con la RGPD, aun si está radicada fuera de Europa.

¿Cuál es la relación entre controladores y procesadores?

El controlador es la persona, compañía o agencia que determina que información será recolectada, de quien y para qué fin. El controlador También determina donde y como se almacena la información personal. El procesador es la persona compañía o agencia que procesa información en nombre del controlador. En efecto: el controlador busca almacenamiento de datos, y el procesador provee el almacenamiento. Pero ambos están sujetos a las normativas de la RGPD.
En la mayoría de los casos, los controladores cargaran datos a un procesador. A su vez el procesador, procesara dicha información y la almacenara en la nube. Pero, ya que el controlador retiene el control sobre la información, la confianza en el procesador es esencial.

He aquí algunas preguntas a considerar:

  • ¿Sabe Usted donde están localizados los servidores del procesador?
  • ¿Cumple su procesador con la RGPD?
  • ¿Son sus procesos en la nube seguros? ¿Pueden probarlo con auditorias hechas por terceros?
  • ¿Su procesador está certificado por WebTrust? ¿Cumple con la normativa SOC 2?

Los controladores también deben ser claros acerca de las políticas de retención de datos. Los individuos deben saber durante cuánto tiempo su información será almacenada, y la información no puede ser retenida más de lo necesario. Al finalizar dicho periodo, toda la información debe ser destruida. Los procesadores que almacenan datos en múltiples sistemas deben tener procedimientos establecidos para asegurar que los datos puedan ser eliminados.
Como procesador de datos, Echoworx solo entrega emails a usuarios finales. Almacenamos todos los emails de forma encriptada, y los eliminamos inmediatamente. Cumplimos totalmente con la RGPD.

¿Qué significa esto para mí?

Existen muchas instancias donde las organizaciones pueden encontrar puntos de contacto en la relación controlador/procesador. Las actividades bancarias, por ejemplo: Usted puede ser un gran banco que simplemente tiene demasiados clientes para proveer encriptación de datos confiable y efectiva de forma local. Su banco firma un acuerdo contractual con un tercero que se encargue de encriptar y enviar grandes volúmenes de informes financieros. Ya que Usted retiene el control sobre el contacto con el cliente y los detalles de los informes, su rol en esta relación es el de un controlador de datos – en cambio la plataforma de encriptación del tercer, que procesa los datos para un tránsito seguro, es el procesador de datos.

En última instancia, Usted es responsable por garantizar la seguridad de los detalles confidenciales del cliente – desde algo simple como su dirección hasta algo más complejo como su historial financiero. Y, bajo normativas como la RGPD, e incluso nuevas regulaciones, como la AB 375 de California, Usted también es responsable de garantizar que los terceros que actúen como sus procesadores se atengan a sus estándares de seguridad.
Para ayudar a establecer un punto de partida sobre lo que es necesario, Usted tal vez quiera considerar invertir en una auditoria de ciberseguridad llevada a cabo por un tercero – he aquí lo que necesita saber.

El Foro de Intercambio de Liderazgo en Ciberseguridad (CLX Forum) provee conocimiento adicional

Una discusión sustancial sobre la RGPD y sus implicaciones se dio en CLX Forum, una comunidad de pensadores lideres canadiense, en su libro Ciberseguridad Canadiense 2018: una Antología de las Perspectivas a nivel Empresa de los CIO/CISO. Entre muchas observaciones interesantes, Edward Kiledjian, VP de Seguridad de la Información, Conformidad y CISO en OpenText, analiza la cuestión de quien es propietario de la información personal. Mientras que esto aún debe ser definido en Norte América, la RGPD es clara en tanto que, en Europa, los ciudadanos son ahora dueños de su información. En cualquier momento, un ciudadano de la UE puede revocar el derecho de una organización de almacenar sus datos personales. Y si un ciudadano de la UE le pide a una organización que destruya sus datos, la organización debe hacerlo dentro del mes siguiente. También es importante notar que la información recolectada previamente no está exenta de estas normativas. Si su organización ha recolectado datos de residentes de la UE en el pasado, los controladores deben obtener consentimiento para el uso actual de esa información. [1]
Otro aspecto importante de la RGPD es que su agencia reguladora evalúa activamente la seguridad. Como parte de este proceso, también mide como responden las compañías a los ataques. Como lo indica Amir Belkhelladi, Socio y Asesor de Riesgo en Deloitte Canadá, las juntas directivas corporativas son directamente responsables a los ojos de la agencia reguladora de la RGPD. Las juntas deben entender como la información es recolectada, utilizada, almacenada y destruida. También deben garantizar que la administración siga estas nuevas normativas. [2]

Multas con dientes

Antes de la RGPD, las compañías se preocupaban principalmente por el impacto reputacional de una vulneración de ciberseguridad. Ahora, en adición a un altísimo daño a la marca, existen serias implicaciones financieras por fallas de seguridad. Las compañías que no protegen adecuadamente la información pueden recibir multas de hasta 20 millones de Euros, o el 40 por ciento de sus ingresos globales anuales, lo que sea más alto. Las compañías tienen tan solo 72 horas para reportar una vulneración, y están obligadas a notificar a los clientes “sin demora innecesaria” luego de percatarse de una vulneración.

Las compañías que no provean bienes o servicios a residentes de la UE no están obligadas a cumplir con la RGPD. Pero el protocolo RGPD también aplica a residentes de la UE que vivan en el exterior y a compañías que contraten a terceros con conexiones con países de la UE. Para aquellos que continúen haciendo negocios en Europa, la privacidad por diseño se convertirá en su nuevo lema. Las organizaciones deben garantizar que sus sistemas cumplan con estos exigentes estándares. ¿Acaso algunas organizaciones pequeñas tomaran la decisión de que ya no pueden hacer negocios con ciudadanos de la UE? Casi con toda certeza. Pero para cada organización que opere en Europa, cumplir con estas normativas debería ser obligatorio. Y ya que la RGPD es el más exigente conjunto de normativas jamás promulgadas, las compañías que cumplan pueden estar seguras de que están cubiertas a nivel mundial.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

——

[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

¿Como es ‘la confianza’ la nueva divisa de los bancos?

Una encuesta reciente de Echoworx reveló que casi la mitad de los clientes envían información personal vía email y confían en la seguridad de un email en 30 segundos o menos. ¿Pero está justificada esta confianza? Cuando se les preguntó, solo el 40 por ciento de las organizaciones con capacidad de encriptación usan la tecnología de forma exhaustiva para proteger información sensible – con un tercio de los emails que deberían estar encriptados siendo enviados por vías abiertas. Más preocupante es que la mayoría de las vulneraciones pasan desapercibidas, y que el 61 por ciento de los empleados admite enviar información confidencial en emails desencriptados.

La confianza es crucial

Mark Carney, gobernador del Banco de Inglaterra, dice que mantener la seguridad y la confianza del público es el rol primario de los bancos centrales. Además, el “pasado, presente y futuro” de las instituciones financieras depende de la confianza del público.[1]

Y para ser fidedigno, de acuerdo con un reporte reciente de Javelin, un banco debe ser fiable en cuanto a cómo protege la información sensible de sus clientes. Esta fiabilidad se traduce a cómo se almacena la información personal, las medidas proactivas tomadas para prevenir accesos indeseados a sus cuentas y las fórmulas de compensación implementadas en caso de pérdida o fraude. [2]

¿Tendrá algún impacto la GDPR?

Con la reciente adopción de la GDPR en la UE, ahora las instituciones deberán publicar cualquier vulneración dentro de las 72 horas de su ocurrencia. Es casi seguro que esto afectará la percepción de los consumidores acerca de los bancos y sus medidas de seguridad, particularmente desde que la opinión pública está en desacuerdo sobre este tema: 1 de 4 instituciones han sido hackeadas, sin embargo solo el 3 por ciento de los clientes cree que sus propias instituciones han sufrido esta suerte. Y hablando de la naturaleza efímera de la confianza, Mark Carney ha dicho, “La confianza llega a pie, pero se va en una Ferrari.”[i] Como consecuencia de la GDPR, más instituciones pueden llegar a entender esto.

Datos del cliente: un activo y una responsabilidad

La confianza en las instituciones financieras lleva a más clientes a estar dispuestos a compartir sus datos. El 60 por ciento de los consumidores está dispuesto a intercambiar información personal por beneficios – un precio más bajo en un producto financiero, por ejemplo. Los millennials son el grupo más dispuesto a compartir sus datos; también son el grupo que está más consciente de datos y de cómo los bancos los obtienen. La generación del boom de natalidad y los más ancianos tienen altos niveles de confianza, pero esto no se traduce a una predisposición a compartir información.

Las instituciones financieras saben que el 65 por ciento de los clientes elige su institución financiera basándose en la privacidad y la seguridad. Y, como resultado, más de la mitad de los clientes confía en su institución financiera principal.[1]

¿Pero cuán duradera es la confianza en caso de una vulneración? El 86 por ciento de los clientes indicó que cambiarían de institución financiera si esta sufriera una vulneración de información, y aquellos que le dan prioridad a la privacidad y la seguridad estarían en posición de hacerse de algunos de estos clientes.

En la práctica, claro, muchos clientes encontrarían que cambiar de proveedor sería una inconveniencia. Pero mientras que estos clientas podrían no irse, si limitarían sus negocios:  el 35 por ciento de los clientes dijo que reducirían el número de transacciones que hacen; 28 por ciento redistribuiría algunos activos a otro proveedor; y 28 por ciento sería más precavido al realizar inversiones adicionales con su institución. En todos estos escenarios, el banco sufriría un impacto financiero.

Los bancos aún pueden construir confianza digital

Existen muchas maneras para que los bancos construyan la confianza digital del consumidor, lo que en cambio resultaría en una mayor participación y retención de clientes. He aquí algunas de las más cruciales:

  1. Enfoque en el cliente. Los bancos deberían enfocarse en los servicios digitales que los clientes necesitan y que más les convienen. Esta visión cliente-centrista debería ser evidente en todos los niveles de la institución.
  2. Quitar fricción. Remueva errores y agilice los servicios digitales. Trabaje para entender porque los clientes están teniendo dificultades: esto ayudará a garantizar que se obtengan soluciones duraderas.
  3. Marque las comunicaciones seguras. Los clientes jamás deberían confundirse al utilizar comunicaciones digitales, estas incluyen desde tasas hasta declaraciones electrónicas. Los emails maliciosos imitan sus comunicaciones legitimas para engañar a sus clientes. Cualquier comunicación segura necesita marcas adecuadas y opciones de lenguaje.
  4. Proteja a sus clientes. Implemente políticas para proteger y resguardar la privacidad del cliente. Defienda activamente contra amenazas de ciberseguridad utilizando medidas proactivas – como la encriptación.

La confianza atrae clientes y los anima a quedarse. La confianza le da acceso a los bancos a la información que les ayuda a mejorar sus servicios. La confianza es la divisa que los clientes valoran por sobre todo lo demás. No hay lugar para la duda: las instituciones que aprovechan la confianza, que la hacen central en su modo de hacer negocios, prosperarán, incluso en un panorama desafiante con amenazas en constante evolución.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

01 Oct 2018
Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

 

OCTUBRE |

 

P: ¿QUÉ ES UN BOTNET?

R: La palabra Botnet” es una combinación de las palabras robot y network (red). El botnet se conoce por ser un grupo de dispositivos conectados a internet – Internet de las cosas, dispositivos móviles, computadoras y redes – afectadas por malware. Cada dispositivo comprometido se llama “bot” y puede ser controlado remotamente por un originador, al cual se lo conoce como “bot master”. Los cibercriminales rentan los Botnets cada vez más como bienes y comúnmente, los utilizan en ataques de DDoS. Los Botnets son capaces de aprovechar el poder de procesamiento colectivo de un grupo de computadoras, enviando grandes volúmenes de spam, robando credenciales en masa o espiando gente y organizaciones.

P: ¿ EL CRYPTOJACKING ES UNA NUEVA AMENAZA EN LA SELVA?

R: Cryptojacking es el uso no autorizado de la computadora de una víctima para minar criptomonedas. Según un reporte de seguridad reciente de Symantec, el cryptojacking salió de la nada y explotó como nada lo hizo antes. Los hackers lo ven como un modo fácil y barato de hacer más dinero con menos riesgo.  A diferencia de otros tipos de malware, el cryptojacking no daña la computadora ni la información de la víctima. Pero, ya que roba recursos de procesamiento del CPU, el dispositivo de la víctima vera su ciclo de vida reducido, un mayor consumo de energía y problemas generales de desempeño.

P: ¿QUÉ ES EL SPYWARE?

R: El Spyware es un tipo de software malicioso que se instala en su computadora, a menudo sin que usted lo sepa. Está diseñado para monitorear sus actividades y recolectar y reportar datos a compañías para fines de mercadeo. La recolección de datos a menudo incluye su información personal, como su nombre, dirección, hábitos de navegación, preferencias, intereses y descargas. Además de ser una invasión de privacidad, este software puede causar serios problemas de rendimiento.

P: ¿QUÉ ES EL ATAQUE DE CUMPLEAÑOS?

R: El Ataque de Cumpleaños es un tipo de ataque de fuerza bruta basado en la paradoja del cumpleaños, la cual dicta que, de 253 personas en una habitación, hay un 50% de posibilidad de que alguien tenga su misma fecha de nacimiento; sin embargo, solo 23 personas necesitan estar en la habitación para que haya un 50 % de probabilidad de que 2 personas cualquiera compartan el mismo cumpleaños. Esto es porque los emparejamientos se basan en pares. Este fenómeno estadístico también aplica para encontrar colisiones en algoritmos de hasheo porque es mucho más difícil encontrar algo que colisione con cualquier hasheo que encontrar dos ingresos cualesquiera que tengan el mismo valor de hasheo.

P: ¿QUÉ ES LA POLÍTICA DE MISMO ORIGEN?

R: En informática, la Política de Mismo Origen es un mecanismo de defensa del navegador que garantiza que ciertas condiciones se cumplan antes que algún contenido (usualmente JavaScript) sea ejecutado cuando se lo obtiene de cualquier aplicación web. Bajo esta norma, el navegador permite que un script de una página acceda a información en otra página solo cuando ambas tienen el mismo origen; ya que el origen es una combinación de protocolo de recursos de red, dominio y puerto.

 

SEPTIEMBRE |

 

P: ¿SON LOS PROYECTOS DE CÓDIGO ABIERTO MÁS SEGUROS QUE LOS DE PROPIETARIOS?

R: Un concepto erróneo muy común es que los proyectos de código abierto son más seguros, ya sea porque todos pueden inspeccionar el código fuente, o porque tantos ojos están viéndolo. Y, viceversa, un producto comercial de una bien conocida compañía es más segura porque todos confían en ella. La seguridad del proyecto proviene de una combinación de muchos factores, incluyendo cuantos desarrolladores están trabajando en él, cuáles son sus antecedentes, control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones horriblemente inseguras provenientes de ambos campos.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: La Falsificación de Petición de Sitios Cruzados (Cross-site Request Forgery) es el tipo de ataque en una página web donde un intruso se hace pasar por un usuario de confianza. Por ejemplo, la etiqueta de una imagen en una página web puede estar comprometida y dirigir a una URL asociada con una acción; cuando el usuario carga la página, el navegar ejecuta esta acción y el usuario puede no estar al tanto de que tal ataque ocurrió. El ataque puede ser usado para modificar la configuración del cortafuegos, publicar información no autorizada en un foro o realizar transacciones financieras fraudulentas.

P: ¿POR QUÉ MI IDENTIDAD PKI INCLUYE DOS CLAVES?

R: un par de claves públicas y privadas es un par de claves asimétricas que realizan las funciones de cifrado/descifrado de una transmisión segura de datos. La Clave Pública es pública y está disponible para todos. Por otro lado, el respectivo dueño de la Clave Privada debe mantenerla confidencial. Al encriptar datos, se usa la clave pública del destinatario – y solo el receptor podrá descifrarla. Al firmar, la clave privada se usa para confirmar la identidad del remitente.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: la Falsificación de Petición en Sitios Cruzados (CSRF) es un tipo de ataque que se lleva a cabo en un sitio web donde un intruso se camufla como usuario legítimo y de confianza. Por ejemplo, una etiqueta de imagen de página web puede estar comprometida y dirigir hacia una URL asociada con alguna acción; cuando el usuario carga esta página, el navegador ejecuta esta acción y es posible que el usuario no sepa que dicho ataque se produjo. El ataque puede usarse para modificar la configuración del firewall, publicar datos no autorizados en un foro o realizar transacciones financieras fraudulentas.

P: ¿SON LOS PROYECTOS DE FUENTE ABIERTA MÁS SEGUROS QUE LOS PRIVADOS?

R: un concepto erróneo común es que los proyectos de fuente abierta son más seguros, ya sea porque cualquiera puede inspeccionar el código fuente o porque muchos ojos lo están viendo. Y viceversa, se cree que un producto comercial de una empresa conocida es más seguro porque todos confían en ella. La seguridad del proyecto proviene de una combinación de varios factores, incluyendo cuántos desarrolladores están trabajando en él, cuáles son sus antecedentes, el control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones terriblemente inseguras que provienen de ambos campos.

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

 

AGOSTO |

 

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

 

JULIO |

 

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

 

JUNIO |

 

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

 

MAYO |

 

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

 

ABRIL |

 

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

 

MARZO |

 

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

 

FEBRERO |

 

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

 

ENERO |

 

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO

27 Sep 2018
cybersecurity audits

¿Por qué son importantes las auditorías de ciberseguridad?

El ambiente de la ciberseguridad está cambiando. Las tasas de emails maliciosos, spam y malware siguen aumentando, y nuevas amenazas, como la minería de criptomonedas, están surgiendo. Mientras tanto, los ataques de ransomware se han vuelto tan comunes que ciertos grupos de ataque los usan como señuelos para cubrir otros tipos de ataque más serios.

En un mar de ciberamenazas en constante evolución, ¿podrá tu empresa mantenerse a flote?

Si crees que un firewall es todo lo que debes tener en cuenta al evaluar la ciberseguridad de tu perímetro digital, probablemente te equivoques. Después de todo, los ciberataques modernos son cuestión de tiempo, y no existe una solución universal a todos los problemas. Es aquí donde tener una segunda opinión puede hacer una diferencia en entender el panorama contemporáneo de amenazas a la ciberseguridad, entender las defensas disponibles, terceros riesgos y nuevas regulaciones.

Introduciendo las auditorías de seguridad.

De acuerdo a asesores de Ritcher, hoy en día, “un firewall es solo la punta del iceberg de la seguridad”. Hoy más que nunca, necesitas saber a qué amenazas se enfrenta tu empresa, pues los ciberataques son cuestión de tiempo. En lugar de preguntarte si tu empresa sufrirá un ciberataque, pregúntate cuándo.

¿Por qué realizar auditorías de ciberseguridad de terceros?

La ciberseguridad es una compleja red de sistemas y procesos que deben evolucionar en respuesta a las amenazas. Las auditorías de ciberseguridad de terceros externos ayudan a brindar claridad y entendimiento. En algunas organizaciones, puede que exista una falta de conciencia sobre cuán a menudo se deben revisar las políticas de seguridad y por qué. Es posible que los departamentos de TI carezcan de las herramientas necesarias para garantizar que sus sistemas estén seguros. Peor aún, a veces ni siquiera se dan cuenta de esto. Incluso cuando la ciberseguridad es un elemento clave en la cultura organizativa,  concentrarse en tablas de resultados y en métricas de negocios solo mantiene la atención en amenazas ya enfrentadas en el pasado. Al contrario, las empresas deben mirar al futuro para anticipar las amenazas que no hayan surgido tomando medidas proactivas de ciberseguridad para la privacidad desde el diseño. Este concepto es conocido como privacidad desde el diseño.

¿Cómo te ayudarán las auditorías de ciberseguridad?

Hay cuatro razones principales por las que tu empresa se beneficiará de las auditorías de ciberseguridad.

  1. Brindan conocimiento y validación. Los auditores cuentan con una extensa experiencia, y ofrecen las mejores prácticas para fortalecer los programas de las empresas. Los auditores estudian las nuevas regulaciones (como la GDPR). Pueden asegurar que los sistemas y procesos cumplan con los estándares regulatorios actuales. Además, los auditores pueden señalar problemas potenciales y sugerir mejoras.
  2. Ofrecen evaluaciones neutras y objetivas de los programas. Estas evaluaciones objetivas muestran además una mejor visión de cuán atractiva puede ser una empresa para los hackers.
  3. Las auditorías de terceros pueden ser más precisas. Ya que los auditores no están asociados directamente a la empresa, pueden tener una visión más precisa de toda la estructura organizativa, incluyendo políticas de BYOD (trae tu propio dispositivo) y equipos móviles que no sean oficialmente parte del flujo de trabajo de la organización.
  4. Ayudan a validar tus políticas de privacidad ante posibles terceros aliados, y viceversa.

¿Qué busca un tercero auditor de ciberseguridad?

Evaluar la ciberseguridad requiere un conjunto de habilidades específicas. Los auditores deben examinar la configuración de servidores, realizar pruebas de penetración y revisar el reglamento de gestión de eventos de seguridad. No todos los departamentos de TI tienen al personal con la capacidad y el conocimiento para realizar estas tareas.

Adicionalmente, existen regulaciones complejas en lo referente a la protección y privacidad de los datos, y tu organización debe seguir dichas regulaciones en cada jurisdicción en la que haga negocios.  Por ejemplo, la recién aprobada GDPR, requiere que cualquier filtración de información que involucre datos de residentes de la Unión Europea sea revelada públicamente en menos de 72 horas. ¿Reconocería tu empresa una filtración así en caso de ocurrir? ¿Qué tan segura está la información personal de identificación (PII) que guarda tu empresa? ¿La información que almacena tu empresa es accesible a sus aliados, proveedores o clientes? ¿Especifican tus contratos cómo los proveedores y distribuidores manejarán esta información? ¿Tienen estas organizaciones los sistemas adecuados para mantener tu información segura? Una auditoría de terceros observa todas las relaciones de negocios y ofrece una evaluación completa de amenazas y riesgos.

¿Por qué son importantes las auditorías de ciberseguridad?

Un informe reciente de PWC indica que 87% de los CEO globales creen que invertir en ciberseguridad es importante para generar confianza en los clientes. Aun así, menos de la mitad de todos los negocios del mundo cuentan con auditorías de los terceros que manejan su información personal recolectada. Dicho de otro modo, hay un 54% de posibilidades de que una organización que recolecte información personal no esté segura de si su esta información está protegida adecuadamente, sin importar que sus CEO reafirmen la importancia de hacerlo.

Si una empresa cree en la protección de la información personal, o al menos desea evitar una costosa filtración de información, deberá hacer las diligencias pertinentes al momento de elegir a sus terceros proveedores. Es por esto que llevar a cabo auditorías de ciberseguridad es tan importante. Una organización necesita saber dónde y cómo se almacena su información, pues al final del día, cualquier organización que recolecte información personal es responsable de cualquier reclamación de protección de datos, y estas reclamaciones pasan a ser responsabilidad de los terceros.

¡Practicamos lo que predicamos!

En Echoworx respiramos encriptación, y trabajamos cada día para ayudar a organizaciones a proteger su información delicada en tránsito. Lógicamente, invertimos en los más altos niveles de ciberseguridad. Es por esto que toda nuestra organización, de arriba a abajo, es examinada regularmente por terceros auditores para asegurar la hermeticidad de la información. ¡Nos enorgullecemos de nuestras certificaciones SOC2 y Web Trust!

Comprueba por ti mismo nuestras calificaciones en ciberseguridad.

Por Alex Loo, VP de Operaciones, Echoworx

17 Sep 2018
What is a Chief Data Officer

¿Qué es un Director de Datos?

Vivimos en una era post privacidad.

Nuestra ubicación puede ser precisada con GPS. Nuestras fotos e itinerarios son conocidos al mundo, a través de nuestros smartphones conectados a internet. Posteamos nuestros más íntimos pensamientos y opiniones en las redes sociales para que todos las vean. Navegamos a través de publicidad dirigida específicamente basada en nuestras búsquedas de Google y hábitos de compra online.

Tom Goodwin, director de innovación en Zenith Media, argumenta que nosotros mismos buscamos esta pérdida de privacidad porque disfrutamos los beneficios que nos provee… hasta que una compañía falla en proteger nuestra información.[i] Es ahí cuando nos alzamos en armas en contra de la violación a nuestra privacidad. Es la típica pesadilla en relaciones públicas.

En Echoworx, nuestra propia investigación encuentra otra interrogante acerca de la privacidad de la información: la naturaleza cambiante de los datos personales luego de una vulneración. Las personas están dispuestas a divulgar información cuantitativa, bajo la creencia de que esta está protegida. Esta misma información adquiere características cualitativamente embarazosas una vez que se vuelve publica durante una vulneración – derivando en una perdida fatal de confianza del cliente.

¿Como se supone que los negocios naveguen estas contradicciones? ¿Como pueden las compañías ofrecerle a la gente los beneficios de la era post privacidad sin hacerle sentir que entregaron algo precioso? ¿Como pueden los comercios ganar la confianza para proteger información sensible de forma segura?

Una solución se encuentra en la creciente importancia del Director de Datos.

El auge del Director de Datos

El rol de Director de Datos nació durante la crisis financiera de 2008-09. Luego de las secuelas, había una clara necesidad de una persona que pueda garantizar el cumplimiento de las creciente demandas regulatorias. Mas que nunca en el ámbito bancario y en las finanzas, la información y su declaración a reguladores requirió un mayor control. Por años, la información no fue más que una ocurrencia tardía en la mayoría de las organizaciones. Si acaso la información se hubiera manejado de forma efectiva, habríamos tenido una advertencia de la crisis, o podríamos habernos recuperado de forma más completa.

En la década que transcurrió, sin embargo, el rol del CDO se ha expandido y ha evolucionado en los albores de la era de los Grandes Datos. Súbitamente, el valor de la información como recurso se volvió claro. El CDO era necesario para que se ocupe de maximizar ese valor.

En 2012, la firma de consultoría NewVantage Partners inicio una encuesta anual de ejecutivos de nivel C de Fortune-1000. Ese primer año, solo el 12% de las firmas tenía un CDO. Para 2018, el número había incrementado un 63.4%. Esta tendencia parece decidida a continuar. Según algunas estimaciones, un Director de Datos será considerado un rol “crucial para la misión” en hasta el 75% de las grandes empresas dentro de los próximos 3-5 años. ¡Incluso el Pentágono contrató a su primer CDO!

Porque usted necesita un Director de Datos

Hoy en día, el valor principal del CDO es ser la persona designada para optimizar enormes cantidades de datos generados por las compañías de hoy. Él o Ella puede extraer valor de la información y fomentar innovación alrededor de la Big Data y la analítica. El CDO impulsa las soluciones tecnológicas, mejora la ciberseguridad y aumenta las ganancias. Él o Ella trabaja para eliminar silos de datos y redundancias. El cambio tecnológico es manejado para reducir los costos de la “limpieza de datos” dentro de una compañía.

El CDO planea y ejecuta la estrategia corporativa alrededor de tecnologías emergentes tales como la inteligencia artificial (IA), Machine Learning (aprendizaje automatizado), y Blockchain (cadena de bloques). El CDO también representa una solución ágil a los rápidos cambios en regulaciones y privacidad de datos para los que la administración tradicional puede no estar preparada. A medida que evoluciona la tecnología, también lo hace el rol de CDO.

Privacidad vs valor en un mundo post privacidad

La información es una espada de doble filo. Tiene un enorme valor para las corporaciones. Pero también requiere una cuidadosa protección de la información que se les confió y promete riesgos y responsabilidades (tanto financieras y reputacionales) en el evento de una vulneración.

Al poner toda la información y la actividad relacionada a cargo del CDO, las organizaciones pueden establecer sistemas para garantizar que toda la información recolectada, almacenada, o compartida dentro de una organización sea tratada de forma segura y ética, y en cumplimiento de las regulaciones y leyes locales e internacionales.[ii] El manejo adecuado de la información y la aplicación prudente de medidas de seguridad, tales como encriptación reforzada de datos sensibles, puede ayudar a reducir los riesgos de un emprendimiento. Estas políticas también permiten que las compañías maximicen el valor de la información que recolectan.

En esta era post privacidad, las corporaciones que interactúan con datos sensibles del cliente deben adaptarse si quieren ser exitosas. Si se enfocan en “server mejor a las personas” con pedidos explícitos de permiso, opt-ins claros y concisos, seguridad rigurosa y encriptación, pueden construir un “intercambio de valor a lo largo de una vida” con los clientes Este es el tipo de transformación que el CDO puede aportar a las organizaciones. De esta manera, el CDO ayuda a navegar la línea entre privacidad y post privacidad en un mundo conectado.[iii]

___________

[i] https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world

[ii] https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

 

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

¿Es vulnerable su negocio contra amenazas de ciberseguridad?

En 2017, Deloitte fue calificada la mejor consultora de ciberseguridad en el mundo por quinto año consecutivo. Pero más tarde ese mismo año, surgieron noticias de que la misma Deloitte estaba siendo víctima de un hackeo que duro casi un año entero[1].

¿Como pudo revertirse esto tan dramática y rápidamente?

Cualquier compañía es vulnerable a un ciberataque. Mientras más grande la compañía, más grande el blanco. Para la mayoría de las compañías es solo cuestión de tiempo.

Los hackers apuntan a robar datos sensibles tales como secretos corporativos, datos personales y propiedad intelectual. También lanzan ataques de sabotaje. El daño financiero a la economía mundial excede los $575 billones anualmente—más que el PBI de muchos países.

¿Cuán vulnerable es su negocio?

Ciberseguridad = vigilancia constante

He aquí algunas vulnerabilidades de ciberseguridad para notar:

  • Desconfiguración de seguridad. Esta es la más común y peligrosa falla porque reside en aprovechar simples errores informáticos, tales como correr software desactualizado, utilizar parámetros de configuración y contraseñas de fábrica , y cuentas por defecto.
  • Desbordamientos de buffer. Cuando una aplicación intenta poner más datos en un buffer de los que este puede manejar, el buffer se desborda. Esto puede permitir que un atacante sobrescriba bloques de memoria para corromper datos, hacer que fallen programas, o instalar código malicioso. Estos ataques son comunes y difíciles de detectar, pero también son más difíciles de realizar que un ataque de vulnerabilidad de inyección.
  • Exposición de datos sensibles. Esto hace referencia a cualquier instancia en la que un hacker obtiene acceso a datos sensibles, ya sea directamente desde un sistema, o mientras están en tránsito entre un usuario y un servidor. La falla más directa que puede ser aprovechada es la falta de encriptación, o encriptación que esté en peligro por contraseñas débiles o falta de autenticación de multifactor. Cualquier organización que maneje datos sensibles puede ser vulnerable a este tipo de ataque.
  • Autenticación dañada y manejo de sesiones. Cuentas expuestas, contraseñas, IDs de sesión representan filtraciones o fallas en los procedimientos de autenticación. Los hackers las usan para para hacerse con cuentas y hacerse pasar por usuarios legítimos.
  • Infraestructura o software de seguridad anticuado. El equipo más Viejo no soporta adecuadamente las aplicaciones modernas, y no es fácil de proteger contra las amenazas actuales.

La amenaza de hackers continúa creciendo a medida que las técnicas más sofisticadas de vuelven más comunes. Una encuesta reciente ha mostrado que 7 de cada 10 organizaciones dijeron que su riesgo de seguridad a ciber amenazas aumento en 2017 con respecto al año anterior. El 54% de las compañías fue víctima de uno o más hackeos exitosos en 2017. Y el 77% de esos ataques aprovecho vulnerabilidades como las mencionadas previamente (también llamadas técnicas “sin archivo”) sin adjuntos maliciosos o archivos .exe.

La forma más reciente de ciberataque es el crypto-jacking. También conocido como minería de criptomoneda, esto es el uso no autorizado de computadoras para minar criptomonedas. Los hackers implantan código en una computadora usando hipervínculos maliciosos en emails o sitios web infectados. Symantec advierte que la actividad de minar criptomoneda se incrementó en un 34,000% durante 2017, y que la detección de mineros de criptomonedas aumento un 8,500%. Para fines de 2017 la actividad de minería de criptomoneda también fue detectada en dispositivos móviles, y probablemente crecerá en este ámbito también.

Defender su negocio

Aunque ningún sistema está 100% seguro de un ataque, una encriptación fuerte es una herramienta de defensa efectiva contra el hackeo.

Tenga estos tips en mente:

  • Encripte toda la información sensible que los hackers o criminales puedan obtener.
  • Mantenga sus credenciales de ingreso confidenciales y protegidas con contraseñas.
  • Utilice autenticaciones de multifactor siempre que sea posible.
  • Emplear hasheo fuerte de contraseñas.

Nosotros usamos la nube. Es segura, ¿verdad?

Los servicios en la nube no lo protegen de un riesgo. Tal y como lo señala Sandra Liepkalns, CISO en LoyaltyOne, la información aún debe ser almacenada físicamente, y “la nube” solo significa que usted está usando servidores externos. ¿Sabe usted donde se encuentran esos servidores? ¿Si sus servidores se encuentran en los Estados Unidos, tienen las credenciales necesarias para manejar información con protección GDPR de Europa? ¿Y qué sucede con las amenazas físicas? ¿Están los servidores ubicados en lugares vulnerables a inundaciones o incendios forestales? ¿Y qué hay de huracanes? ¿O terremotos?

Al final del día, cada organización es responsable de proteger la información de sus clientes. Después de todo, no se trata sobre si su organización será violada o no, si no cuando. ¡No se deje atrapar desprevenido! Minimice los riesgos y haga que su seguridad sea integral a todos sus sistemas y procesos.

Por Randy Yu, Gerente de Implementación en Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

16 Jul 2018
Ley de privacidad de datos de California

Ley de privacidad de datos de California, AB 375: Es personal

La semana pasada, California aprobó una de las leyes de privacidad más avanzadas de los Estados Unidos, la Ley de Privacidad del Consumidor de California de 2018. Está siendo aclamada como un importante paso adelante con comparaciones como “GDPR llega a Estados Unidos” y otros titulares similares.

Tras su revisión, la ley de California tiene varios desafíos, es decir, no es necesario llegar a una legislación para cambiar las disposiciones de la ley.

Lo que está en la ley

La ley establece algunos nuevos derechos para los residentes de California, y al igual que el GDPR en Europa, se aplica a cualquier empresa que vende o tiene datos personales sobre los residentes de California.

Estos nuevos derechos son:

(1) El derecho de los californianos a saber qué información personal se recopila sobre ellos.

(2) El derecho de los californianos a saber si su información personal es vendida o revelada y a quién.

(3) El derecho de los californianos a decir no a la venta de información personal.

(4) El derecho de los californianos a acceder a su información personal.

(5) El derecho de los californianos a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.

En resumen, les da a los californianos una manera de optar por controlar los usos secundarios de sus datos, ya sea la venta agregada a intermediarios de datos, el seguimiento u otros usos que no estén directamente relacionados con la prestación de un servicio.

Lo que no está en la Ley

Si bien la ley tiene sanciones por infracciones que resultan de no proteger adecuadamente la información, esta ley en sí misma no contiene ningún requisito sobre cómo las empresas necesitan proteger la información, o el lenguaje para guiar a un tribunal está analizando si la protección fue adecuada.

Impacto en el mercado:

A diferencia del Reglamento General de Protección de Datos Europeo, el Acta de Privacidad del Consumidor de California de 2018 no contiene requisitos específicos que las empresas deben seguir para garantizar la Seguridad del procesamiento. La Ley prescribe cómo las empresas deben obtener el consentimiento para recopilar y usar información, y que no pueden discriminar a los consumidores por ejercer sus derechos.

La Ley de Privacidad del Consumidor de California depende en gran medida de otras leyes federales y de California para brindar orientación sobre estas áreas. Hay una serie de conflictos con estas otras leyes y áreas que probablemente deberían aclararse a través de una guía regulatoria o posibles cambios a la ley.

Además, todavía hay una serie de preguntas sobre cómo la Ley podría ser modificada bajo la presión de las empresas de tecnología y defensores de la privacidad, y qué regulaciones podrían publicarse para apoyar la ley.

En general, la naturaleza exacta de las obligaciones de una empresa no se conocerá durante un tiempo.

Una solución lógica

El cifrado de datos confidenciales es clave para demostrar que la información ha sido adecuadamente protegida bajo cualquier regulación o ley de privacidad.

Echoworx se compromete a cumplir con los requisitos de privacidad y legales de los países en los que opera. Echoworx continúa agregando centros de datos en todo el mundo para garantizar que los datos residan lo más cerca posible del país o la región de origen. Actualmente operamos centros de datos en los EE. UU., El Reino Unido, Irlanda, México y Canadá para garantizar que los datos se puedan almacenar y mantener de acuerdo con las reglamentaciones y la legislación a las que están sujetos nuestros clientes.

19 Jun 2018
privacy protection

UN COMPLETO DESASTRE: LA ENCRIPTACIÓN, LAS CITAS Y LA MEJORA EN LA PROTECCIÓN DE LA PRIVACIDAD

¿Te sentirías cómodo enviando información personal por correo electrónico sin encriptación? ¿Te sientes tímido respondiendo “SI”? No estás solo. De hecho, cerca del 50 por ciento de las personas eligen enviar información personal confidencial por internet. Y a menudo se da por sentada nuestra confianza en las personas y empresas a las que los enviamos.

Usted debe estar sorprendido al saber cuán expuestos están sus clientes realmente.

En una encuesta reciente que se le hizo a algunos profesionales y responsables tomar decisiones en IT realizada por Echoworx, la veta en la importancia atribuida al cifrado fue clara, con el 75% de los encuestados respondiendo afirmativamente que su organización tiene una estrategia de encriptación. Asimismo, menos de la mitad de estos encuestados respondieron afirmativamente que sus organizaciones efectivamente usan el cifrado de forma extensa y que su aplicación real es cuestionable.

En otras palabras: ¿esa información personal es brindada por sus clientes a un grupo heterogéneo de bancos, profesionales de salud y organismos gubernamentales? Hay una chance de que sus destinatarios, que incluso podrían ser su propio personal, la almacenen sin filtro, que sea accesible y se esté desprotegida dentro de sus servidores.

Barriers that are Preventing More Extensive Use of EncryptionAterrador, ¿verdad?

Para ayudar a entender la otra cara de la moneda, le planteamos algunas preguntas a los clientes sobre su disposición a proporcionar información personal tanto digitalmente como en las primeras citas. Los resultados fueron sorprendentes – los encuestados estuvieron más que dispuestos a proporcionar información personal, desde su nombre completo hasta su tarjeta SIN en ambas situaciones.

¿Entonces qué?

Cuando se mezclan, nos quedamos con dos narrativas que cuentan una historia de dos ciudades. Y esto es un desastre, pero no tan cifrado como parece. Por el contrario, parece haber una desconexión entre nuestras ganas de adoptar el cifrado y la aplicación en nuestras vidas laborales.

Por ejemplo, más de la mitad de los profesionales IT encuestados respondieron favorablemente a adoptar el cifrado -perfilando la tecnología de privacidad como lo más importante o crucial para sus organizaciones. Y cerca de tres cuartos de este grupo indicaron que están activamente construyendo estrategias de cifrado. ¿Parece progresivo?

Y la realidad impacta: solo la mitad de ellos están a favor del mejoramiento de la privacidad de la información. La otra mitad, casi un 50 por ciento definido, admiten que defienden el cifrado para satisfacer las regulaciones de privacidad y evitar infracciones costosas – no porque realmente estén preocupados por proteger los datos confidenciales de los clientes.

La falta de entusiasmo por aplicar el cifrado se extiende a través de todas sus organizaciones – con el solo 40 por ciento de las organizaciones usando de sus tecnologías de cifrados existentes extensivamente. Y el área en la que hacen énfasis en el cifrado, en las comunicaciones externas, aparentemente no es suficiente ya que muchas organizaciones ahora están trasladando sus servidores de correo electrónico a la nube – lo cual hace aún que las comunicaciones internas se conviertan en externas por naturaleza.

Aun así, los clientes siguen confiando en ti sin cifrado.

Mientras tres cuartas partes de los clientes saben lo que significa el cifrado y por qué existe, el 45 por ciento de ellos continúa enviando datos personales a través de correo electrónico abierto – y confían mucho en las personas a las que se los envían. Como por ejemplo, la seguridad de un correo electrónico. A pesar del aumento de spear phishing y otros ataques relacionados con el correo electrónico para extraer datos personales, la persona promedio evalúa la seguridad de un correo electrónico en menos de treinta segundos.
¿Tú entregarías información personal a alguien en la calle en menos de 30 segundos? Suena loco, pero de acuerdo con la información de las encuestas, la persona promedio lo haría. ¿Sabías que, por ejemplo, cerca de un cuarto de las personas comúnmente comparten sus verdaderas fechas de cumpleaños, correos electrónicos, nombres completos y números de teléfonos en la primera cita? Y estas cifras preocupantes son aún más elevadas entre los hombres, el 12 por ciento de los cuáles tienen la misma probabilidad de revelar su número de tarjeta SIN en una primera cita para presumir de su salario.

Y esto no termina ahí.

Cuando se trata de formularios online, más de tres cuartos de sus clientes admiten proporcionar datos personales confidenciales. Y, considerando que ellos se toman medio minuto para inspeccionar si el formulario online es seguro, la cantidad de detalles que ellos proveen es alarmante.

¿Sabía que, por ejemplo, más del 10 por ciento de sus clientes están cómodos entregando sus números PIN bancario a través de formularios online?  ¿O que otro 34 por ciento de ellos ha dado su número de tarjeta SIN? ¿Y que un pequeño, pero más confiado 5% divulga voluntariamente su número de pasaporte cuando se lo solicitan formularios sin rostro?

¿Pero por qué esto importa en tu negocio al final del día?

Las filtraciones de datos son líos costosos de arreglar y ocurren más a menudo de lo que cree – casi un cuarto de las personas admite haber sido víctima de robo de información personal. Además de las masivas multas que ascienden a decenas de millones de dólares y las grandes demandas colectivas, una infracción de alto perfil puede causarle un daño irreparable a la confianza en su marca.

El proporcionarles a sus clientes y empleados una solución de cifrado concisa pero compleja y de alto rendimiento puede ayudar a aliviar algunos de los problemas de privacidad que existan en su organización, especialmente en dispositivos móviles. Las nuevas plataformas de cifrado se integran fácilmente con los sistemas de IT existentes y ofrecen múltiples métodos flexibles para proteger la información en tránsito.

En resumen, el cifrado importa, y los profesionales de IT lo entienden – incluso si sus razones se encuentran al final de su conformidad. Sin embargo, realmente aplicar el cifrado en toda su organización es un problema completamente diferente y se basa en hacer que su proceso de privacidad sea más optimizado y menos molesto para los usuarios. Aun así, los beneficios de prepararse para la privacidad son enormes – y sus esfuerzos se notarán.

Descubra algunas de las creativas maneras en las que las organizaciones están usando nuestra plataforma de cifrado Echoworx OneWorld para asegurar el tránsito seguro de la entrega de millones de declaraciones electrónicas hasta de documentos de incorporación de nuevos clientes. Las aplicaciones proactivas del cifrado son infinitas y son automatizadas, ideales para aquellas ocasiones en las que comportamiento de sus empleados no puede serlo.

 

Por Nicholas Sawarna, ‎Especialista Senior en Marketing de contenidos, Echoworx

17 Abr 2018

ECHOWORX IMPLEMENTA LA ENTREGA SEGURA DE DOCUMENTOS A GRANEL, ESTIMULANDO LOS PROCESOS DE NEGOCIO SENSIBLES

CONFERENCIA RSA – SAN FRANCISCO, CALIFORNIA –Empresas e instituciones de todo el mundo están adoptando la plataforma de cifrado OneWorld de Echoworx para garantizar que sus datos importantes estén protegidos. Y ahora al habilitar la función Secure Bulk Mail (SBM) dentro de OneWorld, las organizaciones pueden optimizar sus operaciones comerciales sabiendo que sus comunicaciones son seguras.

El presidente y director ejecutivo de Echoworx, Michael Ginsberg, dice que el cifrado se ha convertido en parte del proceso comercial normal para evitar las filtraciones de datos y los ciberataques, y su uso para automatizar los procesos ha sido una evolución natural. OneWorld ofrece a las organizaciones de todo el mundo una solución de cifrado única, flexible y fácil de usar que puede integrarse en su infraestructura existente.

“En los últimos cinco años, el cifrado se ha generalizado, y debido a su uso ampliado, está pasando de ser un proceso individual y manual a ser parte de los procesos comerciales cotidianos”, dice Ginsberg. “Ahora tenemos las herramientas para permitir que una institución o compañía automatice la entrega segura de documentos a granel generando correos electrónicos personalizados y aprovechando la multitud de métodos de cifrado y funciones de reporte de OneWorld, lo que le ahorra una gran carga a la institución”.

Las organizaciones que usan la plataforma de cifrado avanzada Echoworx obtienen los beneficios de poder comunicarse con clientes y socios de forma rápida y segura. La plataforma ofrece a las grandes instituciones, como las del sector financiero, formas nuevas y mejoradas de captar clientes y aumentar la cuota de mercado ofreciendo servicios seguros como declaraciones electrónicas. Documentos como estados financieros y registros de salud solían enviarse por correo postal o fax, pero la función SBM de OneWorld facilita un sistema sin papel, eliminando el costo y el manejo de las transacciones en papel y mejorando la experiencia del cliente.

“El cambio del correo en papel al correo electrónico es fácil de adoptar para cualquier institución”, dice Ginsberg. “La mayoría de los consumidores preferiría recibir estados de cuenta por correo electrónico, pero la información confidencial debe mantenerse privada, por lo que necesita encriptación. Añadimos una función segura de envío masivo a pedido de nuestros clientes, que nos pidieron que vayamos un paso más allá y abordemos la entrega de documentos a granel también”.

Mientras que otros servicios limitan cómo se envían los documentos cifrados, las organizaciones que usan SBM de Echoworx obtienen todas las opciones y beneficios de la plataforma de cifrado OneWorld, como métodos de encriptación múltiple para garantizar comunicaciones sin interrupciones a una variedad de destinatarios, incluyendo TLS, S/MIME o cifrado PGP, PDF seguro (mensaje completo), PDF seguro con archivos Zip seguros y Portal web cifrado.

Utilizando servicios en la nube, Echoworx no está restringido por recursos físicos o mantenimiento de infraestructura intensivo de TI. Su plataforma de cifrado líder en la industria puede estar en funcionamiento en una jurisdicción dentro de un corto período de tiempo, a un costo económico. Para saber cómo Echoworx está emergiendo como líder mundial en seguridad de correo electrónico, visite el Booth 2019 en la Conferencia RSA del 16 al 20 de abril en el Moscone Center en San Francisco, California.

—-

Sobre Echoworx

Exhoworx es una ruta de confianza para comunicaciones seguras. Como proveedor de soluciones de encriptación de pure-play, Echoworx trabaja con profesionales de finanzas, gobierno, salud, legales y cumplimiento para diseñar soluciones de comunicación seguras que no impidan la experiencia del cliente. Nuestra plataforma de encriptación escalable OneWorld puede abordar múltiples usos en toda una organización. Nuestros expertos en encriptación se enorgullecen de transformar el caos en orden para las principales empresas multinacionales que utilizan nuestra plataforma de encriptación SaaS.


Contacto para los medios

Lorena Magee, Vicepresidente de Marketing
media@echoworx.com
416 226-8600

14 Abr 2018
Exchanging files

Trabajar En La Nube: Cómo Asegurar El Intercambio De Archivos Grandes

Intercambio de archivos: suena muy fácil. Pero si observa la multitud de actividades de intercambio de archivos en una organización típica de hoy, comenzará a comprender el desafío.

Primero, está el tamaño.

Las configuraciones de correo electrónico típicas restringen los tamaños de los archivos adjuntos a 20 MB o menos, lo que no es realista para el tamaño real de los archivos que se envían hoy. En el pasado, intercambiar un archivo de 20 MB no era común. Hoy nuestros clientes comparten de manera regular archivos de más de 100 MB con destinatarios en todo el mundo.

Esto da lugar a otro problema: el rendimiento.  El correo electrónico nunca fue diseñado para manejar archivos extremadamente grandes, por lo tanto, cuando lo hace, a menudo conduce a problemas de entrega y de rendimiento de la red.  Todos lo hemos experimentado. Envía un mensaje con un archivo adjunto grande solo para obtener un mensaje no entregado después de horas, tal vez incluso días más tarde.  En la actualidad, la mayoría de las políticas corporativas le impiden incluso adjuntar archivos de un cierto tamaño en el momento del envío.

Guiándonos a la seguridad.

Compartir archivos usando FTP es demasiado “técnico” y difícil de usar para la mayoría de los clientes y en los escenarios B2C para nada lo és; también es un proceso manual.

Cualquier solicitud para habilitar una cuenta de FTP requiere la configuración de reglas de firewall para permitir la carga y descarga de archivos, así como la revisión y aprobación de seguridad.

Además, carecen de procesos automatizados como avisos de verificación. Pida a operaciones que abran solo unos pocos puertos, como FTP, para permitir transferencias de archivos: vea cuántos de ellos se aprueban rápidamente.

Un informe reciente de Verizon citaba que el 58% de las infracciones de datos de Healthcare PHI fueron causadas por personas internas: el 29,5% provenía de un uso indebido.

Conduciéndonos hasta – Sí, servicios de archivos compartidos no compatibles. Estas soluciones han llegado a compañías de todos los tamaños. No se equivoquen, sus usuarios siempre seguirán el camino de menor resistencia. Es un dilema clásico: un empleado, sin opciones para compartir archivos o correos electrónicos fallidos, recurre a soluciones externas, en alguna parte, para que puedan “eficientemente” compartir archivos.

Pero el punto de inflexión para la mayoría – auditorías.  Las regulaciones globales en evolución, como GDPR, Ley Dodd-Frank, exigen que las instituciones financieras mantengan informes sobre quién accedió a qué archivos y cuándo se realizó.

Al aprovechar las capacidades de portal de archivos grandes de nuestra plataforma de cifrado, las empresas tienen control total sobre los archivos de gran tamaño que necesitan para comunicarse.

Los empleados simplemente inician sesión en el portal seguro de webmail donde adjuntan uno o más archivos grandes junto con una nota adjunta. Luego, los archivos se cifran en el portal y se envía un mensaje de notificación al destinatario, que incluye un enlace al portal con funcionalidad completa de auditoría y recuperación, lo que permite a los usuarios compartir fácilmente dentro de las normas del gobierno corporativo y las políticas de la empresa.

Puede ver un ejemplo de cómo funciona viendo esta breve demostración de video.

Por Christian Peel, Vicepresidente de Ingeniería de Cliente, Echoworx

10 Abr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

La calma antes de la tormenta: “la ley de la nube” (Cloud Act)

Los últimos acontecimientos en el juicio entre el Gobierno de E.E.U.U. y Microsoft tienen impacto sobre las compañías que ofrecen servicios a nivel mundial. La Ley del Uso de Información en el Extranjero para Clarificar la Legalidad (Cloud Act) apunta a simplificar la forma en la que los grupos de garantes de la aplicación de la ley pueden conseguir información personal almacenada por compañías tecnológicas estadounidenses.

Qué Ha Ocurrido:

En diciembre del 2013, un Juez Magistrado de los Estados Unidos emitió una orden judicial apoyándose en la Ley de Comunicaciones Almacenadas (SCA) para que Microsoft divulgara información que tenía almacenada en un Centro de Datos en Irlanda[i]. Microsoft se negó a cumplir con la orden judicial que le requería entregar información almacenada en su Centro de Datos en Irlanda y alegó que dicha orden violaba la Ley Europea.

Microsoft apeló la decisión en el Tribunal para el Segundo Circuito, donde se recibieron peticiones de apoyo a Microsoft de varias partes. El Gobierno irlandés presentó un informe declarando que la orden violaba la Directiva General de Protección de Datos de la Unión Europea y las propias Leyes de Privacidad de Irlanda, y que el Gobierno estadounidense debería haber usado el antiguo Tratado de Asistencia Legal Mutua que existe entre ambos países. El tratado permite que se la colecte información según lo dicten las órdenes judiciales locales. El Segundo Circuito estadounidense falló a favor de Microsoft y el Ministerio de Justicia de los Estados Unidos apeló en la Corte Suprema.

Los alegatos orales sobre el caso fueron escuchados el día 27 de febrero. Sin embargo, en marzo, el Congreso de los Estados Unidos aprobó y el Presidente firmó la Ley del Uso de Información en el Extranjero para Clarificar la Legalidad[ii] (Ley CLOUD). Esta ley emendó la Ley de Comunicaciones Almacenadas (SCA) para poder exigirle a los proveedores de servicios estadounidenses que entreguen los datos que tienen en su poder sin importar en qué parte del mundo se encuentre los mismos. Respaldándose en este acontecimiento, el Ministerio de Justicia de los Estados Unidos le pidió a la Corte Suprema que desestimara el caso como obsoleto y Microsoft no se opuso.

Inclusive desde antes de esta decisión, se plantearon preguntas importantes con respecto al acceso que el Gobierno estadounidense tiene a la información de los ciudadanos en otros países. El Grupo de Trabajo del Artículo 29[iii] había difundido un informe[iv] cuestionando la adherencia de los Estados Unidos a los requisitos de los acuerdos del Escudo de Privacidad entre E.E.U.U. y la UE. En el informe, se recomendó que E.E.U.U. y la UE negocien nuevamente con el fin de desarrollar un plan para cerrar algunas brechas identificadas. Si no se toma acción, el Grupo de Trabajo advirtió que llevaría el problema a juicio para que el acuerdo del Escudo de Privacidad quede invalidado.

Impacto sobre el Mercado:

Todo esto está ocurriendo en el contexto de la entrada en vigor de la Regulación para la Protección General de Datos de la UE que tiene requisitos estrictos para las compañías que trabajan con la información de los residentes de la UE. Específicamente, el Artículo 48 de la Regulación para la Protección General de Datos de la UE afirma que:

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Esto directamente contradice a los requisitos de la Ley CLOUD que anulan de forma directa la necesidad de usar el enfoque contemplado por el MLAT.

Naturalmente, esto deja muchas preguntas sin resolver, como qué leyes y las de quiénes tienen mayor relevancia y en qué estado quedan los tratados sobre los que ya se habían hecho acuerdos anteriormente, entre otras preguntas más. También es probable que las compañías estadounidenses se vean afectadas significativamente a medida que los usuarios se vayan cambiando a proveedores de servicios de nube en sus jurisdicciones locales – o al menos aquellos usuarios en jurisdicciones sin semejantes enredos legales.

Por David Broad CISSP, Auditor Jefe de Sistemas de Gestión de la Seguridad de la Información, Echoworx

Referencias:

[i] https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)

[ii] https://www.congress.gov/bill/115th-congress/house-bill/4943/text

[iii] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

[iv] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782

21 Mar 2018

ECHOWORX EXPANDE EL NEGOCIO DE CIFRADO A LA REGIÓN DESATENDIDA DE ASIA Y EL PACÍFICO

Cloud Security Expo, Londres (UK) – El proveedor de cifrado de correo electrónico Echoworx continúa expandiendo sus operaciones en todo el mundo, con los países de Asia y el Pacífico (APAC) como la última región en beneficiarse de la plataforma de comunicación segura OneWorld de Echoworx.

Con centros de datos en México, Reino Unido, Canadá, Estados Unidos, Irlanda y Australia, esta primavera, OneWorld ofrece a las organizaciones de todo el mundo una solución de cifrado única, flexible y fácil de usar que se puede integrar en sus infraestructuras existentes. Para saber cómo Echoworx se perfila como un líder mundial en seguridad de correo electrónico, visite el stand S2715 en la Cloud Security Expo del 21 al 22 de marzo en el ExCel Center en Londres, Inglaterra.

Existe una necesidad urgente de soluciones de seguridad de datos en APAC. Un nuevo estudio de Marsh & McLennan Companies descubrió que la región de Asia-Pacífico tiene la peor seguridad cibernética del mundo. La mayoría de las infracciones nunca se hacen públicas y el tiempo de descubrimiento en promedio fue 520 días; el promedio global es de solo 146 días

El presidente y gerente general de Echoworx, Michael Ginsberg, dice que las compañías en más países están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos, y APAC es un mercado desatendido.

“Nos mudamos a México para servir a América Latina y somos una de las pocas compañías de cifrado en ese mercado”, dice Ginsberg. “Tenemos una ventaja como primer compañía presente allí y nos gustaría aprovechar esa postura en APAC, empezando en Australia”.

Las organizaciones que usan las soluciones avanzadas de Echoworx obtienen los beneficios de poder comunicarse con clientes y socios de forma rápida y segura. Las grandes instituciones, como las del sector financiero, tienen formas nuevas y mejoradas de captar clientes y aumentar la cuota de mercado ofreciendo servicios seguros como declaraciones electrónicas.

Echoworx puede abordar otra preocupación creciente entre los clientes en diversas partes del mundo: que sus datos se almacenan en su jurisdicción y no en otro país o región.

“Las diferentes áreas tienen diferentes plazos de vencimiento y diferentes preocupaciones, como dónde se encuentran sus datos”, dice Ginsberg. “La conciencia jurisdiccional es una gran decisión de compra de seguridad en lo que respecta a los datos de los países”.

Ginsberg dice que Australia será el punto de partida para las operaciones de Echoworx en APAC, con planes de tener un centro de datos operativo a mediados de mayo, con Indonesia o Japón como próximos destinos en la agenda.

“Con el advenimiento de la administración de la nube, tenemos la capacidad de estar en una jurisdicción en muy poco tiempo y de manera económica”, dice Ginsberg. “Al utilizar los servicios de la nube, ya no estamos restringidos por los recursos físicos o el mantenimiento de infraestructura intensivo de TI, lo que nos permite centrarnos al 100% en cómo podemos ayudar a nuestros clientes a comunicarse mejor con el mundo exterior de una manera segura”.

La Unión Europea (UE) es otra área que se beneficiará de la plataforma Echoworx OneWorld, ya que el cifrado es una solución lógica para las empresas en la UE y aunque no es obligatoria ni la única solución, el GDPR fomenta su uso como una mejor práctica para proteger información de infracciones. Para conocer cómo su organización puede proteger mejor sus datos importantes de los ataques, visite el  stand  # S2715,  tome un café con leche y siéntese en una de nuestras presentaciones.

No se pierda la sesión de Echoworx, 10 maneras de aprovechar el cifrado tomando el primer enfoque para el cliente, ¡en la guía Get GDPR Ready! (Esté listo con el GDPR) Risk, Compliance Theater el 21 de marzo de 2019 de 13:20 a 13:45 con Steve Davis, arquitecto de soluciones.

Con muchas áreas en todo el mundo que necesitan aumentar la seguridad de la información a medida que más organizaciones se dan cuenta de la importancia de proteger sus datos, Echoworx tiene la intención de aprovechar su experiencia en seguridad de la comunicación.

“Para nuestra empresa, este tipo de oportunidades nos permitirá ser verdaderamente globales”, dice Ginsberg.

—-

Acerca de Echoworx

Exhoworx es una ruta de confianza para comunicaciones seguras. Como proveedor de soluciones de encriptación de pure-play, Echoworx trabaja con profesionales de finanzas, gobierno, salud, legales y cumplimiento para diseñar soluciones de comunicación seguras que no impidan la experiencia del cliente. Nuestra plataforma de encriptación escalable OneWorld puede abordar múltiples usos en toda una organización. Nuestros expertos en encriptación se enorgullecen de transformar el caos en orden para las principales empresas multinacionales que utilizan nuestra plataforma de encriptación SaaS. Visítenos en Echoworx.com


Contacto para los medios

Lorena Magee, VP Marketing
media@echoworx.com
416 226-8600