14 Sep 2016
paperless billing

¿CÓMO PODEMOS CONVERTIR MÁS CLIENTES A FACTURACIÓN ELECTRÓNICA?

Pregúntale a cualquiera en la calle, y probablemente te digan que el uso de facturas y declaraciones electrónicas o sin papel es algo bueno. Cuando se presentó hace más de una década, se promocionaba la facturación electrónica como un salvador del medio ambiente; al conducir a más clientes en la web para recibir y pagar sus facturas, se utilizan menos recursos naturales y se introducen menos desechos en el medioambiente. Sin embargo, más allá de esta adopción inicial de clientes que quieren «ecologizar», la facturación electrónica como la forma singular de recibir una factura o extracto de instituciones financieras, organizaciones de atención médica, proveedores de telecomunicaciones y otros emisores de facturas, ha permanecido estancada, con un crecimiento prácticamente sin cambios. los últimos años, según una investigación reciente de InfoTrends.

En un informe aparte, la firma de investigación Javelin dice que la cantidad de consumidores que reciben tanto una declaración impresa como digital también se mantuvo estable de 2010 a 2015; casi uno de cada cuatro clientes de instituciones financieras y quienes pagan facturas aún reciben estados de cuenta en línea y en papel cada mes. Estos «doble cucharones» quieren la conveniencia y el recordatorio de una factura en papel, pero a menudo optan por pagar sus facturas en línea en lugar de responder con un pago enviado por correo. Javelin llama a esta disparidad, la brecha entre los clientes que recibieron facturas en papel y posteriormente pagar en línea, la «brecha de comunicaciones digitales«. Y ese porcentaje de usuarios, 34% en 2014 y 2015, en realidad muestra un ligero aumento en los últimos tres años. Cerrar esa brecha podría significar un ahorro de $2,2 mil millones durante los próximos cinco años, informa Javelin.

Entonces, ¿por qué los clientes pagan cada vez más sus facturas en línea (un aumento del 18% en el pago de facturas en línea de 2010 a 2015), pero no eligen recibir sus facturas solo por medios electrónicos también? Según InfoTrends, las razones son dos:

• Los consumidores quieren la copia impresa de las facturas y las declaraciones de sus registros (el 53% de los encuestados), y como recordatorio de que deben pagar sus facturas (45%).
• La experiencia digital de hoy no es amigable para el consumidor: los clientes deben recordar múltiples ID de usuario y contraseñas, y usar sitios web con diferentes navegabilidades y plazos de retención de documentos.

Al mismo tiempo, la estrategia de mercadeo para impulsar la adopción de transacciones electrónicas permanece sin cambios, ya que las empresas continúan impulsando los beneficios ambientales y la «reducción del desorden» de los pagos de facturas en línea en lugar de intentar una estrategia transformacional para alentar la adopción. Irónicamente, las empresas se muestran continuamente optimistas sobre el crecimiento de la facturación electrónica, año tras año que predice aumentos en la adopción, sin realizar ningún cambio en sus procesos.

Se envían más de 500 mil millones de facturas anuales y la tasa aumenta un 2-3% anual, según el grupo de investigación Billentis, entonces el problema solo empeorará. Cuando InfoTrends preguntó por las diversas razones por las que no adoptaron la facturación electrónica y las declaraciones, el 21% de los clientes encuestados dijeron que su proveedor no ofreció la opción, el 11% citó que sus proveedores no los incentivaron lo suficiente como para dejar de recibir facturas en papel. 10% dijo que sus proveedores dificultan el cambio. Estos son porcentajes relativamente bajos, en comparación con algunas de las principales respuestas citadas anteriormente, que además de querer copias impresas y un recordatorio para pagar, también prefieren las copias impresas como medida de seguridad (24%).

Claramente, hay una desconexión entre los remitentes y los destinatarios. Si la solución no es facilitar que los clientes se registren para que no tengan papel (ya que solo el 10% citó esto como una razón), ¿qué causará una aceptación significativa en la facturación electrónica que ponga a las empresas en la misma página que sus clientes?

Es un problema de negocios y requiere una solución de negocios, una que tenga una postura mucho más firme sobre los beneficios para ambas partes al ir sin papel. Según InfoTrends, se necesita un enfoque transformador para ver resultados reales, uno que vaya más allá del aspecto «verde» de la facturación electrónica. Esto puede incluir:

• Hacer que el uso de papel sea el valor predeterminado para clientes nuevos o de doble inmersión, y exigirles que vuelvan a optar por recibir facturas en papel.
• Actualización de políticas para incluir el cobro de una tarifa de servicio por facturas en papel.
• Brindar la opción de consolidar sus facturas en papel (o sin papel) bajo un solo proveedor, como un banco u otra fuente.
• Ofrecer puntos de fidelidad, otros incentivos y una experiencia mejorada para clientes “sin papel”

En general, las empresas necesitan proporcionar más opciones en toda la empresa para ofrecer una mejor experiencia digital en todas las comunicaciones que envían a los clientes, no solo facturas o estados de cuenta, ya que de acuerdo con el Según el informe de Billentis, las empresas envían más de cinco a 15 veces el volumen de «documentos y mensajes similares a las facturas» que las facturas reales. Estas opciones también deben incluir la expansión de entrega segura de documentos electrónicos para que los clientes puedan recibir fácilmente sus documentos confidenciales cifrados de la compañía directamente desde su bandeja de entrada.
¿Alguna vez la industria se volverá completamente sin papel? Probablemente no, a menos que estos cambios transformadores se implementen rápidamente. Pero las recompensas están ahí para las empresas que toman en serio el proceso de transformación: cerrar la Brecha de Compromiso Digital podría significar un ahorro para toda la industria de $2,2 mil millones en los próximos cinco años.

Por Jacob Ginsberg, Director Senior de Productos, Echoworx

07 Sep 2016
Protect clients

UNA SOLA VULNERABILIDAD ES TODO LO QUE NECESITA UN DELINCUENTE CIBERNÉTICO

Hemos estado en una guerra contra delincuentes cibernéticos y violaciones de datos desde 1900 cuando el mago e inventor Nevil Maskelyne interrumpió una demostración pública de la supuestamente segura tecnología de telegrafía inalámbrica de Guglielmo Marconi, enviando insultantes mensajes en código Morse a través del proyector del auditorio. La situación solo ha empeorado hoy.

Millones de transacciones en línea se realizan todos los días; miles de millones de correos electrónicos se envían cada año. Con el uso masivo de Internet, también existe un gran riesgo de violación. Mirando los titulares, donde se informa de una brecha de alto perfil de vez en cuando, la falta de confianza en la seguridad de los datos no es una sorpresa. El 62% de los consumidores no cree que su actividad en Internet sea privada. Los hallazgos publicados por la Administración Nacional de Telecomunicaciones e Información del Departamento de Comercio de Estados Unidos en julio de 2015 y por la Oficina del Censo de Estados Unidos encontraron que los consumidores están tan preocupados con la privacidad y seguridad en Internet que su hogar optó por no participar en ciertas actividades en línea.

El 45% de los hogares en la web informaron que estas preocupaciones les impidieron realizar transacciones financieras, comprar bienes o servicios, publicar en las redes sociales o expresar opiniones sobre cuestiones políticas o controversiales a través de Internet. Por otra parte, las industrias altamente reguladas se han convertido en objetivos principales para las amenazas a la seguridad del correo electrónico ahora.

Descarga nuestro REPORTE | ¿Cuánto confías en el Email?

Dado el estado actual, la responsabilidad de proteger a los clientes, así como a sus empresas, recae sobre los hombros de las corporaciones. Es necesario un cifrado fuerte para proteger la privacidad de los datos de los clientes. La solución de cifrado de Echoworx se asegurará de que todos los correos electrónicos confidenciales que salen de una organización estén cifrados. Tenemos que luchar por la ciberseguridad colectivamente.

Por Will Nathan, Ejecutivo de Cuentas Empresariales, Echoworx

09 Ago 2016
Private data

¡ESTAFADORES, HACKERS Y LADRONES!

Ya es oficial: La mayoría de los consumidores no sienten que su información está efectivamente permaneciendo privada.

Mirando los titulares, donde las violaciones de seguridad de alto perfil son documentadas una tras otra, la falta de confianza en la seguridad de la información no es una sorpresa. Sea a través de una violación corporativa, donde la información confidencial de los consumidores es revelada como parte de miles de registros robados o mal manejados, o a través de un ataque que ellos mismos inician por uso inapropiado de su computadora personal o teléfono celular, o cualquier caso intermedio, las violaciones han causado que la desconfianza del cliente se vuelva más agresiva cuando se trata de si su información personal se está protegiendo. Esto está enfatizado en un reporte de una Encuesta Global acerca de la Seguridad y la Confianza en el Internet de CIGI-Ipsos, en el cual solo un 38% de los consumidores encuestados confían que sus actividades en el internet no están siendo monitoreadas.

Detente por un momento y piensa cuánto de nuestras vidas se maneja en la web, o se conecta de alguna manera. Cuando te levantas en la mañana, probablemente checas el correo electrónico personal o quizás del trabajo en una Tablet o dispositivo móvil. Quizás actualices Facebook, Instagram, o Twitter. Quizás le preguntes a tu Amazon Echo cómo está el clima o el tráfico en la vía al trabajo. Quizás quieras realizar un pedido en línea, u ordenar un suministro de papel higiénico. Camino al trabajo, quizás uses un dispositivo Bluetooth para escuchar mensajes de voz o ponerte al día con los titulares de noticias. Cuando la gran mayoría de nuestras vidas se maneja en la web, ¿cómo es que la industria ha llegado al punto en que los consumidores que adquirieron estos productos de “visión conectada” no se sientes seguros en la web?

Symantec condujo una encuesta acerca de la privacidad en la Unión Europea, y encontró que el 59% de los encuestados han experimentado un problema de protección de información en el pasado. Problemas reportados incluyen haber sido notificado de una violación a la seguridad de una compañía que tenía acceso a su información personal, haber tenido una cuenta de correo electrónico o redes sociales hackeada, haber tenido información bancaria robada, haber sido víctima de robo de identidad online, haber sido infectado por un virus informático, o haber respondido a una estafa online o correo falso. En promedio, 57% de los encuestados reportaron estar preocupados de que su información no está segura.

La Administración Nacional de Telecomunicaciones e Información – NTIA (National Telecommunications & Information Administration), sacó en mayo un reporte que correlaciona cuán conectados estamos en la web con un riesgo más alto de violaciones de seguridad. El reporte encontró que, mientras que en 9% de los hogares donde se utiliza solo un tipo de equipo de computación (como computadores de escritorio, portátiles, tablets, celulares conectados al internet, ropa tecnológica o dispositivos vestibles, o televisores conectados a internet) se reportó una violación a la seguridad, 31% de ellos que usaban más de cinco tipos distintos de dispositivos presentaron una violación.

Adicional a esto, existe un potencial impacto económico a la desconfianza del consumidor. El reporte también encontró que los consumidores están tan preocupados por la privacidad y la seguridad en el Internet, que sus hogares decidieron no participar de ciertas actividades en la web. 45% de hogares online reportaron que estas preocupaciones evitaron que realizaran actividades financieras, compraran bienes o servicios, publicaran en redes sociales, o expresaran opiniones en temas políticos o controversiales en el Internet, y 30% de ellos se rehusaron a realizar al menos dos de dichas actividades. En hogares donde se presentaron violaciones a la seguridad, estos porcentajes son incluso mayores.

Estos miedos y desconfianza son bien fundados. En el Reporte de Amenazas a la Seguridad en el Internet de Symantec de Abril de 2016 (ISTR), la firma de seguridad estimó que si todas las violaciones ocurridas en 2015 reportaran el número de consumidores impactados a nivel mundial, sería un total de 500 millones de personas.

La información financiera, como los números en una tarjeta de crédito, es aún muy valorada, aunque su valor individual por tarjeta está disminuyendo debido a que su vida útil es corta pues las compañías de tarjetas de crédito y los dueños de las mismas están usando tecnologías para eliminar las transacciones fraudulentas de manera rápida. En cambio, la nueva información deseada es la contenida en organizaciones aseguradoras, gubernamentales, y sanitarias, y está siendo elegida como blanco. Mientras más detalles tenga alguien acerca de un individuo, más fácil es cometer fraude de identidad, y apuntar a estos grupos le otorga al criminal perfiles más completos de los individuos. Los nombres reales son todavía el tipo más común (78%) de información revelada según la ISTR, seguido de la dirección de residencia, la fecha de nacimiento, documentos de identidad (como el número del Seguro Social), registros médicos, e información financiera.

Los negocios pueden y deben estar haciendo mucho más para asegurar la información privada y, muchas veces, sensible de los clientes, reduciendo el riesgo para todos. La historia ha demostrado que las soluciones de cifrado -incluyendo el cifrado de correos- se están implementando de manera adecuada, y funcionan bien. Pero las comunicaciones con clientes requieren de un conjunto distinto de criterios que las comunicaciones internas o las comunicaciones con asociados. La experiencia de usuario es clave, según una información de investigación reciente de Gartner, los consumidores son propensos a negarse a la instalación de software o aplicaciones de terceros para acceder a contenido asegurado en sus dispositivos.

En resumen, los consumidores se han vuelto mucho más conscientes acerca de sus actividades online, y saben que controlar dichas actividades aporta a la protección de su privacidad. Sin embargo, las organizaciones con las que ellos comparten negocios necesitan tomar la seguridad de la información privada de los clientes con la misma seriedad, e invertir el tiempo, esfuerzo, y capital en asegurar dicha seguridad.

Descarga nuestro REPORTE | Estafadores, Hackers y Ladrones

Por Greg Aligiannis, Director Senior de Seguridad en Echoworx

22 Jul 2016
Global encryption market

DELANTE DEL MERCADO, DELANTE DE LA COMPETENCIA

Echoworx ha logrado su tercer año consecutivo de crecimiento superior al 30%, superando las expectativas en el mercado.

«Como innovador privado a la vanguardia de la industria del cifrado, nos enorgullece que Echoworx continúe superando las expectativas del mercado», dice el jefe de operaciones (COO) de Echoworx, Harry Enchin. «Estamos en una posición única y hemos contribuido al rendimiento excepcional de nuestra empresa».

Se espera que el mercado global de cifrado de correo electrónico crezca fuertemente, según la investigación de Technavio, con una tasa de crecimiento anual compuesto CAGR (Compound Annual Growth Rate) de más del 23%. Si bien el correo electrónico es uno de los modos de comunicación más importantes, también es muy vulnerable, especialmente con el uso creciente de dispositivos móviles para la comunicación personal y professional.
La «Guía de Mercado del Cifrado de Correo Electrónico» de Gartner destaca una demanda vigorizada de soluciones de cifrado sólidas. Las principales conclusiones del informe muestran una necesidad en rápido crecimiento de soluciones que sean fáciles de usar, admitan la transferencia de archivos grandes y se integren con soluciones de prevención de fugas de datos – DLP (Data Leakage Prevention). Para las comunicaciones de negocio a consumidor – B2C (Business to Consumer) en particular, se hace hincapié en las soluciones con facilidad de uso, la capacidad de integrarse con los métodos de autenticación existentes y la marca consistente para niveles más altos de confianza.
La solución de comunicación digital segura de Echoworx permite a los empleados y socios externos intercambiar mensajes y archivos confidenciales de forma segura desde la computadora de escritorio o dispositivos móviles, lo que permite a negocios digitales cumplir con la normativa y proteger a los clientes y a las fuentes de ingresos.

«Con el aumento de la demanda del mercado para el intercambio de documentos y mensajes cifrados seguros y fáciles de usar, confiamos en que Echoworx continuará superando las expectativas de crecimiento del mercado», dice Enchin. «Tenemos la intención de continuar nuestra posición como líderes y defensores sólidos del cifrado en esta creciente industria».

Para saber qué tanto el cifrado y la gestión de claves efectivamente aplicados y fuertes permiten el negocio digital sin sacrificar el rendimiento o la experiencia del usuario:

Acompáñanos para una demostración en vivo

Aviso Legal de Gartner: Gartner no avala a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

 

16 Jul 2016
secure confidential information

¿POR QUÉ NUNCA RECIBO CORREOS ELECTRÓNICOS SEGUROS DE PARTE DE MI INSTITUCIÓN FINANCIERA?

El correo electrónico es una de las aplicaciones más utilizadas en Internet debido a su conveniencia, rentabilidad y capacidad de ahorro de tiempo. Debido a su naturaleza ubicua, el correo electrónico está abierto a muchos tipos de vulnerabilidades.

La buena noticia es que también hay muchas maneras de protegerse contra las vulnerabilidades del correo electrónico. Quiero centrarme en una vulnerabilidad muy importante: cómo proteger la información confidencial en los correos electrónicos. La mejor manera de asegurarse de que la información confidencial enviada en un correo electrónico sea segura: el cifrado. Esto no debería sorprender a nadie que entienda la tecnología de seguridad.

Por lo tanto, te pregunto «¿Por qué no recibo la comunicación cifrada de mi asesor de inversiones o mi banquero privado?» Las instituciones financieras son esencialmente compañías de tecnología. Sin duda, deberían comprender cómo se puede utilizar la tecnología del cifrado para garantizar la privacidad y mantener la confianza del cliente.

Lamento decir que el cifrado rara vez es utilizada por mi institución financiera al intercambiar información confidencial conmigo. Cuando me envían una hoja de cálculo como un archivo adjunto de correo electrónico, para ingresar mi información financiera para una solicitud de hipoteca, ¿no debería ser segura? Enviar este tipo de datos confidenciales sin cifrar a través de correo electrónico abierto ciertamente no es una buena práctica, pero desafortunadamente es una práctica común.

Piensa por un momento en los problemas de cumplimiento normativo que podrían desatar su fea reputación o incluso el riesgo a la reputación que Dios no permita se desarrolle. Obviamente, este pensamiento se les escapa.

Además de mejorar la confianza entre la institución financiera y sus clientes, la comunicación digital segura puede desempeñar un papel clave en la mejora de la experiencia del cliente.

Nuevamente, me usaré a mí mismo como un ejemplo. Recientemente me comprometí a eliminar el hecho de que me enviaran estados de cuenta y facturas en físico. ¿Esto ha creado una experiencia excepcional para mí? NO. Estoy continuamente frustrado por todo el correo electrónico que recibo que dice «Su estado de cuenta mensual está listo, inicie sesión en nuestro sitio web para verlo«.

No puedo ser el único que recibe una tonelada de estas notificaciones molestas. Si fuera uno o dos, estaría bien, pero hay muchos. No quiero tener que iniciar sesión en un sitio web cada vez para ver mi estado de cuenta o factura. El solo manejo de contraseñas me da dolor de cabeza. Con la inminente huelga del Canada Post, mi frustración solo ha aumentado. Además del bombardeo regular de notificaciones, ahora recibo correos electrónicos de marketing que me dicen que visite su sitio web para ver mi factura. ¡Quiero que esto se detenga!

¿Por qué estas declaraciones no se pueden entregar de una manera que lo haga FÁCIL PARA MÍ, a través de un simple correo electrónico cifrado? Tener acceso a esta información de la misma manera en la que lo trato de hacer con mi correo electrónico diario lo haría mucho más fácil. Las organizaciones han estado luchando por reducir la cantidad de estados de cuenta y facturas físicas que envían por correo físico durante más de 15 años. No es de extrañar. No puedo creer que no se haya progresado más con la entrega de estados de cuenta/facturas/documentos electrónicos, es seguro decirlo, la forma en que se está haciendo hoy no mejora mi experiencia.

¿Cuáles son los motivos de la falta de uso del cifrado para una comunicación segura con el cliente? Tengo algunas ideas:

1. Los remitentes y destinatarios no comprenden los riesgos reales de comunicar información confidencial en forma clara.
2. La tecnología de cifrado no siempre es fácil de usar. A menudo tiende a agregar sobrecarga al proceso de comunicación. Si no es fácil usar, el remitente y el destinatario son reacios a adoptarlo, aunque probablemente saben que deberían hacerlo.
3. Se requieren demasiadas soluciones diferentes para manejar los diferentes casos de uso de entrega. Por naturaleza, tendemos a evitar la complejidad.
4. La tecnología de cifrado mal configurada puede causar latencia en la red. La velocidad de rendimiento es esencial para la productividad del usuario.
5. Las empresas de gestión de la comunicación con los clientes han sido lentas en la adopción y promoción de comunicaciones simples y seguras por correo electrónico.
Existe una clara necesidad de negocio para una plataforma de cifrado basada en políticas corporativas de software-como-un-servicio (SaaS, por sus siglas en inglés) que sea flexible, adaptable y fácil de administrar.

Esta solución debe ser simple tanto para el remitente como para el destinatario y disponible para teléfonos inteligentes y tabletas. Debe aprovechar la integración de inicio de sesión social para permitir a los usuarios acceder fácilmente a correos electrónicos seguros, utilizando credenciales de sitios sociales de confianza como Facebook, LinkedIn y Google. La solución debe ser flexible en cuanto a cómo se puede implementar: nube pública/privada, local o híbrida.

La comunicación segura con el cliente es solo un caso de uso para el cifrado, hay muchos otros. Sin embargo, este escenario puede tener un profundo impacto en las relaciones B2C (comunicaciones negocio-consumidor) y B2B (comunicaciones negocio-negocio), ambas críticas para el crecimiento del negocio.

La tecnología del cifrado es una pieza pequeña pero importante del rompecabezas de la transformación digital. Es un error ver el cifrado como algo que solo se utiliza para satisfacer los requisitos de cumplimiento: el cifrado puede ayudar a transformar la experiencia digital del cliente.

Tengo la esperanza de que, en un futuro cercano, mi institución financiera se dé cuenta de que podrían mejorar sustancialmente la relación que tienen conmigo, mediante el aprovechamiento de la plataforma correcta de cifrado de correo electrónico.

EN DEMANDA | Casos de Uso de Cifrado Empresarial

Por Randy Lenaghan, VP Ventas, Echoworx

Este artículo apareció originalmente en Global Banking & Finance Review.

27 May 2016
encryption laws

PRIMERO EL PROYECTO DE LEY DE PODERES DE INVESTIGACION (IP), ¿Y LUEGO QUÉ?

Ante el debate democrático, contra todas las voces clamorosas de las organizaciones de derechos humanos, firmas globales de tecnología como Facebook y Google, abogados, periodistas y una gran cantidad de académicos; parece que, con lamentable frivolidad, el proyecto de ley de poderes investigativos (IP) se aprobará más adelante este año.

El plan del gobierno británico para la vigilancia masiva abre la puerta a la «intrusión» indiscriminada e intrusa. Además, las disposiciones establecidas por Teresa May podrían socavar casi todas las medidas de ciberseguridad y cifrado actualmente vigentes. Estos dos argumentos poderosos y convincentes han sido presentados con modestia en el parlamento, y ahora aparentemente han sido rechazados por el gobierno del Reino Unido.

El impacto a los derechos humanos del proyecto de ley sobre los británicos será enorme, pero se han hecho muy pocas ramificaciones económicas y mundiales. El proyecto de ley, aunque cueste miles de millones de dólares en negocios perdidos, también podría legitimar prácticas similares en otras naciones.

El gobierno del Reino Unido ha demostrado que incluso en uno de los países más desarrollados tecnológicamente, esa privacidad puede erosionarse dando vueltas al proceso democrático. El mensaje del Reino Unido es claro: es aceptable aprobar leyes ambiguas de «espionaje» con muy poco respaldo. Esto sienta un precedente peligroso y crea un riesgo genuino de que otros países adopten un enfoque similar de usar una falta general de comprensión y capitalizar el miedo para impulsar leyes que destruyen la privacidad del usuario.

Otros estados importantes ya están considerando movimientos similares. Los parlamentarios de Francia recientemente reformaron un proyecto de ley penal que castigaría a las empresas si se negaban a proporcionar versiones descifradas de los mensajes que sus productos habían cifrado. Por ahora, el gobierno francés ha rechazado las puertas traseras de cifrado como «la solución incorrecta», pero el debate está en el punto de inflexion.
Luego de que WhatsApp anunciara que impulsaría el cifrado aún más en la vida cotidiana, inmediatamente cayó en el agua caliente en Brasil por no almacenar los mensajes exigidos por los tribunales del país. Después de varias demoras, Google también se cambió al cifrado predeterminado en la versión más reciente de Android, mientras que Amazon dio marcha atrás, prometiendo que el cifrado generará un retorno en su sistema operativo Fire más nuevo. Lo más infame es que el debate entre el FBI y Apple ha avanzado y ha llegado a su fin, y finalmente parece haber llegado a un cese inconcluso.

Lo que está claro es que todo el mundo se está convirtiendo rápidamente en una división: gobiernos vs. compañías de tecnología. El Reino Unido ha sentado el precedente: simplemente aprueba leyes de vigilancia draconianas y el problema está resuelto.

Las implicaciones globales son enormes, pero el proyecto de ley también costará a los contribuyentes de dos maneras concretas. El gobierno estima que la implementación del proyecto de ley costará £174 millones, mientras que los expertos sugieren que la cifra superará ampliamente los mil millones. Estas cifras se basan en un esquema similar que fue rechazado por motivos de costo en Dinamarca, y se ha ampliado proporcionalmente para el Reino Unido.

Mucho más grande, sin embargo, es el costo económico cuando las compañías huyan de las costas de Gran Bretaña cuando pase el proyecto de ley. A las empresas les preocupa que el proyecto de ley propuesto introduzca la seguridad del Estado en el corazón de las operaciones cotidianas y, por lo tanto, moverá las oficinas centrales más lejos. El mercado de almacenamiento/hospedaje de datos del Reino Unido quedaría paralizado y el país podría perder casi 10 mil millones de dólares en negocios casi de la noche a la mañana.

El proyecto de ley apenas infunde confianza, especialmente cuando la implementación y las ramificaciones parecen apenas haber sido consideradas. Es probable que se desate una guerra por el cifrado y no se puede exagerar su impacto en la economía digital y en la vida cotidiana.

Por Jacob Ginsberg, Director Senior, Echoworx

Este artículo originalmente apareció en Info Security Magazine

13 Abr 2016
encryption key

DESBLOQUEANDO LA GESTIÓN DE CLAVES DE CIFRADO

Cualquier comunicación cifrada es tan segura como las claves utilizadas por el sistema que las bloqueó. Si las claves se ven comprometidas por hackers, negligencia u otros medios, entonces cualquier comunicación que use esas claves puede descifrarse. Entonces, ¿cómo se pueden proteger estas claves?

Según un reciente estudio de la Tendencia de Cifrado Global de Ponemon en 2016 (Ponemon 2016 Global Encryption Trend Study), el 67% de los profesionales de TI calificaron a la administración de claves como una de las características más importantes de una solución de cifrado. A medida que más organizaciones utilizan soluciones de cifrado, también terminan con más claves y más variedades de claves. La gestión exitosa de estas claves de cifrado es fundamental para la seguridad de sus datos privados.

Cómo se administran las claves de cifrado hoy
La Infraestructura de Claves Públicas – PKI (Public Key Infrastructure) es un tipo de sistema de administración de claves que usa certificados digitales para proporcionar autenticación y claves públicas para habilitar el cifrado. Las PKI usan una clase específica de algoritmos de cifrado, llamada cifrado asimétrico. Esto implica dos claves, una que cifra los datos (la clave pública) y otra que descifra los datos (la clave privada).

La ventaja de usar algoritmos asimétricos es que la clave pública se puede distribuir a cualquier persona sin riesgo de descifrar ninguno de los datos. Solo la clave privada es capaz de descifrar los datos. Como solo se descifra la clave privada, no tiene que estar ampliamente disponible y puede guardarse en un lugar seguro. Las claves públicas a menudo se almacenan en directorios para que otros usuarios las recuperen, mientras que las claves privadas se guardan en almacenes de claves accesibles solo para el propietario de la llave.

Otro componente importante de una PKI es su capacidad de validar la autenticidad de la clave pública. Garantiza que cualquier comunicación cifrada con una clave pública solo se pueda descifrar con la clave privada correspondiente.

¿Cómo puede uno estar seguro de «quién» tiene la llave?
Tal vez un hacker ha modificado un directorio e inyectado su clave pública. Para evitar que esto ocurra, se incorpora una clave pública en un certificado. Piensa en ello como un proceso de investigación. Un certificado generalmente contiene información sobre para quién es la clave pública (una dirección de correo electrónico, el apodo del propietario o un nombre de dominio) y está firmada digitalmente por una autoridad certificadora (CA). Imagina un certificado en papel con la clave pública vinculada a él. Existe el nombre y la información sobre el propietario de la clave, además del nombre y la firma de la persona que lo emitió.
La CA es una parte mutuamente confiable. Cuando dos partes tienen las claves públicas de los demás, pueden confiar en la CA para garantizar que la comunicación encriptada solo pueda descifrarse entre ellas. Si Alice quiere enviar un mensaje a Bob y no confía directamente en él, utiliza una CA para confirmar que la clave pertenece a Bob.

Presentamos la recuperación/depósito de claves
Las claves privadas, utilizadas para descifrar mensajes de correo electrónico, deben almacenarse de forma segura. El método más simple es usar una contraseña para cifrar la clave privada. Si bien es sabido que las contraseñas débiles se pueden romper fácilmente, una contraseña fuerte y única es tan buena como casi cualquier otro tipo de cifrado.

Pero, ¿qué sucede cuando un usuario olvida su contraseña o pierde su clave debido a una falla de hardware?

Esto es cuando se usa recuperación de clave o depósito de claves. Una forma de lograr esto es usar un algoritmo secreto para compartir. El intercambio secreto es cuando una parte de los datos se divide en varias partes para que ninguna de ellas sea suficiente para determinar cuáles son los datos originales. En una PKI, la clave privada se puede dividir de esta manera. Cada parte clave se cifra para un individuo único, y la única forma de recuperar la clave privada es que todos o algunos de los titulares de la parte clave acuerden realizar la recuperación de la clave. Una vez que la clave ha sido recuperada, puede ser entregada de forma segura al usuario. Este método evita que cualquier persona obtenga acceso a la clave privada.

Las PKI han revolucionado el mundo al permitir una comunicación segura entre las partes, ya sea en la banca web, el comercio electrónico o el correo electrónico seguro. Desafortunadamente, es más fácil decirlo que hacerlo para la mayoría. El mismo estudio de Ponemon encontró que el 53% de los encuestados calificaron a la gestión de claves como un alto nivel de dolor.

Facilitar la gestión de claves
A medida que el uso del cifrado de correo electrónico continúa ampliándose y diversificándose en la forma en que se utiliza, los equipos de seguridad buscan eliminar las islas de cifrado creadas y adquiridas a lo largo de los años.

Este enfoque está ayudando a mitigar algunos de los desafíos históricos de la gestión de claves: la falta de propiedad en la función de gestión de claves, la escasez de personal capacitado, los sistemas aislados y fragmentados, y las herramientas de gestión inadecuadas.

Es un movimiento que será bienvenido en todas las industrias. La paradoja en el sector de seguridad actual es que cuanto más avanzado es el vector de amenaza, más simple es la solución que necesitamos como usuarios para gestionar el problema. Los empleados de las organizaciones siempre buscarán soluciones menos seguras, por lo que la creación de cifrados y sistemas de administración de claves más eficientes, fáciles de administrar y compatibles con la nube, ayudará a llevar la protección de nuestros datos privados al siguiente nivel y dejará a los piratas informáticos recolectar polvo.

Para obtener más información acerca de cómo los equipos de seguridad están modernizando las operaciones, reduciendo el costo de la entrega de servicios e impulsando la productividad del usuario al simplificar el cifrado de correo electrónico de su organización y los sistemas de administración de claves:

• Leer nuestro WHITE PAPER | Migrando PGP a la Nube
• Descarga nuestro TECH BRIEF | Métodos Cifrados de Envío Echoworx

Por John Fleming, Arquitecto Senior, Echoworx

07 Abr 2016
Apple security

EL HACK DE APPLE: UN PROBLEMA DISEÑADO PARA PROTEGERNOS

El FBI se las arregló para ordenar a Apple a cooperar rompiendo su propia seguridad, pero cuando surja el próximo caso, y lo hará, si la compañía se niega a ayudar, el resultado tendrá implicaciones de largo alcance.

Independientemente del hecho de que el FBI se haya salido con la suya ordenando a Apple a que ayude al FBI a descifrar la contraseña de un iPhone utilizado por un sospechoso de asesinato en San Bernardino, el problema central no se resolvió y hay algunas razones convincentes por las que Apple, y otros que se encuentran en una situación similar, deberían simplemente decir no a tales órdenes.

El corazón del problema es este: el problema no es sobre este teléfono en esta situación. Lo que podría haber sucedido si Apple hubiera cumplido podría haber afectado a todos los teléfonos (y a todos los dispositivos) en cada situación.

Las empresas como Apple toman en serio la seguridad. Han tenido que hacerlo por muchas razones. La nueva realidad es que los dispositivos móviles como teléfonos, computadoras portátiles y tabletas ya no son solo personales. Son nuestra libreta de direcciones, nuestro calendario, nuestro diario, nuestra herramienta de correo electrónico, todo en uno. Al mismo tiempo, también se han convertido en dispositivos comerciales.

Con el aumento de las políticas de “traiga su dispositivo propio” – BYOD (Bring Your Own Device) y las soluciones de gestión de dispositivos móviles – MDM (Mobile Device Management), las empresas dicen: «Está bien utilizar su propio dispositivo para transmitir, abrir y trabajar en documentos de la empresa que a veces son delicados, siempre y cuando éstos sean seguros «, según lo dispuesto por legislaciones como HIIPA y Sarbanes-Oxley. Las empresas hacen esto porque confían en las características de seguridad inherentes en su dispositivo y, gracias a los cambios realizados por Apple en su software después del incidente de Snowden, los datos en sus dispositivos solo se consideraban accesibles para alguien que tiene el código de acceso del dispositivo. Apple diseñó específicamente su seguridad, por lo que ni siquiera ellos podían descifrarla.

El FBI quería que Apple creara un iOS personalizado que, en esencia, eliminaría o anularía estas salvaguardas.

En un nivel, puede parecer razonable, incluso justificado, que el gobierno haga esta solicitud legal de interceptación ya que es para seguridad pública. El problema es la pendiente resbaladiza que crea. Este caso puede haber sido relativamente claro, pero ¿qué pasa la próxima vez, y las próximas? ¿Qué pasa si el código personalizado se ha creado y luego se pone en las manos equivocadas? El problema más importante aquí es el hecho de que, una vez creado, esta solución de código de acceso puede ser impuesta una y otra vez. Pocos esperan que sea la última vez que se llame a Celllebrite para acceder a los datos de un iPhone, y no solo por parte del FBI.

La solicitud creó un poderoso precedente sobre el derecho del gobierno a invadir la privacidad de sus ciudadanos y el derecho de las compañías a crear software seguro. No es difícil prever un momento en el futuro cercano en el que las autoridades podrían obligar a las empresas de tecnología como Apple a implementar software por el aire – OTA (Over The Air) que compartiría la ubicación, el audio y el video de los dispositivos de sus clientes. La legislación ya está despertando en los Estados Unidos y el Reino Unido sobre la privacidad de los datos, y está causando que algunas empresas consideren cosas como la ventaja jurisdiccional como parte de sus estrategias comerciales centrales. Más legislación no es necesariamente la respuesta, ya que la sociedad en su conjunto quiere que la información sea más segura.

Las implicaciones son de gran alcance. Tener una puerta trasera construida o dejar la «llave debajo del tapete» socava las empresas y la seguridad de las transacciones, ya sean comerciales o personales. Afecta a casi todos los tipos de negocios en todas las economías occidentales. Y también significa que los gobiernos claramente no están viendo la importancia de la seguridad personal, y eso tiene un impacto significativo para las empresas y la sociedad.

Entonces, ¿qué significa este caso para el futuro de los datos y su seguridad? Si Apple u otra organización se ve obligada a proporcionar una puerta trasera, las empresas se verán obligadas a rediseñar versiones futuras de sus productos, haciéndolos menos seguros. Apple ya se ha movido en la otra dirección con la introducción de Secure Enclave en dispositivos A7. Secure Enclave aísla las protecciones de seguridad del iOS, por lo que es aún más difícil acceder a los datos cifrados o implementar ataques de fuerza bruta, pero, aun así, no es imposible. Nada de lo que se discutió en este caso habría protegido al periodista que habló sobre su propia sensación de violación cuando su correo electrónico fue hackeado al usar Wi-Fi gratis en un avión recientemente.
La industria estaba observando de cerca el caso de Apple debido al precedente que se esperaba establecer en varios frentes. El sentimiento general era que, si esto le puede suceder a Apple, le puede suceder a cualquier compañía. Es una delgada línea entre proteger la seguridad física de las personas y comprometer su seguridad personal. Apple estaba haciendo esto por todos nosotros, asumiendo que nuestros datos privados deberían seguir siendo así: privados.

Resultó que este no era el caso que creó el precedente que esperábamos, pero llegará, cuando una empresa diga no a puertas traseras, y no puede ser hackeada, pero que el gobierno esté obligado por ley a cooperar, y las ramificaciones de tal caso se sentirá en los próximos años.

Por Chris Peel, Vice Presidente de Ingeniería, Echoworx

Este artículo apareció originalmente en SC Magazine

08 Feb 2016
facilitating encryption

LA SEGURIDAD Y EL CAMINO DE RESISTENCIA MÍNIMA

La física dice que el camino de menor resistencia es generalmente el que toma la mayoría de las personas. Si contextualizamos esto al observar cómo los humanos han evolucionado, adaptado y descubierto cómo sobrevivir, es fácil entender por qué. Como cualquier otra criatura viviente, teníamos que conservar energía cuando pudiéramos para cazar con eficacia. Tomamos atajos porque son más eficientes y consumen menos energía y menos recursos.

Hoy en día, la situación es algo diferente. A menudo se nos anima a tomar el camino de la mayor resistencia basado en el simple hecho de que muchos de los mayores logros y tareas han tomado mucho tiempo y esfuerzo.

La llegada de la tecnología es uno. Irónicamente, el hombre ha trabajado incansablemente en los desarrollos tecnológicos con el objetivo de hacer los trabajos más fáciles y menos agotadores. De laptops a impresoras, de seguridad de la nube a análisis de big data: estos avances se han convertido en herramientas muy útiles para el propietario de la empresa y han tenido un impacto significativo en la productividad, el rendimiento, la rentabilidad y el tiempo.

La tecnología engorrosa falla
Recientemente realizamos una investigación sobre las prácticas de seguridad de los profesionales de servicios financieros en el Reino Unido. El objetivo era analizar el uso de comunicaciones seguras, siguiendo brechas de datos de alto perfil recientes como TalkTalk y WH Smiths. Casi el 60% de los encuestados admitieron que encontraron sus soluciones actuales engorrosas y difíciles de usar. Esta percepción aumentó aún más cuando profundizamos en la categoría de empleados mayores. Más del 63% de las personas de 45 años o más encontraron a las soluciones de seguridad de correo electrónico difíciles de navegar.
Estos hallazgos nos llevan de vuelta a nuestras formas de pensar ancestrales: la necesidad de hacer la vida más fácil. Si las soluciones de seguridad de correo electrónico, o cualquier otra tecnología, son demasiado complicadas, es casi seguro que los empleados encuentren medios más fáciles para completar una tarea. En este escenario, la seguridad es la meta no cumplida. No pasa una semana sin que asalten una organización dirigida por criminales maliciosos. Las amenazas internas también mantienen despiertos a los principales líderes empresariales durante la noche. Un reciente informe de PwC en Estados Unidos encontró que el 32% de los encuestados considera que las amenazas internas son más costosas y más dañinas que los incidentes externos.

La experiencia del usuario impulsa la adopción
En 2014, el correo electrónico fue el principal canal de comunicación con 35 billones de mensajes enviados, entonces, ¿qué deberían hacer las empresas para proteger esta mina de oro de información?

La experiencia del usuario es clave. Con demasiada frecuencia las empresas la ignoran durante la etapa de desarrollo de nuevas soluciones, o se subestima al centrarse en la tecnología en lugar de educar al usuario. Si despliegas una solución tediosa e inmanejable, sin importar el nivel de cifrado que brinde, esto alentará a los trabajadores a encontrar una solución menos segura que ponga en riesgo a tu empresa, tus empleados y tus clientes.

Es vital hacer un esfuerzo para crear características que faciliten la educación del usuario y la facilidad de uso. Al automatizar las decisiones sobre la seguridad del contenido, las empresas pueden eliminar por completo el riesgo de error humano. Por ejemplo, un botón de «proteger ahora» en un correo electrónico que simplifica el proceso de cifrado al tiempo que reduce la vulnerabilidad, pone poca o ninguna confianza en el usuario final y facilitará mayores velocidades de adopción. Esto, combinado con una capa adicional de inteligencia en el perímetro que escanea todos los correos electrónicos contra las políticas de seguridad, agregará un refuerzo esencial a las infraestructuras de TI.
Si los empleados no tienen una experiencia que satisfaga sus necesidades y requisitos, es casi seguro que ignorarán el proceso y buscarán otra técnica para realizar el trabajo. Las empresas con recursos limitados necesitan soluciones que sean fáciles de implementar y administrar. Al ofrecer opciones y no limitaciones a los usuarios, mejora dramáticamente la experiencia, la productividad y la eficiencia operativa.
Para obtener más información acerca de cómo puedes integrar sin problemas el cifrado de correo electrónico en tu entorno mientras se impulsa el rendimiento y la experiencia centrada en el cliente:

Mira nuestro WEBINAR | Adoptando Email de Alto Volumen

Por Greg Aligiannis, Director Senior de Seguridad en Echoworx

13 Ene 2016
secure email solutions

¿BUSCAS UNA SOLUCIÓN PARA CORREOS ELECTRÓNICOS SEGUROS?

Aquí están cinco de los factores más importantes a tomar en cuenta al buscar una solución para correos electrónicos seguros:

1. Usabilidad
¿Puede el remitente realmente enviar correos electrónicos sin ningún paso adicional? Enviar un correo electrónico es un comportamiento que todos hacemos de manera automática; introducir cifrado no debería entorpecer este proceso. De manera similar, el destinatario debería ser capaz de acceder al correo cifrado de manera sencilla. Las buenas soluciones tomarán estos comportamientos en consideración, y los mantendrán rápidos y eficientes. Las organizaciones pueden fácilmente adoptar el cifrado siempre que el flujo de trabajo no cambie.

2. Múltiples Métodos de Envío Cifrado
¿La solución incluye múltiples métodos de envío? Si te estás comunicando con otros negocios, ellos quizás tengan ya un método de cifrado instalado. Tú solución debería incluir múltiples métodos de envío, como TLS, PGP, y S/MIME de terceros para aprovechar esto. Una buena solución también debe incluir métodos de envío que faciliten a destinatarios no empresariales a recibir sus correos, mediante archivos PDF/ZIP cifrados o un portal web y móvil seguro. Los administradores empresariales deberían poder seleccionar el método de envío que mejor se adapta a las necesidades de su negocio.

3. En la Nube
A medida que las empresas adoptan más y más soluciones basadas en la nube, ¿no crees que tu cifrado debería seguir la misma estrategia? ¿Puede la solución ejecutarse completamente en la nube para que no tengas que correr ningún software o hardware en tus instalaciones? Las implementaciones la nube ahorran costos y tiempos de implementación, y permiten a la solución de cifrado crecer a la medida que crece la compañía.

4. Escaneo y Políticas Comprensibles
¿La solución te permite establecer políticas de escaneo para inspeccionar líneas de asunto, cuerpo, adjuntos, y tomar las acciones apropiadas? Quizás solo quieras cifrar correos que contengan ciertas palabras clave o expresiones regulares como números de tarjetas de crédito u otra información del cliente. Una buena solución utilizará un motor robusto de políticas, que te permitirán crear y editar políticas para determinar qué debe ser cifrado y cómo.

5. Efectivo en Costos
¿La solución es fácil de integrar y manejar por toda la organización? ¿Se puede adaptar a las políticas cambiantes y a los requerimientos regulatorios sin afectar a los usuarios? Nunca puedes predecir de dónde vendrá una fuga de seguridad. Una solución efectiva en costos será adaptable y escalable para cumplir un amplio espectro de requerimientos empresariales; protegiendo toda la información de ser revelada, no solo la de ejecutivos o de ciertos departamentos específicos.

Las soluciones de Echoworx toman estas y más consideraciones en cuenta. Estamos seguros de que estás haciendo un buen trabajo protegiendo a la compañía de ataques electrónicos entrantes, (spam, phishing, malware) pero, ¿qué nos dices de los correos que salen de tu organización? Los correos salientes contienen información confidencial, como ofertas, propiedad intelectual, registros médicos, y datos personales del cliente. Proteger esta información es vital.

Es hora de enseriarse con la seguridad de tus correos

Por Jacob Ginsberg, Director Senior de Productos en Echoworx

04 Dic 2015
Cosmic microwave background

LA CRIPTOGRAFÍA TRAS EL RESPLANDOR DEL BIG BANG

Los físicos han propuesto el uso del espectro de potencia de la radiación de fondo de microondas, o CMB, como un generador de bits aleatorios para la criptografía de clave (o llave) simétrica y asimétrica. La CMB es radiación térmica creada poco después de que el universo se creó durante el Big Bang. La CMB, también conocida como radiación reliquia, es la radiación más temprana detectada.

La seguridad de la mayoría de los métodos de cifrado depende de cuán aleatorios sean los números aleatorios grandes que se utilizan para generar claves para cifrar o descifrar datos. ¡¿Suena intrínseco?!

¿Cómo puede un número aleatorio no ser lo suficientemente… aleatorio?
Las computadoras generan claves usando algoritmos. No hay garantía de que otro sistema de computadora no genere una clave duplicada usando el mismo algoritmo. Como alternativa, los procesos físicos pueden usarse para lograr una aleatoriedad verdadera. Por ejemplo, las computadoras podrían crear claves únicas al generar bits a partir del ruido de un microchip, o el tiempo de los movimientos del teclado del usuario y los movimientos del mouse.

Dos científicos, Jeffrey S. Lee y Gerald B. Cleaver, de la Baylor University en Waco, Texas, han introducido una propuesta para el uso de CMB como un generador extremo de bits aleatorios.

¿Qué es CMB exactamente?
Utilizando un telescopio óptico tradicional, el espacio entre las estrellas y las galaxias parece ser completamente negro. Sin embargo, cuando se usa un radiotelescopio sensible, se puede ver un tenue resplandor de fondo, casi exactamente el mismo en todas las direcciones, sin estar asociado a ninguna estrella, galaxia u otro objeto. Este brillo se nota más fuerte en la región de microondas del espectro de radio. En otras palabras, la CMB es una instantánea de la luz más antigua que se encuentra en nuestro universo, impresa en el cielo 380.000 años después del Big Bang.

El descubrimiento accidental de CMB, en 1964, por los radio-astrónomos estadounidenses Arno Penzias y Robert Wilson, fue el resultado del trabajo que comenzaron a principios de 1940. El hallazgo les valió a los dos el Premio Nobel en 1978.

Empujando los límites de la criptografía.
Lee y Cleaver proponen utilizar CMB para generar números aleatorios midiendo la intensidad de la señal de radio de la CMB en una parte del cielo. Cada píxel capturado produce una cadena de diferentes intensidades de señal o dígitos. Los dígitos se combinan para generar un número aleatorio muy grande.

«Un adversario que mide el mismo parche de cielo, exactamente de la misma manera, y exactamente al mismo tiempo no puede obtener exactamente los mismos valores», dice Lee. «Ningún otro observador puede obtener un patrón coincidente de dígitos en una medición CMB, lo que añade otra capa de dificultad para romper el cifrado». Los científicos creen que la densidad espectral de la radiación reliquia es tan alta que podrá satisfacer el estándar de seguridad informática FIPS 140-2.

¿Preguntas?
¿Cuál es el costo de un radiotelescopio adecuado, y es necesaria una vista clara desde la Tierra hacia el cielo? Tanto Lee como Cleaver están de acuerdo en que un telescopio por persona es excesivo. ¿En cuanto a una vista clara? Lee afirmó que «CMB podría no ofrecer un cifrado mejor que el clima, pero reúne dos campos de estudio que a menudo no son de polinización mutua: la cosmología y la criptografía del universo temprano».

Por Viatcheslav Ivanov, Desarrollador Senior de Software, Echoworx

Referencias:
• The Cosmic Microwave Background Radiation Power Spectrum as a Random Bit Generator for Symmetric and Asymmetric-Key
• Cryptography (http://arxiv.org/abs/1511.02511 )
• Cosmic microwave background (https://en.wikipedia.org/wiki/Cosmic_microwave_background )
• FIPS 140-2 (http://csrc.nist.gov/groups/STM/cmvp/standards.html )
• Randomness and Random Numbers (https://www.random.org/randomness/ )

02 Dic 2015
Echoworx | Email Encryption Solutions | Reliance on Data Residency Is Not Enough

CONFIAR EN LA RESIDENCIA DE DATOS NO ES SUFICIENTE

A medida que las organizaciones trasladan sus operaciones a la nube, enfrentan las complejidades y las crecientes presiones de proteger los datos confidenciales que les pertenecen a ellos y a sus clientes. Por no hablar de tener en cuenta los requisitos reglamentarios locales que a menudo limitan dónde se pueden ubicar los datos para mantenerlos fuera de las manos y ojos de las políticas gubernamentales husmeadoras, como la amplia ley US Patriot Act.
Las organizaciones deseosas de cumplir con los requisitos de privacidad y normativas ponen demasiado énfasis únicamente en la residencia de datos. Si bien importa dónde se almacenan los datos, la ubicación geográfica no se repara cuando se trata de Internet.

Las fronteras son porosas.
Los datos se filtran de una jurisdicción a otra en el camino hacia su destino final. Los datos tampoco se sostienen solos; todos esos bits se pueden copiar infinitamente. Si bien el original puede residir en una configuración regional suficientemente aprobada, las copias pueden existir fácilmente en ubicaciones inesperadas. No necesariamente tiene que ser un acto malicioso el que haga una copia de esos datos.

Las estrategias de copia de seguridad o de recuperación de desastres de sus proveedores de servicios pueden crear sin avisar copias en centros de datos geográficamente dispersos para redundancia y resistencia del servicio. ¿Qué sucede si esos centros de datos se encuentran en una jurisdicción que no cumple con los requisitos de residencia de datos?

La verdad del asunto es…
Si tu organización se toma en serio la protección de datos, no puedes confiar únicamente en la ubicación y las leyes locales como medio de satisfacer la responsabilidad ante tus clientes para garantizar que sus datos estén lo suficientemente protegidos. Las leyes de residencia de datos por sí solas no serán suficiente para resolver el problema. Son lineamientos y reglas. Pero no es factible para una organización o sus proveedores de servicios en la nube construir centros de datos en todos los países en un intento por cumplir con los requisitos regulatorios locales. Incluso si se pudiera, no impediría el acceso de otros países a esos datos.

La seguridad efectiva de los datos ES aplicado en capas.
Como mínimo, se debe insistir en que los proveedores de servicios en la nube empleen algún tipo de cifrado fuerte además de la configuración regional de los datos. Las organizaciones que se toman en serio la protección de sus datos confidenciales y el cumplimiento de los requisitos reglamentarios deben garantizar que los datos permanezcan protegidos a lo largo de todo su ciclo de vida.
Es importante considerar las tecnologías que hacen que los datos sean inútiles para cualquiera, excepto para el destinatario previsto desde el momento en que abandona tu organización hasta el momento en que se consume. Por ejemplo, el cifrado aplicado durante el transporte y almacenamiento protegerá la información sensible, independientemente de dónde residan esos datos en última instancia. Además, la autenticación confiable puede garantizar que solo el consumidor previsto tendrá la capacidad de descifrar esos datos.
Cifrar datos confidenciales a lo largo de todo su ciclo de vida puede aliviar la carga de las organizaciones para implementar todos los requisitos reglamentarios impuestos a la protección de datos de un país a otro. Esto simplifica significativamente la tarea de proteger datos confidenciales.
El cifrado proporciona protección de los datos de su cliente en primer lugar, pero también facilita el cumplimiento normativo como resultado.

Mira nuestro Seminario Web | Información: Activos, Responsabilidad, y Qué Sigue

Por Greg Aligiannis, Director Senior de Seguridad en Echoworx