{"id":366,"date":"2008-05-27T16:00:13","date_gmt":"2008-05-27T19:00:13","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=366"},"modified":"2008-05-27T16:00:13","modified_gmt":"2008-05-27T19:00:13","slug":"problemas-de-privacidad-ventaja-o-desventaja-comercial-nota-technet","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=366","title":{"rendered":"Problemas de privacidad – ¿Ventaja o desventaja comercial? {Nota TechNet}"},"content":{"rendered":"

\"privacy\"<\/a> Queria comparti con ustedes una nota que me parecio muy interesante sobre la privacidad. Esta nota la pueden ver en el TechNet de Microsoft<\/a>, de todas formas a continuacion tienen una transcripcion.<\/p>\n

Saludos. Roberto Di Lello.<\/p>\n

—–<\/p>\n

Artículo MVP de seguridad del mes – Mayo de 2008<\/h3>\n

Problemas de privacidad – ¿Ventaja o desventaja comercial?<\/h4>\n

Publicado: Mayo 14, 2008<\/p>\n

Por Aloysius Cheang, CISA, CISSP, GCIH, y MVP de Microsoft – Seguridad<\/i><\/p>\n

Lea otras columnas del artículo MVP de seguridad del mes<\/a>. <\/p>\n

Números de tarjetas de crédito robados, filtración de información de los usuarios, envío de correos no deseados desconsiderados… Los problemas de seguridad se han convertido en una preocupación mayor mientras más y más personas se conectan en línea para realizar transacciones como compras o trámites bancarios o para utilizar ciertos servicios Web en línea. En los últimos años, la industria de la seguridad de la información se ha dado cuenta de la necesidad de manejar los problemas de seguridad en forma adecuada, en especial porque la filtración de información personal puede ser una desventaja tanto para la empresa que lleva a cabo sus actividades comerciales en Internet como para el consumidor. <\/p>\n

¿Cuál es la definición de “privacidad” dentro de la industria de la seguridad de la información? En ISO\/IEC 18028-2, “privacidad” se define como “el derecho de los individuos de controlar o influir en qué tipo de información relacionada con ellos puede recopilarse y almacenarse y por quién y a quién puede divulgarse esa información”. Los usuarios de Internet probablemente estén de acuerdo en que los sitios Web que visitan no les ofrecen los medios para controlar cómo el proveedor de servicios utiliza o administra su información personal. <\/p>\n

Las organizaciones (que actúan como proveedores de servicios) que operan un sitio Web y ofrecen un tipo de servicio en línea tienden a recopilar cierta información acerca de sus usuarios. Por ejemplo, un portal de noticias en línea requiere que el lector cree una cuenta y proporcione cierta información personal antes de poder acceder a los artículos de noticias. Las tiendas de la Web pueden solicitar a los clientes que ingresen los números de las tarjetas de crédito y las direcciones de facturación para poder completar las transacciones en línea. La recopilación de dicha información es una actividad comercial común, ya que permite a los proveedores de servicios comprender mejor a sus usuarios y les ayuda a evaluar las actividades de los usuarios con el fin de ofrecer mejores servicios. La mayoría de los usuarios seguramente no tendrán problemas en ceder esta información a los proveedores de servicios siempre y cuando se haga un buen uso de la información. Sin embargo, las recientes violaciones a la privacidad y la seguridad personal en línea han llevado a los usuarios a preocuparse acerca de si su información personal se está filtrando o acerca de abusos. ¿Qué está sucediendo? <\/p>\n

Muchas organizaciones tienden a confundir la distinción entre confidencialidad y privacidad. La contraseña de administrador en un servidor de base de datos es información confidencial. La combinación de un nombre de usuario y una dirección de correo electrónico por lo general no es confidencial por naturaleza; sin embargo, la divulgación de esta información a determinados terceros puede crear problemas. La mayoría de las organizaciones tenía la percepción de que siempre y cuando toda la información personal recopilada en la red esté protegida por encriptación SSL y esté almacenada en un servidor de base de datos que se encuentre cerrado en forma segura allí terminaba su obligación de proteger la información de los usuarios. Tienden a tomar un enfoque basado en tecnología para proteger dicha información, lo que por cierto no es tomar un punto de vista holísitico de evaluación de la seguridad. <\/p>\n

Para brindar un servicio en línea, las organizaciones deben establecer qué tipo de información de usuario es realmente útil para mejorar sus servicios. Estas son instancias en las que el usuario debe proporcionar su nombre, número de seguro social, número de pasaporte, sexo, fecha de nacimiento, dirección, número de contacto y dirección de correo electrónico para realizar, por ejemplo, la conversión de divisas en línea. Con claridad este es un caso en el que se solicita demasiada información por el servicio que se presta a los usuarios. La mayor parte de los sitios Web no obligan a recopilar toda esta información mencionada; sin embargo, muchos formularios de inscripción solicitan esta información en forma indirecta. Los usuarios no expertos en TI enviarán obedientemente dicha información personal sin comprender si es necesario utilizar un servicio en línea determinado. Los usuarios conocedores se alarmarían si descubren que dicha información personal debe enviarse para utilizar el servicio en línea; estos usuarios seguramente recurrirán a proveedores de servicios que soliciten una mínima información personal para utilizar un sitio. Cuando las organizaciones en línea reducen la cantidad de información personal que deben ingresar los usuarios y limitan sus solicitudes únicamente a lo necesario, están tomando medidas para proteger a sus usuarios. <\/p>\n

Mientras que la cantidad de información personal recolectada es un problema, la manera en la que las organizaciones almacenan esa información es otro. Por ejemplo, una tienda en línea también solicita que el usuario autenticado proporcione información de su tarjeta de crédito. Una vez que se provee esta información, la tienda en línea valida la información de la tarjeta de crédito con el banco para garantizar que la tarjeta de crédito sea válida y que el cliente dispone del crédito necesario para realizar la compra. Cuando se completa el proceso de validación, la mayoría de las tiendas en línea almacenan, por conveniencia, el número de la tarjeta de crédito y la información de la transacción en la base de datos. Desde el punto de vista del proceso de seguridad, no es necesario almacenar el número de la tarjeta de crédito ya que sólo es un medio de validación si el usuario cuenta con los medios necesarios para pagar. Una vez que esto ha sido comprobado y que la compra ha finalizado, la tienda en línea no necesita almacenar un tipo de información tan sensible. Además, existe una responsabilidad legal en cuanto a almacenar tal información sensible. En vez de ello, lo que se puede almacenar de manera mucho más segura es el número de autorización, que proporciona un registro único de auditoria. <\/p>\n

Otra área que las organizaciones en línea deben considerar es la de la segregación de información. Como ayuda a las organizaciones a mantener sólo un sistema de base de datos, es una práctica común almacenar la información personal de los usuarios y la información de las transacciones en un mismo repositorio de base de datos. Sin embargo, esta práctica por lo general no es ideal por dos motivos: <\/p>\n

1. Si se accede al sistema de la base de datos sin autorización, toda la información puede ser robada. <\/p>\n

2. Si el repositorio de la base de datos es almacenado en una cinta de respaldo sin encriptación, la pérdida de esa copia de respaldo puede dar como resultado una importante pérdida de información. <\/p>\n

Una manera de mejorar esto es almacenar la información de autenticación de usuario (nombre de usuario y contraseña) en un sistema de base de datos y la información personal y el historial de transacciones en otro. De esta manera, aunque se comprometa una base de datos, únicamente se filtrará una parte de la información. Una filtración o pérdida parcial de información ayudaría a proteger la información personal del usuario y sus actividades de transacciones. <\/p>\n

Este artículo trata brevemente de algunos aspectos de cómo puede protegerse mejor la información privada. Si las organizaciones se comprometen a realizar una evaluación integral de riesgos con relación a cómo protegen la información de los usuarios y toman medidas para minimizar los riesgos, los usuarios estarán asegurados. A su vez, los usuarios actuales posiblemente utilicen el sitio con más frecuencia y los nuevos usuarios serán atraídos al sitio de manera más rápida. Hoy en día, el proveedor de servicios más popular es uno que pueda abordar las preocupaciones de sus usuarios. Al manejar los problemas de seguridad de manera efectiva y proteger la información de los usuarios, las organizaciones podrán incrementar la satisfacción del usuario y, al mismo tiempo, activar su negocio. <\/p>\n","protected":false},"excerpt":{"rendered":"

Queria comparti con ustedes una nota que me parecio muy interesante sobre la privacidad. Esta…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-366","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-videos-noticias"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=366"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/366\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}