La Oficina Federal de Seguridad de la Información para los usuarios de Internet advirtió del nuevo navegador Chrome. El navegador de la empresa Google no debe utilizarse para navegar por internet, según un portavoz de la oficina le dijo al Berliner Zeitung. Este portavoz explicó que Chrome se distribuyó como una versión sin terminar. Además alertó del riesgo de que los datos de los usuarios estén atados a un solo proveedor.  Con su motor de búsqueda, el programa de correo electrónico y el nuevo navegador, Google ahora abarca todas las esferas importantes en Internet.

Esta realidad no es la primera preocupación planteada contra Google Chrome, la semana pasada la Electronic Frontier Foundation también planteó cuestiones relativas a Chrome, en particular la de auto-sugerir, característica que hace suponer que Google almacena información.  Es una característica importante para Google, pero en su búsqueda de hacer Chrome mejor que otros navegadores, plantea un posible riesgo sobre la privacidad de los usuarios.

Esperamos ver más cuestiones e inquietudes que seguro se plantearán en los próximos días.

Leído en terra.es:

Ante las dudas planteadas por la Asociación del Defensor del Paciente, que criticó la seguridad ofrecida por esta tarjeta, Soria ha asegurado en Málaga que el nuevo sistema ‘garantiza la movilidad, la libertad y la seguridad de los ciudadanos‘, dentro del respeto ‘más exquisito’ a la confidencialidad.

Soria ha dicho que el Gobierno pretende ‘garantizar la cohesión, la equidad y la calidad del sistema sanitario’, y para ello ha creado un nodo central ‘que garantiza la interoperatividad de todo el sistema’.

Como ventajas de la nueva tarjeta, que ya se ha implantado en algunas comunidades autónomas como Andalucía, Soria ha destacado que permite que los ciudadanos ‘vayan de una ciudad a otra y puedan acceder a sus datos clínicos dentro de la profesionalidad’.

Además, de esta manera se puede garantizar que se va a suministrar al paciente el fármaco adecuado en la dosis necesaria en cada momento.

Lo cuenta laopinion.es en una nota de EFE:

PA Consulting, una empresa especializada subcontratada por Interior, ha perdido información sobre 10.000 delincuentes reincidentes, así como de los 84.000 presos internados en las cárceles de Inglaterra y Gales.

Una portavoz de Interior afirmó que se ha abierto una “investigación rigurosa” sobre el suceso y que se ha alertado a la Policía.

Según concretó la misma fuente, el dispositivo informático guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.

Como varios fiascos de este tipo se han repetido desde el año pasado en este país, la oposición conservadora criticó hoy duramente al Gobierno.

El portavoz de Interior del Partido Conservador, Dominic Grieve, señaló que “lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad”.

Sin ir más lejos, el Ministerio de Defensa del Reino Unido admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años.

Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.

A finales de 2007, igualmente, un disco informático que contenía nombres y números de cuentas bancarias de millones de personas que reciben subsidios en este país se perdió cuando era enviado por correo desde una oficina gubernamental a otra.

Noticia en El Mundo: La venta de datos privados tambalea la fe de los alemanes en la confidencialidad

Alemania está sumida en un escándalo de comercio ilegal de datos privados que hace tambalear la fe del consumidor en lo que consideraba uno de sus bienes más sagrados, la confidencialidad de sus datos.

Lo que hace una semana comenzó con la noticia sobre la venta ilegal de los datos bancarios de 17.000 alemanes a estafadores, que los utilizaron para extraer cantidades fijas mensuales a sus víctimas, se ha convertido en un escándalo.

El caso saltó a la luz gracias a un colaborador de un centro de teleoperadores que denunció que su empresa había vendido un CD con datos sensibles a otras organizaciones que, a su vez, los usaron para perpetrar estafas a través de la venta falsa de billetes de lotería.

El incidente activó la alarma de las asociaciones de consumidores que en tan sólo pocos días han logrado hacerse con los datos de seis millones de personas.

Los datos obtenidos a través de una operación encubierta provienen de empresas de lotería, organizaciones caritativas y proveedores de telefonía móvil. Continúa.

Las métricas de seguridad ayudan a cuantificar y medir las operaciones de seguridad, la transformación de las políticas en acciones y medir los resultados. Facilitan la toma de decisiones y ayudan a mejorar el trabajo y la rendición de cuentas. Pueden ayudar a la dirección a decidir dónde invertir y cómo identificar  controles no productivos. Pero las cifras tienen que ser concretas y mensurables y se deben correlacionar con los riesgos.

Estas métricas van a ser una de los temas más tratados en este blog. Como alguien dijo: “lo que no se puede medir, no existe”.

• ISO 27000: Se encuentra en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

• ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

• ISO 27003: En fase de desarrollo; probable publicación a finales de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

• ISO 27004: En fase de desarrollo; probable publicación a lo largo de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: En fase de desarrollo; probable publicación a finales de 2007 ó principios de 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

El Reglamento consolida la interpretación efectuada a los principios de protección de datos realizada por la Agencia de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo y estipula nuevas medidas legales garantizando una mayor seguridad jurídica.

Se establecen medidas de seguridad específicas para ficheros y tratamientos no automatizados (papel). En el nuevo Reglamento se establece el procedimiento para efectuar el tratamiento de datos de menores, se establecen medidas para garantizar el principio de calidad de los datos, se desarrolla el principio del deber de información, y se desarrolla la regulación relativa a las actividades de publicidad y prospección comercial.