Llegamos a ustedes gracias a:



Reportajes y análisis

Quiénes lideran el camino de las mejores prácticas de privacidad y seguridad

[23/07/2012] ¿Cómo se apilan sus sitios web cuando se trata de la seguridad de los consumidores y la protección de la privacidad? En general, cuando se trata de las mejores prácticas de seguridad y privacidad, los sitios de medios sociales lideran el camino, mientras que los sitios operados por los bancos y el gobierno de los EE.UU. se están quedando atrás.
El 2011 se ha conocido como el "año de las violaciones" debido a los numerosos ataques dirigidos hacia los datos que se registraron ese año, que afectaron a empresas como Sony, RSA, Epsilon y al NASDAQ. En total, de acuerdo con el informe Verizon 2012 Data Breach Investigations Report, en el 2011 se vieron 855 casos de violación de datos y 174 millones de registros comprometidos en 36 países. La tendencia continuó en el 2012, a partir de enero con Zappos, que experimentó una ruptura de 24 millones de archivos.
Verizon encontró que las principales causas de las violaciones en el 2011 fueron incidentes de hacking (81%, por encima del 50% en el 2010) y de malware (69%, por encima del 49% en el 2010). 97% de los incidentes eran evitables a través de pasos simples y controles internos, según encontró Verizon.
La Online Trust Alliance (OTA) ha declarado que tiene la misión de combatir esta tendencia. Siendo un grupo sin fines de lucro formado por académicos y representantes del sector público y privado, la OTA se dedica al desarrollo y la promoción de las mejores prácticas y políticas relativas a la seguridad y la privacidad. Acaba de publicar su cuarta edición de Online Trust Honor Roll para reconocer los sitios de confianza que apoyan las mejores prácticas de seguridad y privacidad.
"Creemos que no solo es importante publicar las mejores prácticas, sino también realizar un seguimiento de la adopción", explica Craig Spiezle, director ejecutivo y presidente de la OTA. "Queremos acelerar la adopción de las mejores prácticas y reconocer a aquellas empresas que están haciendo lo correcto. Espero que podamos hacer que otras nos sigan".
Factores de la lista de honor de seguridad y privacidad
Para la lista de honor 2012 (o cuadro de honor), la OTA revisó más de 1200 sitios que utilizan 10 criterios. Las empresas tenían que ganarse las puntuaciones compuestas de 80% o más a través de los 10 factores individuales para ganar una designación en la lista de honor.
Los factores fueron los siguientes:
* Siempre en SSL (AOSSL)
* Extensión de seguridad de nombre de dominio (DNSSEC)
* Autenticación de mensajes, informes y conformidad en base al dominio (DMARC)
* Autenticación de correo electrónico (SPF y DKIM)
* Certificados SSL con validación extendida (EV SSL)
* Asentamientos FTC desde abril del 2010
* Prácticas de privacidad y seguimiento de datos por parte de terceros
* Implementación de sitios SSL y servidor de configuraciones
* Vulnerabilidades del sitio e incidentes de pérdida y violación de datos desde abril del 2010
* El registro de dominio privado como se informó a la ICANN
Casi el 30% de los sitios reseñados ganaron su designación en la lista de honor, siendo los sitios de medios sociales los que obtuvieron más galardones: 52% de los sitios de medios sociales están en la lista de honor en el 2012, en comparación con solo el 12% en el 2011. Los miembros de la lista de honor de medios sociales incluye un quién es quien de sitios tales como Facebook, Google +, LinkedIn, Twitter y Zynga.
Spiezel cree que las redes sociales han hecho grandes ganancias debido a que su infraestructura tiende a ser más reciente, y por lo tanto deja de lado gran parte de la complejidad que los sitios con más edad, que tienen infraestructura heredada con la que lidiar. Y añade que estos sitios han reconocido que la lucha contra el abuso y el fraude en línea es esencial para su negocio.
"Twitter y tantos otros sitios sociales han adoptado las mejores prácticas", señala. "Ellos reconocen que su infraestructura no es tan compleja como algunos de los sitios o empresas que existen, y se aprovechan de eso".
Los sitios federales se están quedando en la implementación de mejores prácticas
Los sitios del gobierno hicieron avances, pero de acuerdo a los criterios de OTA, aún se encuentran detrás de otros sectores. OTA encontró que solo el 58% de los 50 sitios federales han implementado la autenticación de correo electrónico (SPF o DKIM), por encima del 38% en el 2011. Los sitios federales obtuvieron en promedio una puntuación de 68 en la implementación de SSL en una escala del 1 al 100; el 26% ha implementado EVSSL y 70% ha implementado DNSSEC.
Los sitios de la FDIC lo hicieron un poco mejor. OTA encontró que el 69% de los 100 mejores sitios de la FDIC habían puesto en marcha la autenticación de correo electrónico. Los sitios de la FDIC obtuvieron un promedio de 76 en la implementación de SSL en una escala del 1 al 100; el 55% había puesto en práctica EVSSL. Los sitios obtuvieron en promedio una puntuación de privacidad de 58,52 en una escala del 1 al 100.
Mientras tanto, el 97% de los 100 mejores sitios de comercio electrónico han puesto en práctica la autenticación de correo electrónico, y su aplicación promedio de SSL obtuvo un puntaje de 75,88 en una escala del 1 al 100. Hicieron un puntaje en privacidad de 61,16 en una escala del 1 al 100.
Visión holística de la necesaria protección de datos
"No podemos mirar a la seguridad y a la privacidad de forma aislada", señala Spiezle. "Creo que uno de los retos es que tenemos que tener una visión más integral de la protección de datos. Necesitamos la seguridad y la privacidad por diseño. No puede estar en silos".
"Nuestro mensaje es que se necesita acabar con el concepto de cumplimiento y optar por el concepto de la administración", añade. "El cumplimiento es el suelo, la cantidad mínima de lo que tiene que hacer. Lo que realmente estamos tratando de hacer es elevar la discusión. La administración es muy importante y necesitamos la inversión. Tenemos que ser proactivos. Solo hay dos tipos de empresas: las que han tenido una brecha y las que la tendrán en el futuro".
Para alcanzar el concepto de administración, la OTA está llamando a todas las instituciones financieras, sitios de comercio y sitios gubernamentales de cara al usuario para poner en práctica las siguientes medidas al 1 de noviembre del 2012:
* Implementar SPF y DKIM en todos los dominios y subdominios
* Publicar registros DMARC
* Mejorar la puntuación de implementación de SSL
* Actualizarse a los certificados EV SSL y considerar la adopción de Always On SSL
* Adoptar las 10 Recomendaciones de la OTA para la protección de los negocios, consumidores y la marca
* Revisar las políticas de privacidad y auditar todas las aplicaciones y seguimiento de terceros que se añaden a los sitios
* Iniciar la planificación y el despliegue de DNSSEC
* Revisar la información de WHOIS
Thor Olavsrud, CIO