Reconocimiento a la excelencia en seguridad, protección al consumidor y prácticas responsables de privacidad
Resumen y contexto
Esta auditoría de confianza en línea y cuadro de honor 2018, que toma una instantánea de la adopción de mejores prácticas a finales de 2018, representa el décimo año en que la Online Trust Alliance (OTA) ha llevado a cabo una investigación de referencia para promover las mejores prácticas de seguridad, protección de datos y prácticas responsables de privacidad. Los objetivos principales de este trabajo incluyen elevar el nivel de seguridad y privacidad de los datos y reconocer a las organizaciones que han demostrado excelencia en estos temas. Además del cuadro de honor (Anexo D), esta auditoría incluye una lista de los «Mejores», en la que figuran las 50 mejores organizaciones según la puntuación total obtenida (Anexo C).
Las noticias que recientemente ocuparon los titulares sobre la vulneración de correos electrónicos empresariales (se extrajeron 123 millones de dólares de Facebook y Google), violaciones masivas de datos (383 millones de registros de Marriott) y el tratamiento cuestionable de los datos de los usuarios (varias revelaciones vinculadas con Facebook), así como la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (RGPD), refuerzan la necesidad de que las organizaciones adopten las mejores prácticas en todos los ámbitos: seguridad del correo electrónico, seguridad del sitio y prácticas de privacidad. La Encuesta Global sobre Seguridad y Confianza en Internet que CIGIIpsos realizó en 2018 describe que la situación de la confianza en línea es desoladora. Más de la mitad de los encuestados se muestran más preocupados por la privacidad que el año anterior y la mayoría desconfía en gran medida de las plataformas de redes sociales, los motores de búsqueda y las empresas de tecnología de Internet.[1][2][3][4][5]
En muchas áreas, las prácticas comerciales están dejando de alinearse con las expectativas de los consumidores. Si esta situación se mantiene, la desconfianza en la privacidad y la seguridad que ofrecen las organizaciones podría tener efectos escalofriantes. Para que la economía de Internet prospere, los usuarios deben poder confiar en que su información personal estará segura, que se respetarán sus preferencias y que se protegerá su privacidad.
Las recomendaciones de la OTA y las mejores prácticas evaluadas en esta auditoría no solo son relevantes para el correo electrónico, los sitios web y las aplicaciones móviles, sino también a la cada vez mayor oferta del Internet de las cosas (IoT, Internet of Things). Además de esta auditoría, los fabricantes de IoT deberían consultar las recomendaciones que el marco de confianza para IoT de OTA hace específicamente para las ofertas de IoT.[6]La auditoría de 2018 se ha mejorado en varias áreas: subsectores adicionales, un nuevo sector importante (atención médica) y criterios ampliados en cada categoría principal, que ahora contemplan más de 100 atributos de datos (Anexo B). De esta forma, se ofrece una visión más completa de la confianza en línea en una mayor variedad de organizaciones competentes. Se han añadido nuevos criterios y se ha actualizado la ponderación para reflejar la evolución del panorama de amenazas, el entorno normativo y las prácticas aceptadas a nivel mundial. Además, se recogieron principios de alto nivel relacionados con el RGPD para crear un punto de referencia para futuras auditorías. Para ayudar a las organizaciones, este informe incluye una lista de verificación de las mejores prácticas (Anexo E) y recursos de implementación (Anexo F).
Es importante señalar que la auditoría se limita a un período de tiempo. Debido a la naturaleza dinámica del sitio web y las configuraciones de las aplicaciones, es posible que las puntuaciones de las organizaciones hayan cambiado desde que se completó la auditoría. Todo el análisis se realizó sin la participación activa de los sitios analizados. Los sitios se seleccionaron en base a su clasificación dentro de sus sectores particulares o listas públicas (o afiliación institucional en Internet Society). En los casos en que se identificó una vulnerabilidad significativa, la OTA siguió las prácticas de divulgación de información concertadas e intentó ponerse en contacto con la entidad «en riesgo» para darle la oportunidad de remediar el problema observado y ser revisada antes de la publicación de este informe.
Notas finales
[1] Hombre que estafó a Google y Facebook se declara culpable de robar 123 millones de dólares con ataques BEC https://www.scmagazine.com/home/security-news/cybercrime/google-facebook-fraudster-pleads-guilty-to-stealing-123-million-in-bec-scams/
[2] Marriott dice que menos clientes se vieron afectados por la violación masiva de datos https://www.usatoday.com/story/travel/news/2019/01/04/marriott-says-fewer-customers-affected-massive-data-hacking/2481601002/
[3] Los problemas de privacidad de Facebook: un resumen https://www.theguardian.com/technology/2018/dec/14/facebook-privacy-problems-roundup
[4] Reglamento General de Protección de Datos de la UE (RGPD) https://eugdpr.org/
[5] Encuesta Global sobre Seguridad y Confianza en Internet 2018 de CIGI-Ipsos https://www.cigionline.org/internet-survey-2018
[6] Marco de confianza de IoT de la OTA https://www.internetsociety.org/iot/trust-framework/