Glosario KW | KW Glossary


Ontology Design | Diseño de Ontologías

All categories

Page: (Previous)   1  ...  4  5  6  7  8  9  10  11  12  13  ...  63  (Next)
  ALL

COPYRIGHT

Picture of System Administrator

Asegurar los datos empresariales

by System Administrator - Wednesday, 18 February 2015, 7:58 PM
 

Cinco pasos para asegurar los datos empresariales

por Warwick Ashford

Las investigaciones han revelado que la pérdida de datos es una de las principales preocupaciones de los ejecutivos de TI, según la firma de gestión de datos Iron Mountain, que ha compilado cinco pasos para asegurar los datos para conmemorar el Día de la Protección de Datos.

La iniciativa internacional, ahora en su noveno año, tiene como objetivo sensibilizar a los consumidores y las empresas de la importancia de salvaguardar los datos, respetando la privacidad y creando confianza.

El 28 de enero fue elegido porque ese día, en 1981, el Consejo de Europa aprobó el Convenio 108 sobre la protección de los datos personales de los individuos, la raíz de toda la legislación sobre privacidad y protección de datos.

La gerente senior de marketing de producto y soluciones de Iron Mountain, Jennifer Burl, dijo que las empresas de todos los tamaños pueden beneficiarse con los consejos sobre cómo mejorar la seguridad de sus datos.

"De acuerdo con la Alianza Nacional para la Ciberseguridad, el 50% de los ataques cibernéticos dirigidos están apuntados a empresas con menos de 2,500 empleados", agregó.

Burl dijo que hay cinco pasos que las empresas pueden tomar para mantener los datos seguros y protegidos para evitar problemas legales y reglamentarios.

Paso 1: Conozca dónde residen su datos

"No puede completar su plan de seguridad hasta que usted sepa exactamente lo que está protegiendo y dónde se almacena", dijo Burl.

La mayoría de las empresas almacenan datos en múltiples tipos de medios: discos locales, sistemas de respaldo basados en disco, en cintas fuera de las instalaciones y en la nube. Cada tecnología y formato requiere su propio tipo de protección.

Paso 2: Ponga en práctica una política de “conocimiento según necesidad”

Para minimizar el riesgo del error humano (o curiosidad), cree políticas que limiten el acceso a los conjuntos de datos particulares.

Designe el acceso basado en descripciones herméticas de puestos. También asegúrese de automatizar las entradas de acceso al registro para que nadie que ha tenido acceso a un conjunto de datos en particular pase inadvertido.

Paso 3: Refuerce la seguridad de su red

"Su red está casi seguramente protegida por un firewall y un software antivirus. Pero es necesario asegurarse de que esas herramientas están actualizadas y son lo suficientemente amplias como para hacer el trabajo", dijo Burl.

Diariamente se lanzan nuevas definiciones de malware, y el software antivirus tiene que seguirles el ritmo.

La filosofía de traiga su propio dispositivo está aquí para quedarse, y su equipo de TI debe extender su paraguas de seguridad sobre los teléfonos inteligentes y las tabletas que los empleados utilizan para fines de negocios.

Paso 4: Monitoree e informe sobre el ciclo de vida de sus datos

Cree un plan de gestión del ciclo de vida de los datos para garantizar la destrucción segura de los datos datos antiguos y obsoletos de la empresa.

Como parte de este proceso, las empresas deben:

Paso 5: Educar a todo el mundo

"La seguridad de los datos se trata, en última instancia, de la gente", dijo Burl. “Cada empleado debe entender los riesgos y consecuencias de las violaciones de datos y saber cómo prevenirlas, especialmente con el aumento de los ataques de ingeniería social”.

"Hable con sus empleados acerca de las vulnerabilidades, como enlaces web de malwarehábilmente disfrazados en mensajes de correo electrónico no solicitados. Anímelos a hablar si sus computadoras empiezan a funcionar de forma extraña".

Construya una cultura de seguridad en la cual todo el mundo entienda el valor crítico de sus datos de negocio y la necesidad de su protección. "Porque cuando se piensa en ello, todos los días son días de protección de datos", dijo Burl.

Educar a los usuarios para proteger la economía

La firma de gestión de contenido Intralinks dijo que muchas personas traen malos hábitos de seguridad de su casa al negocio, por lo que la educación de los usuarios no se trata solo de protegerlos, sino también sobre la protección de la economía.

El director de tecnología para Europa de Intralinks, Richard Anstey, dijo que puede ser contraproducente decirle a la gente que utilice contraseñas seguras, ya que crea una falsa sensación de seguridad que la gente luego lleva al trabajo.

"Cuando se trata de información muy sensible, como el protocolo de Internet, la gente necesita saber acerca de medidas muy seguras, como la gestión de los derechos de información", dijo.

Según Anstey, la seguridad se trata de saber cuál es el peligro y cómo implementar el nivel adecuado de protección.

"Si queremos una sociedad con datos verdaderamente seguros tenemos que empezar por asegurar que las personas saben qué valor tienen sus datos, entonces pueden tomar una decisión informada sobre cómo asegurarlos", dijo.

Demasiado énfasis en las amenazas externas

La firma de cifrado Egress ha advertido que muchos negocios se están centrando en las amenazas externas.

Una solicitud de libertad de la Información (FOI) de Egress a la Oficina del Comisionado de Información del Reino Unido reveló que el 93% de las brechas de datos se producen como consecuencia de un error humano.

El directores general de Egress, Tony Pepper, dijo que las empresas deberían empezar a mirar más cerca de casa para evitar las violaciones de datos.

"Los errores tales como la pérdida de un dispositivo sin cifrar en el correo o enviar un correo electrónico a la persona equivocada están hiriendo a las organizaciones", dijo.

Pepper añadió que los datos del FOI muestran que se ha gastado un total de 7.7 millones de dólares por errores cometidos al manejar información sensible, mientras que hasta la fecha no se han aplicado multas debido a fallos técnicos que exponen datos confidenciales.

"El error humano nunca será erradicado, ya que la gente siempre comete errores. Por lo tanto, las organizaciones necesitan encontrar formas de limitar el daño causado por estos errores", dijo.

Según Egress, la política debe ser soportada por tecnología de fácil uso que permita formas seguras de trabajar sin afectar la productividad, al tiempo que proporciona una red de seguridad para cuando los usuarios cometen errores.

Las empresas necesitan un enfoque proactivo para la seguridad de los datos

La firma de gobernabilidad de datos Axway dijo que los negocios necesitan tomar un enfoque proactivo hacia la seguridad de los datos frente a los hackers maliciosos y las brechas de datos.

El vicepresidente del Programa de Salida al Mercado de Axway, Antoine Rizk, dijo que en un mundo cada vez más conectado, las empresas necesitan monitorear proactivamente sus flujos de datos para prevenir las brechas de datos costosos.

"Sin embargo, muchas organizaciones grandes siguen esperando a que algo salga mal antes de abordar las fallas en sus estrategias de seguridad –un movimiento que fracasó en algunas de las brechas de seguridad más famosas de 2014", dijo.

Axway predice que en 2015, traer tu propio dispositivo va a evolucionar rápidamente en traer tu propio Internet de las cosas, con los empleados trayendo dispositivos vestibles al lugar de trabajo.

“Para que esa mayor movilidad empresarial abra las ventanas de oportunidades para las empresas, sin allanar el camino para que los hackers accedan a los datos privados, la seguridad debe evolucionar a la misma velocidad que los propios dispositivos", dijo Rizk.

"Las organizaciones también necesitan saber qué datos están trayendo a la oficina los empleados y qué datos están sacando de ella para asegurarse de que los ataques maliciosos y la actividad conspicua están bloqueados", dijo.

Es importante destacar los riesgos en las plataformas móviles

La empresa de protección de aplicaciones Arxan dijo que, en el Día de la Protección de Datos, es importante destacar el aumento de los riesgos en las plataformas móviles, especialmente en el sector bancario y de pagos.

El director de ventas para Europa de Arxan, Marcos Noctor, dijo que la firma predice que los riesgos de seguridad en el sector financiero serán un área clave de amenazas para el 2015.

"Con esto en mente, es vital que la seguridad de las aplicaciones móviles tome prioridadconforme los bancos, proveedores de pago y los clientes busquen hacer más en los dispositivos móviles", dijo.

Una investigación de Arxan reveló que 95% de las 100 mejores aplicaciones financieras de Android y 70% de las aplicaciones de iOS han sido hackeadas el año pasado.

La compañía dijo: "Nos gustaría recomendar a los clientes bancarios y de pago que están considerando el uso de una aplicación financiera móvil que tomen las siguientes medidas para aumentar la seguridad:

  • Descargue aplicaciones bancarias y de pago solo de las tiendas de aplicaciones certificadas;

  • Pregunte a su institución financiera o proveedor de pago si su aplicación está protegida contra la ingeniería inversa;

  • No se conecte a un correo electrónico, banco u otra cuenta sensible a través de WiFi público. Si eso es inevitable –porque usted pasa mucho tiempo en cafés, hoteles o aeropuertos, por ejemplo– pague por el acceso a una red privada virtual, que mejorará considerablemente su privacidad en las redes públicas;

  • Pregunte en su banco o proveedor de pago móvil si han desplegado protecciones automáticas para las aplicaciones que han lanzado en las tiendas de aplicaciones. No confíe solo en antivirus móviles, antispam o sus soluciones de seguridad de dispositivos para toda la empresa para proteger aplicaciones que residen en su dispositivo móvil contra los hackeos o ataques de malware”.

Más noticias y tutoriales

 

Picture of System Administrator

AUACODE

by System Administrator - Saturday, 30 August 2014, 12:31 AM
 

 

 Por Dr. Mario Cabrera Avivar

¿Qué es AUACoDe y en qué se inspiró?

AUACoDe, Asociación Uruguayo Andaluza para la Cooperación y el Desarrollo, es una Asociación Civil sin fines de lucro; que se inspiró en un ser nacional con identidad y autoestima, respetuoso y orgulloso de su pasado, comprometido con su presente y proyectado hacia el futuro con una visión de un porvenir enmarcado en la ética de la vida.

¿Cuándo y quienes la gestaron y constituyeron?

Se   gestó en 1999, a iniciativa de su actual Presidente, Dr. Mario Cabrera Avivar, junto a un grupo de personas, provenientes de diversas actividades de vida, vinculadas a la cultura, el arte, las ciencias sociales y exactas, la educación y la tecnología; se constituyó formalmente en abril del 2000 y obtuvo su Personería Jurídica, por resolución del Sr. Ministro de Educación y Cultura, el 16 de enero del 2001, siendo registrada con el número 8593, en el folio 70 del libro 17.

¿Por qué y para qué la constituyeron?

Por nuestra condición de descendientes de españoles-andaluces, con orgullo y por mandato de sangre, con la conciencia y la convicción de la necesidad de trascender nuestros tiempos, desde el ámbito del estado uruguayo, caracterizado por tener una población, crisol de inmigrantes predominantemente españoles, en un contexto como el actual, en el que el fenómeno inmigratorio se ha revertido, por diversos motivos.

Para :

  • Reafirmar la contribución, de carácter abierta y universal, de los valores y el legado cultural andaluz a estas tierras, como parte del rico legado español, en base a los valores esenciales de España y sus Regiones, como los principales sustentos de nuestra Identidad, aún compartidos con otras corrientes migratorias (incluídas las autóctonas), como lo expresa el escudo de una de sus comunidades autónomas : "Andalucía por sí, para España y la Humanidad"
  • Potenciar nuestra Autoestima en base a actividades vinculantes intergeneracionales, interterritoriales interdisciplinarias e interorganizacionales.

¿Cuál es su Objeto Social?

"Fomentar, promover, realizar y apoyar, con independencia de cualquier corriente de pensamiento político, religioso o filosófico, actividades de cooperación y desarrollo, social, cultural, educativo, científico y tecnológico, a nivel nacional, regional e internacional...", entre Uruguay y España, prioritariamente con la Comunidad Andaluza y " fomentar la  inserción  de  jóvenes en las actividades proyectadas, como factor de cambio futuro, que promueva el desarrollo ambiental y humano saludables y reconozca a la cooperación, como prioridad estratégica para el fortalecimiento de las capacidades locales, nacionales, regionales e internacionales de Iberoamérica, a fin de poder contribuir con su desarrollo integral".

¿Cuándo y para qué se integró a la Federación de Instituciones Españolas o FIE?

Se integró, como miembro pleno de la FIE desde Junio/2001, para:

  • Compartir igualitaria y fraternalmente con todos sus miembros, el deseo y  la acción de pertenencia, desarrollo y grandeza para Uruguay y España. 
  • Complementar e interactuar sinérgicamente con todos los miembros y allegados afines a las instituciones de la FIE, sus actividades  principalmente culturales lúdicas.

¿Qué actividades ha desarrollado e impulsado, desde el año 2000?

  • Festejo del Día de Andalucía, el 28 de febrero.
  • Reuniones Ordinarias de Comisión Directiva(mensuales) y de Asamblea Ordinaria.
  • Actividades Profesionales de Proyectos, vinculado al quehacer de sus miembros socios, acordes con las siguientes  Áreas de Actividad.

¿Qué vínculos nacionales e internacionales ha generado?

Con personas e Instituciones Públicas y Privadas en Uruguay, la Región Iberoamericana, España, Italia, Alemania y con Organismos Transnacionales como OPS/OMS, Federación de Cruz Roja y Unión Europea.

¿Qué siente necesario apoyar?

La necesidad de información a la población general, en particular a los niños, jóvenes, madres y ancianos, para fortalecer su identidad, su autoestima y sus potencialidades para el desarrollo social sustentable, en base a una economía genuina, en pro de un bienestar general viviendo la vida con salud y alegría.

¿Cuál es la Sede Oficial, con quién y a dónde comunicarse ?

Su sede oficial está en el Ateneo de Montevideo, Plaza Cagancha 1157, donde se reune la Comisión Directiva,; pudiendo comunicarse también, con su Presidente, Dr. Mario Cabrera Avivar en la Dirección Postal: Cap.Videla 2891,CP 11600, Montevideo, Tel.709 4970, Cel.(096) 100 000 o al E-mail:auacode@gmail.com

¿Cómo y para qué asociarse?

Se puede asociar telefónicamente o por e-mail, brindando :Nombre completo, Nacionalidad, Tipo y Nº de Documento de Identidad, SIN MÁS COSTO, que aportar sus ideas y su tiempo, para hacer y desarrollar con nuestra Institución un punto de encuentro y proyección de nuestras ideas solidarias y de futuro, respetuosas de nuestro pasado y responsables con nuestro presente y futuro. 

 

Director de AUACODE: Dr. Mario Cabrera Avivar

Sitio Web/Campus Virtual: http://auacode.org

Picture of System Administrator

B (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:15 PM
 
Picture of System Administrator

Better Business Bureau (BBB)

by System Administrator - Friday, 26 May 2017, 1:50 PM
 

Better Business Bureau (BBB)

The Better Business Bureau (BBB) is a non-profit accreditor of ethical businesses. The BBB also acts as a consumer watchdog for questionable sales tactics and scams.

Accreditation allows companies to be certified as legitimate and reputable businesses. For consumers, BBB offers free business reviews of over four million businesses and investigates complaints.

As an avenue for voluntary industry self-regulation, the BBB offers a business code that organizations can pledge to adhere to, paying a fee and receiving a BBB logo to display as a sign of reputability. The BBB also intermediates customer complaints in an official capacity. The organization resolves about 75 percent of more than 885,000 consumer complaints per year.

Fraudulent activities the BBB has dealt with, and raised awareness of, include telephone cruise contest frauds, “Can you hear me?” scams and various tech support scams

Although the BBB is not affiliated with any government department and endorses no particular business, the organization itself isn't without controversy. The non-profit has been alleged to give higher ratings to businesses which pay a membership to the organization, a charge which they deny.

Picture of System Administrator

BYOC y BYOA

by System Administrator - Wednesday, 25 February 2015, 5:18 PM
 

Todo lo que necesita saber de los movimientos BYOC y BYOA

por Moriah Sargent

Muchos trabajadores tienen ahora varios dispositivos móviles para sus vidas personales y profesionales. Los dispositivos suelen funcionar como ambos, una tendencia conocida como traer su propio dispositivo (BYOD) para trabajar. La nube abrió la posibilidad de versiones virtuales de esta práctica, subconjuntos de BYOD conocidos como traer su propia nube (BYOC) –usar una nube personal para el trabajo– y traer su propia aplicación (BYOA) –usar una aplicación personal única para el trabajo. La mayoría de las aplicaciones propias “que se pueden traer” están alojadas en la nube, y un entorno de nube que se trae al lugar de trabajo a menudo tendrá varias aplicaciones que el empleado puede utilizar. Continúe leyendo para obtener respuestas a las preguntas más frecuentes acerca de BYOC y BYOA.

¿Por qué los empleados están tan atraídos por traer sus propias herramientas?

BYOA y BYOC son una respuesta al aumento de la movilidad física y virtual de la fuerza de trabajo. Los empleados quieren y necesitan tener acceso a la información desde diferentes ubicaciones y dispositivos. Las comunicaciones personales, el almacenamiento y las herramientas de colaboración les dan a los trabajadores una mayor flexibilidad. Los servicios más populares incluyen Google Drive, Apple iCloud, Dropbox, Skype y Yammer.

Los empleados que acuden a los servicios de nube y aplicaciones personales también pueden estar huyendo de aplicaciones deficientes internas o herramientas para toda la compañía, una indicación de que los empleados quieren y necesitan más aplicaciones fáciles de usar y servicios en la nube, según el consultor y colaborador de SearchCloudApplications, Tom Nolle. Los empleados también pueden sentir la necesidad de cambiar porque quieren trabajar con una herramienta más familiar.

¿Cuáles son algunas ventajas de la práctica?

Una gran ventaja de las herramientas de nube personales es que los empleados pueden acceder a la información de trabajo desde más ubicaciones y dispositivos, una función útil en muchas circunstancias. Por ejemplo, si los empleados que regresan de las vacaciones se retrasan en el aeropuerto, los servicios en la nube y las aplicaciones personales les permiten trabajar sin tener una computadora portátil de trabajo en el viaje.

Si todos los empleados están utilizando su propio conjunto de herramientas, puede ser caótico, pero también puede ser una manera de reducir el gasto en TI. Tom Nolle señala que el uso personal de muchas herramientas de almacenamiento en nube, como Google Drive, es gratuita, pero las versiones de la empresa tienen una tarifa.

BYOC y BYOA también ofrecen la oportunidad para que los empleados encuentren una herramienta que realice todas las funciones que necesitan. Esto puede liberar a los empleados de la molestia de trabajar con herramientas problemáticas que no responden a todas sus necesidades.

¿Cuáles son los riesgos de seguridad involucrados con BYOC y BYOA?

Todo lo relacionado con la nube parece activar las alarmas de advertencia para la gente de seguridad de TI. Esas preocupaciones no son infundadas. Un estudio de 2014 realizado por Edge Strategies y patrocinado por la empresa de gestión de TI remota LogMeIn Inc. encontró que TI subestimó el número de aplicaciones no autorizadas descargadas por el usuario que se están utilizando en sus empresas. TI estima que existe un promedio de 2.8 aplicaciones no autorizadas en sus empresas, pero el número real se acerca a 28.

La falta de conocimiento de TI –no saber qué aplicaciones externas se han traído a la empresa– significa que TI probablemente no está asegurando estos dispositivos o la información de la empresa a la que se accede en ellos. Los empleados que son despedidos o dejan una organización pueden irse con datos de la empresa aún en sus dispositivos personales. Incluso si TI es consciente de las aplicaciones y servicios en la nube que los empleados están utilizando, es difícil confirmar que la información de la empresa se ha eliminado de todos sus dispositivos.

Aunque TI debe tener conocimiento y tratar de abordar estos puntos, algunas preocupaciones de seguridad podrían ser universales. Las laptops de la empresa y las memorias USB pueden perderse, ser robadas o hackeados, dando lugar a una pérdida de datos de la compañía. Y el almacenamiento corporativo centralizado puede ser atractivo para los hackers, ya que la información confidencial de la compañía está en un solo lugar y se puede acceder a toda ella a la vez. La nube puede complicar las cosas, pero no inventó los problemas de seguridad de datos.

¿Qué otros problemas hay?

Las aplicaciones desconocidas no solo introducen problemas de seguridad, sino también plantean preguntas acerca de la estabilidad de la red de la empresa. Si TI no sabe qué aplicaciones se están ejecutando en la red, no saben cuánto ancho de banda están utilizando esas aplicaciones.

Aunque ser capaces de acceder a los documentos de trabajo desde cualquier dispositivo hace más fácil la vida de los empleados cuando están trabajando, también puede colapsar los límites entre la vida profesional y personal de los empleados y puede conducir a la frustración y al agotamiento de los empleados que encuentran que ya no pueden dejar el trabajo atrás. Los gerentes deben asegurarse de que los empleados que practican BYOC o BYOA equilibren el trabajo y la vida personal de forma adecuada.

El punto de BYOA y BYOC es aumentar la productividad, pero algunas herramientas podrían terminar siendo más molestas que útiles. Además, los empleados pueden terminar usando demasiadas herramientas, lo que elimina una de las ventajas de BYOC y BYOA.

¿Cómo deberían responder TI y la gerencia?

Muchos expertos recomiendan que TI se involucre con el movimiento BYOC y BYOA sin sofocarlo. Los equipos de TI pueden hacer esto respetando las opciones de los trabajadores sin dejar de ser conscientes de dónde están poniendo información los empleados.

Los administradores y los equipos de TI deben averiguar lo que los empleados están haciendo con las nubes y las aplicaciones personales, y luego decidir si las herramientas externas son buenas para la empresa e introducir el uso en una política. Los gerentes de proyecto pueden ayudar a TI  alentando a los empleados a asentarse en un solo entorno (si es posible), para que las aplicaciones externas ayuden con la organización en lugar de introducir una mayor desorganización.

Además de implementar una política para traer sus propias prácticas, TI también puede colocar un producto de gestión de dispositivos móviles (MDM) en los dispositivos que los empleados utilizan para acceder a aplicaciones externas. Una herramienta de MDM permite a TI mantener un ojo en las aplicaciones y servicios que los empleados están utilizando. Otro paso es la creación de una tienda de aplicaciones corporativa desde la cual los empleados pueden descargar aplicaciones aprobadas por la empresa.

Los equipos de TI también deben evaluar si la infraestructura de la empresa puede manejar todas las aplicaciones y los servicios de nube que los empleados están ejecutando sobre la red.

Más noticias y tutoriales

Picture of System Administrator

C (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:16 PM
 
  • Cassandra - Apache Cassandra is an open source distributed database sys...
  • Cassandra (Apache Cassandra) - Apache Cassandra is a...
  • cluster panic - Cluster panic is a multiple-node kernel panic that ...
  • Compiere - Compiere is a popular open-source system of software applicat...
  • configuration management software - Puppet is a...
  • Connector ODBC - MySQL Connector/ODBC (sometimes called just Conne...
  • Connector/ODBC - MySQL Connector/ODBC (sometimes called just Conne...
  • Cosmos - Cosmos is an open source, evolving, .NET-based operating system d...
  • Creative Commons - Creative Commons is a nonprofit organization ...
  • Cygwin - Cygwin is an open source collection of tools that allows Unix or ...
  • Darwin - Darwin is the basic "core" of OS X, the operating system for Appl...
Picture of System Administrator

Cadena de Bloques

by System Administrator - Thursday, 23 March 2017, 12:48 PM
 

Formación de una cadena de bloques. La cadena mayor (negra) consiste del serie de bloques más larga del bloque de génesis (verde) al bloque actual. Bloques huerfanos (púrpura) existen fuera de la cadena mayor

Cadena de Bloques

Fuente: Wikipedia

Una cadena de bloques, también conocida por las siglas BC (del inglés Blockchain)1 2 3 4 5 es una base de datos distribuida, formada por cadenas de bloques diseñadas para evitar su modificación una vez que un dato ha sido publicado usando un sellado de tiempo confiable y enlazando a un bloque anterior.6 Por esta razón es especialmente adecuada para almacenar de forma creciente datos ordenados en el tiempo y sin posibilidad de modificación ni revisión. Este enfoque tiene diferentes aspectos:

  • Almacenamiento de datos.- Es lograda mediante la replicación de la información de la cadena de bloques
  • Transmisión de datos.- Es lograda mediante peer-to-peer
  • Confirmación de datos.- Es lograda mediante un proceso de consenso entre los nodos participantes. El tipo de algoritmo más utilizado es el de prueba de trabajo en el que hay un proceso abierto competitivo y transparente de validación de las nuevas entradas llamada minería.

El concepto de cadena de bloque fue aplicado por primera vez en 2009 como parte de Bitcoin.

Los datos almacenados en la cadena de bloques normalmente suelen ser transacciones (Ej. financieras) por eso es frecuente llamar a los datos transacciones. Sin embargo no es necesario que lo sean. Realmente podríamos considerar que lo que se registran son cambios atómicos del estado del sistema. Por ejemplo una cadena de bloques puede ser usada para estampillar documentos y securizarlos frente a alteraciones.7

 

Aplicaciones

El concepto de cadena de bloques es usado en los siguientes campos:

  • En el campo de las criptomonedas la cadena de bloques se usa como notario público no modificable de todo el sistema de transacciones a fin de evitar el problema de que una moneda se pueda gastar dos veces. Por ejemplo es usada en BitcoinEthereumDogecoin y Litecoin, aunque cada una con sus particularidades 8 .
  • En el campo de las bases de datos de registro de nombres la cadena de bloques es usada para tener un sistema de notario de registro de nombres de tal forma que un nombre solo pueda ser utilizado para identificar el objeto que lo tiene efectivamente registrado. Es una alternativa al sistema tradicional de DNS. Por ejemplo es usada en Namecoin.
  • Uso como notario distribuido en distintos tipos de transacciones haciéndolas más seguras, baratas y rastreables. Por ejemplo se usa para sistemas de pago, transacciones bancarias (dificultando el lavado de dinero), envío de remesas y préstamos.
  • Es utilizado como base de plataformas descentralizadas que permiten soportar la creación de acuerdos de contrato inteligente entre pares. El objetivo de estas plataformas es permitir a una red de pares administrar sus propios contratos inteligentes creados por los usuarios. Primero se escribe un contrato mediante un código y se sube a la cadena de bloques mediante una transacción. Una vez en la cadena de bloques el contrato tiene una dirección desde la cual se puede interaccionar con él. Ejemplos de este tipo de plataformas son Ethereum y Eris

Clasificación

Las cadenas de bloques se pueden clasificar basándose en el acceso a los dos datos almacenados en la misma7 :

  • Cadena de bloques pública: Es aquella en la que no hay restricciones ni para leer los datos de la cadena de bloques (los cuales pueden haber sido cifrados) ni para enviar trasacciones para que sean incluidas en la cadena de bloques
  • Cadena de bloques privada: Es aquella en la que tanto los accesos a los datos de la cadena de bloque como el envío de transacciones para ser incluidas, están limitadas a una lista predefinida de entidades

Ambos tipos de cadenas deben ser considerados como casos extremos pudiendo haber casos intermedios.

Las cadenas de bloques se pueden clasificar basándose en los permisos para generar bloques en la misma7 :

  • Cadena de bloques sin permisos: Es aquella en la que no hay restricciones para que las entidades puedan procesar transacciones y crear bloques. Este tipo de cadenas de bloques necesitan tokens nativos para proveer incentivos que los usuarios mantengan el sistema. Ejemplos de tokens nativos son los nuevos bitcoins que se obtienen al construir un bloque y las comisiones de las transacciones. La cantidad recompensada por crear nuevos bloques es una buena medida de la seguridad de una cadena de bloques sin permisos.
  • Cadena de bloques con permisos: Es aquella en la que el procesamiento de transacciones está desarrollado por una predefinida lista de sujetos con identidades conocidas. Por ello generalmente no necesitan tokens nativos. Los tokens nativos son necesarios para proveer incentivos para los procesadores de transacciones. Por ello es típico que usen como protocolo de consenso prueba de participación

Las cadenas de bloques públicas pueden ser sin permisos (ej. Bitcoin) o con permisos (ej. cadenas laterales federadas9 . Las cadenas de bloques privadas tienen que ser con permisos 9 . Las cadenas de bloques con permisos no tienen que ser privadas ya que hay distintas formas de acceder a los datos de la cadena de bloques como por ejemplo7 :

  • Leer las transacciones de la cadena de bloques, quizás con algunas restricciones (Ejemplo un usuario puede tener acceso sólo a las transacciones en las que está involucrado directamente)
  • Proponer nuevas transacciones para la inclusión en la cadena de bloques.
  • Crear nuevos bloques de transacciones y añadirlo a la cadena de bloques.

Mientras que la tercera forma de acceso en las cadenas de bloques con permisos está restringida para cierto conjunto limitado de entidades, no es obvio que el resto de accesos a la cadena de bloques debería estar restringido. Por ejemplo una cadena de bloques para entidades financieras sería una con permisos pero podría7 :

  • Garantizar el acceso de lectura (quizá limitada) para transacciones y cabeceras de bloques para sus clientes con el objetivo de proveer una tecnológica, transparente y fiable forma de asegurar la seguridad de los depósitos de sus clientes.
  • Garantizar acceso de lectura completo a los reguladores para garantizar el necesario nivel de cumplimiento.
  • Proveer a todas las entidades con acceso a los datos de la cadena de bloques una descripción exhaustiva y rigurosa del protocolo, el cual debería contener explicaciones de todas las posibles interacciones con los datos de la cadena de bloques.

 

Cadena lateral

Una cadena lateral, en inglés sidechain, es una cadena de bloques que valida datos desde otra cadena de bloques a la que se llama principal. Su utilidad principal es poder aportar funcionalidades nuevas, las cuales pueden estar en periodo de pruebas, apoyándose en la confianza ofrecida por la cadena de bloques principal10 11 . Las cadenas laterales funcionan de forma similar a como hacían las monedas tradicionales con el patrón oro.12

Un ejemplo de cadena de bloques que usa cadenas laterales es Lisk13 . Debido a la popularidad de Bitcoin y la enorme fuerza de su red para dar confianza mediante su algoritmo de consenso por prueba de trabajo, se quiere aprovechar como cadena de bloques principal y construir cadenas laterales vinculadas que se apoyen en ella. Una cadena lateral vinculada es una cadena lateral cuyos activos pueden ser importados desde y hacia la otra cadena. Este tipo de cadenas se puede conseguir de las siguiente formas11 :

  • Vinculación federada, en inglés federated peg. Una cadena lateral federada es una cadena lateral en la que el consenso es alcanzado cuando cierto número de partes están de acuerdo (confíanza semicentralizada). Por tanto tenemos que tener confianza en ciertas entidades. Este es el tipo de cadena lateral Liquid, de código cerrado, propuesta por Blockstream14 .
  • Vinculación SPV, en inglés SPV peg donde SPV viene de Simplified Payment Verification. Usa pruebas SPV. Esencialmente una prueba SPV está compuesta de una lista de cabeceras de bloque que demuestran prueba de trabajo y una prueba criptográfica de que una salida fue creada en uno de los bloques de la lista. Esto permite a los verificadores chequea que cierta cantidad de trabajo ha sido realizada para la existencia de la salida. Tal prueba puede ser invalidada por otra prueba demostrando la existencia de una cadena con más trabajo la cual no ha incluido el bloque que creó la salida. Por tanto no se requiere confianza en terceras partes. Es la forma ideal. Para conseguirla sobre Bitcoin el algoritmo tiene que ser modificado y es dificil alcanzar el consenso para tal modificación. Por ello se usa con bitcoin vinculación federada como medida temporal

Referencias

  • An Integrated Reward and Reputation Mechanism for MCS Preserving Users’ Privacy. Cristian Tanas, Sergi Delgado-Segura, Jordi Herrera-Joancomartí. 4 de febrero de 2016. Data Privacy Management, and Security Assurance. 2016. pp 83-99
  1. Economist Staff (2015-10-31). «Blockchains: The great chain of being sure about things»The Economist. Consultado el 18 June 2016. «[Subtitle] The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto currency.»
  2. Morris, David Z. (2016-05-15). «Leaderless, Blockchain-Based Venture Capital Fund Raises $100 Million, And Counting»Fortune (magazine). Consultado el 2016-05-23.
  3. Popper, Nathan (2016-05-21). «A Venture Fund With Plenty of Virtual Capital, but No Capitalist»New York Times. Consultado el 2016-05-23.
  4. Brito, Jerry & Castillo, Andrea (2013). «Bitcoin: A Primer for Policymakers». Fairfax, VA: Mercatus Center, George Mason University. Consultado el 22 October 2013.
  5. Trottier, Leo (2016-06-18). «original-bitcoin» (self-published code collection). github. Consultado el 2016-06-18. «This is a historical repository of Satoshi Nakamoto's original bit coin sourcecode».
  6. «Blockchain»Investopedia. Consultado el 19 March 2016. «Based on the Bitcoin protocol, the blockchain database is shared by all nodes participating in a system.»
  7. a b c d e Public versus Private Blockchains. Part 1Public versus Private Blockchains. Part 2. BitFury Group in collaboration with Jeff Garzik. Octubre 2015
  8. «Particularidades Desarrollo Blockchain». Consultado el 7 Marzo 2017.
  9. Digital Assets on Public Blockchains. BitFury Group. Marzo 2016
  10. La revolución de la tecnología de las cadenas de bloques y su impacto en los sectores económicos. Ismael Santiago Moreno. Profesor Doctor de Finanzas. Universidad de Sevilla octubre 2016
  11. a b Enabling Blockchain Innovations with Pegged Sidechains. Adam Back et ali. 2014
  12. Cadenas laterales: el gran salto adelante. Majamalu el 11 abril, 2014 en Economía, Opinión
  13. Lisk libera la primera criptomoneda modular con cadenas laterales. Bitcoin PR Buzz. Mayo 2016
  14. Liquid Recap and FAQ. Johnny Dilley. Noviembre de 2015

Enlaces externos

Link: https://es.wikipedia.org

Picture of System Administrator

CISSP: Certified Information Systems Security Professional

by System Administrator - Friday, 5 September 2014, 10:02 PM
 

Certified Information Systems Security Professional (CISSP)

Posted by Margaret Rouse

The Certified Information Systems Security Professional (CISSP) is an information security certification that was developed by the International Information Systems Security Certification Consortium, also known as (ISC)².

The Certified Information Systems Security Professional (CISSP) is an information security certification that was developed by the International InformationSystems Security Certification Consortium, also known as (ISC)².

The Certified Information Systems Security Professional (CISSP) exam is designed to ensure that someone handling computer security for a company or client has mastered a standardized body of knowledge. The six-hour exam, which asks 250 questions, certifies security professionals in ten different areas:

  1. Access control systems and methodology
  2. Application and systems development security
  3. Business continuity planning & disaster recovery planning
  4. Cryptography
  5. Law, investigation, and ethics
  6. Operations security
  7. Physical security
  8. Security architecture and models
  9. Security management practices
  10. Telecommunications and networking security

The exam is designed for professionals with a minimum of 3-5 years of experience. 

Link: http://searchsecurity.techtarget.com

Picture of System Administrator

Common Vulnerabilities and Exposures (CVE)

by System Administrator - Thursday, 30 April 2015, 11:07 PM
 

Common Vulnerabilities and Exposures (CVE)

Picture of System Administrator

Cómo detectar y mitigar técnicas avanzadas de evasión de malware

by System Administrator - Monday, 15 December 2014, 10:23 PM
 

 

Cómo detectar y mitigar técnicas avanzadas de evasión de malware

por Nick Lewis

Mientras existan objetivos que explotar y dinero que hacer, el malware seguirá avanzando.

Para seguir siendo relevantes y recibir sus pagos,los autores del malware adoptarán técnicas de evasión avanzadas e incluirán nuevas características para satisfacer las peticiones de sus clientes, para que los ataques usando malware puedan ser más eficaces y rentables. Hay muchos casos de malware cada vez más sofisticado en los últimos meses, incluyendo a Zeus pasando de 32 bits a 64 bits y el avance del malware iBanking para apuntar a los dispositivos Android.

Además de las nuevas características de malware, hay una idea relativamente nueva en torno a "vivir de la tierra", donde los atacantes utilizan herramientas incorporadas o legítimas para evitar que sus ataques sean detectados por el software antimalware. El malware Poweliks es el más reciente ejemplo de esto.

En este consejo, voy a discutir los avances más recientes de malware y los controles necesarios en la empresa para detectarlos y controlarlos.

El TROJ_POWELIKS.A o Poweliks es un malware sin archivo diseñado para descargar otros ejemplares de malware que controlarán el sistema comprometido. Poweliks requiere un vector de infección inicial separado para comprometer el sistema local e instalar el malware, el cual, según se ha informado, es un archivo de Word malicioso. Después de la infección inicial, el malware se instala y se almacena en el registro como una librería de enlace dinámico (DLL) codificado que se extrae y se inyecta en los procesos dllhost.exe legítimos que corren en un sistema, el que luego lo ejecutará.

Si bien almacenar una DLL en el registro no es un método común de instalación de malware en un punto final, hace que sea más difícil detectar el malware, porque no todas las herramientas antimalware comprueban el registro. Sin embargo, para las herramientas que sí comprueban el registro, encontrar una clave de registro con una cantidad significativa de datos sin duda sería algo por lo cual emitir una alertar. El malware Poweliks también ejecuta comandos PowerShell para completar el ataque. Los comandos PowerShell podrían haber sido utilizados para evitar la detección usando herramientas legítimas, ya que PowerShell está instalado en la mayoría de sistemas y tiene la funcionalidad avanzada para interactuar con el sistema operativo que es necesaria para completar el ataque.

Otros malware también han seguido haciendo avances para seguir siendo rentables para los creadores de malware. El maduro malware Zeus continúa incorporando nuevas funciones; la funcionalidad más recientemente reportada agregada a él era un ataque de ingeniería social mejorado donde el malware parodiaba un mensaje de advertencia del navegador para conseguir que el usuario instalara el software malicioso. Del mismo modo, iBanking.Android ha añadido una nueva funcionalidad donde utiliza software de seguridad falso para conseguir que el usuario instale el software malicioso. A continuación, roba mensajes SMS utilizados en la autenticación de dos factores.

Controles empresariales necesarios para detectar y controlar malware avanzado

La detección de malware avanzado se puede hacer de muchas maneras diferentes. El malware de múltiples etapas, como Poweliks, y los ataques de varias etapas podrían dar a las empresas más tiempo para detectar el malware ya que cada paso requiere tiempo; sin embargo, cada paso podría no ser necesariamente detectado porque los pasos individuales por sí mismos podrían no ser maliciosos.

En el ejemplo de Poweliks, su aspecto de varias etapas puede ser difícil de detectar cuando pasa cada etapa individual, pero la correlación de todas las etapas y acciones puede ayudar a detectar y mitigar la actividad maliciosa.

Por ejemplo, mientras las secuencias de comandos de PowerShell son útiles para los administradores de sistemas o usuarios acreditados, pocos usuarios finales los desarrollan y  utilizan. La detección de comandos PowerShell maliciosos es difícil porque hay muchos usos  corporativos legítimos de las funciones de PowerShell. Sin embargo, para scripts de PowerShell utilizados por los usuarios finales, los administradores de sistemas pueden requerir que la secuencia de comandos sea firmada antes de la ejecución; esto ayudaría a bloquear la ejecución de scripts maliciosos por cualquier malware. Aunque esta política no detendría a un atacante dedicado, podría elevar el nivel lo suficiente para frustrarlos e impedir un ataque.

Aunque la detección del aspecto PowerShell del malware Poweliks puede ser difícil, detectar su infraestructura de comando y control y las conexiones de red podría ser más fácil. El blog de TrendMicro menciona una IP específica que puede ser utilizada como un indicador de compromiso para que una empresa pueda monitorear su red por cualquier conexión a la IP e investigar cada conexión. El monitoreo de las conexiones de red anómalas también podría ayudar a identificar un sistema comprometido que requiere investigación adicional. Esto podría incluir la observación de los registros NetFlow para ver qué sistemas son los más conversadores hacia IPs o sistemas externos con un importante número de intentos de autenticación fallidos.

El recientemente modificado malware Zeus y el malware iBanking.Android pueden ser identificados a través de pasos similares a los utilizados para identificar Poweliks, ya que dependen de la conciencia sobre la seguridad. La variante de Zeus puede ser detectada por el control de la red sobre conexiones hacia la IP de comando y control; iBanking.Android se puede detectar mediante el uso de una herramienta antimalware móvil que analiza el sistema en busca de archivos maliciosos.

Tenga en cuenta que la detección es solo una parte de un control efectivo de malware en la empresa. La respuesta rigurosa a los incidentes relacionados con el malware es fundamental para minimizar los efectos de un sistema comprometido.

Conclusión

No debe ser ninguna sorpresa que el malware seguirá avanzando y automatizando algunas de sus técnicas de ataque manuales más eficaces. Conforme las medidas de defensa de la empresa contra el malware se vuelven más sofisticados, el malware, inevitablemente, encontrará nuevos métodos para sortearlos. Esto requerirá una atención constante de las empresas con el fin de controlar y mitigar los ataques potenciales. Los controles y tecnologías de seguridad de las empresas tendrán que ser revisados constantemente para asegurarse de que son eficaces contra los ataques actuales. El cambio de programas y controles de seguridad cuando se descubren nuevos ataques o vulnerabilidades es esencial para permanecer delante de la curva.

También es fundamental para una empresa no solo evaluar la forma en que gestiona sus sistemas, sino también evaluar la gestión de sus sistemas para decidir si ciertas funcionalidades –tales como los scripts de PowerShell– pueden introducir potencialmente nuevos riesgos en su entorno y requerirán políticas adicionales orientadas a prevenir vulnerabilidades de ser explotadas.

Sobre el autor: Nick Lewis, CISSP, es el ex oficial de seguridad de la información de la Universidad de Saint Louis. Nick recibió una maestría en ciencias en seguridad de la información por la Universidad de Norwich en 2005 y en telecomunicaciones por la Universidad Estatal de Michigan en 2002. Antes de incorporarse a la Universidad de Saint Louis en 2011, Nick trabajó en la Universidad de Michigan y en el Hospital de Niños de Boston, el principal hospital de enseñanza pediátrica de la Escuela de Medicina de Harvard, asícomo para Internet2 y la Universidad Estatal de Michigan.

Picture of System Administrator

Copyleft (COPYRIGHT)

by System Administrator - Wednesday, 10 July 2013, 7:11 PM
 

Copyleft

Copyleft is the idea and the specific stipulation when distributing software that the user will be able to copy it freely, examine and modify the source code, and redistribute the software to others (free or priced) as long as the redistributed software is also passed along with the copyleft stipulation. The term was originated by Richard Stallman and the Free Software Foundation. Copyleft favors the software user's rights and convenience over the commercial interests of the software makers. It also reflects the belief that freer redistribution and modification of software would encourage users to make improvements to it. ("Free software" is not the same as freeware, which is usually distributed with copyright restrictions.)

Stallman and his adherents do not object to the price or profit aspects of creation and redistribution of software - only to the current restrictions placed on who can use how many copies of the software and how and whether the software can be modified and redistributed.

The de facto collaboration that developed and refined Unix and other collegially-developed programs led the FSF to the idea of "free" software and copyleft. In 1983, the FSF began developing a "free software" project that would both demonstrate the concept while providing value to users. The project was called GNU, an operating system similar to a Unix system. GNU and its various components are currently available and are distributed with copyleft stipulations. Using GNU components, the popular Linux system is also issued with a copyleft.

 
This was last updated in September 2005
Posted by: Margaret Rouse
Picture of System Administrator

Copyright (COPYRIGHT)

by System Administrator - Wednesday, 10 July 2013, 7:12 PM
 

Copyright

Are You Violating Copyright? | Handling of External Links | Work for Hire | Employee Activities
Protecting Your Own Works | How to Stay Legal | Selected Links 

Copyright is the ownership of an intellectual property within the limits prescribed by a particular nation's or international law. In the United States, for example, the copyright law provides that the owner of a property has the exclusive right to print, distribute, and copy the work, and permission must be obtained by anyone else to reuse the work in these ways. Copyright is provided automatically to the author of any original work covered by the law as soon as the work is created. The author does not have to formally register the work, although registration makes the copyright more visible. (See Circular 66, "Copyright Registration for Online Works," from the U.S Copyright Office.) Copyright extends to unpublished as well as published works. The U.S. law extends copyright for 50 years beyond the life of the author. For reviews and certain other purposes, the "fair use" of a work, typically a quotation or paragraph, is allowed without permission of the author.

The Free Software Foundation fosters a new concept called copyleft in which anyone can freely reuse a work as long as they in turn do not try to restrict others from using their reuse.

EditPros, an editing and marketing communications firm, has allowed us to reprint below an article about copyright as it applies to the Internet.

Are You Violating Copyright on the Internet?

The Internet, inarguably one of the most remarkable developments in international communication and information access, is fast becoming a lair of copyright abuse. The notion of freedom of information and the ease of posting, copying and distributing messages on the Internet may have created a false impression that text and graphic materials on World Wide Web sites, postings in "usenet" news groups, and messages distributed through e-mail lists and other electronic channels are exempt from copyright statutes.

In the United States, copyright is a protection provided under title 17 of the U.S. Code, articulated in the 1976 Copyright Act. Copyright of a creative work extends 50 years beyond the lifespan of its author or designer. Works afforded copyright protection include literature, journalistic reports, musical compositions, theatrical scripts, choreography, artistic matter, architectural designs, motion pictures, computer software, multimedia digital creations, and audio and video recordings. Copyright protection encompasses Web page textual content, graphics, design elements, as well as postings on discussion groups. Canada's Intellectual and Industrial Property Law, Great Britain's Copyright, Designs and Patents Act of 1988, and legislation in other countries signatory to the international Berne Convention copyright principles provide similar protections.

Generally speaking, facts may not be copyrighted; but content related to presentation, organization and conclusions derived from facts certainly can be. Never assume that anything is in the "public domain" without a statement to that effect. Here are some copyright issues important to companies, organizations and individuals.

Handling of External Links

Even though links are addresses and are not subject to copyright regulations, problems can arise in their presentation. If your Web site is composed using frames, and linked sites appear as a window within your frame set, you may be creating the deceptive impression that the content of the linked site is yours. Use HTML coding to ensure that linked external sites appear in their own window, clearly distinct from your site. Incidentally, you may wish to disavow responsibility for the content of sites to which you provide links.

Work for Hire

While copyright ordinarily belongs to the author, copyright ownership of works for hire belong to the employer. The U.S. Copyright Act of 1976 provides two definitions of a work for hire: 1. a work prepared by an employee within the scope of his or her employment; or 2. a work specially ordered or commissioned for use as a contribution to a collective work, as a part of a motion picture or other audiovisual work, as a translation, as a supplementary work, as a compilation, as an instructional text, as a test, as answer material for a test, or as an atlas, if the parties expressly agree in a written instrument signed by them that the work shall be considered a work made for hire. U.S. Copyright Office documentation further states, "Copyright in each separate contribution to a periodical or other collective work is distinct from copyright in the collective work as a whole and vests initially with the author of the contribution."

Employee Activities

Just as making bootleg tapes of recorded music and photocopying books are illegal activities, printing and distributing contents of Web pages or discussion group postings may constitute copyright infringement. And companies may be liable for such activities conducted by their employees using company computing or photocopying equipment. However, the law does not necessarily prohibit downloading files or excerpting and quoting materials. The doctrine of fair use preserves your right to reproduce works or portions of works for certain purposes, notably education, analysis and criticism, parody, research and journalistic reporting. The amount of the work excerpted and the implications of your use on the marketability or value of the works are considerations in determining fair use. Works that are not fixed in a tangible form, such as extemporaneous speeches, do not qualify for copyright protection. Titles of works, and improvisational musical or choreographic compositions that have not been annotated, likewise cannot be copyrighted. Names of musical groups, slogans and short phrases may gain protection as trademarks when registered through the U.S. Patent & Trademark Office.

Protecting Your Own Works

Although copyright automatically applies to any creative work you produce, you can strengthen your legal copyright protection by registering works with the U.S. Copyright Office. Doing so establishes an official record of your copyright, and must be done before filing an infringement civil lawsuit in Federal district court. Registration costs $20. For information, visit the Copyright Office Web site or call (202) 707-3000; TTY is (202) 707-6737.

If you appoint an independent Web developer to create and maintain your Web site, make sure through written agreement that you retain the copyright to your Web content.

Place a copyright notice on each of your Web pages and other published materials. Spell out the word "Copyright" or use the encircled "c" symbol, along with the year of publication and your name, as shown in this example:

Copyright 1998 EditPros marketing communications If you're concerned about copyright protection in other nations, add: "All rights reserved."

Along with your copyright notice, include an acceptable use policy, announcing to your readers how they may use the material. You may allow Web visitors, for example, to download and print pages for their own use, but may prohibit them from distributing those materials to others without your permission. You may wish to decline permission to download graphics or sound files that you created.

How to Stay Legal

If you'd like to share the contents of an interesting Web page with your company employees, describe the page and tell them the URL address of the Web site so they can look for themselves. And if the latest edition of a business newspaper contains an article you'd like to distribute to your 12 board members, either ask the publication for permission to make copies, or buy a dozen copies of the newspaper. Retention of value through sales of that newspaper, after all, is what copyright law is intended to protect.

Selected Links

 The United States Copyright Office contains an explanation of American copyright basics and a list of frequently asked questions, as well as the complete text of the United States Copyright Act of 1976. Topics include copyright ownership and transfer, copyright notice, and copyright infringement and remedies. The site is maintained by the U.S. Library of Congress.

 The Copyright Clearance Center is an online resource operated by the Copyright Clearance Center Inc. (CCC), which was formed in 1978 as a not-for-profit organization to induce compliance with the U.S. copyright law. CCC, based in Danvers, MA, provides licensing systems for reproduction and distribution of copyrighted materials throughout the world.

 Circular 66 from the U. S. Copyright Office explains Copyright Registration for Online Works.


Most of the material in this definition/topic was reprinted from an EditPros newsletter with their permission. EditPros is a writing, editing, and publishing management firm in Davis, California with their own Web site. 

 
This was last updated in September 2005
Posted by: Margaret Rouse
Picture of System Administrator

Creative Commons (COPYRIGHT)

by System Administrator - Wednesday, 10 July 2013, 7:13 PM
 

Creative Commons

Part of the Open source glossary:
 

Creative Commons is a nonprofit organization that offers copyright licenses for digital work. 

No registration is necessary to use the Creative Commons licenses. Instead, content creators select which of the organization's six licenses best meets their goals, then tag their work so that others know under which terms and conditions the work is released. Users can search the CreativeCommons.org website for creative works such as music, videos, academic writing, code or images to use commercially or to modify, adapt or build upon. 

The six categories of licenses offered are: 

  • Attribution - lets others distribute, remix, tweak and build upon work, even commercially, as long as they credit the creator for the original work.
  • Attribution-NoDerivs - allows for commercial and non-commercial redistribution, as long as the work is passed along unchanged and in whole, crediting the creator.
  • Attribution-NonCommercial-ShareAlike - lets others remix, tweak, and build upon work for non-commercial purposes, as long as they credit the creator and license any new creations under the identical terms.
  • Attribution-ShareAlike - lets others remix, tweak, and build upon work for commercial and non-commercial purposes, as long as they credit the creator and license new creations under the identical terms.
  • Attribution-NonCommercial - lets others remix, tweak, and build upon work for non-commercial purposes, crediting the creator.  Derivative works do not have to be licensed under the same terms.
  • Attribution-NonCommercial-NoDerivs - allows others to download work and share it as long as they credit the creator, don't change the work in any way or use it for commercial purposes. 

See alsocopyleftrights reserved

This was last updated in July 2013

Contributor(s): Emily McLaughlin
Posted by: Margaret Rouse
Picture of System Administrator

CROWDSOURCING FOR ENTERPRISE IT

by System Administrator - Tuesday, 14 July 2015, 6:45 PM
 

10 KEY QUESTIONS (AND ANSWERS) ON CROWDSOURCING FOR ENTERPRISE IT

A starting guide for augmenting technical teams with crowdsourced design, development and data science talent

A crowdsourcing platform is essentially an open marketplace for technical talent. The requirements, timelines, and economics behind crowdsourced projects are critical to successful outcomes. Varying crowdsourcing communities have an equal variety of payments being offered for open innovation challenges. Crowdsourcing is meritocratic - contributions are rewarded based on value. However, the cost-efficiencies of a crowdsourced model reside in the model's direct access to talent, not in the compensated value for that talent. Fair market value is expected for any work output. The major cost difference with between legacy sourcing models and a crowdsourcing model is (1) the ability to directly tap into technical expertise, and (2) that costs are NOT based around time or effort.

Please read the attached whitepaper.

Picture of System Administrator

D (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:19 PM
 
  • Darwin - Darwin is the basic "core" of OS X, the operating system for Appl...
  • database-agnostic - Database-agnostic is a term describing the ...
  • Debian - Debian is a popular and freely-available computer operating syste...
  • Debian Linux - Debian is a popular and freely-available computer ope...
  • Distributed Replicated Block Device - DRBD (D...
  • DMOZ - The Open Directory Project (ODP) is a human-edited index of Web sites...
  • DRBD - DRBD (Distributed Replicated Block Device) is a Linux-based software ...
  • DRBD (Distributed Replicated Block Device)
  • Drizzle - Drizzle is a lightweight open source database management system...
  • Drupal - Drupal is free, open source software that can be used by individu...
Picture of System Administrator

Dark Social

by System Administrator - Tuesday, 10 October 2017, 6:30 PM
 

 

Dark Social | Social Oscuro

Publicado por: Margaret Rouse | Contribuidor: Laura Aberle

Traducido automáticamente con Google.

Social oscuro es un término utilizado por los especialistas en marketing y optimización de motores de búsqueda (SEO) para describir las referencias de sitios web que son difíciles de rastrear.

El tráfico social oscuro no parece tener una fuente específica, lo que crea un desafío para las empresas que están tratando de supervisar las referencias de sitios web y la actividad de los medios de comunicación social. La mayoría de las veces el tráfico oscuro es el resultado de la gente que comparte los enlaces del sitio web a través de correo electrónico , mensajes de texto y chats privados Debido a que los vínculos sociales oscuros no tienen código de seguimiento agregado automáticamente a sus URL , no es posible saber cómo el visitante del sitio web encontró el contenido. 

El término "social oscuro" fue acuñado por Alexis C. Madrigal, editor senior de The Atlantic, en un artículo de 2012. Según Madrigal, datos de la firma de analítica Web Chartbeat revelaron que el 56,5% del tráfico social del Atlántico provenía de referencias oscuras. Cuando Chartbeat analizó un conjunto más amplio de sitios web, esa estadística aumentó a casi el 69%. 

Mientras que Madrigal originalmente no creía que las aplicaciones móviles desempeñaran un papel importante en la oscuridad social, en una actualización de 2014 sobre el tema, explicó que las aplicaciones móviles de Facebook, así como otras aplicaciones móviles, parecen estar detrás de la mayor parte del tráfico social oscuro de hoy. Este hallazgo podría representar un problema nuevo: las plataformas de redes sociales como Facebook pueden realmente tener el mayor poder sobre el tráfico social, pero las aplicaciones móviles dificultan el seguimiento y el análisis.

Seguir leyendo Acerca de Dark Social

Link: http://searchcontentmanagement.techtarget.com

El ascenso de la oscuridad social: Todo lo que necesitas saber

por Jack Simpson

Traducido automáticamente con Google.

Se le perdonaría pensar que el término "social oscuro" se refiere a algún tipo de encuentro demoníaco durante el cual los asistentes se deleitan con la sangre para complacer a sus señores. 

Si bien potencialmente molesto para los gestores de medios de comunicación social, oscuro social es algo menos siniestro que el anterior. 

Simplemente se refiere al intercambio social que no puede ser rastreado con precisión, es decir, el material que no es recogido por las plataformas de análisis web. 

En este post voy a explicar más a fondo lo que significa social oscuro, por qué importa, y si hay algo que los vendedores pueden hacer al respecto.  

¿Qué es la oscuridad social?

Si alguien hace clic en un vínculo a su sitio desde una plataforma social abierta como Twitter, Facebook o LinkedIn, su plataforma de análisis le dirá exactamente de dónde proviene esa referencia (en teoría). 

Sin embargo, la gente comparte cada vez más enlaces a través de aplicaciones de mensajería privadas como WhatsApp o Snapchat y continúa compartiendo plataformas como correo electrónico o SMS.   

Piense en ello: encontrará un artículo interesante, simplemente copie y pase el enlace en una aplicación de mensajería y pulse enviar.

Millones de personas lo hacen todos los días, enviando mucho tráfico a los editores. Pero los enlaces compartidos de esta manera carecen de etiquetas de referencia, por lo que cuando el destinatario haga clic en ella su visita se mostrará como tráfico "directo".  

Que es un poco injusto, porque no es realmente tráfico directo, es decir, es poco probable que alguien escriba 'https://econsultancy.com/blog/67108-is-sms-the-most- underrated-and-overlooked-dark-social -channel "en su navegador. 

Pero no se puede esperar con razón una plataforma de análisis para saber la diferencia.

Social oscuro es esencialmente el tráfico que se agrupa en el tráfico directo en su plataforma de análisis, pero en realidad proviene de remisiones untrackable. 

Estos son algunos de los canales responsables del oscuro tráfico social: 

  • Algunas aplicaciones móviles nativas : Facebook, Instagram, etc.
  • Correo electrónico : para proteger la privacidad de los usuarios, las referencias no se pasan.
  • Aplicaciones de mensajería - WhatsApp, WeChat, Facebook Messenger, etc.
  • Navegación segura : si hace clic en HTTPS a HTTP, la referencia no se transmitirá.

¿Por qué eso importa?

Según un estudio de RadiumOne , casi el 70% de todas las referencias en línea provienen de la oscura social a nivel mundial. Para el Reino Unido, esta cifra aumenta hasta el 75%.

Por supuesto que es un estudio a partir de 2014, pero si algo me gustaría argumentar el tema sólo podría haber llegado a ser aún más frecuente desde entonces con el creciente uso de aplicaciones de mensajería privada.

Esto significa que una gran parte del tráfico de referencia es extremadamente difícil de rastrear con precisión, y cualquier cosa que ponga una nube sobre sus datos no es particularmente bienvenida.


Si no tiene la imagen completa, podría terminar perdiendo su tiempo y energía en la optimización de las cosas mal.  

Pero también hay que considerar el valor de este tipo de tráfico. 

Si encuentro un enlace para un producto que sé que mi esposa está buscando, y el correo electrónico que el enlace a ella, es justo decir que es probable que se conviertan . 

El tráfico social oscuro es por lo tanto extremadamente valioso. Es efectivamente boca a boca entre las personas que probablemente se conocen bien (es seguro asumir esto si se están comunicando a través de algo como aplicaciones de mensajería privada o SMS ). 

¿Qué puedes hacer al respecto? 

No podrá realizar un seguimiento completo del tráfico social oscuro, pero hay algunos pasos que puede tomar para reducir las cosas. 

Si observa su tráfico directo en cualquier plataforma de análisis que esté utilizando, es justo decir que los enlaces largos como los que se incluyen en nuestro tráfico directo de Analytics no se escribieron manualmente. 

 oscuro tráfico directo social

Por lo tanto, es seguro asumir, al menos con cierta precisión, que la mayoría de esos vínculos son en realidad de oscuro social. 

Usted podría configurar un segmento en su análisis que tenga en cuenta todos los enlaces de tráfico directo con los parámetros, por lo que para nosotros sería enlaces que no son econsultancy.com, econsultancy.com/blog y así sucesivamente.

Esto le permite obtener una imagen razonablemente precisa de mucho tráfico viene de social oscuro.

Aún no te ayuda en términos de dónde y cómo se compartió ese contenido originalmente, pero te ayudará a explicar la situación cuando tu jefe te está ladrando para explicar de dónde viene todo tu tráfico. 

También debe incluir botones de uso compartido muy visibles en su sitio (incluidos los parámetros de UTM para que pueda rastrearlos) para animar a las personas a compartir contenido utilizando estos en lugar de copiar y pegar el vínculo. 

Esto se reduce a la experiencia del usuario. Hacer los botones de compartir la opción más rápida y más fácil, y ¿por qué nadie no usarlos? 

Pero asegúrese de incluir los botones de uso compartido de correo electrónico, WhatsApp y otros canales sociales oscuros.

Es discutible más importante incluir éstos que los botones tales como Facebook y gorjeo donde usted puede seguir tráfico incluso si el acoplamiento es copiado y pegado. 

Conclusión: seamos honestos, nadie sabe realmente qué diablos hacer al respecto

Estoy siendo un poco facticia con ese subtítulo. Hay algunas conversaciones realmente interesantes sobre el futuro del social oscuro.

Pero todo lo que lee o escucha el consenso parece ser el mismo: puede reducir las cosas y estar consciente de cuánto tráfico social oscuro está recibiendo, pero hasta ahora no he visto una solución convincente para realizar un seguimiento preciso. 

Ahora que el social oscuro parece estar en el radar de todos, sin embargo, imagino que algunas mejores herramientas y técnicas comenzarán a materializarse. Cuando lo hagan voy a estar seguro de escribir sobre ellos. 

Link: https://econsultancy.com

Picture of System Administrator

Data Lake

by System Administrator - Thursday, 25 June 2015, 10:29 PM
 

 

Author: John O’Brien

It would be an understatement to say that the hype surrounding the data lake is causing confusion in the industry. Perhaps, this is an inherent consequence of the data industry's need for buzzwords: it's not uncommon for a term to rise to popularity long before there is clear definition and repeatable business value. We have seen this phenomena many times when concepts including "big data," "data reservoir," and even the "data warehouse" first emerged in the industry. Today's newcomer to the data world vernacular—the "data lake"—is a term that has endured both the scrutiny of pundits who harp on the risk of digging a data swamp and, likewise, the vision of those who see the potential of the concept to have a profound impact on enterprise data architecture. As the data lake term begins to come off its hype cycle and face the pressures of pragmatic IT and business stakeholders, the demand for clear data lake definitions, use cases, and best practices continues to grow.

This paper aims to clarify the data lake concept by combining fundamental data and information management principles with the experiences of existing implementations to explain how current data architectures will transform into a modern data architecture. The data lake is a foundational component and common denominator of the modern data architecture enabling, and complementing specialized components, such as enterprise data warehouses, discovery-oriented environments, and highly-specialized analytic or operational data technologies within or external to the Hadoop ecosystem. Therefore, the data lake has become the metaphor for the transformation of enterprise data management, and will continue to evolve the data lake definition according to established principles, drivers, and best practices that will quickly emerge as hindsight is applied at companies.

Please read the attached guide.

 

Picture of System Administrator

Delivering Data Warehousing as a Cloud Service

by System Administrator - Wednesday, 8 July 2015, 9:27 PM
 

Delivering Data Warehousing as a Cloud Service

The current data revolution has made it an imperative to provide more people with access to data-driven insights faster than ever before. That's not news. But in spite of that, current technology seems almost to exist to make it as hard as possible to get access to data.

That's certainly the case for conventional data warehouse solutions, which are so complex and inflexible that they require their own teams of specialists to plan, deploy, manage, and tune them. By the time the specialists have finished, it's nearly impossible for the actual users to figure out how to get access to the data they need.

Newer 'big data' solutions do not get rid of those problems. They require new skills and often new tools as well, making them dependent on hard-to-find operations and data science experts.

Please read the attached whitepaper.

Picture of System Administrator

Distributed Computing

by System Administrator - Monday, 10 August 2015, 10:13 PM
 

Distributed Computing

Posted by: Margaret Rouse

Distributed computing is a model in which components of a software system are shared among multiple computers to improve efficiency and performance. 

According to the narrowest of definitions, distributed computing is limited to programs with components shared among computers within a limited geographic area. Broader definitions include shared tasks as well as program components. In the broadest sense of the term, distributed computing just means that something is shared among multiple systems which may also be in different locations. 

In the enterprise, distributed computing has often meant putting various steps in business processes at the most efficient places in a network of computers. For example, in the typical distribution using the 3-tier model, user interface processing is performed in the PC at the user's location, business processing is done in a remote computer, and database access and processing is conducted in another computer that provides centralized access for many business processes. Typically, this kind of distributed computing uses the client/server communications model.

The Distributed Computing Environment (DCE) is a widely-used industry standard that supports this kind of distributed computing. On the Internet, third-party service providers now offer some generalized services that fit into this model.

Grid computing is a computing model involving a distributed architecture of large numbers of computers connected to solve a complex problem. In the grid computing model, servers or personal computers run independent tasks and are loosely linked by the Internet or low-speed networks. Individual participants may allow some of their computer's processing time to be put at the service of a large problem. The largest grid computing project is SETI@home, in which individual computer owners volunteer some of their multitasking processing cycles (while concurrently still using their computer) to the Search for Extraterrestrial Intelligence (SETI) project. This computer-intensive problem uses thousands of PCs to download and search radio telescope data.

There is a great deal of disagreement over the difference between distributed computing and grid computing. According to some, grid computing is just one type of distributed computing. The SETI project, for example, characterizes the model it’s based on as distributed computing. Similarly, cloud computing, which simply involves hosted services made available to users from a remote location, may be considered a type of distributed computing, depending on who you ask.

One of the first uses of grid computing was the breaking of a cryptographic code by a group that is now known as distributed.net. That group also describes its model as distributed computing.

Related Terms

Definitions

Glossaries

  • Software applications

    - Terms related to software applications, including definitions about software programs for vertical industries and words and phrases about software development, use and management.

  • Internet applications

    - This WhatIs.com glossary contains terms related to Internet applications, including definitions about Software as a Service (SaaS) delivery models and words and phrases about web sites, e-commerce ...

Dig Deeper

Continue Reading About distributed computing

Link: http://whatis.techtarget.com

Picture of System Administrator

E (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:24 PM
 
  • E - Enlightenment, also called E, is a popular free and open source (FOSS) wind...
  • Eclipse - Eclipse is the most widely-used open source integrated developm...
  • Eclipse Foundation - Eclipse is the most widely-used open sour...
  • Eclipse Platform - Eclipse is the most widely-used open source i...
  • Edubuntu - Ubuntu (pronounced oo-BOON-too) is an open source Debian-base...
  • ElasticSearch - ElasticSearch is an open source, RESTful search eng...
  • Enlightenment - Enlightenment, also called E, is a popular free and...
  • Enlightenment (E) - Enlightenment, also called E, is a popular ...
  • Exim - Exim is an open source mail transfer agent (MTA), which is a program ...
Picture of System Administrator

Employee Investigations

by System Administrator - Monday, 20 October 2014, 2:00 PM
 

Simplifying Employee Investigations

Whether you are the small business owner, head of HR, or in IT, employee investigations are a part of your daily life. In this whitepaper we’ll discuss some of the real-world issues businesses face that result in employee investigations, the methodologies used to perform investigations, and then we’ll look at why investigating proactively can help.

Please read the attached whitepaper.

Picture of System Administrator

Enterprise Search

by System Administrator - Friday, 27 March 2015, 11:53 PM
 

Enterprise Search

Posted by: Margaret Rouse

Enterprise search is the organized retrieval of structured and unstructured data within an organization. Properly implemented, enterprise search creates an easily navigated interface for entering, categorizing and retrieving data securely, in compliance with security and data retention regulations. 

The quality of enterprise search results is reliant upon the description of the data by the metadata. Effective metadata for a presentation, for example, should describe what the presentation contains, who it was presented to, and what it might be useful for. Given the right metadata a user should be able to find the presentation through search using relevant keywords.

There are a number of kinds of enterprise search including local installations, hosted versions, and search appliances, sometimes called “search in a box.” Each has relative advantages and disadvantages. Local installations allow customization but require that an organization has the financial or personnel resources to continually maintain and upgrade the investment. Hosted search outsources those functions but requires considerable trust and reliance on an external vendor. Search appliances and cloud search, the least expensive options, may offer no customization at all.

Enterprise search software has increasingly turned to a faceted approach. Faceted search allows all of the data in a system to be reduced to a series of drop down menus, each narrowing down the total number of results, which allows users to narrow a search to gradually finer and finer criteria. The faceted approach improves upon the keyword search many users might think of (the Google model) and the structured browse model (the early Yahoo model). In the case of keyword search, if the end user doesn't enter the correct keyword or if records weren’t added in a way that considers what end users might be looking for, a searcher may struggle to find the data. Similarly, in a browsing model, unless the taxonomies created by the catalogers of an enterprise's information make intuitive sense to an end user, ferreting out the required data will be a challenge. 

Enterprise search is complex. Issues of security, compliance and data classification can generally only be addressed by a trained knowledge retrieval expert. That complexity is further complicated by the complexity of an enterprise itself, with the potential for multiple offices, systems, content types, time zones, data pools and so on. Tying all of those systems together in a way that enables useful information retrieval requires careful preparation and forethought. 

Vendors of enterprise search products include Oracle, SAP, IBM, Google and Microsoft.

See also: enterprise content management (ECM), e-discovery, autoclassification

Definitions

  • virtual payment terminal - Virtual terminals allow sellers to take credit card payments online for orders made online or over the phone without requiring a card reader device. (WhatIs.com)
  • compensating control - Compensating controls were introduced in PCI DSS 1.0, to give organizations an alternative to the requirements for encryption. The alternative is sometimes considered a loophole that creates a secu... (WhatIs.com)
  • cloud computing - What is cloud computing? To understand cloud computing, examine public, private and hybrid cloud, as well as PaaS, SaaS and IaaS cloud models. (searchCloudComputing.com)

Glossaries

  • Customer data management - Terms related to customer data management, including customer data integration (CDI) technology definitions and words and phrases about data quality and data governance.
  • Internet applications - This WhatIs.com glossary contains terms related to Internet applications, including definitions about Software as a Service (SaaS) delivery models and words and phrases about web sites, e-commerce ...

Dig Deeper

Picture of System Administrator

F (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:23 PM
 
  • Fedora - Fedora is a popular open source Linux-based operating system.
  • Fennec - Fennec is a version of the Firefox browser adapted for mobile pho...
  • FF3 - Firefox 3 (Fx3 or FF3) is the third version of the popular Web browser ...
  • Firefox - Firefox is a Web browser that is smaller, faster, and in some w...
  • Firefox 3 - Firefox 3 (Fx3 or FF3) is the third version of the popular ...
  • Firefox 3 (Fx3 or FF3) - Firefox 3 (Fx3 or FF3) is the thi...
  • Firefox 3.5 - Firefox 3.5 is a version of the Mozilla Foundation's We...
  • Firewall Builder - Firewall Builder, also called Fwbuilder, is a...
  • Firewall Builder (Fwbuilder) - Firewall Builder, als...
  • Flex - Flex is an open source program designed to automatically and quickly ...
  • Flock - Flock is an open source Web browser with advanced features, based o...
  • FLOSS - Free and open source software (FOSS), also known as free/libre open...
  • FOSS - Free and open source software (FOSS), also known as free/libre open s...
  • Free and open source software (FOSS) or free/li...
  • free libre open source software - Free and open s...
  • free software - Free software is software that can be freely used, ...
  • free software - Free and open source software (FOSS), also known as...
  • Free Software Foundation - The Free Software Foundation ...
  • Free Software Foundation (FSF) - The Free Software...
  • free source software - Free and open source software (FOSS),...
  • FreeBSD - FreeBSD is a popular free and open source operating system that...
  • FSF - The Free Software Foundation (FSF) was founded in 1983 along with its d...
  • Fwbuilder - Firewall Builder, also called Fwbuilder, is a vendor-neutra...
  • Fx3 - Firefox 3 (Fx3 or FF3) is the third version of the popular Web browser ...
Picture of System Administrator

Federated Identity Service Based on Virtualization

by System Administrator - Wednesday, 18 February 2015, 7:20 PM
 

Toward a Federated Identity Service Based on Virtualization

A Buyer’s Guide to Identity Integration Solutions, from Meta and Virtual Directories to a Federated Identity Service Based on Virtualization.

The world of identity and access management is expanding in all dimensions, with more users, more applications, more devices, and more diversity—and these multi-faceted demands are stretching the current landscape of IAM for most organizations and enterprises. The adoption of federation standards, such as SAML 2.0, OpenID Connect, and OAuth 2.0, promises a new way to combat rising complexity. However, the successful adoption of these technologies also requires a rationalization and consolidation of the identity infrastructure, which, for most sizable enterprises, is highly fragmented across multiple identity silos. While federation standards can bring secure and orderly access to the doors of the enterprise, organizations will still need a way to unlock those doors into their complex and often messy identity infrastructures. To ensure security these days, the entire diverse and distributed enterprise identity infrastructure must become one secure global service. A federated identity service based on virtualization is the answer for protecting today’s increasingly federated environments—and evolving them to meet future demands and opportunities. In this paper, we’ll look at how such a service helps you manage all this complexity and see how other solutions stack up.

Please read the attached whitepaper.

Picture of System Administrator

FIDO (Fast Identity Online) definition

by System Administrator - Wednesday, 26 August 2015, 9:18 PM
 

FIDO (Fast Identity Online) definition

Posted by: Margaret Rouse

FIDO (Fast ID Online) is a set of technology-agnostic security specifications for strong authentication. FIDO is developed by the FIDO Alliance, a non-profit organization formed in 2012.

FIDO specifications support multifactor authentication (MFA) and public key cryptography. A major benefit of FIDO-compliant authentication is the fact that users don't need to use complex passwords, deal with complex strong password rules and or go through recovery procedures when they forget a password. Unlike password databases, FIDO stores personally identifying information (PII) such as biometric authentication data locally on the user's device to protect it. FIDO's local storage of biometrics and other personal identification is intended to ease user concerns about personal data stored on an external server in the cloud. By abstracting the protocol implementation with application programming interfaces (APIs), FIDO also reduces the work required for developers to create secure logins for mobile clients running different operating systems (OSes) on different types of hardware.

FIDO supports the Universal Authentication Framework (UAF) protocol and the Universal Second Factor (U2F) protocol. With UAF, the client device creates a new key pair during registration with an online service and retains the private key; the public key is registered with the online service. During authentication, the client device proves possession of the private key to the service by signing a challenge, which involves a user–friendly action such as providing a fingerprint, entering a PIN or speaking into a microphone. With U2F,  authentication requires a strong second factor such as a Near Field Communication (NFC) tap or USB security token.

The history of the FIDO Alliance

In 2007, PayPal  was trying to increase security by introducing  MFA to its customers in the form of its one-time password (OTP) key fob: Secure Key. Although Secure Key was effective, adoption rates were low -- it was generally used only by few security-conscious individuals. The key fob complicated authentication, and most users just didn't feel the need to use it.

In talks exploring the idea of integrating fingerscanning technology into PayPal, Ramesh Kesanupalli (then CTO of Validity Sensors) spoke to Michael Barrett (then PayPal's CISO). It was Barrett’s opinion that an industry standard was needed that could support all authentication hardware. Kesanupalli set out from there to bring together industry peers with that end in mind. The FIDO Alliance was founded as the result of meetings between the group. The Alliance went public in February 2013 and since that time many companies become members, including Google, ARM, Bank of America, Master Card, Visa, Microsoft, Samsung, LG, Dell and RSA. Microsoft has announced the inclusion of FIDO for authentication in Windows 10.

Next Steps

The proliferation of smartphones and other mobile devices continue to call for standards that support multifactor authentication. Methods such as biometrics are being incorporated into smartphones and PCs to prevent identity theft. Today a variety of products exist on the market ranging from the EMC RSA Authentication Manager, Symantec Verisign VIP, CA Strong Authentication, and Vasco Identikey Digipass.

Continue Reading About FIDO (Fast Identity Online)

Picture of System Administrator

G (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:28 PM
 
Picture of System Administrator

Guía de Protección de Sitios Web

by System Administrator - Wednesday, 8 July 2015, 8:42 PM
 

Guía de Protección de Sitios Web

Aprende a:

• Justificar la importancia de proteger un sitio web con argumentos empresariales sólidos.
• Explicar por qué la tecnología SSL es la base de la protección de un sitio web.
• Elegir e instalar los certificados SSL más adecuados en tu caso.
• Adoptar las prácticas necesarias para que tu sitio web sea seguro e inspire confianza.

Please read the attached eGuide

Picture of System Administrator

H (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:26 PM
 
Picture of System Administrator

I (OPEN SOURCE)

by System Administrator - Wednesday, 10 July 2013, 7:30 PM
 
Picture of System Administrator

ISO 9001:2015​

by System Administrator - Tuesday, 17 November 2015, 6:27 PM
 

Hablemos sobre la ISO 9001:2015​

by Normas9000.com

Nigel Croft, Presidente del subcomité ISO que desarrolló y revisó la norma: "[la ISO 9001:2015] es un proceso evolutivo más que revolucionario. [...] Estamos trayendo la ISO 9001 firmemente al siglo XXI. Las versiones anteriores de la ISO 9001 eran muy prescriptivas, con muchos requisitos de procedimientos documentados y registros. En las ediciones 2000 y 2008, nos hemos centrado más en la gestión de procesos y menos en la documentación. [...] Ahora hemos ido un paso más allá, y la ISO 9001:2015 es menos prescriptiva que su predecesor, centrándose en el rendimiento. Hemos logrado esto combinando el enfoque de procesos con el pensamiento basado en riesgos, y empleando el ciclo PHVA "Planificar-Hacer-Verificar-Actuar" (Plan-Do-Check-Act) en todos los niveles en la organización."

¿Por qué ha sido revisada la ISO 9001?

Las Normas de Sistemas de Gestión ISO son revisadas en cuanto a efectividad y sostenibilidad aproximadamente cada 5 a 8 años. 

La ISO 9001:2015 reemplaza las ediciones anteriores, los entes certificadores tendrán hasta tres años para migrar los certificados a la nueva versión. 

La ISO 9000, que establece los conceptos y el lenguaje utilizado a lo largo de la familia de normas ISO 9000, también ha sido revisada y una nueva edición está disponible.

La Norma ha sido revisada con los objetivos de:

  • Mayor importancia del servicio.
  • Mayores expectativas de las partes interesadas.
  • Mejor integración con otros Estándares de Sistemas de Gestión.
  • Adaptarse a complejas cadenas de suministros.
  • Globalización. 

También ha habido un cambio en la estructura de la norma. La ISO 9001:2015 y todo sistema de gestión futuro, seguirán la nueva estructura común de normas del sistema de gestión. Esto ayudará a las organizaciones con los sistemas integrados de gestión.

"Teniendo en cuenta que las organizaciones de hoy tienen varias normas de gestión implantadas, hemos diseñado la versión 2015 para integrarse fácilmente con otros sistemas de gestión. La nueva versión también ofrece una sólida base para las normas del sector de calidad (industria automotriz, aeroespacial, médica, etc.) y toma en cuenta las necesidades de los reguladores." Nigel Croft, Presidente del subcomité ISO.

Resumen de los principales cambios de la ISO 9001

  • La norma hace hincapié en el enfoque de proceso.
  • La norma solicita un pensamiento basado en riesgos.
  • Existe mayor flexibilidad en la documentación.
  • La norma se focaliza más en los actores.

Esta versión de la norma se basa en Siete Principios de Gestión de Calidad: 

La norma ISO 9001:2008 se basa en principios de calidad que son utilizados generalmente por la Alta Gerencia como una guía para la mejora de la calidad. Están definidos en la ISO 9000 y la ISO 9004. Sin embargo, estos principios han sido modificados en la versión 9001:2015. La nueva versión de la norma se basa en siete principios, los cuales incluyen:  

  1. Enfoque al cliente.
  2. Liderazgo.
  3. Compromiso de las personas.
  4. Enfoque en proceso.
  5. Mejora (fusión de anteriores: enfoques de sistema y de proceso). 
  6. Toma de decisiones basada en la evidencia. 
  7. Gestión de las relaciones.

Los dos primeros principios, enfoque al cliente y liderazgo, no han cambiado desde la versión 2008. El tercer principio, la participación de las personas, ha sido renombrado en Compromiso de las personas. El cuarto principio enfoque de procesos se mantiene igual. El quinto ha sido integrado al cuarto por lo que el número de principios pasa a siete.

El enfoque de procesos es usado en la versión 2008 de la ISO 9001, y se utiliza para desarrollar, implementar y mejorar la eficacia de un sistema de gestión de calidad. Sin embargo, la norma ISO 9001:2015 proporciona una perspectiva adicional en el enfoque de procesos, y aclara el porqué es esencial adoptarlo en cada proceso gerencial de la organización. Las organizaciones ahora están obligadas a determinar cada proceso necesario para el Sistema de Gestión de Calidad y mantener documentada la información necesaria para apoyar la operación de dichos procesos.

El Pensamiento basado en riesgos es también uno de los principales cambios en la nueva versión de la ISO 9001. El estándar no incluye el concepto de acción preventiva, pero hay otras dos series de requisitos que cubren el concepto y que incluyen requisitos sobre la gestión de riesgo.

La flexibilidad de la documentación es otro cambio importante en la Norma ISO 2001:2015. Los documentos de términos y registros han sido reemplazados por  "información documentada". No hay requisitos específicos que determinen tener documentados los procedimientos, sin embargo los procesos deberían ser documentados para demostrar conformidad.

Focalizarse más en los actores es otro cambio en la norma ISO 9001 2015. La nueva versión de la norma a menudo plantea el tema de las partes interesadas, que en este contexto se refiere a las partes interesadas, tanto internas como externas de la organización, con intereses en el proceso de gestión de la calidad. La norma requiere que las organizaciones se centren no sólo en requisitos de cliente, sino también en los requerimientos de otros actores o partes interesadas tales como empleados, proveedores y así sucesivamente, que puedan afectar el sistema de gestión de calidad.

La nueva norma tiene 10 cláusulas:

  • Alcance.
  • Referencias de normativa.
  • Términos y definiciones.
  • Contexto de la organización y del liderazgo.
  • Calendario para el Sistema de Gestión de la Calidad.
  • Soporte.
  • Operación.
  • Evaluación de desempeño. 
  • Mejora. 

ISO 9001:2015 - Just published!

by Maria Lazarte

The latest edition of ISO 9001, ISO's flagship quality management systems standard, has just been published. This concludes over three years of revision work by experts from nearly 95 participating and observing countries to bring the standard up to date with modern needs.

With over 1.1 million certificates issued worldwide, ISO 9001 helps organizations demonstrate to customers that they can offer products and services of consistently good quality. It also acts as a tool to streamline their processes and make them more efficient at what they do. Acting ISO Secretary-General Kevin McKinley explains: “ISO 9001 allows organizations to adapt to a changing world. It enhances an organization’s ability to satisfy its customers and provides a coherent foundation for growth and sustained success.”

The 2015 edition features important changes, which Nigel Croft, Chair of the ISO subcommittee that developed and revised the standard, refers to as an “evolutionary rather than a revolutionary” process. “We are just bringing ISO 9001 firmly into the 21st century. The earlier versions of ISO 9001 were quite prescriptive, with many requirements for documented procedures and records. In the 2000 and 2008 editions, we focused more on managing processes, and less on documentation.

“We have now gone a step further, and ISO 9001:2015 is even less prescriptive than its predecessor, focusing instead on performance. We have achieved this by combining the process approach with risk-based thinking, and employing the Plan-Do-Check-Act cycle at all levels in the organization.

“Knowing that today’s organizations will have several management standards in place, we have designed the 2015 version to be easily integrated with other management systems. The new version also provides a solid base for sector-quality standards (automotive, aerospace, medical industries, etc.), and takes into account the needs of regulators.”

As the much anticipated standard comes into being, Kevin McKinley concludes, “The world has changed, and this revision was needed to reflect this. Technology is driving increased expectations from customers and businesses. Barriers to trade have dropped due to lower tariffs, but also because of strategic instruments like International Standards. We are seeing a trend towards more complex global supply chains that demand integrated action. So organizations need to perform in new ways, and our quality management standards need to keep up with these expectations. I am confident that the 2015 edition of ISO 9001 can help them achieve this.”

The standard was developed by ISO/TC 176/SC 2, whose secretariat is held by BSI, ISO member for the UK. “This is a very important committee for ISO,” says Kevin, “one that has led the way in terms of global relevance, impact and utilization. I thank the experts for their hard effort.”

ISO 9001:2015 replaces previous editions and certification bodies will have up to three years to migrate certificates to the new version.

ISO 9000, which lays down the concepts and language used throughout the ISO 9000 family of standards, has also been revised and a new edition is available.

Learn all about the new ISO 9001:2015 in our five minute video:

The world’s quality management systems standard, ISO 9001, has been revised. Here, Kevin McKinley, Acting ISO Secretary-General, and Nigel Croft, Chair of the subcommittee that revised ISO 9001, tell you everything you need to know about the new edition of this landmark standard that enhances an organization’s ability to satisfy its customers and provides a coherent foundation for growth and sustained success.
La Norme internationale ISO 9001 sur les systèmes de management de la qualité vient d’être révisée. Dans cette vidéo, Kevin McKinley, Secrétaire général par intérim de l’ISO, et Nigel Croft, Président du sous-comité en charge de la révision d’ISO 9001, vous disent tout ce qu’il faut savoir sur la nouvelle édition de cette norme de référence qui améliore la capacité d’une organisation à satisfaire ses clients et offre des bases cohérentes pour une croissance et une réussite durables.

Link: http://www.iso.org


Page: (Previous)   1  ...  4  5  6  7  8  9  10  11  12  13  ...  63  (Next)
  ALL