SEGURIDAD

UNA TAXONOMÍA DEL MALWARE

Existen muchos tipos de malware. Es instructivo crear una taxonomía para categorizar sistemáticamente el amplio espectro de tipos de malware. Esta taxonomía describe las características comunes de cada tipo de malware y, por lo tanto, puede orientar el desarrollo de contramedidas aplicables a una categoría completa de malware (en lugar de a un malware específico). Dado que existen muchas facetas de las tecnologías de malware y las operaciones de ataque, según las cuales el malware se puede categorizar y nombrar, nuestra taxonomía puede incluir muchas dimensiones. Discutimos algunos importantes a continuación. Debe tenerse en cuenta que también se podrían utilizar otros atributos más especializados, como la arquitectura del procesador de destino o el sistema operativo.

La primera dimensión de nuestra taxonomía es si el malware es un programa independiente (o independiente) o simplemente una secuencia de instrucciones para ser incrustadas en otro programa. El malware independiente es un programa completo que puede ejecutarse por sí solo una vez que se instala en una máquina comprometida y se ejecuta. Por ejemplo, los gusanos y el malware de red pertenecen a este tipo. El segundo tipo requiere que se ejecute un programa host, es decir, debe infectar un programa en una computadora insertando sus instrucciones en el programa para que cuando se ejecute el programa, también se ejecuten las instrucciones del malware. Por ejemplo, los virus documentmacro y los complementos de navegador maliciosos pertenecen a este tipo. En general, es más fácil detectar malware independiente porque es un programa o un proceso en ejecución por derecho propio y su presencia puede ser detectada por el sistema operativo o las herramientas de seguridad.

La segunda dimensión es si el malware es persistente o transitorio. La mayor parte del malware se instala en el almacenamiento persistente (normalmente, un sistema de archivos) como malware independiente o como una infección de otro programa que ya reside en el almacenamiento persistente. Otro malware reside en la memoria, de modo que si se reinicia la computadora o el programa infectado en ejecución finaliza, ya no existe en ninguna parte del sistema. El malware residente en la memoria puede evadir la detección de muchos sistemas antivirus que dependen del análisis de archivos. Este malware transitorio también tiene la ventaja de que es fácil de limpiar (o encubrir) sus operaciones de ataque. La forma tradicional de que el malware se convierta en residente en la memoria es eliminar el programa de malware (que se descargó e instaló previamente) del sistema de archivos tan pronto como se ejecute. Los enfoques más nuevos aprovechan las herramientas administrativas y de seguridad del sistema, como PowerShell, para inyectar malware directamente en la memoria. Por ejemplo, según un informe, después de una explotación inicial que llevó a la ejecución no autorizada de PowerShell, sea descargado e inyectado en la memoria usando comandos de PowerShell y recolectando contraseñas en la computadora infectada.

La tercera dimensión generalmente se aplica solo al malware persistente y clasifica el malware según la capa de la pila del sistema en la que se instala y ejecuta el malware. Estas capas, en orden ascendente, incluyen firmware, sector de arranque, kernel del sistema operativo, controladores e interfaces de programación de aplicaciones (API) y aplicaciones de usuario. Por lo general, el malware en las capas inferiores es más difícil de detectar y eliminar, y causa más estragos porque tiene más control sobre la computadora comprometida. Por otro lado, también es más difícil escribir malware que se pueda instalar en una capa inferior porque hay mayores restricciones, por ejemplo, un entorno de programación más limitado en términos de los tipos y la cantidad de código permitido.

La cuarta dimensión es si el malware se ejecuta y se propaga automáticamente o si se activa mediante la acción del usuario. Cuando se ejecuta un malware de propagación automática, busca otras máquinas vulnerables en Internet, compromete estas máquinas y se instala en ellas; las copias de malware en estas máquinas recién infectadas hacen lo mismo inmediatamente: se ejecutan y se propagan. Obviamente, el malware de propagación automática puede propagarse en Internet muy rápidamente, y a menudo puede aumentar exponencialmente el número de computadoras comprometidas. Por otro lado, el malware activado por el usuario se ejecuta en una computadora solo porque un usuario lo descarga y ejecuta accidentalmente, por ejemplo, al hacer clic en un archivo adjunto o URL en un correo electrónico recibido. Más importante aún, cuando este malware se ejecuta, aunque puede “propagarse”, por ejemplo, enviando un correo electrónico consigo mismo como archivo adjunto a los contactos en la libreta de direcciones del usuario, esta propagación no tiene éxito a menos que un usuario que recibe este correo electrónico active el malware.

La quinta dimensión es si el malware es estático o de una sola vez frente a si se actualiza dinámicamente. La mayor parte del malware moderno está respaldado por una infraestructura tal que una computadora comprometida puede recibir una actualización de software de un servidor de malware, es decir, se instala una nueva versión del malware en la computadora comprometida. Desde el punto de vista de un atacante, la actualización de malware tiene muchos beneficios. Por ejemplo, el malware actualizado puede evadir las técnicas de detección que se basan en las características de instancias de malware más antiguas.

La sexta dimensión es si el malware actúa solo o es parte de una red coordinada (es decir, una botnet). Si bien las redes de bots son responsables de muchos ciberataques como DDoS, spam, phishing, etc., el malware aislado se ha vuelto cada vez más común en forma de ataques dirigidos. Es decir, el malware puede diseñarse específicamente para infectar una organización objetivo y realizar actividades maliciosas de acuerdo con los activos de la organización valiosos para el atacante.

La mayoría de los programas maliciosos modernos utilizan alguna forma de ofuscación para evitar la detección (y, por lo tanto, no incluimos explícitamente la ofuscación en esta taxonomía). Existe una variedad de técnicas de ofuscación y hay herramientas disponibles gratuitamente en Internet para que las utilice un autor de malware. Por ejemplo, el polimorfismo se puede utilizar para vencer los métodos de detección que se basan en “firmas” o patrones de código de malware. Es decir, las características identificables del malware se modifican para que sean únicas para cada instancia del malware. Por lo tanto, las instancias de malware se ven diferentes entre sí, pero todas mantienen la misma funcionalidad de malware. Algunas técnicas comunes de malware polimórfico incluyen empaquetado, que implica comprimir y cifrar parte del malware, y reescribir instrucciones maliciosas identificables en otras instrucciones equivalentes.

SEGURIDAD

INGENIERÍA DE PRIVACIDAD

La creciente preocupación por la privacidad en la sociedad ha hecho que el concepto de “privacidad por diseño” sea muy popular entre los responsables políticos. Este concepto aboga por el diseño y desarrollo de sistemas que integran valores de privacidad para abordar las preocupaciones de los usuarios. Sin embargo, la literatura sobre este concepto rara vez aborda los procesos reales detrás del diseño, implementación e integración de protecciones de privacidad en productos y servicios.

En esta área de conocimiento, primero brindamos una descripción general del panorama de las tecnologías de privacidad y, posteriormente, proporcionamos una serie de ejemplos en los que estas tecnologías se combinan para respaldar el uso de sistemas electrónicos mientras se mantienen los valores democráticos fundamentales. En esta sección, elaboramos los principios de diseño detrás de estos y otros sistemas de preservación de la privacidad. Discutimos brevemente cómo se pueden utilizar estos principios para abordar en general la ingeniería de sistemas que incorporan fuertes protecciones de privacidad. Remitimos al lector al trabajo de Gürses et al para una explicación más completa de estos principios y su papel en el diseño de sistemas de preservación de la privacidad. Un artículo relevante para ayudar al lector a comprender estos principios es el trabajo de Hoepman sobre estrategias de privacidad.

Los dos objetivos principales al diseñar sistemas que preservan la privacidad son:

  • Minimizar la confianza: limitar la necesidad de depender de otras entidades para comportarse como se espera con respecto a los datos confidenciales. Por ejemplo, en el eVoting basado en combinaciones, la confianza no solo se distribuye entre las entidades que administran las combinaciones, sino que se implementan cambios verificables para limitar al máximo la cantidad de confianza en el buen comportamiento de cada combinación. De manera similar, las primitivas criptográficas utilizadas para implementar peticiones electrónicas que preservan la privacidad no requieren confianza en la autoridad de registro para proteger las identidades de los firmantes.
  • Minimizar el riesgo: limitar la probabilidad y el impacto de una violación de la privacidad. Por ejemplo, en Tor, comprometer un relé no proporciona ninguna información confidencial sobre los hábitos de navegación de los usuarios. Si se compromete el nodo de entrada, no se pueden conocer los destinos de las comunicaciones, solo los nodos intermedios de los circuitos; y si uno compromete el nodo de salida, no puede conocer el origen de la comunicación.

Para minimizar tanto la confianza como el riesgo, los expertos en privacidad suelen diseñar sistemas de acuerdo con las siguientes estrategias:

  • Minimizar la recopilación: siempre que sea posible, limite la captura y el almacenamiento de datos en el sistema.
  • Minimizar la divulgación: siempre que sea posible, restrinja el flujo de información a partes distintas de la entidad a la que se refieren los datos. Esto se refiere tanto a los flujos directos entre remitentes y receptores como a los flujos indirectos, por ejemplo, el uso de técnicas de control para limitar la información disponible al publicar o consultar un conjunto de datos.
  • Minimizar la replicación: siempre que sea posible, limite el número de entidades donde los datos se almacenan o procesan en claro.
  • Minimizar la centralización: siempre que sea posible, evite un solo punto de falla con respecto a las propiedades de privacidad en el sistema.
  • Minimizar la capacidad de vinculación: siempre que sea posible, limite la capacidad del adversario para vincular datos.
  • Minimizar la retención: siempre que sea posible, limite la cantidad de tiempo que se almacena la información.

La implementación de estas estrategias al principio puede parecer incompatible con el mantenimiento de la integridad del sistema. Por ejemplo, si no se divulga ni se recopila información, ¿cómo puede uno asegurarse de que ninguna entidad esté abusando del sistema? Si no hay una autoridad central, ¿cómo se puede asegurar que la autenticación y la autorización funcionen como se espera? Aquí es donde entran en juego las tecnologías de privacidad. Permiten el diseño de sistemas en los que se revela la menor cantidad de información posible a terceros distintos de aquellos a los que se refiere la información, y en los que existe una mínima necesidad de confiar en los proveedores u otros usuarios para preservar la privacidad de la información sensible sin dejar de pertenecer a la integridad y permitir el intercambio de información.

Para decidir qué tecnología de privacidad es la más adecuada para construir un sistema, un primer paso es identificar los flujos de datos que deben minimizarse; es decir, aquellos que mueven datos a entidades con las que los datos no se relacionan. El segundo paso es identificar el conjunto mínimo de datos que deben transferirse a esas entidades. Para identificar la información mínima requerida que debe transferirse, el diseñador debe intentar mantener la mayor cantidad de datos posible fuera del alcance de esas entidades sin dañar la funcionalidad del sistema. Las estrategias para minimizar el flujo de información innecesario son:

  • Mantenga los datos locales: realice cualquier cálculo sobre datos confidenciales por parte del usuario y solo transmita el resultado de la operación. Es posible que se necesite información adicional, como comprobaciones o compromisos de conocimiento cero, para garantizar la corrección de las operaciones.
  • Encriptar los datos: encriptar los datos localmente y enviar solo la versión encriptada a otras entidades. Si es necesario realizar alguna operación en los datos, consulte el siguiente punto.
  • Utilizar protocolos criptográficos que preserven la privacidad: procesar datos localmente para obtener entradas a un protocolo en el que, al interactuar con las entidades no confiables utilizando uno de los protocolos introducidos en las secciones anteriores, el usuario puede obtener o probar información limitando la información. puesto a disposición de esas entidades. Por ejemplo, utilizar credenciales anónimas para la autenticación sin revelar la identidad o incluso el valor de un atributo, o utilizar la recuperación de información privada para realizar una búsqueda en una base de datos sin revelar la consulta al titular de la base de datos.
  • Ofuscar los datos: utilice técnicas para controlar la inferencia para procesar los datos localmente y solo envíe la versión perturbada a la entidad que no es de confianza.
  • Anonimizar los datos: procesar los datos localmente para eliminar la información identificable y enviarla a la parte que no es de confianza a través de un canal anónimo.

Al buscar minimizar la confianza y utilizar las técnicas anteriores, los diseñadores de sistemas están obligados a recopilar, procesar y retener menos datos que con otras estrategias basadas en el cumplimiento de la regulación. Reconocemos que muchos sistemas y aplicaciones no se pueden construir sin recopilar algunos datos relacionados con el usuario.

Evaluación de privacidad. Una vez que se han diseñado las tecnologías de privacidad o los sistemas de un extremo a otro, es importante realizar una evaluación de la privacidad. Esta evaluación tiene como objetivo cuantificar el nivel de privacidad que la tecnología y, respectivamente, el sistema pueden proporcionar.

Para las tecnologías de privacidad basadas en primitivas criptográficas, la evaluación de la privacidad generalmente cubre las pruebas criptográficas que garantizan que las operaciones solo filtren la información deseada. Por el contrario, para las técnicas de privacidad basadas en la ofuscación, es necesario realizar un análisis para validar que la combinación de técnicas proporciona el nivel de privacidad deseado.

Una evaluación de privacidad sistemática generalmente consta de los siguientes pasos. Primero, es necesario modelar el mecanismo de preservación de la privacidad como una transformación probabilística. Esto establece la probabilidad de que, dada una entrada, el mecanismo de privacidad devuelva una salida determinada. En segundo lugar, es necesario establecer el modelo de amenaza, es decir, lo que el adversario puede ver y cuál es su conocimiento previo. En tercer lugar, asumiendo que el adversario conoce el mecanismo, considere cómo anularía el efecto del mecanismo de privacidad. Esto generalmente implica hacer un análisis de las distribuciones de probabilidad o usar técnicas de inferencia como el aprendizaje automático para calcular lo que el adversario puede aprender.

Al final del proceso, generalmente se tiene una distribución que describe la probabilidad de que el adversario infiera cada una de las posibles entradas. Esta distribución de probabilidad se utiliza luego como entrada para una métrica de privacidad que captura la capacidad de inferencia del adversario. Remitimos al lector a la encuesta de Wagner y Eckhoff para obtener una descripción completa de las métricas de privacidad en la literatura.

SEGURIDAD

TECNOLOGÍAS DE PRIVACIDAD Y VALORES DEMOCRÁTICOS

Las tecnologías de privacidad son de suma importancia para garantizar que se respete nuestro derecho fundamental a la privacidad en el mundo digital. La protección de la privacidad es fundamental para sustentar los valores que sustentan nuestras sociedades democráticas. Citando a Daniel Solove: “Parte de lo que hace que una sociedad sea un buen lugar para vivir es la medida en que permite que las personas se liberen de la intromisión de los demás. Una sociedad sin protección de la privacidad sería asfixiante”. Si bien esta sociedad parecía ciencia ficción no hace mucho tiempo, episodios como el caso de Facebook Cambridge Analytica destacan la importancia de evitar que los datos sean accedidos por partes no deseadas (por ejemplo, utilizando técnicas de confidencialidad o control) para proteger a los ciudadanos de interferencia y manipulación.

Tecnologías de privacidad como soporte de sistemas políticos democráticos

El creciente uso de aplicaciones electrónicas para interactuar con organismos gubernamentales trae grandes ventajas a la sociedad. Proporcionar a los ciudadanos medios sencillos para expresar sus opiniones, comentar sobre iniciativas gubernamentales o votar en las elecciones aumenta su participación en los procesos de decisión pública. Esto, a su vez, mejora el equilibrio de poder entre quienes pueden ejecutar decisiones y quienes se ven afectados por el resultado del proceso de decisión.

Para que estas mejoras sean efectivas, los ciudadanos deben poder expresar libremente sus opiniones y deben asegurarse de que sus aportes no se modifiquen ni se pierdan durante el proceso. Sin embargo, el uso de infraestructuras comunes (p. Ej., Servicios en la nube o redes de comunicación desprotegidas) para implementar estas aplicaciones orientadas a la democracia suscita preocupaciones sobre la vigilancia y la manipulación. Por lo tanto, es importante que estas aplicaciones estén respaldadas por sólidas tecnologías de privacidad que puedan proteger las identidades de los usuarios, así como sus datos confidenciales y las entradas al sistema. Describimos dos aplicaciones de ejemplo, el voto electrónico y las peticiones electrónicas, en las que las tecnologías introducidas en los apartados anteriores se combinan para permitir que los ciudadanos y los gobiernos disfruten del progreso tecnológico sin comprometer nuestros valores democráticos.

Voto electrónico (eVoting). Los sistemas de votación electrónica tienen el objetivo de permitir que se lleven a cabo elecciones justas a través de la infraestructura electrónica en condiciones adversas. En particular, los esquemas de eVoting brindan:

  • Secreto de la votación: un adversario no puede determinar por qué candidato votó un usuario.
  • Verificabilidad universal: un observador externo puede verificar que se cuentan todos los votos emitidos y que el recuento es correcto. Algunos protocolos proporcionan una propiedad más débil, la verificabilidad individual, donde cada votante puede verificar que su voto se haya contabilizado correctamente. Benaloh y col. Proporcionar una visión general completa de los aspectos a evaluar para obtener una verificabilidad de un extremo a otro.
  • Verificabilidad de elegibilidad: un observador externo puede verificar que todos los votos emitidos fueron hechos por un solo votante elegible.

Para garantizar el primer aspecto, es clave romper los vínculos entre los votos que ingresan al sistema y los que salen. En las elecciones físicas tradicionales en papel y lápiz, esto se hace mezclando las papeletas, todas las cuales tienen exactamente la misma apariencia en una urna. En eVoting, la desvinculación se logra típicamente usando redes mixtas. Los votos se pasan a través de una serie de mezclas, que no deben pertenecer a la misma autoridad. De lo contrario, esta autoridad podría rastrear los votos y vincular a los votantes con sus opciones de voto. Los resultados se publican en un tablón de anuncios público que cualquiera puede leer y verificar que la elección se llevó a cabo de manera honesta.

En el caso de la votación electrónica, las mezclas se activan cuando todos los votos están recibidos y la estrategia de agrupación es tomar todos los votos. En términos simples, asegura que todos los votos se mezclen, obteniendo el máximo conjunto de anonimato. Esto cumple con el criterio del secreto del voto, ya que cualquier votante podría haber emitido cualquier voto. Además, para garantizar la verificabilidad universal, en las redes mixtas de eVoting, cada nodo realiza cambios verificables. Esto significa que las mezclas prueban, con conocimiento cero, que mezclan todos los votos (todos los votos en la entrada aparecen en la salida) y la mezcla es aleatoria. La verificabilidad de la elegibilidad se puede obtener solicitando a los votantes que demuestren con conocimiento cero que son elegibles para votar.

Otros protocolos de votación brindan el secreto de la boleta mediante el uso de firmas ciegas: una entidad autorizada verifica la elegibilidad de un usuario y firma ciegamente su voto (es decir, sin ver el contenido del voto). El usuario proporciona una prueba de conocimiento cero junto con el voto de que el voto se ha construido correctamente. Luego, los usuarios envían los votos firmados al servidor de conteo mediante un canal de comunicación anónimo. De esta manera, ninguna entidad en el sistema puede vincular al votante con los votos.

Una tercera estrategia se basa en el cifrado homomórfico. En estos esquemas, el servidor de conteo crea un tablero de anuncios con cero entradas cifradas para cada candidato. Luego, cada usuario agrega su voto al candidato deseado y aleatoriza el resto de las encriptaciones (para que las encriptaciones del mismo número nunca se vean iguales). Como antes, se pueden utilizar pruebas de conocimiento cero para garantizar que las sumas y la asignación al azar se hayan realizado de la manera correcta.

Además de las tres propiedades anteriores, algunos protocolos de votación también tienen como objetivo proporcionar resistencia a la coacción, por lo que no se puede obligar a un usuario a votar por un candidato en particular en contra de su voluntad. Una estrategia para implementar un sistema de este tipo es proporcionar a los usuarios credenciales falsas. Luego, cuando los usuarios están bajo coacción, siguen las instrucciones del coactivo, pero proporcionan sus credenciales falsas al sistema. Esto permite que el servidor de conteo ignore los votos producidos bajo coacción. Los enfoques relacionados evitan la coerción a través de la reelección, es decir, los esquemas permiten a los usuarios volver a emitir un voto para cancelar su elección coaccionada. Estos esquemas definen políticas para establecer cómo contar los votos cada vez que una credencial dada ha emitido más de un voto. (Por ejemplo, cuente el último o agregue un puntero al voto cancelado).

Peticiones anónimas. Definimos una petición como una solicitud formal a una autoridad superior, por ejemplo, un parlamento u otra autoridad, firmada por uno o más ciudadanos. Sin embargo, firmar una petición públicamente puede generar preocupaciones o conflictos en términos de relaciones entre amigos, colegas y vecinos, desalentando la participación de los ciudadanos [580]. Las tecnologías de privacidad, en particular, las credenciales anónimas, pueden ayudar a crear sistemas de petición seguros y que preserven la privacidad.

En los sistemas de petición basados en credenciales anónimas, los ciudadanos pueden registrarse ante la autoridad que gestiona el sistema de peticiones para obtener una clave de firma anónima asociada a algunos atributos relevantes para las peticiones. Luego, al momento de firmar una petición en particular, pueden demostrar que son elegibles (por ejemplo, son habitantes del municipio al que se hace referencia) pero no necesitan revelar su identidad. Las propiedades avanzadas de las credenciales, como la detección de doble firma, permiten la creación de este sistema y evitan el abuso por parte de los ciudadanos que se portan mal.

Los enfoques más modernos se basan en primitivas criptográficas avanzadas para eliminar la necesidad de una parte central de confianza que registre a los usuarios. Por ejemplo, Sonnino et al. Permitir la emisión de umbral y la verificación de credenciales para firmar la petición, es decir, varias autoridades participan en la emisión. Este esquema mejora la confidencialidad, la autenticidad y la disponibilidad mediante el uso de libros de contabilidad distribuidos. Este enfoque aumenta el nivel de privacidad en el sistema y, al mismo tiempo, reduce la necesidad de confiar en una sola parte.

Resistencia a la censura y libertad de expresión

Los sistemas de censura intentan imponer una distribución particular de contenido en un sistema. Pueden evitar que los usuarios publiquen contenido particular que se considere controvertido o peligroso para el régimen de censura; o pueden impedir que los usuarios accedan a contenido que pueda socavar el equilibrio social que el censor desea imponer en su sociedad.

En esta sección, mostramos cómo las tecnologías que preservan la privacidad pueden actuar como piedra angular para apoyar la libertad de expresión y la libertad de acceso a la información. Desarrollaremos algunos ejemplos para cada uno de estos objetivos con el fin de ilustrar los principios fundamentales que hacen posible la resistencia a la censura. Remitimos al lector interesado a las encuestas de Khattak et al. y Tschantz et al. Para una revisión integral de los sistemas de resistencia a la censura.

Resistencia a la censura de publicación de datos. Motivado por la orden judicial de la “Iglesia de la Cienciología”, que provocó el cierre del remailer de Penet a finales de la década de 1990, Anderson propuso el Servicio de la Eternidad. Este fue el primer sistema en utilizar tecnologías de privacidad para proteger la publicación de contenido en Internet. El esquema de Anderson propuso distribuir copias de archivos a través de servidores en diferentes jurisdicciones, de modo que esos servidores no puedan ser citados al mismo tiempo. En este esquema, las tecnologías de privacidad tienen roles fundamentales para la resistencia: el cifrado no solo brinda privacidad a los usuarios, sino que también evita la denegación selectiva de servicio en el momento de la recuperación; y la autenticación anónima no solo protege a los usuarios del servicio, sino que también protege al servicio de ser coaccionado para que revele las identidades de los usuarios, por ejemplo, por parte de las fuerzas del orden público, ya que no puede conocer las identidades de estos usuarios.

La propuesta de Anderson inspiró diseños posteriores como Freenet, un sistema peer-to-peer para publicar, replicar y recuperar datos mientras se protege el anonimato tanto de los autores como de los lectores. Además, el sistema proporciona negación para las entidades que almacenan la información; es decir, los servidores no pueden conocer el contenido de los archivos que almacenan y, por lo tanto, siempre pueden afirmar que desconocen lo que están sirviendo. En Freenet, los archivos se ubican según una clave que suele ser el hash del archivo, pero también puede incluir una descripción del archivo o ser una cadena simple. Para recuperar un archivo, un usuario obtiene o calcula las claves y pide a los nodos de Freenet que lo encuentren. Si un nodo no contiene el archivo, le pregunta a un vecino. Cuando se encuentra el archivo, se envía de vuelta por la misma ruta que siguió la solicitud en la red. Esto asegura que el nodo que contiene los datos no conozca al destinatario. Para almacenar un archivo, si la clave aún no existe, el editor envía el archivo a lo largo de una ruta y cada nodo de la ruta almacena el archivo. Para proteger el anonimato del editor, los nodos que almacenan el archivo también deciden al azar si también reclaman la propiedad. Tales afirmaciones aleatorias también brindan a los nodos la negación de cuáles de los archivos que están almacenando son realmente suyos.

El diseño de Freenet se basa en una sólida criptografía, que protege el contenido de los mensajes. Sin embargo, en los primeros días, las rutas y los tiempos de los mensajes permitieron que los ataques rompieran el anonimato del sistema. Tian y col. muestran que un atacante pasivo que despliega varios nodos en la red que pueden monitorear las solicitudes puede volver a identificar al solicitante preguntando de forma recurrente a otros nodos si han visto la solicitud. Freenet también permite la recopilación de estadísticas que preservan la privacidad. Sin embargo, el método de ofuscación estadística es vulnerable a ataques de inferencia en los que el nodo adversario combina varias consultas para obtener información sobre las propiedades de otros nodos Freenet (por ejemplo, ancho de banda) Freenet aborda estos problemas, pero quedan otros, como el ataque de Levine et al. que permite que un solo nodo distinga si un par vecino es el solicitante real de un archivo o simplemente reenvía las solicitudes a otros pares. El ataque solo requiere la observación pasiva del tráfico y aprovecha el hecho de que el protocolo Freenet determina el número promedio de solicitudes de un archivo observable por un nodo, dependiendo de qué tan lejos esté este nodo del solicitante. Por tanto, una simple inferencia bayesiana es suficiente para detectar si un vecino es el iniciador de la solicitud.

En Tangler se sigue un enfoque diferente de la censura. El sistema también proporciona anonimato al editor y al lector, pero logra la resistencia a la censura de una manera diferente. En lugar de simplemente almacenar el archivo replicado en muchos nodos de forma anónima, los archivos de Tangler se dividen en pequeños bloques que se almacenan en diferentes servidores. Para recuperar un archivo, uno debe contactar a varios servidores para recuperar una cantidad suficiente de estos bloques. Para evitar que un servidor se vea obligado a eliminar un bloque que pertenece a un archivo, Tangler construye bloques de tal manera que los bloques contienen partes de muchos documentos. El enredo mejora la disponibilidad de dos formas. Primero, un censor solo puede eliminar un archivo de destino causando daños colaterales a otros archivos que puedan estar permitidos. En segundo lugar, siempre que se desee replicar un archivo, también se replican los archivos enredados en los bloques de archivos replicados.

Resistencia a la censura de acceso a datos. Para permitir el acceso a los datos sin censura, los sistemas deben poder ocultar que los usuarios están accediendo a estos datos. Esto se puede hacer de varias formas. Un primer enfoque es la imitación, donde la resistencia a la censura se obtiene al intentar hacer que el acceso a datos censurados parezca acceder a datos permitidos (por ejemplo, como una llamada de Skype o como una visita a una página web inocua). Estos enfoques son efectivos, pero se ha demostrado que son vulnerables a ataques activos en los que el adversario investiga la conexión sospechosa para averiguar si falta alguna de las funciones esperadas de la aplicación que se está imitando.

Un segundo enfoque es la construcción de túneles. En este caso, la comunicación censurada se canaliza directamente a través de un servicio sin censura, en lugar de pretender ser ese servicio. En particular, estos sistemas utilizan servicios ampliamente utilizados como túneles, por ejemplo, servicios en la nube, por lo que bloquear las comunicaciones impone un alto costo para el censor. Un tercer enfoque consiste en incorporar la comunicación dentro de algún contenido (por ejemplo, oculto en una foto o video). Este enfoque no solo hace que las comunicaciones no sean observables, sino también negables para todos los remitentes, destinatarios y aplicaciones que alojan el contenido.

Finalmente, algunos sistemas de resistencia a la censura se basan en ocultar el destino de la comunicación para evitar que los censores bloqueen las conexiones. Esto se logra retransmitiendo tráfico censurado a través de uno o más nodos intermedios. Estos nodos pueden ser proxies, como puentes en la red Tor. Estos puentes son retransmisores Tor cuyas direcciones IP no son públicas, por lo que no pueden identificarse como miembros de un sistema de resistencia a la censura. Para evitar que la censura identifique conexiones a puentes por su apariencia, estos se disfrazan mediante los denominados transportes enchufables, que transforman el flujo de tráfico siguiendo uno de los enfoques referenciados en este apartado.

Otra opción para ocultar el destino es el uso de enrutamiento señuelo, también conocido como red de refracción. En el enrutamiento señuelo, los clientes dirigen su tráfico censurado a un destino benigno. Este tráfico incluye una señal indetectable que solo puede ser interpretada por un enrutador de Internet en cooperación. Este enrutador desvía el tráfico del cliente al sitio censurado y devuelve las respuestas al cliente. Obviamente, el enrutador cooperante debe estar fuera del dominio del censor, pero, según el esquema, puede estar en la ruta directa desde el cliente hasta el destino sin censura, o en la ruta descendente.

SEGURIDAD

PRIVACIDAD COMO TRANSPARENCIA

El último paradigma de diseño de privacidad que consideramos es la privacidad como transparencia. A diferencia de las tecnologías que limitan la divulgación de datos o el uso de datos divulgados, los mecanismos de transparencia analizan las actividades en línea de los usuarios para proporcionarles retroalimentación sobre las implicaciones de sus acciones, o ejecutar auditorías para verificar que se hayan realizado sin violación de la privacidad.

Al igual que con las tecnologías orientadas al control, la privacidad basada en la transparencia no puede evitar las violaciones de la privacidad en sí mismas. De hecho, la retroalimentación o las auditorías ocurren después de que los usuarios ya hayan revelado datos al proveedor. Por lo tanto, nuevamente se confía en los proveedores para asegurarse de que los datos recopilados no se procesen o compartan de maneras no autorizadas por los usuarios.

Transparencia basada en comentarios

En primer lugar, describimos los mecanismos que hacen transparente la forma en que se recopila, agrega, analiza y utiliza la información para la toma de decisiones. El factor común entre estas tecnologías es que brindan a los usuarios retroalimentación sobre cómo otros procesan o perciben su información.

Un esfuerzo inicial en esta dirección es el concepto de espejos de privacidad, que muestran a los usuarios su “yo digital”; es decir, cómo ven los demás sus datos en línea. Este concepto fue adoptado por redes sociales populares en línea como Facebook, que permite a los usuarios verificar cómo diferentes audiencias (por ejemplo, amigos, amigos de amigos, otros), o incluso usuarios individuales, ven sus perfiles cada vez que realizan cambios en su privacidad. Control S. Una línea de trabajo similar proporciona otros medios para visualizar cómo la configuración de privacidad afecta el intercambio de datos para mejorar la comprensión de los usuarios sobre el conjunto de permisos que han seleccionado. Esta solución proporciona señales visuales a los usuarios que indican los permisos de acceso asociados con los datos que compartieron. Por ejemplo, puede resaltar campos en un perfil de red social con un color diferente dependiendo de quién tenga acceso a esa información en particular. Ambas soluciones ayudan a los usuarios a comprender sus prácticas y modificar sus acciones. Sin embargo, solo pueden hacerlo después de que la información haya sido revelada al proveedor (y posiblemente a otros usuarios).

Un tipo diferente de retroalimentación del usuario comprende los llamados empujones de privacidad. Los empujones ayudan a los usuarios a tomar decisiones sobre su configuración de privacidad y seguridad. Proporcionan a los usuarios retroalimentación inmediata cada vez que el usuario realiza una acción en línea de manera que la acción podría cancelarse o modificarse. Por ejemplo, el empujón puede informar al usuario que la publicación que está escribiendo actualmente es pública para que el usuario tenga cuidado con las palabras que elige usar. Las herramientas de empuje pueden ser aún más sofisticadas y utilizar algoritmos modernos de aprendizaje automático para analizar fotos o texto a medida que se cargan, y proporcionar a los usuarios comentarios más concretos, como ‘la publicación puede percibirse como negativa’ o ‘la foto es muy explícito’. Si bien la retroalimentación inmediata presenta beneficios evidentes en comparación con los espejos, dado que las acciones se pueden modificar antes de enviar la información al proveedor, también tiene inconvenientes. Los experimentos con usuarios han demostrado que la retroalimentación inmediata genera una sensación incómoda para los usuarios, ya que se sienten monitoreados, y los usuarios a veces perciben los consejos como paternalistas y fuera de lugar.

Transparencia basada en auditorías

Como se mencionó anteriormente, incluso con políticas de privacidad y control de acceso implementados, no hay garantía de que se respeten las preferencias del usuario. Se pueden implementar medidas adicionales para permitir a los usuarios verificar que no se ha producido ningún abuso. Para realizar estas auditorías, se requiere que el sistema registre todas las operaciones de acceso y procesamiento de datos. Este registro puede revelar cuándo los usuarios inician sesión en el sistema y cuándo y cómo se transmiten sus datos a otros. Por lo tanto, dependiendo de la cantidad y la granularidad de la información, el registro puede introducir riesgos de privacidad adicionales.

Por lo tanto, las políticas de registro deben diseñarse cuidadosamente. Un enfoque para hacer esto es derivar las especificaciones de auditoría de las políticas utilizando métodos formales. Esto garantiza que los registros generados, aunque son mínimos, aún contienen suficiente información para auditar si se están respetando las políticas. Las soluciones, sin embargo, son limitadas en su expresividad y no pueden manejar políticas de privacidad en sistemas modernos donde la cantidad de datos recopilados y la cantidad de entidades involucradas hacen que un análisis formal sea extremadamente engorroso.

El uso de métodos formales supone que el intercambio de datos está gestionado por una autoridad centralizada en la que se debe confiar. Esto es problemático porque la autoridad centralizada se convierte en un único punto de falla. Los avances recientes en criptografía y libros de contabilidad distribuidos permiten el diseño de soluciones que brindan los medios para crear registros altamente seguros, al tiempo que garantizan que no se comparta información privada con partes no autorizadas. Cuando el registro se realiza de manera distribuida, ninguna parte individual puede modificar el registro por sí solo, lo que reduce la necesidad de confianza y elimina cualquier punto de falla. Por ejemplo, sistemas como UnLynx permiten que las entidades compartan datos confidenciales y realicen cálculos sobre ellos, sin confiar a ninguna entidad la protección de los datos. Todas las acciones se registran en un libro mayor distribuido para su auditoría, y la corrección de las operaciones se garantiza mediante el uso de primitivas criptográficas verificables y pruebas de conocimiento cero. Por tanto, no es necesario publicar o registrar los datos sensibles o las operaciones que se realicen sobre ellos.

SEGURIDAD

PRIVACIDAD COMO CONTROL

En la sección anterior, discutimos las tecnologías de privacidad que mantienen la confidencialidad de los datos, minimizando la recopilación de datos y / o minimizando la cantidad de información que se puede inferir de cualquier dato publicado. Una noción más amplia de privacidad, a la que generalmente se hace referencia en las regulaciones, amplía la privacidad desde la noción de ocultación de información personal hasta la capacidad de controlar lo que sucede con la información que se revela.

La idea detrás del cambio de tecnologías que minimizan la divulgación a tecnologías que brindan los medios para controlar el uso de la información es que, en muchos casos, la revelación de datos puede ser inevitable o percibida como beneficiosa para el interesado. Por lo tanto, es aconsejable considerar el uso de tecnologías que aborden dos preocupaciones principales: i) permitir a los usuarios expresar cómo esperan que se utilicen los datos revelados al proveedor de servicios, a fin de evitar un procesamiento no deseado de estos datos; y ii) permitir a las organizaciones definir y hacer cumplir políticas que eviten el uso indebido de la información, según lo definido por los usuarios.

En esta sección, revisamos las técnicas que se han diseñado bajo el paradigma de la privacidad como control. Nos enfocamos en técnicas para la creación y configuración de buenas configuraciones de privacidad que ayuden a los usuarios a expresar sus preferencias con respecto a la divulgación y procesamiento de datos; y técnicas que respaldan la negociación automatizada de políticas de privacidad en todos los servicios. Debido a que gran parte de la protección se basa en la confianza, las tecnologías de privacidad que mejoran la privacidad en un sistema a través de un control mejorado son menos numerosas y variadas que las diseñadas para lograr la confidencialidad.

Es importante destacar que estas técnicas confían inherentemente en el prestador del servicio que recaba los datos para hacer cumplir correctamente las políticas establecidas por el usuario con respecto a terceros, así como para no abusar de los propios datos recabados. Además, como señalan Acquisti et al., Proporcionar a los usuarios herramientas para controlar los flujos de información puede reducir la percepción del riesgo y aumentar la asunción de riesgos, reduciendo efectivamente la privacidad general de los usuarios.

Soporte para la configuración de la privacidad

Las configuraciones de privacidad son aquellos controles en un servicio web que permiten a los usuarios expresar sus preferencias con respecto a cómo los datos deben ser revelados a otros usuarios, compartidos con terceros y procesados por los proveedores de servicios. Madejski y col. han demostrado que la complejidad de estas configuraciones de privacidad las hace apenas utilizables por las personas. Esta falta de usabilidad hace que los usuarios configuren incorrectamente sus configuraciones de privacidad, es decir, establezcan configuraciones que no coinciden con sus expectativas. Esto, a su vez, da como resultado la divulgación involuntaria de datos.

Para contrarrestar este problema, los investigadores han propuesto una serie de técnicas cuyo objetivo es identificar grupos de individuos que comparten determinadas características, y luego establecer los escenarios más adecuados para cada grupo de usuarios. Un área de investigación sugiere dejar que los expertos en seguridad y privacidad definan cuáles son las mejores políticas. Sin embargo, este enfoque es difícil de generalizar de los grupos destinatarios a la población en general y, en muchos casos, puede dar lugar a estrategias que sobrestiman la necesidad de protección. Esto, a su vez, limita demasiado el intercambio y el procesamiento de datos, lo que hace que los sistemas sean inutilizables. Otras propuestas abogan por el uso de técnicas de aprendizaje automático para inferir la configuración adecuada para un usuario en función del gráfico social de los amigos y conocidos de un usuario. Sin embargo, esta técnica requiere que los usuarios, o un sistema de recomendación centralizado, conozcan el gráfico social de un usuario para realizar las inferencias, lo que plantea preocupaciones de privacidad en sí mismo. Un tercer enfoque no requiere el conocimiento del gráfico social de un usuario, pero intenta encontrar la configuración de privacidad adecuada observando un conjunto más amplio de usuarios. A diferencia de la técnica anterior, la preferencia de configuración sugerida por el usuario se deriva de datos genéricos. Se ha demostrado que estas técnicas tienden a producir políticas que son válidas para la mayoría de los usuarios, pero que a menudo discriminan a grupos de usuarios con requisitos de privacidad específicos, como activistas o personas de interés público. Además, las técnicas basadas en ML a menudo aumentan y perpetúan los sesgos presentes en los datos a partir de los cuales se infieren las políticas iniciales. Un campo de investigación final sugiere el crowdsourcing de la composición óptima de estas políticas. Estas técnicas son más flexibles en el sentido de que los usuarios tienen más margen para influir en las políticas. Sin embargo, todavía están influenciados por los votos de la mayoría y pueden no ser ideales para los usuarios que no siguen las prácticas convencionales.

Soporte para la negociación de la política de privacidad

Las tecnologías anteriores apoyan a los usuarios a la hora de configurar sus ajustes de privacidad en un servicio en línea. Una línea de trabajo ortogonal se dedica a automatizar la comunicación de las preferencias del usuario al servicio, o entre servicios.

Tecnologías como el Proyecto de Preferencias de Privacidad de la Plataforma de W3C (P3P), que facilitan la comunicación de preferencias de configuración entre el usuario y el proveedor de servicios. P3P es un estándar de la industria que permite que los sitios web codifiquen sus políticas de privacidad (qué información se recopila, cómo es utilizado, etc.) en un formato predefinido. Estas políticas pueden ser leídas e interpretadas por navegadores equipados para hacerlo. Luego, el navegador puede comparar la política del sitio con las preferencias de privacidad especificadas por un usuario escritas en un lenguaje legible por máquina, como P3P Preference Exchange Language (APPEL) .P3P, sin embargo, no tiene ningún medio para hacer cumplir que el proveedor de servicios realmente sigue las prácticas descritas en la póliza.

Otras tecnologías, como el control de acceso basado en un propósito o las políticas rígidas, brindan los medios para especificar los usos permitidos de la información recopilada y para verificar que el propósito del acceso a los datos cumpla con la política. Estas tecnologías pueden estar soportadas por mecanismos criptográficos que garantizan que los proveedores de servicios deben cumplir con las preferencias establecidas por los usuarios.

Soporte para la interpretación de la política de privacidad

Para configurar los ajustes de privacidad de acuerdo con sus expectativas de cómo se deben manejar los datos, los usuarios deben comprender las políticas de privacidad que describen el significado de estos ajustes. Estas políticas suelen ser largas, detalladas y contienen muchos términos legales; ya menudo evolucionan con el tiempo. Por lo tanto, los usuarios los encuentran difíciles de entender. Los investigadores han desarrollado tecnologías que mejoran la capacidad de los usuarios para interpretar las políticas de privacidad.

Actualmente, existen dos enfoques para mejorar la comprensión de los usuarios sobre las políticas de privacidad. Una es confiar en los expertos para que etiqueten, analicen y proporcionen las razones de las políticas de privacidad existentes. Otra vía es automatizar completamente el proceso de interpretación. Polisis5 es un marco basado en aprendizaje automático que permite a los usuarios hacer preguntas sobre las políticas de privacidad del lenguaje natural. Esta herramienta ofrece una representación visual de la política que especifica los tipos de datos recopilados, el propósito de esta recopilación y las prácticas de intercambio, entre otros.

SEGURIDAD

PRIVACIDAD COMO CONFIDENCIALIDAD

En una reinterpretación técnica de la definición de privacidad de “derecho a ser dejado solo”, una conceptualización común de la privacidad es evitar que la información personal sea accesible para cualquier entidad, en particular para un público más amplio. Bajo esta definición, el objetivo de las tecnologías de privacidad es permitir el uso de servicios mientras se minimiza la cantidad de información expuesta. Aquí, la información se refiere tanto a los datos intercambiados explícitamente con el servicio, como a la información disponible implícitamente en los Metadatos asociados con estos intercambios (por ejemplo, la identidad de los usuarios o la frecuencia de uso).

Confidencialidad de los datos

Ahora describimos dos enfoques para minimizar la cantidad de información expuesta. Primero presentamos métodos que evitan de manera probada el acceso no autorizado a la información, generalmente basados en el uso de primitivas criptográficas avanzadas para garantizar que no se puedan inferir datos. En segundo lugar, presentamos métodos de control de divulgación, que relajan la definición de confidencialidad para garantizar que la información filtrada al adversario se limite a una cierta cantidad o no se pueda vincular a una persona individual.

Control de acceso basado en criptografía

Una primera muestra de tecnologías de privacidad orientadas a la confidencialidad se centra en proteger los datos mediante el uso de criptografía. Estas tecnologías consideran principalmente dos modelos adversarios: uno en el que el destinatario se considera confiable y los datos deben protegerse mientras están en tránsito, y otro en el que no se confía en el destinatario y los datos deben mantenerse privados incluso cuando se procesan.

La protección de datos en tránsito. La protección de los datos en tránsito se conoce normalmente como cifrado de extremo a extremo (E2EE). Aquí, un final se refiere al origen y destino de la comunicación. Por ejemplo, el remitente y el receptor de un correo electrónico, o el cliente y el servidor de un servicio. E2EE asegura que la confidencialidad de los datos está asegurada entre ambos extremos. Es decir, ningún tercero, desde los enrutadores en la infraestructura de comunicación, hasta los servidores de aplicaciones (por ejemplo, correo electrónico, mensajería) que permiten la comunicación, puede acceder a la comunicación. Además, E2EE típicamente proporciona Integridad, impidiendo que cualquier intermediario modifique los datos intercambiados, y Autenticación, asegurando que las partes de la comunicación puedan estar seguras de la identidad de los demás.

Desde una perspectiva técnica, en E2EE los dispositivos al final de la comunicación contienen la clave de cifrado utilizada para proteger los datos. Por lo general, se trata de claves de cifrado simétricas y se pueden acordar mediante el transporte de claves, o se pueden establecer mediante cualquier modalidad del intercambio Diffie-Hellman. El uso de Diffie-Hellman para acordar una clave por sesión proporciona además un secreto directo, pero hay que tener cuidado al implementar el intercambio]. Normalmente, las firmas digitales y los códigos de autenticación de mensajes se utilizan para proporcionar integridad y autenticación. Ejemplos canónicos de cifrado E2EE son el protocolo TLS, ampliamente utilizado en escenarios cliente-servidor; o el protocolo PGP, un mecanismo de cifrado común para las comunicaciones por correo electrónico.

Un tipo especial de E2EE es la mensajería no registrada (OTR). OTR busca proporcionar propiedades de privacidad más sólidas que los protocolos anteriores. Considera un adversario que no solo puede observar la comunicación, sino que eventualmente compromete uno de los dispositivos que participan en la comunicación. Este compromiso le da al adversario la oportunidad de obtener las claves a largo plazo de los participantes. En un escenario tan exigente, los dos objetivos principales de OTR son proporcionar i) secreto directo perfecto y ii) autenticación repudiable, que permite a un usuario negar haber enviado un mensaje en el pasado. El protocolo deriva las claves criptográficas utilizadas para la conversación mediante un intercambio de claves Diffie-Hellman no autenticado. Luego, los participantes realizan una autenticación mutua dentro del canal protegido, lo que garantiza la repudiabilidad futura. Las claves de cifrado se rotan y las claves antiguas se eliminan para mantener el secreto hacia adelante. Los protocolos actuales de OTR también incluyen una fuerte protección contra los ataques de intermediarios, incluso si los participantes no comparten secretos previamente.

Finalmente, podemos comentar que E2EE prevalece hoy en día en aplicaciones de mensajería instantánea como Signal, WhatsApp, Facebook Messenger o Viber. Todas estas aplicaciones se basan en el denominado Protocolo de señal (anteriormente conocido como Axolotl o TextSecure). Similar a OTR, este protocolo proporciona mensajes autenticados entre usuarios con confidencialidad de extremo a extremo, y los mensajes se mantienen en secreto incluso si el servidor de mensajería está comprometido, e incluso si las claves a largo plazo del usuario están comprometidas. Estas propiedades se basan en un protocolo de intercambio de claves autenticado que combina múltiples secretos compartidos Diffie-Hellman y en un protocolo para actualizar las claves llamado doble trinquete.

Tenga en cuenta que todos los protocolos anteriores solo ofrecen garantías sólidas siempre que los mecanismos para autenticar a las partes de la comunicación funcionen como se espera. Por ejemplo, la Confidencialidad proporcionada por TLS se basa en servicios que mantienen sus claves en secreto y la Infraestructura de Claves Públicas opera de manera confiable, de modo que las partes de la comunicación puedan ser autenticadas. Del mismo modo, la confidencialidad de WhatsApp se basa en el hecho de que los números de teléfono son difíciles de falsificar y, por lo tanto, los usuarios están seguros de que el destinatario de su mensaje es su interlocutor previsto.

Protección de datos durante el tratamiento. Los protocolos anteriores se centran en proteger los datos en tránsito de terceros distintos de los participantes de la comunicación. Ahora consideramos situaciones en las que el destinatario necesita realizar algunos cálculos sobre los datos, aunque se le considere adversario. Distinguimos dos escenarios: uno en el que el cómputo está completamente subcontratado y otro en el que el remitente participa en el cómputo.

En el primer escenario, comúnmente conocido como subcontratación, los datos pertenecen al remitente y el destinatario actúa como procesador de datos. Ejemplos típicos son el uso de servicios en la nube para computar en big data, por ejemplo, capacitación y clasificación para preservar la privacidad mediante aprendizaje automático, o para mantener una base de datos en la que el remitente desea realizar búsquedas. Las soluciones a este problema se basan en protocolos criptográficos avanzados.

Un problema común cuando se subcontratan servicios es que el acceso a piezas particulares de datos subcontratados puede revelar información sobre el usuario a la entidad que tiene los datos. Por ejemplo, acceder a una entrada determinada en una base de datos de patentes revela intenciones comerciales; y acceder a una entrada particular en un directorio de mensajería revela las relaciones entre los usuarios. Este problema se puede mitigar mediante el uso de la recuperación de información privada (consulte el Conocimiento de criptografía, que permite consultar una base de datos sin revelar a qué registro se accede. Un caso de uso de ejemplo para la recuperación de información es la creación de directorios que preservan la privacidad para las redes sociales.

Otro ejemplo en el que se necesita procesamiento remoto son las tiendas digitales o la banca digital, donde un servidor devuelve información a un usuario en función de las entradas. La tienda debe procesar los pagos y luego enviar el artículo digital; y el banco proporciona dinero o realiza un pago tras la autenticación. Sin embargo, los patrones de compra de los usuarios pueden revelar mucho sobre sus perfiles. En este caso, Transferencia ajena, en la que un servicio puede transferir un artículo sin saber qué artículo se está transfiriendo, se puede utilizar para respaldar interacciones que preservan la privacidad.

Las técnicas anteriores son útiles para operaciones particulares: buscar un elemento en una base de datos, transferir ese elemento. Idealmente, nos gustaría poder realizar cualquier operación sobre datos subcontratados. Una tecnología muy relevante para esto es el cifrado homomórfico. Este tipo de cifrado permite realizar cualquier operación sobre datos cifrados. Sin embargo, dicha flexibilidad tiene un alto costo en términos de tiempo de cálculo y, para algunas implementaciones, también en términos de ancho de banda, por lo que está lejos de ser práctica en este momento. Las versiones menos generales, como la encriptación algo homomórfica o la encriptación parcialmente homomórfica, que solo permiten operaciones limitadas (sumas, multiplicaciones o evaluar una función determinada) proporcionan mejores compensaciones y ya se pueden utilizar para tareas concretas simples.

Observamos que en los últimos años, las primitivas criptográficas que preservan la privacidad anteriores se han combinado con un nuevo hardware seguro para mejorar el rendimiento. Si bien esta combinación de hecho acerca el rendimiento de la criptografía que preserva la privacidad a los puntos de referencia necesarios para la implementación, es importante resaltar que tal mejora se produce a expensas de confiar en que el fabricante del hardware seguro no filtrará la información (o la clave ) a fiestas no deseadas.

En el caso de la subcontratación de bases de datos, vale la pena mencionar las soluciones a medida que combinan diferentes tipos de criptografía que preserva la privacidad para aumentar la eficiencia. Estas bases de datos se basan en técnicas como la encriptación homomórfica, la encriptación para preservar el orden o la encriptación determinista, entre otras. De hecho, estos esquemas proporcionan un gran rendimiento. Sin embargo, se ha demostrado que elegir primitivas criptográficas más débiles para favorecer la eficiencia puede tener un impacto significativo en la privacidad. Por lo tanto, solo se recomiendan para respaldar el cumplimiento y solo deben implementarse en un entorno confiable donde los ataques sean poco probables. No se recomienda usarlos en escenarios donde la privacidad de los datos es de importancia crítica y no se confía en la entidad que posee la base de datos.

El segundo escenario es el cálculo colaborativo, es decir, las entidades involucradas en la comunicación colaboran para realizar el cálculo. El resultado de este cómputo puede ser de interés para el remitente, para el receptor, para ambos o para terceros. Sin embargo, si los participantes no confían entre sí, es decir, para una entidad determinada, cualquiera de los demás participantes puede ser considerado un adversario. Las aplicaciones típicas son comparar bases de datos o computar estadísticas entre conjuntos de datos. Estas aplicaciones pueden ser compatibles con la Computación multipartita. Cuando el objetivo de la aplicación es encontrar similitudes entre dos bases de datos (por ejemplo, contactos, actividades maliciosas o información genética), también se pueden utilizar protocolos más ligeros como Private Set Intersection. Estos protocolos permiten que dos partes calculen la intersección de conjuntos de datos sin revelar nada excepto la intersección o la cardinalidad de la intersección.

Verificación en el dominio cifrado. Cuando los datos se procesan en el dominio cifrado, es difícil para las entidades que realizan el cálculo realizar una verificación sobre la idoneidad de las entradas. Para resolver este problema, muchas primitivas se basan en pruebas de conocimiento cero para demostrarle a la entidad que realiza el cálculo que las entradas cumplen con un determinado formato o con ciertas restricciones. A continuación, describimos tres casos en los que la verificación en el dominio cifrado es clave para permitir el uso de protocolos criptográficos que preservan la privacidad.

Computación privada – verificación de entrada. Las pruebas de conocimiento cero son muy adecuadas para garantizar que la entrada a un protocolo de preservación de la privacidad sea de una forma particular o no sea maliciosa. Por ejemplo, se han utilizado, entre otros, para demostrar la idoneidad de los insumos en las aplicaciones de facturación, por ejemplo, que pertenecen a un conjunto de insumos válidos, o que se encuentran dentro de rangos particulares, para demostrar que no existen insumos maliciosos al solicitar información desde un sistema de mensajería, o cuando se ejecuta un protocolo de intersección privado.

Autenticación privada. Para mantener la confidencialidad, las entidades que participan en los protocolos pueden querer autenticar a sus socios de comunicación. Sin embargo, los sistemas de autenticación típicos se basan en revelar la identidad de la parte autenticadora. Revelar la identidad de uno, en sí mismo, puede resultar en una violación de la privacidad (por ejemplo, cuando la autenticación es contra un servicio sensible, como un servicio médico). Una solución para evitar este problema es el uso de credenciales anónimas, también conocidas como credenciales basadas en atributos (ABC).

En lugar de autenticar a una entidad con respecto a una identidad a fin de otorgar la autorización, ABC le permite a la entidad probar la posesión de una combinación de diferentes atributos para obtener la misma autorización. Esta prueba no revela ninguna información adicional sobre la entidad que autentica, ni revela los valores concretos de los atributos. Además, los ABC no se pueden vincular entre contextos. En otras palabras, las credenciales tienen un aspecto diferente cada vez que se muestran, de modo que no se pueden vincular diferentes presentaciones entre sí.

Si bien desde el punto de vista de la privacidad, los ABC brindan muchas ventajas, también presentan nuevos desafíos. El anonimato puede abrir la puerta a la mala conducta. Desafortunadamente, las sólidas propiedades de anonimato y desvinculación proporcionadas por los ABC originales no permiten que una autoridad limite o revoque la autorización de los usuarios que se portan mal. En respuesta, han aparecido varios esquemas que brindan capacidades para limitar la cantidad de veces que se puede usar una credencial antes de que el usuario sea identificable; capacidades para incluir credenciales en la lista negra para que el acceso pueda ser revocado temporalmente; o capacidades para revocar completamente las credenciales.

Existen varias implementaciones de ABC disponibles bajo diversas licencias. Estas implementaciones ofrecen diferentes subconjuntos de las funcionalidades mencionadas anteriormente.

Pagos privados. La verificación de los datos cifrados también es clave para permitir pagos que preserven la privacidad, en los que el pagador puede tener que demostrarle al comprador, por ejemplo, que tiene fondos suficientes sin revelar la cantidad exacta. Los primeros sistemas de efectivo digital se basaban en las firmas ciegas para permitir que los bancos firmaran monedas electrónicas. En pocas palabras, para extender una moneda electrónica a un cliente, un banco firmaría ciegamente un valor aleatorio. Para gastar la moneda electrónica, el cliente le daría este número al vendedor, quien podría canjearlo en el banco. Al almacenar el número aleatorio, los bancos pueden detectar el doble gasto, pero no identificar al doble gastador.

Los esquemas de pago más recientes que preservan la privacidad, como el sistema Zerocash basado en blockchain, incluyen más información en las transacciones para brindar mejores garantías. En cada transacción, el usuario demuestra, sin ningún conocimiento, que posee la entrada de monedas electrónicas a la transacción; que cada una de las monedas electrónicas de entrada fue extraída recientemente (acuñada en términos de Zerocash) o fue el resultado de una transacción anterior; y que los valores de entrada y salida de la transacción son los mismos, es decir, no se perderá dinero. En aras de la eficiencia, Zerocash se basa en pruebas de conocimiento cero particularmente eficientes llamadas sistemas de argumentos de conocimiento sucintos no interactivos de conocimiento cero (ZK-SNARK). Estas pruebas son más cortas (del orden de cientos de bytes) y relativamente rápidas de verificar.

INGENIERÍA Y SERVICIOS IT

ISO/IEC 27003: 2017: ANEXO A: FRAMEWORK DE POLÍTICAS

El Anexo A proporciona orientación sobre la estructura de la documentación que incluye la política de seguridad de la información.

En general, una política es una declaración de intenciones y dirección de una organización tal como la expresa formalmente su alta dirección (ver ISO / IEC 27000: 2016, 2.84).

El contenido de una política guía las acciones y decisiones relativas a los temas de la política.

Una organización puede tener varias políticas; uno para cada una de las áreas de actividad que son importantes para la organización. Algunas políticas son independientes entre sí, mientras que otras políticas tienen una relación jerárquica.

Normalmente, una organización tiene una política general, p. Ej código de conducta, al más alto nivel de la jerarquía política. La política general está respaldada por otras políticas que abordan diferentes temas y puede ser aplicable a áreas o funciones específicas de la organización. La política de seguridad de la información es una de estas políticas específicas.

La política de seguridad de la información está respaldada por una variedad de políticas de temas específicos relacionados con aspectos de la seguridad de la información. Varios de estos se analizan en ISO / IEC 27002, por ejemplo, la política de seguridad de la información puede estar respaldada por políticas relacionadas con el control de acceso, clasificación (y manejo) de la información, seguridad física y ambiental, temas orientados al usuario final, entre otros. Se pueden agregar capas adicionales de políticas. Esta disposición se muestra en la Figura A.1. Tenga en cuenta que algunas organizaciones utilizan otros términos para los documentos de políticas de temas específicos, como “estándares”, “directivas” o “reglas”.

ISO / IEC 27001 requiere que las organizaciones tengan una política de seguridad de la información. Sin embargo, no especifica ninguna relación particular entre esta política y otras políticas de la organización.

El contenido de las políticas se basa en el contexto en el que opera una organización. Específicamente, se debe considerar lo siguiente al desarrollar cualquier política dentro del marco de políticas:

1. las finalidades y objetivos de la organización;

2. estrategias adoptadas para lograr los objetivos de la organización;

3. la estructura y los procesos adoptados por la organización;

4. metas y objetivos asociados con el tema de la política;

S. los requisitos de las políticas de nivel superior relacionadas; y

6. el grupo destinatario que será dirigido por la política. Esto se muestra en la Figura A.2.

Las políticas pueden tener la siguiente estructura:

a) Administrativo: título de la política, versión, fechas de publicación / validez, historial de cambios, propietario (s) y aprobador (es), clasificación, público objetivo, etc ;

b) Resumen de la política: una descripción general de una o dos frases. (Esto a veces se puede combinar con la introducción);

c) Introducción: una breve explicación del tema de la política;

d) Alcance: describe las partes o actividades de una organización que se ven afectadas por la política. Si es relevante, la cláusula de alcance enumera otras políticas que son respaldadas por la política;

e) Objetivos: describe la intención de la política;

f) Principios: describe las reglas relativas a acciones y decisiones para lograr los objetivos. En algunos casos, puede ser útil identificar los procesos clave asociados con el tema de la política y luego las reglas para operar los procesos;

g) Responsabilidades: describe quién es responsable de las acciones para cumplir con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los arreglos organizativos, así como las responsabilidades y la autoridad de las personas con roles designados;

h) Resultados clave: describe los resultados comerciales si se cumplen los objetivos. En algunos casos, esto puede combinarse con los objetivos;

i) Políticas relacionadas: describe otras políticas relevantes para el logro de los objetivos, generalmente proporcionando detalles adicionales sobre temas específicos; y

j) Requisitos de la política: describe los requisitos detallados de la política.

El contenido de las políticas se puede organizar de diversas formas. Por ejemplo, las organizaciones que ponen énfasis en roles y responsabilidades pueden simplificar la descripción de objetivos y aplicar los principios específicamente a la descripción de responsabilidades.

INGENIERÍA Y SERVICIOS IT

ISO/IEC 27003: 2017: 10 MEJORA: 10.2 MEJORA CONTINUA

Actividad

La organización mejora continuamente la idoneidad, adecuación y eficacia del SGSI.

Explicación

Las organizaciones y sus contextos nunca son estáticos. Además, los riesgos para los sistemas de información y las formas en que pueden verse comprometidos están evolucionando rápidamente. Finalmente, ningún SGSI es perfecto; siempre hay una manera de mejorarlo, incluso si la organización y su contexto no están cambiando.

Como ejemplo de mejoras no vinculadas con no conformidades o riesgos, la evaluación de un elemento del SGSI (en términos de idoneidad, adecuación y eficacia) puede mostrar que excede los requisitos del SGSI o carece de eficiencia. Si es así, entonces puede haber una oportunidad de mejorar el SGSI cambiando el elemento evaluado.

Un enfoque sistemático que utilice la mejora continua conducirá a un SGSI más eficaz, lo que mejorará la seguridad de la información de la organización. La gestión de la seguridad de la información lidera las actividades operativas de la organización para evitar ser demasiado reactivo, es decir, que la mayoría de los recursos se utilicen para encontrar problemas y abordarlos. El SGSI está trabajando sistemáticamente en la mejora continua para que la organización pueda tener un enfoque más proactivo. La alta dirección puede establecer objetivos para la mejora continua, p. Ej. a través de mediciones de efectividad, costo o madurez del proceso.

Como consecuencia, la organización trata su SGSI como una parte viva, evolutiva y de aprendizaje de las operaciones comerciales. Para que el SGSI se mantenga al día con los cambios, se evalúa periódicamente con respecto a su idoneidad para el propósito, efectividad y alineación con los objetivos de la organización. Nada debe darse por sentado. y nada debe considerarse “prohibido” simplemente porque era lo suficientemente bueno en el momento de su implementación.

Guía

La mejora continua del SGSI debe implicar que el SGSI en sí y todos sus elementos se evalúen considerando cuestiones internas y externas (4.1), los requisitos de las partes interesadas (4.2) y los resultados de la evaluación del desempeño (Cláusula 9). La evaluación debe incluir un análisis de:

a) idoneidad del SGSI, considerando si los problemas externos e internos, los requisitos de las partes interesadas, los objetivos de seguridad de la información establecidos y los riesgos de seguridad de la información identificados se abordan adecuadamente mediante la planificación e implementación del SGSI y los controles de seguridad de la información;

b) adecuación del SGSI, considerando si los procesos del SGSI y los controles de seguridad de la información son compatibles con los propósitos, actividades y procesos generales de la organización; y

e) efectividad del SGSI, considerando si se logran los resultados previstos del SGSI, se cumplen los requisitos de las partes interesadas, se gestionan los riesgos de seguridad de la información para cumplir con los objetivos de seguridad de la información, se gestionan las no conformidades, mientras que los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI son acordes con esos resultados.

La evaluación también puede incluir un análisis de la eficiencia del SGSI y sus elementos, considerando si su uso de los recursos es adecuado, si existe el riesgo de que la falta de eficiencia pueda conducir a la pérdida de efectividad o si existen oportunidades para incrementar eficiencia.

Las oportunidades de mejora también se pueden identificar al gestionar no conformidades y acciones correctivas.

Una vez identificadas las oportunidades de mejora, la organización debería, de acuerdo con 6.1.1:

d) evaluarlos para establecer si vale la pena seguirlos;

e) determinar los cambios en el SGSI y sus elementos para lograr la mejora;

f) planificar e implementar las acciones para abordar las oportunidades asegurando que los beneficios se obtengan y que no ocurran no conformidades; y

g) evaluar la efectividad de las acciones.

Estas acciones deben considerarse como un subconjunto de acciones para abordar los riesgos y oportunidades descritos en 6.1.1.

INGENIERÍA Y SERVICIOS IT

ISO/IEC 27003: 2017: 10 MEJORA: 10.1 NO CONFORMIDAD Y ACCIÓN CORRECTIVA

Actividad

La organización reacciona ante las no conformidades, las evalúa y toma correcciones, así como acciones correctivas si es necesario.

Explicación

Una no conformidad es el incumplimiento de un requisito del SGSI. Los requisitos son necesidades o expectativas que se establecen implícitas u obligatorias Existen varios tipos de no conformidades como:

a) incumplimiento de un requisito (total o parcialmente) de ISO / IEC 27001 en el SGSI;

b) no implementar correctamente o cumplir con un requisito, regla o control establecido por el SGSI; y

c) incumplimiento parcial o total de los requisitos legales, contractuales o acordados del cliente. Las no conformidades pueden ser, por ejemplo:

d) personas que no se comportan como se espera de los procedimientos y políticas;

e) proveedores que no proporcionan productos o servicios acordados;

f) proyectos que no producen los resultados esperados; y

g) controles que no funcionan según el diseño.

Las no conformidades pueden ser reconocidas por:

h) deficiencias de las actividades realizadas en el alcance del sistema de gestión;

i) controles ineficaces que no se remedian adecuadamente;

j) análisis de incidentes de seguridad de la información, mostrando el incumplimiento de un requisito del SGSI;

k) quejas de los clientes;

l) alertas de usuarios o proveedores;

m) resultados de seguimiento y medición que no cumplen los criterios de aceptación; y

n) objetivos no alcanzados.

Las correcciones tienen como objetivo abordar la no conformidad de inmediato y hacer frente a sus consecuencias (ISO / IEC 27001: 2013, 10.1 a)).

Las acciones correctivas tienen como objetivo eliminar la causa de una no conformidad y evitar que vuelva a ocurrir (ISO / IEC 27001: 2013, 10.1 b) hasta g)).

Tenga en cuenta que “según corresponda” (ISO / IEC 27001: 2013, 10.1a)) significa que si se puede tomar una acción para controlar y corregir una no conformidad, entonces debe tomarse.

Guía

Los incidentes de seguridad de la información no implican necesariamente que exista una no conformidad, pero pueden ser un indicador de una no conformidad. La auditoría interna y externa y las quejas de los clientes son otras fuentes importantes que ayudan a identificar las no conformidades.

La reacción a la falta de conformidad debe basarse en un proceso de manipulación definido. El proceso debe incluir:

  • identificar el alcance y el impacto de la no conformidad;
  • decidir sobre las correcciones para limitar el impacto de la no conformidad. Las correcciones pueden incluir el cambio a estados anteriores, a prueba de fallos u otros estados apropiados. Se debe tener cuidado de que las correcciones no empeoren la situación;
  • comunicarse con el personal pertinente para garantizar que se lleven a cabo las correcciones; realizar las correcciones según lo decidido;
  • supervisar la situación para garantizar que las correcciones hayan tenido el efecto deseado y no hayan producido efectos secundarios no deseados;
  • actuar más para corregir la no conformidad si todavía no se remedia; y
  • comunicarse con otras partes interesadas pertinentes, según corresponda.

Como resultado general, el proceso de manipulación debe conducir a un estado gestionado con respecto a la no conformidad y las consecuencias asociadas. Sin embargo, las correcciones por sí solas no necesariamente evitarán la repetición de la no conformidad.

Las acciones correctivas pueden ocurrir después o en paralelo con las correcciones. Se deben seguir los siguientes pasos del proceso:

1. decidir si es necesario realizar una acción correctiva, de acuerdo con los criterios establecidos (por ejemplo, impacto de la no conformidad, repetitividad);

2. revisión de la inconformidad, considerando:

  • si se han registrado no conformidades similares;
  • todas las consecuencias y efectos secundarios causados por la inconformidad; y
  • las correcciones tomadas.

3. realizar un análisis de causa en profundidad de la no conformidad, considerando:

  • qué salió mal, el desencadenante específico o la situación que llevó a la no conformidad (por ejemplo, errores determinados por personas, métodos, procesos o procedimientos, herramientas de hardware o software, mediciones incorrectas, entorno); y
  • patrones y criterios que pueden ayudar a identificar situaciones similares en el futuro.

4. realizar un análisis de las posibles consecuencias en el SMS, considerando:

  • si sus no conformidades similares existen en otras áreas, p. utilizando los patrones y criterios encontrados durante el análisis de la causa y
  • si otras reas coinciden con los patrones o criterios identificados, de modo que es sólo cuestión de tiempo antes de que ocurra una no conformidad similar.

5. determinar las acciones necesarias para corregir la causa, evaluando si son proporcionales a las consecuencias y el impacto de la no conformidad, y verificando que no tengan efectos secundarios que puedan dar lugar a otras no conformidades o nuevos riesgos importantes para la seguridad de la información;

6. planificar las acciones correctivas, dando prioridad, si es posible, a las áreas donde hay mayor probabilidad de recurrencia y consecuencias más significativas de la no conformidad. La planificación debe incluir una persona responsable de una acción correctiva y una fecha límite para la implementación;

7. implementar las acciones correctivas de acuerdo con el plan; y

8. evaluar las acciones correctivas para determinar si realmente han manejado la causa de la no conformidad y si ha evitado que ocurran las no conformidades relacionadas. Esta evaluación debe ser imparcial, basada en pruebas y documentada. También debe comunicarse a los roles apropiados y las partes interesadas.

Como resultado de las correcciones y acciones correctivas, es posible que se identifiquen nuevas oportunidades de mejora. Estos deben tratarse en consecuencia (ver 10.2).

Se requiere que se retenga suficiente información documentada para demostrar que la organización ha actuado de manera apropiada para abordar la no conformidad y ha lidiado con las consecuencias relacionadas. Todos los pasos importantes de la gestión de no conformidades (a partir del descubrimiento y las correcciones) y, si se inicia, la gestión de acciones correctivas (análisis de causa, revisión, decisión sobre la implementación de acciones, revisión y decisiones de cambio tomadas para el SGSI) deben documentarse. También se requiere que la información documentada incluya evidencia que indique si las acciones tomadas han logrado los efectos previstos.

Algunas organizaciones mantienen registros para rastrear las no conformidades y las acciones correctivas. Puede haber más de un registro (por ejemplo, uno para cada área funcional o proceso) y en diferentes soportes (papel, archivo, aplicación, etc.). Si este es el caso, entonces deben establecerse y controlarse como información documentada y deben permitir una revisión integral de todas las no conformidades y acciones correctivas para asegurar la evaluación correcta de la necesidad de acciones.

Otra información

ISO / IEC 27001 no establece explícitamente ningún requisito de “acción preventiva”. Esto se debe a que uno de los propósitos clave de un sistema de gestión formal es actuar como herramienta preventiva. En consecuencia, el texto común utilizado en las normas del sistema de gestión ISO requiere una evaluación de los “problemas externos e internos de la organización que son relevantes para su propósito y que afectan su capacidad para lograr los resultados esperados” en 4.1 y para “determinar los riesgos y oportunidades que deben abordarse para: asegurar que el SGSI pueda lograr los resultados previstos, prevenir o reducir los efectos no deseados y lograr una mejora continua “en 6.1. Se considera que estos dos conjuntos de requisitos cubren el concepto de “acción preventiva” y también para tener una visión más amplia que considere los riesgos y las oportunidades.

INGENIERÍA Y SERVICIOS IT

ISO/IEC 27003: 2017: 9 EVALUACIÓN DEL DESEMPEÑO: 9.3 REVISIÓN POR LA DIRECCIÓN

Actividad

La alta dirección revisa el SGSI a intervalos planificados.

Explicación

El propósito de la revisión por la dirección es asegurar la conveniencia, adecuación y efectividad continuas del SGSI. La idoneidad se refiere a continuar alineado con los objetivos de la organización. La idoneidad y la eficacia se refieren a un diseño adecuado y a la integración organizativa del SGSI, así como a la implementación eficaz de los procesos y controles impulsados ​​por el SGSI.

En general, la revisión por la dirección es un proceso que se lleva a cabo en varios niveles de la organización. Estas actividades pueden variar desde reuniones de unidades organizativas diarias, semanales o mensuales hasta simples discusiones de informes. La alta dirección es en última instancia responsable de la revisión por la dirección, con aportaciones de todos los niveles de la organización.

Guía

La alta dirección debería exigir y revisar periódicamente la presentación de informes sobre el desempeño del SGSI.

Hay muchas formas en que la gerencia puede revisar el SGSI, como recibir y revisar mediciones e informes, comunicaciones electrónicas, actualizaciones verbales. Las entradas clave son los resultados de las medidas de seguridad de la información descritas en 9.1 y los resultados de las auditorías internas descritas en 9.2 y los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos. Al revisar los resultados de la evaluación de riesgos de seguridad de la información y el estado del plan de tratamiento de riesgos de seguridad de la información. La gerencia debe confirmar que los riesgos residuales cumplen con los criterios de aceptación de riesgos y que el plan de tratamiento de riesgos agrega todos los riesgos relevantes y sus opciones de tratamiento de riesgos.

Todos los aspectos del SGSI deben ser revisados por la gerencia a intervalos planificados, al menos una vez al año, mediante el establecimiento de horarios y puntos de agenda adecuados en las reuniones de gestión. Los SGSI nuevos o menos maduros deben ser revisados con mayor frecuencia por la dirección para impulsar una mayor eficacia.

La agenda de la revisión por la dirección debería abordar los siguientes temas:

a) estado de las acciones de las revisiones por la dirección anteriores;

b) cambios en asuntos externos e internos (ver 4.1) que son relevantes para el SGSI;

c) retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias, en:

1) no conformidades y acciones correctivas;

2) resultados de seguimiento y medición;

3) resultados de la auditoría; y

4) cumplimiento de los objetivos de seguridad de la información.

d) comentarios de las partes interesadas, incluidas sugerencias de mejora, solicitudes de cambio y quejas;

e) resultados de la (s) evaluación (es) de riesgos de seguridad de la información y estado del plan de tratamiento de riesgos de seguridad de la información; y

f) oportunidades de mejora continua, incluidas las mejoras de eficiencia tanto del SGSI como de los controles de seguridad de la información.

Los aportes a la revisión por la dirección deben estar en el nivel de detalle apropiado, de acuerdo con los objetivos establecidos para la dirección involucrada en la revisión. Por ejemplo, la alta dirección debería evaluar solo un resumen de todos los elementos, de acuerdo con los objetivos de seguridad de la información o los objetivos de alto nivel.

Los resultados del proceso de revisión por la dirección deben incluir decisiones relacionadas con oportunidades de mejora continua y cualquier necesidad de cambios en el SGSI. También pueden incluir evidencia de decisiones con respecto a:

g) cambios en la política y los objetivos de seguridad de la información, p. ej impulsado por cambios en cuestiones y requisitos externos e internos de las partes interesadas;

h) cambios en los criterios de aceptación de riesgos y los criterios para realizar evaluaciones de riesgos de seguridad de la información (ver 6.1.2);

i) acciones, si es necesario, después de la evaluación del desempeño de seguridad de la información;

j) cambios de recursos o presupuesto para el SGSI;

k) plan de tratamiento de riesgos de seguridad de la información actualizado o declaración de aplicabilidad; y

l) las mejoras necesarias de las actividades de seguimiento y medición.

Se requiere información documentada de las revisiones por la dirección. Debe conservarse para demostrar que se ha tenido en cuenta (al menos) todas las áreas enumeradas en ISO / IEC 27001, incluso cuando se decide que no es necesaria ninguna acción.

Cuando se realizan varias revisiones por la dirección en diferentes niveles de la organización, deben vincularse entre sí de manera adecuada.