jueves, 4 de junio de 2015

Ciberamenazas 2015

El pasado abril Websense publicó el “2015 Threat Report”, en el cual se dan a conocer las diferentes ciberamenazas para el 2015, los factores que se deben tener en cuenta y cómo estamos preparados para afrontarlas.

El análisis incorpora 2 secciones:
  • Una primera sección basada en comportamientos humanos, donde se explica cómo afecta el comportamiento humano en diferentes ciberataques.
  • Una segunda sección de tendencias basadas en técnicas, donde trata los nuevos comportamientos que se están aplicando a los ciberataques.

A continuación presentamos un resumen con los aspectos más relevantes de la citada publicación:


SECCIÓN 1: COMPORTAMIENTOS HUMANOS
  1. Cómo los ciberatacantes pueden disponer más fácilmente de aplicaciones para poder provocar ciberataques.
    • Aparición del nuevo fenómeno Malware as a service: la capacidad de que un ciberatacante o una organización que quiere perpetrar un ciberataque le sea muy fácil, ya que cada vez se dispone de más infraestructura, herramientas y troyanos personalizados para cometer este tipo de ataques.
    • Cada vez se disponen de mayores capacidades de ataque a un precio muy asequible para cualquier persona. Se están utilizando alrededor de un 90% de las url’s utilizadas en ataques anteriores. El ciberatacante ya no necesita disponer de sus recursos propios.

  2. Atribución de un ataque
  3. Cuando una compañía sufre un ciberataque lo primero que suele interesar a la gerencia es quién ha sido. Se pueden cometer muchos errores en la atribución indebida de un ataque. Cuando se sufre un ciberataque se invierte mucho tiempo en saber quién está detrás de ese ataque, lo que se recomienda es dejar eso a las agencias oportunas, y ocuparse de la contención.

  4. Capacidad de elevar el conocimiento en ciberseguridad
  5. Cada vez es más fácil para un ciberatacante disponer de más herramientas, incluso dentro el mercado negro hay cursos para aprender a realizar ciberataques. Con tal de poder hacer frente a los ciberataques las empresas deben desarrollar cursos de información, pero debido a los pocos recursos, tanto a nivel humano como económico, se hace necesario también que las herramientas utilizadas puedan proporcionar una inteligencia que permita tomar una decisión a la hora de hacer frente a estos ciberataques.

  6. Usuario interno
  7. Ha sido el principal riesgo para la fuga de información y podemos diferenciar dos tipos:
    • Alguien que para seguir trabajando en casa sube información confidencial en Gmail, Dropbox o algún disco duro virtual, y con eso facilita que otro usuario o atacante infiltrado en los sistemas pueda acceder fácilmente.
    • Usuarios que cogen información de forma malintencionada, normalmente personas que están a punto de abandonar la organización.




SECCIÓN 2: TENDENCIAS BASADAS EN TECNOLOGÍA
  1. Vulnerabilidades presentes en la infraestructura
  2. Se han descubierto nuevas vulnerabilidades en sistemas (estables y seguros) que llevan muchos años en las organizaciones. Este tipo de vulnerabilidades de productos que existen en las organizaciones han estado presentes en 2014 y lo estarán en 2015.
    A continuación se detallan una serie de recomendaciones de como mitigar las amenazas:
    • Tener presente las revisiones de seguridad en los sistemas con el objetivo de detectar las vulnerabilidades lo antes posible.
    • Estar pendiente de las actualizaciones.
    • Mejorar los procesos de parcheado para reducir el nivel de exposición de esta vulnerabilidad.
    • Disponer de otras herramientas capaces de bloquear la comunicación el control con los servidores.

  3. ¿Se trata de algo nuevo o algo que hemos visto?
  4. En algunos casos se han utilizado herramientas sofisticadas, pero una de las vías más habituales para los ataques e infecciones vuelve a ser el correo electrónico. El 81% de los correos se han clasificado como spam, lo que representa un aumento del 25% de los correos no deseados, y los correos maliciosos no son detectados por las firmas (el origen es bueno, el destinatario existe, el fichero no es un ejecutable). Se tienen que dotar a los sistemas de algo más para poder ser capaces de detectar este tipo de ataques.

    Las técnicas van evolucionando para no ser detectadas. El malware es capaz de utilizar la nueva tecnología para conseguir el éxito. Se siguen utilizando este tipo de técnicas para introducir malware a los sistemas.

  5. Internet of Things
  6. Este concepto hace referencia a pequeños dispositivos, como sensores de temperatura o sistemas de video vigilancia con información, conectados a la red para poder ser controlados remotamente, tanto en uso doméstico como industrial. Alrededor de 2020 puede haber entre 20 y 50 billones de dispositivos conectados. A medida que las organizaciones vayan introduciendo estos dispositivos para control industrial, el riesgo va a aumentar considerablemente. Nadie piensa que pueden ser explotados pero el impacto es altísimo ya que estos sistemas llegan a controlar refinerías de petróleo o centrales nucleares y por lo tanto hay que tener muy presente este nuevo fenómeno.

  7. Evolución de las amenazas
  8. Se ha detectado que normalmente el objetivo del ataque ya no pretende destruir un pc o servidor sino que pasa a ser económico. El malware se va orientando a este tipo de objetivo puramente económico y dirigido a una víctima en concreto. Se han dado cuenta en la potencia de los ciberataques para conseguir un objetivo económico.

    Se observa una sofisticación tanto a nivel de componentes como en las técnicas. El malware es capaz de detectar si está en un entorno virtual, y no activarse, y activarse cuando esté en un entorno de cliente


Para concluir, remarcar los siguientes aspectos más relevantes del documento:
  • Cada vez se disponen de mayores capacidades de ataque a un precio muy asequible para cualquier persona.
  • El usuario interno es el principal riesgo para la fuga de información.
  • Se han descubierto nuevas vulnerabilidades en sistemas estables y seguros que llevan muchos años en las organizaciones.
  • Se está volviendo a utilizar el correo como fuente de ataque informático.
  • El objetivo del ataque informático pasa a ser puramente económico y dirigido a una víctima en concreto.

Fuente consultada:
Threat Report Identifies 8 High-Risk Cyber Threats For 2015

martes, 13 de enero de 2015

3 Pilares de la Seguridad: Negocio, Tecnología y Capacidades, Economía

En nuestra entrada titulada cómo el CISO y el CEO pueden hablar el mismo idioma acabamos diciendo que la seguridad no es una persona al lado de un firewall, es desarrollar programas de gestión de riesgos que estén alineados con las necesidades del negocio.

A la hora de analizar cómo abordar el reto de la seguridad en una organización es importante tener en cuenta estos 3 elementos o aspectos:

1. Las principales 4 preocupaciones del negocio desde el punto de vista de la seguridad

Ante un incidente de seguridad, las principales preocupaciones para el Director General, el Director Financiero o el Director de Operaciones son que se produzca:
  • Una pérdida de reputación, confianza de los clientes.
  • Una parada en la operativa del negocio.
  • Una violación de cumplimiento.
  • Una una pérdida financiera.

2. Los 3 aspectos que debemos tener en cuenta para disponer de un nivel adecuado (responsable) de la seguridad en nuestra organización:

  • Nuestro negocio. Permitirá conocer qué riesgos corremos y qué leyes (riesgos legales) genéricas o específicas de nuestro sector debemos cumplir.
  • Nuestra madurez tecnológica. Permitirá conocer qué medidas técnicas, organizativas y procedimentales tenemos implementadas, y qué medidas no, que permitan eliminar o reducir dichos riesgos y cumplir con los requisitos legales que debemos cumplir.
  • Nuestras capacidades disponibles. Permitirá conocer si tenemos los recursos necesarios, capaces de gestionar los riesgos existentes y futuros.

3. El entorno económico global o particular en el que se mueve nuestra organización

Este entorno determinará que las medidas que tomemos para gestionar adecuadamente los riesgos TIC que afectan a nuestro negocio sean más o menos conservadoras o innovadoras. Introducir la variable económica es fundamental para saber de qué estamos hablando. Es fundamental para poder comparar el impacto económico asociado al riesgo, con el coste necesario para reducirlo o eliminarlo. De esta manera podemos decidir focalizarnos en implementar aquellas medidas y disponer de aquellas capacidades mínimas que traten aquellos riesgos (incluidos los legales) más importantes, o intentar proporcionar valor a la organización a través de medidas y capacidades más robustas y mejoradas.

Para hablar de todo ello, ofrecemos 3 workshops formativos que combinan la parte teórica con la aplicación práctica en tu organización.

El objetivo es formar y analizar a alto nivel, cómo complementar los objetivos de negocio con un nivel adecuado (responsable) del riesgo y de la seguridad de los sistemas y tecnologías de la información, que considere el impacto económico asociado.

Descárgate el siguiente pdf en el que encontraras el detalle y precio de estos workshops:

Workshopos formativos sobre seguridad.pdf


jueves, 18 de diciembre de 2014

Cumplimiento: Principios y Políticas


Recientemente la Organización Internacional de Normalización (the International Organization for Standardization - ISO) publico la ISO 19600:2014, la cual  proporciona una  orientación para establecer, desarrollar, ejecutar, evaluar, mantener y mejorar un sistema eficaz y sensible de gestión de cumplimiento dentro de una organización.

Las directrices sobre los sistemas de gestión de cumplimiento son aplicables a todo tipo de organizaciones. El alcance de la aplicación de estas directrices depende del tamaño, la estructura, la naturaleza y complejidad de la organización. Esta norma internacional se basa en los principios de buena gobernanza, proporcionalidad, transparencia y sostenibilidad.

Los principios en los que se basa la gestión del Sistema de Gestión del Cumplimiento son los siguientes:
  • Compromiso de liderazgo de la dirección
  • Independencia de la función de Cumplimiento
  • Definición de Responsabilidades a todos los niveles y
  • Soporte de las funciones de negocio
La función de Cumplimiento se dedica a promover un alto nivel de integridad, ética y cumplimiento de la normativa en toda la organización.  Las Políticas de Cumplimiento de una compañía o grupo ayudan a promover una cultura basada en la  ética y la atención a los principios definidos y establecidos por la empresa o grupo.

Estas Políticas se deben articular con las normas de conducta para asegurar que llevar a cabo las actividades de negocio de acuerdo con los requerimientos legales y  profesionales, así como con los estándares éticos existentes.

El Sistema de Gestión del Cumplimiento planteado en la ISO19600, comprende los siguientes elementos:
  • Determinación del alcance del sistema de gestión del cumplimiento
    •  Identificar los factores internos y externos
    • Identificación de los requerimientos de las partes interesadas
    •  Principios de buenas prácticas de gobernanza
  • Establecimiento de la política
  • Identificación de las obligaciones de cumplimiento y evaluación de los riesgos de cumplimiento
  • Planificación para dirigir los riesgos de cumplimiento y lograr los objetivos
  • Definir el plan operacional y controles los riesgos de cumplimiento
  • Evaluación del desempeño y reporting del cumplimiento
  • Gestión de los no cumplimientos y mejora continua



Las políticas son aplicables y de cumplimiento obligatorio para todos los empleados de la empresa o grupo.

En consecuencia, todas las localidades, dependencias o sedes deben incorpora las directivas de Cumplimiento como un estándar obligatorio en el desempeño de las tareas de todos sus empleados.

Sin embargo, puede pasar que existan dentro del grupo compañías que debido a su actividad específica no requieran cumplir con todas las políticas de Cumplimiento. Estas compañías o entidades deberán recibir consideración especial, en lo relacionado a concienciación en el cumplimiento de las políticas.

Algunas políticas de Cumplimento de especial consideración son:
  • Gestión de los Registros (Records Retention)
  • Competencia Leal y Antitrust (Competition and anti-trust)
  • Protección, Seguridad y Confidencialidad de los Datos (Protection and Privacy of Employee Data)
  • Reporting Concerns
  • Conflictos de Intereses (Conflicts of Interest and)
  • Comuncación con determinados Externos (External Engagements)
  • Antosoborno, Anticorrupción (Anti bribery – anti corruption)
En particular, las normas internas relacionadas con la protección y privacidad de datos de empleados deben ser cuidadosamente cumplidas, siempre que el tratamiento de datos se realice en dicha compañía. Si se realiza un tratamiento de datos personales de empleados se requerirá el asesoramiento específico de las áreas de  Riesgos, Seguridad y Cumplimiento.

Las políticas de Cumplimiento deben ser publicadas bien en medios electrónicos o medios impresos como por ejemplo, intranets, correos electrónicos, posters, etc.

La concienciación continua de los empleados es muy importante para lograr el conocimiento y de las Políticas de Cumplimiento por lo que debe establecerse un calendario con las jornadas de  concienciación en el que se definan aspectos como regularidad, Política de Cumplimiento, medio de comunicación a utilizar (E-learning, Jornada presencial) para la concienciación. 

Por último es igualmente importante informar los mecanismos y cabales a través de los cuales los empleados pueden comunicar dudas relacionadas con las políticas de Cumplimiento.

viernes, 28 de noviembre de 2014

SAP y La Segregación de funciones

El pasado 12 de noviembre, Abast Systems organizó con éxito el evento “Gestión de Perfiles y Segregación de Funciones en Entornos SAP” en conjunto con @pliRH (empresa Española especializada en la consultoría técnica y funcional en SA).


Al evento asistieron y participaron directores, responsables y administradores de SAP de importantes empresas de los sectores servicios, juegos online y casinos y alimentación, entre otros.

En el evento se realizaron demostraciones de herramientas automatizadas que permiten al  negocio mejorar la gestión de los roles y autorizaciones minimizando los esfuerzos humanos.

La demostración de las herramientas fue complementada con la metodología a seguir para llevar con éxito un proyecto de segregación de funciones. 

  • SARC (GRC SAP) à Herramienta para la gestión de riesgos.
  • SFS à Solución en SAP de ayuda para la segregación de funciones.
  • SMU à Sistema de monitorización de usuarios, control de accesos de cada uno de los                     usuarios, configuraciones de alerta, etc.
  • SCMC à Herramienta de ayuda para la gestión del cambio.
  • AAM à solución SAP para la gestión automática de redes

Con participación de los asistentes, se realizaron múltiples ejemplos de cómo solucionar varias problemáticas relacionadas con la gestión de roles y autorizaciones en SAP:
  • Longevidad en las autorizaciones otorgadas a los perfiles / roles desde la instalación y personalización del sistema SAP.
  • Crecimiento de las operaciones de la compañía e incremento de autorizaciones añadidas a los perfiles / roles existentes para afrontar las tareas del día a día
  • Consultorías poco eficientes a la hora de la entrega de los resultados, hojas Excel con  los roles-transacciones-autorizaciones sobre objetos + usuarios-funciones y tareas.
Otro de los aspectos más relevantes del evento fue la demostración de la metodología para afrontar un proyecto de segregación de funciones:

1) Identificación de riesgos y adaptación de la empresa.  Es muy importante comenzar la implantación con una matriz estable.
2) Segmentar las estructuras en base a criterios:
  • Agrupación de usuarios homogéneos en actividad (empresarial y/o territorial).
  • Aprobación de la agrupación por el líder del área. 
    3) Monitorizar las transacciones que utilizan realmente los usuarios durante un periodo de tiempo. Construir el modelo de segregación (matriz de funciones y tareas) en simulación para cada modelo de manera independiente. 
      4) Definir y construir el modelo:
  • Asignar directamente los roles previstos al usuario en base a roles pre configurados.
  • Automatizar los roles desde la estructura organizativa OM estándar de SAP
5) Planificar la fecha de limitación de los roles.

En la mesa de opinión, los aspectos de más interés comentados por los asistentes al evento, fueron:
  • Afectación sobre el control de los usuarios SAP_ALL.
  • Gestión de alertas y tipos de alertas (asignación de transacciones incompatibles a roles de usuario)
  • Control de las transacciones “Z” (transacciones creadas para operativas específicas)
  • Creación de roles “Padre” y no funcionales (utilizados para copiar y crear nuevos roles)
  • Fomentar cambios a nivel organizativo para implementar las modificaciones de los roles

Aunque a priori pueda suponer la segregación de funciones un proyecto complejo, la implantación ofrece la oportunidad de mejorar la organización de la empresa, poniendo en marcha mecanismos de re-ingeniería de procesos ofreciendo múltiples beneficios.

Por tanto la segregación de funciones será una consecuencia directa de la implantación de sistemas de control de riegos (GRC) como sistema para prevenir y mitigar riesgos en la organización. 



viernes, 21 de noviembre de 2014

Propuesta Nuevo Reglamento LOPD – El DPO (Data Protection Officer)

En junio de 2014 se organizó una ponencia de trabajo en la que el Coordinador de Auditoria y Seguridad de la información en la Autoridad Catalana de Protección de Datos, expuso las novedades de la propuesta de Reglamento UE de Protección de Datos y anticipó los puntos que probablemente formarán parte de la nueva norma.

En este artículo se va a profundizar sobre uno de los principales puntos que serán susceptibles de aplicación para la mayoría de entidades, en el momento de la aprobación del reglamento de la Unión Europea de Protección de Datos.

El Reglamento será de aplicación directa a todos los Estados miembros. Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán aplicarlo, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

El objetivo del Reglamento es alcanzar un mayor nivel de protección de los datos de carácter personal, especialmente en el medio digital, alineando la gestión de la protección de datos con el resto de actividades ordinarias y cotidianas que conforman la estructura organizativa y las reglas de negocio de las empresas, a lo que se une la obligación de ofrecer una mayor transparencia respecto del tratamiento de datos que llevan a cabo, en base a informar más y mejor sobre las operaciones de tratamiento.

Este nuevo Reglamento está considerado por las instituciones europeas como uno de los pilares del mercado único digital europeo, que debería estar ultimado, al menos conceptualmente, en el 2015.


Aunque no será de cumplimiento obligatorio para todas las Organizaciones, unos de los mayores cambios es el de disponer de la figura del DPO. 

Se establece el perfil del DPO como un profesional conocedor de la materia (legislación y buenas prácticas) y capacitado para desarrollar todas las funciones que describe el Reglamento (ej. supervisión, información, asesoramiento, formación, comunicación al Comité de empresa sobre el tratamiento de datos de los empleados, auditorías, seguridad, etc.), aunque por el momento no se detalla la obligación de acreditar una formación determinada.

No obstante, muy probablemente se establecerán mecanismos de acreditación, ya sean a nivel europeo o local, respecto de la formación o capacitación requerida.

Entre las funciones que habrá de desarrollar las más destacadas serian:
  • El DPO deberá ser el punto de enlace entre la Autoridad de Control y el responsable o encargado tratamiento, aunque la responsabilidad por el incumplimiento de la normativa recaerá siempre sobre la empresa.
  • Ha de ser una persona física y su identidad y datos de contacto deberán ser comunicados a la Autoridad competente y al público en general. Podrá ser interno (el mandato mínimo será de 4 años) o externo (el mandato mínimo será de 2 años), En cualquier caso el DPO deberá contar con los recursos humanos y materiales necesarios para desarrollar sus funciones de forma adecuada.
  • El cargo de DPO no reviste exclusividad por lo que el profesional podrá desarrollar otras funciones y competencias, siempre que le permitan garantizar los principios de independencia (no parece por tanto que esta función pueda ser asignada, por ejemplo, al Responsable de Seguridad) y deber de secreto que rigen su actividad. Se deberán considerar los aspectos legales pertinentes en el contrato al momento de externalizar esta función.
  • Deberá estar presente en la toma de decisiones sobre los procesos que vayan a implicar el tratamiento de datos personales, y disponer de una interlocución directa con la Dirección Ejecutiva, si bien no es necesario que pertenezca a ella.

Se expone la figura del DPO por estar calificado como uno de los cambios más sustanciales de la normativa, pero no será de aplicación para todas las entidades que traten datos de carácter personal.

Los supuestos en que se determina la obligatoriedad del DPO son:
  • Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.
  • Tratamiento de categorías especiales de datos (ej. Hospitales).
  • Tratamiento de datos de localización (ej. geolocalización).
  •  Tratamiento que consista en la monitorización del interesado (ej. navegación).
  • Tratamiento de datos de menores y empleados a gran escala.
  • Administraciones Públicas.

lunes, 17 de noviembre de 2014

El Plan de Gestión de Crisis, punto de partida de la continuidad de negocio

El último precedente acontecido de la crisis del Ébola y la deficiente gestión que los Estados del “primer mundo” afectados han hecho de la misma, ha provocado que muchas organizaciones hagan autocrítica y se planteen si realmente disponen de niveles de madurez  suficientes en materia de continuidad de negocio que les permitan gestionar cierto tipo de incidentes tan graves como inesperados. La actualidad habla del ébola, pero los expertos en continuidad de negocio hace tiempo que hablamos de la Pandemia como un escenario de riesgo al que las organizaciones deben enfrentarse, protegiendo en primer lugar la salud de sus empleados y en segundo lugar a sus procesos de negocio (indisponibilidad simultánea de empleados que ponga en peligro la operativa de la compañía).

A pesar de que el riesgo de un caso de ébola en España existe desde hace tiempo y era factible, ha quedado evidenciado que no se disponía ni de los procedimientos / protocolos adecuados ni de las medidas de seguridad necesarias. En el caso del Estado esto no es de recibo, sin embargo también opino que las organizaciones no son responsables de no estar preparadas para un escenario tan específico como este, si bien si deberían estar trabajando escenarios genéricos como “Indisponibilidad Personal / Pandemia”. Todo lo acontecido (decisiones que aumentan el riesgo de contagio de la población, ausencia de comunicación formal…) es un ejemplo claro de que cuando ocurre una crisis, o un escenario de desastre es vital gestionar correctamente la situación desde el inicio, desde la “toma de decisiones”, ya que son estas las que van a minimizar o magnificar la crisis en función de lo acertadas que sean. Está claro que la clave es decidir correctamente, pero para ello  las organizaciones deben preocuparse en primer lugar por definir un Plan de Gestión de Crisis adecuado, el cual sea interiorizado, comunicado y simulado en la organización y que permita gestionar la crisis acontecida desde la capa estratégica.

Determinar y poner en marcha una respuesta es un elemento clave para el éxito o fracaso de un programa de gestión de la Continuidad y el punto de partida para definir esta respuesta es el Plan de Gestión de Crisis, el cual ofrece un marco de acción que permite a una Organización  que la toma de decisiones y las directrices a ejecutar (planes operativos o estrategias de recuperación que deben activarse)  permitan conseguir una reacción eficiente ante cualquier contingencia. Este Plan establece el flujo de notificación y escalado de los incidentes hasta los niveles en los que existe “poder de decisión” y establece el momento y el papel  que debe jugar cada rol.



La estructura organizativa del Plan de Gestión de Crisis se define en tres ámbitos principales de actuación:
  •  Un nivel ejecutivo de valoración y toma de decisiones.
  •   Un nivel táctico de procedimientos, protocolos,  asignación de funciones, responsabilidades y grado de autoridad.
  •     Un nivel operativo de gestión de la emergencia y evaluación de la gravedad de la situación.


Por tanto, es muy importante tener en cuenta que una vez que se haya definido e interiorizado el Plan de Gestión de Crisis en la compañía, será cuando esta estará preparada para definir los Planes Operativos que incluyan protocolos específicos para abordar escenarios detallados de pandemia, de indisponibilidad de tecnología,  de indisponibilidad de proveedores… o incluso la activación de un Protocolo Corporativo ante Enfermedades Infecciosas.

viernes, 31 de octubre de 2014

Tu Otra Identidad - Identidad 2.0

Afirmar que las redes sociales hayan llegado para quedarse es hoy en día indiscutible. Las propias cifras lo demuestran claramente: 700 millones de usuarios en Facebook, 200 millones en Twitter y más de 7 millones para la española Tuenti hacen que el no estar en una red social sea cada vez más la excepción a la regla. Esta irrupción de las redes sociales en nuestras vidas presenta nuevos e importantes retos desde el punto de vista de la privacidad o la protección de datos y la seguridad en general.

La Identidad 2.0 o también conocida como identidad digital, es el nuevo concepto de identidad. Por definición es el rastro que cada usuario de internet deja en la red como resultado de su interrelación con otros usuarios o con la generación de contenidos en portales web y redes sociales. Es decir, estamos hablando de una consecuencia directa de la evolución tecnológica y de comunicación, concretamente del término bautizado como comunicación 2.0.


Los elementos que integran la identidad digital, y que por tanto permiten a las personas diferenciarse frente a otras en ámbitos concretos, son los rasgos de identidad o atributos informativos. Forman parte de estos datos tu nombre y apellidos, la dirección de correo electrónico, los datos de contacto, las fotografías o vídeos, tu información laboral, aficiones o incluso preferencias políticas, religiosas o sexuales. En definitiva, es un rasgo de identidad cualquier pieza de información personal que forme  parte del puzle de la identidad online.  

En general, hay dos categorías principales que componen tu identidad digital:
  • Categoría Profesional – es tu huella profesional  y es fácil de entender, se refiere a tu trabajo, tu profesión, tu puesto, y es información que compartes en lugares como LinkedIn, tu blog o el sitio web de tu empresa. 
  • Categoría Personal – en este caso es un poco más complicado de identificar, cuando pensamos ‘personal’ lo relacionamos tal vez con privado,. Sin embargo redes sociales como Facebook y Google+, hacen que el concepto de   vida privada lo sea un poco menos, aun sin ser conscientes de los riesgos que esto conlleva desde el punto de vista de la seguridad y el tratamiento de nuestros datos.
Por tanto es muy importante  tener en cuenta que tu identidad digital la vas definiendo tú mismo con lo que compartes, tu presencia e interacción en las diferentes redes sociales, blogs, foros, sitios web, etc. El quién eres, es una pregunta que vas contestando incluso en ocasiones sin darte cuenta, realmente al final del camino somos nosotros como usuarios quien determinamos a través de la información que publicamos que tanto de privacidad queremos tener en la red.

Hoy en día ya es todo un habito “Googlear” el nombre de alguien para conocer quién es, por eso es importante cuidar tu identidad online.

Es de lógica entonces que nuestra identidad digital también conlleve una reputación digital, que nos va a ser difícil separar de nuestro yo. Los problemas se pueden agravar aún más por la propia persistencia de la información en Internet. Todo lo que se hace, bueno o malo, queda grabado casi para siempre. Y, asumiendo que Internet se extiende cada vez más a todos los ámbitos, sin duda este será otro de los aspectos que provoque que el “derecho al olvido” vaya a ser uno de los caballos de batalla de la privacidad en Internet durante la próxima década.

Gestionar este término conocido también como Reputación 2.0 para una persona física ya se ha visto que puede ser complicado, pero si hablamos de una entidad u organización empresarial el tema se complica en exceso.

Una entidad jurídica tiene, por descontado, su propia identidad en la red y con ello su consecuente reputación, pero ¿hasta qué punto está reputación se puede ver afectada por la reputación de un usuario que en su categoría profesional tenga indicaciones de la entidad para la que trabaja?

Es algo difícil de evaluar y actualmente también prácticamente imposible de gestionar sin un adecuado marco de gobierno. Todo lo expuesto invita a reflexionar en la inminente necesidad de crear procedimientos para gestión de la identidad digital en el ámbito corporativo con a finalidad de garantizar la protección de la imagen o reputación. 

La solución pasa por controlar mediante la aplicación de políticas corporativas el uso que los empleados puedan hacer de su identidad en el ámbito laboral dentro de las redes sociales, para evitar con ello problemas de imagen sobre la empresa para la cual una persona física presta sus servicios.

Por eso se debe tener en mente que lo que se comparta online y firmes con tu persona, tarde o temprano puede ser visto por cualquiera. Así hay que procurar no compartir nada que realmente no se quiera compartir con TODO el mundo y que por tanto desde ese momento  sea de dominio público.


Se puede afirmar que aprender a interactuar con terceros y manejar aspectos básicos de personal  o construcción de una marca personal puede convertirse en algo esencial para el desarrollo de la personalidad y el futuro social y profesional.

Sin duda la conclusión que mejor se adapta al mensaje que se quiere transmitir es una frase de Julio Alonso, fundador y Director General de Weblogs SL, una de las principales empresas españolas de contenidos especializados en Internet donde dice: “Dedicar esfuerzo a construir tu propia identidad digital ya no es opcional. Es un acto de pura responsabilidad”.