JUNIO 2009
Tercerizar
la seguridad, una alternativa para optimizar costos
Hernán Veglienzone
Security Product Manager
Telmex
¿Cuales son las
principales razones para tercerizar la seguridad?:
¿Porqué Tercerizar
Servicios de Seguridad?
Los niveles de
complejidad exceden la capacidad de reacción de los equipos
de Seguridad interna. Las empresas requieren soluciones de
primer nivel sin la complicación de su implementación y con
altos niveles de servicio. Fuente: The Yankee Group.
“…Debido a que los ataques de las redes se realizan fuera de los horarios de
trabajo, contratar personal 7x24x365 incrementa el costo del personal para una
solución interna. Los servicios de Seguridad Gestionada comienzan a ganarse la
confianza de los clientes a través de su innegable proposición de valor al
ofrecer soluciones con la experiencia de analistas que proveen monitoreo y
administración 7x24x365…”
Jason Wright -Frost
& Sullivan “ El mantener la seguridad es una tarea diaria,
por lo que, el adquirir la tecnología ideal es
únicamente el comienzo. Para proveer una protección efectiva
deberá estar correctamente instalado, configurado,
administrado y monitoreado…” Fuentes: Kelly Kavanagh -Dataquest
MSSP - managed
security service provider
Características
generales: Monitoreo de eventos 7x24. Mantenimiento Preventivo y
correctivo. Soporte en sitio.Servicio de cambios programados 24
x7. Respuesta inmediata ante incidentes de Seguridad. Generación
de reportes mensuales. SOC (Centro de Operaciones de Seguridad).
Más
Información:
www.telmex.com.ar
EXTRAÍDO DE LA PRESENTACIÓN EN INFOSECURITY 2009
- BUENOS AIRES
MAYO 2009
Guía
para Padres sobre Internet
Alfredo Zuccotti / CISM
Internet puede ser una herramienta muy poderosa así como una fuente de
interminables dolores de cabeza (incluso la cárcel en algunos casos).
Como padres lógicamente nos preocupamos por nuestros hijos, y lo mejor
que podemos hacer es informarnos sobre las amenazas, las cuestiones
legales, dialogar con ellos y advertirles de los peligros antes que sea
tarde. A menudo escucho a Padres quejarse de que se debe controlar y
filtrar internet en los Cybers y los Colegios, pero, y como andamos por
casa? ponemos filtros y monitoreamos lo que hacen nuestros hijos?
nosotros mismos debemos cumplir las leyes en casa antes de exigir el
cumplimiento en los Cybers y los Colegios, seamos coherentes!!!
Aquí se brindan algunos
consejos básicos con herramientas gratuitas que ayudarán a resolver y
aclarar algunas inquietudes al respecto:
-
Virus: Los
virus son programas creados generalmente por estudiantes con ánimo
de probar su ingenio, con la intención de jorobarle a quien lo
infecte. Existen numerosas soluciones
antivirus muy buenas, un antivirus muy bueno (gratuito) que se
actualiza a diario es Avira Antivirus, se puede bajar de la
página siguiente:
http://www.free-av.com
-
Redes Sociales: Existen en internet numerosos foros y redes sociales (Facebook,
Orkut, Myspace, Tocorre, Radiosoo, La Jaula, etc.) en la que todo el mundo es
partícipe a cualquier edad. Estas redes sociales y foros suelen agrupar a gente
con intereses comunes (y no tanto), generalmente se suelen formar comunidades
sobre temas específicos. La decisión de permitir o no el ingreso a estas
comunidades o foros de acuerdo a la edad de los chicos, es una cuestión muy
personal de cada padre. Por mi parte recomiendo no permitir el ingreso por lo
menos hasta la pre adolescencia (10-12 años), en la adolescencia (a partir de
los 13 años) ya es casi imposible evitar el ingreso a los mismos, pero existen
ciertas consideraciones que hay que dialogar con nuestros hijos.
Evitar en lo posible poner fotos y/o cualquier tipo de información
personal que le permita a cualquier persona mal intencionado
utilizar estos elementos para hacer bromas que le perjudiquen a uno.
Muchos secuestradores y violadores
también encuentran información increíblemente abundante sobre sus
víctimas en las comunidades y foros de internet. Citas a
Ciegas: Advertir a los chicos sobre el peligro de citarse con
desconocidos, es muy peligroso citarse con desconocidos, es sabido
de varios casos de violaciones y secuestros que ocurrieron así.
-
Filtros de Control Parental: Cuando
conectamos recién internet en casa, una de mis hijas se me acercó
pidiéndome entrar a varios sitios de juegos en línea, nos pusimos a
buscar juntos, pero me preocupó de sobremanera cuando pusimos en
Google la palabra Barbie y me saltaron varios videos
pornográficos, es por eso que me propuse de inmediato a buscar e
instalar un buen filtro de control parental para evitar que en mi
ausencia mis hijas vieran sin querer material inadecuado. Los
filtros evitan que uno entre a páginas con material obsceno o
pornográfico, cerrando inmediatamente el navegador. Uno muy
interesante (y gratuito) es el Naomi 3.2.90, está en español
y se puede descargar de:
http://naomi.softonic.com/
-
Messenger: Son programas de mensajería instantánea que permiten conversar
(chatear) en línea con alguien, así como enviar fotos, intercambiar
archivos, etc. Hay varias empresas que lo ofrecen de forma gratuita
(Yahoo, Messenger, Microsoft MSN, Google Talks, etc.). Si bien casi
no hay programas que bloqueen el contenido de la conversación con el
Messenger, lo que podemos hacer es conversar con nuestros hijos
sobre el peligro de agregar como contacto a desconocidos y verificar
nosotros mismos (si son pequeños), quiénes son las personas que
están en su lista de contactos.
-
Programas P2P (Peer-to-peer): Son programas que sirven para intercambio de archivos (Kazaa,
Emule, Ares, etc.), utilizan un protocolo especial (P2P) que muchas
veces es bloqueado por las Empresas Proveedoras del Servicio de
Internet (Internet Service Providers o ISPs). Estos programas son
muy utilizados por los adolescentes para descargar mp3s, videos,
películas, juegos, libros, etc. (en su mayoría protegidos por leyes
de derechos intelectuales). Lo malo de estos programas es que así
como se bajan archivos, se abren puertos para que otros ingresen a
nuestra máquina a descargar, cada padre juzgará por sí mismo si va a
permitir o no estos programas y sopesar los riesgos. Otro de los
peligros es que muchas veces se bajan archivos infectados de virus o
spyware, por lo tanto tenemos que desinfectar nuestra máquina cada
cierto tiempo.
-
Bittorrents: Son
programas de funcionamiento muy similar a los P2P, utilizan un
protocolo similar, pero para bajar un archivo, se necesita un
Cliente Bittorrent y un archivo Bittorrent que nos proporciona las
direcciones de las máquinas que contienen el archivo que queremos
bajar. Los programas P2P bajan el archivo de una sola máquina por
vez, los programas bittorrents bajan el archivo de distintas
máquinas en pedazos binarios y luego lo ensamblan en la máquina
de uno. Tienen el mismo peligro que los programas P2P.
-
Youtube: Es
un sitio de internet donde se alzan videos caseros, es muy popular,
muchos adolescentes levantan ahí videos grabados con los celulares o
cámaras digitales domésticas, es por eso que hay que advertirles a
nuestros hijos, que tengan cuidado donde se desvisten (en especial
si hay algún compañero o compañera con un celular en la mano),
porque en cualquier momento podemos encontrar videos de nuestros
hijos desnudos (o en situaciones incómodas) en internet.
-
Spyware: Son
programas espías que se instalan furtivamente en nuestras máquinas
para recopilar información de nuestros hábitos de navegación y
consumo. La información recopilada por estos programas es vendida en
internet con la intención de enviarnos ofertas no deseadas de
productos por email (SPAM). Los antispywares
más efectivos y más utilizados varían de año en año, actualmente se
utilizan mucho Ad Aware, AVG, Spyware Terminator, Spybot Search
And Destroy, etc. pero esto cambia a cada rato por lo que es
mejor buscar en google los más eficaces a la fecha.
-
Hacking: Consiste en entrar de forma no autorizada a otros sitios en
internet, puede ser causando daños o no. Muchos adolescentes de todo
el mundo saltan de los juegos de la Pc, PlayStation, Wii, XBox, etc.
al hacking porque lo encuentran más emocionante, pero eso tiene sus
riesgos. Es importante que sepamos como padres que el hacking y el
intento de hacking están penados por ejemplo en mi País: Código
Penal Paraguayo (Ley 1.160/1995 artículos 175 y 188), en EEUU el
hacking es un delito federal (por lo tanto es un delito
extraditable, es decir que los hackers son extraditados, juzgados,
sentenciados y enviados a prisión en los EEUU si el país origen
tiene tratados de extradición y sanciones similares en su código
penal y todos los países en Latinoamérica lo tienen!), también es
importante que sepamos que los menores de edad son inimputables y
que en esos casos, son los padres los que van a la cárcel. De
cualquier forma siempre los padres somos culpables civil
(indemnización) o penalmente (cárcel), sin mencionar todos los
problemas que esto nos ocasionará, por lo tanto es de vital
importancia que sepamos lo que hacen nuestros hijos con la
computadora monitoreando sus actividades, poniendo filtros y lo más
importante, educándolos y conversando con ellos. Muchas veces, no
nos queda otra alternativa más que imponer nuestras reglas y
condiciones, no permitiendo que utilicen internet sin filtro en casa
por ejemplo.
ABRIL 2009
Entendiendo la Cultura Hacker
Hackers, son magos de la
información electrónica. Frecuentemente los vemos como individuos
despreciables, cuyo trabajo puede tener el potencial de devastar millones.
Sin embargo, ¿sabías que algunos también trabajan arduamente para
protegerte?
Kris Constable de PrivaSecTech,
una empresa canadiense de seguridad y privacidad para computadoras, habló
con La Gran Época sobre la cultura de los expertos en computadoras y
seguridad informática, o “hackers”.
Los errores en software,
navegadores de internet, sistemas operativos y teléfonos celulares se llaman
“bugs”. Una vez que se encuentra un bug, dependiendo de quién lo descubra,
se puede escribir un programa de código malicioso llamado “exploit”, para
interferir el programa y ponerlo a hacer algo que el propietario no
desearía. La severidad de los exploits puede variar entre los que causan un
colapso total y los que generan dolores de cabeza localizados. Algunos
hackers escriben exploits, algunos escriben “parches” para defenderse de
ellos y otros activan un “trigger” (propagador) y los accionan.
Los investigadores en Tipping
Point, una firma de seguridad informática de Austin, Texas, creen que “En la
realidad, el número de investigadores con buenas intenciones y con la
experiencia requerida para descubrir vulnerabilidades en los softwares es un
grupo considerable y de rápido crecimiento”.
Sin embargo, Constable agrega
“La línea no es muy clara porque tienes que entender cómo operan los
muchachos malos, lo que sale de la experiencia en el lado oscuro de las
cosas…tienes que estar un paso adelante de ellos”. Por esta razón, los
expertos en seguridad informática cubren una zona amplia y poblada que no es
ni negra ni blanca.
“No me gusta la metáfora del
color, porque todo es gris”, comentó Dragos Ruiu a La Gran Época en la
conferencia sobre seguridad informática que organiza cuatro veces al año en
las ciudades de Tokio, Buenos Aires, Londres y Vancouver, una de las más
importantes de su clase. “Toda la información es de doble filo: puede usarse
para bien o para mal. Solo depende de la intención de la gente, y al hablar
con alguien realmente no se puede saber si usa esto para bien o para mal.
Obviamente puedes decir que un chico malo hace cosas malas, pero a veces,
incluso la gente buena haciendo cosas buenas puede hacer cosas que causan
daño sin darse cuenta”.
Ahora existe otra opción para
las –según algunas estimaciones– menos de 100 personas en el mundo con las
suficientes habilidades como para encontrar y explotar nuevos bugs.
Tipping Point comenzó con la
Iniciativa Día Cero (ZDI) para “recompensar a los investigadores de
seguridad informática por revelar vulnerabilidades responsablemente”. La
compañía se especializa en comprar el conocimiento sobre errores de software
a individuos particulares y luego vender ese conocimiento a las compañías
afectadas. Este tipo de negocio permite a las compañías afectadas
resguardarse durante las crisis, y también aplacar el deseo de reputación y
de recompensa monetaria.
En la reciente Conferencia de
CanSecWest sobre Seguridad Informática en Vancouver, Canadá, el tercer
concurso Pwn2Own auspiciado por Tipping Point ZDI desafió a los
“investigadores” de seguridad para que irrumpieran en las versiones más
recientes de los navegadores Internet Explorer, FireFox y Safari, más los
teléfonos inteligentes iPhone, Blackberry, Google Android y Windows CE.
En una sala de conferencias del
Sheraton Wall Center de Vancouver, unos muchachos aparentemente normales
estaban inclinados en silencio sobre unos dispositivos electrónicos
aparentemente normales, desentrañando los sistemas de comunicación de los
que dependemos hoy en día.
¿La recompensa por encontrar
fallas en estos sistemas de última generación? Entre U$S 5.000 y U$S 10.000,
además del aparato hackeado. Y no les lleva mucho tiempo a estas personas
alcanzar el objetivo. En 2008, un hombre hackeó la MacBook Air en menos de
dos minutos.
El premio ofrecido por Pwn2Own
parece muy atractivo, pero Constable dice que U$S 10.000 es en realidad una
pequeña zanahoria comparada con muchos de los tratos de ZDI. Entonces, ¿por
qué los hackers eligen este camino para vender sus talentos?
“Siendo realista, el mercado
negro, el mercado clandestino, es mucho más de lo que ofrece ZDI, -dice
Constable. ZDI sólo te da una parte de lo que obtienes en el mercado negro,
pero te ahorra el tiempo y la molestia de negociar con esas empresas”.
Fuente: Diario Digital "La Gran Época"
http://www.lagranepoca.com/articles/2009/04/23/3098.html
|
