Ganar y ganar dinero

  Consideraciones

  Seguridad en FB

  Autenticación

Ediciones Anteriores:

SEPTIEMBRE 2009 -

Las cinco erres de la seguridad en tiempos de crisis

por: Khalid Kark
Principal Analyst - Forrester Research

La recesión económica ha demostrado algo es que muchos CISO todavía luchan por articular el valor de sus programas de seguridad y justificar el gasto ante la dirección ejecutiva de su empresa.

Reputación

El impacto de las brechas de seguridad en las marcas consolidadas y conocidas durante los últimos años ha provocado grandes pérdidas a estas compañías. No sólo por culpa de amenazas externas procedentes de la comunidad hacker, que cada vez son más sofisticadas y dirigidas, sino por el daño provocado por amenazas internas. Las acciones perjudiciales, intencionadas o no, de los propios usuarios están incrementándose en los últimos años.

Regulación

Según avanzan las regulaciones se incrementan exponencialmente los requisitos que hay que cumplir. La organización de seguridad tiene la tarea de gestionar la conformidad con múltiples regulaciones, y hacerlo de forma eficiente para que una misma auditoría o valoración pueda utilizarse múltiples veces. Los CISO deben centrarse en las siguientes áreas cuando articulen el valor de la regulación: conformidad con múltiples regulaciones simultáneamente mediante el desarrollo de un marco de trabajo común de seguridad y auditoría, no sólo cumplir la letra de la ley, sino también incorporar la perspectiva empresarial, y evitar denuncias y multas por falta de conformidad. Como ejemplo, un establecimiento comercial pudo evitar multas de 30.000 euros diarios gracias a un firewall de aplicaciones que le costó unos 70.000 euros.

Rentabilidad

Aunque la seguridad informática no siempre contribuye directamente a la rentabilidad de la empresa, a menudo es imprescindible para proteger su propiedad intelectual. Los CISO deben ir un paso más allá y reforzar el valor de la seguridad remarcando su papel en la protección contra el robo de IP y la obtención de nuevos negocios potenciando la seguridad. En algunas industrias como los servicios financieros la seguridad de la información es parte del marketing corporativo. El Bank of America, por ejemplo, se ha posicionado adecuadamente como un banco que valora la privacidad y seguridad de sus clientes. Como resultado de ello, ha encontrado una forma innovadora de incrementar los ingresos a través de la seguridad de los usuarios, ofreciendo testigos de autenticación de doble factor a cambio de una pequeña cuota. Para estas empresas, la seguridad es una necesidad absoluta, tanto para sus usuarios internos como para los clientes.

Resiliencia

La resiliencia es una preocupación importante para muchas empresas debido a desastres naturales pandémicos como el huracán Katrina o los tsunamis de extremo oriente. Muchas empresas se dieron cuenta durante esos lamentables desastres de que no tenían planes ni procesos preparados para enfrentarse a ellos. La seguridad puede ayudar mediante planes de continuidad de negocio crítico durante esos períodos y coordinando y respondiendo a las amenazas e incidentes eficientemente.

Un proveedor de servicios en el Golfo perdió todo su negocio cuando sus dos centros de datos -separados entre sí 50 kilómetros- fueron destruidos por el huracán Katrina. La compañía no se recuperó de la pérdida y tuvo que declararse en bancarrota. Por otro lado, una compañía de servicios financieros no sólo pudo trasladar su actividad a su centro de backup en el nordeste sin problemas, sino que tenía disponible al 99% de su plantilla tres horas después de que el huracán llegase a la costa. Los esfuerzos para garantizar la continuidad del negocio fueron encabezados por el equipo de seguridad y coordinados con el equipo de recuperación de desastres del departamento de TI. Aunque la compañía sufrió pérdidas, se pudo recuperar por completo en menos de 48 horas.

Recesión

Algunos podrían argumentar que hablar sobre la recesión no ayuda a articular el valor de negocio de la seguridad informática. Pero muchos CISO se han dado cuenta de que en el entorno actual esta puede ser la única forma de llamar la atención de sus jefes. Los CISO pueden ayudarles a conseguir sus objetivos en los tiempos difíciles reduciendo costes mediante la inversión en relaciones estratégicas con fabricantes, utilizando los productos y herramientas existentes con mayor eficacia y creando eficiencia en los procesos empresariales.

Como ejemplo, un fabricante gastaba aproximadamente dos millones de euros al año en procesos manuales de conformidad. El CISO de la compañía propuso una herramienta de gestión para aprovechar el trabajo haciendo que el proceso de auditoría y conformidad fuera más eficaz. La compañía pudo ahorrar 1,4 millones de euros en tres años combinando sus distintas actividades de gobierno TI, riesgo y conformidad, como la auditoría, valoración, prueba e informes.

Muchos CISOS han estado tan centrados en responder a las amenazas y gestionar el día a día operativo que no se han podido dedicar a responder algunas cuestiones básicas. Implementar estas cinco erres les ayudará a articular mejor el valor de sus programas de seguridad.

Fuente: CSO.es

AGOSTO 2009 - Tips para evitar Ingeniería social

• No suministrar datos personales, números de tarjetas y contraseñas a través de un contacto telefónico.

• Estar atento a e-mails o llamadas solicitando información personal

• No acceder a sitios web o hacer click en links recibidos por e-mail o presentes en páginas sobre las cuales no se sepa la procedencia

• Siempre que haya duda sobre la verdadera identidad del autor de un email o contacto telefónico, entrar en contacto con la institución, proveedor o empresa para verificar la veracidad de los hechos.

Cuidados al realizar transacciones bancarias o comerciales

• Seguir todas las recomendaciones sobre utilización del programa de correo electrónico y del navegador de manera segura

• Estar atento y prevenirse de los ataques de ingeniería social

• Realizar transacciones solamente en sitios web de instituciones que usted considere confiables

• Siempre tipear en su navegador la dirección deseada. No utilice links en páginas de terceros o recibidos por e-mail

• Estar seguro de que la dirección que muestra en su navegador corresponde a la web que usted realmente quiere acceder, antes de realizar cualquier acción

• Estar seguro que el sitio web usa una conexión segura (o sea, que los datos transmitidos entre su navegador y el sitio web están encriptados) y utiliza un tamaño de llave seguro

• Antes de aceptar un nuevo certificado, verificar junto a la institución que mantiene el sitio web sobre su emisión y cuáles son los datos que contiene. Entonces, verificar el certificado de la web antes de iniciar cualquier transacción, para asegurarse que fue emitido para la institución que va a acceder y está dentro del plazo de validez

• No acceder a sitios web de comercio electrónico o Internet Banking a través de computadoras de terceros

• Desconectar su Webcam (si usted posea alguna), al visitar una web de comercio electrónico o Internet banking.

Cadenas

• Verificar siempre la procedencia del mensaje y si el hecho descripto es verídico

• Verificar en sitios web especializados y en publicaciones del rubro si el e-mail recibido no está catalogado como una cadena.

Fuente: InformáticaHoy.com

JULIO 2009 - Ingeniería social. La más peligrosa.

Un informe recuerda que las personas son el eslabón más débil en la 'ciberseguridad'

La popularidad de Facebook y otros muy visitados sitios de redes sociales ha dado a los "piratas informáticos" nuevas vías para robar dinero e información, según un informe de la compañía de seguridad Sophos.

Cerca de la mitad de las compañías bloquea parcial o completamente el acceso a las redes sociales debido a la preocupación por 'ciberincursiones' a través de esos sitios, de acuerdo al estudio.

"Los resultados de las investigaciones también revelaron que un 63% de los administradores de sistemas están preocupados porque sus empleados comparten demasiada información personal a través de los sitios de redes sociales, lo que pone su infraestructura corporativa -y los datos sensibles almacenados en ella- en riesgo", dijo el informe de Sophos.

Esto ocurre a pesar de años de exhortaciones a los usuarios de ordenadores sobre la necesidad de mantener su información personal en privado y abstenerse de abrir archivos adjuntos de correos electrónicos provenientes de fuentes no conocidas.

Uno de los resultados es que una cuarta parte de los negocios ha sido afectada por tácticas como el 'spam', el 'phishing' o ataques de 'software' malicioso a través de Twitter u otras redes sociales, asegura Sophos.

Sophos también descubrió que la cantidad de páginas web con 'software' malicioso se cuadruplicó desde principios del 2008, y un 39,6% de ellas tiene sede en Estados Unidos, que alberga más que cualquier otro país. China es el segundo, con 14,7%.

Fuente: Sophos

JUNIO 2009

Implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI)

Harro Osthoff - TÜV Rheinland Argentina

MAYO 2009

Identificación de Funciones y Responsabilidades de TI

Lic. Martín Vila - ISec Information Security Inc.

Para llevar a cabo una correcta gestión de seguridad de la información es conveniente tener identificada y documentada las funciones y responsabilidades de cada área de TI de la Compañía, a continuación definimos algunos tips necesarios:

• Relevamientos de FUNCIONES llevadas a cabo en TI: Sistemas Informáticos, Telefonía, Comunicaciones Satelitales, Outsorcing de Funciones en Proveedores, Servicios de Hosting / Housing a Terceros.

• Definición de áreas de responsabilidad del Departamento de Sistemas, comprende: Comité de Sistemas, Responsable del área de TI, Desarrollo, Tecnología, Operaciones y sus áreas complementarias: Mesa de ayuda, Administración de seguridad, Líderes de proyecto, Control de Calidad.

• Identificación de Procesos del Área de Sistemas: Administración de Usuarios y Permisos, Administración de Licencias de Software, Copias de respaldo y restauración, Instalación de Software, Servicios de Correo electrónico e Internet, Desarrollo de Aplicaciones, Seguridad Física, Administración de las Comunicaciones, Prevención de Virus Informáticos, Continuidad del Procesamiento

Factores críticos del éxito:

• Política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

• Una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

• Apoyo y compromiso manifiestos por parte de la gerencia;

• Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

• Comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

• Distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

• Instrucción y entrenamiento adecuados;

• Un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

ABRIL 2009

LOS 10 MANDAMIENTOS PARA LAS PYMES
Loreto Serrano
Mc Afee - Chile

1. Las soluciones para pequeñas y medianas empresas no deben ser versiones reducidas de las diseñadas para grandes empresas. Una misma solución no sirve para todos, pues una pyme requiere una solución comprobada, diseñada según sus necesidades como tamaño, presupuesto y desafíos.

2. Una buena protección no precisa ser complicada. Una pyme requiere una solución fácil de instalar y de actualizar. Como complemento, es necesario: Crear una política de seguridad para la empresa y entrenar a los empleados para aplicarla; obtener los parches de seguridad más recientes, los cuales proporcionan una protección más actualizada; suscribirse a boletines informativos de seguridad, notificaciones de actualización de software u otros. Además, se deben establecer prácticas para una correcta administración de contraseñas y cuentas, las cuales una vez que dejen de utilizarse se deben desactivar.

3. En seguridad, la protección debe ser proactiva, no reactiva. El secreto es encontrar una solución de seguridad que haga mucho más que detectar y reaccionar a los virus. La solución apropiada monitorea constantemente toda la red, administra políticas de seguridad en todos los niveles y toma medidas para mantener la protección contra virus de última generación.

4. Soluciones de costo reducido no siempre significan protección de baja calidad. La solución ideal es la que se ajusta a su presupuesto sin sacrificar la calidad de la protección. Soluciones imprescindibles son un firewall de perímetro y un software antivirus para desktop, que sean aplicaciones proactivas en la identificación y exclusión de virus conocidos y desconocidos, aunque debe considerar tener varias capas de protección, como anti-spam, servicios administrados u otros.

5. Los usuarios son los peores enemigos de sí mismos. La pequeña y mediana empresa está cada vez más vulnerable. El creciente número de opciones para conexiones remotas como empleados a distancia o con sistemas móviles, hizo que las pymes fueran más conscientes y vulnerables al acceso no autorizado. Con una solución de detección de invasión proactiva y basada en la red, la empresa puede bloquear ataques a la red, deteniendo las amenazas antes de que entren.

6. La bandeja de entrada es un riesgo potencial. Gartner Research afirma: "La amenaza a la seguridad que puede presentarse con más probabilidad en pequeñas y medianas empresas es un virus que llega por e-mail". Por lo que se deben aplicar medidas corporativas a los usuarios como: No compartir la dirección de e-mail; no abrir correos electrónicos de origen desconocido; no abrir o ejecutar adjuntos, a menos que sepa lo que son; no abrir ningún archivo con extensión doble (hello.txt.vbs) o protegerse con soluciones antispam.

7. La bandeja de salida es un riesgo potencial. Los mensajes que contienen comentarios ofensivos sobre raza, sexo, edad, orientación sexual, pornografía, credos religiosos o políticos, origen nacional o discapacidad física perjudican la imagen de una empresa. Además, enviar un e-mail es como enviar una tarjeta postal, muchas personas pueden leerlo en el camino. Algunas recomendaciones son protegerse contra un eventual contenido inadecuado adicionando automáticamente un mensaje de exención de responsabilidad a todos los e-mails de salida, prevenir mensajes y archivos inapropiados, no solicitados u hostiles.

8. Las amenazas mixtas hoy llegan rápidamente, replicándose e inundando la red. Ellas combinan los peores aspectos de los worms, virus y troyanos, y son complementadas con sofisticadas técnicas de invasión. Probablemente, la víctima nunca sabrá qué es lo que lo afectó. Tales amenazas se diseminan tan rápidamente que pueden interrumpir las actividades comerciales en cuestión de minutos.

9. Los usuarios finales bajan software no relacionado con el trabajo. Evitar que los usuarios finales realicen descargas de internet en computadores del trabajo, ya que pueden dejar la red vulnerable a un ataque viral. Bloquear las PC con una configuración segura, con un firewall en cada equipo, permitirá una exposición mínima a aplicaciones perjudiciales. Establecer políticas claras en la empresa sobre descargas de música, pornografía, salas de charlas o juegos.

10. La pyme es la espina dorsal de la economía nacional. Lo que la diferencia de las grandes corporaciones es que pueden ser más receptivas y flexibles a los cambios en tecnología, por lo que pueden ser innovadoras en su ramo. De acuerdo con un estudio de Giga Information Group en 2003, la inversión en las soluciones McAfee Network Protection proporcionó a las empresas un ROI positivo de hasta un 145 por ciento en tres años. El estudio reveló que las empresas que usaban el appliance de prevención de intrusos, economizaron 23 por ciento en costos de capital, 41 por ciento en costos de operación y 33 por ciento en beneficios comerciales, de modo que la solución "se pagaba" en cuatro meses.

Fuente: Diario El Mercurio - Chile