AÑO 7 - Nº 04 - ABR 11



 

TIPS PARA UN CISO

SEGURIDAD CAPA 8
Por Oscar Banchiero

Instructor Ethical Hacking para Latinoamérica
CCNA - CCVP - CCSP - EH - UCAD
ISEC Information Security Inc - Argentina


Dictando cursos por Venezuela, Colombia, y Paraguay, me di cuenta que no todos pensamos lo mismo, o sea que no todos tenemos el mismo concepto en seguridad...

Mientras que en algunos países, hacen hincapié en proteger equipamiento, otros respetando las normas y otros un poco de cada cosa, vemos como el nivel de crecimiento de los ataques no se toma ningún respiro.

La famosa y más renombrada, capa 8, ha llegado para quedarse.  Todos los que estudiamos redes, sabemos que el modelo OSI, está basado en 7 capas, siendo la capa más alta, la de aplicación, o sea la etapa final al usuario.

Pero, ahora tenemos una nueva capa, una nueva manera de ver los problemas, desde otra perspectiva, desde el ojo humano.........hacia el otro ojo humano.

En el ambiente técnico, se escucha mucho hablar, sobre errores de capa 8, lo que en la jerga significa: culpa del usuario.

Muchas veces nos enfrentamos a virus que entran en la maquinas y no sabemos porque, equipos que fueron apagados por quien sabe quien, cambios de contraseñas sin que sepamos quien, etc.

Ese quien, es el famoso capa 8, el usuario final, la persona a la que tenemos, debemos y obliguemos a respetar las normas de seguridad propuestas hacia la empresa.

Esa capa 8, es el 80% de los accidentes tecnológicos a nivel interno, es el mayor desprestigio de una empresa hacia el exterior, porque como explicar que las maquinas se apagan solas, cuando realmente paso alguien de un sector de limpieza, por ejemplo, y movió los cables barriendo, todo porque el encargado de diseño de la red, pensó que los cables estaban bien ocultos debajo de la mesa.

O un usuario que de golpe le han cambiado la contraseña, cuando el mismo, no se dio cuenta que pego en el monitor un papelito con su pass por verlo tan "extremadamente" difícil de recordar, ya que pensó en una password muy fuerte, pero difícil de recordar, por ende lo anoto en un papelito, sin darse cuenta que su PC es de fácil acceso público:

Hay muchos ejemplos, de este tipo de errores de capa 8 y como siempre digo hay soluciones que podrían evitar estos problemas, por ejemplo: la educación tecnológica, concientizar al personal, darles a mano, manuales de emergencias ante casos extremos, etc.

Concluyendo, en una de mis visitas, se acerca uno de los alumnos, y pregunta:

"Profesor, en mi empresa tenemos cámaras IP, y muchas veces las vemos desfasadas de lugar, y no sabemos quién "físicamente las mueven", ya que el personal de seguridad no ve a nadie"

Le pregunto: " Esas cámaras, tienen acceso a internet, alguna especie de restricción", a lo que contesta: en internet, las pusimos públicas, así desde nuestra casa podemos controlarlas y estar más seguros...

Todos pensamos que estamos seguros, pero ojo al error de capa 8...

Envíanos tu comentario: contactos@infosecurityvip.com

 

EDICIONES ANTERIORES

MARZO 2011

Seguridad perimetral (Video)
Por Alejandro Ramos Fraile
Tiger Team Manager (SIA company)

INTYPEDIA

Más Información: http://www.criptored.upm.es/intypedia/index.php?lang=es


FEBRERO 2011

¿Somos responsables de nuestra privacidad?

Claudio A. Núñez Montecino
Consultor en Seguridad y Riesgo Tecnológico

Chile

Cada día son más las personas que hacen uso de herramientas como Facebook, Hi5, Myspace, Sonico u otras redes sociales, para mejorar y mantener la comunicación con amigos y familiares, lo que se ha transformado en un fenómeno sociológico en muchos países. No obstante, en estos entornos se solicita o ingresamos libremente todo tipo de información para poder realizar nuestro registro y acceder a estos servicios.

Como resultado de esto, registramos nuestro nombre completo, fecha de nacimiento, lugar de trabajo, dirección particular, teléfono, universidad, celular, nombre de nuestra pareja, creencias religiosas, ideologías políticas, intereses, y como si fuera poco… complementamos todo esto con fotografías de nuestra familia, amigos, hijos, etc. Cabe preguntarse, ¿Es necesaria tanta información solo para estar comunicados? ¿Somos conscientes de los riesgos que esto puede implicar? ¿Son nuestros hijos educados y concienciados para hacer uso de estas redes sociales?

Es un hecho que estos nuevos entornos son atractivos para cualquier persona y más aún para nuestros hijos. Sin embargo, muchos no son conscientes y responsables en el uso de estos nuevos entornos de comunicación, y sin quererlo, perdemos el control sobre nuestra privacidad e incluso violamos la privacidad de un tercero (amigo o familiar) al publicar sin autorización alguna fotografía.

La publicación de datos de carácter sensible como pueden ser los estados de salud físicos o psíquicos de las personas, creencias religiosas, ideologías políticas, u otras, pueden prestarse para realizar conductas contrarias a la ley como pueden ser la distribución de información difamatoria, de contenido sexual, racista y/o contraria a la cultura de cada individuo. Por otra parte, cabe señalar que Facebook u otras redes sociales, no son entornos privados de comunicación como muchos pueden pensar. Nuestra información queda disponible en servidores públicos e incluso vulnerable al ataque de hackers o un Cyber delincuente. En estos entornos debemos estar conscientes que la información de carácter privado deja de serlo, debido a que es almacenada en un servidor público y se encuentra disponible públicamente.

Ejercer un control responsable sobre la información privada

Internet es un entorno que presenta riesgos inherentes a la tecnología tanto para las empresas, organismos de gobiernos, y en estos casos, para las personas. Equivocadamente creemos que en estas redes sociales nuestra información esta segura porque la compartimos con nuestros amigos o conocidos, sin embargo, esto no es así. Por ejemplo, debido a que Facebook permite a los usuarios agregar a su perfil aplicaciones hechas por terceros, no solo la información y fotografías del usuario es compartida, sino también la de sus amigos.

En la actualidad, Internet nos ha permitido traspasar las barreras de las comunicaciones y hacer más atractivas y eficientes estas mismas. Sin embargo, la disposición de nuestra información o la recolección de información por un tercero no debe ser excesiva para los fines que se define la comunicación.

Finalmente, no se trata de dejar de utilizar estas redes sociales, sino más bien ejercer un control responsable sobre la información que publicamos y estar conscientes de las implicaciones que puede llevar el compartir información de carácter privado.


ENERO 2011

Cómo asegurar su negocio: Siete consejos de seguridad y mejores prácticas

Por Dmitry Bestuzhev, investigador regional senior para América Latina, Equipo global de investigación y análisis, Kaspersky Lab Americas

Hoy en día, los criminales cibernéticos, quienes están motivados siempre por el dinero, se están enfocando en empresas en toda América Latina.  Kaspersky Lab, un proveedor líder de soluciones que protegen contra amenazas de Internet, incluyendo todas las formas de software malicioso como virus, spyware, hackers y spam, ofrece a las empresas siete recomendaciones de seguridad para protegerse contra ataques que cada vez son más ambiciosos.

Hay tres amenazas claves que se dirigen contra las empresas actuales.  Cada una puede variar en su impacto y forma de entrega, yendo desde una mera molestia hasta crear daño duradero a la imagen, negocio o activos de una compañía:

  • Infección de malware

  • Fugas de información confidencial

  • Perjudicar la imagen de su empresa por medio de Internet

Siete recomendaciones de seguridad

Las siguientes recomendaciones están diseñadas para proteger a las empresas de las tres amenazas enlistas anteriormente.  Todas las empresas deben tener:

1.       Políticas para controlar el acceso a y gestión de las redes sociales por parte de los empleados. Esto es esencial porque las redes sociales son un vector posible de ataques contra la red de la empresa. Por ejemplo, si una compañía protege su perímetro contra ataques de malware pero no tiene un control adecuado del acceso a las redes sociales, el descuido de un empleado puede llevar a que el malware infecte la red de la empresa y cause significativas pérdidas económicas directas o indirectas.  Las redes sociales también pueden permitir fugas de información por parte de empleados que voluntariamente comparten información con terceros.

2.       Políticas para gestión y control de dispositivos USB. Hoy, los dispositivos USB son el medio primario para almacenar diferentes tipos de información.  Pueden ser utilizados por un empleado malintencionado que busca robar la información más crítica de un negocio. Esto conducirá a fugas de información que podrían causar importantes pérdidas económicas o daños a la reputación de una empresa.

3.       Política de encriptación de datos. Cualquier información que esté almacenada fuera del perímetro de la empresa, especialmente en dispositivos móviles tales como smartphones, computadoras portátiles y netbooks, definitivamente debe cifrarse, dado que dichos dispositivos pueden olvidarse, perderse o inclusive ser robados fácilmente.  Cualquier información almacenada en estos dispositivos podría potencialmente caer en las manos equivocadas y causar muchas complicaciones, tanto para su empresa como para terceros.  Por ejemplo, si la información incluye datos confidenciales acerca de los clientes de la compañía, esto podría socavar considerablemente la confianza entre su empresa y sus clientes.

4.       Políticas de seguridad anti-malware. El malware en general, especialmente aquel que busca robar información confidencial, como contraseñas, PINs y datos necesarios para acceder a sistemas que requieren de autenticación, continúa creciendo exponencialmente cada año.  Las empresas deben tomar seriamente la seguridad contra el malware y no deben conformarse con cualquier sistema anti-virus.  La empresa de hoy requiere de un paquete de seguridad en Internet que proteja contra varios tipos de malware moderno, tales como código malicioso de día cero, ataques de hackers contra la red, spam, phishing y otras amenazas en línea.  Un sistema de anti malware moderno y avanzado debe ser flexible, rápido y poderoso para que no sólo arregle los sistemas infectados, sino que también prevenga ataques antes de que éstos echen raíces.  

5.       Políticas de seguridad para la Web. La mayoría de las empresas hoy en día tienen sus propios sitios Web y la seguridad de éstos debe tomarse muy en serio. Si los hackers atacan el sitio Web de una empresa, pueden dañar severamente la imagen de la mísma. Imagine que pasaría si su sitio Web es alterado o desfigurado (un llamado “deface”) por un usuario malicioso. Sus clientes visitan su sitio, ven que ha sido comprometido y asumen que usted no sabe como manejar la seguridad de su sitio.  Podría causar un enorme daño a la imagen de su empresa, especialmente cuando usted maneja datos personales de los clientes o proporciona servicios relacionados con la seguridad. Los clientes podrían pensar que si su empresa es incapaz de garantizar su propia seguridad, ¿por qué deberían dejarla manejar todos sus valiosos datos personales? Por otra parte, algunos criminales no modificarán o cambiarán el contenido visual del sitio de su empresa.  En su lugar, incorporarán algún programa malicioso que infecte a todos los visitantes del sitio.

6.       Políticas de actualización de software. Muchos de los problemas que aquejan a las computadoras hoy, tales como fugas inoportunas de información e infecciones de software malicioso, ocurren porque los ciber criminales aprovechan las vulnerabilidades en los sistemas operativos y aplicaciones instaladas en estas máquinas.  Muchas de estas complicaciones podrían evitarse con instalar las nuevas actualizaciones conforme los fabricantes de software las publiquen.  Es importante que estas políticas sean manejadas y monitoreadas automáticamente, ya que permitirán ahorrar dinero en costos reactivos de mantenimiento y otras pérdidas.

7.       Entrenamiento adecuado del personal. Sus sistemas pueden estar completamente blindados, pero no debemos olvidar que, en última instancia, quienes los operan son seres humanos. En muchos casos, surgen problemas como resultado de este elemento humano, ya sea por motivo de simples errores o por una falta de conocimiento y de las mejores prácticas necesarias.  El personal de la empresa debe ser entrenado en el manejo correcto de la información, incluyendo cómo actuar en situaciones específicas, cómo seguir las políticas y procedimientos de seguridad de la empresa, cómo evitar software malicioso al ser diligente y cuidadoso y, si ya es demasiado tarde y el software malicioso ha penetrado la red, cómo actuar correctamente para asegurar los datos y prevenir pérdidas adicionales.

Los ciber criminales buscan constantemente datos que sean valiosos y puedan generar  una ganancia fácilmente, mientras que las empresas siempre han sido repositorios de grandes cantidades de datos valiosos y, frecuentemente, confidenciales.  Las empresas son blancos grandes, visibles y públicos con hardware, recursos y activos que frecuentemente hacen que los ciber criminales se mueran de la anticipación.  El usuario empresarial de hoy debe contar con un paquete de seguridad de Internet que lo proteja contra diversos tipos de software malicioso moderno, incluyendo malware  de día cero, ataques de hackers a nivel de red, spam, phishing y otras amenazas contra la integridad de su información.  Un sistema avanzado y moderno contra el malware tiene que ser flexible, rápido y poderoso para poder no sólo arreglar los sistemas infectados sino prevenir ataques antes de que éstos echen raíz.

Fuente: Kapersky Lab

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad