Archivos Mensuales: mayo 2009

Responsable de Seguridad de la Información, una figura indispensable en las empresas

CISOEl constante manejo de información en las empresas hace necesaria la labor de un CISO (Chief Information Security Officer) que gestione y controle todos los datos de la organización. Algunas entidades instan incluso a la incorporación de estos responsables de la seguridad de la información a los equipos directivos. De todo ello se hablará en la V Jornada Internacional de Seguridad que organiza ISMS Forum en Madrid.

Porque los extravíos de información en las empresas pueden suponer pérdidas millonarias, se hace cada vez más imprescindible contar con un CISO (Chief Information Security Officer) o Responsable de Seguridad de la Información. Se trata de una figura cuya labor pasa por garantizar la seguridad en la difusión de la información confidencial teniendo en cuenta los riesgos que supone perder el control de contenidos privados o restringidos como contratos, transacciones financieras o datos de clientes.

Y es especialmente relevante su labor en las entidades financieras, un sector castigado frecuentemente por el robo de identidades, spam y phishing. Así lo pone de manifiesto el Informe anual sobre seguridad en instituciones financieras que presentó a comienzos de año la consultora Deloitte. Del documento se extrae, además, la preocupación por la escasez de profesionales especializados en materia de seguridad.

Estos profesionales suelen ejercer con varios años de experiencia y un sólido conocimiento en actividades de planificación, auditoría y gestión, así como en el manejo de contratos y negociación de proveedores en el ámbito de las Tecnologías de la Información. En definitiva, una buena base formativa, dilatada experiencia profesional y rasgos de ser un líder en los negocios son algunos de los requisitos para ser un buen CISO.

De hecho, y aunque sea un perfil bastante novedoso, existen numerosos programas en universidades y escuelas tanto a nivel universitario como de postgrado en seguridad de tecnologías de la información, con contenidos que van desde los sistemas de gestión de seguridad, al análisis de riesgos, la seguridad en las comunicaciones y operaciones o el control de accesos.

Con el propósito de analizar las competencias y habilidades de estos profesionales se celebra el próximo jueves 28 de mayo la V Jornada Internacional de Seguridad que organiza ISMS Forum en el auditorio de la Mutua Madrileña en Madrid y que contará con la participación de más de 250 expertos en seguridad de la información procedentes de toda la geografía española.

Bajo el nombre “La organización de la seguridad: el laberinto del CISO”, el encuentro analizará cuál es la estructura óptima y la gestión de la Seguridad de la Información. Uno de los retos del CISO que se tratará en el evento es cómo establecer y reforzar las políticas corporativas de seguridad para proteger la comunicación diaria en Internet.

“El Responsable de Seguridad tiene que saber conjugar la aplicación de las nuevas tecnologías reduciendo, al mismo tiempo, el riesgo de fugas de información”, explica Marie-Claire Pfeifer, consejera delegada de Giga Trust en España, miembro asociado de ISMS Forum. Es una de las empresas que apuestan por la incorporación de los responsables de seguridad a los equipos directivos de las organizaciones. “Es importante que debatamos sobre los modelos de organización en la gestión de la seguridad de la información con la incorporación del CISO como parte activa de los equipos directivos”.

Serán partícipes de este tema Víctor Izquierdo, director del Instituto de Tecnologías de la Comunicación (INTECO) que ofrecerá la ponencia inaugural; Justin Somaini, vicepresidente y CISO Symantec Corp.; Miguel Rego, responsable de Seguridad Corporativa de ONO; Ron Collette, autor de libros como CISO Handbook y CISO Soft Skills; o José Antonio Sanz, director de Eurotalent y de The Institute os Leadership en España, que expondrá las claves para liderar un equipo en la conferencia de clausura.

Vía Cryptex

Anuncios

De ciberadolescente hoy a hacker mañana

ciber adolescente

Diario Ti: Según un estudio realizado por Panda Security, más de la mitad de los adolescentes entre 15 y 18 años utiliza diariamente Internet, pasando una media de 18,5 horas semanales conectados. La actividad que realizan en la red está orientada, en un 32%, a asuntos relacionados con sus estudios, y un 68% lo dedican a actividades de ocio, como jugar online, ver vídeos, escuchar música, mantener conversaciones, etc.

Mientras que el 63% de los padres declara sentirse preocupado por la seguridad online de sus hijos, enfocada a las amenazas a las que pueda exponerse (contacto con desconocidos, acceso a páginas con contenidos inapropiados, etc.), ninguno señala entre sus principales preocupaciones el riesgo de que su hijo pueda estar realizando actividades ilícitas en Internet.

Sin embargo, el 67% de los jóvenes encuestados afirma haber intentado hackear, en alguna ocasión, cuentas de mensajería instantánea, redes sociales, etc., de sus conocidos. Asimismo, el 20% confirma haber reenviado fotos comprometidas de compañeros por Internet o haberlas publicado en espacios web sin consentimiento previo.

Del universo consultado, se ha detectado un perfil de usuarios adolescentes con conocimientos técnicos avanzados que admite tener capacidad para encontrar herramientas de hacking en Internet (un 17%). De éstos, casi un tercio confirma haberlas utilizado en alguna ocasión. Preguntados por la razón, el 86% dice que la curiosidad y el afán de aprendizaje les movió a investigar este tipo de herramientas públicas.

Según Luis Corrons, Director Técnico de PandaLabs, “Los conocimientos avanzados que muchos de los adolescentes adquieren a través de contenidos y herramientas gratuitas disponibles en la Red les lleva a realizar actividades muchas veces incluso ilegales. Hemos encontrado casos muy cercanos a nuestro entorno de adolescentes que han utilizado troyanos para espiar a sus parejas, que han intentado hackear servidores de instituto para tener acceso a exámenes o que incluso han suplantado la identidad de amigos o compañeros a través de redes sociales”.

“Hay que animar a los jóvenes a utilizar Internet como vía de crecimiento personal, enseñándoles a un uso saludable y responsable, evitando que caigan en actividades sospechosas amparados en el anonimato que permite la Red”, añade Corrons.

Vía Cryptex

Los diez mandamientos del password

laptop 2

Todos los sistemas operativos y aplicaciones informáticas ofrecen la posibilidad de proteger los su inicio, los archivos y todo tipo de documentos electrónicos con passwords o claves secretas. Quienes tienen un vehículo, le colocan sistemas de seguridad anti robo; ¿por qué no asegurar una de las cosas más valiosas como lo es nuestra información digital? .

“La facilidad de descubrir un password es directamente proporcional a la uniformidad de los caracteres utilizados, la lógica del mismo y su relación con los idiomas” así lo afirma Raymond Orta , Experto en Delitos y Seguridad Informática.

Muchos usuarios de informática utilizan passwords o palabras claves que son tan fáciles de adivinar, que ofrecen la mínima seguridad. La fecha de nacimiento es utilizada por el 10 % de los usuarios de Internet como su contraseña de acceso o como parte de ellas para acceder a sistemas protegidos. Los nombres y apellidos completos, son utilizados por otro 15 % de los usuarios de sistemas de información como password. Las claves más usadas en la red según una encuesta son: “password”, “123456”, “qwerty” (Las primeras letras del teclado al que le deben su nombre. , “abc123”, “password1” y el nombre del usuario entre otros o bien sus equivalentes en castellano. Steven Mitnik declaró que podía conseguir el password de cualquier persona en 15 minutos de conversación utilizando técnicas de Ingeniería social. Se estima que el 50% de los passwords a nivel mundial son débiles.

Conozca la Fuerza Bruta de la Era Digital

Si bien, podemos temer a los hackers que con mentes no tan brillantes utilizaran primero los passwords estadísticamente más usados para encontrar nuestras claves, otra preocupación es que existen otras formas tecnológicas de encontrar romper con la seguridad de nuestros secretos industriales, comerciales y personales. Desde hace años, varias empresas diseñan programas especialmente para descifrar las claves en todo tipo de archivos como los de Office, Outlook, PDF, Access, Oracle, VBA, sistemas operativos Windows UNIX y archivos cifrados via PGP. El método que se utiliza es el de ir probando todas las combinaciones de letras y números uno a uno hasta dar con su claves. La Mayoría de los sitios web de correo gratuito están preparados contra los ataques de fuerza bruta inhabilitando las cuentas temporalmente después de varios intentos fallidos.

La Fortaleza de su password

Los password basados solo en los números decimales son los más fáciles de descubrir. Los de dos cifras tienen solo 100 combinaciones posibles (0-99) y con los procesadores actuales se descubren instantáneamente; un password de de cinco cifras tiene 10000 combinaciones posibles y es revelado en 10 segundos. Un password de 9 cifras numéricas, tendrá 100 Millardos de combinaciones y solo tarda descubrirse en 28 horas con los procesadores actuales. Las nuevas tecnologías de aceleración de las tarjetas de video está siendo utilizada para resolver los acertijos de los password utilizando una combinación del CPU con los GPU que además pudiéndose instalar en forma múltiple en la actualidad (hasta 4) se pueden obtener una velocidad de fuerza bruta de 1 billón de passwords por segundo.

La Real Academia Contra la Seguridad Informática

Una de las técnicas más utilizadas para acelerar el descifrado de los passwords es la utilización de diccionarios. Los programas para hackear claves pueden utilizar primero las palabras de una lista suministrada por el usuario para ahorrar tiempo; un diccionario convencional puede tener hasta 120.000 palabras. Pero de internet se pueden bajar diccionarios para programas de este tipo y además se distribuyen gratuitamente programas para crear diccionarios de la fuerza bruta digital con nombres, apellidos y fechas de nacimiento vigentes por promedios de vida mundial. Es importante señalar que los hackers pueden contar con diccionarios en todos los idiomas.

Los Diez Mandamientos del Password

1. Jamás des a conocer o prestar tu password. (En Caso de uso autorizado por terceros genere uno nuevo inmediatamente después).

2. Tenga un password para cada sistema (Si no, una vez descubierto esta será una llave maestra).

3. No Utilice el mismo nombre del “usuario” como “password”

4. Jamás utilice solo números y menos en secuencia lógica progresiva o regresiva.

5. Use un password con mezcla de letras mayúsculas y minúsculas, números y signos de puntuación (no utilice caracteres especiales como los acentuados).

6. Use passwords largos, con más de diez, caracteres combinados conforme a la regla anterior.

7. Utilice programas de especiales para guardar passwords (Muchos teléfonos celulares ya los tiene y vienen cifrados). No escriba sus passwords en soporte alguno.

8. No habilite el resguardo de claves de navegadores de internet.

9. Cambie Sus Password mínimo una vez al año.

10. No sea flojo, dedique tiempo a la formulación de sus passwords, y sus a reglas nemotécnicas para recordarlos o esconderlos digitalmente.

Recomendaciones para Crear Passwords

1. Cree su propio sistema de passwords.

2. Utilice Frases celebres, nombre de películas, escribiéndolas tipo titulo, es decir, todas las primeras letras de las frases en mayúsculas.

3. Suprima las vocales de nombres, apellidos, personajes con nombres ficticios, como por ejemplo “El Vengador Errante” daría una secuencia de caracteres “lVngdrrrnt”.

4. La combinación de letras con números puede estar relacionada con números que conozca, invertidos o con transposición de números cambiando los finales o centrales.

5. Ud. Puede sustituir algunas letras por números que se les parezcan. La F con el 7, la E por un 3, dando como resultado, el que si una palabra que forma parte del password es “feísimo” su transformación seria “73isimo”.

6. Para recordar nombres combinados cree imágenes absurdas que son mas fáciles de recordar.

7. Utilice varias técnicas de las anteriores combinadas.

Legalidad del uso de programas forenses de Fuerza bruta digital

Hace muchos años se planteó si este tipo de programas era ilegal y después de largos juicios se concluyó:
1) Que los usuarios tenían derecho a contar con software para encontrar las claves que había olvidado;
2) Que los programadores y empresas que desarrollaban este tipo de software no estaban cometiendo delitos;
3) Que para utilizarlos en archivos creados por terceros era necesario una autorización judicial.

Auditoria de Passwords en las Empresas

Uno de los servicios que está en franco crecimiento es el de asesoría y auditoria de passwords en las empresas para evaluar su riesgo, tanto en servidores, estaciones de trabajo así como en conexiones de internet e inalámbricas.

Raymond Orta concluyó aseverando que el Password es la llave de muchas puertas digitales a la seguridad personal y empresarial, el cuidado en su elección y preservación pueden ser fundamentales en esta nueva era digital, usemos nuestro subutilizado cerebro para producir passwords inimaginables por nuestros vecinos, amigos y enemigos. Protejamos nuestros equipos con conciencia por cuanto, vale perder un poco de tiempo ahora y no llorar luego por la perdida de control de su información .

Vía Alta Densidad

Windows 7 Upgrade Advisor: Comprueba si estás preparado para Windows 7

El pasado 5 de Mayo se liberó al público en general la esperada Release Candidate de Windows 7, la cual tengo instalada en una partición de mi ordenador, por lo que puedo decir que Microsoft ha realizado un buen trabajo, en lo que al usuario principalmente considera más que importante, velocidad, rendimiento y estabilidad. Por otra parte, se publicaron los requerimientos oficiales de Windows 7, que como se conocía anteriormente Procesador de 1Ghz, 1GB de RAM, 16-20GB de espacio en disco (para la version de 32 y 64-bit respectivamente) y tarjeta gráfica compatible con DirectX 9 y WDDM.

Sin embargo, aunque según Microsoft, cualquier equipo que cumpla con estos requerimientos puede instalar Windows 7, existe una herramienta llamada Windows 7 Upgrade Advisor que se encarga de analizar nuestro equipo para comprobar si está preparado para “darse” con Windows 7.

Windows 7 Upgrade Advisor

Esta herramienta de Microsoft, está únicamente disponible en inglés. Como se puede observar en mi caso, estoy preparado para Windows 7, a excepción que Windows Live Mail y Parentals Control no están disponibles en ese OS.

Descargar | Windows 7 Upgrade Advisor
Descargar | Windows 7 Release Candidate

Vía Tecnobita

A %d blogueros les gusta esto: