Ciberseguridad: los cinco errores que cometen las empresas

Para muchos, la ciberseguridad es poco más que un misterio. Esta falta de conocimiento ha creado una gran cantidad de ideas erróneas en el nivel de gerencia sobre cómo enfocar el tema. En un informe sobre el tema, KPMG EE.UU. identificó los cinco errores más comunes a la hora de hablar de seguridad informática. Lee el resto de esta entrada →

Seguridad informática redobló el control de jefes a empleados

En su escritorio, un administrativo tipea en su computadora para entrar a su muro de Facebook y ver en qué andan sus amigos. En la calle, una vendedora aprovecha un tiempo muerto en la visita a un cliente para mensajearse con su novio, desde el celular que le dio la empresa. Pero lejos de ignorar el uso que sus empleados hacen de los equipos de la compañía, los jefes están cada vez más al tanto de sus actividades, gracias a diversos programas informáticos. La necesidad de maximizar la seguridad informática ambientó la llegada del Gran Hermano a la oficina.

Lee el resto de esta entrada →

Curso de Seguridad en Informática

Curso en Seguridad Informática (en Maracaibo)

5 mejores maneras de proteger su privacidad

Lo que muchos saben pero pocos aplican sobre desarrollo seguro

Lee el resto de esta entrada →

Taller de Seguridad en Informática

Hackers y la seguridad

Todas las personas tenemos un universo de cosas, detalles, pareceres, ideas, que nos configuran, de alguna manera, una esfera de lo sagrado. Algunos ponderamos el círculo de lo afectivo, donde están nuestros seres queridos -con o sin parentesco- otros ponderan el ámbito de lo material, y consideran sagrados su auto, su ropa, su celular, todas aquellas cosas que han podido adquirir. Felizmente, en una gran mayoría de casos, cuando se contrasta aquello que verdaderamente interesa, como sucede frente a un accidente automovilístico y situaciones por el estilo, las personas terminan ponderando lo afectivo, aquello que por su naturaleza y características es irreemplazable, la vida, el amor, los afectos. Lee el resto de esta entrada →

Consejos para evitar que te espíen por Internet (Video)

Publicada la nueva norma ISO 27001:2013

Las nuevas normas ISO 27001:2013 e ISO 27002:2013 han sido publicadas. Las normas que ayudan a las empresas a gestionar la seguridad de la información fueron creadas por primera vez por BSI, la empresa de normas de negocio, con el nombre de BS 7799. Con la revisión de 2013, la norma internacional permitirá a las empresas de todos los tamaños y sectores adaptarse a la rápida evolución y la creciente complejidad de la gestión de la información y el continuo desafío que plantea la seguridad cibernética.

El funcionamiento de los  negocios de hoy en día difiere enormemente de la primera utilización de BS 7799 en 1995, los avances tecnológicos significan que las necesidades de seguridad de la información también han cambiado. Las revisiones ayudarán a las empresas a percibir los cambios en seguridad de la información y no solo limitarse a TI, e incluye elementos más amplios, como las personas. También tiene en cuenta las interacciones que pueden ocurrir entre otras normas de Sistemas de Gestión y cuestiones como la Gestión de Riesgos y Gestión de Continuidad del Negocio. Lee el resto de esta entrada →

El futuro de las contraseñas

 Es enorme la cantidad de servicios en Internet que requieren el ingreso de contraseñas mediante teclados físicos y virtuales, con los riesgos de seguridad que implica el uso de claves poco robustas. Esto generó una serie de iniciativas que buscan simplificar la autenticación de una cuenta de correo electrónico o el acceso a una red social. Lee el resto de esta entrada →

Diez consejos para mantener la seguridad en internet

A continuación, un decálogo de consejos para proteger de virus a tu computadora y evitar así que espíen y roben tu información. Lee el resto de esta entrada →

10 consejos de seguridad informática que debes seguir

1. Mantén actualizados los programas

Hay malware que se aprovecha de las vulnerabilidades en programas famosos para colarse en tu PC sin que el antivirus pueda actuar. Un ejemplo: el Virus de la Policía.

Para evitar sorpresas, debes mantener actualizados tus programas. Aplicaciones como Secunia PSI o Softonic for Windows te ayudan a conseguirlo. Lee el resto de esta entrada →

10 claves para navegar seguros por Internet

Hoy en día, Internet es un sistema ampliamente utilizado por particulares y empresas. Los sites de Internet han crecido a gran velocidad, y los negocios dependen cada vez más de lared de redes (Google+, Twitter, Facebook…) para desempeñar sus tareas y funciones. Lee el resto de esta entrada →

Guía para manejar sus contraseñas de Internet

Lee el resto de esta entrada →

10.672526 -71.590450

Mentiras y verdades de la seguridad informática

Son muchas las mentiras y verdades alrededor de las acciones de protección que un usuario promedio puede implementar para evitar el hackeo e infección de virus en sus cuentas y equipos.

A continuación, se presentan una serie de mentiras y verdades que sin necesidad de ser experto en seguridad informática pueden ayudarlo en la prevención de ataques. Lee el resto de esta entrada →

10.672526 -71.590450

Mentiras y mitos sobre seguridad informática

Estos son algunos mitos que, en alguna ocasión, hemos creído que eran verdad y que realmente no son más que ‘leyendas’. Tengámoslos en cuenta. Lee el resto de esta entrada →

10.672526 -71.590450

La aparición de los niños hackers: los piratas informáticos tienen cada vez menos edad

(Caracas, 12 de febrero. Noticias24).- Yuval Ben-Itzhak, jefe de tecnología de AVG, presentó un informe donde muestra evidencia detallada de programas creados para “robar” monedas virtuales en juegos y redes sociales, creados por niños que están aprendiendo a programar. Lee el resto de esta entrada →

10.672526 -71.590450

Los retos del 2013 en seguridad informática

Expertos vaticinan aumento de virus móviles, extorsión virtual y ataques digitales entre países. Lee el resto de esta entrada →

10.672526 -71.590450

Consejos para evitar amenazas de seguridad

Una mayor concienciación acerca de los posibles riesgos para la seguridad es un paso fundamental para frustrar ataques malintencionados. Sin embargo, con demasiada frecuencia, las organizaciones públicas y privadas se ven obligadas a reconocer que los riesgos potenciales de seguridad son aún mayores cuando un atacante logra obtener privilegios de administrador, independientemente de si es un atacante externo o una amenaza interna.Quest Software (ahora parte de Dell) tiene un profundo conocimiento de los problemas a los que se enfrentan las organizaciones que carecen del control y las auditorías adecuadas sobre los accesos de administración y las cuentas de superusuario. Lee el resto de esta entrada →

10.672526 -71.590450

Tres principios para mejorar la seguridad de la información en la empresa

La seguridad de la información sigue siendo un tema primordial para cualquier tipo de empresa, sea grande, mediana o pequeña. La cantidad de medios con los que se cuenta hoy en día para transmitir información empeora las cosas y hace mucho más difícil asegurar la información. Lee el resto de esta entrada →

10.672526 -71.590450

Tipos de ataques remotos

Existen muchas técnicas que permiten a los atacantes comprometer sistemas remotos. Se dividen en varias categorías: Lee el resto de esta entrada →

10.672526 -71.590450

Lo que es el Jefe de Seguridad (CSO), ¿Tienes lo que se necesita?

Cada vez más, Jefe de Seguridad significa lo que parece: El CSO es el ejecutivo responsable  de la seguridad  de la organización, por completo, tanto física como digital.

El título de Oficial de seguridad (CSO) se utilizó por primera vez dentro de la función informática para designar a la persona responsable de la seguridad informática. En muchas compañías, el CSO término todavía se utiliza de esta manera. El Oficial de Seguridad de la Información (CISO), es tal vez una descripción más exacta de esta posición, y hoy el título CISO es cada vez más frecuente para los líderes con un enfoque exclusivo de seguridad de la información.

El título de CSO también se utiliza en algunas empresas para describir a el líder de la ”seguridad de la empresa”, función que incluye la seguridad física, de los empleados, instalaciones y activos. Más comúnmente, esta persona posee un título como el Vicepresidente o Director de Seguridad Corporativa. Históricamente, la seguridad corporativa y la seguridad de la información han sido manejados por departamentos separado.

Cada vez más, Jefe de Seguridad significa lo que parece: El CSO es el ejecutivo responsable por completo de la seguridad  de la organización , tanto física como digital. Los CSO también suelen poseer o participar estrechamente en las áreas relacionadas, tales como la planificación de la continuidad del negocio, la prevención de la pérdida y la lucha contra el fraude y la privacidad.

La fusión de todas las formas de la seguridad bajo un paraguas organizativo único ha sido un enfoque controvertido en algunas ocasiones. A nivel táctico, la tecnología está infundiendo en las herramientas de seguridad físicas, que son cada vez más con bases de datos y de red. A nivel práctico, los CSO poseen una función de gestión de seguridad de manera integral  proporcionando una mayor seguridad a menor costo. Por otro lado, los CSO sin una amplia base de conocimientos puede resultar un reto para superar la inercia organizativa y política para cumplir con esa visión.

A nivel estratégico, los CEOs y las juntas directivas, motivados en parte por un conjunto de normas, desea una vista del riesgo operacional de toda la empresa. Así que, con otro enfoque actual de liderazgo en seguridad se puede tejer junto con otros grupos una Gestión del Riesgo Empresarial (ERM). ERM puede ser manejado por un departamento de forma global o por un equipo más flexible.

Ejemplo de descripción del trabajo de los CSO

Este es el ejecutivo de máxima seguridad de la empresa. Él o ella le reportará directamente a un alto ejecutivo funcional (CEO, COO, CFO, director general administrativo, jefe de los asesores legales). El CSO se encargará de supervisar y coordinar los esfuerzos de seguridad en toda la compañía, incluyendo tecnologías de la información, recursos humanos, comunicaciones, jurídica, gestión de instalaciones y otros grupos, e identificarán las iniciativas de seguridad, además de,  normas y procedimientos.

Responsabilidades:

• Conducir actividades operacionales de gestión del riesgo para mejorar el valor de la empresa y la marca.
• Velar por la red  de seguridad de los directores y los vendedores que salvaguardar los activos de la empresa, los sistemas de propiedad intelectual y los computadores, así como la seguridad física de los empleados y visitantes.
• Identificar las metas de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo.
• Gestionar el desarrollo y la aplicación de la política de seguridad global, las normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad.  Entre las responsabilidades de protección física se incluyen la protección de activos, la prevención de violencia en el trabajo, los sistemas de control de acceso, vigilancia por vídeo y mucho más. Entre las responsabilidades de protección de información se incluyen la arquitectura de seguridad de red, acceso a la red y monitoreo de políticas, educación de los empleados y la conciencia y mucho más.
• Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y/o metodología financiera.
• Mantener relaciones con las autoridades locales, estatales, federales y otras agencias gubernamentales relacionadas.
• Supervisar la planificación de respuesta a incidentes, así como la investigación de las violaciones de seguridad y ayudar en los asuntos disciplinarios y legales asociados con la causa de las mismas, según sea necesario.
• Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.

Características:

• Debe ser un líder inteligente, elocuente y persuasivo que pueda servir como un miembro efectivo del equipo de alta gerencia y que es capaz de comunicar los conceptos relacionados con la seguridad a una amplia gama de personal técnico y no técnico.
• Debe tener experiencia con la planificación de la continuidad del negocio, auditoría y gestión de riesgos, así como contratos y negociación de proveedores.
• Debe tener gran conocimiento práctico de la legislación pertinente y las fuerzas de ley.
• Debe tener una sólida comprensión de la tecnología de la información y la seguridad de la información.

¿qué crees que es el CSO? ¿Qué otras funciones puede realizar el CSO? ¿Qué otra característica crees que deba tener el CSO? Dejen sus comentarios.

Vía Carlos Solís

Las 25 contraseñas más utilizadas: ¿Cómo escoger una buena contraseña?

 Con los recientes ataques a Linked In, los hacker del gobierno y las miles de cuentas robadas en diferentes redes sociales y servicios de correo… Nos estamos preocupando más y más sobre nuestra seguridad en la web.

Nuestra primera preocupación siempre es sobre nuestras contraseñas o “passwords”. Siempre hemos recomendado por esta vía utilizar números, letras y signos en una sola clave, al igual que utilizar diferentes claves para diferentes servicios no vaya a ser que por mala suerte adivinen nuestra clave y pongamos una variedad de cuentas en manos de nuestro atacante.

Usualmente los usuarios utilizan contraseñas con palabras sencillas o números que van del 1 al 8. Por eso les dejo una lista de las 25 contraseñas más usadas que aparece en la lista 10,000 Top Passwords del consultor de seguridad Mark Burnett.

Más del 14% de los usuarios tienen contraseñas del top 10 y el 9.8% de los usuarios tienen la clave “123456″ y “12345678″.

Pero no todo se trata de tener una buena clave, debemos tomar en cuenta las preguntas de seguridad. En una reciente entrevista que leí en GQ, realizada al responsable de muchas de las fotos desnudas de celebridades de Hollywood que fueron filtradas a la web durante los últimos dos años (Ej: Scarlett Johannson), el hacker confiesa que entrar a las cuentas se le hacía muy fácil ya que mucha de las respuestas a las preguntas de seguridad (preguntas que aparecen luego de intentar entrar a una cuenta de correo) se encuentran en la web.

5 reglas para escoger una buena contraseña

Al momento de escoger una contraseña segura solo aplican pocas reglas:

1. Mezcla mayúsculas y minúsculas.

2. Utiliza por lo menos un número.

3. Agrega un signo de puntuación.

4. Escoge algo privado. Algo que solo tu conozcas.

5. Mientras más largo mejor (sí, chinazo).

Pueden probar la dificultad de su contraseña en este site de Microsoft que nos ayuda a crear un password seguro: Microsoft Password Checker

Las 25 contraseñas más utilizadas

1. password
2. 123456
3. 12345678
4. 1234
5. qwerty
6. 12345
7. dragon
8. pussy
9. baseball
10. football
11. letmein
12. monkey
13. 696969
14. abc123
15. mustang
16. michael
17. shadow
18. master
19. jennifer
20. 111111
21. 2000
22. jordan
23. superman
24. harley
25. 1234567

Si tienen una de estas contraseñas, no dejen de seguir las 5 reglas anteriores y cambiarla lo antes posible.

Vía Cryptex

Los profesionales de TI de seguridad siguen temiendo al personal de su propia organización cuando se trata de violaciones de datos.

En la feria Infosecurity del mes pasado en Londres, 300 asistentes fueron encuestados acerca de sus temores sobre la violación de datos, y el 71 por ciento dijo que su propio personal es el que plantea la mayor amenaza para sus datos.

Ellos superan con creces la amenaza de los piratas informáticos (28 por ciento), los consultores y otros terceros (siete por ciento), y sólo el cinco por ciento citó los organismos gubernamentales nacionales o extranjeros.

Cuando se trata de gobiernos, el gobierno chino es el más temido, con los gobiernos de EE.UU. y Rusia muy por detrás, y el gobierno del Reino Unido ligeramente por detrás de estos dos.

Cuando se buscan formas de mejorar la seguridad, el 83 por ciento cree que la comunidad de código abierto podría colaborar mejor.

Barmak Meftah, director ejecutivo de la empresa de código abierto de protección de datos de sistemas, AlienVault, la que hizo la encuesta, dijo: «Reconocemos que el camino para vencer a los piratas informáticos es facilitar la colaboración entre todos los miembros de la comunidad de seguridad».

«Sin embargo, el talento y las aportaciones de la comunidad de código abierto en particular, son fundamentales. Ellos están en la primera línea de la innovación y representan un universo muy diverso de organizaciones y geografías».

El Reino Unido necesita a más personas jóvenes que ingresen a la profesión de «seguridad de las TI» si se quiere evitar una escasez de habilidades en un futuro próximo, de acuerdo con el representante especial del gobierno frente a las empresas de seguridad cibernética.

«Hay demasiadas personas mayores de 40 años que trabajan en esta área y no suficientes en sus veinte años», dijo la baronesa Pauline Neville-Jones a los delegados de la conferencia ITEC en Londres la semana pasada.

Por Anthony Savvas, Computerworld Reino Unido

Vía PC World

Revelar tu contraseña de Facebook pone en riesgo tu Seguridad

En los últimos años las redes sociales han cambiado totalmente la forma de ver e interactuar con el mundo… incluso la forma de entrevistar y contratar a una persona por parte de una empresa. En el año 2009, la ciudad de Bozeman, Montana se encontraba ante el peor escándalo público que surgió cuando en los medios se dio a conocer la noticia de que los miembros del gabinete tenían la astucia de solicitar como requisito brindar acceso a las redes sociales de toda aquella persona que aplicaba a ocupar cualquier cargo en la administración.

 Esos eran los buenos tiempos.

 La cuestión una vez más llegó a la atención pública debido a que en las últimas semanas surgieron diversos reportajes en las noticias que comenzaron a indicar que cada vez más empleadores siguen ese ejemplo, y que el demandar las contraseñas de las redes sociales de los usuarios se está convirtiendo cada vez más en una práctica de contratación aceptada.

 En una historia, la Asociated Press ilustra esta creciente tendencia de gerentes que solicitan información de acceso a Facebook para evaluar a los empleados potenciales como parte de la entrevista. El artículo señala el caso particular de Justin Bassett, a quien en su entrevista de trabajo se le solicitó la información de acceso a su Facebook. A raíz de esta petición, Bassett abandonó la entrevista y sostuvo que él no quería trabajar para una empresa que cometiera tal atropello y esa clara violación a su privacidad. Pero no todos pueden darse ese lujo.

Del mismo modo, otra historia publicada en la revista PC Magazine ilustra una tendencia que se ha dado a conocer como la «navegación por encima del hombro», la cual consiste en pedir a un empleado potencial iniciar su sesión de Facebook, mientras es observado por encima de su hombro al navegar y dar click en fotos, videos y actualizaciones de su estado en búsqueda de cualquier material comprometedor o potencialmente escandaloso.

 Facebook atendió a esta tendencia en un blog que subraya que, además de una serie de violaciones a la privacidad, los empleadores están en riesgo de una mayor responsabilidad legal por conocer la información personal del candidato (como lo es la edad de un usuario, su herencia, afinidades políticas, religiosas o alguna discapacidad), que podría involucrarlos en algún momento en una demanda por discriminación si el candidato no obtuviera el trabajo. En este sentido, Facebook mantiene en un blog que la solicitud de una contraseña de Facebook a empleados o candidatos a un empleo resulta en una violación flagrante de los términos establecidos por la red social y sus condiciones.

 Pero además de las numerosas ramificaciones legales (que son muchas), los empleados también se están sometiendo a un sin fin de problemas de seguridad mediante la entrega de las llaves de acceso a su reino de Facebook.

 En primer lugar, las reglas de seguridad dictan que si algún usuario no autorizado ha accedido a su contraseña de la cuenta, usted está obligado a cambiar de inmediato todas sus credenciales de inicio de sesión. Así que entonces, ¿por qué no hacer ese cambio cuando ha compartido los nombres de usuario de Facebook y acceso a un gerente de recursos humanos que no conoce y al que probablemente no le tiene plena confianza?

 Lo qué ha resultado de las discusiones populares es el hecho de que no no se deben revelar las contraseñas sensibles a nadie. Nunca. Eso incluye a su mamá, sus hijos, y desde luego, principalmente a personas desconocidas.

 Cuando los usuarios pierden sus contraseñas, desconocen de qué forma serán utilizadas, o quién va a acceder a su cuenta posteriormente. Quién puede decir si la persona de recursos humanos de la organización o el personal directivo se pondrán a husmear en su perfil de Facebook sólo por el gusto de hacerlo, incluso después de haber aceptado o declinado el trabajo. O es posible que alguien pueda publicar algo humillante o inadecuado en su muro. Después de todo, ellos cuentan con las contraseñas de inicio de sesión.

«Incluso si uno no acepta el trabajo, les ha dado la contraseña. Pueden incluso realmente cambiar su contraseña sin su conocimiento, o eliminar su cuenta «, comentó Axelle Aprville, analista e investigador senior de antivirus de Fortinet.

 Además, muchos usuarios tienen las mismas contraseñas para múltiples cuentas sensibles como su cuenta bancaria y Pay Pal, dijo Rob Ayoub, evangelista de seguridad de Fortinet.

 «Una vez que un usuario proporciona su contraseña a recursos humanos, la persona de recursos humanos podría tener acceso a muchos más datos sensibles. Claro, la respuesta es fácil  – uno debe cambiar la contraseña. Pero, ¿realmente los usuarios saben esto o piensan en ello?», dijo Ayoub. «Esto también trae a colación el pensamiento de que tal vez deberíamos estar utilizando autenticación fuerte para acceder a sistemas tan íntimos y personales como Facebook.»

 «En el mejor de los casos donde la gente no reusa su contraseña, con frecuencia utilizan cierto tipo de lógica que ofrece pistas valiosas para iniciar sesión en otros sitios web», agregó Apvrille de Fortinet. «Por ejemplo. Imaginen si mi contraseña de Facebook es «Facebook4ax, adivina cuál es mi contraseña para LinkedIn? No es tan difícil ‘Linkedin4ax. Para Gmail? ‘Gmail4ax. Para Twitter? ‘Twitter4ax,’ etc… usted sigue la lógica».

 Mientras tanto, casi todas las cuentas de Facebook contienen una gran cantidad de información de identificación personal – edad, fecha de nacimiento, dirección, números de teléfono y los lugares que frecuenta –  que puede potencialmente ser utilizado en el robo de identidad. Al entregar la contraseña es como si entregara las llaves de su casa a su jefe y decir «No dude en consultar libremente mis estados de cuenta de la tarjeta de crédito y asegúrese de abrir todos mis diarios.»

 Y aunque la mayoría de los gerentes y el personal de recursos humanos son personas honestas (que por supuesto, lo son), no hay forma de determinar si la seguridad de la computadora que alberga la base de datos de credenciales de Facebook es robusta. Si el equipo o cualquier otra aplicación en la máquina contiene una vulnerabilidad de seguridad, cualquier información almacenada se encuentra en riesgo de caer en manos de hackers si el equipo llega a ser infectado con un botnet, o algún troyano que robe información o un keylogger.

 Con el fácil acceso a un botín de registros de login de Facebook, un botnet podría poner en riesgo el perfil de un usuario mediante un enlace infectado, y con ello pondría en riesgo a todos los contactos de la víctima. O los hackers simplemente por hacer la maldad podrían publicar las claves a través de Internet, junto con una nota sarcástica, como una especie de declaración política. Que no nos extrañe, las cosas más extrañas ya están sucedido.

La buena noticia es que la práctica de solicitar contraseñas de Facebook ha sido recibida con una fuerte reacción en contra que está creciendo cada vez más, a pesar de que recientemente algunos representantes gubernamentales se negaron a promover una ley que impida a las organizaciones a demandar sus logins a prospectos y futuros empleados.

 El hecho de que las encuestas muestran que una gran mayoría de usuarios se oponen fuertemente a estas prácticas de contratación, es prueba de que la cuestión de la privacidad del usuario no será derrotada sin pelear. Pero por ahora, eso es todo lo que podemos esperar.

Vía Fortinet

FUGA DE INFORMACIÓN: Un problema cada vez más recurrente

Cada vez que se habla de un proceso de manejo de información, la parte más débil del proceso hace referencia siempre al factor humano. Sin embargo, en lo referente a protección de los datos, o su contraparte, la fuga de los mismos, existen un sinfín de casos en donde se observa que el factor humano en la cadena de procesos es el más crítico y es ahí en donde los expertos de seguridad intentan enfocar nuestros esfuerzos.

Cualquier persona que esté manejando información, lo hace a través de un dispositivo, ya sea para su procesamiento, almacenamiento o transporte. Siempre existen dispositivos involucrados en medio. Debido a esto, se pueden establecer cuáles son los puntos en donde los dispositivos también se convierten en riesgos al momento de manejar datos sensibles de la organización.

Notebooks, Pendrives y Smartphones

Según la discusión realizada ante la pregunta “¿Cuáles son los dispositivos con mayor potencial de fuga de información?”, los expertos del grupo de Security Chat & Beers (Charlas de Seguridad y Cervezas) pudieron llegar a la conclusión de que la respuesta depende directamente al tipo de información que el dispositivo maneja. Si se toma el caso de los datos sensibles que pudieran estar alojados dentro de los correos electrónicos, los teléfonos celulares inteligentes se llevan ampliamente el puesto número uno. En cambio, cuando los datos sensibles son, por ejemplo, hojas de cálculo, las notebooks son las que lideran el podio. Esto se debe a la comodidad que tiene uno u otro dispositivo a la hora de manejar los datos (no es muy cómodo manejar una planilla de Excel desde un Smartphone). En medio de esta disputa de primeros puestos, quedan los pendrives, los cuales tienen capacidades de almacenamiento astronómicas en un espacio tan chico que es demasiado fácil de extraviar. Inclusive, en materia de robo o extravío, los teléfonos celulares vuelven a tomar el primer puesto a nivel de fuga de información sensible, perdiendo el control de la información, muchas veces sin posibilidades de establecer una política de contraseñas fuerte en el dispositivo o capacidades de borrado remoto del mismo. Sin embargo, no se pierden de vista las notebooks, en donde la cantidad de información es mucho mayor que a la de cualquier Smartphone. Inclusive se han arrojado sobre la mesa casos de robo de equipos a nivel corporativos que distan mucho de ser meros robos al azar.

En vista de los usuarios

Las personas son independientes de los dispositivos que utilizan y en mayor parte, son responsables de la información que manejan en dichos dispositivos. En base a esta observación, los presentes en el Security Chat & Beers (SC&B) pudieron consensuar que la gran mayoría de las personas no puede percibir el valor real de la información que manejan. Esto puede deberse en parte al “acostumbramiento” que tienen las personas al nivel de información que manejan. Debido a esto, la información parece perder valor y cuando la pérdida ocurre, difícilmente sea debidamente reportada. Adicionalmente a esto, las empresas parecen no tener un procedimiento de cómo actuar ante la fuga de información que es ocasionada de forma involuntaria sumado al hecho que actualmente en Argentina no existe un marco legal que obligue a las empresas a hacer pública su perdida y el grado de alcance de la misma (cosa que sí es obligatoria en Estados Unidos).

Cuando el accidente no es accidente

La fuga de información se puede pensar de dos modos: forma intencionada o involuntaria. ¿Qué pasa cuando el robo es algo intencionado por las personas en las cuales se ha confiado el uso de esta información? El robo de la información es algo sumamente sutil, en donde sólo por el tipo de información es identificable el responsable de dicha fuga, hasta casos en donde resulta tan burdo el robo como que alguien abra a la fuerza un gabinete y robe el disco del mismo, obviamente robando también CPU y memorias para tratar de “disimular” el robo de información con un simple robo de equipamiento. Desde cámaras de vigilancia hasta software de inventariado surgieron como casos para tratar de entorpecer el robo de la información. Sin embargo, en este punto los pendrives se llevan el primer puesto en el robo de datos. Al parecer, el personal que no se encuentra muy contento con su trabajo, tiene ciertos recaudos a la hora de llevarse información, no lo harán a través del correo provisto por la empresa, ni tampoco a través de servicios Web (ya sean servicios como Dropbox o Webmails) por la conciencia que existe acerca de los métodos de control de contenidos en el correo corporativo y servicios perimetrales como pueden ser el FTP o HTTP.

Muchos de los administradores que estuvieron en la mesa de SC&B, luchan contra este tipo de fuga bloqueando los USBs de los equipos o implementando herramientas de DLP, pero ninguno de los presentes puede asegurar una eficacia del 100%. De esto también se trata la prevención de la fuga. Nadie en su sano juicio puede asegurar que el 100% de los intentos de fuga serán prevenidos, y tampoco nadie se pone como objetivo ese número, lo que sí tiene que ser un objetivo de los dueños de la información es la de tener una política de uso adecuada de la misma, la capacitación y concientización de los usuarios y la posibilidad de tener herramientas que le brinden información al menos de los intentos de robo de datos, de modo de poder tener al menos una buena cantidad de eventos y elementos forenses que permitan rápidamente enlazar un evento de fuga con un responsable directo.

Conclusiones

Es evidente que la fuga de información, o la falta de control sobre la exposición de los datos de las empresas, es un tópico sobre el cual hay mucho para hacer. Pero todos los expertos de SC&B estuvieron de acuerdo en que el primer paso para una eficaz política de prevención de fuga de información es indudablemente actuar sobre el individuo, realizando tareas de concientización del uso de la información. De esta manera se podría actuar sobre la percepción de las personas acerca del valor de la información y sobre todo sobre las responsabilidades sobre la misma.

Vía Diario de Cuyo

El cibercrimen aumentará por la crisis económica

La crisis económica incrementará el cibercrimen, la delincuencia especializada en el robo de datos para sustraer dinero que se ampara en el halo de invisibilidad de internet, según ha señalado el experto en seguridad informática Eddy Willems.

En su opinión, diariamente aparecen más de 70.000 nuevas muestras de software malicioso, creadas, en su mayoría, con fines económicos.

Willems, de la compañía tecnológica G Data y con más de 20 años de experiencia, ha remarcado que el cibercrimen está infravalorado, porque hoy en día el usuario no nota que se está produciendo un robo de datos de sus dispositivos, al contrario de lo que sucedía en el pasado que veía como un virus paralizaba el ordenador.

Según Willems, los cibercriminales actúan organizados en una suerte de pequeñas empresas en las que cada miembro trabaja en cadena para cometer el delito.

Estos delincuentes, ha apuntado, se aprovechan de la repercusión que tiene la actividad de los hacktivistas para actuar con impunidad. Los miembros de Anonymous o Lulzsec «no se dan cuenta de lo que hacen»: roban información y la publican como forma de obtener publicidad y reivindicar ciertas causas.

Sin embargo, señala, lo que consiguen es lanzar una cortina de humo de la que sacan tajada los peligrosos criminales, que actúan en silencio y escondidos detrás del jaleo que originan.

Además, ha recordado Willems, este tipo de organización transmite la idea de que atacar una web o publicar datos privados son actividades lícitas. «Algunos hacktivistas han sido detenidos pero estamos lejos de solucionar el problema porque existen muchas divisiones de este movimiento al que no para de sumarse gente».

Eso sí, ha reconocido que la actividad de este movimiento está contribuyendo a extender la conciencia de los internautas respecto a los peligros de seguridad que les afectan.

El experto ha sostenido que son Estados Unidos y Europa los territorios más atacados por el cibercrimen, pero ha indicado que existen mayores problemas de seguridad en lugares como India y Oriente Próximo porque «no cuentan con tanta protección».

Willems ha explicado que son los gobiernos quienes deben liderar la lucha contra la delincuencia en la red mediante tratados internacionales que castiguen a los criminales con independencia de su lugar de origen.

Vía RTVE

La seguridad y confidencialidad de la información es obligación de todos

Nos guste o no, tenemos que reconocer que nuestra información está en todas partes.

Los datos personales de nuestros clientes, proveedores, amigos y familia se andan paseando en emails, teléfonos inteligentes, tabletas electrónicas, laptops, tarjetas de memoria, usb drives y hasta en “la nube”; datos financieros y patrimoniales de empleados y clientes sufren la misma suerte, incluyendo hojas olvidadas en impresoras “públicas” por horas y la impresión en papel “reciclado”; nuestros nombres, teléfonos y direcciones desfilan por incontables mesas de recepción de restaurantes y ventanillas bancarias; y obviamente todo lo que hacemos en tanto en internet, como en nuestras computadoras y teléfonos, deja un rastro digital.

Independientemente de que los “convenios o contratos de confidencialidad” (NDA’s por sus siglas en inglés) no sólo existen, sino son ampliamente conocidos por la comunidad de negocios, éstos no son la única fuente ni la más importante de obligaciones de confidencialidad y seguridad de la información. De hecho, el único objetivo de un NDA es y debe ser la confidencialidad de la información; este instrumento no debe usarse como medio para buscar la “seguridad de la información” ni para satisfacer requisitos de otras leyes, como la de protección de datos personales.

La seguridad y confidencialidad de la información son dos cosas distintas; de hecho, desde una perspectiva práctica podríamos considerar a la seguridad como el género y a la confidencialidad como la especie. La madre de todas las tareas universitarias (Wikipedia) define a “Seguridad de la Información” como: todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

Por otro lado, la confidencialidad de la información en su sentido positivo (punto de vista técnico) significa que “el acceso a la información únicamente se realice por personas que cuenten con la debida autorización”. En su sentido negativo (punto de vista legal), confidencialidad de la información significa que la misma no debe divulgarse o compartirse con terceros, sin autorización expresa de las partes involucradas.

Muchas leyes nos obligan a mantener la confidencialidad y/o seguridad de la información:

• Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen.

• Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.

• A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.

• Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).

• Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:

1. Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente.

2. Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.

•  Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

La misma ley establece que:

• Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

• Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

Espero que ahora nos quede claro una idea muy simple: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Joel Gómez  (Vía Merca20)

Mercadeo Engañoso