by Editor | Oct 24, 2012 | IT
Para Ricardo Elena, gerente de desarrollado de Negocios de Easy Solutions, generalmente la respuesta se encuentra al analizar los análisis de riesgo y las auditorías, que deben considerar primero el objetivo que tiene la empresa y el diseño las políticas y los controles acorde al análisis de riesgo realizado y los hallazgos encontrados en cada uno de los elementos de IT involucrados. 
Desde su percepción existen dos variables que deben ser consideradas a la hora de que las organizaciones hagan la implementación de estándares de seguridad:
la seguridad pensada en forma holística. Porque si bien un firewall puede mejorar la postura de seguridad de una empresa al ubicarla de forma estratégica en su red, también se debe pensar que es necesario su correcta configuración.
También considerar que debe existir el personal idóneo para su operación, un plan de capacitación para los operarios de esta herramienta, y tomar en cuenta que tener este equipo implica planes de mantenimiento y actualización, costos por ejemplo en licencias de software, entre otros.
“Lo anterior demuestra que para realizar una correcta implementación de estos estándares, es fundamental crear una adecuada planeación estratégica de estos proyectos, debido a que muy seguramente impactarán muchos temas de la operación de IT, costos y recursos”, concluye Elena.
Según Elena, el momento donde es más fácil identificar una falla
en la implementación de estos estándares es cuando se hace una verificación de conocimiento e implementación de políticas y procedimientos de seguridad, y se evidencia que no todos los empleados conocen las políticas y procedimientos, o sólo las conocen parcialmente, por ejemplo desconocen que saben qué hacer en el caso de un incidente de seguridad, situaciones que muestran que no hubo una adecuada socialización de políticas, controles y procedimientos.
En el caso de los estándares de seguridad el sentido de la gran mayoría de estos reposa en un plan de mejora continua como el ciclo de Deming o simplemente el ciclo PHVA (Planificar, Hacer, Verificar, Actuar, por sus siglas en español).
Pero el problema surge cuando se implementa el estándar pero no se cierra el ciclo en la fase de hacer las verificaciones periódicas del caso y no actuar para hacer las mejoras, los ajustes y las correcciones necesarias.
Elena agrega que en temas de implementación de nuevos proyectos de IT y seguridad de la información, una constante en cualquier organización es la presencia de escasez de recurso, por lo tanto recomienda no buscar con énfasis una solución de tecnología para cumplir con las exigencias de la norma, sino primero realizar un análisis de tecnología existente en la compañía, de esa manera reutilizar recursos con procesos y configuración que apoyen al cumplimiento de la norma.
Sígue nuestras actualizaciones.
by Editor | May 31, 2012 | IT, Uncategorized
Los empleados considerados “el activo más importante” para las empresas son también la principal amenaza para el resguardo de sus datos, según diversos estudios de Trend Micro, TerreMark, Imperva, McAfee y Symantec, entre otros.
Las investigaciones han determinado que entre un 50% y 60% por ciento de los ataques sufridos por una organización, donde hubo incluso fuga de información confidencial, fueron causados por un mal proceder de los usuarios que tienen privilegios para el acceso de la información.
En algunos de estos ataques los empleados crearon una brecha de seguridad de forma accidental y en otros lo hicieron con el propósito de dañar la empresa.
Adriana García, directora regional de ventas para México y Centroamérica de Imperva, detalla que es importante que las empresas identifiquen qué es lo más sensible de la información, y con base a esos datos auditen y protejan.
“Las empresas pocas veces consideran situaciones que los hacker o los empleados pueden realizar, porque solo se interesan en proteger el área perimetral pero no consideran mantener una protección activa constante”, asevera García.
García menciona que en las empresas es común la fuga de información ya sea de forma maliciosa o no maliciosa, en la primera el empleado vende la información y en la segunda es cuando los colaboradores se van de la organización y se llevan datos importantes.
Carlos Rivera, director de ingeniería de seguridad de Terremark, afirma que muchas veces el empleado que no está contento con la empresa sustrae información confidencial y la vende. Ya sea porque considera que no tiene un salario que se merece o porque le despidieron.
Una brecha de seguridad
Los estudios también han revelado que el 50% de los empleados tienen más información de la empresa de la que necesita en su laptop y sus dispositivos móviles.
Los expertos mencionan que es común que los empleados pierdan ordenadores portátiles, celulares, USB y tabletas. Incluso se da el caso que los roban estos dispositivos de manera que también se roban información de la compañía.
Situaciones por lo cual lo ideal, según García y Rivera, es que las organizaciones deben de implementar políticas de encriptación interna para sus datos y para los dispositivos móviles de forma que si son robados la compañía pueda bloquear el acceso a esa información.
Los expertos de Terremark e Imperva aconsejan que las entidades privadas y gubernamentales hagan auditorías en las empresas, tengan políticas de privacidad, resguardo de datos y de uso de tecnologías en el ambiente corporativo.
Otro dolor de cabeza para los encargados de seguridad de la información, es el peligro que representa el uso de las redes sociales y herramientas Web 2.0 al interior de las compañías, porque han venido a propiciar que el empleado también se convierta en una amenaza para la seguridad de los datos de las empresas.
Para Rivera la mayoría de ellos tiene cero cultura de seguridad de la información, lo cual propicia que los hacker aprovechen para crear ataques por medio de la llamada ingeniería social.
Rivera es de la idea que las empresas restrinjan o prohíban el uso de las redes sociales y herramientas Web 2.0 en las jornadas de trabajo, porque son un riesgo para la seguridad e incluso afecta la productividad de la empresa.
“En promedio una persona dedica de tres a cinco horas las redes sociales por día cuando tienen acceso desde su empresa, y cuando han bloqueado su uso se ha visto que la productividad se ha incrementado hasta en un 50 por ciento”, afirma Rivera.
El director de ingeniería seguridad de Terremark añade que se ha utilizado Facebook como un medio para obtener información y hacer que ingresen malware al interior de las empresas.
El Informe Global sobre Fraude de Kroll 2011 reveló que la mitad de las compañías tienen vulnerabilidades para propiciar el robo de datos corporativos.El estudio detalla que son los ejecutivos de alto nivel los autores del 29% de los robos y 8% de los ejecutivos menores.
Sígue nuestras actualizaciones.
by Editor | Apr 20, 2012 | IT, Uncategorized
El Gerente Regional de Centro America-Caribe-Colombia y Especialista en Virtualización de Trend Micro, Ruddy Simons-LLauger,menciona que una de las lecciones que debemos aprender de los ataques de 2011 es que aunque las empresas trabajaron en proteger a sus activos digitales como software y hardware con diversas herramientas y mecanismos como Firewalls y DMZ su seguridad fue traspasada.
Los hacker traspasaron los muros de seguridad de las organizaciones con métodos pocos convencionales.
Entre los tipos de ataques sufridos por las empresas figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.
Según Simons las empresas se han protegido “bien” contra los piratas informáticos tradicionales y contra los ataques desde el exterior, pero lo que no consideraron es lo siguiente: ¿qué pasa si alguien obtiene acceso a recursos dentro de la organización y usa al servidor o la red de desktop interna para enviar información afuera a través de HTTP cifrado para no ser detectado?
Para muestra está lo sucedido en el ataque a la red de Play Station de Sony, donde un servidor estaba comprometido para tomar esta información y enviarla. Luego el ataque se perpetró desde un servidor alquilado en Amazon.
En los otros casos de ataques durante el año pasado, algunos usuarios de forma inocente hicieron un clic en un archivo adjunto de algún correo electrónico con lo cual le abrieron las puertas a los atacantes.
Un riesgo que se ha vuelto más latente con el uso de las redes sociales, ¿la razón? a los atacantes les es fácil identificar a las víctimas que ocupan puestos claves en las empresas, así que les envian un mensaje, un archivo adjunto malicioso o enlace malicioso.
Evaluaciones de Trend Micro han encontrado que más de 90% de las redes de las empresas contienen malware malicioso que está activo. Por lo cual el especialista recomienda evaluar cuáles son las políticas corporativas en relación a la seguridad y educar a los miembros de la empresa con respecto a la protección de datos para minimizar los riesgo.
Por ejemplo estudiar el uso de las redes sociales debido a que los usuarios comparten demasiada información por medio de ellas, lo que cual propicia ataques de “ingeniería social”, ¿cuál es la razón de uso? determinar qué informaciónla empresa compartirá, evaluar si alguna vez se ha llevado al interior de las organización una campaña social de sensibilización acerca de las amenazas para educar al personal acerca de los efectos negativos de revelar información o acerca de la comprobación via clip de facebook.
De acuerdo a Simons, se debe reconsiderar y evaluar el modelo de seguridad, porque los casos demuestran que el pensamiento tradicional de protección con un perímetro de defensa ya no funciona más.
Sígue nuestras actualizaciones.
by Editor | Apr 19, 2012 | IT
Los hackers traspasaron en 2011 las fronteras de seguridad informática de prestigiosas empresas e instituciones de Gobierno que pregonaban con orgullo sus sistemas que en teoría eran impenetrables y difíciles de burlar. Sin embargo, la realidad mostró una rostro diferente, hasta noviembre se habían perpetrado 67 ataques.
Una vez los hacker adentro de los sitios Web y redes han hecho los que les plació. S in embargo, aún con las puertas abiertas los ataques hubieran sido de mayores proporciones y heredado múltiples dolores de cabeza a las organizaciones si los hackers si lo hubieran propuesto.
Los representantes de las empresas han tenido que agachar la cabeza y aceptar las fallas en sus sistemas de seguridad, en el grupo de organizaciones que fueron violados sus sistemas de seguridad han desfilado de todos los tipos y rubros.
Las hay desde las famosas por el entretenimiento como Sony hasta las que en teoría tendrían los estándares de seguridad más altos como el Pentágono, la CIA, el Ministerio de Defensa de Estados Unidos y la firma de seguridad Black & Berg Cybersecurity Consulting, incluso este último había dispuesto un premio de 10 mil dólares a quién lograra atacar su “infranqueable” Web.
Según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador, aún con las medidas implementadas para resguardar los datos el error ha estado en violaciones a la seguridad perimetral y en menor medida la seguridad lógica y la seguridad física.
En los ataques se han utilizado técnicas sofisticadas que jamás, por lo visto, pasaron por la cabeza de los encargados de la seguridad de la información de las organizaciones. Por ejemplo, para el ataque a la red de Play Station de Sony alquilaron servicios en la nube desde Amazon. Un servidor estaba comprometido para tomar esta información y enviarla.
Entre los tipos de ataques sufridos por las empresas e instituciones de Gobierno figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.
Sígue nuestras actualizaciones.
by Editor | Dec 23, 2011 | IT
La insistente publicidad de Apple sobre las ventajas del Icloud, aún para los más escépticos, son válidas. La herramienta es atractiva y simplifica las cosas, aunque como todo en la vida hay cosas que no son gratis.
La herramienta más anunciada por Apple ha facilitado por lo menos para las actividades de
esparcimiento “La Nube”.
La palabra nube genera muchos debates en el mundo de la informática por la gestión y seguridad de los datos, pero en el caso de Apple, cuando se trata de esparcimiento, el término tiene un significado de facilidad.
¿La razón? El Icloud permite al usuario almacenar, actualizar y compartir cualquier tipo de información en la nube con dispositivos como el Iphone, Ipad y Ipod, sin olvidar a las célebres computadoras Mac.
La difusión de contenido es fácil, se envía una invitación a alguien y la persona puede ver lo que hay en “el disco virtual” del Icloud, la conexión se realiza de forma inalámbrica y el almacenamiento de la información, media vez se le otorgue el aval, se hace en automático.
El único inconveniente con esta herramienta es que la música, las fotos en streaming, los apps y los libros no están incluidos en la cuota de almacenamiento gratuito que ofrece Apple, en la actualidad es de 5 gigabytes.
Sígue nuestras actualizaciones.
by Editor | Dec 16, 2011 | IT
Por: Alma López Romero
Android Market y Apple sostienen una batalla feroz en el mercado de descargas de aplicaciones. En diciembre, una semana después que Google anunció con bombo y platillo su récord con la venta de 10 mil millones de descargas de aplicaciones, cinco días después Apple ni lenta ni perezosa dio a conocer su noticia para contrarrestar a Google.
La empresa de la manzanita divulgó que en menos de un año sus clientes descargaron más de 100 millones de aplicaciones de la Mac App Store, una cifra que revela una venta mensual superior a los 1.000 millones de estas herramientas al mes.
Mientras que Google informó que sus clientes descargan estas herramientas a una velocidad de mil millones de aplicaciones por mes en el Android Market.
Después de las cifras alcanzadas en la primera semana de diciembre, los expertos detallan que Android comanda la mitad del mercado de plataformas para “smartphone” de Estados Unidos.
Según las proyecciones reveladas en el blog de Google se espera que las ventas se incrementen con la llegada de las fiestas de Fin de Año.
La estrategia de la compañía es ambiciosa como lo refleja la medida tomada para celebrar el logro en las descargas de APPS.
El Android Market está vendiendo a 10 centavos la descarga de una aplicación, lo que representa un 90% de descuento para los usuarios.
La famosa compañía estadounidense se ha asociado con algunos de sus desarrolladores en la fijación de precios. Figuran en este grupo de aliados estrátegicos: Asphalt 6 HD, Color & Draw for Kids, Endomondo Sports Tracker Pro, Fieldrunners HD, Great Little War Game, Minecraft, Paper Camera, Sketchbook Mobile, Soundhound Infinity y Swiftkey X.
Mientras que los desarrolladores para productos de Mac App Store determinan el precio de sus aplicaciones y la compañía retiene el 30% de los ingresos por ventas. La tienda frece aplicaciones para las áreas de educación, juego, diseño gráfico, estilo de vida, productividad y utilidades.
Sígue nuestras actualizaciones.
