EN ESTE NÚMERO

¿Por qué las organizaciones deben tener una arquitectura de seguridad de la información?
leer más »

Recomendaciones para la seguridad de sus teléfonos móviles
leer más »

El 59% de los empleados despedidos tomó información confidencial de sus ex empresas
leer más »

El Spam no fue lo que esperábamos
leer más »

¿Los activos digitales de su empresa están seguros?

Mantengase actualizado con las últimas novedades referidas a seguridad informática y prevención de incidentes visitando:

riesgosinformaticos.com.ar

¿Por qué tener una arquitectura de seguridad de la información?

Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio. La gran incógnita es ¿cómo se puede lograr esto? ¿Por donde empezar? ¿Qué se necesita realmente? ¿Cuanto presupuesto se necesita?, ¿Quien es el responsable de implementarlo? la respuesta es difícil y compleja ya que hoy día las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado.

Una respuesta es una solución basada en una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios apoyada en 3 factores críticos de éxito: recursos humanos, procesos de negocio y tecnología, nótese la diferencia entre una arquitectura de seguridad de la información y una Arquitectura de infraestructura de seguridad, donde esta es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización.

En las organizaciones todo cambia con el tiempo: las personas, la tecnología la forma de hacer negocio, los procesos, los volúmenes de información, los riesgos etc., por lo tanto las necesidades y requerimientos de seguridad también cambian, por lo que hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, es por eso que es fundamental contar con una arquitectura de seguridad la cual su objetivo principal es el tener una base en la que los nuevos riesgos generados por cualquier tipo de cambio se incluyan en la arquitectura de seguridad y estén alineados bajo este marco, de forma que este proceso sea lo mas transparente y sencillo para la organización.

Algunas de las etapas que se deben considerar en una arquitectura son:

• Análisis de Vulnerabilidades y Evaluación de Controles
• Corrección de Vulnerabilidades
• Desarrollo de Políticas, Estándares, Guías, Procedimientos y Baselines
• Creación de la Función Informática
• Análisis y Evaluación de Riesgos
• Estrategia de Seguridad
• Programa de Concientización
• Adquisición, Desarrollo e Instalación y Puesta a punto de herramientas
• Monitoreo, Auditoria y Computo Forense

Las instituciones y organizaciones al contar con una Arquitectura de Seguridad de la Información diseñada a su medida y basada en sus propios riesgos tecnológicos que impactan directamente a sus procesos de negocio o funcionales, le permitirá conocer el difícil, complejo y misterioso punto de equilibrio, entre el riesgo, el costo y la seguridad que necesita ser implantada, sin que estas medidas afecten la capacidad de operación y de servicio de la organización además de las ventajas competitivas que nos brinda la tecnología.

El tener una arquitectura de seguridad también garantizara que se tendrán todos los elementos necesarios para una adecuada administración de riesgos tecnológicos (Tolerar, Transferir, Mitigar o en algunos casos Evitar) y se podrá ser preciso en la identificación e implementación de los controles y mecanismos de seguridad que realmente requiere la organización y así evitar inversiones cuantiosas e innecesarias.

Las organizaciones que tengan la convicción real y la visión lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la información y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización y en caso de que este tipo de intentos llegasen a materializarse estar seguros de que no impactaran de manera significativa, recordemos que no hay ningún mecanismo 100% seguro y que en algún momento las organizaciones siempre se enfrentaran con un incidente de seguridad, la diferencia versara en que ese incidente no afectara la capacidad de operación, servicio y en algunos casos la supervivencia de las organizaciones.

Como resultado de lo anterior también cualquier organización que siga este modelo será capaz de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materialización de los riesgos tecnológicos, a su vez se estará preparado para recibir y aprobar cualquier tipo de auditoria o revisión en materia de seguridad de la información y obtener cualquier tipo de certificación internacional y finalmente, lo más importante la Alta Dirección tendrá la tranquilidad de que la organización o institución se encontrara operando de manera segura y confiable.

Publicado por Adrián Palma en bsecure.com.mx

SCD Servicios Informáticos se encuentra a su disposición para asesorarlo en la implementación más adecuada para su empresa. No dude en consultarnos.

« volver al índice

Recomendaciones para la seguridad de sus teléfonos móviles

La telefonía móvil ha ido adquiriendo mayores niveles de prestaciones y demanda en lo que se conoce como teléfonos móviles de alta gama o también conocidos como Smartphone. Este tipo de dispositivos se han convertido en un aliado casi indispensable para los usuarios del tipo corporativo o empresarial.

Los smartphones en sus diferentes plataformas tecnológicas: Windows Mobile, BlackBerry, Symbian, Palm, Android y por supuesto el iPhone nos ofrecen prestaciones de interconexión a internet y sus servicios que potencializan nuestra capacidad de hacer negocios y productividad. Creo eso nadie lo pone en duda.

Sin embargo, estas prestaciones pueden tener un costo relativamente elevado dependiendo de la perspectiva desde la cual se analice, y si bien resulta algo extremadamente práctico, estos dispositivos poseen una serie de características que podrían tornarlos inseguros si no se tienen en cuenta una serie de cuestiones a nivel seguridad que se deben de considerar. Mas si hablamos de dispositivos que trabajan dentro de entornos corporativos (especialmente los Windows Mobile y los BlackBerry), los cuales aunque no estemos acostumbrados a visualizarlos como tal, son parte de nuestra red en la empresa u organización.

Las recomendaciones que tenemos son:

* Es fundamental establecer una política de seguridad clara y concreta que defina el uso correcto de estos dispositivos tanto dentro como fuera de la empresa.

* Crear conciencia en los empleados a través de diferentes actividades sobre los peligros que implica no respetar la normativa tipificada , la política, y los peligros que provoca el uso irresponsable de los dispositivos.

* Brindar acceso limitado y controlado de los usuarios que acceden a los recursos a través de estos dispositivos y registrar el uso de los mismos.

* Si se maneja información confidencial en estos dispositivos, la misma debería permanecer cifrada para evitar su lectura en caso de extravío o robo del dispositivo.

* Controlar el acceso desde el dispositivo al resto de los equipos, ya que los mismos podrían ser utilizados como medio de transporte de malware a la red corporativa o al equipo del usuario.

* Contar con software de seguridad en el dispositivo móvil. Esto se acentúa primordialmente si su dispositivo utiliza Windows Mobile.

Considere que cada vez son más las personas que utilizan dispositivos móviles y que los mismos ofrecen distintas tecnologías de comunicación inalámbrica como WiFi, Bluetooth, GPRS y EDGE. Los creadores de malware están también comenzando a enfocarse en el desarrollo de amenazas informáticas que permitan explotar este tipo de sistemas.

Cuando usted integra a su empresa una laptop no duda en proteger la misma vía alguna aplicación de seguridad; la misma lógica aplica para dispositivos móviles, sean smartphones o PDA.

Los principales fabricantes de software de seguridad TI, ofrecen tanto en versiones corporativas como para particulares herramientas de seguridad para smartphones; consulténos.

« volver al índice

los empleados despedidos toman información de sus ex empresas

Una encuesta realizada sobre 945 personas que han perdido sus puestos de trabajo en los últimos 12 meses pone de relieve que el 59% admite haber robado datos de sus respectivas ex-empresas una vez les comunicaron que no seguirían, mientras que un 67% reconoce haber utilizado información confidencial para conseguir un nuevo empleo.

Ahondando un poquito más en los datos que ha facilitado Ponemon Institute LLC, la empresa que ha recibido fondos de Symantec para realizar este trabajo, podemos comprobar cómo el 61% de los participantes en el sondeo que se sintieron maltratados por sus antiguas compañías decidieron llevarse consigo información, mientras que "sólo" el 26% de los que guardan un buen recuerdo hicieron lo propio.

Se ve que estas prácticas están más generalizadas de lo que uno puede pensar, aunque si tenemos en cuenta que únicamente el 31% de los encuestados admiten que sus empleadores actuaron con integridad y equidad, mientras que el 44% opinan justamente lo contrario y otro 25% no lo tienen claro, tal vez sea una especie de vuelto por parte de los trabajadores al maltrato de los empleadores.

La mayor parte de la información que los participantes se han llevado han sido correos electrónicos y documentos almacenados en los discos duros a los que tenían acceso. Aunque algunos no se contentaron con ello y decidieron hacerse copias de bases de datos y hasta del código fuente de los programas que se estaban implementando en el momento en que fueron despedidos.

Publicado en Computerworld

Recuerde que desde SCD Servicios Informáticos estamos a su disposición para brindarle el mejor asesoramiento para una protección integral de sus activos digitales.

« volver al índice

El Spam no fue lo que esperábamos

Una de las amenazas informáticas que evolucionó de maneras sofisticadas en los últimos años es el Spam. La razón es que une el hecho de poder ser utilizado como base para diferente tipo de ataques, con la complejidad de la explotación de los recursos técnicos y la ingeniería social. Hace cinco años pensábamos que se podría erradicar con herramientas y concientización, pero la realidad demostró lo contrario.

A comienzos del año 2004 Bill Gates habló en World Economic Forum en Davos, Suiza, y una de los temas que desarrolló fue que el Spam podría ser controlado en unos años. El escenario de soluciones que planteaba Gates no era absolutamente original, sino que era compartido en distintos aspectos por muchos integrantes de la industria de la Seguridad Informática.

Pasaron cinco años y el correo basura se convirtió en un problema aún mayor, ya que los spammers pasaron de técnicas tradicionales a otras mucho más sofisticadas, lo dificulta el desarrollo de una estrategia eficiente para su solución.

“Los rumores de la erradicación de los correos basura han sido exageradamente optimistas – la amenaza sigue viva a pesar del incremento de acciones legales contra los spammers, la clausura de compañías de Internet que ayudaban a los cibercriminales y de la mejora constante de los software antispam”, explicó Graham Cluley, consultor de tecnología de Sophos. “Aunque las últimas estadísticas demuestran que la proporción de spam lanzado por país, ha disminuido año tras año, los spammers se han vuelto más creativos para conseguir el mayor número posible de víctimas confiadas”.

“Aunque el correo basura se ha reducido desde la afirmación de Gates hace cinco años, cayendo casi a la mitad del emitido a finales de 2004, un 21,3% en 2007, hasta un 19.8% a finales de 2008, sólo demuestra que su desaparición no será tan rápida como se habría pensado”, concluye Cluley.

¿Cuáles son los factores que hacen a la prevalencia del Spam?

- Es la base de otro tipo de ataques: en un escenario de delito informático cada vez más profesionalizado y orientado a los ilícitos que proporcionan rédito económico, hay muchos recursos especializados dedicados a la evolución continua del Spam.

- Se rige por la ley de los grandes números: el hecho de que la emisión de Spam haya disminuido, no implica que también lo haga su efectividad como formato de ataque. Los estudios de las empresas referenciales demuestran que en realidad la efectividad aumentó, debido al perfeccionamiento y la especialización de los mensajes, lo que en la ecuación de la ley de grandes números compensa la disminución de cantidad inicial de mensajes enviados.

- Tiene una fuerte componente de ingeniería social: las personas no pueden programarse como un filtro de Spam y suelen ser confiadas y equivocarse.

La Ingeniería Social es la técnica más usada para propagar malware

Un informe desarrollado por la empresa ESET reporta que durante los últimos meses del 2008 aparecieron nuevas metodologías de infección a través de envío masivo de correos electrónicos, entre las que se destacan supuestas noticias acerca del presidente electo estadounidense Barak Obama y de otros personajes de interés público que tenían como objetivo que los personas accedieran a enlaces que descargan códigos maliciosos.

La Ingeniería Social es una de las técnicas más utilizadas en el envío masivo de spam, donde los autores aprovechan acontecimientos de gran relevancia y diferentes noticias de grandes personalidades para propagar sus códigos maliciosos.

Una vez que la víctima sucumbe ante la curiosidad despertada por el título del mensaje, actúa la fuente de infección, que son archivos adjuntos que incluyen un gusano junto con accesos directos a sitios web que propagan malware.

A fines del año pasado, ESET detectó otro ejemplo de este accionar en una serie de mensajes de correo electrónico no deseados cuyo mensaje apuntaba a atraer la atención del destinatario a raíz de una supuesta transacción monetaria, solicitándole que abriera el archivo adjunto para más información. Al hacerlo, además de ejecutar un gusano, aparecía un acceso directo con las instrucciones para la descarga de malware orientado a recolectar información del equipo infectado.

Spam como base de ataques

McAfee considera que uno de los riesgos informáticos más importantes para este año es el Spam, debido a que se ha transformado en una acción propicia para el inicio de diferentes tipos de ataque que tienen una fuerte componente de Ingeniería social. Con esto los usuarios pasan a formar parte de las acciones o son las víctimas. La empresa considera este riesgo tan importante que realizó un informe sobre las tendencias del Spam durante el pasado año y realizó predicciones para el 2009.

Tendencias 2008:

- En 2008, los creadores de Spam aprovecharon la carrera hacia la presidencia de EE.UU y el crecimiento de las tasas de desempleo para generar ataques camuflados con nombres como “videos obama” o enlaces a títulos y diplomas de bajo costo.

- El Spam anunciando tarjetas de crédito y cheques o transacciones con créditos falsos aumentó recientemente, particularmente en las fechas cercanas a las vacaciones.

- La quiebra de la empresa McColo causó una disminución del 65% del Spam global. Los niveles de Spam aún no han vuelto a su estado normal.

Predicciones 2009:

- En 2009, los spammers aumentarán los ataques a aquellos blogs que no requieren compra de nombres de dominios.

- Los chantajes corporativos aumentarán en 2009. Se popularizará la venta de información personal y de la compañía en el mercado negro.

- Se elaborarán engaños caseros que constituirán nuevos cebos para el desempleo.

- Se crearán compañías de hosting en determinados países, que sustituirán a la antigua McColo.

“Los creadores de Spam se han vuelto más inteligentes, más rápidos y más profesionales en sus ataques. Ahora más que nunca, están aprovechando temas de actualidad para confeccionar sus mensajes” afirma Jeff Green, Vicepresidente Senior de los Laboratorios McAfee Avert Labs. “Con más gente desempleada y con el aumento de autónomos, hay que tener cuidado con las ofertas de diplomas de bajo costo y de confección casera, y desconfiar de solicitudes de información financiera de lo que parece tu banco, escuela o fondos de inversión”.

« volver al índice