Crisol 2008- 21 y 22 de noviembre Ciudad de Corrientes
Invitamos a todos a participar del 4to CRISOL - Encuentro Estratégico de Software Libre a celebrarse los días 21 y 22 de noviembre de 2008 en la Ciudad de Corrientes. Este encuentro está organizado por Solar – Software Libre Argentina, conjuntamente Misol – Software Libre Misiones y Nesla – Nordeste Software Libre Argentina; y cuenta con el apoyo de la UNNE – Universidad Nacional del Nordeste.
Este año el eje será la La Adopción de Software Libre en el Estado y convoca a argentinos e invitados internacionales interesados en la problemática a debatir, compartir experiencias y consensuar una estrategia de acción para el próximo año.
10 noviembre, 2008
18 septiembre, 2008
Cómo violan la seguridad de su computadora los atacantes informáticos
Artículo originalmente publicado en nuestro Boletin 120 y en nuestra sección de Terceros y republicado por Infobae Profesional.
Los ciberdelincuentes apuntan contra las contraseñas de los usuarios. También instalan troyanos y explotan las configuraciones predeterminadas de las computadoras que no se personalizan y las conexiones inálámbricas. Cómo se puede proteger ante estas intrusiones.
Cristian
Fuente:
http://blog.segu-info.com.ar/2008/09/cmo-violan-la-seguridad-de-su.html
Guía de técnicas de Inyección para MySQL
Al tutorial de inyección SQL basada en errores publicado en la sección Tutoriales (el cual está principalmente enfocado en MSSQL Server) se suma una nueva guía que tiene como objetivo ayudar a comprender el procedimiento de inyección SQL en aplicaciones Web basadas, por ejemplo, en PHP de tal manera de poder anticiparse a los problemas causados por errores de programación los cuales terminan casi siempre sirviendo de puerta de entrada a hackers y atacantes remotos de toda clase.
Si usted es desarrollador de aplicaciones Web, esta guía le servirá de mucho para poder crear sistemas donde la posibilidad de sufrir ataques de este tipo queden reducida a la mínima expresión. Está escrita en español y orientada a MySQL aunque igual puede utilizarse para comprobar posibles problemas con otros motores de bases de datos que utilicen SQL.
Fue escrita por ka0x y la pueden visualizar en formato PDF desde milworm.
Fuentes:
http://www.seguridad-informatica.cl/home/content/gu%C3%ADa-de-t%C3%A9cnicas-de-inyecci%C3%B3n-para-mysql
http://blog.segu-info.com.ar/2008/09/gua-de-tcnicas-de-inyeccin-para-mysql.html
Legislación internacional sobre de protección de datos y privacidad
En Information Shield han publicado una interesante lista en la que podemos ver cuáles son las principales leyes de privacidad y protección de datos personales, según país/jurisdicción en las que son de aplicación. Los títulos de las normas están en inglés.
Seguir leyendo en el Blog de Sergio Hernando
Segu-Info también dispone de todas las legislaciones internacionales en cuestión de seguridad.
Fuente:
http://blog.segu-info.com.ar/2008/09/legislacin-internacional-sobre-de.html
La usabilidad también es seguridad
Seguro que todos hemos oído alguna vez comentarios sobre la conveniencia de primar la seguridad en detrimento de la sencillez de uso, o a usuarios quejarse de que tanta seguridad no les deja trabajar. Es como si la usabilidad y la seguridad de una aplicación fueran incompatibles... cuando la realidad es que es todo lo contrario.
Una de las amenazas más importantes a la hora de analizar los riesgos de una aplicación son los errores de usuario. Y no sólo por su frecuencia de aparición, sino por el elevado impacto que pueden llegar a causar. ¿No es acaso la poca usabilidad de las aplicaciones una de las causas principales de que los usuarios cometan errores? Por lo tanto, si mejoramos la usabilidad estaremos mejorando también la seguridad de la aplicación, al disminuir la probabilidad de que el usuario cometa errores. ¿Acaso no es más fácil cometer errores manejando una aplicación en línea de comandos que utilizando una buena interfaz gráfica? ¿Cuántos errores de uso se pueden llegar a evitar con un buen diseño, menús contextuales, ayudas emergentes e interfaces intuitivas? Y en sentido contrario... ¿no es acaso un factor de riesgo el hecho de que un usuario se pueda enfadar con la organización debido a lo poco usables que son las aplicaciones que le facilita?
En este sentido, si estamos viendo que usabilidad y seguridad son complementarias, ¿a qué se debe la opinión general de que son incompatibles? Probablemente a una seguridad mal implementada. ¿Realmente es tan poco usable una aplicación que solicite un usuario y una clave al comienzo de la sesión? Ahora bien, si el usuario y la clave se solicitan en cada operación que realizamos o si tenemos que utilizar una pareja distinta de usuario-clave en cada una de las aplicaciones que utilizamos, probablemente sí que estemos ante un sistema de información poco usable. No obstante, no tenemos que perder de vista que no necesariamente por el hecho de requerir más autenticaciones estamos siendo más seguros. La clave no es utilizar más autenticaciones, sino mejorar la gestión de claves. ¿Existe alguna solución al respecto? ¡Por supuesto que sí! Las soluciones de Single Sign-On precisamente es lo que buscan. Y con la ventaja de que estamos mejorando usabilidad y seguridad de un solo plumazo.
No creo que sea necesario seguir poniendo más ejemplos de situaciones en las que usabilidad y seguridad van de la mano. Al fin y al cabo, estoy seguro de que todos nosotros seremos capaces de encontrar en cada caso la forma en que ambos conceptos no sólo se complementen, sino que se refuercen mutuamente. En definitiva, sólo es necesario recordar el mismo principio para ambos casos: tanto la usabilidad como la seguridad deben formar parte integral del ciclo completo de desarrollo del software. Y simplemente con seguir ese principio, seguro que somos capaces de desarrollar aplicaciones más seguras y más fáciles de utilizar, que al fin y al cabo es lo que a todos nos gustaría. ¿No es así?
Fuentes:
http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/Articulo_y_comentarios?postAction=getDetail&blogID=1000077536&articleID=1000153685
http://blog.segu-info.com.ar/2008/09/la-usabilidad-tambin-es-seguridad.html
El 70% de las violaciones de seguridad son internos
IBM presentó en Argentina su estrategia integrada de seguridad. Con ella, buscan centralizar los eventos más relevantes para el análisis de datos consolidados y la obtener resultados útiles para la gestión del negocio de las empresas.
Según un estudio de Gartner, dentro de las cinco prioridades de los CIOs latinoamericanos se encuentra la seguridad: robo de identidades, violación de la privacidad y acceso a información sensible son algunos de los peligros que enfrentan a diario.
La cantidad de información que las empresas deben administrar crece un 40% anual y -según estadísticas- más del 70% de los ataques a la seguridad que sufren las organizaciones son internos.
“Los retos de seguridad a los que se enfrentan las empresas en la actualidad son cada vez más complejos”, destacó Silvia López Grandío, Gerente de Software de IBM Argentina. “La propuesta de IBM consiste en ofrecer una solución completa que permita gestionar estratégicamente todos los riesgos a los que se pueden enfrentar”.
En cuanto a sus servicios de seguridad administrada, IBM brinda protección a la información 7x24 los 365 días del año a través de diferentes esquemas que hacen posible -entre otras características- el ahorro de hasta un 55% en los costos de administración de seguridad de la información y el cumplimiento de las dferentes reglamentaciones a las que debe responder las empresas. En la actualidad, IBM cuenta con 2.500 clientes de servicios gerenciados en el mundo.
Dentro del portfolio de seguridad que ofrece la compañía, se encuentran sus servicios y productos de prevención gestionados de forma centralizada; soluciones tercerizadas para la gestión de seguridad en tiempo real; soluciones de seguridad para aplicaciones web y soluciones de automatización del monitoreo, investigacióny reporte de actiuvdades de los usuarios.
Fuentes:
http://www.ebizlatam.com/news/117/ARTICLE/7492/2008-09-09.html
http://blog.segu-info.com.ar/2008/09/el-70-de-las-violaciones-de-seguridad.html
¿Cuál es el mejor estándar de administración de riesgo para las TI?
Desde hace años existen distintos estándares que intentan definir un modelo para administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una vez hemos escuchado a los encargados y administradores de TI preguntar cómo se integran estas visiones y cuál debe ser aplicada a su organización.
La problemática no es menor, sobre todo considerando que en muchas ocasiones se intenta desarrollar cada uno de los modelos como proyectos individuales, sin aprovechar las sinergias existentes en una implementación integrada, con un mayor esfuerzo de parte de las funciones operacionales.
Para desarrollar este modelo de integración, se deben entender al menos los siguientes estándares:
COSO - Committee of Sponsoring Organizations of the Treadway Commission: Es un modelo para entender el control interno y sirve como punto de partida para definir la administración de riesgo de manera transversal en una organización.
COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación, confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones-, con requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de Información.
ISO/IEC 2700x: La serie 27000 de estándares ISO es un conjunto de documentos ampliamente reconocido y globalmente aceptado para administrar la seguridad de la información, una de las principales áreas de administración de riesgo en TI.
La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo.
ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar servicios TI. ITIL/ITSM define el modelo y los procesos clave para la entrega y soporte de servicios TI alineados con los objetivos del negocio y la necesidad de mejora continua, disponiendo de un módulo directamente relacionado con ISO/IEC 27000.
Cobit 4.1: Cobit es un modelo de gobierno para administrar el riesgo y controlar las Tecnologías de Información. Este estándar ha sido ampliamente adoptado por las áreas TI en las organizaciones sujetas a requerimientos originados de la regulación Sarbanes-Oxley, siendo también un componente relevante a la hora de implementar mecanismos de medición de riesgo operacional (Basilea) y como herramienta para las funciones de auditoría interna y externa.
Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en las Tecnologías de Información (ITRM - Information & Technology Risk Management).
Por Gustavo Segovia, Gerente de Risk Consulting de Deloitte publicado en la Revista Gerencia de Agosto de 2008
Segui leyendo
Fuentes:
http://blog.segu-info.com.ar/2008/09/cul-es-el-mejor-estndar-de.html
Informe sobre estado de seguridad de PYMEs españolas
Un 19% de las empresas españolas de pequeño y mediano tamaño (pymes) sufrió en el 2007 algún tipo de ataque en sus programas informáticos, lo que provocó la pérdida de información o la caída del sistema. En el 70% de los casos, dichos ataques habrían sido causados por virus, gusanos o troyanos, mientras que el resto se debería a fallos del sistema.
Son datos extraídos de un informe de seguridad realizado en Europa por Symantec, del cual se desprende que, aunque las pymes conocen las amenazas más habituales, como los virus (93%), los mensajes 'spam' (91%) y los troyanos (82%), nunca han escuchado términos más recientes como 'minnowing' (69%) o 'whaling' (64%).
En lo que hace referencia a copias de seguridad y recuperación de datos, un 34% de las empresas encuestadas admitió que carece de un sistema poder llevarlos a cabo, un 75% no dispone de funciones para el cifrado de la información y un 55% no cuenta con herramientas para hacer frente a las vulnerabilidades.
Plan preventivo
Ante estos datos, Symantec considera preocupante el hecho de que muchas de estas empresas no desplieguen un plan preventivo de seguridad informática y tan sólo se limiten a reaccionar cuando ya se ha producido el daño. Este comportamiento estaría ligado a la idea extendida entre un 20% de las pymes, que aseguran que las soluciones de seguridad no abarcan a todos sus empleados, mientras que un 32% de las empresas ubica la seguridad informática entre las competencias del director de Tecnologías de la Información y un 33% entre las del director general.
El carecer de un plan de seguridad adecuado, con soluciones de software, infraestructuras adecuadas y un personal formado, puede derivar en pérdida de datos y caídas de sistemas que son algunas de las mayores amenazas para la marca de una empresa, porque los fallos de seguridad pueden causar graves pérdidas de información y éstas, a su vez, pueden derivar en pérdidas económicas o de negocio.
Resumen de las conclusiones – resultados sobre España
La causa:
* La mayoría de los encuestados afirma conocer las amenazas más comunes producidas por virus (63%), mensajes spam (62%), programas troyanos (61%), spyware (55%) y gusanos (59%), sin embargo...
* Esto se refleja en la tendencia existente para que la mayoría de los encuestados cuente con antivirus (99%) software y firewalls (87%).
* Más de uno de cada tres encuestados (34%) no cuenta con un sistema para copias de seguridad y recuperación de datos, un 75% no tiene instalado funciones para cifrado de información, y más de la mitad (55%) no tiene herramientas para hacer frente a las vulnerabilidades.
* Un 20% de los preguntados admitió que sus soluciones para seguridad no abarcaban a todos los empleados.
* Un 59% de las empresas con menos de 100 empleados no tienen un Director de TI especializado.
* Tan solo un 34% de los encuestados afirmó tener un entorno seguro en la empresa.
* Un 30% pensaba que esto último no era importante porque nunca habían sufrido un ataque de importancia.
El efecto:
* Casi una quinta parte (19%) de los entrevistados había sufrido un ataque durante el año pasado, causándoles una pérdida de datos/sistemas.
* Un 35% de los que habían sufrido un ataque culparon de ello a fallos en los sistemas y la seguridad, y un 70% a diversas amenazas como virus, gusanos o troyanos.
* La mitad (50%) había sufrido pérdida de datos e información como resultado de un ataque informático.
* Un 35% afirmó que los nuevos empleados no reciben formación sobre las políticas sobre seguridad puestas en marcha por la compañía.
* Un 16% no cuenta con ninguna política para TI implementada en su empresa.
Los obstáculos:
* Un 19% afirmó que el dinero era un obstáculo a la hora de crear un entorno más seguro.
* Un 13% indicó que la seguridad no era algo prioritario para el equipo directivo, aunque un 33% pensaba que el Director General era la persona responsable de garantizar la protección de la compañía.
* Un tercio (34%) manifestó que la falta de tiempo y de conocimientos suficientes eran factores importantes a la hora de poner en peligro la seguridad de sus empresas.
Fuentes:
http://www.consumer.es/web/es/tecnologia/2008/09/13/180018.php
http://www.symantec.com/es/es/about/news/release/article.jsp?prid=20080911_01
http://blog.segu-info.com.ar/search?updated-max=2008-09-14T18%3A31%3A00-03%3A00&max-results=20
La seguridad de la información acapara el 10% de los presupuestos de TI
La seguridad de la información acapara el 10% de los presupuestos de TI
Los presupuestos de seguridad crecen, como reflejo de la preocupación creciente por las brechas de seguridad y la involucración cada vez mayor de los CEO a la hora de proteger información sensible de la compañía, de acuerdo con el último estudio hecho público por Forrester Research.
Este año el 10% de los presupuestos de TI se destinarán al área de seguridad, frente al 8% de 2007, según el estudio realizado por la consultora en EE.UU. y en el que han participado 1.255 personas que toman decisiones dentro de la empresa. Las cifras muestran que el 21% espera que el gasto en seguridad se incremente en 2009 mientras que un 6% opina lo contrario, que la inversión en este área se reducirá.
"Recuerdo cuando el presupuesto de seguridad era menos del 4% del presupuesto informático”, afirma Khalid Kark, analista de la consultora, durante el fórum de seguridad organizado por Forrester en Boston. "Este número es asombroso. En un momento económico complicado, tres de cuatro encuestados afirma que va a mantener este presupuesto del 10% y uno de cada cinco dice que lo va aumentar en los próximos 12 meses. Es, sin duda, sorprendente. "
Si hay un inconveniente para los profesionales preocupados por la seguridad, es que más dinero exige más papeleo, procesos y aprobaciones para justificar las compras de incluso los productos de seguridad más pequeños. Una organización centrada en la seguridad también genera expectativas más altas que, en ocasiones, pueden entrar conflicto con otros departamentos dentro de la empresa.
En la actualidad, la seguridad disfruta del apoyo de los directivos de las compañías. Según estudios de Forrester, la seguridad ha sido la prioridad número uno para los CIOS durante cuatro años consecutivos, y el 30% de los que toman las decisiones sobre la seguridad corporativa y que participaron en la encuesta tiene una relación con el consejo o el presidente. Otro 19% afirma que tiene una relación directa con el comité ejecutivo.
Forrester atribuye parte de este cambio de actitud a las brechas de seguridad, que dan como resultado una cobertura mediática y juicios que someten a examen público la seguridad de la información. Pero este cambio también ha sido posible porque los profesionales de TI han estado durante años diciendo que la seguridad merece una atención mayor del personal directivo y parece que empiezan a conseguirlo.
Los desafíos son múltiples e incluyen proteger la información del cliente y la propiedad intelectual de la empresa, mientras se desarrollan funcionalidades de recuperación frente a desastres. Las empresas también deben decidir si es apropiado combinar la seguridad informática con la seguridad física. Mientras que la convergencia tiene sentido sentido en algunos casos, en otras empresas estas dos clases de seguridad operan de forma independiente, ya que la convergencia de las mismas crearía más problemas que soluciones.
Fuentes:
http://blog.segu-info.com.ar/search?updated-max=2008-09-14T18%3A31%3A00-03%3A00&max-results=20
http://www.idg.es/comunicaciones/noticia.asp?id=71169&seccion=seguridad
25 agosto, 2008
Software Freedom Day 2008 (Día del Software Libre)
Para los que no saben que es el SFD, acá un breve comentario acerca del mismo:
El Día de la Libertad del Software (Software Freedom Day en inglés) es una celebración anual a nivel mundial del software libre y de código abierto. Es un evento de educación pública, no solo para celebrar las virtudes de este tipo de software, sino para promover su uso para el beneficio del público.
Este evento fue establecido en 2004 y fue celebrado por primera vez el 28 de agosto de 2004, cuando alrededor de 70 equipos participaron. Desde estonces ha ido creciendo en popularidad y en el 2007, más de 330 equipos de cerca de 90 países celebraron el Día de la Libertad del Software.
Para más información y registración para el vento acá dejo el enlace:
Software Freedom Day (SFD) Resistencia - Chaco 2008
Los esperamos.
20 agosto, 2008
Cómo prevenir los robos de datos informáticos en su empresa
Los atacantes apuntan contra grandes repositorios de información financiera y crediticia y los personajes públicos. Pero también se enfocan en las Pyme, donde la ignorancia puede costar muy caro para la vida de la organización. Cuáles son los pasos a tener cuenta en una compañía para evitarlos.
Los robos de datos personales y corporativos en entornos de las tecnologías de la información y la comunicación (TIC) son cada vez más frecuentes en la Argentina. Se trata de una práctica que ya cuenta con castigo penal en el país luego de la sanción de la ley de delitos informáticos.
Para tener una idea de la magnitud de esta actividad delictiva, desde un proveedor de sistemas de seguridad informática compartieron este dato: “En la Argentina se cometen cerca de 130 robos de identidad por mes”, aseguró Natalia Da Silva, directora de Marketing y Comunicación de Gemalto, una compañía que comercializa aplicaciones de seguridad tecnológica. La ejecutiva agregó que, con esta cantidad de delitos mensuales, “las entidades bancarias tienen una pérdida estimada de casi 500 millones de pesos anuales”.
Los grandes repositorios de datos privados, como los bancos y entidades financieras y empresas de tarjetas de crédito, son objetivos de estos ataques, pero tampoco están exentas figuras de la política y del espectáculo, como quedó reflejado en la investigación sobre el espionaje de correos electrónicos que lleva a cabo la Justicia federal.
Personajes tan distintos entre sí como el canciller Jorge Taiana y la diva Susana Giménez debieron declarar este año ante la jueza federal de San Isidro, Sandra Arroyo Salgado, quien investiga una red de espionaje que interceptaba e-mail de funcionarios, artistas y periodistas para luego comercializarlos y/o conspirar políticamente.
El ministro y la conductora de televisión reconocieron, por separado, como propios decenas de correos electrónicos que los investigadores hallaron en los sistemas de los crackers y de quienes habrían sido sus compradores.
Otros damnificados en esta causa son el ex jefe de Gabinete, Alberto Fernández; la ministra de Defensa, Nilda Garré; funcionarios de Cancillería; el embajador argentino en los EE.UU., Héctor Timerman; y el embajador ante las Naciones Unidas, Jorge Argüello.
Pero los ataques informáticos también apuntan contra las Pyme, a partir de un déficit de conciencia que estas compañías tienen. Según una investigación de la empresa McAfee, un proveedor de sistemas de seguridad informática, el 44 por ciento de las pequeñas y medianas empresas cree que sólo las grandes corporaciones pueden ser víctimas, aunque más del 30 por ciento de las encuestadas sufrió cuatro ataques en los últimos tres años.
El estudio, denominado “¿El tamaño importa?, advierte que esta falsa percepción es altamente peligrosa: un solo ataque puede ser suficiente para sacarlas del negocio.
"Para las empresas de todos los tamaños, los virus, ataques de hackers, programas espía y spam pueden generar la pérdida o el robo de datos, la interrupción del funcionamiento de las computadoras, una menor productividad, problemas de cumplimiento de normas, pérdidas de ventas e, incluso, la pérdida de la reputación”, señalaron desde la compañía. "El hecho de que una empresa sea pequeña no significa que sea inmune a las amenazas a su seguridad", agregaron.
Basada en una encuesta a 500 encargados de la toma de decisiones de tecnología en los mercados pequeño y mediano, el estudio detectó que el 88 por ciento de las empresas creía que estaba "correctamente protegida". Sin embargo, el 43 por ciento de ellas admitió que, simplemente, aceptaba las configuraciones predeterminadas de sus equipos de TI, que con frecuencia no están alineadas con las necesidades específicas del negocio.
Pasos preventivos:
¿Cuáles son los pasos para frustrar robos de información en ámbitos de empresas? Juan Carlos Vuoso, gerente general de la empresa Etek, una consultora en seguridad informática corporativa, explicó cinco medidas que se puede tomar en cualquier organización, sin importar su tamaño.
Establecer políticas de seguridad que cubran toda la informacion de la compañía:
“Esto incluye identificar al propietario de la información y señalar a qué personas se les permite acceder a ella y en qué momento”, dijo Vuoso. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.
Asegurar el elemento humano:
Las personas son el elemento más importante de un programa de seguridad de la información, coinciden todos los proveedores de servicios de seguridad informática, porque al fin y al cabo la difusión de información está bajo su control.
El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDA, sigla en inglés por no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades.
“Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar”, recordó Vuoso. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.
Utilizar barreras físicas de seguridad:
Puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. El ingreso a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los "recolectores de información", así como también de algunos empleados que examinan los residuos de las oficinas.
Actualizar las herramientas electrónicas de seguridad:
La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos.
“Los controles de acceso –claves en PC y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos”, explicó el ejecutivo de Etek.
Por último, adoptar una estrategia para planes de contingencia y manejo de incidentes:
“El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten”, dijo Vuoso. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
Fuente:
http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1001&Itemid=1
19 agosto, 2008
Más del 18% de los portátiles de las Pymes son robados o extraviados cada año
El 18% de los ordenadores portátiles que utilizan las pequeñas y medianas empresas en España son extraviados o robados cada año, un hecho que supone un enorme coste para las empresas no sólo por la pérdida de los terminales informáticos sino por la pérdida de datos esenciales para el funcionamiento de sus negocios pues en el 89 por ciento de los casos, la información contenida en los ordenadores portátiles desaparecidos carece de los sistemas de protección más elementales.
Según los datos recogidos en este estudio elaborado por la empresa de seguridad informática Risc Security, la tecnología móvil está plenamente desarrollada en las Pymes y es un elemento que permite incrementar la productividad de sus actividades, pues facilita un mejor servicio al cliente y una reducción de costes significativa. El estudio señala que algo más de 78% de las Pymes analizadas disponen de ordenadores portátiles para sus actividades ordinarias de negocio. En esos ordenadores portátiles hay datos generales de la empresa, que proceden de sus archivos corporativos y datos particulares o exclusivos que cada usuario va incorporando al disco duro de su portátil en el desempeño de sus funciones.
El valor de estos datos personales aumenta con el paso del tiempo, según se va incrementando su volumen y su calidad y, en la mayoría de los casos analizados, buena parte de las actividades profesionales de los usuarios de los ordenadores portátiles depende de esos datos personales o privados que cada uno ha ido construyendo. La pérdida de esos datos paraliza en el 100% de los casos la actividad profesional del usuario y provoca un daño económico importante a la empresa afectada.
La peculiaridad del trabajo en las Pymes hace que la repercusión de la pérdida de información contenida en los ordenadores portátiles sea sensiblemente superior en comparación a la que puede sufrir una empresa de mayor tamaño. Según los datos obtenidos por Risc Security en el análisis de este fenómeno, es habitual que los trabajadores de las Pymes desarrollen tareas múltiples y que dispongan de ordenadores portátiles adaptados a esas multitareas, lo que supone que en muchos casos un ordenador portátil almacena información de varios departamentos de la empresa, como datos comerciales y de producción, lo que multiplica los daños en caso de pérdida.
Según el estudio en un porcentaje que supera el 90% de los casos, la información personal no se vuelca en los servidores o archivos centrales de la empresa y se mantiene viva exclusivamente en los portátiles. En el 89% de los casos analizados esos datos contenidos en los ordenadores portátiles, ya sean corporativos o personales del usuario, carecen de las más elementales medidas de seguridad. Ni hay copias de seguridad de los datos ni la información que contienen es objeto de cualquier sistema de encriptado.
Las consecuencias que se derivan para el funcionamiento de las empresas por la pérdida de los datos contenidos en los ordenadores portátiles desaparecido no se limita a los costes de las unidades o a los perjuicios en el desarrollo de las actividades de negocio. Hay daños corporativos igualmente importantes. El análisis de Risc revela que cuestiones como la pérdida de confianzas de los clientes, es uno de los factores que más preocupa a las Pymes cuando se trata de pérdida de datos empresariales. La recuperación de la confianza de los clientes en estas situaciones se revela como una de las cuestiones más difíciles de resolver para una Pyme, mucho más que la recuperación de los datos o la reposición del terminal.
Las Pymes tienen un acceso cada vez mayor a desarrollos tecnológicos de última generación. En muchas es habitual el uso de intranets y redes virtuales privadas a las que se tiene acceso desde los ordenadores portátiles que utilizan sus empleados. El desarrollo de estrategias de seguridad para proteger esas redes internas no ha avanzado en las Pymes al mismo ritmo que su implantación. Risc Security recoge en su estudio datos que muestran unos niveles de seguridad reducidos en este aspecto. Las consecuencias para el funcionamiento de las empresas pueden ser muy graves en el caso de pérdida o sustracción de ordenadores portátiles desde los que acceder a esas redes. El número de Pymes que señalan haber sufrido fallos importantes de seguridad en sus redes por accesos fraudulentos desde portátiles perdidos no es significativo, pero evidencia un riesgo evidente.
Aeropuertos, transportes públicos, hoteles y centros de convenciones configuran, por este orden, la lista de lugares donde es más habitual la pérdida o sustracción de ordenadores portátiles. Sólo el 12% de los terminales pedidos se recupera, según los datos aportados por las empresas analizadas en el estudio de Risc.
Un dato significativo del estudio es la predisposición de las empresas analizadas para tomar medidas encaminadas a reducir la pérdida de ordenadores portátiles. Cerca del 70% de las empresas daba prioridad a la instalación de sistemas físicos de seguridad y a a la adopción de una serie de medidas o procedimientos de actuación en lugares públicos para eludir o mitigar la pérdida de los terminales. El número de empresas que consideraban prioritario adoptar medidas de seguridad y protección para los datos almacenados en los ordenadores portátiles apenas superaba el 22%.
Fuente:
http://www.cibersur.com/modules.php?name=News&file=article&sid=11144&theme=Cibersur&ref=22
http://seguinfo.blogspot.com/2008/08/ms-del-18-de-los-porttiles-de-las-pymes.html
Los expertos critican la falta de actuación del gobierno americano ante el fallo DNS
Desde que se conocen la rapidez de actuación de los hackers, algunos especialistas estadounidenses se quejan de la lentitud de reacción de la administración.
El último informe presentado por ‘Internet Security Systems X-Force’, el departamento de IBM encargado de la seguridad, ha puesto de manifiesto que los piratas informáticos de la actualidad son capaces de detectar un fallo de seguridad y aprovecharse de ese fallo en menos de 24 horas.
Dan Kaminsky, experto en seguridad, descubrió hace unos meses un agujero de seguridad en el protocolo DNS, el sistema central que pone en relación las direcciones de los sitios y las páginas almacenadas en servidores. Tras este descubrimiento, la Red mundial de Internet fue consciente del riesgo que corría frente a los piratas informáticos.Ahora los expertos se quejan de que el gobierno estadounidense no está actuando como sería necesario, según publica silicon.fr.
Bill Woodcock, director de búsqueda en la ONG ‘Packet Clearing House’, ha declarado que "no se ha hecho nada para asegurar una estabilidad perenne de DNS. Todos los especialistas deberían trabajar juntos".
Fuente:
http://www.siliconnews.es/es/news/2008/08/16/expertos-critican-falta-actuacion-gobierno-americano-dns
http://seguinfo.blogspot.com/2008/08/los-expertos-critican-la-falta-de.html
Gestionando los Riesgos
Nota de Segu-Info: todos los documentos de NIST pueden descargarse de nuestra sección de Guías de Seguridad.
En este apartado quiero compartir distintos conceptos que cada día van tomando mayor importancia, entre otros factores, debido a la importancia que asignan las distintas regulaciones en torno a la seguridad de la información y la transparencia de su utilización.
Muchas personas consideran que "hacer seguridad" es instalar un firewall, un antivirus, o cualquier otra aplicación destinada a una función particular.
La actualidad está demostrando que la seguridad se debería profundizar desde el marco metolodólogico de un plan integral. Esto no quiere decir que las aplicaciones no sean necesarias, sino que las aplicaciones ayudan en la gestión, pero la gestión debe basarse en el marco de un programa de seguridad con un objetivo claro, alineado con los objetivos estratégicos de la Compañía.
En sintesis, hacer seguridad es "gestionar los riesgos", y les voy a dar mi opinión acerca de esta reflexión:
En cada decisión que tomamos estamos evaluando riesgos y decidiendo distintas medidas para remediarlo, transferirlo, aceptarlo o evitarlo. En estas decisiones cotidianas estamos gestionando riesgos, desde la definición de un sistema de control de accesos, hasta la correcta segregación de funciones en los roles de una aplicación, pasando por la definición de distintos ambientes para las distintas tareas que se deban realizar sobre una aplicación. Siempre estamos evaluando riesgos, y producto de las decisiones, gestionándolos.
Entiendo que esta debería ser la forma de interpretarlo, porque he conocido casos en los cuales la seguridad "se busca" a través de análisis aislados, de problemas aislados, con soluciones independientes entre si, cada una de ellas con diferentes criterios, y realmente este escenario lo único que genera es que no exista un verdadero plan integral.
Para quienes quieran consultar documentación al respecto de como gestionar los riesgos a través de un programa de seguridad, recomiendo el siguiente documento:
Information Security Handbook - A Guide For Managers / NIST: http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
Fuente:
http://securetech-informacion.blogspot.com/2007/11/gestionando-los-riesgos.html
http://seguinfo.blogspot.com/2008/08/gestionando-los-riesgos.html
Incidentes de seguridad: Factor interno vs factor externo
Hace unos días estuve leyendo a un interesante artículo en Pc World, en el que se plantean cifras que tienen que ver con uno de los axiomas de la seguridad más extendidos, aquel que postula que la mayoría de los ataques de seguridad a infraestructuras de TI los provocan atacantes internos.
Fuente:
http://www.blogger.com/post-create.g?blogID=25253317
Los 10 peores errores que comete la alta dirección en seguridad de la información
En el marco de la segunda edición del bSecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de Seguridad de Cemex, dijo en su ponencia: “Si no entendemos que nuestra labor es la de invertir en seguridad y no ser 'compradores' entonces mejor dediquémonos a vender churros".
Asimismo, advirtió que el oficial de seguridad es visto como un pistolero venido a más debido a que no sabe vender el modelo de seguridad a la alta dirección, la cual sólo entiende de retornos de inversión y de tranquilidad en el negocio.
Como resultado de más de 15 años de experiencia en seguridad empresarial, Torrecillas ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.
Fuente:
ISO27000
http://seguinfo.blogspot.com/2008/08/los-10-peores-errores-que-comete-la.html
Delitos tecnológicos: la investigación de escenarios
Sobre el análisis forense hay mucho material, y muy bueno, pero si hacemos un recuento de los materiales libres o gratuítos, la lista se vuelve más pequeña.
Es por esto que traigo a portada la disponibilidad de un informe especial del National Institute of Justice, un órgano dependiente del Departamento de Justicia norteamericano, ente que, al igual que otras agencias similares, suele publicar periódicamente informes para la consulta de los interesados.
El libro se titula Electronic Crime Scene Investigation: A Guide for First Responders, y su descarga en formato PDF es gratuíta. Consta de los siguientes apartados:
* Introducción.
* Tipos de dispositivos electrónicos.
* Herramientas y equipo de investigación.
* Aseguramiento y evaluación de la escena del crimen.
* Descripción de la escena.
* Recolección de evidencias.
* Empaquetado, transporte y almacenamiento de evidencias digitales.
* Delitos tecnológicos y pruebas digitales, en función del tipo de crimen.
Fuente:
http://www.sahw.com/wp/archivos/2008/06/16/delitos-tecnologicos-la-investigacion-de-escenarios/
http://caballe.cat/wp/2008/06/15/investigacio-a-lescena-del-crim/
http://seguinfo.blogspot.com/2008/08/delitos-tecnolgicos-la-investigacin-de.html
13 agosto, 2008
Plan de continuidad de negocio, Plan de Recuperación ante Desastres y Plan de Contingencia
Escrito por Javier Cao Avellaneda en su Lista de Correo en Seguridad de la Información.
Plan de continuidad de negocio: alcance global a toda la organización y contempla los aspectos técnicos, logísticos, de imagen que deberían verse involucrados en una contingencia (normalmente grave o muy grave) para poder dar continuidad a todos los servicios de la Organización.
Plan de recuperación ante desastres: afecta al Area TI de la Organización y tiene por objetivo hacer que los sistemas de información recuperen la normalidad, que los servicios informáticos se puedan utilizar.
Plan de Contingencia: serían planes pequeños pensados para incidentes concretos donde las actuaciones se podrían procedimentar. Plan de contingencia frente a virus, frente a fuego, frente a inundación, frente a ataques.
Más información en:
Boletín 111 - Bussiness Continuity Plan (BCP) - 04/05/2008
Escrito por Cristian.
Fuente:
http://seguinfo.blogspot.com/2008/08/plan-de-continuidad-de-negocio-plan-de.html
El aseguramiento de la información personal entre los mayores esfuerzos de las compañías
Las compañías clasifican los siete mayores problemas empresariales relacionados con la tecnología para los próximos 12-18 meses.
Asegurar la información de identificación personal (PII, por sus siglas en inglés) es una preocupación principal que enfrenta a empresas y ejecutivos de tecnología este año, según una encuesta realizada a más de 3.100 profesionales en más de 95 países. El estudio, llevado a cabo por ISACA, una asociación sin ánimo de lucro que presta servicio a más de 86.000 profesionales de gobierno de TI en todo el mundo, identificó los siete problemas empresariales principales en los que la tecnología ha causado impacto. Las conclusiones están disponibles en Resultados de la encuesta de problemas comerciales/ tecnológicos principales.
Los encuestados clasificaron los siguientes problemas empresariales como los siete principales:
1. Conformidad regulatoria, específicamente aquélla que protege la información de identificación personal e implementa la supervisión de transacciones.
2. Gestión corporativa y gobierno de TI.
3. Gestión de seguridad de la información.
4. Recuperación ante desastres / continuidad del negocio.
5. Gestión del valor de TI.
6. Retos del manejo de riesgos de TI.
7. Conformidad con la divulgación financiera.
“El costo de perder o comprometer la integridad de la información de identificación personal también está conduciendo a un enfoque renovado en la seguridad de la información”, afirmó Greg Grocholski, presidente del comité de aseguramiento de ISACA y director financiero sénior de Dow Chemical. “La encuesta demuestra que el 81% de los 1.600 encuestados que ubicaron a la gestión de la seguridad de la información como su preocupación número 3, afirmaron que los riesgos de seguridad no eran completamente conocidos o solamente estaban evaluados parcialmente usando tecnología”.
Las empresas continúan haciendo inversiones de gran escala cada vez mayores en TI, lo cual provoca que asegurar la conformidad con las regulaciones internacionales sea cada vez una tarea más exigente. Según la encuesta, este esfuerzo se mejora cuando la tecnología se convierte en una parte integral del negocio.
“Mantenerse al día con los requerimientos legislativos y regulatorios es una responsabilidad crítica que cada vez es más difícil debido a que los esfuerzos de conformidad todavía están operando en modo ‘proyecto' y aún no se han integrado a los procesos del negocio”, afirmó Anthony Noble, miembro del comité de aseguramiento de ISACA y vicepresidente de auditoría de TI en Viacom. “Los proyectos de TI aún carecen de alineamiento con los objetivos del negocio en muchas organizaciones y, como resultado, aún no pueden materializar los beneficios del negocio”.
El estudio también reveló que muchas empresas no cuentan todavía con una preparación adecuada en caso de desastres. Según los resultados, el 80% de los 1.500 miembros de ISACA que ubicaron la gestión de la continuidad del negocio como el problema número 4, afirmaron que los gerentes y propietarios de sus empresas no eran completamente conscientes de sus responsabilidades para mantener la aptitud a la hora de tener que llevar a cabo funciones críticas del negocio en caso de desastre.
La encuesta fue realizada online y estaba abierta a profesionales de todo el mundo. El alcance geográfico de los encuestados fue:
* 37%—Norteamérica
* 32%—Europa/ África
* 22%—Asia
* 5%—América Central/ Suramérica
* 4%—Oceanía
Fuente:
http://seguridad-informacion.blogspot.com/2008/08/estudio-el-aseguramiento-de-la.html
http://www.isaca.org/TemplateRedirect.cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=44065
SeguInfo
Latinoamérica no protege adecuadamente los datos de tarjetas de crédito
Con las alarmantes conclusiones de que la mitad de las empresas encuestadas no disponen de mecanismos básicos para la seguridad de la información y que un 48% desconoce el estándar PCI DSS, RSA, la División de Seguridad de EMC presentó un informe, realizado a principios de 2008. El mismo tenía como objetivo conocer la forma en que almacenan y protegen los datos de los poseedores de tarjetas de créditos las empresas de América Latina.
PUBLICIDAD
El estudio analizó también el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.
Tarjetas de crédito ¿Qué datos se almacenan? Y lo más importante ¿dónde? Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos.
Las empresas encuestadas destacaron que las ubicaciones más comunes de los datos de tarjetas de crédito son: base de datos (37%); aplicaciones internas (34%); sistemas de punto de venta (POS) (24%); sistemas de almacenamiento (21%); archivos y carpetas en los servidores (12%); documentos no estructurados, como hojas de cálculo (12%), y correo electrónico (9%).
¿Cómo proteger los datos de tarjetas de crédito? Tecnología + Factor humano. La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información. Sólo el 46% de las empresas encripta los datos almacenados de tarjetas de crédito; mientras que el 49% no encripta ningún dato.
El 50% de las empresas consultadas no aplica ninguna solución para monitorear el acceso a estos datos.
Brindar un acceso remoto seguro a estos datos para empleados, partners y contratistas reduce la exposición al riesgo. En este sentido se observa que sólo el 43% de las empresas encuestadas aplican la autenticación de doble factor - como la seguridad mediante tokens.
Desconocimiento vs. Cumplimiento. El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS.
Entre el 52% que dijo conocerlo: el 74% respondió que había tomado medidas para cumplir con los requisitos, el 35% ya estaban en condiciones para cumplir con la norma o esperaban estarlo en los próximos seis meses; y un 25% esperaba poder cumplir con la norma en el transcurso de un año.
"Es importante que las empresas en Latinoamérica comiencen a transitar el camino para el cumplimiento de estándares y normas orientadas a la protección de la información crediticia de sus clientes. No obstante, es para destacar que en la mayoría de los casos existen todavía varias cuestiones para mejorar, incluso el establecimiento de procesos, políticas y mecanismos de aplicación", comenta Roberto Regente, Director para Latinoamérica de RSA, la División de Seguridad de EMC.
"Confiamos en que estas empresas lograrán cumplir las normas de seguridad en tarjetas de crédito al adoptar un enfoque integral de gestión de riesgos de la información. Así, no solo cumplirán con los requerimientos normativos; además, acelerarán sus negocios y podrán lograr mejores resultados".
Fuente:
http://ar.news.yahoo.com/s/09082008/32/latinoam-rica-protege-adecuadamente-datos-tarjetas-cr-dito.html
http://seguinfo.blogspot.com/2008/08/latinoamrica-no-protege-adecuadamente.html
Video de Surf Jack para robar cookies
En el siguiente video se utiliza una nueva herramienta de seguridad llamada Surf Jack que demuestra como robar cookies de cualquier sitio. La prueba de concepto muestra cómo es posible robar las cookies de sesión en sitios HTTP y HTTPS que no establecen cookies seguras.
Como ejemplo se realiza un ataque sobre Gmail y se enseña a prevenirlo gracias a una nueva opción del servicio que permite el cifrado completo de la sesión:
Como vemos un usuario malintencionado sólo necesitaría tener acceso a nuestro tráfico de red para efectuar el ataque.
Más información: Surf Jack - HTTPS will not save you
Fuente:
http://spamloco.net/2008/08/video-demostracion-de-robo-de-cookies.html
http://google.dirson.com/post/4066-gmail-https-ssl/
http://seguinfo.blogspot.com/2008/08/video-de-surf-jack-para-robar-cookies.html
Cómo prevenir los robos de datos informáticos en su empresa
Los robos de datos personales y corporativos en entornos de las tecnologías de la información y la comunicación (TIC) son cada vez más frecuentes en la Argentina. Se trata de una práctica que ya cuenta con castigo penal en el país luego de la sanción de la ley de delitos informáticos (ver más información sobre esta norma en dos informes al final de esta nota).
Para tener una idea de la magnitud de esta actividad delictiva, desde un proveedor de sistemas de seguridad informática compartieron este dato: "En la Argentina se cometen cerca de 130 robos de identidad por mes", aseguró Natalia Da Silva, directora de Marketing y Comunicación de Gemalto, una compañía que comercializa aplicaciones de seguridad tecnológica. La ejecutiva agregó que, con esta cantidad de delitos mensuales, "las entidades bancarias tienen una pérdida estimada de casi 500 millones de pesos anuales".
Los grandes repositorios de datos privados, como los bancos y entidades financieras y empresas de tarjetas de crédito, son objetivos de estos ataques, pero tampoco están exentas figuras de la política y del espectáculo, como quedó reflejado en la investigación sobre el espionaje de correos electrónicos que lleva a cabo la Justicia federal.
Personajes tan distintos entre sí como el canciller Jorge Taiana y la diva Susana Giménez debieron declarar este año ante la jueza federal de San Isidro, Sandra Arroyo Salgado, quien investiga una red de espionaje que interceptaba e-mail de funcionarios, artistas y periodistas para luego comercializarlos y/o conspirar políticamente.
El ministro y la conductora de televisión reconocieron, por separado, como propios decenas de correos electrónicos que los investigadores hallaron en los sistemas de los crackers y de quienes habrían sido sus compradores.
Otros damnificados en esta causa son el ex jefe de Gabinete, Alberto Fernández; la ministra de Defensa, Nilda Garré; funcionarios de Cancillería; el embajador argentino en los EE.UU., Héctor Timerman; y el embajador ante las Naciones Unidas, Jorge Argüello.
Pero los ataques informáticos también apuntan contra las Pyme, a partir de un déficit de conciencia que estas compañías tienen. Según una investigación de la empresa McAfee, un proveedor de sistemas de seguridad informática, el 44 por ciento de las pequeñas y medianas empresas cree que sólo las grandes corporaciones pueden ser víctimas, aunque más del 30 por ciento de las encuestadas sufrió cuatro ataques en los últimos tres años.
El estudio, denominado "¿El tamaño importa?, advierte que esta falsa percepción es altamente peligrosa: un solo ataque puede ser suficiente para sacarlas del negocio.
"Para las empresas de todos los tamaños, los virus, ataques de hackers, programas espía y spam pueden generar la pérdida o el robo de datos, la interrupción del funcionamiento de las computadoras, una menor productividad, problemas de cumplimiento de normas, pérdidas de ventas e, incluso, la pérdida de la reputación", señalaron desde la compañía. "El hecho de que una empresa sea pequeña no significa que sea inmune a las amenazas a su seguridad", agregaron.
Basada en una encuesta a 500 encargados de la toma de decisiones de tecnología en los mercados pequeño y mediano, el estudio detectó que el 88 por ciento de las empresas creía que estaba "correctamente protegida". Sin embargo, el 43 por ciento de ellas admitió que, simplemente, aceptaba las configuraciones predeterminadas de sus equipos de TI, que con frecuencia no están alineadas con las necesidades específicas del negocio.
Pasos preventivos:
¿Cuáles son los pasos para frustrar robos de información en ámbitos de empresas? Juan Carlos Vuoso, gerente general de la empresa Etek, una consultora en seguridad informática corporativa, explicó cinco medidas que se puede tomar en cualquier organización, sin importar su tamaño:
* Establecer políticas de seguridad que cubran toda la información de la compañía: "Esto incluye identificar al propietario de la información y señalar a qué personas se les permite acceder a ella y en qué momento", dijo Vuoso. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.
* Asegurar el "elemento humano": las personas son el elemento más importante de un programa de seguridad de la información, coinciden todos los proveedores de servicios de seguridad informática, porque al fin y al cabo la difusión de información está bajo su control.
El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDA, sigla en inglés por no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades.
"Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar", recordó Vuoso. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.
* Utilizar barreras físicas de seguridad: puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. El ingreso a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los "recolectores de información", así como también de algunos empleados que examinan los residuos de las oficinas.
* Actualizar las herramientas electrónicas de seguridad: la información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos.
"Los controles de acceso -claves en PC y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos", explicó el ejecutivo de Etek.
Por último, adoptar una estrategia para planes de contingencia y manejo de incidentes: "El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten", dijo Vuoso. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
Fuente:
http://ar.news.yahoo.com/s/11082008/44/n-technology-c-xf3-mo-prevenir-robos-datos-inform-xe1-ticos.html
http://seguinfo.blogspot.com/2008/08/cmo-prevenir-los-robos-de-datos.html
Espionaje de email basado en errores al teclear
Es un tema interesante, al que debería prestar atención cualquiera que tenga una empresa con presencia en Internet y algún riesgo especial de ser espiada.
Al parecer algunos indeseables registran dominios similares al de ciertos objetivos, que sólo se diferencian por algún error típico al escribirlos. Para más sospecha, muchos de estos dominios ni siquiera disponen de página web (o disponen de la típica página estándar del alojador del dominio) pero sí disponen de registros MX que les permiten recibir email.
Por tanto -y por poner un ejemplo- si alguien dirige un email importante (y sin cifrar, claro) al editor de kriptopolis punto org, ese mensaje podría ser leído por la gente inapropiada.
Conclusión: no está de más que quienes puedan ver en esto un problema serio comprueben si están registradas ligeras variaciones con errores tipográficos de sus dominios...
Fuente:
http://www.kriptopolis.org/espionaje-email-por-errores-al-teclear
http://www.pcworld.com/article/149687/2008/08/.html
http://seguinfo.blogspot.com/2008/08/espionaje-de-email-basado-en-errores-al.html
Los jueces hacen a la banca corresponsable del "phishing" (España)
El "phisnhing" es una estafa que consiste en obtener los datos bancarios de los internautas a través de un e-mail en que los delincuentes se hacen pasar por entidades bancarias.
Es posible que en las últimas semanas usted haya recibido un sospechoso correo electrónico solicitando sus datos bancarios. Sobre todo, si es cliente de Caixa Catalunya, Caja Madrid o Banco Popular, tres de las entidades, según la Asociación de Internautas, cuyos clientes han sufrido más recientemente la estafa conocida como phishing (suplantación de la identidad corporativa de una entidad bancaria, para hacerse con los datos confidenciales de sus clientes). Pero no se confíe: sea quien sea el banco con el que usted opera, es muy probable que en algún momento sufra un intento de fraude por esta vía, que es una de las más generalizadas en la actualidad.
Sin embargo, a partir de ahora, el cliente no será la única parte de la relación bancaria expuesta al peligro. Según la Asociación de Usuarios de Bancos, Cajas y Seguros (Adicae), el Juzgado de Primera Instancia número 2 de Castellón ha dado la razón a dos clientes de Bancaja, que reclamaban a su entidad los 6.000 euros que les fueron estafados mediante la técnica del phishing.
Ahorro significativo
Según la asociación, "la banca por internet permite a las entidades un ahorro económico muy significativo". Sin embargo, "sólo invierten en su propia seguridad informática y no en la de sus clientes". Además, afirma la sentencia que en los contratos de banca por internet, además, las entidades buscan librarse de responsabilidad en caso de fraude, pero si son ellas mismas las que ofrecen la posibilidad de operar por internet, es también su responsabilidad dotar a sus clientes de la información adecuada para que el servicio se dé en condiciones de seguridad.
La reivindicación de Adicae está en línea con la opinión que ha expresado el Banco de España (BdE) en su último Informe del Servicio de Reclamaciones. En él, la autoridad bancaria afirma que "no parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados".
El problema era, dice Adicae, que esta opinión del BdE no resultaba vinculante para las entidades. En adelante, la situación será otra, gracias a la sentencia del juzgado de Castellón.
Fuente:
http://seguridad-informacion.blogspot.com/2008/08/los-jueces-hacen-la-banca.html
http://seguinfo.blogspot.com/2008/08/los-jueces-hacen-la-banca.html
Argentina: habilitarán las firmas digitales
El Gobierno habilitará, en los próximos días, a la Administración Federal de Ingresos Públicos (AFIP) y a la Administración Nacional de la Seguridad Social (Anses) como certificadores oficiales de firmas digitales, según afirmó a LA NACION el secretario de Gabinete y de la Gestión Pública, Juan Manuel Abal Medina.
La ley para el uso de ese instrumento fue aprobada en 2001, pero sólo se reglamentó en febrero del año pasado. La normativa prevé que, además de organismos públicos, se puedan presentar entidades del ámbito privado para ser autorizados por el Estado como certificadores.
La firma digital, que es una clave construida a partir de fórmulas matemáticas, da validez jurídica a contratos entre partes, y no sólo garantiza la autoría de un documento, sino que también asegura que en su totalidad fue escrito por la persona titular de la firma, sin que pueda existir adulteración alguna en los contenidos, según explicó el funcionario.
Las firmas certificadas por la AFIP y la Anses podrán ser utilizadas en instrumentos en los que no necesariamente sean partes involucradas esos organismos. En tal sentido, cada entidad que acepte la modalidad deberá aclarar qué tipo de certificación acepta.
Un contrato de seguros, por ejemplo, podría activarse con el uso de la firma digital. La herramienta, por otro lado, podría acortar los plazos de procedimientos que requieren del uso de papeles. "La Justicia señala que así podría acortar los tiempos de los procesos hasta en un 40%", dijo Abal Medina, que estimó además que se bajarán los riesgos de error en las documentaciones.
Para certificar firmas, cada organismo podrá disponer de diferentes requisitos, pero algunos deberán ser cumplidos sí o sí, como el inicio del trámite en forma presencial por parte de las personas, a las que se les requerirán foto y huellas digitales.
El incentivo al uso de los medios electrónicos se fundamenta en el crecimiento del uso de Internet. Según un documento de la Jefatura de Gabinete, se estima que a fines de este año habrá 18 millones de usuarios, mientras que en 2000 el número apenas superaba el millón.
Fuente:
http://www.lanacion.com.ar/nota.asp?nota_id=1038321
SeguInfo
Análisis de riesgo gráfico
Por Omar Alejandro Herrera Reyna
Hace ya unos 6 años publiqué un paper sobre una metodología gráfica de análisis de riesgos. Las referencias todavía están por ahí en Internet pero los sitios donde estaba almacenado el paper ya no parecen estar en línea, así que aquí dejo una liga y el abstract para quien le interese:
Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk analysis
Risk analysis for information security, as we know it today, is a difficult task involving experience and extensive knowledge of the environment being analyzed. There are already many methodologies out there but most fall in the category of what we call “check lists” or “questionnaires”.
I will present a methodology, “Graphical Risk Analysis” (GRA), that can aid in risk analysis activities for information security. The approach is based on well-known system security principles and uses diagrams to model the system at different abstract levels. The information security risk analyst can, with this approach, ensure that he/she understands the main business processes which the system environment supports, analyze in detail the critical parts of an information system that are most critical from a business perspective.
GRA intends to be a simple risk analysis methodology focused on availability and dependency of services and systems; although it is not intended to be an all inclusive solution, it will be useful in conjunction with other methodologies, in all information security risk analysis activities.
Fuente:
http://candadodigital.blogspot.com/2008/08/papers-anlisis-de-riesgos-grfico.html
SeguInfo
Bluetooth 2.1 es más vulnerable que su versión anterior
Bluetooth 2.1 fue diseñado para ser más seguro que la versión anterior, pero es en realidad mucho más vulnerable, por lo que es trivial para un atacante obtener una contraseña cuando un usuario intente realizar un emparejamiento de dos dispositivos Bluetooth.
Es posible utilizar 2.1 de forma segura, dijo Andrew Lindell, jefe criptógrafo de Aladdin Knowledge Systems Ltd, pero las probabilidades se apilan en contra de ella.
"En un buen protocolo debe de ser difícil conseguir un error y debe ser mas fácil el solucionarlo", dijo Lindell el pasado miércoles en una reunion informativa de black hats. "Incluso los mejores protocolos puede llegar a ser mal implementados; Bluetooth es todo lo contrario. A menos que realmente usted sepa lo que está haciendo, es fácil obtener algún error."
El problema es que el protocolo está muy abierto de par en par en el caso de la utilización de una contraseña fija, y es muy seguro si mejor se empleara una contraseña de una sola vez (OPT por sus siglas en ingles), por lo cual sería inútil para un atacante. Los desarrolladores de la versión 2.1 intentaron utilizar OTPs, pero no existe una exigencia de su utilización en cualquier parte de las 1400 páginas que contiene el documento de protocolo.
Lindell dijo que en Bluetooth 2.1 una contraseña puede ser robada en menos de un segundo utilizando un ataque tipo man in the middle, independientemente de la longitud de la contraseña. En 2.0, una contraseña muy larga podría frustrar al atacante.
Un atacante no necesita la buena fortuna de estar cerca cuando un usuario realiza un emparejamiento de dos dispositivos. Los dispositivos Bluetooth pueden ser "engañados" a forzar un re-emparejamiento. Esto ocasionaría una alerta al usuario y este podría pensar que esto es extraño, pero dijo Lindell, que la mayoría de las personas que utilizan este tipo de tecnología simplemente apagan el dispositivo y lo ignoran.
Lindell describió un segundo tipo de ataque, en el que un atacante puede obtener fácilmente la contraseña mediante un dispositivo robado o extraviado.
Aunque la versión 2.1 de Bluetooth se publicó hace más de un año, no existen implementaciones de este.
En dispositivos como manos libres para automóviles que utilicen Bluetooth, por ejemplo, los fabricantes tienden a ser reacios a exigir a los clientes la utilización de OTPs como una cuestión de conveniencia.
Los resultados podrían ser obtener un coche Bluetooth convertido en un dispositivo de escucha, una forma de lo que se conoce como un "car whisperer".
Finalmente Lindell bromeó diciendo, "Un atacante podría incluso hablar con varias personas en su manos libres y espantarlos a su gusto".
Fuente:
http://seguinfo.blogspot.com/2008/08/bluetooth-21-es-ms-vulnerable-que-su.html
SeguInfo
Hackean parche que corregía vulnerabilidad crítica de DNS
Experto en seguridad informática asegura que le tomó 10 horas vulnerar el reciente parche del sistema de direcciones de Internet, DNS.
Diario Ti: El parche que corrige el grave agujero de seguridad descubierto por el hacker Dan Kaminsky fue instalado rápidamente en los servidores DNS de todo el mundo. Sin embargo, la solución no es del todo efectiva, según el físico ruso Evgeniy Polyakov, quien asegura haber inducido al parche a enviar una dirección IP falsa.
Polyakov indica que solo le tomó 10 horas descubrir el procedimiento adecuado, mediante dos PC de escritorio vinculados a una red de alta velocidad.
60% de posibilidades. El científico ruso indica que un servidor de ataques envía entre 40.000 y 50.000 respuestas falsas antes de encontrar la dirección correcta. Si el número del puerto coincide, las posibilidades de vulnerar el agujero son de 60%.
Por ahora, las grandes compañías de seguridad informática no han comentado los dichos de Polyakov, publicados por IT News.
Fuente:
Diario Ti
09 agosto, 2008
Riesgos de utilizas pendrives inseguros
Una encuesta realizada en los EE UU a usuarios finales corporativos y gerentes de IT reveló que los ejecutivos de este rubro no están al tanto de la cantidad de "pen drives" inseguros que son introducidos en sus empresas.
Un estudio mostró que el 77% de los usuarios corporativos han utilizado estas unidades personales para propósitos laborales.
Sin embargo, cuando se les pidió estimar el porcentaje de la fuerza laboral que emplea "pen drives" en la empresa, los Directores de Sistemas respondieron que era de un 35%.
Por otra parte los usuarios revelaron que los archivos que más probabilidad tienen de ser copiados a un "pen drive" personal incluyen registro de clientes (25%), información financiera (17%), planes de negocios (15%), registros de empleados (13%), planes de mercadotecnia (13%), propiedad intelectual (6%) y código fuente (6%).
Por otra parte, los datos de la encuesta indicaron que existe una importante probabilidad de pérdida de "pen drives" con la consiguiente pérdida de información.
Además el 2% de los usuarios corporativos reportó haber encontrado perdido algún "pen drive" en algún lugar con acceso al público.
La mayoría de los CIO es consciente de que la fuga de datos puede derivar en robos de identidad, compromiso con respecto a la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las empresas.
El sondeo demuestra que, si bien hay conciencia de los riesgos potenciales que implica el uso de "pen drives", los ejecutivos de IT necesitan politicas, educación y soluciones tecnólogicas más efectivas para reducir los riesgos.
Sólo un esfuerzo que involucre la administración de dispositivos encriptados, el monitoreo de datos y la aplicación centralizada de políticas, reducirá los riesgos al tiempo que permitirá a las compañías enfatizar la conveniencia de la movilidad o del trabajo fuera de la oficina.
Fuente: Revista ExpandIT Año IV Nª 30
Fuente:
http://seguinfo.blogspot.com/2008/08/riesgos-de-utilizas-pendrives-inseguros.html
Al comprar un celular habrá que registrar las huellas digitales
Nota de Segu-Info: en nuestro Foro se está hablando del tema Huella digitales y Celulares.
La medida que analiza el Gobierno nacional también afectará a más de 30 millones que utilizan teléfonos móviles bajo la modalidad de tarjeta prepaga.
Un profundo cambio en el mercado de telefonía móvil, el más dinámico y masivo de las tecnologías de la información y la comunicación (TIC) se aprestaría a introducir el Gobierno nacional.
Lla presidenta Cristina Fernández de Kirchner tenía anoche a la firma un decreto por el cual los celulares deberán empadronarse con un trámite similar a los correspondientes a un arma de fuego para uso personal, según informaron fuentes oficiales al diario Clarín. Y si se trata de un móvil nuevo, o para usar bajo la modalidad de tarjeta prepaga, la más usada en el mercado, habrá que registrar hasta las huellas digitales. La medida, en caso de aplicarse, tendrá un gran impacto social, porque afectaría a unas 30 millones de personas que utilizan celulares en la modalidad prepaga.
"La norma sería ratificada en las próximas horas", informa el diario, citando a fuentes oficiales, que justificaron así la medida: "Lo que pesa son razones de seguridad, el fuerte crecimiento del uso de celulares en delitos, desde robos a secuestros. Es necesario saber de quién es cada aparato, ligarlo a una persona en concreto, y no como ahora, que se compran sin ningún registro."
Los antecedentes de la medida se remontan a 2003 y 2004, cuando se sancionaron leyes que que creaban un registro de celulares. Pero ninguna de esas dos normas había sido reglamentada.
Según la versión, al vender un celular, las empresas deberán registrar los datos personales del comprador. Por lo tanto, el cliente deberá demostrar su identidad con un documento. Este dato será chequeado con el Registro Nacional de las Personas.
Además, el cliente deberá declarar un domicilio, al que el proveedor del servicio le enviará una carta, y recién cuando ésta sea devuelta al vendedor se podrá habilitar el servicio al aparato. Como medida complementaria, el comprador deberá registrar sus huellas digitales, que quedarán ligadas al aparato en el registro oficial.
La medida no alcanza a quienes tienen un servicio pospago, es decir, quienes reciben durante el mes la factura por el servicio. Se trata de unos 3,5 millones de usuarios, no tendrán que registrar ahora su aparato. Sólo deberán hacerlo si compran uno nuevo.
Pero el resto de los usuarios de celulares, los que tienen servicio prepago, con tarjeta, deberán inscribirse en el registro oficial. Por lo tanto, deberán demostrar su domicilio y dejar su huella digital.
Las fuentes oficiales señalaron que "habrá un plazo de 180 días para que lo hagan, prorrogable por otro plazo similar, en total un año". Esta medida alcanzará a unos 30 millones de personas. Los teléfonos con tarjeta no registrados en el plazo fijado quedarán fuera de servicio.
Este sistema de registros implicará que los usuarios tendrán la obligación de denunciar cuando pierden el teléfono o se lo roban, para que pueda ser dado de baja.
Además, las empresas de celulares (Movistar, Personal, Claro) tendrán la obligación de intercambiar entre sí la información sobre celulares robados o extraviados, con el mismo objetivo: mantener actualizado el registro.
La norma alcanza incluso al uso cotidiano de los teléfonos: quienes usan los sistemas prepagos deberán demostrar que son un "usuario legítimo" para poder habilitar cada tarjeta que compren. "Es igual que exigir a quien compra balas certificación de que tiene su arma declarada", explicaron los funcionarios.
La medida serán similares cuando se compra un Módulo de Identificación Removible, el popular chips SIM (sigla en inglés), que son los que portan el número del teléfono.
Si un teléfono sale del circuito legal por robo o hurto, no podrá ser rehabilitado nuevamente. En los hechos, hoy cuando se denuncia la pérdida de un móvil, las empresas inmediatamente lo dan de baja. Pero el "craqueo" de aparatos por parte de técnicos que les cambian los números de identificación hace que haya un mercado negro de móviles. Ahora, eso será delito.
No se podrá rehabilitar celulares usados sin exhibir antes la factura de venta o transferencia personal.
En el caso de los usuarios que traigan por su cuenta celulares del exterior, deberán exhibir la factura de compra y la documentación de importación para poder habilitarlo en el país.
Fuentes:
Infobae Profesional
Clarin
La Nación
http://www.infobaeprofesional.com/notas/70209-Celulares-el-Gobierno-sale-a-justificar-el-registro-obligatorio.html
http://seguinfo.blogspot.com/2008/08/al-comprar-un-celular-habr-que.html
Correos de CNN y Antivirus XP 2008
ESET acaba de publicar artículos sobre los correos de CNN que invaden nuestra casilla a través de spam y en blogs de Blogspot. Estos correos y blogs tienen como objeto descargar tres malware, uno de los cuales es el Rogue Antivirus XP 2008 sobre el cual desarrollé un paper explicando su funcionamiento.
Fuente:
SeguInfo
Suscribirse a:
Entradas (Atom)
