Los 10 mandamientos de la seguridad

La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony, han ubicado al tema de la fuga de información entre los más discutidos y controversiales. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

Con el primordial objetivo de contribuir con la educación e información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa. Éstos son los principios básicos que deben regir la protección de la información en las empresas:

 

• 1. Definirás una política de seguridad.
• 2. Utilizarás tecnologías de seguridad.
• 3. Educarás a tus usuarios.
• 4. Controlarás el acceso físico a la información.
• 5. Actualizarás tu software.
• 6. No utilizarás a IT como tu equipo de Seguridad Informática.
• 7. No usarás usuarios administrativos.
• 8. No invertirás dinero en seguridad sin un plan adecuado.
• 9. No terminarás un proyecto en seguridad.
• 10. No subestimarás a la seguridad de la información.

Visto en cnnexpansion.com

* Definirás una política de seguridad: es el documento que rige toda la seguridad de la información en la compañía. ¿Algunos consejos? Que no sea muy extensa (ningún empleado podrá comprometerse con un documento de cincuenta páginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perderán credibilidad) y que se les de valor (otra recomendación: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte técnico de IT).

* Utilizarás tecnologías de seguridad: son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam; estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

* Educarás a tus usuarios: …y comenzando por la aclaración: educarás a todos tus usuarios. Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ThreatSense.Net,
el 45% de las amenazas detectadas en la región utilizan Ingeniería Social, por lo que atentan contra el desconocimiento del usuario para infectarlo.

* Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información “virtual”, sino también los soportes físicos donde esta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a estos? Sin lugar a dudas, el acceso físico es fundamental. También deben se considerados en este aspecto los datos impresos, como por ejemplo el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.); o el acceso a las impresoras (¿alguien podría tomar “accidentalmente” información confidencial?).

* Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

* No utilizarás a IT como tu equipo de Seguridad Informática: es uno de los errores más frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnológico. Además, es importante que exista un área cuyo único objetivo sea la seguridad de la información, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

* No usarás usuarios administrativos: de esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo. Una vez más, vale destacar la importancia de aplicar este control para toda la empresa: los integrantes del departamento de IT o la alta gerencia, también deben utilizar permisos limitados en el uso diario de la computadora.

* No invertirás dinero en seguridad, ¡sin pensar!: la seguridad deben ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la información que se está protegiendo, y la probabilidad de pérdidas por incidentes; puede derivar en dinero mal invertido, o básicamente en dinero perdido. La seguridad debe proteger la información, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular… ¡y pensar!

* No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.

* No subestimarás a la seguridad de la información: finalmente, entender el valor que asigna al negocio tener la información protegida, es nuestro último y quizás más importante mandamiento. Pensar que un control no debe implementarse, porque “no creo que esto me ocurra”, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, serán muchos los que deban arrepentirse: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.


Por Sebastián Bortnik
Coordinador de Awareness & Research de ESET LA

Fuente: www.lambdasi.com.ar

 

Los perfiles de Google serán públicos, sí o sí

Para Google los perfiles privados no son de utilidad, ya que impiden de alguna manera la expansión de contactos, y de esta forma, crear una aplicación que pueda hacer frente a las redes sociales actuales. Esta es la principal conclusión que se puede obtener del anuncio que ha realizado Google con su propuesta de cancelación de perfiles privados.
Hasta ahora, los usuarios con perfil en Google podían elegir entre ser privados o públicos, es decir, elegir el destino de sus datos en la Red. A partir del 31 de julio cambian las condiciones de uso de forma automática y sin posibilidad de elección: si se desea tener perfil en Google éste será público, si ya existe y no se está de acuerdo, se eliminará. La única información disponible por defecto en el perfil público serán el nombre y el género, aunque se podrá configurar qué datos se quieren publicar.
El objetivo es claro: favorecer el encuentro de personas en Internet y crear amplias redes de conexión. No caben dudas sobre los deseos de Google de posicionarse en el mercado en este tipo de redes; dotando de  utilidad económica a los perfiles.
Pero, ¿qué hay sobre la intimidad y privacidad que tanto puede preocupar a los usuarios? Ingentes cantidades de información personal circulan con libre acceso a través de la red, disponibles en cualquier buscador. De este modo se pierde totalmente el control de los datos personales que hacemos públicos en Internet, propiciando un nivel sin precedentes de divulgación de información.
Aunque este tipo de servicios aporten oportunidades reales de comunicación y promoción, su utilización puede plantear serios riesgos para la privacidad. Desde Google se debería considerar más seriamente la seguridad de la información con la que trabaja, como el control y protección de usuarios ante accesos fraudulentos o la eliminación efectiva de los perfiles tras la baja del usuario, así como todo el rastro que queda en la red o almacenado en otros perfiles.
Un ejemplo de las consecuencias de este tipo de servicios web es la actual costumbre (en aumento) de los responsables de personal de investigar los perfiles de los candidatos a un puesto de trabajo, o incluso de los empleados actuales. Además, esa información la utilizan otros departamentos para la emisión de mensajes de marketing personalizado.
Aunque me parezca un atentado contra la privacidad de los usuarios del servicio que vienen usando hasta ahora, Google está en su pleno de derecho de establecer las normas que crea más apropiadas para su negocio. Se trata de una estrategia de negocio más que pretende competir con los más grandes en un momento actual donde el mercado empieza a saturarse, e imagino que alguna novedad más traerán sus nuevos servicios de Google +, vulnerando la privacidad de millones de usuarios que de forma alternativa utilizaban el servicio.

Por Iván Ontañón Ramos, consultor legal de Áudea
visto en baquia.com


Pagina oficial de Google en realcion al tema informa...




 

Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información, TIBETS

Del 2 al 4 de noviembre de 2011 se celebrará en la Universidad Pontificia Bolivariana de Bucaramanga, Colombia, el VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 y, dentro de este evento, el primer Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS.

 
Se trata de un foro abierto sobre lo que ya se está haciendo, o bien lo que se desea hacer, en cuanto a la enseñanza y la innovación educativa en seguridad de la información en Iberoamérica.
Las siglas del taller, TIBETS, además de estar sus letras en el nombre del evento, sugieren un reto y una cima de calidad a la que todos los centros e institutos de investigación desean llegar en la enseñanza y la formación de esta especialidad en los países iberoamericanos.
No es necesario presentar una ponencia para participar en el taller.
 

En esta primera edición del taller, las ponencias no deberán cumplir un formato específico; por tanto no es necesario enviar previamente la documentación sino llevarla al congreso para entregarla a los interesados.

De acuerdo a la cantidad de ponencias y presentaciones recibidas, se distribuirá el tiempo asignado a TIBETS dentro del CIBSI.

 

Además de las ponencias del taller, que serán en todo caso de corta duración, se abrirá un Coloquio donde todos los asistentes puedan debatir sobre esta temática, aportar ideas, realizar consultas, pedir información, colaboración, ayuda, establecer contactos, etc.

 

Se trata de una excelente oportunidad para poner sobre la mesa toda la oferta de formación de alto nivel que en la actualidad existe en Iberoamérica en cuanto a Seguridad de la Información, los proyectos educativos que se encuentran en fase de desarrollo y preparar las bases en esta primera reunión para próximos encuentros y talleres de TIBETS.

 

Se irá anunciando la marcha e inscripciones del taller en la página Web del congreso: http://www.cibsi.upbbga.edu.co/ 

 

Para participar en TIBETS es necesario inscribirse en CIBSI, lo cual da derecho además a lo que se indica en la página Web del congreso. Los gastos de viaje y alojamiento son, como en cualquier congreso, por cuenta del participante.

SysAdmin Day

Al igual que el año pasado saludamos a los administradores en su día.

July 29, 2011 (Last Friday Of July)12th Annual
System Administrator Appreciation Day

Código Seguro. Discriminación del Código Malicioso

Código Seguro

Microsoft ofrece recompensas para encontrar cibercriminales

Microsoft anunció el pago de recompensas de hasta 250.000 dólares para quien de información que permita la identificación y captura de los creadores de Rustock, una red mundial que tiene capacidad de enviar hasta 30.000 millones de spams al día.

De acuerdo con el responsable de la unidad de crímenes digitales de Microsoft, Richard Boscovich, Rustock cayó en marzo tras la acción civil efectuada por la compañía. En operativos de fuerzas de seguridad se secuestraron ordenadores maestros que coordinaban la red, lo que redujo la cantidad de correo basura que circulaba por Internet. Ahora la investigación se centra en atrapar a los cibercriminales.

Microsoft sospecha que la red se originó en Rusia. "En base a evidencia reunida para el caso, tenemos motivos para creer que la gente detrás de Rustock operaba u opera desde Rusia", dijo Boscovich.

Inicialmente Microsoft había publicado anuncios en periódicos rusos informando de la demanda que la compañía llevó a la justicia, con la esperanza de que los responsables de la red salieran.

Pero como la estrategia no funcionó, ahora la compañía ha decidido ofrecer una recompensa.

"Aunque el principal objetivo de nuestro operativo legal y técnico ha sido detener y desbaratar la amenaza que Rustock representaba para todos los afectados, también creemos que los responsables deben hacerse cargo de sus actos", dijo Boscovich.

La red fue reducida en un tercio en marzo pasado, según un informe de Mesaagelabs de Symantec que informó del importante papel de esta organización tanto en la producción de correos basura como en códigos maliciosos desde el año 2006 y que llegó a enviar hasta 44.100 millones spams al día.
Symantec señaló que Rustock era responsable del 47,5 por ciento de todo tipo de spams.

Fuente: www.clarin.com


Link relacionado:
-  Microsoft Offers Reward for Information on Rustock

Hacker roba y publica 18 mil documentos científicos del MIT

Un "activista de la Guerrilla" robó y publicó en Internet más de 18 mil documentos científicos entre artículos y estudios del Instituto Tecnológico de Massachusetts (MIT).

La noticia publicada por la revista de la misma institución, Technology Review, señala que el robo llega en protesta contra el arresto de un investigador de Harvard de 24 años durante esta semana que al mismo tiempo intensificó la pelea por el acceso libre a registros y estudios científicos.

"Ayer, en respuesta al arresto, un activista de Internet declaró haber entrado en la red del MIT y recolectado cerca de 5 millones de artículos escolares," indicó Samantha Murhpy en su nota. "Un segundo 'hacker' irrumpió en el mismo sistema y tomó más de 18 mil 592 artículos pertenecientes al acervo disponible únicamente bajo suscripción."

El segundo hombre fue identificado como Greg Maxwell de 31 años, un "matemático recreacional y científico de hobbie" del norte de Virginia.

El año pasado, Aaron Swartz, investigador de Harvard, fue acusado de descargar artículos ilegalmente desde la base de datos académica conocida como JSTOR. En el 2008, hizo un llamado a través del "Guerrilla Open Access Manifesto" en el que pidió a activistas a pelear de vuelta en contra de los servicios que guardaban celosamente bajo "un servicio de pago" documentos y estudios de la comunidad científica.

De acuerdo con Maxwell, los documentos que publicó son parte de las Transacciones Filosóficas de la Sociedad Real y que fueron publicadas ya antes de 1923, lo cual indicaría que son de dominio público.

En su momento, Swartz devolvió los documentos voluntariamente a JSTOR y el MIT no presentó cargos; sin embargo, podría enfrentar 35 años en prisión y un millón de dólares en multas como resultado de una orden federal. Por su parte, no han presentado cargos en contra de Maxwell.

El robo viene en un mal momento en el que el "hacktivismo" se ha apoderado de Internet. Decenas de activistas se han levantado en una era de "vigilantismo" que busca externar las operaciones internas de las grandes empresas y gobiernos, así como su corrupción.

Fuente: mx.ibtimes.com

 

Muchos empleados venderían información corporativa

La investigación de SailPoint encontró que muchos empleados en un país estarían dispuestos a robar datos corporativos y venderlos con fines de lucro

Por Joan Goodchild
CSO (EE.UU.)

Una encuesta realizada a más de 3.400 empleados en los Estados Unidos, Gran Bretaña y Australia encontró que la lealtad a la empresa puede estar condenada, los datos de su empresa podrían estar en camino a la puerta, cuando algunos empleados renuncian o pierden el empleo .
La investigación, realizada por Harris Interactive para la empresa de seguridad SailPoint, encontró que un número significativo de empleados encuestados admitió hacer mal uso de datos de la empresa, varios incluso dijeron que estarían dispuestos a la venta de información confidencial y patentada con fines de lucro.


Entre los hallazgos:

• - De los encuestados, 22 por ciento de EE.UU., el 29 por ciento de Australia y el 48 por ciento de los empleados británicos que tienen acceso a los datos privados de su empleador o los clientes, se sienten cómodos haciendo algo con esos datos, independientemente de si el acceso a los datos fue intencional o accidental.
• - Muchos dijeron que enviarían archivos electrónicos a no-empleados. El 10 por ciento de los estadounidenses, el 12 por ciento de los australianos y el 27 por ciento de los empleados británicos, indicando que lo harían.
• - El nueve por ciento de los estadounidenses, un 8 por ciento de los australianos y el 24 por ciento de los británicos admitieron que copiarian los datos electrónicos y archivos para llevarlos con ellos cuando salen de una empresa.
• - La encuesta preguntó si un empleado se sentía cómodo al aprovecharse de información confidencial y venderla a través de Internet. Mientras que sólo el 5 por ciento de los estadounidenses y un 4 por ciento de los empleados de Australia con el acceso requerido respondieron afirmativamente a la pregunta, el 24 por ciento de los empleados británicos con acceso dijeron que se sienten cómodos con aprovecharse de los datos para la venta.

Fuente: www.pcwla.com

Link relacionados:
- SailPoint Global Market Pulse Survey Underscores Risk of Insider Threats



 

BlackBerry PlayBook, la primera tablet con certificación FIPS

RIM ha recibido la certificación FIPS140-2 para su nueva tableta BlackBerry PlayBook, convirtiéndose en el primer dispositivo certificado para su utilización por parte de las agencias gubernamentales federales de EEUU.

Hasta ahora, ninguna otra tableta del mercado ha obtenido la certificación FIPS (Federal Information Processing Standard o Estándar de Procesamiento de Información Federal), concedida por el NIST (National Institute of Standards and Technology o Instituto Nacional de Estándares y Tecnología) y obligatoria, como se dispone en la Ley de Administración de la Seguridad de la Información Federal de 2002, o FISMA.

Más...

 

Protéjase de los virus para celular

Debido a su auge, comienzan a crecer los programas malignos para móviles.

A medida que crece la fiebre por los smartphones y las tabletas, tanto para labores personales como privadas, con una conexión constante a Internet, los delincuentes informáticos han visto en estos dispositivos un nuevo escenario para sus fechorías.

Un equipo 'hackeado', robado o extraviado puede significar el hurto no sólo de datos privados del usuario, sino de información financiera o empresarial sensible para la estabilidad de cualquier negocio.

Según el Informe de Amenazas de Seguridad Informática del primer trimestre del 2011, realizado por la compañía de seguridad McAfee, los nuevos objetivos del malware (software que tiene como objetivo infiltrarse o dañar un dispositivo sin el consentimiento de su propietario) y la ciberdelincuencia son ahora los sistemas operativos de los dispositivos móviles.

Durante los primeros tres meses de este año, el Android de Google ha sido el segundo sistema operativo más atacado por malware, después del Symbian de Nokia, afirmó McAfee. Agregó en su estudio que "se espera que a medida que vaya aumentando la popularidad de Android en todo el mundo, el malware desarrollado para este crezca".

Actualmente McAfee trabaja en el desarrollo de soluciones de seguridad contra varias familias de malware dirigidas a los teléfonos Android.

Una de ellas, 'Android/DrdDream', incluye una serie de juegos y aplicaciones legítimos en los que se ha inyectado código malicioso. Estas amenazas son únicas y peligrosas, ya que permiten a los delincuentes un mayor control de los smartphones.

Otra forma de vulnerar los dispositivos es a través de la modificación de aplicaciones altamente demandas en las tiendas de descargas, con las que los ciberdelincuentes roban información y la envían a sitios controlados por ellos.

El virus 'Android/SteamyScr.A', recientemente lanzado, es una versión modificada de una aplicación que convierte la pantalla del teléfono en una ventana empañada. Este malware recoge los datos del dispositivo (el Imei o código de identificación del teléfono móvil, así como los números de teléfono) y los envía a los cibercriminales.

Los problemas de seguridad también se extienden a otros equipos y sistemas operativos. En el caso de Apple, ocurre cuando los usuarios desbloquean los equipos (iPhone, iPod Touch, iPad y Apple TV) o realizan el proceso conocido como 'jailbreak ebn', el sistema operativo iOS, con el que es posible descargar y ejecutar aplicaciones distintas a las alojadas en la App Store.

Aplicar 'jailbreak' no es ilegal, pero sí permite instalar al usuario aplicaciones 'crackeadas' o desbloqueadas, lo que es ilegal y con lo que se pierde la garantía del dispositivo.

Al aplicar el proceso se abre un 'agujero' en la seguridad del equipo.

La semana pasada Apple lanzó la actualización (4.3.4) para iOS, el sistema operativo del iPhone, que repara varios fallos de seguridad en el procesamiento de los archivos PDF y evita que se pueda liberar el teléfono mediante la famosa aplicación jailbreaking.

Los hackers lanzaron días después el programa Pwnage Tool, que permite a los propietarios de productos iOS hacer un 'jailbreak' a cualquier dispositivo, excepto el iPad 2. 

Para evitar los problemas
Android

En el Android Market se encuentran aplicaciones gratuitas y de pago de AVG, Kaspersky, McAfee y Lookout, que protegen el equipo de los virus y 'malware' y permiten encriptar información y borrar datos de manera remota.

Symbian

La tienda de Nokia ofrece MYMobile Protection, Kaspersky, Mobile Antivirus, Dr. Web Mobile Security, MobiShield y F-Secure Mobile Security, en versiones gratuitas.

BlackBerry

Para proteger los equipos BlackBerry, de RIM, se pueden descargar sin costo de la AppWorld: AVG, McAfee Wave Security, Mobile Security Suite, SmrtGuard Mobile Security, entre otras.

Apple

El mejor consejo para los usuarios de iPad, iPhone y iPod Touch es que no desbloqueen sus equipos o realicen 'jailbreak'. Este procedimiento genera la pérdida de la garantía de los dispositivos.

En los equipos BlackBerry
Algunos virus los pueden afectar a través de sms

Se han encontrado virus en estos equipos, y la razón principal es que los usuarios conectan su 'smartphone' a PC que están infectados, lo que causa lentitud en los aparatos. Otra causa de infección es la circulación a través de mensajes de texto (SMS). Se trata de Zeus, un virus (troyano) que entrega a los delincuentes el control del BlackBerry y les permite encenderlo o apagarlo, cambiar el número utilizado para los SMS, agregar un nuevo administrador y controlar la lista de llamadas bloqueadas.

Fuente: www.eltiempo.com

MIGUEL JARAMILLO ÁNGEL

Estudio sobre Seguridad de Información y Privacidad de Datos 2011 (Panamá).

RISCCO y la Universidad Tecnológia de Panamá, concluyen que los avances en mejorar la seguridad de información en las organizaciones no son evidentes, al comparar los resultados del estudio del 2011 con los del 2010.

La necesidad que encaran las organizaciones hoy día para mantener el ritmo de crecimiento de los ingresos y reducir costos, ya sean, privadas o estatales, no puede afectarse por los riesgos tecnológicos a los que están diariamente expuestas.
Con el afán de proteger las redes y datos en un mundo digitalmente riesgoso, las organizaciones tienden, muchas veces, a establecer controles pensando que la amenaza severa provendrá principalmente, de un externo a la organización.
Los resultados de esta segunda edición del estudio, reflejan que, muy probablemente, las organizaciones no están valorando con suficiencia el riesgo interno al que están expuestas.  De muy poco ayuda disponer de un equipo que proteja la seguridad perimetral de la red, si internamente, ante la falta de controles, alguien puede
copiar en una memoria tipo USB datos confidenciales de clientes o de la propia organización, llevárselos sin autorización y sin que nadie lo advierta oportunamente.

La segunda edición del estudio fue realizada entre febrero y junio de 2011.  Participaron 81 organizaciones privadas e Instituciones del Estado en Panamá.  Los resultados son una invitación a reflexionar,
si en la organización, a la seguridad de información, se le da la importancia que merece.
Nuevamente, la Universidad Tecnológica de Panamá y RISCCO, deseamos expresar nuestro agradecimiento a todos los participantes del estudio, por tomarse el tiempo y apoyar esta iniciativa.

Descarga del estudio 2011



The Lightweight Portable Security LiveCD - Distribución del Departamento de Defensa de EE.UU

La distribución de GNU/Linux creada por el Departamento de defensa de EE.UU., hace unos días que anunció la liberación de la versión 1.2.2 de este pequeño Sistema Operativo portátil que se puede arrancar desde un CD-ROM o un dispositivo USB.

Lightweight Portable Security 1.2.2 (LPS), es una distribución concebida para ser ejecutada en ordenadores poco confiables, como en un cibercafé, para poder conectarnos a Internet o entrar en redes remotas de una forma segura y sin dejar rastro, ya que la distribución se ejecuta directamente desde la memoria RAM, y no guarda ninguna información en los discos locales.

Esta distro, dispone de Firefox con soporte java y flash, encriptación, visor de PDF, explorador de archivos, programa de acceso remoto a escritorios, cliente SSH y la posibilidad de montar unidades USB.

Descarga:

• Download the LPS-Public ISO image, version 1.2.2 (16 July 2011).
• Download the zipped version instead (16 July 2011).

• Download the LPS-Public Deluxe ISO image, version 1.2.2 (16 July 2011). This version is the same as the LPS-Public edition, but also includes OpenOffice and Adobe Reader software.
• Download the zipped version instead (16 July 2011).

Web del proyecto

Cómo proteger tu celular ante un robo o extravío

Desde configurar una contraseña hasta contar con la posibilidad de borrar de forma remota los datos de un equipo basado en Android o de las marcas BlackBerry, iPhone o Nokia; consejos y recomendaciones de seguridad

Sacar una foto, escribir un texto para un blog, actualizar el perfil de una red social o navegar por la Web podrían ser actividades que se realicen en dos o tres equipos diferentes. Sin embargo, los avances en las características técnicas de estos dispositivos (capacidad de almacenamiento, poder de cómputo y acceso a Internet, entre otras especificaciones), permitieron que los teléfonos celulares se conviertan en pequeñas computadoras móviles, con las mismas prestaciones que una netbook o notebook.

Más...

LaNacion.com.ar

Presentaciones de OWASP Latam Tour Argentina

Se encuentran disponibles las presentaciones del evento "OWASP Latam Tour - Argentina":

 Modulos:

• - OWASP Top 10 and Monster Mitigations
• - OWASP Mantra - Security Framework
• - OWASP ESAPI Swingset
• - OWASP WebGoat & Webscarab
• - OWASP Manifesto for Governments

El 60% de clientes dejarían un servicio ante fugas de información

BUENOS AIRES.- La fuga de información es motivo suficiente para que 6 de cada 10 clientes decidan cambiar de proveedor de servicios, de acuerdo a los resultados arrojados por una encuesta realizada por ESET Latinoamérica.

La fuga de información no es una problemática nueva para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal.

La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para que no suceda una fuga y se deben tener en cuenta medidas en el caso desafortunado que así ocurra.

Consultados sobre las acciones a tomar en caso de que su información se viese expuesta a este tipo de incidente, el 81.7% de los usuarios aseguró que cambiaría la contraseña y el 77.3% que cancelaría su cuenta o tarjeta de crédito.

Adicionalmente, 62.9% de los encuestados respondieron que dejaría de utilizar el producto o servicio cuya empresa sufrió la fuga de información.

Más...

Fuente: www.latribuna.hn

Online Web Page Scanner

Para los caso que queremos hacer un scan a un web site porque tenemos dudas si tiene códigos maliciosos existen muchas herramientas de detección.

Algunas herramientas te permiten realizar el scan en modalidad online:

• - Trend Micro Site Safety Center

• - AVG Online Web Page Scanner

• - Página de diagnóstico de Google

 
• - URLVoid - Check Reputation of Domains and Subdomains (Multi Check)

•  - URLVoid Find Parasites

• - Symantec Norton Safe Web

 Otras:

• - Onlinelinkscan.com
• - McAfee SiteAdvisor Software – Website Safety Rating  (complemento gratuito para navegadores )

• - Unmask Parasites

• - Finjan Malware Scanner Free Online Tool

• - F-Secure Browsing Protection Portal

• - PhishTank

• - TrustedSource – Internet reputation system

• - SiteTruth site rating – search, with less evil

• - Online Web Safety Scan

Seis de cada diez usuarios de Avast ejecutan versiones vulnerables de Adobe Reader

Según estadísticas de Avast, seis de cada diez de sus usuarios están ejecutando una versión antigua de Adobe Reader, o lo que es lo mismo: seis de cada diez de sus usuarios están ejecutando versiones vulnerables del lector de documentos PDF.

Teniendo en cuenta que Reader es uno de los mayores objetivos de los creadores de malware, esta es un cifra preocupante. Sobre todo si contamos con que los autores de malware buscan constantemente aprovechar las vulnerabilidades con parches de seguridad. Incluso hay paquetes especializados en explotar PDF dirigidos a los usuarios que ejecutan versiones obsoletas de Adobe Reader.

El consejo es, si utilizas Adobe Reader, mantener el programa en su última versión con sus respectivos parches. Los usuarios de Windows deben optar por la opción de actualización automática.

Fuente: ZDNet

Visto en blogantivirus.com

Detenidos 14 miembros de Anonymous por el ataque a PayPal

El FBI ha llevado a cabo una redada contra el colectivo Anonymous que se ha saldado con la detención de 14 personas a los que se les acusa de participar en el ataque de denegación de servicio (DDoS) contra PayPal en diciembre del año pasado. Los detenidos se enfrentan a penas de hasta 10 años de prisión y 500.000 dólares de multa.

Más...

Fuente: www.idg.es

Usuarios de teléfonos inteligentes no se preocupan por sistemas de seguridad

Robo de información, ataque de códigos maliciosos y robo del teléfono, son las principales preocupaciones de los usuarios de Smartphones, según estudio de ESET

 

La firma de antivirus informáticos ESET Latinoamérica reveló este martes que por lo menos ocho de cada 10 usuarios de teléfonos inteligentes (Smartphones) no se preocupan por las soluciones de seguridad del sistema de su equipo, aunque lo consideran necesario.
Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica, reveló los resultados de la última encuesta realizada por su equipo de análisis e investigación.
Precisó que por cada 10 usuarios de Smartphones, nueve consideran importante contar con una solución de seguridad en su teléfono y sólo uno realmente la tiene. Es decir, un usuario tiene algún tipo de protección de seguridad en su equipo y los restantes nueve carecen de la misma, aunque la consideran importante.

Importante y necesario
“Al ser consultados sobre la importancia de contar con una solución de seguridad en sus smartphones, el 94.3% de los encuestados respondió considerar necesaria la protección de sus equipos con el fin de resguardar su información. Sin embargo más del 80% no cuenta con ningún tipo de software de seguridad en sus dispositivos móviles”, explicó ESET en un informe.
Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica, indicó que “la utilización de teléfonos inteligentes se encuentra en aumento. Según una investigación desarrollada por la empresa Gartner, durante el año pasado se compraron 297 millones de smartphones en todo el mundo, un incremento del 72% con respecto al 2009”.
Lo más complicado, en opinión de Pacheco, es que a diferencia de las computadoras, estos aparatos “son más susceptibles de ser robados o extraviados y, además, son frecuentemente conectados a redes inalámbricas cuya seguridad se desconoce”.
“Los usuarios de la región señalan el robo de información como la principal preocupación en materia de ataques a sus dispositivos móviles, con el 36.8% del total de las respuestas”, indicó.

Las preocupaciones
Pacheco destaca que “un dispositivo móvil permite almacenar una gran cantidad de información y tener la posibilidad de estar siempre conectado, acceder al correo electrónico, las redes sociales o navegar a través de la web. Con la alta concentración de datos en el mismo, un atacante que logra infectar el dispositivo y acceder a él, puede entrometerse en la vida privada del usuario y acceder a sus datos personales”.

El estudio destaca como segunda preocupación (27.6 %), el ataque de códigos maliciosos y el robo físico del dispositivo. Finalmente, la recepción de spam vía mensajes de texto, se ubica en el último lugar, con el 8% de las respuestas.


Fuente: www.elnuevodiario.com.ni

Análisis Forense en Facebook

La popularidad de Facebook ha crecido exponencialmente en los ultimos años, pero con el aumento de su popularidad, tambien se ha incrementado los casos de delitos sobre esta plataforma, Suplantacion de identidad, Extorcion, Difamacion, Pedofilia, Ciber Acoso, son solo algunos de los delitos mas comunes realizados por Facebook.

Analizar lo sucedido en esta red social muchas veces es clave para poder resolver los casos en los que por medio de Facebook se ha cometido algun delito; En el siguiente paper creado por el grupo investigadores GruValkyrie-X, nos cuentan detalladamente como realizar un analisis forense a Facebook (las charlas, comentarios en el muro, eventos, grupos, etc…) asi como su aplicacion para dispositivos moviles, ya que cada accion en esta red social deja huellas que pueden ser utilizadas para descubrir que se realizó sobre ella.

Visto en www.dragonjar.org



Lectura online:


Tambien puedes descargarlo en PDF (Mirror de la Comunidad DragonJAR)

Alerta de Seguridad iOS (iPhone, iPod y iPad): Múltiples vulnerabil​idades

Se han reportado múltiples vulnerabilidades para iOS que permitirían elevar privilegios y  ejecutar código arbitrario en un dispositivo afectado.

ImpactoEl impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO

Versiones AfectadasSe ven afectados por estas vulnerabilidades los siguientes productos y versiones:
iOS 3.0 a 4.3.3 para iPhone 3GS y 4 (modelo GSM )
iOS 4.2.5 a 4.2.8 para iPhone 4 (modelo CDMA)
iOS 3.1 a 4.3.3 para iPod touch 3ra. generación y posteriores
iOS 3.2 a 4.3.3 para iPad

RecomendacionesSe recomienda actualizar, según corresponda a:
Para iPhone 4 (modelo CDMA) a iOS 4.2.9 o iOS 4.3.4, y
Para iPhone 3GS y iPhone 4 (modelo GSM), iPod touch 3ra. generación y posteriores, y iPad  a iOS  4.3.4

Referencias
Más información sobre esta Alerta:
Apple:
http://support.apple.com/kb/HT4802
http://support.apple.com/kb/HT4803
http://support.apple.com/es_ES/downloads/
Secunia:
http://secunia.com/advisories/45224/


Fuente:  Alerta ArCERT - 2011071800: iOS (iPhone, iPod y iPad): Múltiples vulnerabilidades - www.arcert.gov.ar

La privacidad en Facebook vs Google Plus

La red social de Google está pegando fuerte durante estos días. Con más de 10 millones de usuarios en una semana se está convirtiendo en un rival a tener en cuenta por el gigante Facebook. Pese a que hay muchas similitud, quizás la mayor diferencia radica en la seguridad de la información.

Es evidente que Google + quiere entrar el terreno social donde Facebook es el líder. Para ello, ha tenido intentos fracasados como Buzz pero parece que ahora ha dado con el kit de la cuestión: la privacidad. Aunque todavía es pronto para vaticinar nada, muchos usuarios ya han asegurado que Google + ofrece condiciones de privacidad que no tiene Facebook pero ¿qué hay de cierto en todo esto?

Para poder ver las diferencias en este aspecto entre ambas redes sociales donde ya se aglutinan millones de internautas -siendo Facebook la ganadora por goleada, popularidad y tiempo en la Red-, vamos a analizar por separado cada una de las ellas. Sin embargo, antes de ellos os mostramos un extracto de la política de privacidad de cada uno de los servicios.

Facebook

Si nos fijamos en su política de datos vemos que todos los contenidos -fotografías, vídeos o conversaciones- que se introducen en Facebook tienen una licencia “no exclusiva, transferible, sublicenciable, libre de derechos y con validez internacional”.

Básicamente, lo que quieren decir todos estos derechos es que Facebook podrá hacer con esa información lo que quiera dentro de las limitaciones de privacidad que configuremos en nuestra cuenta.

Google Plus

En el caso de lo Google Plus y Picasa -el servicio de fotografías de Google-, la política de privacidad comenta “Google no reclama ningún derecho de propiedad de los contenidos incluidos textos, información, datos, imágenes, música o vídeos que se puedan transferir por el servicio”.

Así, el servicio de Google asegura que no podrá utilizar los contenidos vertidos en su servicio para nada más allá del propio servicio.

Conclusión

De esta forma, la diferencia es clara. Así como Facebook, como empresa social, busca la rentabilidad económica de su servicio con la información de sus usuarios, de momento, Google + no se ha decantado por esta estrategia. De ahí que muchos usuarios les esté interesando está opción y Google + esté sumando seguidores a muy buen ritmo.

Fuente: muyinternet.com

Information Security Events For July

Here are information security events in North America this month:


ReCon 2011: July 8 to July 11 in Montreal



SANSFIRE 2011: July 15 to July 25 in Washinton, DC



SOUPS 2011: July 20 to July 23 in Pittsburgh



TRISC 2011: July 24 to July 27 in Austin



PETS 2011: July 27 to July 30 in Waterloo



Black Hat Las Vegas: July 30 to August 5 in Las Vegas




SANS Canberra: July 1 to July 9 in Canberra




SyScan China 2011: July 21 to 22 in Shanghai



SANS Tokyo Summer 2011: July 25 to July 30 in Tokyo


Fuente: infosecevents.net

Seguridad y protección de los datos en los data centers de Google

Blog de Google
Cada vez que un usuario busca información en Google.com, envía un email desde Gmail o edita un documento con Google Docs, el poder de muchas supercomputadoras entra en acción para poder completar estas tareas. Todo lo que se necesita es una conexión de Internet para poder acceder a la información desde cualquier lugar y con cualquier dispositivo. Las nuevas funcionalidades, aparecen con solo refrescar el navegador. Esto es posible porque los datos y las aplicaciones, en vez de estar alojados en una única computadora, residen en diversos servidores que se encuentran en grandes edificios especializados: los famosos centros de datos (o data centers). Básicamente de eso se trata la arquitectura cloud computing o computación en la nube.

En Google, contamos con una red de centros de datos que son construidos para brindar escala (la capacidad casi inmediata de contar con más recursos de IT) y confiabilidad. También son diseñados para brindar seguridad y protección de datos. Para las 3 millones de organizaciones que ya se han pasado a Google Apps y los miles que se suman diariamente, este tipo de funcionalidades sirven para que los usuarios estén tranquilos de que sus datos son guardados de manera segura.

Muchos de nuestros usuarios nos manifestaron su interés en visitar nuestros data centers para ver por dentro cómo trabajamos para proteger sus datos. Pero el acceso a estos edificios está rigurosamente restringido para que esa información permanezca segura. Por lo tanto, decidimos hacer un video que resalta algunas capacidades de nuesros centros de datos:

1.  - Seguidad física
2. - Protección de datos
3. - Confiabilidad de las operaciones

Sabemos que este material será de gran interés para nuestros clientes de Google Apps, pero creemos que también le puede interesar a una audiencia más amplia para conocer más detalles acerca de cómo operamos nuestros centros de datos:



Además de todas estas medidas de seguridad que han podido observar en el video, también estamos comprometidos en brindarles funcionalidades de producto que permiten garantizar la seguridad y la protección de los datos de nuestros usuarios. Para este fin, somos el primer gran proveedor de soluciones en la nube que ofrece: verificación en 2 pasos, encriptación https por defecto, visualización de documentos adjuntos y gestión de dispositivos móviles dentro del navegador, y muchas otras capacidades de seguridad y administrativas, sin cargos adicionales para los clientes.

Nuestros data centers no solo son muy seguros, sino que también son altamente eficientes y minimizan el impacto ambiental. Hemos logrado reducir nuestro consumo de energía en más del 50% gracias a la construcción de instalaciones altamente eficientes en su uso. Para saber más acerca de los esfuerzos de eficiencia de Google y la utilización de energía renovable, hacer click en los vínculos.

Para más información acerca de la seguridad y privacidad en Google Apps, hacer click aquí

Fuente: El Blog de Google para América Latina

Humor: Control de audio

 

 

Movilidad, un reto a la seguridad

Cada vez más empleados pasan mayor tiempo fuera de la oficina y usa dispositivos propios para trabajar, lo cual vulnera la seguridad informática.

Cada vez es más común que las oficinas se encuentren desocupadas, IDC estima que entre 11% y 49% de los empleados pasa el 31% de su tiempo fuera, ya sea porque se encuentra visitando clientes, trabajando desde su casa o de viaje ; y desde estos diversos puntos realizan actividades relacionadas con su trabajo mediante sus propios dispositivos móviles.

Bajo el esquema conocido como bring your own device en el que los empleados utilizan sus propios dispositivos para realizar su trabajo fuera de la oficina, ha puesto de relieve la necesidad de contar con mejores herramientas para el acceso y sobre todo la protección de la información que va y viene fuera de los límites físicos de la organización y del “perímetro de seguridad”.

Empresa Segura
Según datos de The Competitive Intelligence Unit, en México hay poco más de 10 millones de usuarios que utilizan smartphones; estos dispositivos junto con las notebooks y tablets, ponen en alto riesgo a las empresas ya que pueden ingresar y almacenar información valiosa para las organizaciones que queda altamente vulnerable por la probabilidad de que estos equipos sean robados o extraviados. Además, hoy en día muy pocas personas usan o actualizan sus contraseñas en estos dispositivos, lo que facilita que sean hackeados.

En el estudio Consumerization of IT realizado por IDC a encargo de Unisys, se resaltó que más de 40% de los iWorkers, trabajadores expertos en tecnologías de consumo y de información, usan la mensajería instantánea y de texto para los negocios y casi una cuarta parte utiliza blogs y comunidades profesionales en Internet para fines de negocio.

Una de las formas en que las organizaciones pueden incorporar estas tecnologías a la empresa y permitir el acceso a las aplicaciones, es que estos dispositivos que los empleados quieran utilizar para trabajo remoto, cumplan con los requerimientos de seguridad de la empresa, incluyendo uso de antivirus, firewalls y contraseñas, es decir, que sean aprobados por el departamento de sistemas.

Asimismo, las organizaciones tienen que repensar o generar nuevas políticas para definir el uso de estos dispositivos, el acceso a la información y las aplicaciones dependiendo de las actividades y habilidades del empleado, ya que no se le dará el mismo acceso a través de estos dispositivos a un directivo, que al personal de ventas o un empleado operativo.

Las políticas mencionadas también pueden incluir un plan que establezca de qué manera se apoyará a los empleados para la adquisición de dispositivos móviles, en caso de que sean necesarios para su labor diaria y los modelos previamente autorizados, ya que apenas el 30% de las empresas están pensando en implementar un programa de asignación o subsidio para financiar las compras de los trabajadores en los próximos dos años (Estudio Consumerization of IT IDC-Unisys).

“Al final del día, la incorporación de estas nuevas tecnologías en las organizaciones es responsabilidad de ambas partes, los trabajadores deben ser más conscientes y responsables, ya que transportan información sensible de la empresa y las organizaciones deben facilitar los medios a los empleados para garantizar la seguridad en el uso de estos dispositivos. No hay que perder de vista que las nuevas tecnologías son un complemento para el logro de los objetivos empresariales y para la transición a la era de la movilidad”, finalizó Francisco Farrera, Director de Tecnología, Consultoría e Integración de Soluciones, Unisys México.

Fuente: altonivel.com.mx

Ciberataques de Corea del Norte a Corea del Sur

La empresa de seguridad informática McAfee, a través de un informe elaborado por su laboratorio, expresó que durante el mes de marzo del 2011 hubo un ataque masivo de denegación de servicio que dejó sin operaciones a una gran cantidad de sitios surcoreanos.

Este ataque es muy similar al realizado el 2009 durante el día de la Independencia de Estados Unidos. En esa oportunidad se detectó un botnet con sede en Corea del Sur, afectando la infraestructura crítica (DDoS) de 40 sitios web afiliados con el gobierno surcoreano y el Ejército como también a las fuerzas estadounidenses apostadas en dicho país.

Este nuevo acontecimiento, según estima la investigación de McAfee, se le atribuye a Corea de Norte luego de haber analizado un botnet que contenía más de 21,000 computadores infectados y que provenía desde ese país asiático.

Varios algoritmos de cifrado, como AES, RC4, RSA, se utilizaron para ocultar numerosas partes del código y de la configuración de los componentes del ataque para frenar el análisis.

Más de 40 distribuciones a nivel mundial de múltiples servidores de nivel de mando y control (Estados Unidos, Taiwán, Arabia Saudita, Rusia e India representaron más de la mitad de todos los servidores) fueron utilizados para actualizar dinámicamente el malware y sus configuraciones fueron diseñados para ser muy resistentes.

Más...

Fuente: www.generaccion.com

 

 

Analisis forense de perfiles de usuario en Windows. Introducción a las Shellbags

Desde el punto de vista del análisis forense, las plataformas Windows no son sencillas. Al contrario de lo que se suele creer, son sistemas con una complejidad manifiesta, donde por la naturaleza del sistema y su modelo de código existen funciones que no están documentadas y donde existen infinidad de artefactos de los que es posible recoger las evidencias que necesitamos en cada caso. Para añadir dificultad, muchas de estas evidencias pueden ser recogidas individualmente pero necesitarán posteriormente una correlación para poder establecer una línea temporal o un patrón comportamental. Uno de esos muchos artefactos, o conjunto de artefactos, son las llamadas shellbags.

El propósito de este articulo es ofrecer una visión introductoria a los perfiles de usuario y los procedimientos específicos para realizar un análisis sobre los artefactos relacionados.

Más...

Fuente: sahw.com

Posibles causas que alteran las diferencias entre riesgo percibido y riesgo real

Cuando uno se dedica a ser consultor, día a día te vas topando con diferentes tipos de organizaciones y los más variopintos modelos de negocio. Es quizás una de las cosas más bonitas que tiene la consultoría, la variedad de contextos , situaciones y problemas a los que te tienes que enfrentar , lo que hace que cada jornada de trabajo sea un reto continuo que no deja de hacerte aprender. Sin embargo, la sensación común, que se repite en todas las organizaciones, es la necesidad continua de justificar el papel que juega la Seguridad de la Información dentro de las organizaciones del siglo XXI.

Intentando ser autocrítico, trato de dar respuesta al porqué de estas percepciones tratando de buscar qué elementos contribuyen a justificar semejante comportamiento y este post va precisamente de eso. Voy a tratar de reflexionar en voz alta sobre ello comentando los puntos que entiendo son relevantes para que se produzcan estas circunstancias.

1. Modelos de negocio de las organizaciones: Toda organización puede ser vista como un gran proceso que recibe ciertas entradas y genera ciertas salidas. En este sentido, la cadena de valor de la organización viene dada por los procesos de transformación de las materias primas (sean bienes tangibles o intangibles) en resultados económicos. Fruto de la evolución hacia la sociedad de la información y el conocimiento, cada vez son más las organizaciones cuyo modelo de negocio se basa en el procesado de información como materia prima para la entrega de productos que son resultado de aglutinar o procesar dicha Información. Pensemos en las empresas de servicios TI como Google, Facebook, Linkedin o en fabricantes de productos software como Microsoft o Apple. En estos casos, el valor está asociado al coste de producción o construcción de servicios y muy vinculado con la propiedad intelectual necesaria para poderlos elaborar.

Primera dificultad para nuestra mente en relación a juzgar el valor de la información.

2. Modelo económico del valor: Vivimos en una sociedad capitalista donde el valor de las cosas debe ser materializado por el criterio monetario de su coste o de su estimación económica. Por tanto, la percepción del valor de las cosas utiliza un criterio basado en el precio o valor económico de los objetos. Ante la pregunta de qué vale más, si un servidor o un llavero USB, nuestro instinto juzgara que será más valioso el objeto más grande o el más complejo. Este modelo instaurado es quizás uno de los factores por los que no se valora de forma adecuada la “propiedad intelectual”, porque seguimos juzgando el precio por la valía de los objetos.

Segunda dificultad de nuestra mente en relación a juzgar el valor de la información.

3. Modelo operativo de las organizaciones: Las organizaciones recurren cada vez más al uso de las Tecnologías de la Información para dar soporte a sus actividades principales o primarias de negocio. Por tanto, el área TI es una actividad secundaria o de soporte según el modelo de valor de la cadena de Porter. Ello significa que existe una dependencia entre las actividades que generan valor y el buen funcionamiento de las piezas necesarias que están por debajo dando soporte a esos procesos productivos. Para las áreas directivas y no técnicas, las herramientas son las diferentes aplicaciones o sistemas como el correo electrónico que son necesarias para su día a día. Dadas sus carencias en conocimientos técnicos no son capaces de pensar en la cantidad de elementos técnicos que deben funcionar correctamente para que ellos no tengan ningún problema. Se abstraen completamente de la infraestructura TI que necesita su organización para poder funcionar. Y esta forma de ver al área técnica ahora se ha consolidado como un área creciente de negocio bajo las siglas "Cloud Computing" que viene a ofrecer un pago por servicios y uso de aplicaciones siendo un tercero el que asume el coste y la gestión de la infraestructura TI.

Tercera dificultad para nuestra mente en relación a valorar la complejidad subyacente que da soporte al tratamiento de la Información.

4. Modelo humano de gestión del miedo: Nuestra mente es un dispositivo esencial para garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que sea capaz de sobrevivir pero bajo un contexto basado en garantizar el alimento y la protección frente a depredadores. Nuestros antecesores tenían como actividades básicas el comer o subsistir y nuestros mecanismos de alerta o detección del peligro están vinculados a hechos físicos visibles, tangibles y sensitivos. Por tanto, nos da miedo aquello que  fundamentalmente se produce por situaciones o escenarios de amenaza física como puedan ser terremotos, riadas, explosiones, incendios, etc. ¿Qué pasa entonces con las amenazas sobre la información?. Pensar en miedo ante una situación de hacking informático, un robo de datos o una suplantación de identidad es algo que al ser humano le cuesta bastante sentir. Solo son adecuadamente juzgadas estas situaciones cuando podemos establecer una relación directa causa-efecto entre los siguientes elementos: amenaza, activo, daño, consecuencias económicas o de otra naturaleza. Solo en aquellas situaciones donde tengamos cierta estimación del daño que supone un incidente relacionado con la información podremos sentir miedo y disparar por tanto los mecanismos de gestión del riesgo. Un hecho significativo que puede ilustrar esta cuestión es que muchas de las temáticas de ficción en cine ahondan sobre tramas donde el personaje principal sufre las consecuencias físicas debido a problemas sobre sistemas de información. Quizás el mejor ejemplo de este tipo de películas puedan ser “La jungla de cristal 4” o “Firewall”.

Cuarta dificultad para nuestra mente respecto a la percepción del peligro en amenazas que afectan a la información dado que raramente somos capaces de valorar las consecuencias de un incidente con elementos que generen miedo sobre nuestra supervivencia.

5. Modelo humano de gestión del riesgo: Nuestra mente es un dispositivo esencial en garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que capaz de sobrevivir pero bajo un contexto basado en garantizar la supervivencia física. Por tanto, el elemento esencial a la hora de tomar decisiones está fundamentado en el miedo que es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos. Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

• La primera es intuitiva, emocional y basada en la experiencia. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.
• La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.

Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional. Por tanto, nuestro cerebro tiende a ignorar los riesgos que son difíciles de comprender o de percibir. Pero eso no hace que las probabilidades de ocurrencia disminuyan sino que simplemente nuestra percepción del riesgo cambie.

Como ejemplo de reflexión pensemos en cualquier organización. En general siempre nos encontramos con unas medidas básicas de seguridad física como son tener puertas y ventanas, disponer de alarmas presenciales, video vigilancia, etc. Si pensamos en los primeros tipos de engaño en relación a la percepción del valor, las organizaciones ya no solo tienen los puntos "físicos" de entrada a sus instalaciones sino que ahora hay medios lógicos de acceso como puede ser la página web, el correo electrónico, las conexiones remotas, etc. ¿Cómo están protegidos esos puntos de acceso a la Organización, de igual forma que los puntos de acceso físico? La respuesta común es que no. Las medidas de protección que nadie discute son aquellas que garantizan el valor tangible de los activos tangibles de las Organizaciones, es decir, sus edificios, sus instalaciones, sus oficinas, todo aquello que tiene un valor económico tangible y fácilmente estimable que justifica la ecuación de la seguridad en relación al coste de la protección y la inversión en prevenir daños.

Sin embargo, en los aspectos de seguridad lógica las cosas no están ni por asomo tan controladas. Quizás será necesario que la evolución se encargue de hacernos aprender a base de malas experiencias para que evolucionemos nuestros miedos con el fin de adecuarlos a las nuevas situaciones y circunstancias del siglo XXI.

Fuente: Inteco.es

Jornada solidaria #1HackParaLosChicos (Argentina)

26 de Julio -

#1HackParaLosChicos, surgió a partir de la unión de diferentes profesionales de seguridad de la información de la Argentina, cuyo espíritu solidario dio lugar a convenir en que era una gran idea realizar una jornada de seguridad en la cual se recauden Leche en Polvo y Juguetes (ver Qué donar?).

Principios:

• La iniciativa es de todos.
• Las charlas o talleres deben ser referidos a seguridad de la información o cuestiones que pudieran tener implicancias en la seguridad de las personas y el bien común.
• La iniciativa no está asociada a una persona o empresa en particular, sino a un grupo de colegas, amigos y colaboradores con espíritu solidario.
• Las donaciones no identificarán personas, sino a la jornada 1HackParaLosChicos.
• No aceptaremos dinero.

Agenda y web del evento

Se libero el Libro Hacking Etico de Carlos Tori

Carlos Tori en su perfil en al red social Linkedin comunico la liberacion de su  libro "Hacking Ético"

Hacking Etico, es un libro de seguridad informática que cuenta con 328 páginas redactados con un lenguaje simple y ordenado.

Actualmente se encuentra agotado en Argentina, por ese motivo y otros, el autor decidió liberarlo para que los lectores pudieran apreciar la obra de modo libre sin pagar y a su vez, pudiéndola distribuir sin restricciones.

En cuanto a su contenido, aquí puede leer el temario completo.

Su ISBN es 978-987-05-4364-0 y todos sus derechos están registrados, como tambien su material.

Actualmente el autor, se encuentra redactando su 2do libro acerca del tema.

Estimados, he decidido liberar la obra para que los interesados puedan disfrutarla de modo libre y distribuirla

Contenido:
Capítulo 1: Hacking Ético
Capítulo 2: Recabar información
Capítulo 3: Ingeniería Social
Capitulo 4: Fuerza Bruta
Capitulo 5: Aplicación Web
Capitulo 6: Inyección de código SQL
Capitulo 7: Servidores Windows
Capitulo 8: Servidores Linux
Capitulo 9: Algunos conceptos finales

Descargar Hacking Etico





El site dragonjar.org publico una version online desde este artículo: