Feliz día de la Seguridad de Informática

30 de Noviembre día de la seguridad de Informática

A punto de celebrarse el Día de la Seguridad Informática, cuyo principal objetivo es crear conciencia sobre el tema de la seguridad informática y destacar la importancia que tiene mantener a salvo nuestros sistemas.

Los 10 puntos más importantes para celebrar este día de la seguridad

1. Hacer copias de seguridad, disponer de un buen backup: es uno de los puntos esenciales, ya que una empresa que no dispone de un buen backup, es una empresa que está expuesta a perder toda su información. Las pérdidas de datos pueden darse o por robo, por fallos en el sistema o simplemente, por un error. Si esto ocurre la empresa debe estar preparada y, de ese modo, no tener por qué parar su actividad, o rehacer el trabajo de mucho tiempo.

2. Firewall: al igual que no dejamos que entre todo el mundo por nuestra casa, y, por ese motivo, disponemos de una puerta para impedir el paso, es primordial en la empresa contar con un firewall que evite que personas ajenas entre a la red de la empresa, al mismo tiempo que bloquee aquellos accesos no deseados.

3. Antivirus: todavía se subestima el gran peligro que corren las empresas con la entrada de virus. Un virus puede tener unas consecuencias desastrosas para la actividad normal de una empresa. Todos sus sistemas informáticos pueden “enfermar” debido a los virus con lo que ello conlleva. Por eso, disponer de un antivirus en constante actualización evitará problemas no deseados.

4. Antispam y Filtro web: Lo mismo que ocurre con los virus, ocurre con el spam. Las empresas no están del todo concienciadas de los problemas que acarrea el spam. Se trata de problemas que tienen que ver con la pérdida de productividad de la empresa. Existen numerosos estudios que confirman que los empleados de una empresa sin un antispam instalado, puede llegar a perder 28 horas al año eliminando spam, con la pérdida de dinero que esto supone, debido a una reducción de la productividad. Por este motivo, un buen filtro antispam y un flitro web que impida el acceso a páginas webs no deseadas es primordial.

5. Uso racional de Internet: Son también numerosos los estudios que confirman que los empleados navegan en horas de trabajo por páginas que no tienen nada que ver con el cometido de su trabajo. Por eso, es importante que la empresa cuente con unas pautas sobre el uso racional de Internet por parte de los empleados con el fin de evitar el que éstos, además de perder horas de trabajo, puedan acceder a páginas que puedan contener archivos maliciosos.

6. Actualización del sistema operativo y de las aplicaciones: Para un correcto funcionamiento del software que se utiliza en la empresa, es muy conveniente que el sistema operativo de actualice de forma periódica, así como las aplicaciones.

7. Buena política de contraseñas: Parece algo obvio, pero, sin embargo, parece que muchas empresas no lo tienen en cuenta. Utilizar contraseñas demasiado evidentes, o fácilmente averiguables, puede tener como consecuencia que la información de una empresa esté en riesgo. Por eso, disponer de contraseñas con un alto grado de seguridad y realizar una actualización de las mismas es muy recomendable.

8. Soluciones de continuidad: En caso de que algo vaya mal…que no se pare la actividad. Esta sería la máxima de contar con una solución de continuidad. Se trata de una solución que evita que, pase lo que pase en la empresa, un incendio, inundación, etc., la empresa no pierda su información. En la actualidad hay soluciones de continuidad de todos los tipos, ya que ya no están reservadas sólo a las grandes empresas.

9. Cuidado con los enlaces sospechosos y las descargas de programas maliciosos: En la tónica de lo que se comentaba anteriormente, es importante tener cuidado con los enlaces que pueden ser sospechosos o poco fiables. Muchas veces, los mismos correos no deseados contienen links a páginas que están infectadas o que inmediatamente descargan un software malicioso.

10. El Cloud computing privado es más seguro para las empresas: A pesar del desconocimiento actual de las empresas en lo que se refiere al cloud computing en entornos privados, este ofrece enormes ventajas para crear entornos redundantes y con alta disponibilidad a costes muy accesibles.

Quiero hacer una cordial felicitación para aquellos que se preocupa por la seguridad, concienciar a todos los usuarios y empresas para proteger sus datos confidenciales. Ya que para los de la seguridad  se están preocupando por cómo dar seguridad a la cloud computing pero para ellos es un reto a enfrentar y demostrar que para todo hay seguridad.

Felicitaciones a:

Andrés Velázquez @cibercrimen

Adolfo Grego @adolfogrego

Roberto Gómez  @Cryptomex

Héctor López @hlixaya

David Schekaiban @dstmx

                                 @cyberpostpunk

Y los que me falten por mencionar, Mil felicitaciones.

Anuncios

Cyber Activism – Operation Titstorm

Cyber Activism – Operation Titstorm from Patrick Clair on Vimeo.

Entrevista con Andrés Velázquez en W Radio, México: ¿Qué es el Hackeo y quién es Anonymous?

fuente: Mattica

10 mandamientos de la seguridad de la información en la empresa

ESET creemos firmemente que todas las empresas están preparadas para afrontar este desafío, y para ello, qué mejor que conocer los principios que deben regir la protección de la información. Para ello, hemos desarrollado este material el cual ponemos a disposición del público: los 10 mandamientos de la seguridad corporativa.

1. Definirás una política de seguridad: es el documento que rige toda la seguridad de la información en la compañía. ¿Algunos consejos? Que no sea muy extensa (ningún empleado podrá comprometerse con un documento de cincuenta páginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perderán credibilidad) y que se les de valor (otra recomendación: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte técnico de IT).

2. Utilizarás tecnologías de seguridad: son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam; estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

3. Educarás a tus usuarios: Es necesaria la aclaración: educarás a todos tus usuarios. Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ThreatSense.Net, el 45% de las amenazas detectadas en la región utilizan Ingeniería Social, por lo que atentan contra el desconocimiento del usuario para infectarlo.

4. Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información “virtual”, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a ellos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados los datos impresos, como por ejemplo el acceso físico a oficinas con información confidencial (el gerente, el contador, entre otros.); o el acceso a las impresoras (¿alguien podría tomar “accidentalmente” información confidencial?).

5. Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, el 41% de los dispositivos USB están infectados y el 17% del malware utiliza explotación de vulnerabilidades. Mantener tanto el sistema operativo, como el resto de las aplicaciones, con los últimos parches de seguridad, es una medida de seguridad indispensable.

6. No utilizarás a IT como tu equipo de Seguridad Informática: es uno de los errores más frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnológico. Además, es importante que exista un área cuyo único objetivo sea la seguridad de la información, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

7. No usarás usuarios administrativos: de esta forma, una intrusión al sistema estará limitada en cuánto al daño pueda causar en el mismo. Una vez más, vale destacar la importancia de aplicar este control a toda la empresa: los integrantes del departamento de IT o la alta gerencia, también deben utilizar permisos limitados en el uso diario de la computadora.

8. No invertirás dinero en seguridad, ¡sin pensar!: la seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la información que se está protegiendo, y la probabilidad de pérdidas por incidentes; puede derivar en dinero mal invertido, o básicamente en dinero perdido. La seguridad debe proteger la información, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular… ¡y pensar!

9. No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continua, como una necesidad permanente del negocio.

10. No subestimarás a la seguridad de la información: finalmente, entender el valor que asigna al negocio tener la información protegida, es nuestro último y quizás más importante mandamiento. Pensar que un control no debe implementarse, porque “no creo que esto me ocurra”, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, serán muchos los que deban arrepentirse: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Estos son, a nuestro criterio, los diez mandamientos de la seguridad en la empresa. Es momento de ponerse a trabajar: a cuidar la empresa.

fuente: ESET

Fraude Informático

Se trata del perjuicio económico efectuado a una persona mediante la utilización de un sistema informático, ya sea, modificando datos, introduciendo datos falsos o verdaderos o cualquier elemento extraño que sortee la seguridad del sistema.

Tipificación de los delitos informáticos- Segun la Actividad Informática

Sabotaje informático: El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos.

Conductas dirigidas a causar daños físicos: El primer grupo comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema.

Conductas dirigidas a causar daños lógicos: El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.

Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir:

Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar.

Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.

Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contact a través de una conexión.

Fraude a través de computadoras: Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.

Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input. En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulación del output.

fuente: PECERT

Video de como es Ingeniería Social

fuente:SANS

Estrategias para la protección de servidores y escritorios virtuales