10 consejos para proteger la información de instituciones educativas

cuidemos-las-escuelasPorque todos los tipos de escuelas (desde los colegios primarios hasta los secundarios y las instituciones de enseñanza superior) ahora cuentan con bases de datos repletas de información personal de profesores, empleados y estudiantes. Para los ciberdelincuentes, a quienes no les importa a quiénes les roban los datos, estos grandes repositorios de datos personales constituyen un objetivo atractivo.

Este artículo de We Live Security presenta diez medidas de seguridad críticas que las escuelas deberían aplicar para defenderse ante el cibercrimen y el robo de información.

  1. Capas de protección. Todos los datos importantes, como las notas, las finanzas o la información personal deben estar cifrados mientras están almacenados (tanto en servidores como en estaciones de trabajo) y cada vez que salen de los equipos, por ejemplo, cuando se envían por correo electrónico o se copian a smartphones o a memorias USB.
  2. Implementa el principio del menor privilegio posible. El principio del menor privilegio posible simplemente significa que ninguna persona, equipo o sistema debe tener acceso a cosas que no son estrictamente necesarias. Por ejemplo: los datos financieros de un estudiante deberían alojarse en un sector diferente de la red, de modo que sean inaccesibles para quienes no necesitan trabajar con dichos datos.
  3. Actualiza, actualiza, actualiza. Aplicar actualizaciones y revisiones a todo el software es una de las cosas más importantes que puedes hacer para minimizar las vulnerabilidades que pueden aprovechar los delincuentes para ingresar silenciosamente a tus equipos. Cuando se administran sistemas complejos, muchas veces se prueban las actualizaciones antes de implementarlas; sin embargo, ten cuidado de mantener las demoras que este proceso implica en un mínimo.
  4. Las contraseñas no son suficientes. Si estás protegiendo una cantidad muy grande de datos personales identificables, una sola contraseña puede no ser suficiente. Considera implementar la doble autenticación (2FA). Esto puede ser un control biométrico, como una huella digital, o una clave de un solo uso provista a los usuarios mediante una pequeña tarjeta de claves digitales o un token de hardware.
  5. Asegúrate de que todos los profesores, alumnos y personal estén eligiendo buenas contraseñas. A pesar de la existencia de claves de un solo uso y otros medios de autenticación como los controles biométricos, es probable que las contraseñas sigan estando con nosotros por un largo tiempo más; por lo tanto, asegúrate de que todos sepan cómo hacerlas resistentes a ataques.
  6. Prohíbe que se compartan las credenciales. Las escuelas y universidades suelen ser lugares amigables donde las personas colaboran estrechamente en sus trabajos, por lo que para muchos es natural compartir nombres de usuario y contraseñas con colegas o dejar los equipos abiertos conectados a la red con su propio usuario. Lamentablemente, esta conducta puede perjudicar totalmente una de las mejores armas que tenemos para proteger los equipos: el análisis de registros.
  7. Cifra los datos en todas partes. Cuando tenemos algo valioso, lo cerramos bajo llave mientras no se usa. Lo mismo ocurre con los datos: si tienes información valiosa, debe estar cifrada mientras no se usa directamente. Es decir, “Si está almacenado, cífralo.” Cuando se necesita acceder a los datos o se envían a través de la red, deben enviarse mediante una conexión cifrada. De esta forma minimizamos la capacidad de los delincuentes de obtener información útil, aunque logren atravesar tus otras defensas.
  8. Realiza copias de seguridad. Las copias de seguridad de los datos y los sistemas constituyen la última línea de defensa (y la mejor) ante los delincuentes destructivos. En el caso de una amenaza como el secuestro de información o ransomware, puede ser la única forma de ganarles a los malos. Quizás quieras considerar hacer la copia de seguridad en la nube, pero hazlo como un complemento y no como un reemplazo de las copias de seguridad locales, que se comprueban y almacenan en forma segura.
  9. Capacitación de seguridad y toma de conciencia. No puedes pretender que todos sigan las medidas de seguridad a menos que expliques cómo funcionan y por qué son necesarias.
  10. Rompe definitivamente con el pasado. Cuando los empleados rotan de empleo y los alumnos dejan la institución, asegúrate de modificar sus credenciales consecuentemente. En muchos casos, esto significa cerrar sus accesos a los sistemas de la escuela. El uso de credenciales “persistentes” que tendrían que haberse suspendido es una de las formas más comunes del abuso “interno” de sistemas. Y si los profesores, empleados y alumnos se van abruptamente y no quedan en buenos términos, es imprescindible cancelar todos sus accesos de inmediato. Además, se debería hacer una verificación de las cuentas de usuario autorizadas al menos una vez al año para eliminar permisos que ya no son apropiados.

Fuente: We Live Security | Imagen: Mi Mochila

Posted in consejos | Leave a comment

Las Organizaciones No Están Preparadas para los Ciberataques Avanzados

LOGO_ISACAUn estudio global de ISACA demuestra que una de cinco organizaciones (21 por ciento) ha sufrido un ataque de amenazas persistentes avanzadas (APT), y 66 por ciento cree que es sólo cuestión de tiempo antes de que su empresa sea víctima de una APT. Sólo el 15 por ciento de las empresas creen que están preparadas para un ataque de este tipo de amenazas.

Entre las compañías que ya han sido atacadas, sólo una de tres pudo determinar la fuente.

ISACA, una asociación global que atiende a 115,000 profesionales de seguridad, riesgos y gobierno, realizó el estudio entre 1,220 profesionales de seguridad para determinar de qué modo las APTs han evolucionado desde 2013. El estudio de APTs de 2014 es el primer proyecto de investigación lanzado como parte del nuevo Cybersecurity Nexus de ISACA.

Las APTs están enfocadas en extraer información como datos valiosos de investigaciones, de propiedad intelectual y del gobierno”, aseguró Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, y anterior presidente internacional de ISACA. “En otras palabras, es absolutamente crítico que las empresas se preparen para ellas, y esa preparación requiere más que los controles técnicos tradicionales” agregó.

La mayoría de las organizaciones que participaron dicen que la principal defensa contra las APTs son los controles técnicos como los firewalls, las listas de acceso y los antivirus, lo cuales son críticos para defenderse contra las amenazas tradicionales, pero no son suficientes para prevenir los ataques de APTs.

Casi 40 por ciento de las empresas reporta que no están capacitando a los usuarios sobre seguridad y no están utilizando controles para defenderse contra las APTs – un componente clave de un plan de ciberseguridad exitoso. Cabe resaltar que más de 70 por ciento no está usando controles móviles, aunque 88 por ciento de los encuestados reconoce que los dispositivos móviles de los empleados son a menudo la entrada de un ataque de APTs.

Si bien más empresas reportan que están ajustando las prácticas de gestión de proveedores (23 por ciento) y los planes de respuesta a incidentes (56 por ciento) para hacer frente a las APTs este año, los números aún necesitan mejorar de forma importante.

La buena noticia es que más empresas están tratando de prepararse mejor para las APTs este año”, señaló Robert Stroud, CGEIT, CRISC, presidente internacional de ISACA y vicepresidente de CA Technologies. “La mala noticia es que aún existe una gran brecha de conocimiento respecto a las APTs y cómo defenderse contra ellas – y se necesita mucha más capacitación sobre seguridad” finalizó.

El reporte completo sobre las APTs está disponible en http://www.isaca.org/apt-wp. Se discutirá más a fondo el tema de las APTs en un webinar gratuito de ISACA que se realizará el 30 de septiembre, titulado Amenazas Persistentes Avanzadas. Los recursos adicionales, incluyendo una guía sobre la defensa contra las APTs, están disponibles en www.isaca.org/cyber.

Posted in amenazas, Isaca | Leave a comment

Desde Twitter: Educa a tus hij@s contra el #Grooming

Posted in seguridad | Leave a comment

Previene ataques informáticos con estas 11 configuraciones

Aludiendo al Mundial FIFA Brasil 2014, ESET, la compañía líder en detección proactiva de amenazas, presenta el Dream Team o “Equipo de los Sueños” de la Seguridad Informática. El mismo está conformado por 11 configuraciones indispensables para prevenir incidentes y ataques maliciosos dentro de una compañía:

  1. Contraseñas fuertes. Como un arquero que defiende su arco, es importante que los accesos estén protegidos con contraseñas fuertes para no recibir ataques de fuerza bruta que puedan lograr acceso fácilmente a información sensible y confidencial.
  2. IDS (Intrusion Detection System). Nada mejor que un buen defensor que esté atento a los ataques del rival dentro del área. De igual forma, el uso de herramientas como IDS informará de posibles ataques cibernéticos. Los IDS actúan de modo pasivo, es decir, detectan pero no previenen los ataques.
  3. Cifrado. Importante tener un lateral al estilo brasileño, que no solo defienda el arco, sino que también sea capaz de transportar el balón de forma segura. El cifrado corporativo prevendrá la fuga de información ante siniestros como robo o pérdida de un equipo. Sin la clave para descifrar, no se puede acceder a la información y por ende no se pueden ver los archivos.
  4. Concientización del usuario. Es una posición que no siempre se tiene en cuenta, pero puede hacer la diferencia en el resultado final. Para evitar que eso suceda, la capacitación y concientización constante al usuario final ayudará a prevenir situaciones de riesgo informático.
  5. Anti-Spam. Es necesario poseer un volante central que barra todo el campo de juego, controlando los ataques del equipo contrario. El control Anti-SPAM ayudará a prevenir amenazas provenientes de correos electrónicos, que resultan ser uno de los vectores más utilizados por los atacantes al permitirles, por ejemplo, enviar documentos PDF con código malicioso embebido. También podrían enviarse correos para que la víctima acceda a sitios de phishing, robando información personal sensible como los datos bancarios.
  6. Firewall. Una muralla en el fondo del equipo rechaza cualquier intento rival de llegar al arco propio. De igual forma, con una buena configuración de firewall se pueden evitar intrusiones, ya que permite administrar los puertos.
  7. Actualizaciones de seguridad de las aplicaciones. Se complementan con el delantero, dándole asistencia en la tarea de terminar con el equipo rival. La instalación de actualizaciones o parches corregirá posibles vulnerabilidades en el sistema; es aconsejable informarse previamente acerca de qué corrige cada actualización, ya que se podría perjudicar el servicio prestado por el equipo.
  8. Política BYOD. Presenta ciertas similitudes con un mediocampista que viene desde afuera, cuyos movimientos deben ser complementarios tanto en ataque como en defensa para no desequilibrar al equipo. En la empresa se recomienda definir una política estricta respecto al uso de dispositivos personales, ya que de lo contrario pueden convertirse en una vía de infección para toda la red corporativa, además de perjudicar al usuario.
  9. Antivirus. Es el goleador del equipo, encargado de fulminar a los rivales. Las soluciones antivirus permitirán evitar infecciones con códigos maliciosos, como así también alertarán sobre ataques de tipo arp-spoof y dns-spoof, entre otros. Otro punto a tener en cuenta es la admisión de dispositivos extraíbles permitidos para conectar vía USB, ya que estos suelen ser un potencial vector mediante el cual se propaga el malware, infectando no sólo al ordenador donde se conectó, sino a toda la red.
  10. Protección de la BIOS. Es el enganche del equipo, el que tiene la “llave” del gol. En la empresa, es aconsejable administrar con contraseña el arranque de cada equipo (BIOS), ya que desde aquí se puede forzar a iniciar el equipo desde un Live-USB para ataques de fuerza bruta a sesiones de usuarios, obteniendo así sus contraseñas. También podría inyectarse código malicioso en el disco rígido, para su posterior ejecución cuando el equipo inicie normalmente.
  11. Doble Autenticación. Siempre está ahí para darle una mano al 5 en caso de que el equipo quede mal parado. A nivel corporativo, es una buena práctica añadir mecanismos de doble autenticación ya que fortalecerán los perfiles y cuentas de usuarios. Así, en caso de que la contraseña sea robada, para validar el servicio se requerirá una segunda contraseña generada aleatoriamente y sincronizada con la cuenta, ya sea por token o enviada a un teléfono celular.

slide-1-1024

Para acceder a la información completa sobre el Dream Team de la Seguridad Informática elaborado por ESET Latinoamérica ingrese a: http://www.slideshare.net/slideshow/embed_code/36335172#

Posted in consejos | Leave a comment

Guía de Seguridad en servicios DNS

dns_guiaDNS, acrónimo de Domain Name System, es un componente crucial en el funcionamiento de Internet y sin duda de gran importancia en el correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio.

DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.

Con esta idea en mente, INTECO publica una guía orientada a usuarios técnicos para ofrecer un documento de referencia del protocolo DNS, incluyendo los aspectos relacionados con la seguridad del servicio , describiendo las líneas base para su implementación y bastionado. En esta guía se puede encontrar una descripción detallada de la base funcional del protocolo y sus componentes de seguridad. Concretamente, en el ámbito de la seguridad, se ofrece una explicación de las vulnerabilidades y principales amenazas que afectan al protocolo aportando y se aportan indicaciones para mitigar y/o prevenir las mismas tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium.

La guia puede descargarse en el siguiente enlace: Guia de Seguridad en servicios DNS

Posted in seguridad | Leave a comment

Conferencia Virtual de ISACA Abordará los Principales Problemas de Ciberseguridad a nivel mundial

LOGO_ISACAHoy los ciberataques ocurren con mayor frecuencia, las regulaciones son más estrictas, y la nube y los dispositivos móviles están borrando las fronteras entre la vida laboral y la personal, es por esto que asegurar la integridad del área de TI en la empresa se ha vuelto aún más difícil.

Para ayudar a los profesionales a fortalecer la seguridad de su organización y a prepararse para los ataques, ISACA, la asociación global de 110,000 profesionales de sistemas de información, llevará a cabo una conferencia virtual sin costo, titulada Ciberseguridad: Colabore, Cumpla, Conquiste, el próximo martes 18 de marzo de 2014, de 8:15 a.m a 5:00 p.m EDT (UTC-4).

En esta conferencia virtual, los asistentes aprenderán sobre el panorama de amenazas, el cual evoluciona constantemente, y cómo pueden asegurar aún más a sus empresas, incluyendo temas como:

  • El efecto que las legislaciones propuestas tendrán en su rol e industria.
  • Cómo estar preparado para combatir los ataques mejorados y lograr mitigarlos, como es el caso de DNS.
  • Cómo vincular la protección crítica de la infraestructura con la ciberseguridad industrial.

La ciberseguridad es una realidad que forma parte del día a día de cualquier organización. Sin embargo, es necesario compartir y analizar las múltiples percepciones que tenemos al respecto. Necesitamos ir más allá de las asociaciones privadas públicas (PPP). Las relaciones basadas en la colaboración, la coordinación y el compromiso (C3R) son aspectos importantes para mejorar la ciberseguridad industrial” expresó Samuel Linares, CISA, CISM, CGEIT, CRISC, director del Centro de Ciberseguridad Industrial (CCI, por sus siglas en inglés).

Samuel Linares presentará la sesión: La Ciberseguridad Industrial: ¿Hay un Ciber-tsunami acechando?, durante la conferencia virtual.

Otras sesiones incluyen:

  • Ciberseguridad Global: Reglas Nuevas y Sugeridas, las Regulaciones Hacen Frente a la Industria Moderna, presentada por Jeffrey Ritter, fundador de Waters Edge Consulting.
  • Los Otros Ataques Avanzados: Amplificación de DNS/NTP y Careto, presentada por Mike Chapple, director senior de Servicios de Soporte Empresariales, Universidad de Notre Dame.
  • Malware Customizado – Cómo Enfrentar a la Amenaza “Invensible”, presentado por John Moynihan, CGEIT, CRISC, presidente y fundador de Minuteman Governance

Durante la conferencia virtual de ISACA, los miles de asistentes pueden participar en las sesiones educativas, interactuar con profesionales de todo el mundo, así como con los expositores y patrocinadores en un salón de exhibición virtual. Donde podrán obtener hasta cinco horas gratuitas de educación profesional continua (CPE).

Para registrarse en el evento, visite www.isaca.org/elearning. Para consultar más información sobre los eventos globales de ISACA, visite www.isaca.org/conferences.

Posted in Isaca | Tagged | Leave a comment