En los últimos años las redes sociales han cobrado relevancia, y su utilización por parte de los internautas creció exponencialmente en muy poco tiempo. La popularidad de estas plataformas no sólo atrajo al público en general sino que también se convirtieron en una oportunidad para que los delincuentes informáticos pudieran propagar sus amenazas. Estos potenciales peligros no afectan unicamente a los usuarios, sino que también pueden tener consecuencias negativas para las empresas en la que éstos trabajan, lo cual genera un dilema a la hora de decidir si se permite o no el uso de redes sociales en el ámbito laboral.

Descargar el informe “Dudas y Certezas sobre las redes sociales en la empresa“. (311kb PDF)

El marco de los riesgos de TI, RISK IT, se complementa con COBIT, que proporciona un marco integral para el control y la gestión de las organizaciones de soluciones y servicios de TI. Aunque COBIT establece las mejores prácticas para la gestión de riesgos proporcionando un conjunto de controles para mitigar los riesgos de TI, RISK IT establece las mejores prácticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados a su negocio.

El marco de riesgos de TI es utilizado para ayudar a implementar el gobierno de TI, y las organizaciones que han adoptado (o están planeando adoptar) COBIT como marco de su gobierno de TI pueden utilizar RISK IT para mejorar la gestión de sus riesgos.

Descargar el documento de 107 páginas (PDF 4.14MB)

Cerca de un tercio de las organizaciones en Latinoamérica implementará la computación en nube en 2010, según la encuesta conducida por ISACA “IT Risk/Reward Barometer” (Barómetro Riesgo/Recompensa de TI), además de que escrutinios similares de esta asociación hallaron que el 25% de las empresas en Norteamérica y el 18% de las europeas se encuentran implementándola este año, lo cual refleja un nivel de adopción más lento comparado con la primera región.

Mientras el 41% de los 433 profesionales de tecnología de información latinoamericanos encuestados considera que los riesgos de la computación en nube sobrepasan los beneficios, el 18% cree lo contrario y el 42% opina que los beneficios y riesgos tienen un balance apropiado: “La nube representa un gran cambio de paradigma en cuanto a la manera en que los recursos de computación se implementan, de modo que no es sorprendente que los profesionales de TI se preocupen sobre la compensación del riesgo frente a la recompensa“, señaló Robert Stroud, CGEIT, vicepresidente internacional de ISACA y vicepresidente de Gestión de Servicios de TI y Gobernabilidad de CA.

“Pero el riesgo y el valor son las dos caras de la moneda –prosiguió. Si la computación en nube se trata como una iniciativa de gobernabilidad importante con la participación de un amplio conjunto de grupos interesados entonces tiene el potencial de generar beneficios que pueden igualar o superar los riesgos“.

Los temas analizados en el estudio de América Latina también se abordarán en la próxima Conferencia Internacional de ISACA, a realizarse del 6 al 9 de junio en Cancún, México.

El Barómetro de Riesgos y Recompensas de TI analizó igualmente los elementos impulsores para la gestión de riesgos relacionados con las tecnologías de información: los profesionales de TI en Europa y América del Norte dicen que cumplir con los requisitos regulatorios es el mayor impulsor de sus organizaciones, mientras que sus colegas en América Latina reportaron que asegurar que la funcionalidad esté alineada con las necesidades de negocios es el motivador clave (33%).

“Es alentador ver que las empresas latinoamericanas consideren a la mejora en el desempeño en lugar del cumplimiento como la principal razón para la implementación de gestión de riesgo eficaz. Desde la perspectiva de C-suite o la junta, al igual que en la inversión personal o en el deporte, el principal impulsor debe ser el balance del riesgo frente al retorno para impulsar un crecimiento rentable“, expuso José Ángel Peña Ibarra, CGEIT, vicepresidente internacional de ISACA y socio de Alintec en México.

Según Brian Barnier, miembro del equipo que desarrolló el nuevo Riesgo TI de ISACA basado en la estructura CobIT y directivo de ValueBridge Advisors, el mayor obstáculo al abordar la gestión de riesgos relacionados con TI en las tres regiones son los límites de presupuesto (41% en América Latina) seguido de las líneas de negocios que no están dispuestas a integrarse totalmente a la gestión de riesgo (19%).

Las medidas más importantes para mejorar la gestión de riesgo de TI, a decir de los encuestados en América Latina, son: incrementar el uso de las mejores prácticas (32%), crear mayor conciencia de riesgo entre los empleados (28%) y mejorar la coordinación entre la gestión de riesgo de TI y la empresa en general (24%).

Descargar el estudio: 2010 ISACA Risk Reward Barometer Results US (pdf 45kb)
Fuente: Infochannel

Las empresas que estudian el comportamiento señalan que muchos empleados rompen las reglas con el fin de realizar su trabajo a tiempo.

“La mayoría de los usuarios no buscan de manera maliciosa violar las políticas de seguridad de la empresa, sino simplemente buscan la manera para realizar su trabajo convenientemente,” dice René Bonvanie

Artículo en DarkReading [ENG]. Referencia: ISO27001.es

Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.

Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.

Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.

Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.

Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.

Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:

1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.
2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.
3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.

Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.

Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.

En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.

Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.

Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.

Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.

Referencias: Xombra – IT-Insecurity

Ahora en su tercer año, el estudio concluye que, en comparación con las compañías pequeñas y la grandes, la mediana empresa (de entre 2.000 y 9.999 empleados) es más propensa a adoptar tecnologías punteras como cloud computing, deduplicación, replicación, virtualización de almacenamiento y soluciones de protección continua de datos, con el fin de reducir costes en TI y gestionar las crecientes problemáticas. Además, en los centros de datos de las empresas medianas hay más actividad, con más responsables de TI capaces de predecir cambios importantes en el centro de datos y aplicaciones nuevas en 2010. Las empresas medianas también otorgan más importancia a los recursos humanos y a la formación que la pequeña empresa o las grandes corporaciones.

Aspectos destacados del estudio:

• Las empresas medianas son más agresivas y pioneras que las empresas pequeñas o que las grandes corporaciones. Adoptan iniciativas de tecnologías nuevas, como cloud computing, replicación y deduplicación, entre un 11-17 por ciento más que las pequeñas empresas o que las grandes corporaciones.
• Las principales preocupaciones sobre los centros de datos incluyen la creciente complejidad y el contar con demasiadas aplicaciones. La mayoría de las empresas tiene 10 o más iniciativas en los centros de datos calificadas como “totalmente importantes” o “algo importantes”, y el 50 por ciento espera cambios “significativos” en sus centros de datos durante 2010. La mitad de las empresas afirman que las aplicaciones estén creciendo de forma rápida y la mitad opina que cumplir con los acuerdos de nivel de servicio (SLA) es difícil y costoso. Un tercio de todas las empresas afirma que la productividad de sus empleados se ve afectada de forma negativa por la existencia de demasiadas aplicaciones. A todos estos problemas se le añade el aumento continuo de datos, causa por la que el 71 por ciento de las empresas se plantee tecnologías de reducción de datos como la deduplicación.
• Las iniciativas más importantes de 2010 son la seguridad, el backup y la recuperación de datos, así como la protección de datos continua, por encima de la virtualización. El 83 por ciento de las empresas calificó la seguridad como “absolutamente importante” o “importante”. El 79 por ciento dijo que el respaldo y la recuperación de datos eran “importante” o “totalmente importante”, y el 76 por ciento calificó la protección continua de datos como una de sus principales iniciativas.
• Los recursos humanos y presupuestos siguen siendo escasos, y la mitad de las empresas afirman que están “faltos de recursos” o “extremadamente faltos de recursos”. Contar con suficiente presupuesto y encontrar a personal cualificado es el problema más importante a este respecto. El 76 por ciento de las empresas tiene las mismas o más solicitudes de empleo abiertas este año.
• La recuperación ante desastres puede mejorar. Un tercio de las planificaciones de recuperación ante desastres no están documentadas o necesitan mejorar, y normalmente no incluyen componentes de TI importantes como cloud computing, oficinas remotas y servidores virtuales. Para empeorar el asunto, casi un tercio de las empresas no han vuelto a evaluar su plan de recuperación ante desastres en los últimos 12 meses.
• Proteger la máquina virtual sigue siendo una prioridad para las empresas, y el 82 por ciento cuenta con este tipo de tecnología para el 2010. Los encuestados mencionaron la recuperación granular dentro de las imágenes de la máquina virtual como el mayor reto en lo que respecta la protección de datos en entornos virtuales.

Recomendaciones

• El software que soporta entornos heterogéneos y que elimina islas de información es especialmente importante para la mediana empresa, la cual está adoptando de forma agresiva nuevas tecnologías con el fin de reducir las complicaciones en sus centros de datos.
• Las empresas deben implementar la deduplicación próxima a la fuente de información con el fin de eliminar datos redundantes y reducir los costes de almacenamiento y red.
• Los administradores de los centros de datos deben gestionar el almacenamiento en servidores y entornos de almacenamiento heterogéneos de tal forma que puedan dejar de comprar almacenamiento gracias a la adopción de tecnologías nuevas, como la gestión de recursos de almacenamiento, thin provisioning, deduplicación, virtualización de almacenamiento, así como recuperación y protección continua de datos. Las empresas que adoptan una estrategia holística en la gestión del almacenamiento pueden controlar el crecimiento del presupuesto de almacenamiento y a menudo posponen las compras de almacenamiento.
• Las pruebas de recuperación ante desastres tienen una importancia incalculable y pueden afectar de forma significativa a una empresa. Las empresas deben mejorar el éxito de las pruebas evaluando e implementando métodos de prueba que no causen interrupciones.
• Las empresas deben implementar una plataforma única y unificada para proteger las máquinas virtuales y físicas, con el fin de simplificar la gestión de la información.

Ver la presentación del estudio:

Presentaciones

I Encuesta Latinoaméricana de Seguridad Informática.

IX Encuesta Nacional de Seguridad Informática en Colombia.

III Encuesta Nacional de Seguridad Informática en México.

The In’s and Out’s of SIEM Technology
Dr. Eugene Schultz

Aumento de las Vulnerabilidades en los Perímetros de mi red
Luis Eduardo Pico

Computación forense en bases de datos: Conceptos y reflexiones
Jeimy J. Cano

Convergencia de la Seguridad
Andres R. Almanza

Criterios comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia
José Alejandro Chamorro López

Enfoque Sistémico de la Seguridad
Maria Cristina Ovalle

Establecimiento de las Estrategias para las verificaciones integrales que cierran el primer ciclo de cinco años o seis años en Seguridad de la Información en Colombia
Ivan Ernesto Guerra Matiz

Evolución de la estrategia de seguridad de la información basada en indicadores
Wilman Arturo Castellanos

Evolución del fraude en Internet
Jaime Enrique Goméz y Iván Dario Tovar

Métricas de Inseguridad en Aplicaciones
Armando Carvajal Rodriguez

Reflexiones sobre IT-GRC
Astrid Pereira Sierra

Ciberseguridad Acciones y Estrategias
Roberto DiazGranados Diaz

Seguridad Informática Habeas Data Protección de Datos e Intimidad
Maria Alejandro Canosa Criado

Planeación Estrategica de la Seguridad de la Información
Ramiro Merchán

Artículos

A Network Isolation Analysis in Xen
Violeta Medina Rios y Juan Manuel García García

Correo Electrónico Seguro Empleando Infraestructura de Terceros
Juan Camilo Corena Bossa

Estudio del Pago Móvil y su Seguridad
Diana Teresa Parra, Rafael Martinez Peláez y Cristina Satizábal

Vulnerabilidad en el Protocolo IEEE 802.16 WiMAX
Universidad EAFIT – Colombia

Según el “Informe Anual de Amenazas de Trend Micro 2010”, el cloud computing y la virtualización –mientras ofrezcan sustanciales beneficios y ahorros de costes- están desplazando los servidores fuera del perímetro de seguridad tradicional y, por tanto, ampliarán el terreno de juego para los ciber-criminales. La industria ya ha sido de testigo Danger/Sidekick, el fallo de servidor basado en la nube que causó el mayor apagón de datos en noviembre de 2009, evidenciando los riesgos del cloud-computing, que los ciber-criminales probablemente aprovecharán. Trend Micro cree que los ciber-delincuentes manipularán la conexión a la nube, o atacarán los centros de datos y la nube en sí misma.

La infraestructura de Internet está cambiando abriendo más oportunidades al ciber-crimen
El protocolo de “próxima generación” diseñado por Internet Engineering Task Force, Internet Protocol v6, se encuentra todavía en fase de experimentación para sustituir al actual IPv4, que ya tiene 20 años. A medida que los usuarios comiencen a explorar IPv6 y, por tanto, también los ciber-criminales, Trend Micro espera ver elementos de prueba de concepto en IPv6 que empezarán a materializarse en el próximo nuevo año. Entre las posibles vías de explotación se incluyen los nuevos canales encubiertos o C&C. Sin embargo, no se espera un enfoque activo de espacio de direcciones de IPv6, al menos no en un futuro inmediato.

Los nombres de dominio se están volviendo cada vez más internacionales y la introducción de dominios regionales de primer nivel (Rusos, Chinos y con caracteres Arábicos) creará nuevas oportunidades para lanzar antiguos ataques a través de similares dominios de phishing –usando caracteres Cirílicos en lugar de caracteres Latinos parecidos. Así, Trend Micro predice que esto será uno de los principales problemas de reputación y supondrá un reto para las empresas de seguridad.

Los medios y redes sociales serán utilizados por los ciber-criminales para entrar en el “círculo de confianza” de los usuarios.
La ingeniería social continuará jugando un gran papel protagonista en la propagación de amenazas. Dado el creciente grado de saturación de los medios sociales con contenidos previstos para ser compartidos mediante interacciones sociales online, los ciber-delincuentes definitivamente intentarán penetrar y comprometer las comunidades online más populares durante 2010.

Las redes sociales son también lugares maduros para robar información de identificaciones personales (PII). La calidad y cantidad de los datos publicados abiertamente por la mayoría de los usuarios confiados de sus páginas de perfil, combinados con pistas de interacción, son más que suficientes para los ciber-criminales para llevar a cabo robos de identidad y dirigir ataques de ingeniería social. La situación empeorará en 2010, con perfiles de personalidades que sufrirán desde suplantación de identidades online a robo de cuentas bancarias.

La desaparición de brechas globales y el crecimiento de los ataques dirigidos y localizados.
El panorama de las amenazas ha cambiado y ya no se detectan epidemias globales como Slammer o CodeRed. Incluso Conficker, el incidente de seguridad más cubierto de 2008 y principios de 2009, no era una epidemia mundial según su definición real, sino que fue un ataque cuidadosamente construido y orquestado. De acuerdo con esto, se prevé que los ataques localizados y dirigidos experimentarán un crecimiento en número y sofisticación.

Otras previsiones clave para 2010 son:

• Todo gira en torno al dinero, por lo que los ciber-delincuentes no desaparecerán.
• Windows 7 tendrá repercusiones puesto que es menos seguro que Vista en la configuración por defecto.
• La mitigación del riesgo ya no es una opción tan viable –incluso con buscadores o sistemas operativos alternativos-.
• El malware está cambiando su forma cada pocas horas.
• Las infecciones de paso son la norma – una visita a una web es suficiente para infectarse.
• Aumentarán los nuevos vectores de ataque para entornos virtualizados y cloud.
• Los bots no se podrán detener ya y estarán presentes para siempre.
• Compañías/Redes sociales continuarán siendo sacudidas por brechas de datos.

Descargar el informe completo PDF 1,54mb (inglés)

Referencia: El blog de Trend Micro

El documento declara “de interés público el acceso a las medicinas que sean utilizadas para el tratamiento de las enfermedades de la población ecuatoriana y que sean prioritarias para la salud pública, para lo cual se podrá conceder licencias obligatorias sobre las patentes de los medicamentos de uso humano que sean necesarios para sus tratamientos”.

PDF Decreto_118 26-10-09licenciasobligatorias

Durante los últimos 2 años se han venido sofisticando y casi que profesionalizando las metodologías de ataque, y más grave aún, se han venido parametrizando dichos ataques para aprovechar esta falsa sensación de seguridad. Se configura un ataque para que cumpla los horarios típicos más vulnerables, por ejemplo, configurar una red de zombis (máquinas que ya han sido comprometidas y se mantienen bajo el poder de un atacante como un “ejército silencioso”) para que ataquen de forma discreta y pausada, en intervalos lentos de conexión y de diferentes direcciones IP, justo en horario de almuerzo. Se eligen estos horarios porque estadísticamente durante el día se sospecha mucho menos de actividades de la red y porque culturalmente son horas mucho más susceptibles a abrir correo o navegar en páginas no corporativas. Se han encontrado también virus y troyanos con fechas de propagación relativas a las fiestas patrias en Ecuador.

El más popular es quizás el detalle con el que se ha conseguido suplantar entidades financieras del país por medio de Phishing. De hecho no ha sido difícil encontrar tecnologías de phishing en la región que incluyen tecnologías AJAX, ataques DNS, javascript avanzado y hasta intentos de suplantación en los certificados digitales. Todo esto teniendo muy en cuenta que para materializarlo en un ataque, antes ha habido un estudio del objetivo atacado.

Se espera que este comportamiento siga su incremento exponencial en los próximos años. Ya se ha propagado la noticia de que nuestros niveles de conciencia e inversión en temas de seguridad de la información no son los suficientemente aceptables para el reto que se avecina.

No todo es negativo. Afortunadamente se ha venido lentamente despertando el interés particular en la institucionalización de normativas para tratamiento y protección adecuados y seguros de la información, lo que ha creado algo de expectativa entre algunas organizaciones. Aunque el tema debe madurarse mucho aún, se tienen claros los principios de la seguridad. Desafortunadamente nuestra cultura se orienta mucho a la remediación en vez de la prevención; y son pocos los ejemplos de organizaciones que por iniciativa y conciencia, invierten esfuerzos adecuados y suficientes en la protección de uno de sus activos más valiosos: La información.

*Por: Adrián E. Rodríguez — Director de consultoría Digiware Perú — CISSP, CISM, GCFA, ISO Lead Auditor.