El blog de Inforc Ecuador » utilidades

Obteniendo la ‘seguridad concienciada’

Carlos Jumbo G. — Mon, 16 Nov 2009 21:44:22 +0000

Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.

Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’, según SafeNet, son los siguientes:

Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.

Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.

Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.

En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.

Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:

Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación constante.

Segu Kids, un gran proyecto en la Red

Carlos Jumbo G. — Sun, 06 Sep 2009 01:08:55 +0000

Cristian F. Borghello nos presenta su proyecto Segu-Kids, un espacio creado para brindar información a Jóvenes, Padres y Docentes, sobre Seguridad en Internet. Este nuevo emprendimiento de Segu-Info brinda información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con esta brillante iniciativa.

Te invitamos a conocer Segu-Kids y a dejar tus experiencias, para que con la ayuda de todos, este proyecto siga creciendo en la red: http://www.segu-kids.org/

Estudio de la UNCTAD sobre la armonización de la ciberlegislación en América Latina

Carlos Jumbo G. — Wed, 19 Aug 2009 14:41:30 +0000

Un completo estudio preparado por la UNCTAD sobre la armonización de la ciberlegislación en América Latina.

Dicho estudio fue preparado haciendo seguimiento a las intervenciones de asistencia técnica que la UNCTAD ha realizado desde 2007 en la región a fin de ayudar los países concernidos a beneficiarse del potencial del comercio electrónico, y proponer planes para el desarrollo de un marco legal armonizado para el comercio sobre Internet. El estudio se basa en la información proporcionada por los representantes de los países a lo largo de los talleres de formación organizados en 2007 y 2008, y en la reseña comparativa preparada bajo los resultados de los mismos. En el documento también se analizan las iniciativas regionales, en particular la iniciativa y los Planes de Acción eLAC, y el trabajo de las instituciones regionales y sub-regionales en el ámbito de la ciberlegislación. Su objetivo es proveer recomendaciones para conseguir la armonización regional y facilitar el crecimiento del comercio electrónico domestico, regional e internacional.

Sobre Ecuador se destaca lo siguiente:
En materia de privacidad y datos personales, la nueva Constitución tutela el derecho de las personas para que en ningún caso se pueda exigir o utilizar, sin su autorización, la información personal que les concierna, incluyendo la referente a sus creencias religiosas, filiación o pensamiento político, ni sobre datos referentes a su salud y vida sexual, salvo por necesidades de atención médica. Asimismo, garantiza el derecho al honor y al buen nombre de las personas. Adicionalmente, establece el derecho de toda persona a conocer y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, sea en soporte material o electrónico. De igual forma, reconoce el derecho de los titulares de la información a conocer sobre el uso, la finalidad, el origen y destino de la misma. Las personas responsables de los bancos o archivos de datos personales pueden difundir la información archivada si cuentan con la autorización de su titular o si lo prescribe alguna disposición legal.

Descargar el documento (PDF 1,30MB)

Fuente y referencias: UNCTAD I Segu Info I Derecho Informático

Buenas prácticas para proteger el entorno de información

Carlos Jumbo G. — Tue, 07 Jul 2009 00:49:08 +0000

Un completo informe elaborado por la gente de ESET Latinoamérica, donde se exponen medidas de seguridad tendientes a minimizar el volumen de “potenciales víctimas”, brindando herramientas preventivas para cada una de las tecnologías y servicios más populares y más utilizados por los usuarios, abordando además en cada punto los mecanismos de prevención que permiten detectar, de manera temprana y sin acciones complejas, las acciones maliciosas más comunes.

Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas. Pero para ello inevitablemente se deben conocer los peligros latentes, y cómo detenerlos a través de mecanismos de prevención.

Descargar el informe “Buenas prácticas para proteger el entorno de información” (PDF 486,kbs)

La guía de Google para la seguridad online de la familia

Carlos Jumbo G. — Thu, 25 Jun 2009 21:59:21 +0000

Google Latinoamérica ha presentado una interesante guía para la seguridad online de la familia, la misma que contempla una serie de consejos prácticos con el propósito de:

Brindarle a los padres herramientas que los ayuden a elegir qué contenidos quieren que sus hijos vean online.
Educar a las familias sobre cómo pueden hacer uso de Internet en forma segura.

Además de recomendaciones que les permitirán conocer como cuidar su privacidad, cómo minimizar el acceso a contenidos inapropiados y como participar de redes sociales sin revelar información sensible que no es para compartir con cualquiera, como así también saber cómo participar para denunciar la publicación de materiales considerados inadecuados.

Descargar la guía (PDF 157kb)

Decálogo de Seguridad

Carlos Jumbo G. — Wed, 24 Jun 2009 00:53:51 +0000

Instalar todas las actualizaciones de seguridad de tu sistema operativo, sobre todo las críticas para evitar que tu sistema se vea comprometido por tercero.
Mantén tu antivirus actualizado al día, realiza análisis diarios y sobretodo mantén tu cortafuego activado en época de vacaciones.
Evita consultar tu correo, cuentas bancarias o información sensible a través de ordenadores públicos.
Utiliza las conexiones Wifi públicas (aeropuertos, restaurantes, bares, etc.) para consultas generales evitando enviar ni consultar información privada ya que puede ser capturada por terceros.
No abrir correo electrónico dudoso incluso viniendo de conocidos. Es mejor asegurarse que ha sido enviada por la persona conocida antes de abrirlo.
Evita mantener encendido el bluetooth y wireless del móvil, ordenador o PDA si no es necesario.
Asegúrate de desactivar el auto arranque de las unidades extraíbles como memorias USB, tarjetas SD, CF, etc. Para evitar ser contagiado por USB de terceros, protege tus tarjetas de memoria y USB contra escritura para cuando los insertes en ordenadores de otros.
Comprueba periódicamente los movimientos en cuentas bancarias y tarjetas de crédito.
Evita dejar tu portátil sin supervisión en lugares públicos.
Haz copias de seguridad de tu sistema antes de salir de vacaciones.

Fuente: Segu Info

Inforc Ecuador presente en el BarCamp Guayaquil.

Carlos Jumbo G. — Tue, 23 Jun 2009 13:30:48 +0000

Este sábado 27 se efectuará en la ciudad de Guayaquil el evento tecnológico más importante del país, se trata del Barcamp Guayaquil 2009.

Pero, ¿Qué es BarCamp?

El BarCamp es una red internacional de “desconferencias” (eventos abiertos y participativos), cuyo contenido es provisto por los participantes. Se enfocan en aplicaciones web en estadios tempranos, tecnologías de código abierto y protocolos sociales. Sin embargo, este tipo de encuentros han ampliado su temática y actualmente incluyen eventos participativos y abiertos alrededor de temas sociales, artísticos, educativos… con fuertes componentes creativos e innovadores en los respectivos ámbitos.

Inforc Ecuador estará presente apoyando esta gran iniciativa de cultura digital.

El evento puede ser seguido en vivo a través de los tres canales que la gente de la Espol ha dispuesto para el efecto.

¿Que hacer en caso de desastre?

Carlos Jumbo G. — Sat, 07 Apr 2007 10:11:00 +0000

Voy a publicar el artículo completo que Matthew D. Sarrel lo escribió para la revista PC MAGAZINE en español sobre lo vital que resulta elaborar un plan para continuar con el negocio en caso de desastre.

¿Que le sucedería a tu negocio en caso de que ocurriera un desastre? El antiguo adagio “espera lo inesperado” es clave para entender los principios de la planeación para continuar con tu negocio.
Muchos dueños de compañías pequeñas dejan de desarrollar un plan de este tipo porque creen que no pueden pagar los recursos necesarios. Sin embargo, la escasez de recursos hace que el plan sea mucho más esencial. Estos son algunos pasos que puedes seguir para crear uno:Lo primero que debes entender es que los desastres suceden. Inundaciones, incendios, tornados y terremotos son riesgos cuya probabilidad depende de donde te encuentres, pero nunca es nula. El hecho de decir “si hay un desastre, nos las arreglaremos” es garantía de que fracasarás. Las pequeñas empresas no pueden darse ese lujo. Deben ser creativas.
El dueño o el director general debe dedicarse a desarrollar un plan para continuar con el negocio. No se trata sólo de una cuestión de TI; un desastre afectará todas las líneas del negocio. Por tanto, un plan detallado requiere de la participación de distintos grupos. Deja muy en claro que esperas la contribución de todos, sin importar el departamento en el que trabajen. Además, al distribuir el presupuesto y las labores de todo el personal envía el mensaje de que la compañía está preparada para actuar con rapidez y decisión.

El siguiente paso es realizar un análisis de riesgos. Revisa cada área del negocio y anota los riesgos. ¿Cuanto dinero perderías? ¿Cuántos clientes perderías?. No olvides que necesitas proteger la información electrónica y en papel, como los contratos. Guarda los documentos en papel dentro de un archivero resistente al fuego, sacas copias de todos y guárdalas fuera de la oficina, o bien, escanéalos para almacenarlos en un sistema de administración de documentos.

En muchos casos, el mejor plan de continuidad para empresas pequeñas es un manual de operaciones preciso y actualizado que describa la forma en que manejas el negocio, creas respaldos y manejas la estructura de telecomunicaciones, además de incluir la lista de proveedores y clientes con la información necesaria para contactarlos.
Guarda este manual en un lugar al que tus empleados tengan acceso y donde lo puedan actualizar desde cualquier parte, a la manera de sitio web protegido.

En caso de desastre, es esencial mantener una comunicación abierta. En las horas antes de que ocurra, o durante el siniestro, deberás establecer contacto con tus empleados de manera individual, para explicarles qué está sucediendo, así como para darles las instrucciones pertinentes. Un servicio de mensajes como AlertFind de Message One puede ser muy útil, pero una empresa pequeña con presupuesto limitado puede salir adelante con llamadas telefónicas. Y protege tu información y tus documentos; respalda todo en un lugar fuera de la oficina; crea un sitio web seguro; respalda tus archivos y los de todos tus empleados locales en la unidad C, y no solo en e servidor. No lo olvides.

El hombre que tiene un plan.

Reinhart Koch, asesor de continuidad de negocios de Avaya, ofrece estos consejos:

Pide al director general o al dueño del negocio que comprometa a la fuerza laboral y los recursos, y asigna una función a cada persona.

Si se presenta un desastre, llama a todos los empleados para mantenerlos al tanto. Utiliza conferencias de vídeo y/o tele conferencias para maximizar las llamadas. Envía mensajes de texto si la red de teléfonos está saturada.

Cuánto cuesta un desastre

Entre 1986 y 2005, los desastres climáticos y de otro tipo dieron como resultado pérdidas que superaron los 278 mil millones de dólares. Este es un análisis de los tipos de desastres y las pérdidas.

3er número de la Revista QUANTICO

Carlos Jumbo G. — Thu, 02 Nov 2006 05:26:00 +0000

No me había percatado, pero desde hace algunos días está disponible el tercer número de QUANTICO, la revista de ASIRA (Asociación de Seguridad de la Información de la República Argentina).

Personalmente destaco el tema: La seguridad de la información en las organizaciones.

“Como consecuencia del ámbito de TI, tanto la seguridad de la información, como los procesos operativos del negocio deben contar con una estrategia clara y aplicable en el mediano y largo plazo; que incluya Normas y Políticas que permitan gobernar sobre los recursos corporativos y Procedimientos Estándares donde los actores principales sean los directivos y el escenario sea la organización, sin importar su origen o posición en el mercado; dado que la materialización de un riesgo puede derivar en un impacto significativo si el bien afectado es de gran valor para el negocio”. Maximiliano Canosa.

Descargar la revista

Tags: revista seguridad ecuador quantico descargas recursos

Virus, banqueros y ladrones

Carlos Jumbo G. — Mon, 09 Oct 2006 06:57:00 +0000

Muy llamativo el nombre del informe preparado por Cristian Borghello, y difundido por Eset, en donde se pone de manifiesto el accionar de un troyano generalmente denominado “banker”, detectado por Eset NOD32 bajo el nombre de Win32/Bancodor.AB, aunque puede ser llamado con otra denominación por el resto de las casas antivirus.

El objetivo de este informe es alertar al usuario sobre los peligros que representan este tipo de programas maliciosos para la privacidad. Este malware llega por correo electrónico en mensajes de otras personas infectadas o bien en forma de spam. Generalmente invitan al usuario a descargar un archivo mediante diversas técnicas de engaño (Ingeniería Social).

“Cuando pensamos que podríamos ser robados, lo último que se nos ocurriría es un programa que“vigila“ nuestras acciones a la espera que ingremos nuestros datos confidenciales en algunainstitución finaciera, comercial y/o bancaria para aprovecharlos en fines delictivos”. Cristian Borghello.

¿Como funciona?

Se instala un programa (banker) en el sistema de cualquier usuario.
El programa monitorea todas las acciones del usuario sin que este se percate de nada extraño.
Si el usuario realiza algunas de las acciones previstas por el creador del malware, como puede ser ingresar a su home-banking, la información ingresada por el usuario es almacenada en archivos (texto, imagen o video).
Cada cierto tiempo el programa envía la información recolectada a su creador.
El delincuente utiliza los datos recibidos ocasionando fraudes, robos o cualquier otro fin delictivo imaginado.

Descargar informe.

Fuente original de la noticia: Eset lanza informe sobre troyano Bancario

Notas relacionadas.
TR/Spy.Bancodor.AB – Trojan
Troyano que burla seguridad de banca online causa estragos en usuarios de América Latina
Sexo, troyanos, y phishing

Tags:seguridad fraudes informes antivirus spam antivirus