“Internet seguro”, entrevista en Diario La Hora

Posted on September 29, 2010 by Inforc Ecuador

Fue una muy buena oportunidad para conversar sobre los diferentes usos del internet, lo importante acá y merece ser destacado, es la importancia que este tipo de “información masiva”, está adquiriendo en los grandes medios de comunicación.

Internet seguro

Navegar por la red es adentrarse en aguas desconocidas. Los expertos en Internet conocen cómo disminuir el riesgo y esos trucos pueden ser útiles para los usuarios medios. El gerente de Inforc Ecuador, Carlos Jumbo, explica que la raíz del problema es el desconocimiento de los riesgos electrónicos (fraudes, suplantación de identidad, robo de datos), así como la falta de concienciación sobre seguridad de la información.

¿Cómo utilizar el mail?
Uno de los servicios más utilizados es el correo electrónico. Pero no todos conocen las normas básicas de seguridad como el cierre de sesión, la protección contra ‘spam’ y el resguardo de otras direcciones. Jumbo explica que lo más recomendable es cerrar la sesión utilizando la opción del menú “para estar seguro de que nadie más pueda ingresar y manipular nuestra cuenta”. Cuando se cierra el navegador no necesariamente se cerrará la sesión establecida.

“Otra opción es no exhibir nuestra dirección de correo electrónico en foros, ventanas de diálogo, sitios de encuestas, promociones… porque nuestro buzón estará saturado de correos no deseados y ‘spam’, para estos casos se recomienda tener dos cuentas, una para ser utilizada en suscripciones y la otra de uso personal”, agrega Jumbo.

Usar la opción ‘copia al carbón CC’, cuando se envíe correos a más de una persona, permite que quienes reciben el correo no puedan ver las otras direcciones y evita que a sus contactos les llegue ‘spam’, de personas que generan bases de datos por medio de las conocidas cadenas.

No hay privacidad
Las redes sociales se han popularizado porque son un espacio para compartir con otras personas alrededor de todo el mundo.

De todas formas, la información que se comparte en estos sitios, como datos de contacto, creencias religiosas, tendencias sexuales, gustos y fotos se convierte en pública y podría ser utilizada de forma negativa. El gerente de Inforc Ecuador advierte de algunos peligros: “la barrera del idioma (redes sociales en otra lengua), falta de claridad para saber a quién reclamar, traslado de responsabilidad a los usuarios, suplantación de identidad e incluso la posibilidad de alojar contenidos que están protegidos por los derechos de autor, que va en contra del uso no responsable de los mismos. Lo que está claro es que el usuario es el único que tiene la facultad de decidir qué es público y qué es privado, pensar en las consecuencias antes de publicar cualquier información es la recomendación más importante. En Internet no hay privacidad”.

Brechas de seguridad
Uno de los aspectos en los que más se descuidan las personas cuando usan Internet es la exhibición de información sensible y privada. Éstas, definitivamente, no deben ser publicadas.

Jumbo explica que “el creer que se domina el ciberespacio porque su contraseña tiene más de ocho caracteres, no es una seguridad, ya que, por otro lado, la vida de sus parientes y familiares ya es pública, se conocen fechas de nacimientos, aniversarios, logros, sitios o lugares frecuentes, lugares de estudio, trabajo… El hecho de probar o ser usuario de cualquier red social que aparezca no lo hace un usuario con conocimiento, sino un usuario vulnerable”.

Utilización de páginas de bancos
Uno de los movimientos más sensibles es la realización de movimientos bancarios, ya que las personas se pueden exponer a robos.

Jumbo explica que es necesario ingresar manualmente a la dirección del banco, escribiendo toda la ubicación, porque “no se debe confiar en los resultados que arrojen los buscadores (Google, Bing, Yahoo). Estos resultados también son envenenados con métodos y técnicas que no son legales para posicionarse en los buscadores y así engañar al usuario con resultados falsos”.

Este tipo de estafa es conocida como ‘phishing’ y también se puede realizar por medio de correos. Cuando una persona recibe uno de la entidad bancaria jamás se debe ingresar al enlace que proporcionan. “El objetivo es llevar al usuario a una página falsa. Tampoco hay que ingresar a los servicios bancarios desde un ‘cafenet’”, agrega Jumbo.

Dato
Aunque tome tiempo y sea aburrido, es necesario leer los términos de uso de los servicios que se utilizan en Internet.

Las páginas electrónicas más peligrosas son las que alojan ‘malware’ y se llega a ellas buscando ‘cracks’, ‘seriales’, formas de activar aplicaciones de pago, sitios de pornografía y de apuestas.

Posted in consejos, Ecuador | 1 Comment

Consejos de seguridad para trabajadores móviles

Posted on September 17, 2010 by Inforc Ecuador

Una guía rápida de importantes consejos dirigida a aumentar la seguridad de los trabajadores que necesitan y utilizan herramientas de movilidad en sus puestos de trabajo. Cada vez son más las personas que viajan por trabajo con portátiles o smartphones, y que aprovechan hasta el último minuto de sus desplazamientos para conectarse a la primera red disponible a fin de dar salida a correos, documentos o acceder a sus servidores empresariales para recuperar la última versión de la presentación que van a exponer.

Aquí las recomendaciones:

Antes de salir de la oficina

  • La regla de oro – Instala y actualiza tu software antivirus: utiliza siempre un software antivirus y asegúrate de que estás ejecutando la última versión disponible en ese momento. Incluso los netbooks con menor capacidad de procesamiento deberían poder ejecutar un análisis antivirus adecuado –como el de ESET– para ofrecer la protección necesaria sin ralentizar el sistema.
  • Ser prevenido evita tener que limpiar una infección: haz copias de seguridad de tus datos, ya estén almacenados en tu netbook, en tu portátil o en tu Smartphone, para mantenerlos seguros en todo momento. En caso de robo o pérdida de tu equipo, puedes eliminar al menos la posibilidad de despedirte de tus datos para siempre.
  • Utiliza contraseñas y cifra la información: los datos y los dispositivos para almacenarlos deberían estar protegidos siempre por contraseñas. Lo mejor es utilizar el cifrado para prevenir su uso fraudulento en caso de que caigan en las manos inadecuadas.
  • Comprueba que tus tarjetas de memoria y dispositivos USB no tengan malware: los medios extraíbles son actualmente los portadores de malware más comunes. Antes de salir de viaje o hacer una visita fuera de la oficina, hazte un favor y ejecuta un análisis antivirus. Antes de hacerlo, recuerda siempre deshabilitar la función AutoRun de Windows, para evitar que ciertos virus se transfieran a tu ordenador sin que te des cuenta. Un consejo más: formatea la tarjeta de memoria de tu cámara digital si vas a utilizarla en tu viaje (preferiblemente en la cámara en lugar de en el PC), simplemente para cerciorarte de que es segura. No es inusual que tarjetas de memoria nuevas contengan malware instalado en ellas.

Durante tu estancia fuera de la oficina

  • Ten cuidado con los ladrones: el robo de ordenadores y teléfonos móviles puede arruinarte el día. Para evitar las caras largas, mantén siempre tu ordenador en un lugar seguro. Cuando estés en tu destino, recuerda que puedes utilizar el conector de seguridad presente en casi todos los equipos informáticos para anclarlo y minimizar el riesgo de robo.
  • Redes inalámbricas: puede ser duro, pero debes evitar a toda costa las redes inalámbricas abiertas e inseguras. Y este punto no admite discusión.
  • Ten cuidado con los robos de datos: mantente alerta cuando estés escribiendo en ordenadores de cibercafés. Estos ordenadores compartidos ejecutan normalmente keyloggers, un software malicioso que puede robar contraseñas y rastrear tus datos mientras los escribes. Nunca utilices servicios de banca por Internet, intercambies correos electrónicos y accedas a tus perfiles en redes sociales en estos lugares. Es más, cuando utilices un dispositivo USB, sé consciente de la posibilidad de que puedes estar llevándote a casa cualquier forma de malware de recuerdo.
  • Navega seguro por la red: navegar utilizando tu propio modem USB o tu teléfono es siempre una opción más segura que utilizar redes Wi-Fi públicas. Para evitar los altos costes de las tarifas de datos en roaming, en caso de que viajes al extranjero, considera la opción de comprar una tarjeta de prepago de un operador local para realizar todas tus actividades online en las que manejes datos importantes.
  • Crea una cuenta de correo específica para viajes: configura el reenvío automático de los mensajes desde tu correo habitual a la cuenta que designes “exclusiva para viajes”. De esta forma, si alguien te roba los datos de acceso al correo, el daño será considerablemente menor que si le afecta a tu correo habitual. Además, tus mensajes originales seguirán intactos.
  • Analiza tu ordenador (al menos online): cuando te sea posible, analiza tu portátil, al menos con una solución online, para asegurarte de que está libre de malware.

Y cuando vuelvas……

  • Analiza tu ordenador y tu teléfono: sólo para estar seguro, una vez regreses deberías revisar tu ordenador y tu teléfono en busca de posibles infiltraciones (y recuerda deshabilitar la función AutoRun antes de hacerlo). También es recomendable el análisis de las tarjetas de memoria de cámaras y otros dispositivos, así como de las memorias USB.
  • Vuelve a utilizar tu correo habitual: cancela el reenvío de mensajes a la cuenta habilitada para viajes y comienza a utilizar de nuevo tu correo habitual.

Fuente: ESET.ES

Posted in consejos, ESET | Leave a comment

En GeeksRoom hablando sobre seguridad

Posted on September 16, 2010 by Inforc Ecuador

Gracias al compatriota Milton Ramírez (aka @tonnets) por la invitación a comentar en GeeksRoom sobre algunos temas relacionados con seguridad de la información y otros aspectos.

Acá el enlace a la nota.

Aclarar que sobra el título de “especialista” endilgado en dicha nota :(

Posted in Ecuador | Leave a comment

¿Tienes privacidad de verdad en las redes sociales?

Posted on August 25, 2010 by Inforc Ecuador

Una interesante animación de PantallasAmigas.net que pretende sensibilizar sobre el riesgos de “pérdida de privacidad inducida” en la Red, es decir, aquella que depende de lo que los demás hagan con nuestra imagen, datos personales, etc., un problema creciente en las redes sociales de Internet.

“Lo que se sabe de ti depende de otras personas”.

Posted in alertas, seguridad | Tagged | Leave a comment

Los 10 dominios del (ISC)² CISSP CBK

Posted on August 24, 2010 by Inforc Ecuador

Luego de haber publicado información acerca del Seminario de revisión y el Examen para la certificación CISSP, nos consultaron sobre cuáles son los aspectos que debe dominar el profesional que pretenda certificarse como CISSP, y respondemos que se trata de cubrir lo que se denomina como los 10 dominios de conocimiento que requiere el (ISC)² al candidato y son los que se tratan en el curso de preparación para el examen.

Estos 10 dominios son los siguientes:

  1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías:
    • Conceptos y objetivos.
    • Gestión del riesgo.
    • Procedimientos y políticas.
    • Clasificación de la información.
    • Responsabilidades y roles en la seguridad de la información.
    • Concienciación en la seguridad de la información.
  2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad:
    • Conceptos de control y seguridad.
    • Modelos de seguridad.
    • Criterios de evaluación.
    • Seguridad en entornos cliente/servidor y host.
    • Seguridad y arquitectura de redes.
    • Arquitectura de la seguridad IP.
  3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información:
    • Conceptos y tópicos.
    • Identificación y autenticación.
    • Equipo de e-security.
    • Single sign-on.
    • Acceso centralizado / descentralizado / distribuido.
    • Metodologías de control.
    • Monitorización y tecnologías de control de acceso.
  4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información:
    • Definiciones.
    • Amenazas y metas de seguridad.
    • Ciclo de vida.
    • Arquitecturas seguras.
    • Control de cambios.
    • Medidas de seguridad y desarrollo de aplicaciones.
    • Bases de datos y data warehousing.
    • Knowledge-based systems.
  5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso:
    • Recursos.
    • Privilegios.
    • Mecanismos de control.
    • Abusos potenciales.
    • Controles apropiados.
    • Principios.
  6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad:
    • Historia y definiciones.
    • Aplicaciones y usos de la criptografía.
    • Protocolos y estándares.
    • Tecnologías básicas.
    • Sistemas de encriptación.
    • Criptografía simétrica / asimétrica.
    • Firma digital.
    • Seguridad en el correo electrónico e Internet empleando encriptación.
    • Gestión de claves.
    • Public key infrastructure (PKI).
    • Ataques y criptoanálisis.
    • Cuestiones legales en la exportación de criptografía.
  7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información:
    • Gestión de las instalaciones.
    • Seguridad del personal.
    • Defensa en profundidad.
    • Controles físicos.
  8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación:
    • Gestión de la seguridad en la comunicaciones.
    • Protocolos de red.
    • Identificación y autenticación.
    • Comunicación de datos.
    • Seguridad de Internet y Web.
    • Métodos de ataque. Seguridad en Multimedia.
  9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones:
    • Conceptos de recuperación ante desastres y de negocio.
    • Procesos de planificación de la recuperación.
    • Gestión del software.
    • Análisis de Vulnerabilidades.
    • Desarrollo, mantenimiento y testing de planes.
    • Prevención de desastres.
  10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos:
    • Leyes y regulaciones.
    • Gestión de incidentes.
    • Gestión de la respuesta ante incidentes.
    • Conducción de investigaciones.
    • Ética en la seguridad de la información.
    • Código ético del (ISC)².

Suerte!

Fuente: Internet Security Auditors

Posted in CISSP, Ecuador | Leave a comment

Cursos para Certificación Cobit Foundation [ISACA]

Posted on August 23, 2010 by Inforc Ecuador

ISACA ofrece una amplia gama de oportunidades de formación con COBIT, incluida la formación in-situ. Los cursos a dictarse en el capítulo Quito – Ecuador incluyen a COBIT FOUNDATION y la IMPLEMENTACIÓN DE COBIT.
El Curso será impartido por Lucio Molina Focazzio quien es Instructor acreditado COBIT por ISACA Internacional.

Curso COBIT FOUNDATION
En este curso los participantes aprenden la necesidad de un marco de trabajo de TI y la manera en la que COBIT satisface esta necesidad al ofrecer un marco de trabajo TI mundialmente aceptado. El curso explica los elementos del marco COBIT y sus materiales de asistencia con un enfoque lógico y orientado a ejemplos para los interesados en la obtención de conocimientos fundamentales de COBIT.

El material del curso se apoya en ejercicios prácticos entorno a una empresa virtual. Los candidatos aprenden el verdadero significado de COBIT practicando el uso de COBIT en un escenario seguro, basado en casos.
Un módulo de preparación para el examen COBIT Foundation está incluido en el curso.

El participante aprenderá más sobre:

  • Cómo afectan los problemas de gestión de TI a las organizaciones y la necesidad de un marco de trabajo de control, impulsado por la necesidad de un gobierno de TI.
  • ¿Cómo cumple COBIT con la exigencia de un marco de trabajo para el gobierno de TI.
  • ¿Cómo se utiliza COBIT con otros estándares y mejores prácticas.
  • Las funciones que provee COBIT y los beneficios del uso de COBIT.
  • El marco de trabajo COBIT y todos los componentes de COBIT (Objetivos de control, métodos de control, directivas de gestión, directrices de aseguramiento).
  • ¿Cómo aplicar COBIT en una situación práctica y cómo el uso de COBIT es apoyado por el ITGI.

Requisitos previos:
No se requieren.

Aquí más detalles


Posted in Ecuador, Isaca | Tagged | Leave a comment