De no ser por una práctica amigable de su competidor, los secretos de Coca-Cola habrían sido expuestos hace poco. De acuerdo con varios medios, tres personas (una de ellas, empleada de Coca-Cola Company), intentaron vender a Pepsi secretos industriales de la primera, incluyendo una muestra de una bebida nueva.
Pero no contaban con la honestidad de los ejecutivos de Pepsi, quienes mostraron a los directivos de la gaseosa de etiqueta roja, una carta, supuestamente escrita por un importante empleado de Coca, que prometía información detallada y confidencial a cambio de un millón y medio de dólares. “Nosotros hicimos lo que cualquier compañía responsable haría. La competencia puede ser feroz, pero también necesita ser limpia”, dijo el vocero de Pepsi, Dave DeCecco.
Por su parte, Neville Isdell, jefe ejecutivo de Coca-Cola, agradeció a su competidora y se dirigió a sus empleados a través de un comunicado interno en el que establecía que todos tienen la responsabilidad de vigilar la protección de sus secretos comerciales. Seguramente se alegró de que solo hubiera sido un susto, una llamada de atención, y que los ingredientes de su fórmula se encuentren a salvo.
Sólo un susto, esta vez, pero ¿qué si no la cuenta? ¿Cuántas empresas hay que no corren con la misma suerte? Y es que a pesar de tener tecnología de punta, las compañías seguirán siendo vulnerables. Cuando no se filtra información vía telefónica, o en una conversación en un ascensor, se extraen archivos mediante dispositivos usb o simplemente se transfieren a un contacto del mensajero electrónico.
Nunca faltan, tampoco, los espías de la competencia, o empleados insatisfechos dispuestos a vender hasta su alma con tal de conseguir algún beneficio económico. Y qué decir de otros factores que afectan también la continuidad del negocio, como los que se explican en el artículo dedicado a la continuidad en esta misma edición.
El hecho es que no parece haber un flanco libre de huecos, y de hecho, así es. Como se puede apreciar en el recuadro Elementos que disparan los riesgos, el negocio de una empresa, así como sus sistemas de información, pueden ser vulnerables ante amenazas del mercado, financieras, operativas y de recursos humanos, entre otras.

Los objetos están más cerca de lo que parecen
El primer paso para efectuar un análisis de riesgos es entender la naturaleza misma de este proceso. De acuerdo con Gonzalo Espinosa, jefe de seguridad de la información en Cadbury Schweppes e instructor del módulo de análisis de riesgos en el diplomado de seguridad informática del Tec de Monterrey y la Asociación Latinoamericana de Profesionales en Seguridad Informática (ALAPSI), el riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad, o la ausencia de controles, para impactar al objeto de la información en cualquiera de sus tres características: integridad, confiabilidad o disponibilidad.

Ahora bien, no es posible eliminar por completo los riesgos en seguridad, pero “si los controles funcionan correctamente, la amenaza será contenida o mitigada”, dijo Espinosa. En este sentido, un control se refiere a la solución específica para cada vulnerabilidad, ya sea que se trate de un marco de trabajo (como COSO, ITIL o Cobit), proceso, aplicación o tecnología, que ayude a las organizaciones a alcanzar sus objetivos y estrategias de negocio, evitando o minimizando los impactos. Los controles pueden ser preventivos, correctivos o de protección.

Así, el análisis de riesgos es el punto de inicio que debe cumplir cualquier procedimiento de administración de la seguridad de IT basado en estándares internacionales de seguridad, ya que deberán identificarse cuáles son las vulnerabilidades potenciales de seguridad de los procesos de la organización, para poder definir los planes de mitigación.

Las empresas pierden cada vez más información confidencial. Ni virus ni hackers. A paso firme, la fuga de datos se encamina hacia la cabeza del ranking de preocupaciones de las grandes empresas. En 2007, las compañías perdieron entre 53 y 59 mil millones de dólares por extravío de información confidencial en todo el mundo, según un informe de PriceWaterhouse Coopers. Y el 78 por ciento de las pérdidas se originan en el interior de las empresas.

Los especialistas coinciden en que la mayor parte de la perdida de información clave no es intencionada. Pero cerca del 20 por ciento si lo es. Y es sustraída por empleados propios. “Nuestros estudios sostienen que el perfil de quien roba información es un empleado del departamento financiero de la empresa, varón y con 6 años o más de antigüedad”, dice Juan Pablo Castro, de Trend.

La pérdida de información confidencial se agravó en estos años de movilidad tecnológica, donde ya no quedan ejecutivos que no usen una notebook. Y muchos de ellos la llevan al mediodía al bar, se conectan por la red inalámbrica del comercio y se envían información por Hotmail o Yahoo! Las redes Wi-Fi de restaurantes se comparten entre los clientes, con lo cual si en la notebook hay información crítica, cualquiera de los comensales podría acceder.

“Se perdió el concepto de protección perimetral de la red. Hoy, con el firewall no alcanza. Porque los datos de las empresas traspasan la red”, agrega Castro.

Algunos casos resonantes, según Trend:

Gran Bretaña perdió información de 25 millones de ciudadanos, incluidos números de tarjetas de créditos.

Un empleado de Boeing copió datos clave durante dos años.

MTV sufrió el robo de datos de 5 mil empleados.

En una biblioteca sueca se encontró información confidencial del Pentágono sobre Afganistán.

Las empresas de seguridad informática ofrecen productos especiales, consultoría y puesta a punto. LeakProof 3.0 , de Trend Micro, es una solución contra robo de datos que brinda: alertas, bloqueos de información, encriptación de memorias USB, imposibilidad de enviar determinados mails y más.

Para hacer frente a la demanda de sus clientes, Symantec adquirió por 350 millones de dólares Vontu, una empresa especializada en fuga de datos. La tecnología de Vontu está incluida en Symantec Mail Security. “Con esta tecnología, el programa se puede configurar para deshabilitar puertos USB. O para que esos puertos puedan leer pero no grabar. O para que determinados mails no salgan de la empresa, como por ejemplo, los que contienen números de documentos”, explica Nicolás Severino, de Symantec.

Por el mismo camino transita McAfee, que adquirió a las empresas especializadas Onigma y Safeboot, por 20 y 350 millones de dólares respectivamente. La estrella de esta empresa es McAfee Data Loss Prevention. “Nuestro producto detecta determinados patrones que puedan estar hablando de una fuga de datos y luego actúa. Se administra desde la consola central de seguridad de la empresa”, dice Herman Schenk, de McAfee.

Por: Leonardo Correa
Fuente: Clarin. com.ar

La falta de control de tecnologías como las memorias flash obliga a replantear las estrategias de seguridad de datos.

Sepa como proteger su información.
Sin lugar a dudas, es necesario comenzar a hablar de seguridad de la información y no de seguridad informática, para no limitarla sólo a conceptos relacionados con la informática. Este trabajo responde algunos temas claves, y plantea que una política de seguridad adecuada hace a una “buena práctica empresarial”.

¿Porqué seguridad de la información y no seguridad informática?
Una organización básicamente esta compuesta de activos importantes que le permiten realizar sus actividades, generar rentabilidad y darle continuidad a sus negocios.
Particularmente la información es un activo que tiene un valor fundamental para la organización y debe ser protegida de un modo adecuado.
Llamamos seguridad de la información y no seguridad informática, a fin de globalizar el concepto de información, su uso y protección en todas las actividades de una empresa, y que no sea limitada solamente a conceptos relacionados con la informática, teleinformática o automática.

La seguridad de la información protege a la información respecto a una amplia gama de amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores.

La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse electrónicamente (servidores, PC’s, memorias, pendrives), magnéticamente (discos rígidos, tarjetas de acceso, disquetes) u ópticamente (CD, DVD), enviarse por correo electrónico, visualizarse en películas o videos, y comunicarse oralmente en una conversación de persona a persona.
Sin importar la forma que posea la información siempre debe protegerse adecuadamente.
La seguridad de la información debe conformase de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo (incluído usted) tomen las precauciones necesarias para preservar:

Confidencialidad: asegurando que solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.

Integridad: asegurando que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.

Disponibilidad: asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella.
Si alguien roba un activo de información (laptop, informe, disquete, etc.), una persona no autorizada podría leer y difundir la información contenida. Desde esta situación podemos aseverar, en principio, que esta en peligro la confidencialidad de la información.

Ahora si la persona no autorizada, corrompe, modifica o borra la información contenida, impactaría directamente en problemas de integridad. Finalmente, si la información contenida no fue copiada en otro soporte a modo de resguardo (backup), podrían sucederse problemas de disponibilidad, dado que ninguna persona accedería a esta información.

¿Cuál es la importancia de la seguridad de la información?

Casos prácticos:

Un plan de acción que fortalezca la seguridad de la información impide que la información:

La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial de la organización.

Las organizaciones y sus redes de información (informáticas o no) deben afrontar cada vez en mayor medida las amenazas en lo que a seguridad se refiere: fraudes por computadora, virus, delitos informáticos, robo de información interna, hackers, crackers, sabotaje, espionaje, vandalismo, etc. Estas amenazas van avanzando día a día con el avance de la tecnología, y se vuelven más sofisticadas de detener.

Las vinculaciones de redes internas de la organización con otras redes externas (Extranet, Internet, Redes públicas), dificultan el proceso de control de accesos, obligando a que sean más rigurosos en relación a las personas y los activos que ellas utilizan.

La seguridad de la información es un proceso que evoluciona con toda la organización, si bien esta coordinada y centralizada en el departamento de seguridad (IRM – Information Risk Management), involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma (cadena de valor completa).

Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado análisis de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.

¿Qué relación tiene esto conmigo?
La seguridad de la información es asunto suyo. Usted es directamente responsable de su manera de tratar las cuestiones de seguridad.
Tratar la seguridad de la información de manera correcta, de acuerdo con las normas y principios, es una buena práctica empresarial.
De esta forma se muestra a los clientes, accionistas y proveedores que pueden confiar en la empresa, puesto que sus empleados actúan con integridad y profesionalidad.

La seguridad de la información es, con frecuencia, tan solo una cuestión de disciplina y algo que deberíamos recordarnos los unos a los otros.

La fuga de datos, es una de las principales preocupaciones de directivos latinoamericanos. La tendencia de amenaza es de gran magnitud si se tiene en cuenta que en el 2006 se produjeron 161 exabytes de información y se espera sextuplicar tal cantidad para el 2010.

En el marco del 4ª Congreso Argentino de Seguridad de la Información Compartiendo buenas prácticas, Trend Micro ha presentado importantes conclusiones respecto de una amenaza que se incrementa: la fuga de datos.

“Alrededor del 82% de los casos en los que se pierde información sensible o confidencial de una empresa se produce en manos del personal interno de la misma”, afirma Juan Pablo Castro, consultor de Tecnología de Trend Micro México. “Llamamos fuga de datos a la pérdida de confidencialidad de los mismos, sea con intencionalidad, por el mero extravío o incluso falta de concientización respecto de las normas de prevención”, concluye el especialista.

“La pérdida de información constituye una tendencia de amenaza de gran magnitud si se tiene en cuenta que en el 2006 se produjeron 161 exabytes de información y se espera sextuplicar tal cantidad para el 2010”, alerta Maximiliano Cittadini, Team Leader de servicios Enterprise de Trend Argentina. “Para darnos una idea cabal de lo que estos significa, debemos considerar que 161 exabytes son 185.620.362.144 gigabytes, vale decir, casi 186 mil gigabytes”, explica.

Entre los principales vectores de fuga están los dispositivos USB, el mail corporativo, el correo social (Yahoo, Hotmail, por ejemplo) y la mensajería instantánea.

Fuente: TYN Magazine

Una de las tendencias que más está creciendo en el entorno del cibercrimen, es el uso de códigos maliciosos – generalmente troyanos- para robar claves de acceso a juegos online y mundos virtuales.

Los ciberdelincuentes desean obtener beneficios económicos. Para ello, buscan aprovecharse de aquellas herramientas, programas o servicios que concentran a un gran número de internautas para difundir sus creaciones entre ellos y, a ser posible, obtener algún beneficio económico. ¿Cómo se consigue esto en el caso de los mundos virtuales y juegos online? En la mayoría de ellos existen funciones, objetos e, incluso, dinero, que sólo se consigue en función de la experiencia acumulada. Esto hace que muchos usuarios menos avezados no duden en pagar por aquellos objetos que no han podido conseguir jugando. Generalmente, esa compra-venta se suele llevar a cabo en foros, chats o páginas de subastas de Internet. Los ciber-delincuentes aprovechan estas páginas para vender aquellos objetos que han robado.

Pero incluso páginas de subastas tan conocidas como eBay están siendo usadas para vender estos “avatares”. Así, PandaLabs descubrió recientemente a un usuario de este servicio que vendía cuatro jugadores de World or WarCraft con el nivel 70 – realmente alto- por la nada despreciable cifra de 27.000 $.

“Es difícil saber si se trata de un avatar robado o de alguien que quiere aprovechar su gran manejo del juego para sacar dinero”, afirma Luis Corrons, que añade: “en todo caso, es un ejemplo claro de cuánto dinero puede llegar a conseguirse vendiendo este tipo de “mercancía” y explica por qué los ciberdelincuentes han puesto sus ojos en los juegos online y los mundos virtuales”.

Para hacerse con los objetos, los ciber-delincuentes roban las contraseñas de los usuarios legítimos. Para ello, crean códigos maliciosos destinados a un grupo de jugadores muy exclusivos. Así los troyanos de la familia Lineage están destinados a robar contraseñas de este juego, mientras que los de la familia Wow afectan a jugadores de World or Warcraft.

Debido a estos códigos maliciosos, los usuarios pueden perder aquellos objetos y características que tanto les ha costado conseguir e, incluso, un dinero por el que habrán pagado de verdad anteriormente si el robo se produce en un entorno como SecondLife.

Para los jugadores que quieran evitar perder sus objetos, avatares, etc., PandaLabs da los siguientes consejos

• Instalar en el equipo una solución de seguridad que cuenta con tecnologías proactivas. De esta manera, los usuarios estarán protegidos contra los códigos maliciosos diseñados para robar contraseñas de estos juegos, incluso si estos no han atacado con anterioridad.
• Mantener actualizado el equipo: hay que conocer y resolver todas las vulnerabilidades que afecten a los programas que sirven para acceder a estos juegos, así como a otros que estén instalados en el equipo.
• No compartir información confidencial: Si se accede a foros o chats para intercambiar trucos, información, etc., con otros jugadores, hay que recordar que no se debe dar información confidencial (direcciones de correo, claves, etc.).
• Enseñar a los menores: En el caso de los menores, estos deben saber qué información pueden compartir y cuál no. Para ello, los padres deben conocer los juegos a los que acceden y enseñarles la forma correcta y segura de moverse por los mismos.
• No dar más información de la necesaria en los perfiles: A la hora de realizar perfiles de jugador, no hay que dar más información de la necesaria. En caso de que sea obligatorio dar datos como el número de tarjeta de crédito o similares, se debe seleccionar la opción de “no visible para el resto de usuarios” o similar, de tal modo que nadie salvo el jugador y los administradores pueda tener acceso a esos datos.
• Denunciar los delitos: Si se observa alguna conducta inapropiada o delictiva, hay que hacérselo saber a los administradores del juego. La mayoría de los mundos virtuales cuentan con canales para que los usuarios puedan denunciar aquello que consideren oportuno.

Fuente: PandaLabs

Las nuevas soluciones de ESET (ESET NOD32 Antivirus v3 y ESET Smart Security), fueron lanzadas en el idioma castellano para el mercado de habla hispana manteniendo su premiada calidad técnica.

Los clientes actuales de ESET NOD32 Antivirus podrán actualizarse gratuitamente a la versión 3 de este producto.

Adicionalmente, ambas soluciones proveen protección anti-rootkit y anti-spyware, una mejorada y sencilla interfaz, pequeñas actualizaciones e integración con la renovada consola de administración ESET Remote Administrator para entornos corporativos.

Reconocidos analistas como John Hawes, de Virus Bulletin, han dado una efusiva bienvenida a los nuevos productos de ESET: “Cubriendo todo lo esencial con un conjunto excelentemente integrado de barreras proactivas, combinando detección de vanguardia, tiempo de respuesta, heurísticas y alto rendimiento con una excelente presentación, diseño e interfaz de usuario, ESET Smart Security será un producto muy difícil de vencer”, concluye Hawes.

ESET Smart Security es el nuevo producto integrado de ESET que unifica en una única solución las funcionalidades de antivirus, antispyware, firewall personal y antispam, siendo fiel a las bases que han hecho de ESET una de las empresas con mayor crecimiento en el mercado de la seguridad informática de acuerdo a la consultora Deloitte&Touche.

“El lanzamiento de las versiones en español de ESET NOD32 Antivirus v3 y ESET Smart Security, tanto en su gama para usuarios hogareños como empresariales, provee de soluciones de vanguardia que brindan a nuestros clientes la mejor protección unificada, mayor rendimiento y están respaldadas por los laboratorios más respetados de la industria.”, afirma Ignacio M. Sbampato, Vicepresidente de ESET para América Latina.

“Nuestra experiencia e investigaciones nos indican que los clientes buscan soluciones nuevas que les provean de la máxima protección, bajo consumo de recursos del sistema, resultados certeros y altas velocidades de exploración, cansados de productos que ralentizan sus equipos informáticos e interfieren con otras aplicaciones.”, continúa Sbampato. “Las nuevas soluciones de ESET son la respuesta a esas necesidades.”

Fuente: ESET