¿Está tu negocio listo para la temporada de compras de fin de año?

La temporada de las fiestas se avecina, y con ella viene la oportunidad para que cada negocio se beneficie del aumento del gasto en línea. ¿Está lista tu empresa para aumentar su tráfico e ingresos?

El equipo de Adobe Digital Insights publicó recientemente algunas estadísticas sobre cómo los consumidores buscan y gastan su dinero. Los teléfonos inteligentes representaron el 41% de las visitas a los sitios de venta minorista, pero solo el 21% de las ventas. Esto demuestra que los consumidores aún eligen los dispositivos de escritorio para realizar compras.

La diferencia en la conversión desde navegación hasta compra terminada fue más alta en una proporción de 2.4 en equipos de escritorio en comparación con smartphones.

Las ventas en línea totales para la temporada de vacaciones de 2016 fueron de 90 mil millones de dólares, con ventas de más de mil millones en 56 de los 61 días. USA Today informa que los cinco días posteriores al Día de Acción de Gracias, incluidos el Black Friday y el Cyber ​​Monday, representan aproximadamente 1 de cada 5,5 dólares gastados durante la temporada de vacaciones.

Desafortunadamente, como ocurre con todas las oportunidades, hay personas que desean beneficiarse de tu éxito con el menor esfuerzo posible. Los ciberdelincuentes verán el aumento en el tráfico y el gasto como oportunidades para ganar dinero extra, ya sea directamente de los consumidores o estafando a los negocios.

 

A continuación, te presentamos algunos consejos para prepararte para que tu empresa pueda beneficiarse de una temporada festiva exitosa:

 

  • Verifica que tus servidores web puedan manejar el tráfico adicional.

 

  • Si externalizas los procesos de pago y checkout, comunícate con tu proveedor para asegurarte de que también tiene sus sistemas actualizados y listos para el aumento del tráfico.

 

  • Actualiza los servidores e instala los últimos parches, cerrando la oportunidad de los ciberdelincuentes de explotar vulnerabilidades conocidas.

 

  • Audita la seguridad de tu sitio web, asegúrate de que se sigan los procesos y que los nuevos miembros del personal estén familiarizados con la política de la empresa.

 

  • Ejecuta un escaneo en busca de malware con un producto antimalware actualizado, como ESET, lo que garantizará que los sistemas estén limpios.

 

  • Prepárate para dispositivos móviles: mientras que las transacciones móviles solo pueden representar el 21% del total, está claro que los consumidores están navegando en teléfonos inteligentes como parte de la decisión de compra.

 

  • Si tienes la intención de enviar correos con ofertas a tu base de datos de clientes, sigue la legislación local pertinente para que no incurras en incumplimiento de la ley. Si tus correos electrónicos son reconocidos como spam, entonces la oportunidad se pierde.

 

  • Al aceptar pagos en línea con tarjetas de crédito, asegúrate de contar con las técnicas de verificación adecuadas para evitar compras fraudulentas. La implementación de programas como Verified by Visa protegerá tu negocio y las transacciones de tus clientes.

 

  • Las brechas de seguridad son, lamentablemente, noticias cotidianas. Solo recopila los datos que necesitas sobre tu cliente y almacénalos cifrados. Controla el acceso para que solo los empleados que necesitan acceso lo tengan y sigan la legislación pertinente sobre recopilación y almacenamiento de datos personales. Las empresas que realizan negocios con residentes de la Unión Europea deben tener en cuenta los requisitos del Reglamento General de Protección de Datos (GDPR) que comienza en 2018.

 

FUENTE: https://www.welivesecurity.com/la-es/2017/11/21/tu-negocio-listo-temporada-de-compras/

Seis preguntas de seguridad de datos que cada junta necesita preguntar.

 

A medida que las infracciones de datos se convierten en un titular constante, la seguridad de estos se vuelven una gran preocupación para las juntas directivas de las empresas de todo el mundo. A menos que un miembro de la junta haya sido contratado específicamente para supervisar los programas de seguridad cibernética , es posible que muchas juntas no estén preparadas para realizar el nivel necesario de diligencia.

 

Esta falta de comprensión y la incapacidad de la junta para desafiar las suposiciones de ciberseguridad es una de las razones clave por las que los jefes de seguridad de la información carecen perennemente de recursos y fondos para evitar violaciones de datos, como en Equifax .

 

La buena noticia es que las juntas directivas pueden tomar los conceptos de gestión de riesgos que ya conocen bien y aplicarlos a la ciberseguridad al enmarcar adecuadamente la conversación utilizando estas seis preguntas.

 

  1. ¿Qué amenazas enfrenta nuestra compañía?

 

Los consejos de empresa ya comprenden las diversas líneas de negocio para su organización, pero también deben comprender qué tipos de atacantes se dirigen a cada línea de negocio. Diferentes industrias y tamaños de empresas deben defenderse contra diversas amenazas. Por ejemplo, un pequeño fabricante de componentes satelitales del gobierno debería ser el objetivo de los estados-nación, mientras que una compañía nacional de administración de propiedades podría enfocarse en los empleados que expongan la información de forma errónea o maliciosa.

 

A nivel de la junta, este proceso es muy similar al análisis que hacen para identificar las amenazas a los ingresos. Discutir y determinar si un pronóstico de ingresos se ve amenazado por problemas de calidad, disputas laborales, presiones competitivas y otros factores es muy similar a una discusión sobre qué amenazas deben considerarse como parte de un programa general de ciberseguridad.

 

  1. ¿Qué motiva a las amenazas / atacantes?

 

Comprender qué amenazas y atacantes debe enfrentar su empresa, es solo una parte de la información que las juntas deben solicitar.

Los consejos también deben entender qué motiva las diferentes amenazas . Por ejemplo, los delincuentes cibernéticos externos tienen motivaciones muy diferentes a los internos malintencionados, como los empleados descontentos. Los primeros están motivados por las ganancias financieras y apuntarán a la información que pueden monetizar fácilmente. Los iniciados maliciosos se enfocarán en información que promete causar el mayor daño al negocio cuando se haga pública. Los consejos deben entender por qué existen diferentes amenazas para que puedan comenzar a dilucidar qué información debe asegurarse mejor.

 

Una vez más, el proceso para responder a esta pregunta es muy similar al proceso que las juntas ya utilizan para comprender las amenazas a las ventas de productos. Por ejemplo, durante o antes de una disputa laboral anticipada, la junta aprenderá qué quiere la fuerza de trabajo y por qué. De hecho, responder a esta pregunta es muy similar a negociar, ya que la junta debe saber qué quiere la otra parte, por qué lo quiere y cuánta energía gastarán para obtener el resultado deseado.

 

  1. ¿Cuál es el impacto de una violación?

Las infracciones de datos y las infracciones de cumplimiento de privacidad causan impacto financiero a las empresas en forma de multas, demandas colectivas, daños a la reputación y pérdida de ventajas competitivas, por nombrar algunos. Desafortunadamente, hay una gran cantidad de datos del mundo real sobre los costos de las violaciones de datos que pueden ayudar a las juntas a llegar a un número realista y comprender las ramificaciones de gran alcance. Los consejos de administración de empresas deben comprender los impactos que resultan de una variedad de violaciones de datos, incluido el acceso no autorizado accidental, el robo parcial de datos y el robo de datos en la escala del reciente incumplimiento de Equifax.

 

  1. ¿Cuán probable es una violación de datos o violación de cumplimiento?

 

Medido durante un período de tiempo suficientemente largo, la probabilidad de una violación de datos es del 100%. Si bien es importante comprender ese hecho, las juntas deben usar un período de tiempo más práctico que se alinee con los datos que la empresa necesite para asegurar. Por ejemplo, la información confidencial de los empleados es valiosa durante un período definido de tiempo, mucho más largo que un anuncio de ganancias próximo.

 

Las consultoras de ciberseguridad y las organizaciones de investigación producen análisis disponibles públicamente y también a medida para ayudar a las juntas a obtener una evaluación imparcial de la probabilidad de que su organización experimente una violación de datos.

 

  1. ¿Cuál es nuestro nivel de riesgo?

 

El papel del consejo es identificar y gestionar los riesgos . El riesgo de ciberseguridad se define como el impacto de una violación de datos multiplicada por su probabilidad. Los consejos deben definir los niveles aceptables de incumplimiento de datos y el riesgo de cumplimiento de privacidad para el negocio. Si el riesgo es inaceptable, entonces la empresa debe tomar medidas para reducir el riesgo dentro de la tolerancia. La capacidad de la junta de evaluar los riesgos directamente depende de su capacidad para comprender las amenazas, los datos, los impactos y las probabilidades discutidos previamente.

 

Los miembros de la junta y otros ejecutivos deben participar en (al menos) ejercicios anuales que simulen la gestión de crisis de violación posterior a los datos. Es importante que obtengan experiencia simulada con la interrupción, el gasto y el estrés de una violación de datos para que puedan comprender mejor la importancia de la reducción del riesgo de ciberseguridad.

 

  1. ¿Cómo reducimos el riesgo?

 

Para reducir el riesgo, la empresa debe reducir el impacto y/o la probabilidad de una violación de datos. Para las empresas atacadas por amenazas persistentes “avanzadas” (y la mayoría de las infracciones son el resultado de la persistencia en lugar de la sofisticación), es extremadamente difícil reducir significativamente la probabilidad de robo de datos. Es importante que los consejos entiendan que el seguro de seguridad cibernética no reduce el riesgo, simplemente lo compensa. Como tal, el seguro de seguridad cibernética debe ser utilizado para cubrir los riesgos que no pueden ser abordados razonablemente por un programa de ciberseguridad.

 

Un enfoque centrado en los datos

 

Las empresas pueden reducir el impacto de una infracción al dificultar el robo de información útil. Históricamente, los equipos de seguridad se centraron en hacer que los servidores y las redes sean más difíciles de comprometer. Ese enfoque sigue fallando. Más recientemente, los esfuerzos de ciberseguridad se centraron en detectar un compromiso. Estos esfuerzos han ayudado en cierta medida, pero aún no hacen que sea más difícil para un atacante robar datos.

 

Para hacer que los datos sean más difíciles de robar, las empresas deben encriptarlo, proteger esos datos del acceso no autorizado y controlar cómo viaja la información. Por supuesto, todo esto debe ser informado por una comprensión de dónde reside la información valiosa. No puede asegurar lo que no sabe que tiene o no puede encontrar.

 

Fuente: https://www.helpnetsecurity.com/2017/11/22/data-security-questions/

 

¿Por qué esperar para ser vulnerado? Razones para proteger sus datos ahora!

“Estoy trabajando en ello.”
“No tenemos espacio en el presupuesto de este año”.
“Algo más importante surgió”.
“Bueno, no hemos sido vulnerados antes …”
“El riesgo de que esto ocurra es muy pequeño y es difícil de cuantificar …”

 

Éstas son algunas de las excusas más comunes que ofrecen las empresas para retrasar sus esfuerzos de seguridad y cumplimiento. Pero, dadas las graves repercusiones de una sola infracción (costos en espiral de limitación de daños, impacto de reputación  de la marca, caída de los precios de las acciones y pérdida de empleos al más alto nivel), postergar estas iniciativas es una locura corporativa.

 

Para aquellos que nunca han experimentado una violación de datos públicos, es fácil descartarlo como algo que nunca te puede pasar. Sin embargo, las amenazas provienen de todos lados, y ya hemos visto casi 800 violaciones de datos en 2017 (un récord de medio año en los Estados Unidos). Ya no es una cuestión de si te van a perjudicar, sino cuándo.

 

Incluso si aún cree que el riesgo de que ocurra una infracción es muy pequeña, las consecuencias para su empresa, sus accionistas y sus clientes pueden ser tan importantes que invertir en la seguridad de los datos correctos no es una decisión ordinaria de rentabilidad. Aquí hay tres razones para no retrasar su seguridad y proteger los datos de usted y de sus clientes.

 

1. Costos, multas y reparaciones :

Resulta irónico que quienes intentan ahorrar dinero renunciando o reduciendo la seguridad pueden terminar incurriendo en costos mucho más allá del precio de una solución o programa de cumplimiento. De hecho, el costo promedio de una violación de datos es de $ 3.62 millones , mientras que el costo promedio de solo un registro expuesto es de $ 141. Estas cifras toman en cuenta las pérdidas financieras, honorarios legales, servicios de auditoría, reparaciones a clientes y más. Las demandas colectivas pueden ser incluso más devastadoras desde el punto de vista financiero, como se observó recientemente cuando la compañía de seguros de salud estadounidense, Anthem, acordó resolver una demanda por una violación de datos de 2015 por un récord de $ 115 millones. Nuevos costos pueden surgir en el futuro si una violación también hace que una organización enfrente cambios repentinos, no planificados y sin presupuesto en su programa de seguridad, lo que podría aliviarse mediante la planificación anticipada y la implementación pro-activa de soluciones de seguridad.

 

Las tarifas por incumplimiento también pueden sumarse rápidamente, incluso si no se viola. Por ejemplo, para las empresas que deben cumplir con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), las consecuencias del incumplimiento pueden oscilar entre $ 5,000 y $ 500,000 por mes. Si se infringe una empresa, el banco puede multar entre $ 50 y $ 90 por cada Datos del titular de la tarjeta (CHD) comprometidos, independientemente de que la empresa cumpla o no con PCI DSS como tal. Por lo tanto, además de proteger los datos, también es vital para las empresas mantener un programa de cumplimiento de la vida y la respiración con evaluaciones periódicas.

2. Riesgo reputacional :

 

Sin duda, una violación de datos puede dañar la reputación de su empresa hasta el punto en que sus clientes abandonen, los precios de las acciones caigan en picada, los electores pierdan su confianza y, lo peor de todo, cierren por completo. El objetivo (aunque todavía en el negocio) experimentó algunos de estos efectos de primera mano después de una violación de datos que involucraba 110 millones de información de tarjetas de crédito de clientes. Después de la violación, los precios de las acciones cayeron un 46 por ciento. Aún más reciente es la brecha de alto perfil de Equifax , que se cree que ha comprometido 143 millones de datos personales de los consumidores estadounidenses. Es casi imposible escanear los titulares o activar un canal de noticias sin ver el nombre de Equifax, por las razones equivocadas.

Piénselo: ¿Haría negocios con cualquier compañía que demostrara que no puede confiar en su información más confidencial?. De acuerdo con el Informe Anual de Ciberseguridad de Cisco de 2017, casi una cuarta parte de los 2.900 encuestados afirmaron que sus empresas perdieron ingresos potenciales por oportunidades comerciales después de una violación de datos. Casi el 40 por ciento de los encuestados dijo que las pérdidas fueron “sustanciales”. El veintidós por ciento de los encuestados dijeron que sus negocios perdieron clientes actuales, y el 39 por ciento de ellos dijeron que perdieron el 20 por ciento o más de su base de clientes. La reputación de una empresa es demasiado importante como para arriesgar con el fin de ahorrar unos pocos dólares.

3. Pérdida de trabajo

Ya sea que sea un CEO, un CSO, un CIO o incluso un ejecutivo de gobierno y cumplimiento, una violación de datos puede volver a atormentarlo a usted y a su trabajo. Un ejemplo: después del incumplimiento de objetivos, el CEO y CIO de la compañía renunciaron. Este es sólo uno de los muchos ejemplos de ejecutivos que renuncian o pierden sus trabajos después de incidentes importantes de seguridad cibernética: acabamos de ver el mismo éxodo ejecutivo en Equifax.

Si bien una violación de datos no siempre puede afectar a un CEO o aquellos en la parte superior de una organización, ciertamente puede obstaculizar la carrera actual y futura de quien decidió esperar para asegurar los datos de la compañía. Aquellos que afirmaron: “Estoy trabajando en ello”, y no hicieron nada, ciertamente tendrán problemas para encontrar su próximo empleo si deben explicar cómo perdieron su puesto, porque su postergación puso en riesgo a su empresa .

 

Actúa ahora para proteger tus datos

 

Proteger a su empresa contra una violación de datos no es algo que pueda posponer hasta mañana. Las graves consecuencias (costos tremendos, reputación deteriorada, pérdida de empleos y carreras contaminadas) enfatizan la urgencia de la seguridad y el cumplimiento adecuados de los datos. Sin embargo, proteger sus datos no tiene que ser una tarea desalentadora. Aquí hay algunos consejos sobre cómo crear una cultura dentro de su organización donde la protección de datos y el cumplimiento se traten con la urgencia que merecen:

 

  1. Costos de conversación al C-suite: La alta gerencia prestará atención cuando empiece a hablar de dinero. Destaque la importancia de proteger la reputación de la marca de su empresa a través de un programa de seguridad de datos pro-activo y sólido. Ayúdelos a comprender cómo la protección de la empresa frente a una violación de datos también protege de daños a la reputación , un golpe al precio de las acciones y la pérdida de la confianza del cliente; todo tendrá un impacto directo en el resultado final. Explique que las inversiones en seguridad de datos no son simplemente otro gasto de línea de pedido; en el panorama actual de seguridad cibernética, son críticamente importantes para la supervivencia de cualquier negocio.
  2. Cumplimiento del estrés como una iniciativa en curso: el cumplimiento requiere un esfuerzo continuo; no es un ejercicio aislado y de verificación. Por ejemplo, podría recibir un Informe de Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) un día, y luego ser vulnerable a una violación al siguiente, si un solo control de seguridad cambia. Por lo tanto, mantenga una mentalidad centrada en la mejora continua de la seguridad y el cumplimiento de los datos.
  3. Elimine datos confidenciales de áreas innecesarias de su infraestructura comercial. Demasiadas organizaciones permiten que los datos confidenciales se procesen, retengan o pasen a través de áreas de su infraestructura comercial o red corporativa donde simplemente no es necesario. Por ejemplo, muchas grandes empresas tienen centros de contacto con clientes que aceptan pagos.

 

Los delincuentes cibernéticos consideran que los centros de contacto son una fruta fácil de entender porque saben que a menudo tienen datos de tarjetas de pago, direcciones, números de teléfono y otra IPI en sus registros de clientes e incluso en las grabaciones de llamadas. Sin embargo, no hay necesidad de que los centros de contacto retengan datos confidenciales como la información de la tarjeta de pago en su red. Existen tecnologías que les permiten recibir información de tarjetas de pago, enmascarar y encriptar los datos, mantenerlos segregados y enrutarlos de manera segura directamente al procesador de pagos, evitando por completo los sistemas de TI del centro de contacto.

 

Siempre que sea posible, mantenga la información confidencial fuera de la infraestructura de su empresa y áreas de su red donde no sea necesario. Después de todo, nadie puede piratear datos que no tienes. Investigue la implementación de tecnologías dentro de ciertas áreas de su negocio que mantienen los datos confidenciales segregados de su red y sistemas comerciales, como los sistemas de planificación de recursos empresariales (ERP) y gestión de relaciones con los clientes (CRM). Esto hará que su organización sea mucho menos vulnerable y menos atractiva para piratas informáticos, estafadores y otros ciberdelincuentes.

 

Entonces, ¿por qué esperar? Es hora de aumentar la seguridad y el cumplimiento desde la parte inferior de su lista de tareas pendientes. Actuar ahora mitigará el riesgo y posicionará a su empresa para protegerse mejor y evitar que se convierta en otra estadística o noticia.

 

Fuente: https://www.helpnetsecurity.com/2017/10/13/increase-security-compliance/

¿ Cómo puedo proteger mi conexión a internet tras la ruptura del protocolo WPA2 ?

 

El ataque ha demostrado que todas las redes wifi del mundo son vulnerables. Aunque de momento no hay solución, sí existen formas de reforzar tu seguridad.

 

Este mismo lunes se ha conocido una noticia que ha hecho tambalear la ciberseguridad de todo el globo. Unos investigadores de la Universidad de Leuven han descubierto que el protocolo WPA2, el más avanzado y seguro que se usa en todo el mundo para la conexiones vía wifi es vulnerable.

 

En resumidas cuentas, han probado que cualquiera puede ser espiado a través de su red doméstica. Pero, aunque todos los expertos han dicho que es un fallo gravísimo y que no se ve una solución sencilla a corto plazo, hay algunas alternativas que puedes utilizar hasta que se recupere la seguridad en el sistema o se haga una actualización del mismo.

 

El mayor problema de este ataque a la WPA2 es que es un golpe a la raíz, no ataca a un tipo de router, una marca o un tipo de conexión sino que ataca al protocolo (el único que se usa en todo el mundo en este tipo de tecnología). Por eso, los expertos avisan: no se puede hacer mucho para mejorar nuestra ciberseguridad, pues el lenguaje es igual para todos, pero sí podemos hacer algo para ponerles más difícil a los ‘hackers’ entender lo que mandamos.

 

¿Cómo? Pues el experto en ciberseguridad Enrique Serrano nos da un par de ideas al alcance de todo usuario que te pueden ser de gran utilidad. “La clave está en la encriptación”, asegura el joven madrileño

 

Navega por lugares seguros

“El ataque lo que hace es engañar a nuestro ‘router’, capta la información que mueves por el aire por la conexión ‘wireless’ y la descifra gracias a la contraseña que consigue del engaño”, explica Serrano a Teknautas. “Por eso, la única forma de evitar que lo descifre es usar otro encriptado a nivel aplicación pues el que ofrece la WPA2 ya no sirve”, concluye.

A lo que se refiere este ingeniero, es que uses aplicaciones seguras que ya cifran la información que envías de extremo a extremo para evitar el robo de la información. Los’‘hackers’ ya pueden desencriptar el lenguaje de la WPA2 pero no el de estas aplicaciones.

 

¿Cómo saber qué aplicación es segura?

Pues en tecnología móvil la mayoría de servicios de mensajería como WhatsApp, por ejemplo, ya ofrecen este tipo de seguridad en todas tus conversaciones. Mientras que en el PC todas las web que ya sean HTTPS (la mayoría ya lo son) también dan al usuario un encriptado extra. En cuanto al correo electrónico la mayoría de proveedores, empezando por Google, ya usan la capa SSL que protege tus mensajes de los robos.

Si navegas con esas aplicaciones o por páginas que usen ese protocolo de aplicación pondrías en un verdadero aprieto al pirata que quiere llevarse tu información. Podría hacerse con ella pero solo vería códigos imposibles de descifrar.

 

VPN, la solución final

 

“Lo de navegar por aplicaciones seguras está bien, pero sin duda la mejor medida es usar una VPN“, explica Serrano. “Con este servicio, que puedes encontrar incluso gratis, o por unos 20 dólares al año, te aseguras que todo lo que salga de tu dispositivo vaya encriptado hasta llegar al receptor del mensaje”, aclara.

 

Si no sabes lo que es, una VPN (Virtual Private Network o red privada virtual) se puede definir como una tecnología de red que te permite crear una red local (LAN) aunque estés navegando a distancia y necesites pasar la información por una red pública. Es decir, la VPN protege tus datos con sus propios protocolos desde el dispositivo emisor hasta el receptor, como si ambos estuviesen usando la misma red física. Crea una especia de tunel y evita que nadie pueda coger y usar esa información.

 

Ya que todas las redes wifi del mundo están afectadas por este fallo del WPA2, con esta tecnología conseguirás poner un refuerzo en la seguridad de tu información.

 

El problema de esta opción es que necesitas un proveedor de VPN que te dé soporte para crear ese tunel y, aunque hay alguno gratis, los más fiables cuestan algo de dinero. Por ejemplo, uno de los más conocidos y valorados, NordVPN, te deja su servicio por 35,59 cada 6 meses.

 

Usar cable sin wifi y otras soluciones

 

Las dos anteriores son las mejores soluciones para que a pesar del agujero tu información siga estando segura. Pero hay otras menos prácticas, aunque bastante lógicas y que te pueden servir en un caso concreto, o si no tienes prisa en tapar la brecha.

 

  • Cable y datos móviles: Si ninguna de las anteriores opciones te convence está la alternativa de apagar el wifi y conectarte solo a través de datos móviles desde tu ‘smartphone’ y del cable ‘ethernet’ desde tu PC. Eso sí, recuerda apagar el wifi antes de enviar nada, solo teniendo ya esta conexión activada, aunque no la estés usando, el ladrón puede encontrar una puerta abierta para llevarse tus datos.

 

  • Actualiza todo lo que puedas: El fallo encontrado es tan grave que es muy probable que las empresas empiecen a crear todo tipo de actualizaciones a toda prisa para cerrar la brecha. Así que estate muy atento y actualiza todos tus dispositivos y aplicaciones cuando te lo pidan.

 

  • Cambia de “Red doméstica” a “Red Pública”. Una vez que ya sabemos que tenemos un agujero incluso en el wifi de nuestra casa es mejor restringir los permisos, como si estuviéramos conectados a la red de una cafetería. Nuestra información seguirá siendo vulnerable, pero al menos cerraremos algunas puertas que siempre dejamos abiertas cuando estamos en casa.

 

Fuente: https://www.elconfidencial.com/tecnologia/2017-10-17/wpa2-red-ciberseguridad-vpn-datos-wifi_1461835/

Tres cosas que debe saber sobre la DARK WEB

 

Uno de los aspectos más curiosos de la Dark web o internet oscura, es que no empezó como un lugar tan oscuro: comenzó con los tableros de anuncios en los años 80 y 90 – los mercados de ese día – y continuó a principios de los años 2000, cuando Freenet se lanzó como una red peer-to-peer privada, para compartir contenido. Aproximadamente al mismo tiempo, el Laboratorio de Investigación Naval de los Estados Unidos creó lo que se llamaría el proyecto The Onion Routing, o Tor, con la intención de proteger las comunicaciones de inteligencia estadounidenses en línea.

 

De hecho, “dark” se refiere simplemente a la necesidad de adquirir software específicos para acceder a esta parte de la web. Para tener acceso a los reales mercados webs oscuros, por lo general se debe obtener una “limpieza” o “cleared” por un miembro de la institución, que le examinará comprobando referencias y su huella en línea.

 

Sí, todo viene como un cyber speakeasy. Pero, en sus primeros días, era un desorden relativamente favorable, un lugar donde los usuarios se reunían para comerciar con herramientas y técnicas tecnológicas. Sin embargo, una vez capturados, pornógrafos infantiles, traficantes de drogas y otros ladrones acudieron a la oscura web para realizar sus transacciones comerciales ilícitas.

 

Y, por supuesto, es un refugio para los piratas informáticos, que han convertido la web oscura en el equivalente de Internet de un bazar de compras para los matones cibernéticos. Hay un montón de dinero para hacer allí – hasta el punto donde la web oscura es más sobre el comercio que sobre el intercambio de información. Las autoridades federales pueden tener éxito de vez en cuando en cerrar un mercado negro particular. Pero, una vez que lo hacen, habrá varios jugadores que están ansiosos – y capaces – de establecer rápidamente otro mercado que vende los mismos productos. Por lo tanto, los CISOs tienen que permanecer por delante de lo que es probable que venga. Con esto en mente, aquí hay tres cosas que usted necesita saber sobre la web oscura.

 

 

SE ESTÁ CONVIRTIENDO EN UNA PRINCIPAL FUENTE PARA EXPLOIT KIT.

 

Siempre ha habido una demanda saludable de kits de exploit en la web oscura. Pero los kits son caros, vendiendo por miles de dólares, por lo que no se mueven lo suficientemente rápido. Para impulsar las ventas, los “empresarios explotadores” están rompiendo los kits en partes y vendiéndolos a la carta. Toman un kit para un RAT, por ejemplo, y venden su cámara, grabadora de micrófono, keylogger, etc. a precios comparativamente asequibles y, por lo tanto, energizar el mercado.

 

Eso es una mala noticia para los equipos de ciberseguridad, porque va a hacer su trabajo más difícil. En lugar de adquirir las herramientas y técnicas para reconocer y frustrar kits enteros que son bien conocidos, tendrán que estar atentos a un ataque mucho más grande de nuevas y muy variadas piezas ensambladas. Aún peor, potencialmente miles de atacantes individuales tratarán de personalizar sus ensamblajes para que se adapten a sus propósitos específicos, añadiendo inmensas capas de complejidad a la tarea de hacer coincidir los patrones / actividades de la red con las posibles amenazas.

 

Para asegurar que sus sistemas estén lo suficientemente defendidos, los CISOs deben ir al mercado y comprar las herramientas que se venden y hacer ingeniería inversa. Ya no pueden centrarse únicamente en los kits – deben llegar al nivel de proceso (el “cómo” detrás del “qué”) para comprender y reconocer mejor los indicadores de funcionalidad. Es un enfoque finamente detallado, y requerirá más tiempo, gasto y esfuerzo. Pero aquí es donde va la web oscura, y la adquisición de las piezas del kit que se están desplegando es el primer paso para construir una estrategia eficaz de monitoreo y mitigación.

 

LAS FUGAS DE LA AGENCIA DE SEGURIDAD NACIONAL (NSA) HAN PROPORCIONADO UN GRAN LUGAR PARA TRABAJOS DESAFORTUNADOS.

 

Es seguro decir que, durante muchos años, la web oscura ha servido como uno de los mejores sitios de intercambio de información en el mundo, especialmente para los ciberdelincuentes que van allí para intercambiar información sobre parcelas pendientes y nuevas herramientas y recursos. Pero el escape de las herramientas de seguridad cibernética de la NSA en la web oscura sólo ha hecho que sea un espacio más productivo y colaborativo. La publicación de las herramientas de la NSA por parte de un grupo de hackers conocidos como los Shadow Brokers llevó al notorio ataque de ransomware de WannaCry a principios de este año. Más recientemente, se ha llevado a Brutal Kangaroo, que infecta las máquinas Windows en las redes de aire-gapped.

 

¿Que sigue? ¿Quién sabe? Las herramientas NSA son el equivalente de un gran paquete de regalos de cumpleaños que aterrizó en la vuelta colectiva de la comunidad de hackers. Pueden “abrir” cada regalo uno por uno, examinarlo, compartir observaciones y luego idear su siguiente línea de ataques que causan estragos. Para contrarrestar estos movimientos, los equipos de seguridad cibernética deben sumergirse en las herramientas filtradas de la NSA. Descubrir lo que sus potenciales adversarios quieran usar en su contra, remendar y en consecuencia preparar.

 

LOS CHICOS MALOS AMAN TOR

 

El proyecto Onion Routing comenzó con buenas intenciones como proyecto gubernamental. Pero, como todo lo demás en la web oscura, los adversarios cibernéticos están aprovechando Tor para lanzar exploits de manera más eficaz. Para resumir claramente la tecnología involucrada aquí, Tor dirige el tráfico de Internet a través de un sistema de enrutamiento masivo con miles de “relés”, lo que hace prácticamente imposible rastrear la actividad a la original. Para cada relé, los datos en cuestión se cifran y se envían a una dirección IP seleccionada al azar, y la dirección de recepción sólo puede descifrar suficiente información para saber a dónde van los datos a continuación. Este proceso se repite una y otra vez hasta que alcanza el último relé, que envía los datos a su destino originalmente dirigido, con el último punto de relé nunca sabiendo cuál es la dirección IP de origen.

 

Dada sus vastas capas de astutos pasos clandestinos. Tor presenta un llamamiento obvio a los hackers, que están enviando cada vez más exploits usando el sistema. Esto crea dolores de cabeza para los equipos de seguridad de TI, especialmente aquellos que no comprenden Tor y el acceso a su amplia gama o direcciones web serializadas que usan para sitios web cuyos IPs específicos no pueden rastrearse de forma confiable como la web clara o la World Wide Web. Los IPs en la web oscura están cambiando constantemente haciendo difícil bloquear atacantes específicos que usan los nodos de salida de Tor como IPs.

Mientras que una solución concreta sigue siendo difícil de alcanzar, las organizaciones privadas pueden comenzar trabajando con el FBI y otras agencias policiales que están investigando estos asuntos. A través de un ambiente en el que las ideas y las observaciones se intercambian fácilmente entre la industria y el gobierno, se publicará información valiosa sobre, por ejemplo, lo que la comunidad de amenazas está publicando en foros públicos y subterráneos. Otra opción sería recuperar una lista de nodos de salida de Tor y bloquear su acceso a cualquiera de sus recursos. Esto bloqueará la mayor parte del tráfico, pero desafortunadamente, se agregan nuevos IPs de Tor y los antiguos se eliminan diariamente para que uno tenga que estar al tanto de esto.

Como dice el refrán, es mejor encender una vela que maldecir la oscuridad. Al examinar la oscura web en profundidad para llegar a los métodos de ataque y los recursos representan las mayores amenazas, puede desarrollar defensas preventivas contra lo que está por delante. Al trabajar con las autoridades para ayudar a monitorear y / o reportar actividades subterráneas, usted construye un sentido de vigilancia y conciencia que promueve un estado universal de protección.

 

FUENTE: https://www.helpnetsecurity.com/2017/09/21/three-things-know-dark-web/

Elementos clave de una estrategia de intercambio de información segura y sensible

 

Se ha dicho, los datos son como el nuevo aceite. Que significa exactamente? Como el petróleo, los datos son una mercancía. Pero a diferencia del petróleo, el valor de los datos no es susceptible a la oferta y la demanda. Los datos siempre están en demanda. ¿Por qué? Los datos proporcionan comprensión. Y las conclusiones que se extraen de la comprensión pueden ser optimizadas o, mejor aún, monetizadas.

 

Tomemos por ejemplo un minorista en línea de productos para bebés. Si un cliente compra pijamas para bebés, el minorista puede deducir que también podría necesitar un monitor de bebé o una luz de noche. El minorista sugerirá estos artículos al retirar y al hacerlo aumentará la probabilidad de compras adicionales. También pueden deducir que, en 12 meses, el cliente podría necesitar zapatos para caminar para el bebé. Y 24 meses después, un triciclo. Después de eso, el minorista puede asociarse y compartir sus datos con negocios complementarios como preescolares, oftalmólogos pediátricos y zoológicos.

 

Además de comprar historial, también hay datos más banales, pero en muchos aspectos, datos más valiosos para los piratas informáticos, como nombres, números de tarjetas de crédito, fechas de vencimiento, direcciones de correo, direcciones de facturación y más. La información médica, especialmente los registros de pacientes, es una clase específica de datos sensibles, protegidos por regulaciones como HIPAA. En conjunto, no es difícil ver que los datos son más que una mercancía valiosa, es un activo digital.

 

Al igual que otros activos, los datos sensibles necesitan ser protegidos. La seguridad de los datos no sólo es una buena práctica comercial, sino que en muchas industrias altamente reguladas, como la asistencia sanitaria y los servicios financieros, es necesaria. Las brechas de datos que involucran a piratas informáticos que identifican vulnerabilidades en una red de TI, los empleados que están siendo engañados para abrir un archivo adjunto que contiene malware o ransomware o los empleados que salen de clientes o información de producto a un competidor son sólo algunos ejemplos de cómo las organizaciones pueden perder datos valiosos. Coincidentemente, estas son también formas en que las organizaciones pueden perder clientes y el valor de la marca y aumentar el riesgo de multas de los reguladores.

 

Así que, ¿qué pueden hacer las organizaciones para garantizar que su información confidencial se mantenga segura, no sólo cuando se almacena, sino también cuando se comparte externamente con socios de confianza como consultores de administración, abogados, socios de marketing compartido o analistas de datos de terceros?

 

Aquí hay algunos pasos clave que no sólo permitirán a las organizaciones reducir el riesgo de una violación de información privada, sino también demostrar a los reguladores o auditores que tienen los controles de gobierno apropiados en su lugar para proteger esa información.

 

  • SEPA DÓNDE SE ALMACENA SUS DATOS

 

A medida que las organizaciones crecen, acumulan más datos y requieren más lugares para almacenar esos datos, tanto en el local como en la nube. Microsoft SharePoint y OneDrive para empresas, OpenText, Box, Dropbox, Google Drive, unidades domésticas y archivos compartidos de Windows son sólo algunos de los muchos repositorios de contenido donde los usuarios pueden almacenar sus datos. Es imprescindible para las organizaciones saber – y ser capaces de demostrar – donde la información sensible se almacena a través de este paisaje cada vez más expansiva.

 

Algunas regulaciones, por ejemplo GDPR, requieren que los datos permanezcan en un país o región específicos. Datos de los clientes, contratos, archivos personales, pronósticos de ventas, solicitudes de patentes, financieros. Si las organizaciones saben dónde están almacenados estos archivos, pueden controlar quién tiene acceso a ellos y supervisar lo que ocurre con ellos. Si no lo saben, entonces nadie lo adivinará. Esto explica por qué algunas brechas de datos no se detectan durante meses o incluso años. En última instancia, no puede proteger algo si no lo encuentra.

 

  • SABER QUIÉN TIENE ACCESO A SUS DATOS

 

No todos los empleados deben tener acceso a todos los archivos de la organización, y como los archivos se comparten más allá de las fronteras de la empresa se hace aún más crucial para controlar el acceso. Si no puede administrarse el acceso a los sistemas que contienen su información confidencial, tiene un problema de gobierno significativo. Cabe señalar que los permisos de información confidencial pueden (y deben) variar. Algunos empleados o socios de negocios pueden requerir acceso completo al contenido (editar, descargar, compartir, etc.), mientras que otros deben tener acceso de sólo vista y se les impide descargar o compartir.

 

También debe señalarse que los permisos son sólo el primer paso para proteger la información sensible. Las características de seguridad, como la autenticación de múltiples factores, garantizan que el individuo que solicita el acceso no distorsiona su identidad y la tecnología DLP puede integrarse con el uso compartido de archivos para definir políticas para controlar cuándo y cómo se envían los datos confidenciales fuera de la organización. el riesgo de acceso no autorizado.

 

  • SABER EXACTAMENTE LO QUE ESTÁ SUCEDIENDO CON SUS DATOS

 

Una extensión crítica de saber dónde se almacenan sus datos y quién tiene acceso a él es saber qué se está haciendo con él. La capacidad de las organizaciones para tener una visibilidad completa de toda la actividad de archivo, así como la capacidad de compartir esta actividad con los auditores, reguladores, agencias de aplicación de la ley y los equipos legales es crítica para identificar fugas de datos y demostrar el cumplimiento con las regulaciones de la industria.

 

Suponga que antes de renunciar, un empleado comenzó a abrir, descargar, reenviar e imprimir muchos archivos a los que no había accedido anteriormente. Si bien puede haber sido autorizado a acceder a ese contenido en el momento, si algunos de estos datos posteriormente se encuentran que se han filtrado, los registros de la actividad de este ex empleado será valioso en la identificación de la fuente.

En los casos de una auditoría de cumplimiento, para confirmar si las políticas internas están siendo seguidas, o para satisfacer requisitos reguladores específicos, conocer los detalles de quién firmó, de qué dispositivo y precisamente lo que vio, editó o descargó es crucial para probar controles están en su lugar.

Tener el conocimiento de dónde reside la información confidencial de su organización, qué empleados y socios de negocios tienen acceso a ella y lo que están haciendo con ella permite a las organizaciones mitigar el riesgo de una fuga de datos y demostrar el cumplimiento con los reguladores. También da a las organizaciones un sentido de control sobre sus datos, que es cada vez más difícil de hacer cuando la cantidad de datos está aumentando exponencialmente.

 

Fuente: https://www.helpnetsecurity.com/2017/09/07/sensitive-information-sharing-strategy/

 

 

La CYBER Exposición: La siguiente frontera de Seguridad

 

Las apuestas nunca han sido más altas cuando se trata de ciberseguridad. Los ataques cibernéticos globales, como el reciente ataque del ransomware WannaCry, es un recordatorio de que la ciberseguridad es la amenaza real de esta generación.

 

Un nuevo informe de Lloyd’s de Londres estima que un ataque cibernético serio podría costar a la economía mundial más de 120.000 millones de dólares, tanto como los catastróficos desastres naturales como el huracán Katrina y Sandy.

 

Según el informe, el escenario más probable que se de, es un acto malicioso que derribaría a un proveedor de servicios en la nube, con una pérdida estimada de 53.000 millones de dólares.

 

Con toda la visión y los cientos de actores en la industria de seguridad, ¿por qué seguimos así en la misma situación de riesgo?

 

La realidad es que estas tecnologías “futuras/presentes” y plataformas de computación, como IoT y cloud, ya no son el futuro. Están aquí y ahora. Esto significa que las áreas de ataque cibernético ya no es un portátil o un servidor en un centro de datos.

 

De acuerdo con Business Intelligence, habrá nueve mil millones de dispositivos IoT activos en la empresa para 2019. Eso es más que los mercados de teléfonos inteligentes y tabletas sumados.

 

Según una Encuesta de Cloud Computing de 2016, el 70 por ciento de las organizaciones ya tienen aplicaciones en la nube y un 16 por ciento más las tendrán en los próximos 12 meses.

 

También estamos viviendo cambios en el desarrollo con DevOps convirtiéndose en muy utilizado, y así viene el aumento de contenedores y micro servicios como una forma de hacer cambios en partes más pequeñas de la aplicación de una manera más ágil.

 

De acuerdo con analistas, el mercado de contenedores crecerá más rápido en las tecnologías que facilitan la nube, con un CAGR de 40 por ciento hasta el 2020, pasando de $ 762 millones a $ 2,7 mil millones en 2020.

 

QUÉ DEBERÍAMOS HACER?

 

Se crean cientos de herramientas contra este problema, cada una diseñada para proteger a la organización de un problema nicho en particular.

 

Tenemos Bases de Datos de Gestión de Configuraciones (CMDB) que le dan a la organización una visión de TI de los activos y su atributos, pero estas no fueron diseñadas para mantenerse al día con los activos modernos y no tienen una visión de seguridad profunda con actualizaciones constantes.

 

La mayoría de las organizaciones que usan tecnologías de gestión de la vulnerabilidad (VM) para escanear la red e identificar problemas y vulnerabilidades, tienen herramientas convencionales de VM que poseen un diseño para soluciones cliente/servidor y Centros de procesamiento estándares que sólo analizan activos “conocidos” y que estén presentes en ese momento y que ojalá cuenten con agentes instalados.

 

Estamos en el mundo de la IoT, nube, SaaS, móviles y DevOps, lo que significa que las organizaciones necesitan acercarse a entender su riesgo cibernético de una manera que se adapte a estos nuevos y volátiles activos.

Por ejemplo, el IoT y los dispositivos móviles pueden ser indetectables con herramientas tradicionales, contenedores y cargas de trabajo en la nube que, a diferencia de otros tipos de activos que tienen vidas de meses a años, estos, pueden tener una vida de minutos a horas, haciéndolos muy difíciles de detectar y proteger.

 

También hay infraestructura de seguridad crítica y Tecnología Operacional como Sistemas de Control Industrial que son un vector de ataque. Estos sistemas fueron diseñados para vivir aislados de la red tradicional y aislados de las amenazas, y no están diseñados para cambios frecuentes o implementaciones de nuevo software de protección.

 

LA ERA DE LA NUEVA EXPOSICIÓN CIBERNÉTICA.

 

Creemos que la Cyber Exposición es la próxima frontera en que es necesario capacitar a las organizaciones para que comprendan, representen y, en última instancia, reduzcan su riesgo frente a la rápida y cambiante superficie de elementos susceptibles de ataque.

 

La Cyber Exposición transforma la visión de seguridad de estática o fragmentada a una en vivo y holística para todos los activos, ya sean IOT o dispositivos tradicionales de TI, infraestructura en la nube o Sistemas de Control Industrial.

 

A partir de esta imagen en vivo, usted deberá comenzar a evaluar con precisión y analizar estos activos en una nueva visión de exposición y riesgo.

 

Esto se podría traducir en configuraciones erróneas, pero también podría hacer cambiar los actuales indicadores de seguridad, como por ejemplo los antivirus tradicionales.

 

Al correlacionar estos nuevos activos de información con fuentes adicionales de datos, como CMDB e inteligencia de amenazas, se puede obtener una imagen más completa de la criticidad empresarial y la potencial gravedad de las amenazas, priorizando las remediaciones y trabajando con TI en soluciones de corto plazo.

 

INFORMANDO EL RIESGO A LA ALTA DIRECCIÓN.

 

También se ha conversado sobre el conocimiento de este riesgo y el nivel de preparación para enfrentar la ciberseguridad y como se le comunica a la Alta Dirección, no es un concepto fácil de explicar.

 

Hoy el CISO debe traducir muchos datos para que la empresa la puede usar en tomar decisiones adecuadas. La Cyber Exposición, ayudará al CISO a impulsar un nivel distinto de conversación con las áreas de negocio.

 

Por ejemplo, cuánto y dónde invertir para reducir el riesgo a un nivel aceptable y ayudar a impulsar decisiones estratégicas de negocios en forma segura.

 

Cada función del negocio deberá tener como medir y predecir la exposición de riesgo para su función. Por ejemplo, CRM para la exposición de ingresos y proyecciones, ERP para la exposición financiera y de la cadena de suministro.

 

En un futuro cercano, cada responsable de área del negocio tendrá que conocer y utilizar los riesgos por Cyber Exposición dentro de sus métricas claves, al igual que los parámetros convencionales.

 

La empresa TENABLE, está utilizando su conocimiento, experiencia y entendimiento de los activos de las empresa (redes, aplicaciones, servidores, etc) en combinación y correlacionándolo con el impacto de las vulnerabilidades con el negocio.

 

FUENTE: http://www.tenable.com/blog/cyber-exposure-the-next-frontier-for-security

Cultura de seguridad empresarial: ¿Por qué lo necesitas y cómo crearlo?

Conciencia de seguridad es un término que la mayoría de los profesionales de la seguridad de la información están familiarizados, no así con cultura de seguridad .

 

“El entrenamiento de conciencia de seguridad se basa en una teoría del comportamiento que fue desmentida décadas atrás”, dice Kai Roer, cofundador del lanzamiento de seguridad europeo CLTRe .

 

“La teoría económica racional dice, que si usted sabe la mejor acción a tomar cuando está dada una opción, usted hará siempre la opción mejor  y racional. Pero por desgracia para la industria de la conciencia de seguridad, sus clientes y la industria de la seguridad en general, la mente humana no funciona racionalmente. Más importante aún, nuestra mente no se preocupa por tomar decisiones y resuelve ese “problema” al crear un gran número de patrones mentales que resultan en un comportamiento automático “.

 

La cultura de seguridad es un concepto más amplio, que abarca no sólo el conocimiento de la seguridad (conciencia), sino también las actitudes, las normas, el cumplimiento, los comportamientos, las responsabilidades y la comunicación.

 

“Los seres humanos no pueden sobrevivir solos, y nuestra biología ha evolucionado para automatizar muchas, si no la mayoría, de nuestras comunicaciones y acciones interpersonales. Al hacer que nuestros comportamientos sean interdependientes, podemos interiorizar las normas, las actitudes y el cumplimiento dentro de nuestra mente, en lugar de tener que gastar la energía vital del cerebro para averiguar cuál es la acción correcta para tomar en cualquier situación particular que involucra a otros. Efectivamente, la cultura es la manera de nuestra biología de reducir el riesgo y mejorar la seguridad para la especie humana “, explica Roer.

 

“La cultura de seguridad es crítica para la seguridad, así como la cultura es crucial para la sociedad humana. La cultura impulsa el cambio de comportamiento, y el cambio de comportamiento impulsa la cultura. Nuestro trabajo más importante, como profesionales de la seguridad de la información, es controlar la influencia de la cultura de seguridad y facilitar los cambios que requerimos para mantenernos dentro de los parámetros de riesgo de nuestra organización “.

 

La capacitación para la concientización de la seguridad funcionará, pero sólo si se combina con la capacitación de habilidades (piense “educación” más que “conciencia”) y las políticas, y es apoyada por la tecnología. En otras palabras, debe crear una cultura de seguridad si desea cambiar el comportamiento de seguridad para mejorar y hacer que el cambio sea permanente.

 

COSAS QUE NECESITAS SABER

 

Al igual que cualquier cultura, la cultura de seguridad es susceptible a la influencia interna y externa. Puede ser formado o ser cambiado relativamente rápidamente, aunque eso no es generalmente el mejor acercamiento si queremos hacerlo sostenible. Una opción mucho mejor es un programa controlado que aplica buenas métricas que permiten comparaciones en el tiempo y que facilita el proceso al influir en las políticas, educar a la gente y aplicar la tecnología adecuada.

 

Otra cosa importante acerca de crear y / o cambiar la cultura de seguridad es que debemos adoptar un enfoque holístico.

 

La seguridad es un asunto complejo: la tecnología, las personas y las políticas forman parte de él y, según la experiencia de Roer, uno no puede cambiar uno de estos sin que los otros dos también terminen cambiando.

 

“Cuando el teléfono inteligente fue introducido hace diez años, cambió la forma en que la gente interactuaba con la información, entre sí y con la tecnología. Las compañías trataron de luchar contra el nuevo paradigma agregando políticas para prohibir el uso de esa tecnología, pero la gente todavía seguía trayendo teléfonos inteligentes a trabajar y usarlos, obligando a las empresas a cambiar su enfoque “, ilustra este punto.

 

“BYOD nació no de los empleadores que quieren ahorrar dinero, sino de la comprensión de que las políticas por sí solas no son suficientes para hacer frente a la nueva tecnología. BYOD significaba entender la nueva tecnología y su impacto en los negocios, adoptando controles técnicos como IAM y alejándonos del paradigma de nuestra premisa / red al paradigma “siempre conectado”.

 

Aquí está otro ejemplo: no se puede esperar que el entrenamiento actual anti-phishing funcione si la compañía no usa la tecnología para reducir la probabilidad de que los ataques de phishing alcancen el objetivo y no lo combine con procedimientos para ayudar a los comprometidos rápidamente y afirmativamente.

 

“Los problemas de seguridad no pueden resolverse con la compra de tecnología, la adición de una nueva política o la creación de un programa de sensibilización sobre la seguridad. Necesitamos que los tres pilares trabajen juntos para apoyarse mutuamente”, subraya.

UN BUEN LUGAR PARA COMENZAR

 

La mayor frustración de Roer con la industria de la seguridad de la información es que sigue azotando a los caballos muertos. Su misión declarada es mejorar la forma en que hacemos la seguridad, incluso si esto significa luchar contra modelos antiguos y desgarrarse en preconceptos ampliamente aceptados. Y uno de ellos es que el cambio cultural es casi imposible de medir y extremadamente difícil de lograr.

 

Pero ninguna de esas cosas es verdadera.

“En 2017, sabemos mucho sobre cómo cambiar las culturas. La investigación en el campo de la psicología demuestra que creamos e internalizamos normas basadas en los comportamientos que tenemos, lo que significa que si podemos capacitar a la gente para hacer las cosas que queremos, interiorizarán ese comportamiento y crearán normas sociales que lo apoyen. Además, el cambio cultural puede ser observado, experimentado y comparado “.

 

Aquí es donde su empresa, CLTRe, puede ayudar: su oferta de SaaS se ha creado para medir la cultura de seguridad en toda la organización, desde el empleado individual, a través de equipos y departamentos a las unidades de negocio, y para ayudar a las organizaciones a modificarlo.

 

“Con base en los datos que recopilamos en una serie de industrias, proporcionamos a nuestros clientes benchmarks industriales e investigación académica, ayudando a nuestra industria a entender mejor qué acciones son eficaces, dónde esperar mejoras y compararlas con otras compañías del mismo sector industrial, ” el explica.

 

“Nuestros clientes tienen acceso a un tablero operativo que muestra detalles de su organización que permite ajustar sus programas de cultura de seguridad, demostrando la eficacia de sus inversiones en toda su organización”.

 

FUENTE: https://www.helpnetsecurity.com/2017/08/14/enterprise-security-culture/

El punto ciego de la seguridad: El estado de excepción a largo plazo.

Parece que cada hackeo importante está acompañado por el apuntar de los dedos. Y hay un montón de lugares para señalarlos: los servidores que no fueron remendados, el minorista que no había terminado de configurar un sistema de detección de intrusiones, el alto funcionario que utilizó su correo electrónico personal para almacenar información crítica, la aplicación crítica con los agujeros de seguridad no fijados, porque los programadores no habían terminado de fijarlos todavía, los usuarios de aplicaciones no autorizadas en la nube o móviles para datos corporativos.

Lo que todas estas cosas tienen en común es que involucran a los sistemas de TI en un estado de excepción. Había reglas (o “mejores prácticas”, si es necesario) sobre cómo las cosas deben ser aseguradas, pero, por alguna razón, estas cosas eran una excepción a esas reglas.

Las personas que eran responsables de la seguridad de aquellos que fueron violados habían asumido que las cosas estaban sucediendo de una cierta manera – es decir, sólo las aplicaciones aprobadas estaban en uso, todos los sistemas críticos fueron remendados correctamente, alertas adecuadas fueron monitoreadas y software escrito internamente Se había endurecido. Sin embargo, estas cosas no siempre eran ciertas, todo el tiempo. Hubo excepciones que vivían fuera de la política de seguridad y distorsionaban la aceptable tolerancia al riesgo.

 

EL ESTADO DE EXCEPCIÓN

 

Una manera común de que las personas se sienten engañadas por estas excepciones de seguridad es cuando estas cosas están en el proceso de convertirse en “aceptablemente seguras” pero aún no están allí. En las reuniones sobre el estado de los proyectos, no es raro oír, “estamos endureciendo esas cajas, pero estamos atrasados”. Y la suposición es que están casi terminados, pero no siempre es así. Otra afirmación engañosa de que un usuario que necesita una solución específica se le dice es: “No tenemos la aplicación correcta de seguridad o el sistema de correo electrónico todavía, pero pronto”. A menudo es el usuario quien va a buscar su propia aplicación BYOD hasta TI ofrece una solución, que podría tomar meses o incluso años. Mientras tanto, IT asume que el usuario se está conformando con la solución existente y se acostumbrará a ella.

La suposición es siempre que en un plazo corto, estas excepciones a las reglas serán cerradas. Sin embargo, los períodos de excepción pueden llegar a ser a largo plazo, exponiendo a una organización a niveles cada vez mayores de riesgo a medida que pasan sin resolver.

 

¿POR QUÉ PERSISTEN LAS EXCEPCIONES?

 

¿Por qué las soluciones temporales persisten durante años en el estado de excepción a largo plazo? La razón más común es el costo. Una organización establece una solución universal que cubre la mayoría de los casos necesarios a un nivel eficiente y económico. Los pocos casos que la solución no cubre existen en la excepción, pero la suposición es que finalmente se pondrá al día. ¿Por qué no se ponen al día? Hay dos categorías de excepcionales casos: sistemas y personas.

Los sistemas que no se llevan a la regla suelen ser sistemas heredados. Estos sistemas suelen ser costosos y críticos, pero necesitan ser actualizados o reemplazados. Sin embargo, a menudo se tarda más de lo esperado en implementar debido al costo, la falta de experiencia y la complejidad o interacciones inesperadas. Y a medida que se encuentran nuevos problemas, el plazo continuamente se expulsa.

Es la naturaleza humana para que la minoría proteja sus propios intereses en la cara de los cambios mandados por la mayoría que no caben todos. Y nada siempre se ajusta a todos, especialmente en las organizaciones más grandes. Estos tipos de BYOD y sombra de las excepciones de TI son inevitables cuando las soluciones a escala empresarial se despliegan. La gente hará sus propias excepciones y usará lo que quiere usar. He visto a un puñado de usuarios se niegan a usar el correo electrónico corporativo estándar y descargar su propio cliente porque era lo que estaban familiarizados con. Adivina quién se infectó con malware por correo electrónico?

Proporcionar soluciones seguras personalizadas para ese subconjunto de la población requiere un costo significativo y no proporciona ningún beneficio directo a aquellos que mantienen el sistema en general. En otras palabras, si funciona para la mayoría de nosotros, todo el mundo tiene que caer en la línea. Pero eso no suele suceder, y los bolsillos de las excepciones a largo plazo comienzan a infectarse.

 

QUÉ HACER CUANDO LA EXCEPCIÓN SE CONVIERTE EN LA REGLA

 

Las excepciones a la política de seguridad que no son controladas y no compensadas se convierten en una fuente de riesgo, que aumenta dependiendo de dos factores. El primer factor es el tamaño de un posible impacto de un fallo de seguridad, que puede ser alto si una excepción involucra datos o sistemas críticos. El segundo factor es la probabilidad de explotación que aumenta con el tiempo, por lo que las excepciones a largo plazo son especialmente peligrosas.

La clave para lidiar con las excepciones es documentarlas y rastrearlas. Los supuestos también deben hacerse explícitamente claros para todos los tomadores de decisiones para que todos estén en la misma página. Es fácil que las excepciones sean pasadas por alto o ignoradas a medida que se demoran con el tiempo, convirtiéndose en parte del status quo.

Los líderes de seguridad deben asegurarse de que todos son conscientes de que existen problemas y no se resolverán por sí mismos. Un poderoso principio de gestión es: Si no puedes medirlo, no puedes manejarlo. Por lo tanto, el riesgo con respecto a estas excepciones debe ser medido, rastreado y reportado regularmente para asegurarse de que no hay sorpresas. También facilita la creación de un lazo de retroalimentación de la administración ejecutiva de los recursos para mitigar el riesgo o ordenar la eliminación de la excepción.

 

REDUCCIÓN DE EXCEPCIONES

 

Al implementar una nueva política o sistema, es útil recordar que los nuevos sistemas generarán nuevos problemas. Incluso pequeños cambios pueden actuar como catalizadores de un golpe de retroceso más grande e inesperado que, a tiempo, creará excepciones. Todo depende de lo bien que una solución coincida con la cultura y la infraestructura que se está poniendo en. También es difícil forzar una solución a gran escala a funcionar si no encaja en una organización. Normalmente se integra o crea excepciones significativas.

Una señal de advertencia de que algo no va a integrarse bien es cuando las personas (a veces denominadas “usuarios”) son tratadas como componentes inertes y obedientes en lugar de individuos dinámicos con sus propias motivaciones, hábitos y requisitos. Otro problema puede surgir cuando los nuevos procesos de seguridad favorecen la conveniencia de la organización sobre los individuos. Estos son los procesos que podrían ser trabajados en torno a las excepciones en lugar de ser utilizados de manera adecuada y segura. Por ejemplo, un difícil proceso de acceso remoto empujará a los usuarios a sistemas alternativos y menos seguros, manteniendo la ilusión organizacional de que se ha establecido un sistema seguro.

 

EXCEPCIONES QUE SE MANIFIESTAN CON EL TIEMPO

 

Incluso un sistema de seguridad totalmente funcional y bien integrado tendrá que ser monitoreado y ajustado con el tiempo. Habrá variabilidad en las demandas y condiciones de cualquier organización normal que si no se compensan pueden crear excepciones ocultas en el programa de seguridad. El éxito significa detectar y seguir estas excepciones a medida que surgen y cumplirlas con las mitigaciones apropiadas. De esta manera, el estado de excepción puede pasar de un riesgo inaceptable a largo plazo a corto plazo y el nivel aceptable de riesgo mantenido.

 

Fuente: https://www.helpnetsecurity.com/2017/07/05/securitys-blind-spot/

 

Las cuatro mejores prácticas para evaluar y gestionar vulnerabilidades

La ‘akrasia’ es un gran enemigo de la productividad. Se trata de la experiencia de saber que una acción es beneficiosa para nosotros, pero que no terminamos de ejecutarla y la postergamos dando peso a otras actividades de gratificación más inmediata, aunque no sean más importantes o estratégicas. Si esta práctica la trasladamos a la gestión de las vulnerabilidades, se convierte en una seria amenaza para la seguridad de la organización.

 

El reciente informe “Verizon 2016 sobre investigaciones de infracciones” identifica cuáles son las diez principales vulnerabilidades que representan el 85 por ciento del tráfico de exploits. El 15 por ciento restante es atribuido a más de 900 vulnerabilidades y exposiciones comunes (CVEs, en sus siglas en inglés). Evidentemente, si sólo se implementa una estrategia de prioridad centrada en las diez vulnerabilidades mencionadas por Verizon, sin una detección efectiva de los riesgos de las CVEs, la red está expuesta. Lo curioso de esta estrategia es que la mayoría de las vulnerabilidades comunes pueden evitarse fácilmente con un simple parche o a través de una codificación básica.

 

Detectamos que la industria empieza a reconocer estos peligros y está tomando medidas para protegerse frente a ellos, aunque no tan rápido como debiera. Otro estudio elaborado por Forbes Insights y BMC señala que el 60 por ciento de los 300 profesionales de alto nivel encuestados considera que el descubrimiento y la resolución de estas vulnerabilidades en expansión fue su prioridad en 2016, mientras que sólo el 30 por ciento dedicó más recursos a la defensa contra exploits desconocidos como iniciativa principal.

 

MEJORES PRÁCTICAS

Para acabar con este hábito de priorización, se señalan cuatro mejores prácticas a poner en marcha para asegurar un programa integral de gestión de vulnerabilidades que permitirán navegar con éxito en un mundo cada vez más denso, diverso y peligroso, como es el de las amenazas de seguridad cibernética.

 

1. Análisis pronto y a menudo. Si los datos de escaneo de vulnerabilidades no son exhaustivos y están actualizados es probable que cualquier intento de proteger la red sea prácticamente inútil. Resultará muy complicado identificar con precisión las amenazas reales para la red o priorizar su solución. Para detectar las aplicaciones que la organización está desarrollando es importante realizar un escaneo lo antes posible en el Software Development Lifecycle (SDLC) con el fin de aumentar la seguridad y reducir, al mismo tiempo, los costes de rectificación.

 

2. Comprobar que los datos son útiles y factibles. El simple hecho de tener una lista de vulnerabilidades y luego enviarla a varias partes interesadas casi garantiza un fallo de gestión de vulnerabilidades. Es casi imposible utilizar un documento de este tipo para evaluar con precisión los riesgos y coordinar con el equipo de operaciones la solución de vulnerabilidades de alto riesgo. Básicamente, esto es como tener cientos de emails urgentes que contestar al final del día e intentar averiguar cuáles son realmente cruciales y cuáles son los que pueden esperar. ¿Cómo pueden las empresas decidir qué vulnerabilidades priorizar cuando todas ellas representan un riesgo para la organización? La propuesta es disponer de un proceso rápido y automático que conecta la vulnerabilidad de alto riesgo con su solución.


3. Desarrollar el contexto. El contexto es clave cuando se trata de entender la naturaleza del problema y tomar, así, la decisión más efectiva. Si alguien grita “¡fuego!” se necesita tener más información antes de saber qué hacer, si correr hacia el fuego para ayudar, alejarse de él para protegerse, llamar a los bomberos o hacer uso de un extintor: ¿dónde está el fuego? ¿Cómo es de grande? ¿Cómo de rápido se puede expandir? ¿Está alguien en peligro o herido?. Lo mismo ocurre con las vulnerabilidades. Una vez que se conoce el número de vulnerabilidades y su nivel de gravedad, responder efectivamente ante ellas aún requiere de más respuestas a preguntas adicionales: ¿qué activos se pueden ver afectados? ¿En qué lugar se encuentran dentro de la red? ¿Es posible poner un parche? En ese caso, ¿cuándo puede utilizarse? Y si no es así, ¿puede este riesgo ser mitigado a través de la protección a tiempo real que ofrece un cortafuego o un sistema preventivo de intrusión?


4. Aumentar la “inteligencia de vulnerabilidades”. A medida que se mejora la habilidad de desarrollar el contexto y la respuesta ante las vulnerabilidades en base a datos prácticos, el nivel general de “inteligencia de vulnerabilidades” crece, permitiendo tomar las mejores decisiones sobre seguridad. Además, se puede adaptar continuamente el enfoque de la gestión de vulnerabilidades como un peligro que evoluciona, con el fin de acelerar el cronograma de descubrimiento y resolución.

 

Mientras las vulnerabilidades siguen aumentando y los atacantes continúan con su búsqueda de beneficios mediante CVEs, es fundamental tener una estrategia de gestión de vulnerabilidades basada en una exploración completa y actualizada, y en la habilidad de ver rápida y fácilmente el contexto de la amenaza. Ésta es la única manera de evitar la “trampa de las prioridades” y asegurarse de estar tomando las decisiones correctas.

 

Fuente: http://www.redseguridad.com/especialidades-tic/amenazas-y-vulnerabilidades/las-cuatro-mejores-practicas-para-evaluar-y-gestionar-vulnerabilidades