Como profesional de las Tecnologías de Información y quizá como especialista en Seguridad Informática, en algún momento usted se ha enfrentado a cuestionamientos parecidos a los siguientes:

• ¿Qué tan segura se encuentra nuestra información?
• ¿Estaremos gastando demasiado?
• ¿Cómo saber si estamos mejorando?
• ¿Qué saben nuestros usuarios de Seguridad Informática?
• ¿Cómo nos comparamos con otras organizaciones similares?

¿Cómo se responden satisfactoriamente las preguntas anteriores?

Estableciendo un programa de Métricos de Seguridad Informática con al menos los siguientes objetivos:

• Producir información significativa y accionable
• Respaldar los esfuerzos de mejora continua en Seguridad Informática
• Fundamentar las iniciativas de Seguridad Informática y obtener el respaldo necesario

Durante este 2012 estaremos apoyando a las organizaciones latinoamericanas en la implementación de sus programas de Métricos de Seguridad Informática. Además, iniciaremos un espacio de colaboración entre todas las organizaciones involucradas. Esto les permitirá compartir información, de manera controlada, para el Benchmarking de Seguridad Informática.

Contáctenos para más información.

Estos son los resultados finales de nuestro primer estudio de Estado Actual y Perspectivas de la Seguridad Informática en México, realizado durante los meses de octubre a diciembre de 2011.

Primeramente deseamos agradecer a todos nuestros amigos que participaron respondiendo al cuestionario. Su aportación es muy enriquecedora.

Presentamos los datos duros:

• 69% de los Directores Generales son actualmente más sensibles a los riesgos de seguridad de la información.
• 83% de los encuestados considera que los gestores del Capital Humano (Recursos Humanos) deben promover campañas de concientización dirigidas a toda la organización para la adopción de mejores prácticas de Seguridad de la Información.
• 52% de las organizaciones tendrán un presupuesto asignado en 2012 a la Seguridad de la Información que creció más que otros rubros.
• 86% de los profesionales de TI consideran la capacitación especializada en Seguridad Informática que recibieron durante el 2011 no fue suficiente.
• 45% contratará servicios de Pruebas de Penetración
• 41% contratará servicios de Análisis de Riesgos y Vulnerabilidades
• 38% contratará servicios de Consultoría en Desarrollo de Disaster Recovery Plan (DRP)

Los datos anteriores evidencian que la Seguridad de la Información adquiere cada día una mayor relevancia en las organizaciones. Los profesionales de TI y los especialistas en Seguridad Informática consideran que se debe aumentar el nivel de conciencia para toda la organización y la capacitación especializada.

Seguiremos conduciendo estos estudios, así que si tiene una sugerencia o aportación con todo gusto la recibiremos.

Les deseamos un 2012 exitoso y seguro.

Para casos de robo o extravío de smartphones o tablets existen aplicaciones tipo GPS, tanto para sistemas operativos Android, BlackBerry e iOs, que permiten localizarlos.

Estas apps pueden rastrear a los aparatos -y en su caso a criminales-, aunque también pueden ser utilizadas por terceros para acceder de manera no autorizada al teléfono y monitorear la actividad y comunicación del mismo si no existen controles de seguridad, advirtió David Schekaibán, director de la consultora Código Verde.

Facebook y Twitter, por ejemplo, solicitan permisos para utilizar la ubicación geográfica del dispositivo. Los usuarios pueden deshabilitar la función de geolocalización, sin dejar de utilizar estas apps.

“Un consejo práctico tiene que ver con utilizar un enfoque de ‘whitelist’, es decir, prohibir el uso del GPS a todas las aplicaciones e ir otorgando permisos de acuerdo a la información que queremos compartir”, dijo Schekaibán.

Existe una variedad de aplicaciones para cada sistema operativo. Conoce algunas de ellas:

BLACKBERRY

• Where Is My Phone Pro ($50.00 pesos)
  - Envía un correo electrónico a tu teléfono con una palabra clave para activar el timbre aunque esté en modo silencioso, o rastrea tu aparato de manera remota.
  - También puedes monitorear el nivel de carga de la batería, accesar a la lista de contactos y hacer que el aparato marque a un número.
• BlackBerry Protect (Gratis)
  Rastrea el aparato y respalda los datos de manera remota. Puede borrar la información y bloquear el teléfono en caso de extravío, además de cambiar de modo silencioso y activar el timbre.

IOS

• Buscar mi iPhone (Gratis)
  - Rastrea el aparato mediante la cuenta de Apple(iD) y protege la información.
  - Aunque el teléfono esté en modo silencioso, puede hacer que reproduzca un sonido por dos minutos en el volumen más alto.
  - También puede bloquear el aparato y borrar la información personal. Si el aparato está apagado al ser rastreado, el usuario puede pedir que envíe un correo electrónico cuando se conecte.
• GadgetTrak ($48.00 pesos)
  Rastrea tu aparato a través del sitio web, envía mensajes de texto al teléfono y hasta toma fotos del ladrón.
• Tracker for iPhone ($24.00)
  Rastrea hasta 2 aparatos, aun y cuando la aplicación no esté activada, al desplegar un mensaje en pantalla o un sonido. Se necesita una cuenta de Gmail.

ANDROID

• McAfee MobileSecurity (Dls.30.00)
  Utiliza un sitio remoto para localizar tu aparato. Puede rastrear cambios de chip (tarjeta Sim) así como borrar o restaurar datos.
• Where’s My Droid ($53.82pesos)
  Envía un mensaje de texto a tu celular para cambiarlo de modo silencioso a modo normal, y lo hace timbrar. También puede activar localización por GPS, con una liga a Google maps.
• Prey Anti-theft (Gratis)
  Activa opciones en tu teléfono -como bloquear el aparato, localización por GPS y alarma- con mensajes SMS.

Para ver la nota original puedes descargar el PDF de la versión impresa de El Norte, pulsando aquí.

• Explicación oficial del ataque RSA
   
• sobre ataques de negación de servicios en 2011
   
• listado de ataques informáticos relevantes marzo – junio 2011(gráfica)
   
  

Reverse Engineering the RSA Malware Attack from J. Oquendo on Vimeo.

Los recientes ataques cibernéticos a Gobiernos, plantas nucleares y empresas del sector militar-industrial en Estados Unidos, Asia y Europa han generado preocupación entre directivos por la seguridad de su información.

Ante esta situación, al menos un 33 porciento de empresas mexicanas incrementará recursos para este rubro en el 2012, en mayor proporción que al resto de la organización, de acuerdo a un sondeo.

“El punto débil en la cadena son las personas, debido a una falta de concientización”, dijo David Schekaibán, director general de la consultoría informática Código Verde.

“La tecnología ha avanzado con soluciones para proteger vulnerabilidades del sistema, pero siempre habrá un área que faltó proteger, y cada vez hay más personas con el tiempo, la disposición y motivación para buscar atacar un sistema para obtener su información”, indicó.

“Además, las mismas personas dentro de la organización abren puertas al abrir un archivo pdf que reciben por correo o conectar una memoria usb”.

David Taboada, director comercial de Código Verde, agregó que las pérdidas por un ataque pueden rondar los miles de millones de dólares, dependiendo del número de clientes afectados, el giro de la empresa y duración del ataque, entre otros.

Un sondeo realizado por Código Verde entre mil directores de sistemas en México reveló que un 50 por ciento percibe mayor preocupación de la dirección general por la seguridad informática.

Para ver la nota original puedes descargar el PDF de la versión impresa de El Norte pulsando aquí.

Fuente: El Norte

Éstos son los resultados preliminares del estudio Estado actual y perspectivas de la Seguridad Informática en México, que manifestamos publicaríamos durante este mes:

• Alrededor del 50% percibe una mayor preocupación de la Dirección General por la Seguridad Informática motivada por los ataques y filtraciones de datos recientes.
  
• Un 33% estima que el presupuesto asignado a Seguridad Informática en 2012 crecerá más que el presupuesto general de la organización.
  
• Alrededor del 70% recomienda que las organizaciones deben promover campañas de concientización internas.
  
• Un 80% considera que el personal de TI no tuvo capacitación suficiente en Seguridad Informática en el 2011.
  
• 73% de los encuestados están realizando pruebas de penetración, así como análisis de riesgos y vulnerabilidades.
  

Si requieres más información, puedes activar nuestro chat en el globo naranja de la parte inferior derecha de la pantalla.

Compartimos algunas medidas de Seguridad Informática básicas. Nuestra expectativa es que esta guía sea útil a los expertos en Seguridad Informática al compartirla con los miembros de su organización y así elevar la conciencia sobre estos temas.

1. Utilice contraseñas robustas y cámbielas con frecuencia

Las contraseñas deben ser diferentes para cada cuenta que use. Preferentemente deben contener una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales. Puede parecer muy complicado pero se puede generar una contraseña base a partir de una frase nemónica y a partir de ahí generar variaciones para cada cuenta. Usar frases largas también ayuda. ¿Tiene demasiadas cuentas que administrar? Use LastPass.

2. Encripte la información sensible

Encripte la información contenida en el disco duro local de su computadora o en el dispositivo externo de almacenamiento. De esta manera, aunque un hacker haya obtenido el acceso a su computadora y pueda copiar archivos, le resultará más difícil ver su información. También debemos protegernos contra la pérdida y robo de activos como discos duros portátiles, memorias USB y laptops. TrueCrypt es una herramienta de fuente libre que resuelve este punto.

3. Use conexiones seguras para el envío de datos sensibles

Cada vez que utilizamos servicios en Internet y revelamos algo de nuestra información personal nos estamos exponiendo si no lo hacemos mediante conexiones seguras. Esto se logra cuando el URL en el navegador inicia con https:// en lugar de http://. Actualmente, Facebook, Gmail y Twitter pueden ser configurados para que constantemente se conecten mediante HTTPS, lo cual eleva la seguridad al intercambiar información con estos sitios. Si usa el navegador FireFox, agregue el siguiente complemento: HTTPS Everywhere.

4. Cuidado con las aplicaciones, causas y anuncios en Facebook

Mientras se encuentre conectado a su cuenta de Facebook, no haga click en cualquier anuncio o aplicación que no conozca. Se han reportado innumerables casos de personas que han contagiado sus computadoras con virus al pulsar en anuncios. También han revelado detalles privados sin su consentimiento.

5. Tenga precaución al conectarse en computadoras públicas

Una de las causas más comunes del robo de cuentas de servicios en línea, como redes sociales y correo electrónico es el uso descuidado en una computadora pública. La mayoría de estos servicios le permite seleccionar una opción que mantiene activa la sesión aún cuando se dirija a otro sitio o cierre el navegador. No olvide dejar esta opción sin seleccionar y cerrar su sesión antes de permitir que alguien más utilice esa computadora. Es importante considerar estos equipos públicos como inseguros, y tener en cuenta la posibilidad de que toda transacción y actividad realizada puede ser intervenida.

6. Revise los enlaces

¿Lo llevan a donde usted cree? No siempre es posible ignorar los enlaces. En ocasiones es necesario atenderlos. Algunos programas de correo electrónico y navegadores nos permiten ver el destino real de los enlaces simplemente con pasar el cursor sobre ellos. Antes de pulsarlo, revise bien a dónde lo lleva. Por otra parte, si el enlace fue acortado con algún servicio como TinyURL o bitly, utilice TrueURL para conocer el destino real y evite caer en un sitio que le descargará software malicioso a su computadora.

7. Actualice su software

La mayoría de las amenazas a la seguridad informática prosperan debido a fallas en el software que pueden ser explotadas. Los programadores de software cometen errores. Sin embargo, una vez que el error es descubierto se genera una actualización que lo corrige. Es posible ser la víctima de un ataque debido a una falla de seguridad que aún no se ha corregido. Sin embargo, la mayoría de las compañías que producen software reaccionan rápidamente para resolver estos problemas. Por lo tanto, mantener el software actualizado eleva significativamente su seguridad informática.

8. Prepárese para lo peor y respalde su información

Implementar una exhaustiva seguridad en su computadora lo protegerá de la gran mayoría de las amenazas. Sin embargo, aún la mejor defensa no es impenetrable. Por lo tanto, mantener una copia a salvo de su información crítica es de máxima importancia. Un respaldo es una copia de los datos importantes que se resguarda en otra localización digital o física. Finalmente, debe probarse el procedimiento de restauración. Es decir, validar que los repaldos verdaderamente serán útiles en caso de requerirse.

9. Asegure sus redes inalámbricas WiFi, en la oficina y en su hogar

Algunos ataques a altos ejecutivos han iniciado en sus propios hogares, fuera del dominio de los especialistas en seguridad informática de sus organizaciones. Mediante diversas técnicas es posible interceptar los datos que viajan en una red inalámbrica insegura. Además, algunos hackers instalan una nueva red con una señal más fuerte que hace pensar a las computadoras que se conectan que lo están haciendo a su propia red, quedando expuesto todo el tráfico con implicaciones desastrozas. Recomendamos utilizar WPA2 con encripción AES para mayor seguridad. Si no se siente seguro de seguir las indicaciones del manual de su dispositivo inalámbrico, no tome riesgos y llame a un técnico que lo resuelva. Asegure también que su llave de encripción es larga y difícil de adivinar, tal como lo haría al crear una contraseña.

10. Su teléfono móvil es esencialmente una computadora

Su teléfono móvil contiene información que no debe caer en manos de extraños: Nombres y  teléfonos de familiares y contactos de negocios, registros de llamadas, aplicaciones y sitios web visitados. Todo esto en manos de criminales puede darles elementos para un ataque severo a su integridad física y patrimonial.

Por lo tanto recomendamos las siguientes medidas básicas para proteger su teléfono móvil:

• Desactive Bluetooth, WiFi o infrarrojos mientras no los vaya a utilizar

• Evite que los hackers lo encuentren, configurando el dispositivo en modo oculto

• Rechace las conexiones de dispositivos desconocidos

• Instale un antivirus y manténgalo actualizado

• Ignore o borre los mensajes SMS o MMS de origen desconocido y absténgase de descargar software de sitios sospechosos

• Active el acceso mediante PIN (al Bluetooth y al móvil) para que sólo quién conozca este código pueda acceder a las funcionalidades del dispositivo.

• Bloquee la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta.

Te invitamos este martes 11 de octubre a las 6:00 pm a una demostración de las herramientas NeXpose y Metasploit de Rapid7, las cuales automatizan la detección de vulnerabilidades y la explotación de las mismas.

NeXpose es un software que automatiza la identificación de vulnerabilidades en redes, bases de datos, y una amplia gama de plataformas de sistemas mediante rastreo inteligente. Además te ayuda a una evaluación de la criticalidad de los activos.

Metasploit te ayuda a prevenir y detectar brechas de seguridad para posteriormente conducir de manera exitosa pruebas de penetración y fortalecer todas tus redes.

La cita es en las oficinas de código verde ubicadas en la Torre Avalanz en el piso 10.  Este evento no tiene ningún costo.

Si aún no has confirmado tu asistencia por medio de nuestro boletín electrónico o teléfono, manda un correo a codigo.verde@katalink.net con tu nombre completo y teléfono para registrarte. Te enviaremos un email de confirmación de vuelta.

Opina y adquiere gratis el reporte parcial de este estudio en el mes de octubre, y el reporte definitivo en enero de 2012.
Recuerda que también participas para hacerte acreedor de un escaneo de vulnerabilidades gratuito.

]]> http://codigoverde.com/2011/09/estado-actual-perspectivas-seguridad-informatica-mexico/feed/ 0 http://codigoverde.com/2011/08/ingenieria-social-ponerse-zapatos-victima/ http://codigoverde.com/2011/08/ingenieria-social-ponerse-zapatos-victima/#comments Tue, 23 Aug 2011 22:11:46 +0000 codigo-verde http://codigoverde.com/?p=530 Hoy en día los servicios que nos ofrece Internet como lo pueden ser las redes sociales o canales de video como Youtube, han permitido que poco a poco la privacidad de las personas desaparezca; lo gracioso del asunto es que son los mismos dueños de esa información sensible y en algunos casos confidencial los que publican todo tipo de multimedia que revelan parte importante de su vida.

Este tipo de información disponible a unos cuantos clics, permite conocer actividades, gustos o personas con las que solemos relacionarnos, lo cual en el peor escenario podría ser aprovechado para ser víctimas de un ataque de ingeniería social.

Ingeniería social es una serie de estrategias o técnicas que permiten aprovecharse de sentimientos o actitudes que suelen tener las personas para conocer todo tipo de datos referentes al transporte y almacenaje de cierta información. Entre más críticos sean los activos que maneja una persona, será más propenso a recibir este tipo de ataque.

Las características de las personas, son bien estudiadas por un ingeniero social, quien realizará un perfil de la víctima, por medio del cual buscará generar empatía e identificar gustos y actividades, es decir para poder llevar acabo un ataque de ingeniería social el atacante debe de “ponerse en los zapatos de la víctima”…

Para leer la información completa que David Schekaibán compartió con nuestros amigos de ASI, pulsa aquí.