Al hablar de seguridad de la información es común que se le vincule únicamente a tecnologías y procesos, no obstante, existe otro protagonista de la seguridad en las empresas, el personal. Son quienes gestionan y utilizan los dispositivos tecnológicos de las organizaciones para dar tratamiento a uno de los principales activos, la información.

Por ello, es importante informar en materia de seguridad hasta desarrollar una cultura de seguridad en la empresa, que será la principal base de la protección, tanto de la información propia, como la de clientes y proveedores.

Una seguridad exitosa no sólo debe estar basada en software, sistemas y procesos, debe ser parte de la organización, de cómo su gente piensa, crea y se conecta.

De acuerdo con el sitio Forbes México, estas pueden ser cinco maneras para mantener una cultura centrada en la seguridad de la información:

1. Personalizar las políticas de seguridad, las empresas deben generar esta cultura sobre la base sólida de políticas de seguridad personalizadas. Lo recomendable es documentarlas adecuadamente para que los empleados comprendan su importancia, de modo que represente una forma de actuar y garantizar la protección de la empresa, además de la construcción de la confianza entre sus clientes y aliados.
2. Difundir a los colaboradores, después de poner en marcha las políticas y compartirlas con toda la empresa para hacerlas de su conocimiento, es importante encontrar formas creativas de difundirlas. Muchos de los actuales entrenamientos se centran en la memorización temporal de una pequeña serie de actividades. Por ejemplo, con la ayuda del equipo de Marketing y Comunicación, se pueden contrar maneras creativas de difundir las nuevas políticas de seguridad a través de actividades o juegos de entrenamiento que involucren a ponentes invitados. De este modo, se vuelve más dinámico e interesante el aprendizaje sobre seguridad de la información.
3. Impulsar los hábitos de seguridad dentro y fuera de la organización, una de las mejores acciones que un equipo de seguridad corporativa puede tomar para fomentar la cultura y los buenos hábitos de seguridad es proveer de herramientas que la gente pueda utilizar no sólo en la oficina, sino también en el hogar. Con nuestra fuerza de trabajo móvil, resulta más fácil compartir estos instrumentos preventivos y consejos de protección doméstica en cualquier momento.
4. Crear una conciencia de responsabilidad compartida, ya que las amenazas son cada vez más sofisticadas, el liderazgo de una empresa radica en estar preparados para cuando exista algún tipo de violación a las políticas de seguridad. Asimismo, los directivos son los que más inmersos deben estar en la cultura de seguridad. Las acciones en esta área serán altamente comentadas y, si no se observa una convicción por parte de los ejecutivos, pocos de sus empleados las considerarán.
5. Implementación de herramientas para fortalecer la estrategia de seguridad, que permitan tener el control de acceso a la información, según el perfil adecuado, ya sea de empleados, clientes o proveedores. También se debe trabajar con estrategias de contención para detectar alguna posible violación a la seguridad.

En relación al último punto, en Adaptix Networks destacamos la importancia de implementar herramientas de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de nuestras soluciones, así como los casos de éxito con nuestros clientes.

Fuente https://www.forbes.com.mx/5-claves-para-una-cultura-de-seguridad-exitosa/

La ciber-resiliencia es la alineación entre la prevención, la capacidad de detección y respuesta para mitigar el avance de los ciberataques. Con ello, una empresa será capaz de prevenir, identificar, contener y recuperarse de un gran número de amenazas contra los datos, aplicaciones e infraestructura de TI.

El Ponemon Institute e IBM Resilient realizaron por tercer año consecutivo un estudio sobre la importancia de la ciber-resiliencia para la seguridad en las empresas.

Más de 2,848 profesionales de seguridad en TI de todo el mundo fueron encuestados y, a pesar de los desafíos, casi la mitad (48%) calificaron la ciber-resiliencia de su organización como alta o muy alta, un aumento significativo respecto al 32% obtenido en el estudio de 2016.

A pesar del incremento, dicha confianza puede carecer de fundamento, según el estudio, 57% de los encuestados indicaron que el tiempo para resolver un incidente se ha incrementado y el 65% reportó que la gravedad de los ataques ha aumentado. Además,  el informe muestra que solo el 31% de las organizaciones cuenta con un presupuesto de resiliencia cibernética adecuado y el 71% tiene dificultades para retener y contratar a profesionales especializados en seguridad informática. Por último, el 77% carece de un plan formal de respuesta a incidentes de ciberseguridad (CSIRP) que se aplique de manera uniforme en toda la organización.

Algunos hallazgos clave en el estudio:

• La efectividad de la ciber-resiliencia aumenta significativamente, y por ello, cada vez más encuestados creen que la alta gerencia reconoce el valor de la resiliencia cibernética. Desde 2015, el reconocimiento entre los altos directivos sobre cómo los riesgos empresariales (como los ciberataques) afectan la capacidad de sus organizaciones, ha aumentado significativamente del 47% al 57% de los encuestados. También son más conscientes de que la resiliencia cibernética afecta los ingresos, la marca y la reputación.
• Cada vez más empresas están logrando mejorar su resiliencia cibernética, el 72% los encuestados dijo que la ciber-resiliencia de sus organizaciones ha mejorado en los últimos 12 meses, el año pasado sólo el 52% hizo tal afirmación.
• El departamento de TI debe garantizar un alto nivel de ciber-resiliencia, así lo considera el 43% de los encuestados al afirmar que dicha responsabilidad reside en las funciones de seguridad TI. Dicho resultado surge al agrupar las respuestas siguientes: Director de información (23%), Jefe de tecnología (6%) y Director de seguridad de la información (14%).
• Las tecnologías de ciberseguridad y el personal calificado son fundamentales para un alto nivel de ciber-resiliencia. La falta de inversión en nuevas tecnologías de ciberseguridad, incluida la inteligencia artificial y el machine learning, así como la incapacidad de contratar y retener personal calificado, son las mayores barreras para la ciber-resiliencia. El 79% de los encuestados califica de alto o muy alto la importancia de contar con profesionales calificados en ciberseguridad. Pero también, el 77% indica como muy alta la dificultad de contratar y retener dicho personal.  De hecho, sólo el 29% está de acuerdo en que, el personal para la seguridad TI en su organización es suficiente para alcanzar un alto nivel de resiliencia cibernética.

Un enfoque integral en seguridad TI para reducir riesgos y obtener un retorno real sobre cualquier inversión, ya sea para la contratación de personal o adquirir tecnología, debrán considerar un aspecto crucial, contar con profesionales calificados. Por ello, le invitamos a ponerse en contacto con nosotros y así, proveerle más información acerca de los servicios y casos de éxito logrados con nuestros clientes al desarrollar las mejores estrategias de seguridad.

Fuente http://info.resilientsystems.com/2018-ponemon-cyber-resilient-organization-study

No es fácil mantener en una organización al mismo tiempo la innovación y la seguridad de la experiencia digital. Sin embargo, un informe realizado por Akamai Technologies, pone de relieve que las empresas más consolidadas digitalmente, con los mejores ratios de equilibrio entre innovación y seguridad, crecen a un ritmo mayor que su competencia.

Dicho estudio incluyó la participación de más de 350 líderes empresariales a nivel mundial y fue realizado por Forrester Consulting en nombre de Akamai.

La innovación digital se encuentra a la vanguardia del complejo entorno empresarial actual. La entrega de experiencias digitales es fundamental para la competitividad, la satisfacción del cliente y, lo que es más importante, para alcanzar la confianza del cliente.

Para cualquier organización empresarial es un desafío satisfacer las necesidades de sus clientes, ahora también se deben abordar temas como la conectividad de red y el uso de dispositivos móviles, así como la capacidad de ofrecer experiencias digitales seguras y personalizadas.

El estudio también examina cómo las empresas digitales y diversas industrias en todo el mundo, alinean la experiencia  de usuario y la seguridad con sus prioridades estratégicas.

Otros hallazgos de la investigación:

• La llamada ‘lucha digital’ ya es una realidad, un elevado número de ejecutivos admite lo difícil que les ha sido lograr el equilibrio adecuado entre la innovación digital y garantizar experiencias digitales seguras, con las cuales se mantenga la confianza del usuario y además se mitiguen los riesgos.
• Los niveles de confianza se encuentran en mínimos históricos, más de un tercio de los ejecutivos encuestados sienten que sólo tienen un nivel moderado de confianza por parte de sus clientes, debido en gran parte a la sospecha sobre las prácticas de uso de datos en las empresas.
• La falta de confianza atribuida a la falta de seguridad puede generar la falta de ingresos: los clientes se sienten más cómodos compartiendo datos con compañías en las que realmente confían; cuando las empresas no cumplen con la seguridad, la reputación de su marca, la confianza del cliente e incluso los ingresos se ven afectados negativamente. Incluso la sospecha del mal uso de datos de una empresa puede conducir a una reducción del 25% en los ingresos.

Fuente https://www.akamai.com/us/en/about/news/press/2018-press/research-findings-show-industry-leaders-struggle-to-balance-digital-innovation-and-security.jsp

Después de las múltiples filtraciones de datos en algunas de las grandes organizaciones a nivel global (Facebook con Cambridge Analytica, Equifax, Deloitte, Yahoo), los usuarios debemos ser cautelosos con la información que compartimos en línea, incluyendo las aplicaciones y los servicios gratuitos.

Es tiempo de dejar de usar la tecnología como si se estuviera de compras en el supermercado, en una tienda de este tipo podemos suponer las etiquetas en los alimentos son precisas y los productos son seguros para ingerir, porque la industria alimentaria tiene muchas regulaciones. En el caso del manejo de la información digital, no necesariamente.

A continuación, algunos ejemplos de ello, incluidos en una publicación reciente en The New York Times:

Correo electrónico ‘gratuito’

El año pasado se revleó que Uber compró información sobre su principal competidor en el sector del transporte privado, Lyft, a través de Unroll.me, un servicio de correo gratuito que ofrecía a las personas cancelar sus suscripciones a correos publicictarios.

El servicio de correo ‘gratuito’ escaneó los buzones de entrada de los usuarios para buscar la información de los recibos de Lyft y venderla a Uber. A muchos clientes les pareció engañoso que una empresa que prometía  eliminar el correo no deseado de los anunciantes hiciera dinero vendiéndoles información de sus usuarios.

En este caso, su política de privacidada indicaba lo siguiente:  “Podríamos recolectar, utilizar, transferir, vender y revelar información no personal para cualquier propósito” y que los datos podían usarse “para construir productos y servicios anónimos de investigación de mercado”. Sin embargo, en respuesta a las críticas, Unroll.me prometió ser más transparente con respecto al su uso de datos. La aplicación sigue operando.

La recomendación es hacer el mejor esfuerzo por investigar el modelo de negocio de la empresa en cuestión. Cuando un producto o servicio es gratuito, siempre debe suponer que la información se usa para obtener ganancias.

Mensajería y espionaje

El año pasado, una aplicación llamada Soniac estaba disponible para los celulares Android en la tienda de aplicaciones Google Play. Soniac se anunció como una aplicación de mensajería y, en efecto, incluía funciones para enviar mensajes de texto. Las características menos evidentes: la aplicación también podía grabar audio sin revelarlo, tomar fotos con la cámara, hacer llamadas y descargar registros de llamadas, entre otras funciones.

Una firma de seguridad que da seguimiento al software nocivo en los dispositivos Android, alertó a Google acerca de las habilidades ocultas de Soniac y rápidamente eliminaron la aplicación de la tienda de aplicaciones. Sin embargo, los investigadores identificaron  más de mil aplicaciones de programas informáticos espías con muchas de las mismas características que tenía Soniac.

La recomendación, al instalar una aplicación, se deben revisar los datos a los que ésta tendrá acceso. Las aplicaciones de los smartphones solicitan permiso para tener acceso a ciertos datos y sensores. Si una aplicación solicita acceso a datos que no están relacionados con el producto, no debería instalarse. Se puede esperar que una aplicación de mapas pida datos de ubicación, por ejemplo, pero no debería tener acceso a la cámara o fotos.

Datos sobre menores de edad

Algunos productos de Internet han recolectado datos específicamente de niños. EchoMetrix fue un ejemplo tristemente célebre en 2009, la empresa emitió un comunicado de prensa en el que presumia haber predicho el ganador de la competición American Idol de ese año. La empresa había ofrecido en 2004 una aplicación de control parental llamada FamilySafe para que los padres monitorearan las actividades en línea de sus hijos. Cinco años después, se convirtió en EchoMetrix y lanzó Pulse, una herramienta para proporcionar a los anunciantes infromación acerca de los menores, la cual se obtenía a partir de millones de transcripciones de las conversaciones y publicaciones de blog de los adolescentes, entre otras fuentes.

 La recomendación es ser prudente al elegir productos de tecnología, especialmente aquellos orientados a los niños. Common Sense Media, una organización sin fines de lucro que evalúa contenido y productos aptos para toda la familia, es un buen lugar para comenzar una investigación.

Es importante destacar que estos riesgos continuarán creciendo con la expansión de la recolección de datos, por lo que es indispensable ser cautelosos ante el uso de aplicaciones y servicios en línea, principalmente los ‘gratuitos’.

Fuente https://www.nytimes.com/es/2018/04/09/tecnologia-informacion-datos/

La ciberseguridad como uno de los desafíos más importantes de la era digital.

El crecimiento global de las redes y la información, impulsado por la innovación tecnológica, ha permitido a la sociedad crear prosperidad y mejorar la calidad de vida. Sin embargo, este rápido cambio ha generado también un desafío de largo plazo: gestionar los riesgos de seguridad a medida que el mundo depende cada vez más de la cibernética y las amenazas aumentan.

Los líderes empresariales internacionales calificaron las amenazas cibernéticas como uno de los principales riesgos de negocios de acuerdo con los resultados obtenidos en la 21a Encuesta Global de CEO de PwC.

También reconocieron que las principales repercusiones de los ciberataques son la pérdida o compromiso de datos confidenciales y la interrupción de actividades, como se muestra en la siguiente gráfica:

En México, mientras que las grandes y medianas empresas comenzaron hace tiempo a considerar la seguridad de la información un activo estratégico y una oportunidad para proteger su negocio, las autoridades y la población en general desconocen o desatienden los riesgos a los que está expuesto todo aquel que esté conectado a una red, ya sea a través de un smartphone, una computadora personal o una fábrica digital.

Las organizaciones mexicanas deberían tener siempre las respuestas a las siguientes preguntas: ¿qué información tengo?, ¿dónde la tengo? y ¿quién tiene acceso a ella? Otro aspecto a considerar son las amenazas internas, para las cuales, las empresas generalmente no están preparadas.

Si se tienen las bases adecuadas para gestionar los riesgos, es posible aprovechar la conectividad sin perder la confianza de los consumidores y monetizar la información al tiempo que se respeta la privacidad.

Con la inteligencia para evitar amenazas y las capacidades para compartir información se puede ayudar a los grupos de interés a identificar y prevenir los riesgos emergentes más rápida y eficazmente. Las tecnologías innovadoras de seguridad en la Nube, el análisis de datos, el monitoreo, la autentificación y el software de código abierto pueden ser herramientas poderosas para quienes gestionan los riesgos en el ciberespacio.

Fuente http://blog.pwc.mx/la-importancia-de-la-ciberseguridad/

De acuerdo con información publicada por el sitio web The Register, una vulnerabilidad de los procesadores Intel (error de diseño) está forzando a los desarrolladores de Sistemas Operativos a eliminarla mediante el parcheado al kernel. Esto se debe a que aparentemente, no es posible corregir el fallo con una actualización del microcódigo del procesador.

En la publicación acerca del tema en el sitio Xataka, se indica que el problema permitiría que cualquier aplicación accediera a espacios reservados de memoria a los que no deberían, ya que a su vez daría acceso al resto de recursos de la máquina. El riesgo en ello sería que un ciberatacante al explotar la vulnerabilidad ganaría permisos de superusuario en estos sistemas para control remoto o introducir malware.

La información hasta el momento indica que se trata de un problema masivo y que afecta a los microprocesadores Intel de la última década. Cabe destacar que por el momento Intel no ha confirmado las familias de procesadores afectadas. Sin embargo, se presume que solo los procesadores de 64 bits serían los afectados.

Esto implica que millones de máquinas en todo el mundo estarían afectadas por esta vulnerabilidad; no solo en el ámbito doméstico, en el que todo PC, portátil o tableta basada en estos microprocesadores estará afectado, sino también en el ámbito empresarial.

Para solucionar elproblema la única alternativa parece ser la actualización de los sistemas operativos. Hasta donde se sabe, todos los sistemas estarían afectados, así que tanto los usuarios de Windows como los de macOS y Linux, dependerán de sus actualizaciones del sistema. En el caso de Linux, ya existe una actualización para el kernel, se espera que tanto Microsoft como Apple publiquen cuanto antes los parches para corregir el problema.

Las actualizaciones también afectarán a grandes plataformas Cloud Computing; Microsoft ha emitido un comunicado indicando que el próximo 10 de enero habrá cortes del servicio para operaciones de “mantenimiento”, lo mismo ha hecho Amazon que tiene previsto el mismo proceso para el próximo 5 de enero.

Computerworld indica que el crecimiento en el número de ciberataques tendrá un efecto directo en el presupuesto asignado para la ciberseguridad de las empresas.

De acuerdo con la publicación, se estima que en 2018 el gasto de las compañías en ciberseguridad aumentará un 8% hasta los 96,300 millones de dólares.

Hay varias razones que explican este aumento, las regulaciones, las amenazas crecientes y la transformación digital interna de las compañías serán los factores impulsores.

Muchas veces las empresas aumentan sus partidas presupuestarias dedicadas a la seguridad como reacción a las noticias sobre grandes ciberataques, como puede ser el caso de Wannacry o el más reciente, que afectó a Equifax.

“Los ciberataques tienen un efecto directo en el gasto de seguridad, porque este tipo de ataques pueden durar hasta tres años”, declara Ruggero Contu, director de investigación en Gartner.

La mayoría del gasto se destinará a servicios de seguridad (57,719 millones de dólares), seguido por las soluciones de protección a la infraestructura (17,467 millones de dólares) y de equipamiento de red (11,669 millones de dólares). En menor grado, las compañías invertirán en software de seguridad de consumo y en soluciones de gestión de identidad (con un gasto estimado en 4,746 millones de dólares y 4,695 millones de dólares, respectivamente).

En los próximos años cada vez más corporaciones invertirán en herramientas de seguridad de protección de datos. En concreto, se prevé que en los próximos tres años el 60% de las empresas apuesten por este tipo de soluciones frente al 35% de las empresas que lo hacen en la actualidad.

Otra de las grandes áreas de inversión será el del outsourcing. Se estima que en 2019 el gasto en externalización de servicios de seguridad acapare el 75% del total del gasto, por encima del 63% en 2016. “El segmento de externalización de TI es el segundo mayor después del segmento de consultoría”, declara Contu.

Fuente http://cso.computerworld.es/alertas/el-gasto-global-de-las-empresas-en-seguridad-crecera-un-8