TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

La nube se prepara para enfrentar los retos de seguridad

Publicado por marketing on 1/07/14 12:30

Si bien es cierto, la nube se ha convertido en arquitectura esencial de Internet para empresas. La nube es vista por los CIOs y CTOs no sólo como una forma más viable en costo y eficacia a la hora de instalar capacidad de cómputo y almacenamiento en centros de datos tradicionales, sino también como una mejor forma a la hora de aplicarlo hacerlo y esto está aumentando en gran nivel. Los expertos HyTrust, NSS Labs, Spirent, VMware y Wedge Networks dialogan sobre el tema. Los servicios en la nube pueden ser más escalables que los servidores físicos en racks corporativos y, a la vez estos pueden ser colocados más cerca de los clientes. Pero entonces ¿Cuál es el desafío? Este se basa en asegurar la cadena de servicios, de principio a fin. No sólo se trata de impedir que los “chicos malos” hackeen los servidores web o bases de datos online; sino más bien asegurarse de que el malware no fluya de un centro de datos a otro, o desde dispositivos de usuario final ya sean smartphones o laptops mediante redes WiFi públicas o redes de datos móviles, hacia la nube. Es un hecho que la industria de la nube se está preparando para enfrentar el reto de la seguridad. Tanto así que el
Director de Pruebas de Nube y Virtualización en NSS Labs, Iben Rodríguez se enfoca a un tema específico: Definir un perímetro de seguridad en el mundo de Bring Your Own Device. El director comenta que “Para la empresa tradicional con un perímetro sólido, disponíamos de un modelo de seguridad cuya finalidad era proteger la propiedad sensible al interior de la red”, por tanto “Esto pudo haber funcionado bien cuando sólo se trataba de comprar un cortafuegos y algunas soluciones de detección de intrusiones, pero ahora, con la nube y la virtualización, tienes datos repartidos por todo el mundo, y gente utilizando dispositivos móviles, BYOD. ¿Cómo colocas un cortafuegos en torno a todo eso? Ya no es posible”. Por su lado el CEO de la firma de seguridad Wedge Networks, Hongwen Zhang, se centra en los puntos de entrada y de salida de la nube como una excelente oportunidad para la implementación de controles de seguridad en la nube. Explica que “Con la fusión de centros de centros de datos y en la nube, vemos un muy buen lugar donde la seguridad puede centralizarse. Estamos hablando de más conexiones que van hacia la nube – y si podemos asegurar esta parte, estaríamos asegurando la vida digital de todo el planeta”. Así mismo
Dennis Moreau, Senior Engineering Architect para Seguridad Definida por Software en VMware, una de las empresas líderes en la virtualización y la industria de la nube comenta que “El conjunto de múltiples proveedores añade complejidad a las preocupaciones derivadas de la seguridad en la nube, que van mucho más allá de lo que encontrarías en un centro de datos típico”, dijo “Ya sea se trate de cortafuegos para aplicaciones web, cortafuegos de próxima generación, sistemas IPS, detección en sandbox de amenazas avanzadas, hay muchos, muchos proveedores y soluciones”, dijo Moreau. “En tales circunstancias, en ninguna parte funciona mejor la propuesta de valor de la nube que al presentar ya sea objetivos del malware o sus vectores de distribución a los puntos finales. Lo que falta en esta circunstancia es una forma efectiva de hacer frente a la complejidad que se produce al hacerlo. La complejidad proviene de varios lugares. Cuando traemos la nube a la discusión sobre el centro de datos, estamos incorporando a varios proveedores al esquema. Usted ya no está aprovisionando de la misma forma que habría ocurrido en un centro de datos empresarial operado en instalaciones propias”. Eso requiere la coordinación de múltiples actores, dijo – y de sus políticas, que pueden superponerse, y que incluso podrían entrar en conflicto. “Tenemos que extraer la complejidad”, dijo Moreau.
“El principal problema es, entonces, la arquitectura para poder implementar protecciones, mantenerlas alineadas sin importar el movimiento y siendo capaces de dar contexto suficiente para tener un resultado accionable de todos los registros, que me dirán qué está funcionando mal, y dónde. Si yo carezco de ese contexto, no voy a ser capaz de moverme. ” Por tanto, es esencial contar con una estrategia que brinde visibilidad total y sea capaz de modificarse en cualquier momento. Para más información visita diarioti.com Marketing

Leer más

Temas: Enterprise 2.0, Lo más nuevo, Seguridad

¡Alerta! Se necesitan nuevas políticas de seguridad en las empresas

Publicado por marketing on 17/06/14 10:11

Ante el nuevo panorama de consumerización, las organizaciones deben prepararse para las consecuencias que esta tendencia provocará en la seguridad. La progresiva formación de los empleados en técnicas informáticas, el masivo uso de aplicaciones de consumo en el terreno profesional, la creciente externalización de tareas y el deseo de que los empleados participen y colaboren en red, está propiciando una importante “consumerización” de las tecnologías que, además, irá en aumento en los próximos años. Es un hecho que la progresiva movilidad de los datos y el impacto de las redes sociales, tendrá fuertes implicaciones de seguridad para el puesto de trabajo digital y para la empresa, que debe comenzar a replantearse sus políticas al respecto. Si bien es cierto los analistas consideran que, en los próximos cuatro años,
un 25% de las empresas deberán implantar nuevas estrategias de seguridad en su seno, para crear una experiencia informática similar a la de consumo. Y las que no lo hagan se irán quedando de lado y alejadas de las más comprometidas con este reto. Tom Scholtz, vicepresidente de Gartner comenta
“Esto tendrá un fuerte impacto en las estrategias de seguridad de la empresa” Ante esto se aventura una progresiva descentralización de los sistemas de información y la consiguiente pérdida de control para los departamentos de TI sobre los dispositivos, las redes y los sistemas de información. El experto resume que  “Se precisa una estrategia más centrada en la información”. Este hecho coincide con el aumento del número y sofisticación de los ataques que pretenden vulnerar los sistemas y datos de la empresa. Los controles preventivos tradicionales, basados en software antivirus, sistemas preventivos frente a intrusiones y parcheo permanente de programas y sistemas, resultarán cada vez más ineficaces, por lo que serán necesarios sistemas más reactivos ante tantas amenazas.
Según Gartner la monitorización permanente de las infraestructuras y el análisis de la seguridad constituirán el núcleo de las estrategias de seguridad futuras. Ante esto, las nuevas políticas de seguridad deberán ofrecer mayor libertad al usuario basada en la confianza, pero para ello será preciso incidir en las técnicas de educación y sensibilización de los trabajadores a este respecto, incluso instaurando políticas de recompensa.
La confianza de las organizaciones en su plantilla resultará clave, frente al tradicional recelo que ha suscitado siempre respecto a este particular. Se trata de la seguridad basada en la persona que hace hincapié en la responsabilidad individual y la confianza mutua, y que resta importancia a los controles de seguridad preventivos o restrictivos. La premisa fundamental de las políticas de seguridad PCS es que los empleados tienen derechos pero también responsabilidades. Si el individuo no cumple con sus obligaciones o no se comporta de una manera que respete los derechos de los colegas y de la empresa, entonces debe ser motivo de sanción. Aunque una estrategia PCS puede no ser conveniente para todas las organizaciones, sin duda hablamos de un concepto viable que debe ser considerado en el futuro entorno de trabajo digital. Como conclusión Scholtz comenta
“El trabajo digital implica riesgos nuevos y diferentes en seguridad. Por lo tanto, es imperativo evaluar estos peligros debidamente. Tanto los propietarios de la empresa, como el resto de la organización, deben estar al tanto de estos riesgos, que los profesionales de TI tienen que evaluar convenientemente”. Para más información visita cioal.com Marketing

Leer más

Temas: Lo más nuevo, Seguridad

Nuevas amenazas atacan a eBay

Publicado por marketing on 4/06/14 12:03

En el panorama de amenazas en el que nos desenvolvemos, una nueva violación de datos preocupa a una multitud de usuarios. Esta vez afecta a una gran compañía: eBay.
Así que si eres cliente de eBay, debes tomar medidas de inmediato. Ante esta situación eBay emitiera su comunicado, en donde dará a conocer cómo empezó todo.
En algún momento entre finales de febrero y principios de marzo de 2014, los atacantes pudieron poner en peligro las cuentas de los empleados de eBay; éstos fueron capaces de aprovechar esas cuentas para acceder a una base de datos de eBay que contenía información de los clientes. Datos específicos como el nombre del cliente, su contraseña cifrada, la dirección de correo electrónico, la dirección física de cliente, el número de teléfono y la fecha de nacimiento. Lo cierto es que hasta hoy, eBay está diciendo que no tienen evidencia de que se haya producido ninguna actividad fraudulenta. Asimismo, indica que
esta violación de datos NO afecta a las cuentas de PayPal ya que según ellos, estas están almacenadas en sistemas separados. Así que,
si eres cliente de eBay debes cambiar tu contraseña de inmediato. Si bien es cierto la avalancha continua de violaciones de datos de este tipo pone de manifiesto la importancia de utilizar contraseñas únicas de acceso para cada sitio.
Es en estos casos en dónde una herramienta de gestión de contraseñas, como Trend Micro DirectPass es básica. Debemos tener en cuenta que más allá del cambio de contraseña, este incidente muestra una vez más por qué es posible que el usuario desee ver también la monitorización del robo de identidad en tiempo real. Lo que marca
la diferencia de está brecha de datos ante otras, es el hecho de que ésta incluye la dirección física, el número de teléfono y la fecha de nacimiento, lo cual puede facilitar a los delincuentes el robo de su identidad. Hoy en día no basta con cambiar la contraseña para estar protegido contra esta amenaza. Esto caso particular cumple la predicción Raimund Genes, director de tecnología de Trend Micro. Quien al iniciar el 2014  predijo que se produciría una importante violación de datos cada mes. Entre ésta y las brechas de datos en Target y Nieman Marcus, la predicción se está cumpliendo. Para más información visita trendmicro.com Marketing

Leer más

Temas: Amenazas, Lo más nuevo, Seguridad, Trend Micro

Dropbox está ganando la carrera empresarial

Publicado por marketing on 19/05/14 12:39

Al día de hoy son
más de 275 millones de usuarios reivindicados en Dropbox. De acuerdo con el jefe de producto de Dropbox  Ilya Fushman,
al menos un empleado entre el 97 % de las empresas registradas en Fortune 500 sabe cómo usar Dropbox. Si bien es cierto Dropbox no ha tenido éxito siempre y una muestra es la dificultad que ha tenido para poder constituirse como una empresa con credibilidad suficiente ante la bolsa de valores.  Su inicio en el mercado financiero, y su enfoque en convertirse en la plataforma de desarrollo de aplicaciones de elección para el mundo de los negocios, no ha sido fácil. Sin embargo Dropbox dice ir en serio en el posicionamiento de los lugares de trabajo, aunque lo está haciendo de una manera lenta, espera al final del juego ser la empresa principal en cuanto a la recopilación de archivos en la nube. Fuschman hace hincapié en que
“Para Dropbox, no hay otra cosa en realidad más importante que un usuario o un consumidor” así mismo, “Es una estrategia seria la que aplicamos: Todo son sólo usuarios”. De acuerdo con el experto La empresa en sí tiene dos prerrogativas,  basadas en que “las herramientas empleadas por la organización sean seguras y compatibles, y que garanticen  que los usuarios realmente entiendan y quieran usar tales herramientas. Con Dropbox, esto simplemente no es un  problema”. Para el experto el reto no es conseguir que la gente, el empleado, utilice la plataforma de Dropbox. El reto está en que la empresa la utilice. Es ahí donde entra Dropbox for Business. Este es básicamente el futuro de la empresa, toda la plataforma tuvo que ser reconstruida para dar cabida a la nueva estructura de la identidad personal y de trabajo; con nuevas funciones empresariales como el borrado remoto y la auditoría y, fundamentalmente, las API de la plataforma ampliada para desarrolladores. Una parte importante del atractivo de Dropbox for Business es que se centra en una experiencia sencilla para el usuario;  y tal logro se ha tomado tiempo. Pero el resultado final es una plataforma que da a los CIOs las herramientas que necesitan para administrar una implementación de Dropbox en la empresa, una vez que los usuarios ya las han traído al lugar de trabajo. Sin embargo, no está realmente interesada en la venta a los CIOs
. El proceso de pensamiento va un poco más a esto: Gracias a BYOD y a la proliferación de Shadow TI: tecnología adoptada sin la aprobación o conocimiento del departamento de TI, la gente está atrayendo más y más de sus servicios en la nube personal para trabajar. Así que, en lugar de tratar de restringir el uso a los empleados de Dropbox, se buscará que estos la utilicen y aprovechen sus ventajas para los negocios y los controles adicionales que aporta a moverlo desde el reino de la sombra a la luz. Si lo construyes, ellos vendrán, o eso espera Dropbox. No obstante, la estrategia depende de la ubicuidad, que sólo funciona si la gente sigue viniendo a la plataforma. Cuantos más usuarios, más aprovechará la empresa. Aquí es donde entra la estrategia de la plataforma de Dropbox pulg. Es todo sobre conseguir más usuarios. Sean Lynch, del equipo de la plataforma de Dropbox for Business, dice que el objetivo es que Dropbox “apoye la mayor cantidad de casos de uso como sea posible”, con la idea de ser el más amplio ecosistema de almacenamiento en la nube en la tierra. Es por eso que Lynch hace hincapié en la importancia de las Drop-ins de Dropbox, un gancho que permite a cualquier desarrollador agregar funcionalidad de almacenamiento de Dropbox para cualquier aplicación con sólo unas pocas líneas de código. Del mismo modo, la API de almacén de datos permite a los desarrolladores almacenar y sincronizar los elementos estructurados como estado de la aplicación, los contactos y las bases de datos en la nube Dropbox. Cabe mencionar que para el usuario final lo más importante  es que toda su vida, digitalmente hablando, está a buen recaudo con un tercero, con el que los datos no sólo están disponibles en cualquier lugar, sino que además también está disponible para nuevas aplicaciones que también extraen datos de su nube. De hecho es una protección contra el dispositivo y la aplicación del lock-in que también mejora el acceso de los usuarios a los datos. Para más información visita cioal.com Marketing    

Leer más

Temas: Enterprise 2.0, Lo más nuevo, Seguridad

El parcheo del ataque "0 Day" de Internet Explorer fue víctima de una APT

Publicado por marketing on 15/05/14 16:50

Cuando Microsoft publicó una actualización fuera de banda de seguridad para parchear la vulnerabilidad de día cero en Internet Explorer el pasado 01 de Mayo, fue revelado por los investigadores de la compañía de seguridad
FireEye que esta falla estaba siendo explotada activamente por atacantes que tomaban como blanco y las empresas financieras y firmas de defensa. Ante esta situación, se limitaron a compartir más detalles acerca de estos  ataques, sin embargo dieron a conocer que los atacantes pertenecen a un grupo sofisticado que ha sido el primer grupo en tener acceso a un número selecto de  navegadores con  vulnerabilidades de Día 0, por ejemplo IE , Firefox , y Flash. Cabe mencionar que
"Este grupo de delincuentes es muy eficiente en el movimiento lateral y son difíciles de rastrear, ya que normalmente no reutilizan comandos en la infraestructura. Cuentan con un numero de “backdoors” que incluyen uno conocido como Pirpi". Después de algunos días, FireEye revelo que se han descubierto nuevos agentes de amenaza usando el exploit en los ataques y se han ampliado los sectores a los que apunta. De igual forma, en la conferencia AusCERT que se celebra esta semana en Australia, la compañía ha confirmado que al menos dos entidades de Australia también fueron blanco de los mismos ataques, y el grupo dio el exploit mediante una operación de "digital quartermaste" cuya existencia ya era conocida desde el año pasado. Para más información visita net-security.org Marketing    

Leer más

Temas: Amenazas, Enterprise 2.0, Lo más nuevo, Seguridad

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?