sábado, 21 de noviembre de 2015

Los Seguros y las Pompas de Jabón


Como vereis me reengancho de nuevo y empiezo a alimentar otra vez mi blog compartiendo con vosotros algunas de mis experiencias. Si os fijáis, he añadido a la portada la Alegoria del Buen Gobierno que se conserva en el Ayuntamiento de la Ciudad de Siena donde se representa de manera muy gráfico como solo un buen gobierno puede crear una sociedad segura.

A lo mejor pensáis que tiene que ver esta Alegoria con el título y la imagen que os adjunto, y que se refiere a las Compañías de Seguros. A título personal he observado la inseguridad de los asegurados cuando pretendemos que nuestras Compañías de Seguros paguen lo que se tiene reconocido por contrato. Todas, o casi todas, se han apresurado a implementar rigurosas medidas para evitar el fraude a la que por lo visto sometemos los desalmados clientes a las pobres Compañías de Seguros, las únicas con beneficio en los años de la crisis. Os invito a una tarea muy sencilla... Buscad en Internet datos sobre números de reclamaciones, nivel de satisfacción de clientes, y otros datos con los que se miden la eficacia empresarial; vereis con sorpresa (por lo menos para mi lo ha sido) lo opaco del sector. Eso si, hay todo un ejército de abogados, especialistas, peritos, profesionales, etc., que viven muy bien a cuenta de estos fallos de las empresas de seguros, con lo que es un fraude de la Compañia hacia el asegurado, y no al revés, en toda regla y ampliamente admitido.
Con esto entendereis si las Compañías de Seguros se gúian por la Alegoria del Buen Gobierno o son una pompa de jabón que alimentamos entre todos...¡¡Os animo a leer (creo que no lo representan) "Cuatro Corazones con Freno y Marcha Atrás", de nuestro ilustre Jardiel Poncela!! Creo que el también entendía que estábamos montando una enorme y atractiva burbuja de mil colores...¡¡Cuidado no explote!!

Más allá de las listas de reputación IP: el nuevo reto del Administrador de Red

Una de las ventajas que nos ha traido Internet ha sido la posibilidad de estar en permanente contacto casi con cualquier sitio del mundo en cualquier momento.
Esto, que sin duda es una ventaja, se ha convertido sin embargo en un elemento con el que podemos ser atacados, nuestros datos pueden hacerse de repente visibles para todo el mundo y nuestro patrimonio totalmente vulnerable.
Para frenar esta posibilidad desde hace cierto tiempo se estçan publicando lo que se llaman las "Listas de Reputación de IP", es decir, aquellas listas de direcciones que de una manera o de otra resultan fiables.
RedIris lleva publicando lo que llama "La Lista Blanca de RedIris", es decir, todas aquellas direcciones de IP almacenadas en una base de datos que contiene millones de direcciones y en las que las entidades asociadas pueden decidir que hacer con estas listas, si bloquearlas o permitir su acceso.
Estas listas, de las que hay millones y sus servicios asociados permiten filtrar tráfico que no sea de interés para la organización y además valorar un sitio determinado.
¿Cuál es el problema? Que muchas veces no es posible filtrar el origen del tráfico no deseado porque es una compañía con la que estamos en contacto o tenemos un negocio en marcha.
El proceso de verificación de un determinado sitio Web lleva consigo un proceso que no es instantáneo con una problemática de reconocer otros sitios asociados que estén generando correo o accesos no deseados desde otros puntos.
Este es el nuevo reto de los adminsitradores de Red, asegurarse que a la organización entra solo el tráfico deseado y a la vez no se bloquea una relación empresarial que puede traer un buen negocio. ¿Dificil, verdad? 

jueves, 23 de abril de 2015

La Seguridad Informática y los Procesos

Estos días está teniendo lugar en San Francisco una de las mayores ferias monográficas de Seguridad Informática, que aglutina alrededor de 500 fabricantes que intentan llevarse un trozo de un pastel valorado en 80 Billones de Dólares. Estoy hablando de la RSA Conference.

A pesar del atractivo negocio, todos los días surgen nuevas noticias de ataques que se han llevado a cabo a pesar de los gastos contínuos en herramientas. A mi modo de ver hay una ausencia grande de procesos y de visión global de los riesgos, ya que la oportunidad de ataque varia continuamente. Su nuevo Presidente, Amit Yoran, ha identificado cinco elementos que ponen en evidencia una vez más la inmadurez del Sector y la clara necesidad de procesos que aseguren la operativa. Estos cinco elementos son:
  1. Las barreras de protección, por avanzadas que sean, no son suficientes. Los últimos ataques no han entrado vía malware.
  2. Es muy importante conseguir una visibilidad completa de la red, desde los puertos de entrada hasta la nube. Sin esta visibilidad 360º los ataques pasarán desapercibidos.
  3. La gestión de identidades y autenticación son más importantes que nunca asi como el control riguroso de accesos.
  4. Es imprescindible integrar todas las fuentes de información sobre los incidentes de Seguridad, tanto internos como externos.
  5. Valorar en primer lugar lo que es de verdad importante para el negocio y esto protegerlo y defenderlo.
Evidentemente la puesta en marcha de estos cinco principios requiere una metodología de gestión interna de Seguridad clara y que sea conocida por toda la organización.
El artículo completo se puede consultar en http://www.information-management.com/news/RSA-Security-Conference-Amit-Yoran-Recommendations-10026827-1.html?utm_campaign=daily-apr%2022%202015&utm_medium=email&utm_source=newsletter&ET=informationmgmt%3Ae4234894%3A1992135a%3A&st=email

miércoles, 25 de marzo de 2015

¿Has construido una casa de arena o de ladrillo? Mejora de Procesos de Seguridad


Resultado de imagen de imágenes del cuento de los tres cerditos


Durante 2015 la sociedad ha sido especialmente consciente de los ataques a los que puede verse sometida desde el punto de vista informático, campo que hasta hace bien poco estaba reducido a los expertos.
Ahora ya sabemos de la importancia de actualizaciones de por ejemplo nuestro sistema operativo o de las aplicaciones más utilizadas, de la necesidad de cambiar periódicamente contraseñas, de no compartir nuestros datos con extraños y muchos otros temas de igual interés.
Todos estos datos están empezando a crear una "cultura de la Seguridad" absolutamente necesaria para de verdad podernos proteger. En este entorno, el papel de fijar procesos estándar y conocidos por la organización, y si es posible, certificarlos, cobra especial importancia.

Empiezo el año invitandoos de nuevo a revisar vuestra casa a la vista del cuento de "Los Tres Cerditos". Una vez más, ¿como has construido tu casa" ¡Feliz 2016!

martes, 17 de marzo de 2015

Comprobado: La Seguridad es Agotadora

Los CISOs, Directores de Riesgos, CIOs, etc., están sometidos a diario a multitud de tensiones. Una de las nuevas causas de estress es la creciente ola de incidentes a las que tienen que hacer frente, y que parece que por más herramientas, marcos de referencia, y regulaciones que puedan existir siempre va a haber una oportunidad para el atacante. Esto es cierto y es así.
Sin embargo, en las actividades de Seguridad abordadas durante este último año, me he dado cuenta de que hay una causa inicial para este desgaste y es el desconocimiento del comportamiento de la organización en el uso de sus recursos tecnológicos.
Las razones más comunes para este desconocimiento que he podido identificar son:

  1. Las herramientas de Seguridad que utilizan las organizaciones son en general complejas, y requieren personal especializado capaz de interpretar los mensajes que generan.
  2. La información que proporcionan está muy fragmentada, con lo que es dificil identificar datos valiosos como las horas de más tráfico de la organización, los puntos de entrada y salida de información y los principales países con los que interactuamos.
  3. Una auténtica avalancha de datos procedentes de todas las fuentes, incluso las especializadas, orientadas a proteger las organizaciones.
  4. Una dificultad añadida de trasladar estos datos a acciones prácticas que permitan eliminar tráfico que no sea de interés para la organización.
  5. Dificultades organizativas a la hora de actuar frente a un incidente.

 Todas estas razones hacen que los responsables de Seguridad estén permanentemente en el ojo del huracán, teniendo que demostrar el riesgo de sus organizaciones a sus Direcciones Generales, y aunque se está creando mucha más sensibilidad respecto a este punto, nos queda todavía mucho que recorrer...

domingo, 25 de enero de 2015

Informar no es lo mismo que Filtrar

Con la reciente crecida de los ciberataques han proliferado las herramientas que de una manera u otra ayudan a prevenir este tipo de ataques. Es un buen momento para el mercado de la ciberseguridad. Sin embargo, no todas hacen lo mismo aunque utilicen los mismos argumentos.
¿Qué diferencia a una herramienta de otra, aunque todas incluyan espectaculares mapamundis?
La capacidad de actuar sobre los ataques; las herramientas que se están presentando estos días al mercado ofrecen información rica y precisa; sin embargo, "informar" aunque es una parte muy importante del proceso de comunicación de incidentes, no es lo mismo que "filtrar" y si se pierde tiempo entre que se detecta el incidente y se para el ataque, este tiempo es seguro que bien aprovechado.
El valor diferencial principal de PacketViper es no solo el informativo si no el preventivooperativo ya que una vez que se detecta el incidente se puede actuar sobre él inmediatamente y en tiempo real..y ¡esto si es una diferencia! Por eso os invitamos a solicitar una demo en la Web de PacketViper o contactar con nosotros para una presentación. Si deciamos hace unos meses que solo se puede actuar sobre lo que se conoce, ahora tenemos que decir, que los dos pasos en ciberdefensa deben de ir juntos para ofrecer una barrera eficaz.


martes, 13 de enero de 2015

El Nuevo Modelo de Internet de las Cosas

Si hace exactamente un año alertamos sobre los riesgos que los nuevos dispositivos inteligentes estaban planteando a la sociedad, comunicando un ataque que se habia realizado a los usuarios de electrodomésticos habituales, ahora las instituciones y Gobiernos están empezando a considerar las amenazas reales que surgen con la proliferación de este tipo de dispositivos.

Europa fue pionera en promover esta disciplina incluyendo posibilidades de financiación de este tipo de proyectos desde el 2005. Sin embargo ha hecho falta la inversión decidida de la industria para que empezara a tomar forma. Ahora, recientemente, la Chairman de la Federal Trade Commission ha identificado claramente algunos de estos riesgos tales como son:

  1. La acumulación de datos personales que pueden almacenar, capaces de permitir conocer los hábitos diarios de comportamiento e incluso el ¡funcionamiento de nuestro propio cuerpo!
  2. La vulnerabilidad que supone almacenar todos estos datos sin saber dónde pueden ir a parar. 
Para protegernos frente a estos ataques, propone una serie de medidas que estoy segura veremos adoptadas en el entorno europeo, tales como son:

  1. Diseño seguro desde el origen.
  2. Limitar la información que se puede recoger y eliminarla tan pronto como se haya utilizado.
  3. Proveer transparencia respecto a los riesgos tecnológicos inherentes en estos dispositivos.
 Si tenemos en cuenta que este tipo de dispositivos los tendremos en nuesta vida diaria y protegiendo nuestra salud, ¡más vale que nos enteremos cuanto antes y empecemos a protegernos! ¡Al fin y al cabo nuestro mundo es de cristal!


Os invito a consultar el documento completo en: http://techcrunch.com/2015/01/08/ftc-iot-privacy-warning/
http://techcrunch.com/2015/01/08/ftc-iot-privacy-warning/

miércoles, 7 de enero de 2015

¡Feliz y Seguro Año Nuevo! Arrancamos el Servicio SECURPORT

Cuando se publicó la Estrategia de Ciberseguridad Nacional en Diciembre de 2013, se identificó a las empresas medianas y pequeñas como uno de los principales elementos de ataque desde el Ciberespacio. Durante el ya terminado 2014 se notificaron multitud de ataques a distintos tipos de empresas, siendo uno de los más conocidos el que sufrieron los estudios SONY, por las implicaciones que ha supuesto respecto a las relaciones, siempre conflictivas, entre Estados Unidos y Corea del Norte.

IT Ultreia, siguiendo su vocación de servicio a la comunidad empresarial y social, empieza 2015 con un nuevo servicio,  SECURPORT, basado en su socio PacketViper y orientada a la empresa mediana y pequeña, asi como a colectivos vulnerables como pueden ser los colegios y hospitales, cuyo objetivo es durante un tiempo determinado mostrar el comportamiento de la organización respecto a Internet.

En definitiva nos interesa saber:

  • Con quien interactúa nuestra organización
  • Qué volumen de tráfico no deseado se recibe diariamente
  • Como nos comportamos respecto a otras empresas del sector
  • Como podemos mejorar y optimizar nuestra inversión en Seguridad
En estos tres años se ha demostrado ampliamente que cuando existe una comunidad es más fácil protegerse. SECURPORT es un paso decidido hacia este fin. ¡Esperamos contar con vosotros!