cxocommunity

Por Lic. Federico Iturbide, CISM En los últimos tiempos se incrementó el envío de "phishing" por Internet (e-mail falso simulando provenir de un banco real, enviado por estafadores). Estos correos buscan que los usuarios ingresen sus datos de "e-banking" ("home banking" o banca por Internet) en sitios Webs especialmente diseñados por ciber-delincuentes y así obtener dichos datos y el dinero de las cuentas disponibles. Durante estas semanas, se ha producido un ataque masivo de "phishing" sobre una de las entidades más importantes que opera en nuestro país. Es por ello, que les acerco algunos consejos para que ninguno de nosotros sea víctima de estos engaños... - Ignorar emails, llamados telefónicos o mensajes de texto al celular donde nos soliciten claves o datos personales. Los bancos nunca solicitan claves o PIN de acceso por esos medios. - Para ingresar a un "home banking", abrir el navegador de Internet e ingresar al sitio Web del banco en forma manual. Nunca hacer click sobre los enlaces de los emails. Los bancos no suelen enviar enlaces de acceso a sus sitios en dichos correos. - Antes de ingresar información confidencial, verificar que se trate de un sitio seguro. Para ello, constatar que la dirección Web comience con https://, que en la barra inferior del navegador aparezca un candado cerrado y la validez del certificado de seguridad haciendo click sobre dicho candado. - No divulgar ni agendar la clave de acceso y modificarla frecuentemente - Cerrar la sesión de "home banking" y el navegador utilizando la función "Salir", al finalizar la operación. Nunca cerrar el navegador sin previamente finalizar la conexión. - Utilizar el teclado virtual si el banco lo ofreciera. - En caso de realizar transferencias o movimientos frecuentes, solicitar la tarjeta de coordenadas, e-token o solución similar que utilice su entidad financiera. - No es recomendable acceder al "home banking" desde PCs o conexiones inalámbricas (Wi-Fi) públicas o inseguras (locutorios, aeropuertos, bares, etc.). - Revise su resumen de cuentas en forma periódica para identificar cualquier transacción o extracción inusual. - Mantenga siempre actualizado su antivirus y antispyware. Es importante contar con un Firewall instalado y activado. - También recuerde de instalar las últimas aplicaciones de su sistema operativo y navegador. - Ante cualquier consulta o incidente de seguridad, no dude en comunicarse con el servicio de atención al cliente de su entidad financiera.

Hablar de seguridad de la información y no de seguridad informática, para no limitarla sólo a conceptos relacionados con la informática. En esta columna responde algunos temas claves, y plantea que una política de seguridad adecuada hace a una “buena práctica empresarial”. ¿Porqué seguridad de la información y no seguridad informática? Una organización básicamente esta compuesta de activos importantes que le permiten realizar sus actividades, generar rentabilidad y darle continuidad a sus negocios. Particularmente la información es un activo que tiene un valor fundamental para la organización y debe ser protegida de un modo adecuado. Llamamos seguridad de la información y no seguridad informática, a fin de globalizar el concepto de información, su uso y protección en todas las actividades de una empresa, y que no sea limitada solamente a conceptos relacionados con la informática, teleinformática o automática. La seguridad de la información protege a la información respecto a una amplia gama de amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores. La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse electrónicamente (servidores, PC’s, memorias, pendrives), magnéticamente (discos rígidos, tarjetas de acceso, disquetes) u ópticamente (CD, DVD), enviarse por correo electrónico, visualizarse en películas o videos, y comunicarse oralmente en una conversación de persona a persona. Sin importar la forma que posea la información SIEMPRE debe protegerse adecuadamente. La seguridad de la información debe conformase de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo (incluído usted) tomen las precauciones necesarias para preservar: - Confidencialidad: asegurando que solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas. - Integridad: asegurando que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento. - Disponibilidad: asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella. Si alguien roba un activo de información (laptop, informe, disquete, etc.), una persona no autorizada podría leer y difundir la información contenida. Desde esta situación podemos aseverar, en principio, que esta en peligro la confidencialidad de la información. Ahora si la persona no autorizada, corrompe, modifica o borra la información contenida, impactaría directamente en problemas de integridad. Finalmente, si la información contenida no fue copiada en otro soporte a modo de resguardo (backup), podrían sucederse problemas de disponibilidad, dado que ninguna persona accedería a esta información. ¿Cuál es la importancia de la seguridad de la información? Casos prácticos: 1. Presté mi clave y mi tarjeta de acceso a un compañero de trabajo, y este encontró información confidencial sobre planes estratégicos de la empresa, sin saberlo, lo divulgó entre sus amigos, uno de ellos es empleado de la competencia, y utilizó esta información mostrándosela a sus jefes que se apoderaron del plan y salieron primero en el mercado. Nuestra empresa perdió millones de pesos. 2. Baje unas fotos y otros archivos de Internet, sin tomar la precaución de pasarles un antivirus. Al parecer estos archivos tenían un virus “gusano” que deterioró la red dejándola inactiva por mas de una semana. 3. Un empleado de limpieza, durante la noche, descubrió papeles con información confidencial en los cestos de los directivos de la empresa. Estos papeles contenían información de los clientes actuales, y los próximos pasos a seguir con relación a un nuevo producto. Dicha información fue “vendida” a una empresa competidora. Un plan de acción que fortalezca la seguridad de la información impide que la información: - vaya a parar a las manos equivocadas - se pierda irremisiblemente - se utilice con fines no autorizados La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial de la organización. Las organizaciones y sus redes de información (informáticas o no) deben afrontar cada vez en mayor medida las amenazas en lo que a seguridad se refiere: fraudes por computadora, virus, delitos informáticos, robo de información interna, hackers, crackers, sabotaje, espionaje, vandalismo, etc. Estas amenazas van avanzando día a día con el avance de la tecnología, y se vuelven más sofisticadas de detener. Las vinculaciones de redes internas de la organización con otras redes externas (Extranet, Internet, Redes públicas), dificultan el proceso de control de accesos, obligando a que sean más rigurosos en relación a las personas y los activos que ellas utilizan. La seguridad de la información es un proceso que evoluciona con toda la organización, si bien esta coordinada y centralizada en el departamento de seguridad (IRM – Information Risk Management), involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma (cadena de valor completa). Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado análisis de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado. ¿Qué relación tiene esto conmigo? La seguridad de la información es asunto SUYO. Usted es directamente responsable de su manera de tratar las cuestiones de seguridad. Tratar la seguridad de la información de manera correcta, de acuerdo con las normas y principios, es una buena práctica empresarial. De esta forma se muestra a los clientes, accionistas y proveedores que pueden confiar en la empresa, puesto que sus empleados actúan con integridad y profesionalidad. La seguridad de la información es, con frecuencia, tan solo una cuestión de disciplina y algo que deberíamos recordarnos los unos a los otros. Bibliografía: Estándar ISO 17799:2000 y BS 7799-2:2000 http://cxo-community.com/

Contraseña: parece que necesita una nueva todos los días, y los requisitos para su creación son cada vez más complejos. La mayoría de los sitios web requieren inicios de sesión, y el cambio de contraseñas con frecuencia se ha vuelto obligatorio en muchos lugares de trabajo. Según un estudio reciente por Microsoft®, el usuario de equipo promedio tiene 6,5 contraseñas, cada una de las que se comparte a lo largo de 3,9 sitios diferentes. Cada usuario tiene acerca de 25 cuentas que requieren contraseñas, e ingresa un promedio de ocho contraseñas por día. Recordar todos esos números y letras puede presentar un enorme desafío. Afortunadamente, hay diversas maneras de ayudarlo a recordar su lista siempre cada vez mayor de contraseñas. Aquí hay una lista de métodos para intentar y algunos para evitar. UTILICE un software de administración de contraseña El software de administración de contraseña ofrece una variedad de funciones útiles: automatizar los inicios de sesión en sitios web, capturar contraseñas existentes o generar fuertes contraseñas aleatorias, y almacenar contraseñas con sus respectivos nombres de usuarios en un archivo seguro y encriptado. KeePass es un administrador de contraseñas que puede descargarse en forma gratuita. Es código abierto y disponible para Windows®, Linux®, OS X, y dispositivos móviles. Incluso puede operarlo desde una tarjeta de memoria USB. Conserva todas sus contraseñas en línea y sin conexión en una base de datos segura, sólo tiene que recordar una contraseña maestra. Las funciones de administración de contraseña también se incluyen en varias utilidades de software y paquetes de seguridad, como Norton Confidential de Symantec™ que almacena y codifica contraseñas. NO confíe en su explorador Las versiones más nuevas de los principales navegadores, incluyendo Firefox, Internet Explorer, Safari y Opera, todos ofrecen formas de almacenar su nombre de usuario o contraseñas para diferentes sitios. Si bien utilizar esta función puede ahorrar su tiempo y energía, tenga en cuenta los inconvenientes: no es seguro, y tampoco confiable particularmente. La mayoría de los navegadores han denotado fallas de seguridad que posiblemente podrían dejar sus contraseñas vulnerables para los piratas informáticos y fraudes electrónicos. Además, cualquier otro usuario con acceso a su equipo tendrá acceso automático a todas sus contraseñas y sitios web, entonces ésta no es una buena opción para equipos compartidos. Finalmente, recuerde que si su disco duro falla, perderá todos los datos de contraseña guardados en su navegador. NO use la misma contraseña para todo Sin importar cuan tentador sea, no use la misma contraseña para cada sitio que visita. No sólo esto se ha vuelto menos factible ya que los sitios web tienen requisitos variantes de contraseñas, es hacer prácticamente una invitación abierta a los piratas informáticos. Digamos que está utilizando la misma contraseña para su cuenta de banco y de correo electrónico. Si se encuentran comprometido su nombre de usuario y contraseña para el correo electrónico, es probable que el pirata informático pruebe la misma combinación en múltiples sitios, especialmente los principales sitios de bancos, para intentar e irrumpir en sus cuentas. Cuando una de sus cuentas está comprometida, usted potencialmente ha puesto todas sus cuentas en riesgo. TENGA un sistema para generar contraseñas fáciles de recordar El recordar contraseñas seguras puede ser tan simple como resolver un algoritmo estándar para crearlas. Primero, cree una contraseña base, quizás utilizando una combinación de las iniciales de su madre y la fecha en la que se graduó en la universidad. Luego, agregue una variación del nombre del sitio web en el que está iniciando sesión. Por ejemplo, si posee una contraseña base de "lsf051088", agregue las primeras y las últimas dos letras del sitio (faok para Facebook.com) y ¡listo! No es probable que la necesidad de contraseñas disminuya pronto, entonces es importante que tenga un método consistente para mantenerlas organizadas. Con un poco de prudencia y algunas herramientas útiles, nunca volverá a romperse la cabeza por esos ocho caracteres. Fuente: http://cxo-community.com

Por Oscar A. Schmitz CXO Community http://cxo-community.com Hoy en día estamos acostumbrados a que se prioricen las inversiones destinadas a la planificación de la seguridad informática, específicamente controles relacionados con antivirus, Internet, uso del correo electrónico, uso de contraseñas seguras, actividades de usuarios sensitivos, entre otros; dejando de lado los temas que a accesos físicos se refieren. ¿El control de accesos físicos es un problema menor? Según el informe 2320 de TRENDS - IDC, de las 117 empresas encuestadas: el 63.2%, tenían proyectos para el año 2004 relacionados con Seguridad Informática, el 72.6% lo priorizaban en segundo lugar, el 95% el segmento de Finanzas lo priorizaba en primer lugar. ¿Cuánto asignan estas empresas a seguridad física? ¿Cuánto específicamente a accesos físicos? Los proyectos mencionados tienen como gran objetivo fines tecnológicos, para el control y prevención de temas relacionados con antivirus, correo electrónico, accesos virtuales, acceso a Internet, etc.; pero poco se formula, y muchas veces no se cuenta con un responsable para la implementación de un esquema de seguridad física, en lo que respecta tanto a accesos físicos (que se tratará en detalle luego), como también a conceptos relacionados con seguridad e higiene, amenazas, contingencias o desastres naturales o creados por el hombre. En estos últimos tiempos hemos vivido situaciones extremas donde ocurrieron sucesos que quebraron los controles instalados, y que desencadenaron en consecuencia la posterior implementación de un conjunto de controles o medidas de seguridad en forma extrema, a fin de que dichos eventos no volvieran a suceder. Como ejemplo espantoso podemos mencionar los sucesos ocurridos el 11/9/2001 en el atentado a las Torres Gemelas (NY) y su consecuente proceso enérgico en lo relacionado a controles de accesos, en particular aeropuertos. Hablemos de las realidades de nuestra vida cotidiana. Nuestras casas resguardan elementos de valor monetario y sentimental. En algunos casos esos elementos valiosos son colocados en una caja fuerte, o en algún lugar de difícil acceso, a fin de impedir que nadie pueda tomarlos. Todas nuestras puertas y ventanas poseen llave o algún tipo de traba o cerrojo para impedir que personas del exterior puedan acceder al interior de la casa. Todos los días cuando salimos a trabajar o tenemos que realizar alguna actividad fuera de nuestros hogares, seguramente cerramos la puerta con llave. No deseamos ni permitimos que un extraño pueda ingresar cuando nosotros estamos ausentes. ¿Alguien de nosotros dejaría las puertas abiertas? ¿Alguien de nosotros le dejaría la llave a algún desconocido? En nuestro caso, ¿Dejarían la puerta de la caja fuerte abierta o esos elementos valiosos en un lugar visible para que cualquiera que concurra a nuestra casa los pudieran tomar? A medida que leamos las próximas líneas, pensemos en la respuesta a estas preguntas, busquemos comprender que no es un tema menor. ¿Qué entendemos por un acceso físico? Básicamente cuando hablamos de “tipos de accesos”, estos son clasificados en dos categorías con riesgos bien diferenciados. En primer lugar tenemos los accesos físicos, relacionados con permisos a empleados, terceros ó proveedores y clientes, a oficinas, centro de cómputos, depósitos, archivos confidenciales, áreas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lógicos a base de datos, aplicaciones en red, sistemas informáticos en general. El concepto de área segura se relaciona con accesos físicos, teniendo como objetivo impedir el acceso sin autorización, daños e interferencia a las instalaciones de la empresa y su información. Las áreas de seguridad serán menos o más seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de información que gestionen, donde la protección que se les dará dependerá de la evolución de riesgos efectuada y la factibilidad de implementación de mecanismos de seguridad en relación a su costo y al beneficio marginal que provean. Podemos clasificarlas de la siguiente manera: - Áreas abiertas: por ejemplo, estacionamientos. Le corresponde un nivel nulo de seguridad. - Áreas públicas: por ejemplo, recepción o entrada general a la empresa. Le corresponde un nivel bajo de seguridad. - Áreas estándares: por ejemplo, oficinas y salas de reunión. Le corresponde un nivel estándar de seguridad. - Áreas restringidas: por ejemplo, áreas técnicas y sala de comunicaciones o cableado. Le corresponde un nivel estándar superior de seguridad. - Áreas seguras: por ejemplo un centro de cómputos, búnker de seguridad y área de pagos o manejo de efectivo. Le corresponde un nivel seguro. - Áreas altamente seguras: por ejemplo, bóvedas. Le corresponde un nivel de alta seguridad. La protección de estas áreas, se lograrán con perímetros de seguridad física, determinados por barreras físicas pensadas en forma concéntricas a las instalaciones y a los activos de información que correspondan proteger. El concepto de concéntrico apunta a desarrollar barreras físicas de lo mas general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que será la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activación del protector de pantalla de su estación de trabajo, o resguardo de la información que maneja en su propio escritorio. Al desarrollar estas barreras físicas, se está estableciendo “el control de accesos físicos”, garantizando que solamente se permitirá el ingreso al personal autorizado. La decisión de que persona tiene acceso y en consecuencia a que activos de información, deberá ser un trabajo en conjunto realizado por el responsable de seguridad (IRM - Information Risk Management), los dueños o responsables de dicha información y el gerente correspondiente. Consideremos algunos puntos a tener en cuenta en este proceso de control en los accesos: - Los empleados internos de la empresa deberán poseer algún tipo de identificación visible, que permita que tanto el personal de seguridad como los mismos compañeros de trabajo, puedan determinar la presencia de un extraño. - Los visitantes, (sean proveedores, terceros, clientes, etc.), deberán anunciarse, registrarse en la recepción, la cual le suministrará una tarjeta identificatoria de visita. - Los visitantes, en todo momento, deberán estar acompañados por un empleado “identificable”. - Las tareas realizadas por proveedores dentro de áreas seguras no deberán ser efectuadas, a menos que estén acompañados y/o sin supervisión por un empleado “identificable”. - El acceso de los empleados (autorizados y no autorizados) y de terceros deberá ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significará la base de información para el control periódico de accesos. - Se deberá impedir el acceso a áreas seguras de elementos que permitan capturar información confidencial, como ser, equipos fotográficos, cámaras de video, grabadoras de sonido o audio, entre otros. - El acceso a los activos de información deberá ser asignado de acuerdo a lo que evalúe el dueño de dicha información, el gerente del área y el responsable de seguridad (IRM). - Las puertas y ventanas deberán encontrarse cerradas cuando no exista personal. - Instalar sistemas de detección de intrusos (sensor de movimiento, cámaras y alarmas), a fin de proporcionar cobertura en todo momento de las áreas en cuestión. Estos sistemas deberán ser mantenidos y controlados las 24x7 (24hs x 7 días a la semana). - La asignación de tarjetas de acceso (o el mecanismo de acceso que posea la empresa), en consecuencia los permisos de accesos, deberán ser revisados, controlados y consensuados periódicamente. - El uso impropio de las tarjetas de accesos no debe ser permitido (robo, pérdida, préstamos a otras personas o no uso de las mismas). Este accionar debe ser reportado y si fuera necesario deberá ser sancionado. - Todos los empleados de la empresa deberán tomar cursos y recibir la concientización en lo que respecta a seguridad física, y el riesgo e impacto para la empresa en caso de ocurrir algún tipo de incidente. - Los procedimientos de seguridad con relación a accesos físicos o relacionados con accesos físicos, deberán se controlados y actualizados periódicamente. ¿Qué relación tiene esto conmigo? Los visitantes de la empresa son su responsabilidad, por ello controlar a las visitas no es un tema ajeno: - Anuncie las visitas en la recepción. - Acompañe a los invitados desde la recepción, hasta las salas de reunión, como así a la salida una vez finalizada la visita. - Asegúrese que los visitantes deben estar acompañados en todo momento por un empleado calificado. Si encuentra una persona desconocida o en actitud sospechosa, pregúntele si busca a alguien, asegúrese que no pasee por las instalaciones de la empresa. Acompáñelo a recepción, y llame a la persona que está visitando dentro de la empresa. Repórtelo al responsable de seguridad (IRM). Las tarjetas de acceso identifican a empleados y los permisos de accesos a las distintas áreas seguras de la empresa, son la “llave personal” para acceder a diferentes fuentes de activos de información, por eso: - Asegúrese de llevar siempre consigo su tarjeta de acceso. - No la descuide y en ningún momento debe abandonarla, aunque crea que lo hace por poco tiempo. - No preste nunca su tarjeta. Usted es el único responsable por los accesos que ella otorga. - En caso de pérdida, reporte este incidente al responsable de seguridad (IRM). Cuando se ausente de su escritorio, guarde bajo llave la información restringida y confidencial que usted maneja. Usted no sabe quien estará en su escritorio en su ausencia. Evite que la información restringida y confidencial sea de público conocimiento Si encuentra bolsas o cajas abandonadas en áreas públicas, repórtelo al responsable de seguridad (IRM), podrían contener información confidencial y estar al alcance de extraños a la empresa. En caso de encontrar algún punto vulnerable que usted crea que pueda ser mejorada la seguridad física implementada, repórtelo inmediatamente. Recuerde que la seguridad nos compete a todos. Cuando se encuentre en la empresa donde trabaja o la organización donde estudia, piense como si estuviera en su casa… ¿La dejaría en manos de extraños? Bibliografía: Estándar ISO/IEC 17799:2000 y BS 7799-2:2000 Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=46&Itemid=151