Mitos y recomendaciones para una navegación segura a día de hoy

Os dejamos a continuación una serie de consejos para poder llevar a cabo una navegación web segura así como los 10 mitos sobre la seguridad en Internet. Muchos usuarios no conocen si navegan de forma segura, no saben evitar los sitios peligrosos, no utilizan una política sólida de acceso a Internet ni utilizan un navegador seguro, o no cuentan con la experiencia suficiente para reconocer un sitio peligroso con tan sólo verlo. Con que una sola de estas condiciones se cumpla, ya debería ser consciente de que se encuentra en un grave peligro.




Además, a pesar de encontrarnos en el siglo XXI, todavía están generalizados una serie de mitos sobre la seguridad en Internet que Sophos ha resumido en un informe y a los que ofrece la respuesta definitiva”,comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. Los 10 mitos sobre la navegación segura por Internet:



Mito 1: Internet es seguro porque no he sufrido nunca una infección por malware.

Esta idea está muy extendida, aunque lo que puede ocurrir en realidad es que el usuario no sea consciente de que ya está infectado. Muchos ataques provocados por los programas maliciosos están diseñados para robar información personal y contraseñas, o para utilizar el equipo para distribuir correo no deseado, malware o contenido inapropiado sin que el usuario sea consciente de ello.

Mito 2: Mis usuarios no pierden el tiempo navegando por contenidos inapropiados.

Más del 40% del uso de Internet en entornos corporativos es inapropiado y no se comprueba, lo que equivale a una media de 1 a 2 horas por día y usuario. Además, el número de casos de adicción a Internet va en aumento, y los cálculos actuales indican que hasta entre un 5 y 10% de los usuarios de la Red de redes, sufren algún tipo de dependencia de la web.

Mito 3: Controlamos el uso de Internet y nuestros usuarios no pueden evitar esta política.

Gracias a los servidores proxy anónimos, para los empleados es muy fácil eludir la política de filtrado web y visitar cualquier sitio que quieran.

Mito 4: Los únicos sitios que son peligrosos son los de pornografía, juegos de azar y otras páginas “raras”.

Las páginas de confianza que han sido secuestradas representan más del 83% de los sitios que alojan programas maliciosos. La mayoría de los sitios infectados son páginas web en las que el usuario confía y, de hecho, puede que visite diariamente y que son secuestradas para la distribución de malware.

Mito 5: Sólo los usuarios ingenuos son víctimas de infecciones causadas por el malware y virus.

Los programas maliciosos procedentes de descargas no autorizadas se activan de forma automática sin ninguna acción por parte del usuario que no sea, simplemente, visitar ese sitio.

Mito 6: Sólo se puede ser víctima de infecciones si se descargan archivos.

Actualmente la mayoría de infecciones provocadas por el malware se producen mediante una descarga no autorizada. El código malicioso se puede encontrar oculto en el contenido de la página web y descargarse y ejecutarse de manera automática en el navegador con el simple hecho de visitar la web en cuestión.

Mito 7: Firefox es más seguro que Internet Explorer.

Todos los navegadores están expuestos a los mismos riesgos porque, básicamente, todos ellos, son un entorno de ejecución de JavaScript, que es el lenguaje de programación que se usa en Internet y que, por tanto, utilizan los creadores de malware. Además, muchos ataques van dirigidos a complementos que se utilizan en todos los navegadores, como por ejemplo, Adobe Acrobat.

Mito 8: Cuando aparece el icono de candado en el navegador, es seguro.

El icono de candado indica que hay una conexión cifrada con SSL entre el navegador y el servidor, pero no ofrece ningún tipo de seguridad contra el malware.

Mito 9: La seguridad en Internet obliga a hacer un sacrificio entre seguridad y libertad.

A pesar de que Internet se ha convertido en una herramienta vital para muchas funciones empresariales no hay ninguna necesidad de sacrificar el acceso o la seguridad. Una solución de seguridad en Internet ofrece la libertad de conceder acceso a los sitios que los usuarios necesitan al tiempo que se protege la empresa.

Mito 10: Las soluciones de seguridad para estaciones de trabajo no pueden ofrecer protección contra las amenazas de Internet.

En esencia, el navegador de Internet es su propio entorno de ejecución: descarga contenido, lo genera y ejecuta scripts, y todo ello sin ninguna visibilidad por parte de productos de seguridad para estaciones de trabajo. No obstante, esto está cambiando, y se está abriendo todo un nuevo enfoque a la seguridad en Internet, sobre todo para trabajadores móviles que realizan sus tareas fuera de los límites tradicionales de las redes corporativas.

Cinco consejos definitivos para hacer frente a las amenazas web modernas

La educación y la concienciación de los usuarios, medidas preventivas y una solución moderna de seguridad en Internet son componentes integrales de una defensa completa con las amenazas web actuales. Desde MuySeguridad.net corroboramos los consejos de Sophos, que:

Se mantengan los sistemas actualizados y con todos los parches instalados.Una de las mejores maneras de hacerlo es mantener activada la función de actualización automática.
Se estandarice el software web. Se puede reducir de forma drástica la exposición a riesgos mediante la limitación o la estandarización de un conjunto básico de aplicaciones para interactuar con Internet: navegador, lector .pdf, reproductor multimedia, etc.
Se protejan los navegadores. Se debe familiarizar con los parámetros de seguridad, privacidad y contenido presentes en todos los navegadores. Algunos supondrán una molestia sin aumentar la seguridad, mientras que otros son importantes para limitar los ataques y amenazas.
Se aplique una política sólida de contraseñas. Una política eficaz consiste en hacer que nos e puedan adivinar ni descifrar fácilmente las contraseñas. Es importante que éstas sean largas, que incluyan números, símbolos y caracteres en mayúscula y minúscula, sin información personal y cambiarlas con frecuencia.
Se utilice una solución de seguridad eficaz para Internet. Una solución de seguridad adecuada reduce la exposición a las amenazas, protege contra sitios de confianza que pueden ser objetos de secuestros, y ayuda a proteger los recursos contra los abusos provocados por el intercambio de contenidos ilegales o la transferencia de contenido multimedia.

Fuente: http://muyseguridad.net/

¿Por qué hay que certificar la seguridad informática bajo la norma ISO 27001?

Al momento de explicar por qué certificar una norma internacional enfocada en la gestión de riesgos asociados a la seguridad de la información, como lo es la serie de normas ISO 27000 y en particular su capítulo certificable, es decir la norma ISO 27001, uno podría comenzar justificando su posición desde distintos ángulos.

Por ejemplo, analizando retornos de inversión en distintos escenarios de implementación, ventajas desde el punto de vista de costos, reconocimiento de la marca, aspectos regulatorios, relación entre la norma internacional y otras regulaciones locales, mostrar la sinergia entre distintos sistemas de gestión que probablemente ya se encuentren implementados o en camino de estarlo como ISO 9000, ISO 14000 o ISO 20000 entre otros.

Podríamos comenzar también por algo mucho más complejo: detallando cuáles son los riesgos que la norma ayudaría a mitigar, a partir de los cuales todos los demás aspectos se deducen de forma mucho más sencilla.

¿Pero por qué resultan tan difícil de describir los riesgos? Justamente porque no se quedan quietos, es decir, constantemente evolucionan.

Siempre están latentes, aunque no se dejan ver tan fácilmente.

De esta manera, si el día de hoy, como sugiere la norma, realizáramos una lista de activos, detalláramos todas las amenazas que los afectan, las vulnerabilidades asociadas a esas amenazas, y por último hiciéramos una valoración de los riesgos resultantes en función de su impacto y probabilidad de ocurrencia, podríamos asegurar que al otro día, esa valoración estaría desactualizada.

Y es por ese motivo que la norma comienza definiendo el sistema de gestión que servirá de base para administrar los riesgos, antes de comenzar a tocar siquiera cuestiones relacionadas a la seguridad: sistematizar el descubrimiento, tratamiento y mitigación de los riesgos, y sostener esas actividades en el tiempo, es condición necesaria para considerarse "mínimamente seguro", con todas las dificultades (y críticas justificadas) que expresarlo de esa manera podría acarrear.

Luego de haber implementado un sistema de gestión del riesgo, con todas las consideraciones mencionadas, incluyendo revisiones periódicas de un Comité de Seguridad que asigne recursos, verifique la implementación de los controles, propicie la mejora continua de los procesos, y ajuste políticas organizacionales que complementen las medidas de seguridad incorporándolas a un plan de capacitación y concientización para todos los actores que interactúan con la información de la compañía, tendremos apenas un vistazo a lo que significa contar con ISO 27001 en una organización.

Esta norma se relaciona con todas las áreas y procesos de la empresa, incluyendo Recursos Humanos, Tecnología y Legales, produciendo también uno de los cambios culturales (y políticos) más importantes de los últimos 10 años en las organizaciones en general, que es la separación de funciones entre las áreas de Tecnología y Seguridad, que debe reportar idealmente en forma directa al CEO y/o al Directorio.

Pero el objetivo de la nota no es hablar solamente de ISO 27001, sino también de por qué conviene certificar la implementación de la norma: ¿es que solamente con implementarla no basta?

Desde mi experiencia, la certificación agrega un componente fundamental, que son las auditorías externas: éstas son realizadas (idealmente) por auditores profesionales que día a día van ganando experiencia en auditar organizaciones en distintos mercados, países y tipos de negocio, aportando objetividad al sistema de gestión implementado a través de las observaciones y no conformidades que detectan.

En un sistema de gestión ISO, es deseable que aparezcan aspectos a mejorar, ya que de otra forma para qué desearía uno contar con un sistema basado en la mejora contínua, y cuando solamente se realizan auditorías internas, estamos perdiendo una oportunidad inmejorable para validar la efectividad de las gestión de riesgos.

Ahora sí podemos volver al inicio de la nota y listar todas las ventajas que con seguridad contaremos luego de obtener la certificación, siendo conscientes que detrás de un certificado, hay muchos más beneficios para la organización aunque a veces: "lo esencial es invisible a los ojos.

Fuente:http://tecnologia.iprofesional.com/

Spam ruso. De las novias por correo a las estufas de leña

Cuando hablamos de correo no deseado, a lo largo de los años se han ido creando tendencias o modas recurrentes, tales como la venta de viagra o medicamentos a una fracción de su precio, replicas de artículos de lujo, ofertas de empleo o, en el caso del spam que proviene de países de Europa del este (especialmente Rusia), proposiciones para establecer relaciones sentimentales por parte de señoritas supuestamente en busca de una pareja. Hasta hace pocos meses era frecuente ver como nuestra bandeja de entrada se llenaba de proposiciones de relaciones por parte de bellas jóvenes. Asimismo, era frecuente encontrarnos con una foto adjunta al mensaje que mostraba a la señorita que buscaba su media naranja fuera de su tierra natal.

No obstante, estos últimos días hemos recibido en nuestro laboratorio un nuevo tipo de correo no deseado desde Rusia que apela a nuestra caridad. Veamos un ejemplo:






Como vemos, el engaño clásico que consistía en entablar una relación a distancia con una joven rusa y, seguidamente, enviarle dinero para que pudiese salir de su país (cosa que nunca se producía) se ha visto sustituido por una historia bastante más dramática. Esto puede ser debido a la disminución del éxito del engaño anterior o a una prueba en el cambio de estrategia. En el mensaje se observan detalles, como la inclusión de una nota que explica el lenguaje usado, el no indicar de que localidad es la afectada, la mención de sucesos recientes como los incendios acontecidos en Rusia este verano y, por último, se juega con el temor al inminente invierno y las gélidas temperaturas que acarrea en esas latitudes.

Asimismo, la cantidad solicitada se especifica desde el principio y esta es menor que las solicitadas con los engaños anteriores. Es posible que este tipo de spam sea una prueba estacional, buscando depurar las técnicas usadas en este tipo de engaños, y que los ciberdelincuentes estén lanzando estos correos a modo de sonda, para ver si los beneficios son mayores que usando el método anterior.

De cualquier forma, desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores que no caigan estos engaños ya que solo buscan apelar a nuestros sentimientos para hacernos caer en la trampa y estafarnos.


Fuente:http://blogs.protegerse.com/laboratorio/

Europa quiere proteger a los usuarios de Internet

La irrupción de las redes sociales online en el panorama tecnológico y social ha motivado grandes polémicas respecto a la privacidad de sus usuarios, además de establecer un nuevo panorama ante el que, muchas veces, las legislaciones nacionales e internacionales no han estado a la altura de su evolución en todos los momentos.

El proceso que se encuentra cerca de culminar, empezó en 2002 y terminará con la reescritura de la directiva europea de protección de datos, marco que cada país adapta en su propia legislación dando lugar, por ejemplo y entre otras, a la LOPD (Ley Oficial de Protección de Datos) española.

En un documento de unas 20 páginas que puede consultarse en el sitio web de la Unión Europea (http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf), se resumen los principales retos que afronta la protección de datos actualmente y que no se daban en la anterior redacción de la ley marco europea (que data de 1995). Principalmente, estos consisten en las redes sociales, la publicidad online y el cloud computing.

En el documento, titulado Un enfoque global de la protección de los datos personales en la Unión Europea, se indica la forma en que se propone que los servicios online avisen de la recolección y tratamiento de la información a los internautas, así como las obligaciones que tendrán en cuanto al tratamiento y la seguridad de los datos y las condiciones de baja de un usuario.

En el caso de sufrir una filtración que lleve a hacer públicos datos personales de los usuarios del servicio o que estos caigan en manos de terceras partes, la propuesta de nueva legislación obliga a la empresa a dar a conocer públicamente el incidente.

El creciente uso de los servicios online de todo tipo, lo que se ha dado en llamar computación en nube o cloud computing, también ha provocado un fuerte cambio en el panorama de la privacidad de los datos de los internautas, puesto que ahora servicios como Google Docs o similares, pueden contener no solamente datos como nombres, apellidos y números de documentos nacionales de identidad, si no textos que hagan, incluso, referencia a terceras personas, situaciones e informaciones sobre empresas y organizaciones.

“Los métodos de recogida de los datos personales son cada vez más complicados y se detectan con más dificultad”, afirma el documento elaborado por la Comisión Europea, lo que da a entender que, actualmente, existe una gran actividad “oscura” de recopilación de datos, no informada ni al propio interesado ni a las autoridades. El documento europeo busca acabar con dicha actividad o, por lo menos, tener más y mejores armas contra aquellos quienes la practiquen.

Los servicios que emplean geoposicionamiento son también un fenómeno reciente que permite a las empresas conocer la situación del usuario y, por lo tanto, penetrar mucho más en su intimidad que solamente con el conocimiento de unos pocos datos. La propuesta de directiva europea también repara en dichos servicios.

Este documento será discutido, interpretado, reinterpretado y reconstruido para, finalmente, ser presentado al Parlamento Europeo para su discusión y aprobación. Es por ello que aún nos queda bastante hasta que el trabajo de la Comisión Europea se concrete en un marco legislativo, y más aún para que los diferentes estados que componen la Unión lo adapten a sus respectivas legislaciones. Estaremos hablando de unos ¿cuatro años, tal vez?

Como siempre, la presente iniciativa topará con el escollo de los servicios online cuyos servidores y sedes sociales se encuentren fuera de las fronteras de la Unión Europea.

Fuente: http://es.imatica.org/

Facebook revela ventas de datos de usuarios y bloquea aplicaciones

Algunos desarrolladores sobre la plataforma de Facebook han estado vendiendo Facebook UIDs o identificadores de usuario, lo que permitía personalizar la publicidad que se servía a los usuarios de los cuales se tuviera el UID. Según parece, Facebook descubrió esto mientras investigaba un bug de algunos navegadores.

Lo sorprendente es que la reacción de Facebook ante esto ha sido la de "bloquear 6 meses los servicios de Facebook" a los que trapichearon con información de los usuarios (cosa que por otra parte que podría ser delito). En la el comunicado de Facebook se dice que no se filtraron datos privados de usuarios por este mecanismo. ¿Será verdad esto? Sea como sea, es evidente el peligro de confiar la información privada a terceros cuya intención primaria no es salvaguardarla.

Pero Facebook quiere tener seguridad de que no pueden compartirlas con empresas publicitarias, por eso ha desarrollado una funcionalidad, que estará disponible la próxima semana, que evita acceder a datos personales a través de la ID. Facebook urge a todos los desarrolladores a pasarse a él antes de primero de año.

Facebook va a iniciar durante este tiempo de bloqueo una investigación y solicitará a estos desarrolladores que les faciliten sus prácticas de tratamiento de datos para realizar una auditoría que confirme que cumplen de nuevo con sus políticas de privacidad.

La red social que este bloqueo va a afectar a una docena de aplicaciones nada más, y que ninguna de ellas están en el top 10 de las más utilizadas. Desmiente así el rumor de que juegos tan populares como FarmVille esté implicado, aunque no da los nombres de las aplicaciones a las que se les va a impedir el acceso.



Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz14Dha2E00

Cursos online SGS Deusto muy interesantes

La Cátedra SGS Deusto a través de su plataforma online, ofrece unos cursos sobre:
1) Gestión de la calidad en las organizaciones (ISO 9001): http://www.setival.com/mailing/Ficha_Curso_Gestion_de_la_Calidad_Rev_MKT.pdf
2)Una visión práctica de la LOPD y el RD 1720/2007:
http://www.setival.com/mailing/Ficha_Curso_LOPD_Rev_MKT.pdf
3)Sistemas de Gestión de la Seguridad de la Información ISO 27001 y LOPD:
http://www.setival.com/mailing/Ficha_Curso_SGSI_y_LOPD_Rev_MKT.pdf
4)Hacking ético:
http://www.setival.com/mailing/Ficha_Curso_Hacking_Etico_Rev_MKT.pdf

Animaros y echarles un vistazo,no os arrepentireis!

El nuevo curso de HACKING ETICO de SGs y DEUSTO proporciona una visión técnica de la seguridad de la información, utilizando técnicas usuales como la recopilación de información y detección de la vulnerabilidad, tanto dentro como fuera de una red empresarial, así, la prevención se convierte en una herramienta eficaz para fortalecer la seguridad de la información en las empresas.
En la ultima Jornada de Seguridad al cuadrado el responsable de seguridad de telefónica menciono que esta comprobado que el 3% de la población tiene problemas sociales, cuantas de estos estaran trabjando en tu empresa?