Hemos encontrado esta infografía que recoge de forma muy completa las precauciones que debemos tener a la hora de mantener nuestros datos e información sensible a salvo de manos “largas”.
Etiqueta ‘seguridad’
Sólo el 40% de las empresas españolas utiliza el cifrado para proteger datos críticos
El cifrado de datos se ha convertido en una herramienta fundamental para la protección de información y más aún en la lucha contra el cibercrimen en el ámbito corporativo. Pero, de acuerdo con una encuesta realizada por B2B Internacional para Kaspersky Lab , sólo el 40% de las empresas españolas utiliza la tecnología de cifrado para proteger los datos críticos en 2012. Este porcentaje estaba en el 7% en 2011, por lo que el crecimiento en un año ha sido notable, aunque aún quede mucho por hacer.
El cifrado es la barrera defensiva definitiva: incluso después de que un cibercriminal se abra paso en la infraestructura TI de la empresa, este último obstáculo hace que sea muy difícil el acceso a la información crítica. Sin embargo, la mayoría de estas empresas aún no lo ha implementado de forma integral. Según la misma encuesta, sólo el 37,5% de los encuestados utiliza el cifrado completo del disco duro (también conocido como cifrado de matrices de información) y el 34% utiliza el cifrado de datos en dispositivos externos.
Este sistema de protección de datos sensibles en general ocupa el segundo lugar entre las medidas de seguridad que las compañías tienen previsto integrar en su infraestructura TI, únicamente superado por la protección contra el malware. A pesar de esto, en la actualidad la implementación de sistemas de cifrado es la gran ausente en el Top 5 de las medidas de protección utilizadas en las empresas españolas: antivirus, gestión de parches; protección de la estructura de red; políticas de recuperación de datos tras accidentes y jerarquías de acceso.
Estos resultados muestran que las empresas requieren modernos sistemas de protección de información, que son a la vez eficaces y fáciles de implementar. El cifrado es una de las tecnologías más prometedoras para reducir el riesgo de fuga de información crítica, pero es más eficaz cuando se incorpora a un sistema integral de seguridad para la infraestructura corporativa.
Puedes ver más datos en el Informe completo
¿Cuáles son son los retos en seguridad para 2012?
¿Qué nos espera para 2012 en cuanto a ataques a la seguridad online? Kaspersky Lab repasa los principales temas de seguridad del año pasado y, basándose en ellos, adelanta las tendencias 2012. En definitiva, echar la vista atrás para afrontar este recién estrenado año ofreciendo la máxima seguridad ante las futuras amenazas que aún están por acecharnos. Las principales amenazas serían:
1.- Aumento del “Hacktivismo”. Una de las principales tendencias de 2011 que, sin duda, continuará dando mucho que hablar en 2012.
2.- Hackeo de HBGary Federal. O cómo las contraseñas débiles y los sistemas de software anticuados unidos al uso de cloud convierten la seguridad en una pesadilla.
3.- Advanced Persistent Threats (APTs). Estos ataques confirman la consolidación del ciber-espionaje como práctica común entre altas esferas estatales.
4.- Ataques contra Comodo y DigiNotar. La confianza en las autoridades certificadoras (CA) ha estado bajo amenaza. En el futuro es muy probable que aparezca más malware de firma digital.
5.- Duqu y Stuxnet. Estado del arte de la ciberguerra. ¿Veremos el nacimiento de la Ciber Guerra Fría?
6.- Hackeo de la red Sony PlayStation. Los nuevos peligros escondidos tras la nube. Información personal accesible en un solo sitio, lista para ser robada en caso de desconfiguración o problemas de seguridad.
7.- Desarticulación de botnets y la batalla contra el cibercrimen. Las bandas organizadas de cibercrimen han comprobado cómo sus timos conllevan riesgos. Cada batalla contra el cibercrimen evidencia las limitaciones de nuestro actual sistema legal en lo que se refiere a afrontar el cibercrimen con contundencia.
8.- El aumento de malware para Android. Diversos factores convierten a Android en un objetivo vulnerable para el cibercrimen: crecimiento rápido, acceso gratuito a la documentación de la plataforma y escaneado débil en Google Market, facilitando la subida de programas maliciosos.
9.- El incidente de CarrierIQ. ¿Sabes qué hay instalado en tu dispositivo móvil? Un solo incidente nos mostró los pocos datos que tenemos sobre quién controla nuestra hardware.
10.- Malware para Mac OS. El salto de la amenazas de PC al sistema operativo de Mac ha sido una de las importantes tendencias de este 2011 y continuará en el año que comienza.
“He destacado estos hitos porque condensan a los principales actores de la seguridad TI 2011, que, sin duda, continuarán teniendo un papel principal en los titulares de ciberseguridad de este nuevo año“, explica Costin Raiu, director del equipo de Global Research & Analysis de Kaspersky Lab. “Los protagonistas estrella del 2012 serán los grupos hacktivistas, el ciberespionaje, los ataques dirigidos a las empresas, órganos policiales y judiciales, los principales desarrolladores de software y videojuegos (Adobe, Microsoft, Oracle y Sony), Google+ (vía sistema operativo Android) y Apple (plataforma Mac OS X)“.
Fuente: CasaCocheCurro
El control y seguridad de los documentos sensibles
Recientemente, ha tenido lugar una jornada organizada por la cátedra Logisman de Gestión Tecnológica Documental de la Universidad de Zaragoza y la asociación TecnoEbro, en la que se analizó la seguridad y eficiencia en la gestión de documentos. Iba dirigido a personal de pymes y de la administración pública y respondía a la inquietud creciente por controlar adecuadamente la documentación creciente en empresas y administración.
A comienzos de año, de hecho, un sondeo llevado a cabo por Imperva, alertaba de que tan sólo el 18% de los profesionales IT encuestados, conocía perfectamente el número exacto de documentos confidenciales que guardan y apenas el 39% tenía una ligera idea de la ubicación de ese tipo de documentos en su empresa.
Uno de los principales factores determinantes a la hora de pasar a un sistema de gestión documental, está siendo la capacidad de clasificar eficientemente este tipo de información sensible de la empresa, habilitar su acceso sólo a las personas adecuadas, y controlar perfectamente su paradero.Evidentemente, para poder contar con estas funcionalidades de la forma más automatizada y eficiente posible, es necesario contar con un sistema de Gestión Documental Inteligente como es Athento.
Finalmente, la posibilidad de trabajar con firma digital, contribuye a aumentar la seguridad en las gestiones con documentos confidenciales, pues evitando imprimirlos y volverlos a digitalizas, se disminuye el número de pasos o tareas susceptibles de pérdida o filtración de información.
¿Qué es el SaaS y cuáles son sus ventajas?
Coincidiendo con el reciente cambio de imagen de Pymecrunch, “SaaS for everyone”, queríamos realizar un post que dejara claro (para quién aún no lo tenga) en qué consiste este concepto de SaaS, el porqué de su éxito y cuáles son sus principales beneficios.
El Saas supone un cambio radical en el modelo de distribución de software conocido hasta el momento. Hasta ahora cuando una empresa, profesional o, simplemente, un particular necesitaba un programa lo lógico era ir a la tienda, comprar el software (normalmente en un cd) con las claves de licencia para un usuario, instalarlo en su ordenador y empezar a utilizarlo. Esto implicaba el utilizarlo sólo en un ordenador, tener todos los datos en ese disco duro con los riesgos que ello implica, no disponer de actualizaciones… El Saas aprovecha las ventajas que Internet nos ofrece para solucionar todas estas limitaciones.
¿Qué es?
El Saas (Software as a service – Software como servicio) es un modelo de implantación de software mediante el cual el proveedor concede a sus clientes una licencia de uso de un determinado software a cambio, normalmente, del pago de una cuota mensual. Tanto el software como los datos que nosotros introduzcamos estarán alojados en Internet (en los servidores propios del proveedor) de una forma totalmente segura.
Los clientes acceden al software a través de una aplicación o navegador web. Pueden, por tanto, disponer de su programa y sus datos almacenados en cualquier ordenador, en cualquier parte del mundo y en cualquier momento. Sólo necesitan conexión a Internet. Este tipo de servicio incluye además servicios adicionales: atención al cliente, actualizaciones y mejoras constantes, personalización del software, paquetes de ayuda…
Principales Ventajas del Saas
- Disponibilidad total. Únicamente necesitamos una conexión a Internet para acceder al software y a nuestros datos desde cualquier ordenador, en cualquier ubicación geográfica y sin limitación horaria. Ganamos, por tanto, también movilidad.
- Flexibilidad y adaptación del software a cada cliente
- Actualizaciones y mejoras inmediatas.
- Reducción de costes. Se paga por lo que se necesita.
- Menor inversión inicial. Pone al alcance de Pymes software cuyas licencias no hubieran podido pagar de otro modo.
- Seguridad. Es un tema de debate constante por el que muchos no se deciden a dar el paso a utilizar Saas. Aunque se piense lo contrario, es más fácil perder los datos al estropearse nuestro disco duro que alojándolos en los servidores del proveedor. La desconfianza a tener los datos en Internet es lo que debe ir desapareciendo poco a poco.
- Ganamos eficiencia. No perderemos tiempo en el mantenimiento, soporte y servicio técnico o resolución de incidencias. Esto es responsabilidad del proveedor.
En conclusión, son muchas más las ventajas que los inconvenientes. El mayor de estos últimos procede del miedo que muchas empresas tienen en tener sus datos en la “nube” (cloud). Cada vez son más, y seguirá creciendo, aquellos que acaban con la resistencia al cambio y se pasan al Saas.
Más seguridad en tu web o blog con un fichero .htaccess
Una de las grandes preocupaciones cuando creamos una web o blog debería ser la seguridad aunque muchos usuarios se olvidan de ella.
En los servidores linux que usan apache como webserver, (la gran mayoría de los que albergan webs) se puede aumentar fácilmente el nivel de seguridad creando un fichero del tipo .htaccess.
Si acudimos a la wikipedia encontramos que un fichero htaccess es:
El .htaccess (hypertext access), también conocido como archivo de configuración distribuida, es un fichero especial, popularizado por el Servidor Web Apache que nos permite definir diferentes directivas de configuración para cada directorio (con sus respectivos subdirectorios) sin necesidad de editar el archivo de configuración principal de Apache.
Hay cientos de cosas que se pueden configurar en un htaccess, pero las mas usuales son :
- Restringir el acceso a directorios
- Restringir el acceso a IPs o ISPs
- Creación de URLs Amigables (semanticas)
- Manejar errores del servidor.
- Crear redirecciones estáticas
- Controlar Cache
- Evitar hotlink
- Forzar Dominio sin WWW
Por ejemplo los blogs suelen usan el htaccess para crear direcciones amigables (tanto para buscadores como para personas), o podemos proteger con usuario y contraseña (más de uno) un directorio en concreto de nuestro servidor, etc…
Si no somos usuarios técnicos pero queremos tener mayor seguridad en nuestro blog o página web, o simplemente queremos usar alguna de las opciones nos permite, tenemos una forma de crear un .htaccess bastante fácil que nos explican en wwwhatsnew.
Comprueba la seguridad de un sitio web frente a virus y malware
Os traemos hoy dos sitios web donde podemos comprobar la seguridad de nuestra web. Ambos son sitios de conocidas marcas de antivitus que ponen online un escáner de segurida.
Con estos escáners online podremos saber si un sitio web está infectado o no, de esta forma evitaremos cualquier percance en lo que a virus y malware se refiere.
Estos analizadores online examinan por completo la web indicada, buscando posibles malware o virus entre el código HTML, descargas no autorizadas, etc.
En ambos el funcionamiento es bastante simple, tenemos que insertar la dirección de nuestra página web y realizaremos en pocos segundos un análisis. En ambos casos un dato relevante del que nos informan es el pais de ubicación de nuestro servidor.
Threat Labs Site Reports es el escáner online de webs de la marca AVG, una de las pioneras en su día en proporcionar un antivirus gratuito en el mercado.
Nos proporciona un análisis de los 30 últimos días, así como unas pequeñas estadísticas y un sitio de comentarios en el que podemos dar nuestra opinión sobre el sitio analizado.
Norton Safe Web consiste en otro escáner de seguridad, en esta ocasión de Symantec la marca que comercializa toda la línea de software de antivirus y seguridad Norton.
Al terminar nos mostrará un análisis con un listado de parámetros entre los que podemos encontrar virus, descargas, malware, troyanos, spyware, pishing, etc… vale la pena revisar la lista completa.
Descargar toda la información de nuestra cuenta de Facebook
Esta pasada semana en un evento retransmitido por internet, Facebook presentó varias novedades de las que os vamos a ir hablando.
Si hace poco os contábamos como descargar nuestros twitts al ordenador con un programa externo, para salvaguardarlos en este caso es la red social la que ha implementado esa opción entre sus funciones.
Ahora en Facebook vamos a poder descargar toda la información de nuestra cuenta, lo que incluye las actualizaciones de muro, los datos personales, fotos, y otros…
Tras todos los problemas sobre la privacidad y la propiedad de la información que publicamos en Facebook, con esta opción dan un paso adelante en ese sentido.
Con la nueva opción que ira apareciendo en el menú de las opciones de Configuración podemos recibir en nuestro correo electrónico un fichero con toda nuestra información publicada.
Por lo que se pudo ver, para darle un componente de seguridad el requisito para poder hacerlo es pasar una comprobación de seguridad con la contraseña y preguntas secretas.
Guía para la Seguridad en Cloud Computing en áreas críticas
Como últimamente os estamos hablando mucho de software en la nube (Saas) y de tener documentos online disponibles desde cualquier lugar con conexión a internet, hoy os traemos una guía de seguridad en la nube.
Una de las cosas que mas se le achaca al Saas son problemas de seguridadINTECO-CERT y por ello a través del podemos encontrar la traducción al castellano de esta guía elaborada originalmente por la CSA (Cloud Security Alliance).
Fruto del primer acuerdo de colaboración entre CSA e ISMS Forum nace la traducción al castellano de la Guía para la Seguridad en Cloud Computing en áreas críticas . Este documento, elaborado por los expertos de Cloud Security Alliance, ofrece una serie de orientaciones, buenas prácticas y consejos, destinados a profesionales interesados en la mencionada tecnología.
Desde la web de INTECO-CERT podemos encontrar esta y otras guías interesantes accediendo al apartado de Estudios e Informes, donde periódicamente se publican documentos de distintas organizaciones que son considerados importantes dentro del campo de la seguridad.
Skipfish, herramienta de google para evaluar la seguridad en aplicaciones web
Google acaba de liberar el código de una de sus herramientas de uso interno que permite evaluar la seguridad en aplicaciones web.
No es el único ni el primero, ya existen aplicaciones de este tipo como puedan ser Nikto2 o Nessus. Pero tratándose de la empresa que posiblemente tenga mas usuarios en aplicaciones web del mundo, es desde luego algo a tener bastante en cuenta.
Skipfish, que permite detectar vulnerabilidades en las aplicaciones web. Es es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google code habilitado para ello.
Su finalidad es detectar agujeros de seguridad en aplicaciones web.
El programa escanea las aplicaciones en búsquedas de errores de programación y vulnerabilidades, fundamentalmente inyecciones de de SQL y XML.
El programa realiza un trabajo de comprobación lanzando contra las aplicaciones unas aproximadamente 2.000 llamadas http por segundo.
Aunque desde Google Michal Zalewski, programador, nos avisa de que Skipfish no es una cura milagrosa.
Explica que en algunos casos no es la herramienta mejor herramienta o la única a usar, ya que puede tener ciertas carencias. Por ejemplo menciona que no esta programada para buscar errores de desbordamiento de buffer ni errores atribuibles a programas de terceros.
Visto en el blog de seguridad de Google.