SEGURINFO 2010-1ra. jornada. SegurosALDia.com dice presente, y les alcanza a todos los visitantes y suscriptores, las 4 notas del primer día, brillante contenido de cada orador.
Mañana es el DÍA DE LAS ASEGURADORAS. Ahí estará MARÍA EUGENIA DRUETTA llegando para que todos se sientan cerca y no haya distancias. No estás en SEGURINFO 2010, pero estás en SegurosALDia.com.
Comenzó la VII edición de Segurinfo
El Congreso organizado por USUARIA se hace presente una vez más, reforzando su lugar como uno de los más importantes de Latinoamérica en el área de seguridad de la información.
Dos indicadores que nos muestran esta importancia, son que se trata del primer año en que el congreso se desarrollará en dos jornadas (previamente contaba sólo con una), y principalmente, con que este año cuenta con más de 3.000 inscriptos.
Como lo señaló Alberto Chehébar, presidente de USUARIA, durante el acto de inauguración, Segurinfo es sólo una parte de un proyecto más amplio, que comprende la organización en el futuro de un evento llamado ITSalud y la realización de unas segundas jornadas AmbienTIC, sobre el uso eficiente y ecológico de las tecnologías de la información.
Durante la misma apertura, disertó el Subsecretario de Tecnologías de Gestión de la Presidencia de la Nación, el Sr. Eduardo Thill, quien expuso los proyectos que ya están en marcha y los por venir a lo largo del 2010, con respecto a la implementación de políticas a nivel nacional destinadas a la mejora del contexto informático general en nuestro país. Principalmente la integración de los esfuerzos públicos y los privados es uno de los objetivos que si bien ya cuenta con avances, se espera a seguir desarrollándolo en el futuro.
Se anunció también un proyecto que se inicia el 1° de abril, de “despapelización” del Estado que reducirá el uso de este material en un 45%, en un plazo estimado de 5 años. Esta migración de plataforma requerirá también de los resultados de otro de los puntos marcados por el funcionario, acerca de mejorar la confiabilidad de la infraestructura de la autoridad de certificación de firma digital, además de la puesta en marcha hacia el segundo semestre de este año, de un registro y calificación para data centers.
De los anuncios más importantes que se realizaron durante la mañana de hoy, se destacan la intención de adherir prontamente al Convenio de Budapest, por lo que se está enviando una comisión a Estrasburgo, y la formación de equipos de investigación informática contra la pedofilia en la web y la trata de mujeres, uniéndose de esta forma a la lucha internacional contra estos flagelos.
La in-seguridad que nos faltaba: ¿cómo protejo el activo más preciado?
La primera jornada de Segurinfo 2010 abrió con la presentación de un orador destacado, el Sr. Wilson Grava, responsable en Latinoamérica para Symantec.
El especialista en protección de activos en información, disertó acerca de los inconvenientes traídos por el vertiginoso crecimiento de los volúmenes de transacción de datos, y la aparición de nuevos dispositivos portátiles de almacenamiento que ponen en peligro cualquier intento de hermetismo en la seguridad de los data centers.
Mientras en un pasado extrañamente no muy remoto los miedos de los encargados de custodiar las bases de datos de las empresas se encontraban relacionados a sucesos de tipo físico, como ser robos o incendios, hoy en día las preocupaciones pasan por las de tipo lógico, como el posible ataque de hackers o las filtraciones de información por parte de empleados infieles o simplemente irresponsables. El reporte de Symantec nos revela que los ataques cibernéticos son principalmente temidos en un 42% de los casos, mientras que los delitos lo son en un 18%, y los desastres naturales en un 21%.
Se calcula que la cantidad de información que se crea a diario se multiplica por dos año a año. La explosión en el crecimiento de estos volúmenes, tiene como consecuencia que su protección se vuelva más inmanejable, a la vez que significa también el crecimiento exponencial del malware que circula por nuestras redes. Entre los años 2006 y 2009 este crecimiento fue de la impactante cifra del 2060%. Como un ejemplo de las consecuencias de la evolución tecnológica en el aumento de los ataques, el crecimiento de la Argentina en usuarios de banda ancha, nos posicionó en el 3° puesto entre los países latinoamericanos generadores de malware, y en el 2° en los rankings de hospedaje de phishing y envío de spam.
Con este panorama, ante la irrupción de dispositivos de uso personal como el iPhone o simples tarjetas USB en el ámbito laboral, el peligro de infección, filtración, pérdida o robo de datos y propiedad intelectual aumenta notoriamente. Según el informe “Reporte de Symantec sobre el Estado de Seguridad Empresarial en 2010”, en Latinoamérica el costo anual de los ciberataques para las empresas, es en promedio de u$s 500.000, y éstas en muchas ocasiones prefieren no revelarlo al público para no generar temor, ni arruinar su imagen corporativa. Sin embargo, durante el reporte, el 100% admite haber sufrido un ataque al menos una vez, y el 89% de ellas ha sufrido uno en los últimos 12 meses.
La pregunta instalada entonces, sería ¿cuánto debo invertir para prevenir estos desastres? La respuesta si bien no es exacta ni uniforme para todos los casos, tiene un denominador común, y éste es la educación sumada a una política integral de TI. Debemos conocer quién tiene acceso a los datos sensibles, y saber qué hace con ellos, cómo y cuando, la disposición de una eficiente infraestructura (endpoints, e-mails, servidores, etc.) y finalmente la automatización de los procesos de seguridad.
Seguriexpo 2010: Fraude en canales electrónicos
Laureano Cuesta, del Banco Santander de Chile, y Luis Dasilva de Actizime, Brasil, alertan sobre el crecimiento y refinación de las técnicas de fraude en este canal que sigue en expansión.
Los diferentes procesos y transacciones que se pueden realizar a través de distintos canales bancarios abren posibilidades nuevas para la realización de operaciones fraudulentas. Hoy en dia ésta es una de las mayores preocupaciones que enfrentan los bancos, y con razón, ya que de la resolución de estos casos depende la credibilidad de la institución.
Los ataques son dirigidos en muchos casos, y no aleatorios, es decir, que se estudia el terreno a explotar de forma previa, aunque luego el proceso se compone de varias fases que se pueden desgranar y analizar separadamente. El ataque puede comenzar con los repetidos intentos de un robot por encontrar un agujero en la seguridad, y una vez encontrado, desencadenarse otra sucesión de fases de progresión hasta el momento del golpe propiamente dicho. En cada una de estas fases, diversos especialistas en fraude llevan a cabo maniobras de ocultamiento que hacen cada vez más difícil el hallazgo de responsables. Como ejemplo, se pone el caso de la clonación de tarjetas, uno de los blancos más comunes, en que el “clonador” vende la información a otra persona que será la encargada de continuar el proceso de transferencia de fondos, etc., borrando las huellas a medida que pasa de manos.
Por esta razón es necesario ubicarse siempre un paso más adelante en las innovaciones tecnológicas de prevención, ya que como señalaran los disertantes, a transacciones en tiempo real, hay que oponer detección en tiempo real.
“Enredados” en el trabajo: la otra cara de las redes sociales
Es sabido que las redes sociales como Facebook o Twitter son utilizadas en estrategias de marketing como medios de fidelización de clientes, pero también de empleados, al nivel interno de las empresas. Mientras hasta ahora sólo valorábamos los beneficios de esta tecnología, el equipo de Fortinet a través del Ing. Gonzalo García nos muestra la otra cara de su uso en el ámbito laboral.
La llamada “Generación Y” que comprende a los nacidos entre 1982 y 2000, forma parte de los nuevos códigos de la comunicación, basado en el “texting” y las aplicaciones en web, por lo que las aplicaciones de seguridad deben concentrarse también en este nivel y no sólo en el nivel de aplicaciones “desktop”. Gran parte de estas aplicaciones vía web corren a través de las llamadas redes sociales, y los especialistas en marketing y ventas han apostado el todo por el todo a adaptarse a sus ritmos y códigos. Según el estudio presentado por Fortinet, el 34% de los CEO de las empresas usa Facebook, y las empresas a su vez, en la misma proporción, utilizan ésta y otras aplicaciones vía web como YouTube o Twitter, con fines corporativos.
Sin embargo, los peligros asociados a su utilización están saliendo a la luz de forma reciente. Sin contar las técnicas de ingeniería social que se propician con el flujo de datos e información que se vuelcan en estos sitios, hay además otras amenazas mucho más concretas como la instalación de las famosas aplicaciones de terceros, que requieren de la aceptación de políticas de privacidad en extremo laxas (como los “direct messages” de Twitter que pueden redireccionarnos a sitios maliciosos), y que representan el vacío de seguridad más grande de las redes.
Lejos de tener que recurrir a geniales planificaciones para ingresar al entorno privado de una empresa, estas aplicaciones pueden tener fácil acceso a la intranet o a las bases de datos con sólo inocular una máquina de la red por medio de una de estas aplicaciones.
El uso de antivirus actualizados y preparados para frenar este tipo de ataques se torna vital, aunque esto sólo puede tener éxito en un ambiente de educación y soporte al usuario de las redes, que debe reconocer un mensaje o posible contacto engañoso, que podría perjudicar no sólo a la empresa donde trabaja, sino a sí mismo, revelando información vital de su vida privada.