Publicado el

La ciberseguridad empieza con usted

“La máxima seguridad es tu comprensión de la realidad”. H. Stanley Judd

Todos, de alguna manera, somos conscientes de las necesidades que se tienen en materia de seguridad en la red, casi siempre pensando en el ámbito corporativo. A título personal nos preocupa que una entidad bancaria no cuide nuestros datos, o nuestros activos. Nos aterra que la base de datos de las tarjetas de crédito y débito del banco, donde tenemos el dinero, sea objeto de un ciberataque o se encuentre en riesgo. Pero ¿Cuántos hemos tomado medidas para cuidar la información que utilizamos en nuestro entorno laboral? ¿Cuánta atención le prestamos a las capacitaciones sobre ciberseguridad que recibimos?

Al trabajar para las empresas, somos usuarios y custodios de datos, que pudiesen ser de gran atractivo para aquellos que se dedican a encontrar debilidades de seguridad en el entorno digital y a tomar lo que no les pertenece, sin que nos demos cuenta. Y aun cuando, siempre se menciona que el primer anillo de seguridad inicia con nosotros mismos, los hechos muestran que es precisamente, en ese primer anillo de seguridad donde existe mayor vulnerabilidad para las empresas. ¿Por qué sucede esto? ¿Cómo podemos mejorarlo?

Fabián Chiera, experto en ciberseguridad de Eleven Paths, estuvo de visita y nos compartió información valiosa sobre el tema, llevándonos a reflexionar sobre las debilidades que tenemos y debemos mejorar en materia de seguridad dentro del entorno laboral.

Más allá de las contraseñas, las políticas de uso y manejo de la información que debemos seguir por formar parte de una organización que tiene un entorno digital cada vez más grande, es necesario que recordemos que la vulnerabilidad a la que nos exponemos es un asunto de todos.

La ciberseguridad es mencionada con frecuencia en conferencias, en capacitaciones y en noticias. Durante un año fiscal promedio, al menos una o dos veces, se nos pide participar en formaciones o reuniones cuyo objetivo es alertar sobre posibles debilidades y concienciarnos al respecto.

El primer y más común, error que, usualmente cometemos, es tomar a la ligera esta información, no asistir por estar ocupados en “el negocio” o asistir y estar “mental y cognitivamente ausentes” respondiendo correos o mensajes en el móvil.

Impulsar la ciberseguridad en todos los niveles y áreas de la empresa es cada día más importante y urgente. Pareciese ser una actividad consecuente con las inversiones que en materia de tecnología se realizan cada año, pero muchas veces, se considera que es un asunto del encargado de seguridad, de los departamentos de tecnología y de aquellos que tienen cargos sensitivos como los que administran bases de datos de clientes y tienen interacción con usuarios.

Cuidar la ciberseguridad es una preocupación mundial, tanto así que en otras latitudes existen instituciones que se dedican a fomentar y promover esta práctica, Tal es el caso de Instituto Nacional de Ciberseguridad (INCIBE), entidad española que pone a disposición de todos un Manual de Concienciación sobre Ciberseguridad. Organismo creyente en que, “la ciberseguridad es cosa de todos, desde el eslabón inferior al superior, y está presente en todos los sectores,”, por esta razón, comparten buenas prácticas que podemos aplicar.


Insituto Nacional de Ciberseguridad-España

Escuchando hablar a Fabián, llamó poderosamente nuestra atención una frase que, aunque es sencilla, esconde una máxima de la gestión de la información que todos debemos convertir en un “motto” o lema de uso diario en nuestro trabajo.

“Si tienes bien en claro que lo importante son los datos, deberías proteger tus datos. Independientemente de dónde estén o en que formato estén.”


―Fabián Chiera
Fabián Chiera. Eleven Paths

Es necesario que todos en la organización seamos conscientes del valor de los datos, de la responsabilidad individual que tenemos al tener acceso a ellos. La confidencialidad y las políticas de cumplimiento deben ser conocidas, promovidas y claras.

El desconocer lo que involucra una superficie de ataque― comprendida como todos aquellos puntos susceptibles de atacar ― no nos hace menos vulnerables o menos responsables, al ser víctimas de algún incidente de seguridad.

“Sólo después de que los usuarios hayan sido engañados, realmente prestarán atención a la capacitación”.


―Todd Fitzgerald

No podemos dejar el trabajo de concienciar sobre seguridad en las manos del CISO (Chief Information Security Officer), es un trabajo compartido y de cumplimiento en el que todos podemos contribuir. Situaciones tan normales como bajar información y colocarla en dispositivos externos, dejar sin supervisión nuestras computadoras portátiles en sitios públicos, conectar dispositivos con accesos a la empresa en redes públicas(que no son seguras), comentar en redes sobre nuevos proyectos o productos de la empresa, ponen en riesgo la seguridad de toda una organización, justamente por un pequeño descuido de un colaborador, que muy probablemente tiene poca comprensión del tema seguridad y sus repercusiones para el negocio o la imagen de marca de la empresa.

El ciberespacio no conoce de barreras ni fronteras, eso lo saben muy bien los que se dedican a atentar contra las empresas y organizaciones haciendo uso de las vulnerabilidades de seguridad en la red.

“Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma segura, y es dinero malgastado, porque ninguna de estas medidas corrige el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”.


―Kevin Mitnick

Analizar la organización para luego de su comprensión, proponer planes que se actualicen y se cumplan en temas de ciberseguridad es primordial. Desarrollar y promover altos estándares de ciberseguridad basados en prevención, seguimiento continuo y charlas de concienciación periódicas, es una parte fundamental. La otra parte se encuentra en manos de los usuarios.

Dimensionemos la responsabilidad que tenemos, recordemos cada día que la ciberseguridad empieza y termina con cada uno de nosotros. Lo que haga o deje de hacer para proteger los datos que utiliza, contribuye en gran manera a todo el esfuerzo que se hace para cuidar los activos de la organización.

Imagen: Pixabay

Publicado el

Internet Seguro para todos ¿Utopía?

Esta semana se celebró el Día Internacional del Internet Seguro, “Safer Internet Day” (SID, por sus siglas en inglés), celebración que busca hacer un llamado a millones de personas con la intención de promover cambios positivos y que todos seamos conscientes de lo importante que es la seguridad en Internet.

“Juntos por un mejor Internet”, es el lema utilizado, frase que nos hace pensar en lo necesario que es colaborar desde todos los frentes para que los usuarios, más jóvenes e inexpertos, tomen conciencia de los peligros que involucra la red.

A medida que pasa el tiempo y la red tiene un uso cotidiano, se hace más frecuente obviar las medidas básicas de seguridad, que se deben tomar, al utilizarla desde nuestros dispositivos móviles y portátiles.

Aunque la campaña se enfocó en los pequeños, la seguridad en la red es más que un asunto para la protección de los niños, es un tema muy serio que involucra a todos los miembros de la sociedad.

Promover un uso más seguro y responsable en la red se hace necesario, seamos usuarios ocasionales o frecuentes. De hecho, entre más tiempo pasamos utilizando la red, nos relajamos y pasamos por alto extremar medidas para cuidarnos mientras estamos haciendo uso de ella.

En materia de protección física, ante ataques o situaciones que nos expongan, en el mundo real se nos dice que el primer anillo de seguridad lo hace uno mismo, en su entorno, funciona igual para temas de seguridad en la red.  Debemos asegurarnos de crear conciencia individual en el uso de nuestras redes sociales, al acceder a Internet por trabajo o por intereses individuales.

¿Qué medidas podemos tomar para protegernos en la red?

  • De las medidas más sencillas que podemos implementar se encuentran no facilitar datos personales sin antes revisar lo que involucra y leer la reglamentación que avala el manejo, la administración y gestión de nuestros datos por parte de la empresa que los solicita.
  • En esa misma línea, es necesario que tomemos conciencia al no suministrar datos de otras personas, de la empresa en la que laboramos, de amigos o contactos y extremar las medidas cuando se trate de información de menores de edad.
  • Hacer uso correcto de las contraseñas, dejar de anotarlas en sitios de alta vulnerabilidad como lo son las agendas o en “post it” que colocamos debajo de las computadoras portátiles o detrás de la pantalla del computador.
  • Cambiar las contraseñas periódicamente y utilizar combinaciones alfanuméricas.
  • En el ecosistema de las redes sociales es necesario que apliquemos la misma lógica que en la vida real, si no le damos acceso a nuestras vidas a desconocidos por seguridad, no hacer lo contrario al recibir invitaciones de extraños. Dejar de coleccionar seguidores sin que tengamos control de quienes están viendo o accediendo a los contenidos que publicamos o compartimos.
  • De igual manera, es prudente considerar que niveles de privacidad y acceso tienen los contenidos y nuestras redes sociales. Hay que recordar que un perfil público implica que nuestras acciones y nuestros comportamientos están expuestos al mundo sin filtros y son más riesgosos.
  • De compartir fotos o vídeos que deseamos sean vistos por otros, considerar que antes de etiquetar a personas es preferible contar con su consentimiento. En caso de fotografías donde salgan personas que no nos han autorizado a compartir su imagen es bueno reconsiderar su publicación.
Tomar conciencia de lo sensitivo que son los contenidos que compartimos en grupos o a titulo personal
Confirmar la procedencia y legitimidad de las aplicaciones que instalamos en nuestros móviles,
  • Utilizar más de una dirección de e-mail para distintos tipos de acceso a la red. No facilitar las direcciones de correo sin antes confirmar a quien se la proporcionamos.
  • A los más pequeños y no tan pequeños, es necesario recordarles que las personas que están al otro lado de la pantalla pueden no ser quienes vemos en sus fotografías de perfil.  
  • No facilitar direcciones de amistades o familia sin su permiso.
  • El uso de antivirus tanto en la computadora como en el teléfono móvil debe ser parte de nuestra rutina de protección y seguridad.
Cuidar lo que compartimos con otros y ser conscientes que nuestra intimidad puede ser vulnerada con acciones tan simples como una fotografía en manos de la persona inadecuada.

Con los hashtags #SID2019 y #SaferInternetDay se buscó darle visibilidad a la fecha.  La seguridad en Internet es responsabilidad de todos.

Las empresas y organizaciones están poniendo de su parte para lograr un ambiente más seguro dentro de las limitantes con las que se encuentran. Telefónica, está promoviendo el uso adecuado y conductas apropiadas al utilizar la red, tal cual lo muestran los mensajes que hemos compartido en esta entrada.

A título personal debemos tomar en cuenta que Internet más seguro es menos utópico en la medida que somos conscientes de las vulnerabilidades y actuamos preventivamente.

Referencias Consultadas:

https://www.saferinternetday.org/

Imagen: Pixabay

Publicado el

2018 un año de incidentes en Latinoamérica

«Es urgente contar con aliados estratégicos expertos y con capacidad de apoyarnos en la prevención, detección y control de los incidentes.»

El 2018 fue un año en el que la Ciberseguridad tomó gran importancia, debido a varios factores, como la puesta en marcha de normas para la protección de los datos personales en la Comunidad Europea, el uso inapropiado de redes sociales en campañas políticas, incremento de vulnerabilidades en dispositivos móviles, ataques dirigidos a países y la exposición en medios de muchos de los incidentes, esto sin duda está generando una conciencia colectiva sobre la importancia de proteger nuestra información.

Latinoamérica no es ajena a esta problemática, como se evidencia en el informe de estado de la ciberseguridad en el sector financiero, que publicó a principio de año la OEA, demostrando que el 92% de las entidades han sido víctimas de ataques cibernéticos. Sin lugar a dudas, los incidentes de México y Chile fueron los más sonados, por su impacto económico y su avanzadas características técnicas, como el malware detectado en operaciones contra sitios web de la banca chilena, que saltaba las protecciones de smartscreen que se usan.

Pero este no es el único tipo de ataque orientado a la región, que según estudios presentados en la conferencia de CyberCrimeCon, en la región de Latinoamérica se incrementó en un 60% el número de incidentes, logrando una medía de 9 detecciones por segundo, usando el ransomware y el cryptojacking como las principales herramientas de ataque, debido principalmente  la lenta implementación de las empresas en controles efectivos a las nuevas amenazas, convirtiéndolas en un blanco fácil para el crimen organizado.

En un estudio de Ransomware que realizo ESET en Latinoamérica, se puede ver que Colombia tiene el 30% de las detecciones de este tipo de malware en la región, debido a un evento puntual que inicio en agosto y que prácticamente iba dirigido contra ese país, situándolo en el séptimo puesto mundial de los países afectados por Ransomware.

Y fue un ransomware llamado Crysis o Crytowall, que en agosto inicio el ataque contra Latinoamérica, pero principalmente Colombia, usando técnicas de phishing e ingeniería social, lograban engañar a sus víctimas con un correo electrónico que indicaba una deuda con alguna entidad privada o estatal con un documento adjunto que contenía los detalles de la deuda. Y con este engaño Colombia pasó a ser el país más afectado por ransomware en agosto, disminuyendo paulatinamente en el resto del año.

Sin embargo, en la no deseada lista le siguen México y Perú, donde también fueron afectados por campañas puntuales, pero más diversas. En el caso de Perú son dos versiones diferentes de malware con los que han sido atacadas las empresas del país, pero con un agravante pues adicional a ser Ransomware tienen características de un malware denominado RAT, que permite control remoto a los atacantes sobre las maquinas infectadas.

En México es muy variado el espectro de malware usado para los incidentes, detectando los usados en Colombia y Perú se le suma GandCab, el cual es un peligroso Ransomware que tiene la particularidad de mutar según las necesidades del atacante y de las características de la víctima en un Cryptojacking que aproveche el hardware afectado para minar ilegalmente criptomonedas. Con lo cual se vieron afectadas varias instituciones en el país, generando perdidas no solo de datos sino economicas al no poder facturar sus labores por periodos prolongados de tiempo.

En el mundo móvil

Las organizaciones criminales usan las tendencias de tecnología para así mismo migrar sus atacas a estas plataformas, por lo que en los últimos 10 años se han enfocado en usar las tiendas de aplicaciones de iOS y de Android para desplegar malware y robar información. Por supuesto el 2018 no fue la excepción, pero con unas características diferentes, pues se han detectado menos muestras de malware pero más peligrosas. Como se ve en las imágenes a continuación del informe de ciberseguridad del segundo semestre generado por ElevenPaths

Donde para Android el 18% de las detecciones generan una calificación de riesgo igual o superior a 7 sobre 10 y en iOS el 56% tiene una calificación de riesgo igual o superior a 7 sobre 10. Detectando que cerca de la tercera parte de las aplicaciones con malware que se cargan en Google Play están disponibles por un plazo entre 22 y 42 días.

Esto supone un riesgo crítico para las empresas, teniendo en cuenta que la mayoría de los empleados usan sus dispositivos móviles para desarrollar procesos laborales sin ningún tipo de protección ni control por parte de las empresas.

Nuestros datos personales

Por último, este 2018 fue el año donde las fugas de información y el uso de datos personales sin autorización generó la mayor cantidad de noticias, siendo Facebook el centro de la mayoría de estas notas, pero desafortunadamente no es el único que tuvo estos incidentes, pues Google, Twitter, Equifax, Marriot, entre otros, expusieron la información de sus clientes y con ella su reputación.

El año pasado propició que estás empresas y las de su sector tomaran medidas de seguridad contundentes, como en el caso de Facebook, que cambió toda su política de seguridad en TLS, lo que supone una inversión considerable de desarrollo e implementación, aunque de cara al usuario no genera impacto ni entrega una sensación de mejoría en su privacidad, esta medida permite controlar mejor la seguridad de las conexiones y del cifrado de los datos en curso.

Google tomó una medida que se podría calificar como más drástica, al anunciar el cierre definitivo de Google+, su red social, debido a la exposición de la información de más de 500 millones de sus usuarios, en incidentes presentados en Octubre y en Diciembre.

Estos incidentes cada vez más comunes tienen unos costos económicos y reputacionales muy altos para  las empresas afectadas, según un informe de IBM en promedio a una empresa le cuesta US$148 cada dato filtrado, por lo que incidentes como los antes mencionados tienen unas repercusiones multimillonarias para las empresas y ahora con normas como el GDPR estos incidentes deben ser reportados en menos de 72 horas a cada uno de los usuarios afectados.

¿Qué podemos hacer?

Es evidente que las amenazas del mundo de la ciberseguridad crecen a un ritmo alarmante y que las medidas de control no se implementan con la velocidad y capacidad suficiente para contener de manera eficiente los riesgos. Por lo que, los expertos recomiendan que se tome un papel activo en las medidas de control, que no se espere que el incidente ocurra, sino que se tengan mecanismos para prevenirlos, detectarlos y controlarlos en el menor tiempo posible. Para que esto sea efectivo no pueden seguir actuando como “el llanero solitario en el salvaje oeste”, es obligatorio y necesario, tener aliados estratégicos expertos y con capacidad de apoyar a las empresas y organizaciones en la prevención, detección y control de los incidentes, solo así podrán combatir de manera efectiva las principales amenazas en ciberseguridad.

Escrito por:

Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths Cybersecurity Unit Telefónica
@dsespitia

Imagen Principal: Pixabay

Publicado el

¿Cambiaremos las llaves por cerraduras inteligentes?

“Las llaves son un símbolo de poder y seguridad, que nos permiten entrar a lugares restringidos”-Teodoro de Samos

La razón principal para cambiar las llaves de una residencia es sin dudas la seguridad. Es prudente hacerlo cuando las extraviamos, nos mudamos, cuando sentimos que la cerradura no está cumpliendo con su función o cuando hemos sido victimas de un robo.

La mancuerna llave-cerradura es y ha sido, durante años, inseparable. Muchos tenemos como mínimo dos llaves con nosotros; la llave de la casa y la llave del automóvil. Ambas tienen la misma función: abrir, cerrar y darnos la sensación de que nuestras pertenencias, nuestros bienes preciados, están seguros. Esta realidad la conocen bien los empresarios de la cerrajería, seguridad y suministro de productos relacionados.

El sector de la seguridad tanto física como virtual, se encuentra muy activo en el desarrollo de nuevas propuestas y soluciones, porque al igual que ellos, su contraparte no deja de buscar nuevas maneras de violar los mecanismos que nos hacen sentir relativamente seguros, dentro de nuestros hogares e intimidad.

Los mecanismos de seguridad existen mucho antes del siglo VII A.C. y se le atribuye a Teodoro de Samos la invención de la llave. Ese pequeño dispositivo que es capaz de darnos la confianza de salir y entrar, abrir y cerrar puertas a diario.

La tecnología digital, los avances, invenciones y artilugios están impactando a todos los sectores económicos, a la vida diaria y se han ido colando en nuestros hogares de manera silenciosa. Las cerraduras han ido adaptándose a los nuevos estilos de vida y al uso del móvil, integrándose a las soluciones de domótica cada vez más comunes.

Dos usos principales de la Domótica lo son la seguridad y la accesibilidad. En materia de seguridad se desarrollan redes encargadas de procurar proteger los bienes patrimoniales, la seguridad personal y la vida de los habitantes de las viviendas. Otro lo es la accesibilidad, con ella en mente se desarrollan aplicaciones e instalaciones de control remoto del entorno que favorecen la autonomía de las personas. Y es cada vez más común observar que el teléfono móvil es el centro de comando y control de todas estas funciones

Las cerraduras inteligentes hicieron su aparición en el mercado, adaptándose al ecosistema digital y buscando ofrecer opciones tecnológicas de seguridad física a sus usuarios. Los desarrolladores y comercializadores del sector encontraron un nicho de mercado interesante que se acrecienta con rapidez.  Pensadas para brindar mayor seguridad, mayor facilidad al abrir y cerrar, comodidad, hacer uso del dispositivo móvil, de las comunicaciones entre redes inhalámbricas e integrarse a los sistemas de hogares inteligentes.

Existen opciones de cerraduras con llaves y sin llaves, con comandos de voz, las que funcionan con las aplicaciones de asistentes personales más conocidos. Otras son activadas a través de PIN de seguridad, pero si existe una característica que parece deslumbrar a sus usuarios es poder controlarlas a distancia, observarlas y verificar su estado. Las opciones son diversas, sus funcionalidades también. Hoy es posible abrir una puerta sin utilizar una llave tradicional, tan solo haciendo uso del móvil y una aplicación, una tarjeta de acceso, un mando a distancia, un código alfanumérico utilizando un teclado y la lista de formas para acceder continua.  

Las clasificaciones mas populares de cerraduras son: Cerradura Inteligente Biométrica, Cerradura Inteligente con Contraseña, Cerradura Inteligente con Teclado Inalámbrico, Cerradura Inteligente Invisible, Cerradura Inteligente con Alarma, Cerradura Inteligente para Puertas De Vidrio, Cerradura Inteligente Motorizada.  Con este número de opciones, es importante enfatizar que la seguridad debería ser prioridad al seleccionar la que utilizaremos en casa.

No existe en la actualidad un sistema digital cien por ciento libre de riesgos y amenazas, y esto aplica a las cerraduras inteligentes. Los fabricantes lo saben y por ese motivo, invierten recursos económicos y tiempo, en investigación y desarrollo, para proveer de actualizaciones para las cerraduras y disminuir riesgos de hackeo.

Antes de invertir en una cerradura inteligente, sugieren los expertos, que el futuro usuario se asegure de que las contraseñas no se transmitan en texto plano (sin encriptar), que cuente con contraseñas anti-fuerza bruta alfanuméricas, utilicen protocolos de seguridad que encripte la clave de apertura, que los paquetes de datos no sean malformados y propicien la aparición de errores que hagan que se abra por defecto. Recuerde que la criptografía es un elemento importantísimo al adquirir y hacer uso de ellas.

Tal cual está sucediendo con otros usos de la tecnología aplicada a la vida diaria, los cambios y el ensayo y error están presentes. La transición de lo analógico a lo digital es cada día más visible, y está presente en actividades tan básicas como abrir y cerrar las puertas de nuestras residencias.

Cambiar las llaves por códigos y sistemas inteligentes es una opción que nos ofrece la tecnología digital. Tal vez, más pronto de lo esperado, tendremos que decidir cuando la hacemos parte de nuestras vidas.

Imágenes: Pixabay

Publicado el

¿Cuánto cuidamos nuestra privacidad y nuestros datos?

Había luchado hasta la muerte por sus creencias: el derecho de todo individuo a la privacidad. ―Dan Brown


«La fortaleza digital» (1998)

A diario damos por sentado que nuestra privacidad es un derecho y que nadie debe conocer aquello que no deseamos que sea conocido. Nuestra intimidad, nuestros datos médicos, nuestro salario, cuentas bancarias, nuestras rutinas de vida, nuestros hijos y más. Es así, como encontramos un grupo de situaciones, informaciones, conductas y otros, que son de carácter privado. Lo privado no es dominio público e inclusive las leyes penan a aquellos que se adentran a sitios etiquetados como “propiedad privada”, pero todo parece cambiar cuando estamos en la red.

Desde hace unos días vengo reflexionando en la privacidad y en lo poco cuidadosos que, pareciese, somos cuando estamos en la red. Comparto algunas preguntas que, como usuaria de dispositivos móviles, cada vez más poderosos, me he hago. ¿Por qué facilitamos de buena gana datos? ¿Por qué hacemos publicas nuestras ubicaciones y gran parte de lo que realizamos a diario? ¿Por qué aceptamos términos y condiciones para acceder a una aplicación sin siquiera leerlos? ¿Por qué no nos detenemos a pensar a que información desea acceder la aplicación de moda antes de autorizarle el acceso?

Según definición, la Privacidad en Internet se refiere al control de la información que posee un determinado usuario que se conecta a la red, interactuando con diversos servicios en línea en los que intercambia datos durante la navegación. Hasta aquí parece sencillo, tenemos control sobre la información, pero todo cambia cuando analizamos si realmente controlamos la información que compartimos o no, cada vez que utilizamos internet, entramos a una aplicación o red social.

En la misma definición de Wikipedia citada anteriormente, amplían el concepto al mencionar que “Implica el derecho o el mandato a la privacidad personal con respecto al almacenamiento, la reutilización, la provisión a terceros y la exhibición de información a través de Internet.”

Para todo usuario es importante saber que implica la privacidad y cómo cuidar de la suya en la red. ¿Lo sabemos realmente? ¿Cuán serio lo tomamos?

En Internet la privacidad es un subconjunto de la privacidad de los datos. Implica información de identificación personal o información no personal, como el comportamiento de un visitante en un sitio web, es decir que hacemos mientras visitamos una página, si abrimos o no otros enlaces, si cierra o no los anuncios, y el tipo de información que usualmente buscamos,.

Cuando se habla de Información de identificación personal se refieren a cualquier dato que pueda usarse para identificar a un individuo. inclusive el famoso reconocimiento facial, la huella dactilar y el “eye tracking”, Si usted las utiliza debe saber que esas aplicaciones y soluciones guardan sus datos, no cualquier dato, los que le hacen único.

Mediante cookies, bugs, tracking mercadológico, spam y los navegadores se recopila información. No olvidemos que estos recursos están presentes y con las nuevas regulaciones de privacidad, nos lo hacen saber al momento de acceder, solo que no leemos por tener prisa o simplemente porque no lo consideramos. Tanto los proveedores de Internet como los operadores de sitios en la red tienen la capacidad de recopilar nuestros datos e información. No es un secreto, casi todo lo que se transmite por Internet genera rastros, incluso los mensajes en foros, las conversaciones en servicios de mensajería con programas de encriptación débiles y las compras en línea.

La privacidad online tiene mucho que ver con quiénes somos, dónde estamos y qué hacemos. En Internet, los datos son muy valiosos, son deseados, bien valorados y pagados, por esa razón son objeto de robo (hackeados), venta, recopilación y análisis.

Investigando descubrí que hay empresas que se conocen como “corredores de datos” que recopilan y mantienen datos sobre millones de personas, los analizan, los anonimizan, los envasan y los venden sin el consentimiento ni el conocimiento del usuario (Aquí radica el problema, es completamente distinto cuando sabemos que se hace con nuestra información y en vez de apretar el botón de aceptar sin siquiera leer, somos conscientes y aprobamos) que no imagina lo que sucede. Los datos son utilizados para marketing directo publicidad dirigida y evaluación de riesgo crediticio, lo ideal sería que estuviésemos enterados y lo aprobemos.

¿Cómo hacernos más conscientes de nuestra privacidad y del valor de datos?

La respuesta está en aprender, en saber, en comprender y hacer uso de nuestro derecho a la privacidad, poner en práctica protocolos de privacidad a título propio.  El dominio del móvil y de la red nos tomó sin más información o preparación para hacerle frente, aún hoy se escriben las leyes y normativas que regirán el sistema social digital al que nos encaramos.  Y todo sigue cambiando rápidamente en el entorno.

Lo primero es leer, si leer la política de privacidad con atención para saber qué clase de información registra sobre nosotros esa aplicación, ese sitio, esa empresa que nos brinda un servicio, configurar las redes sociales con los filtros de privacidad que consideramos convenientes, decidir quienes ven o no lo que compartimos y que le permitimos realizar a esa plataforma con nuestra información. Dejar de compartir (sin razón aparente) nuestra ubicación o localización, salvo que sea consensuado y aceptado con una finalidad especifica.  Borrar el historial de búsqueda cada cierto tiempo, utilizar en ocasiones los modos incognitos y más que otra, conocer la política de privacidad de los sitios―empresas― con los que nos relacionamos.

Es necesario comprender y valorar nuestra privacidad y los datos, saber con qué sitios y porque los compartimos, pero sobre todo entender la política de privacidad de la empresa. Hoy no parece tan relevante, pero en un mundo que gira cada vez más hacia los datos, será uno de los requisitos necesarios para realizar nuestras rutinas, donde habrá tanto interacción física como virtual de forma automática.

«Consciente de que el ecosistema digital ha experimentado una espectacular transformación y ha modificado las relaciones sociales, comerciales y la capacidad de expresión y comunicación de los ciudadanos. Además, ha facilitado el acceso a una gran cantidad de información por parte de las compañías y los usuarios, y ha multiplicado la facilidad y velocidad a la que se puede trasmitir entre diferentes redes, empresas y países.» (Privacidad Telefónica)

Este volumen de datos supone una importante oportunidad de avance para la sociedad, pero también una responsabilidad para las compañías que, como Telefónica, gestionamos datos, bien como información personal, anónima o agregada.

Economía de datos y Plan Global de Negocio Responsable

«El compromiso con la privacidad y la seguridad de nuestros clientes y el trabajo diario para generar una relación de confianza con todas aquellas personas con las que estemos vinculados es una responsabilidad y a la vez un pilar fundamental de nuestra estrategia dentro de la economía de datos y forma parte de nuestro.»!

Los tres objetivos del compromiso con la privacidad de Telefónica

  1. La autorregulación de los derechos y la seguridad de los usuarios, más allá de las leyes locales e internacionales con el fin de hacer frente a los intereses y necesidades de nuestros clientes.
  2. La privacidad como base de una relación de transparencia con nuestros clientes.
  3. La privacidad como facilitador de la innovación, el bienestar y el desarrollo de la sociedad.

No olvide que sus datos son importantes, es un valor que poseemos todos, la privacidad es igual, tanto en el mundo físico como en el virtual, simplemente lo hemos pasado por alto. Conocer las políticas de privacidad, comprender que los datos son y seguirán siendo un activo valiosísimo nos hace conscientes de que es necesario aprender a gestionarlos, a utilizarlos y sobre todo cuidarlos.

Descargue la política de privacidad

Fuentes de referencia

https://www.telefonica.com/es/web/about_telefonica/centro-de-privacidad

https://www.telefonica.com/documents/153952/67280426/politica-global-privacidad.pdf/6fea1f96-5d36-31fb-b997-11123bdb8830

https://www.bbc.com/mundo/noticias-44806950

Imagen: Pixabay

Acerca de la autora

Publicado el

¿Puede estar una crisis financiera a un solo clic?

Sin duda las entidades financieras han sido históricamente pilares del sector económico más buscado por los delincuentes, debido a que un incidente les puede dar acceso a manejar grandes cantidades de dinero y puede generar un gran impacto social o reputacional, permitiendo al atacante obtener sus principales motivadores en un solo ataque.

A estas características descritas anteriormente se suma que el sector financiero es de las industrias donde la transformación digital ha llegado con mayor fuerza y rapidez. Existen bancos en todo el mundo que ofrecen facilidades de operaciones financieras a través de sitios web, pagos automáticos, aplicaciones móviles o mensajes de texto, entre otras. Entregando así, a los delincuentes una variedad de fuentes para perfeccionar los ataques hacia los usuarios del sistema o directamente hacia las entidades.

Esta combinación de factores ha aumentado la calificación del riesgo de los incidentes cibernéticos considerablemente, llevando esto a las mesas directivas de todas las entidades y a que los organismos de control de los países exijan a sus entidades financieras el cumplimiento de varios requisitos de control para la mitigación de esta amenaza. Esto debido no únicamente a la inminente amenaza, sino a la dependencia tecnológica del sector, aumentando la posibilidad de generar una crisis financiera con un clic.

Según estudios de las entidades de control de los sistemas financieros, los incidentes cibernéticos han generado costos por cerca de un billón de dólares, posicionando este riesgo como el de mayor costo para el sector financiero, por encima de los desastres naturales o del terrorismo.

Uno de los grupos criminales que en los últimos años ha sobresalido por el perfeccionamiento en los ataques a la banca es “Lazarus”, quienes están ubicados en Corea del Norte, según datos e información de inteligencia de agencias como el FBI. Este grupo ciberdelincuente se ha distinguido por métodos muy avanzados técnicamente y por generar un alto impacto mediático en sus operaciones, donde sobresalen el robo de las películas de Sony en 2014, el robo de 81 millones de dólares al banco de Bangladesh en 2016 y los ataques a las olimpiadas de 2016.

Desde 2016 el US-CERT (Equipo de respuesta de emergencias computacionales) alertó sobre ataques de Lazarus a las redes de cajeros electrónicos en todo el mundo, mediante una característica común en estas redes: el uso de Windows XP que permitía acceder a la red interna, buscando redes ocultas.

Y desde finales de 2017 este tipo de incidentes llegó a Latinoamérica, impactando principalmente al Banco Nacional de Comercio Exterior (Bancomext) de México en enero y al Banco de Chile en mayo. Ambas entidades aceptaron pérdidas de 25 millones de dólares; pero no fueron las únicas entidades afectadas en cada uno de los países, por lo que se cree que el impacto fue mucho mayor.

Los ataques tiene en común el grupo que lo realizó y el método usado en ambos incidentes; evidenciando problemas de seguridad no sólo a nivel técnico sino de respuesta de incidentes en las entidades de la región. En ambos casos los equipos de seguridad de las entidades fueron víctimas de un ataque inicial que sólo tenía como objeto distraer del real ataque a las finanzas de las entidades. En el caso de Bancomext se desplegó un malware que afectó el funcionamiento de los equipos administrativos, mientras que en el caso de Banco de Chile fue un ataque a los equipos de las sucursales que obligó a apagar miles de terminales.

Lo anterior se evidenció en el informe de la organización de estados americanos (OEA), que indica que el 92% de las entidades de la región han sido víctimas de un incidente cibernético, donde cerca del 37% de estos ataques afectaron las finanzas de la organización, resaltando que las entidades ya tienen este riesgo como uno de los más altos y que se realizarán las inversiones necesarias para mitigarlo en un corto plazo.

Estas cifras y los estudios realizados evidencian las debilidades de uno de los sectores económicos más críticos para los países, revelando un riesgo inminente de crisis social y económica que puede ser generada por el no aseguramiento de los procesos de transformación digital y que aunque se está tomando conciencia de esto, las medidas de control y mitigación no se toman de forma ágil y han dado pie para que grupos criminales aprovechen, saquen provecho económico y generen desconfianza en el sistema financiero.

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador

ElevenPaths – Telefonica Cybersecurity Unit

Publicado el

La seguridad de la información es responsabilidad de todos

En el día de la #SeguridadDeLaInformación, aquí les comparto algunos pensamientos y conclusiones.

«La seguridad de la información es responsabilidad de todos.»

¡Qué frase! Es una de las más dichas y sin embargo debe ser una de las menos aplicadas.  Comencemos primero por sumar a estar frase, todos aquellos que nos dedicamos a esta hermosa actividad.

Primero deberíamos preguntarnos: ¿Qué estamos haciendo por la seguridad?  ¿Realmente es posible tener un ciberespacio más seguro, no solo desde el punto de vista de los negocios, sino de cualquier actividad, donde todas las personas del mundo puedan tener la posibilidad de acceder a diferentes contenidos en la red (Internet) de la forma más segura posible?  Cuando reflexiono en la red “segura”, se me vienen diferentes pensamientos, y seguramente a ustedes también, pero uno de ellos que vamos a coincidir sería la privacidad y la protección de todos sus datos.

Estamos recorriendo un trayecto dentro de la historia de la seguridad de la información, donde vemos especial relevancia en la protección de la privacidad y los datos personales.  Donde hay ataques todos los días, los que intentan conseguir, o consiguen, los datos de muchas personas: datos privados, datos personales, identidades.  Este tipo de ataques que buscan robar información es historia de todos los días y cada vez con mayor frecuencia.

Por mucho tiempo, y aún en la actualidad, quienes nos dedicamos a la seguridad de la información hemos hecho de esta profesión algo místico, complejo, donde pareciera que muy pocos pueden estar en este ámbito, donde la competencia por ver quién es el mejor, quien es el más “descubridor”, pasan a ser las guías o la ruta a seguir en esta profesión.  ¿Y cuál ha sido el resultado?  Complejidad.  Muy complejos para toda persona que se conecta a las redes, muy complejo para transmitir, parece una utopía, algo imposible de hacer o lograr.  Esto se traduce en todo, miremos por ejemplo en los softwares dedicados a brindar seguridad: esta complejidad está inmersa en los cimientos de sus diseños, ¡y luego cuando llegan al usuario…wow! ¡Sí que es compleja la seguridad!!! Es lo primero que verá un usuario.

Veámoslo desde el punto de vista de una organización.  En este caso tenemos colaboradores que ven exactamente lo que les comento en el párrafo anterior, donde la aplicación de que cada aspecto de seguridad en su ámbito es complejo y casi casi, que, si la persona no es un experto en seguridad, difícilmente podría alcanzarlo.  ¿Cómo vemos reflejado esto?

  • Cuando nos comunicamos con directores: pocas veces nos comprenden.
  • Cuando nos comunicamos con colaboradores de otras áreas: ven que es muy difícil.
  • Cuando realizamos divulgaciones internas o concientizaciones: intentamos mostrar al usuario que esto es realmente fácil y qué con unos pocos pequeños cambios en su actuar diario, se protegería un montón.

Pero, con todo esto volvemos a nuestra frase inicial, la seguridad de la información es responsabilidad de todos.

Sé que estamos cambiando y buscamos un ambiente de seguridad cada vez, lo más protegido posible, teniendo en cuenta toda la carrera tecnológica que estamos viviendo, pero no perdamos de vista las bases.

Este día, al menos hoy, intentemos reflexionar sobre la manera cómo estamos llevando adelante estas actividades.

Aprovecho a felicitar a todos aquellos profesionales que hacen de esta profesión una forma de vida y a todas aquellas empresas y organizaciones comprometidas con la seguridad de la información

Fabián Chiera

Chief Security Ambassador

ElevenPaths

[email protected]

www.elevenpaths.com    @fabianchiera

Imágenes: Pixabay

 

Publicado el

¿Sobreviviremos al Alcatraz tecnológico?

“La estrategia tecnológica y de innovación no se hace por generación espontánea. Es un proceso sistemático, gradual y profundo por hacer un máximo aprovechamiento de las oportunidades de mercado que tiene la empresa en un entorno social.”-CEIPA

Si existe algo que se logra con la experiencia es el aprendizaje. En esta ocasión escribiré sobre el aprendizaje que se requiere para ser un estratega y lo relacionaré al mundo de la tecnología, pero considero que puede ser igual de funcional para otras áreas de negocio y la vida en sociedad.

Ayer en la tarde estuve por primera vez tras unos barrotes, en una celda que simulaba el espacio donde recluían a los presos en la prisión más temida del mundo: la famosa Alcatraz. Participé junto a otros «prisioneros» de una experiencia que da vida a las palabras y reflexiones que hoy comparto. Las que van mucho más allá de un rato de esparcimiento, integración y convivencia laboral. Me enfocaré en dos conceptos: estrategia y la capacidad humana de encontrar respuestas que todos poseemos.

Cuando se escribe un paper(artículo) científico se utiliza un Abstract con palabras claves, emularé esa fórmula para resaltar solamente las palabras que le dan vida a este post: “Estrategia”, “Alcatraz”, “Crear”, “Escape”, “Tiempo”, “Plan”, “Aprendizaje”. Vocablos que se repetirán con alguna frecuencia en este contenido.

En las empresas nos piden ser estratégicos, nos comparten al inicio de año fiscal la estrategia a seguir o nos dicen cuál es el objetivo por lograr. Corresponde así, a cada líder de área desarrollar una estrategia―cuya formulación ideal implicaría que todos los miembros del equipo estuviesen involucrados―exitosa. La experiencia y los hechos dicen que “bajamos la estrategia”, “permeamos al resto del equipo” y un sinfín de otras frases que nos han vendido con el tiempo ―qué hemos comprado sin siquiera chistar― cómo la manera de hacerlo correctamente. Ayer, la experiencia de intentar “escapar de Alcatraz” me hizo reflexionar en la pregunta obligada, esa que surge justo cuando nos ponen frente a las narices un término que crees conocer a cabalidad. ¿Qué es estrategia?

De esa sencilla pregunta derivaron otras que me acompañaron mientras intentaba conducir en medio del tráfico al final de la tarde. ¿Realmente sabemos qué es una estrategia? ¿Nuestra definición de estrategia es cónsona con lo que hacemos? ¿Soy realmente una estratega? ¿Qué debo mejorar para ser más estratégica? Por consecuencia lógica traté de responderme y hoy  les comparto lo que surgió de esa reflexión.

Según su definición la palabra estrategia deriva del latín strategĭa, que a su vez procede de dos términos griegos: stratos (“ejército”) y agein (“conductor”, “guía”). «Arte de proyectar y dirigir las operaciones militares.» Lo que alude directamente al seno militar de donde proviene, por lo que estar bajo custodia militar (simulada, durante el encierro de una hora en esa celda) y en busca de claves, pistas, y de un camino para escapar del encierro ―en grupo, porque los equipos nacen de los grupos ― es un excelente ejercicio de aprendizaje sobre nosotros mismos y sobre cómo afrontar los retos de la tecnología, y los obstáculos que supone el desconocimiento y la incertidumbre a los que nos enfrentamos en la actualidad.

La otra acepción o significado hace referencia a «una serie de acciones muy meditadas, encaminadas hacia un fin determinado.» Es esta la que utilizaremos para relacionarla con aquello que nos prepara ―en ese aprendizaje constante y necesario― para implementar estrategias exitosas en temas de tecnología e innovación.

A propósito, y sin un orden especifico, veamos las palabras y acciones clave en ambos planos: el tecnológico y el estratégico.

Tiempo:  Durante el intento de escape de una prisión como sucedía en Alcatraz, quien desee lograrlo debe contar―considerar―, medir el tiempo, debe tomarse tiempo para realizar varias acciones que le permitirán formular su estrategia. Y ha de saber que el plan que formule debe llevarse a cabo en un espacio de tiempo que es limitado, porque de lo contrario su plan fallará al ser descubierto por sus custodios.

La observación, el análisis, la toma y registro de datos, la conciencia de que el tiempo invertido para lograr desarrollar una estrategia es fundamental son básicos.  Con los cambios en materia de tecnología, con la disrupción e innovación del sector, el rápido crecimiento y desarrollo los planes de negocios se supeditan al corto plazo.  En nuestro caso en el juego simulado de escape contamos con 60 minutos para salir de la prisión, y era necesario hallar pistas, observar, meditar, ordenar pensamientos e ideas, colaborar, trabajar en conjunto con un solo objetivo, tal cual sucede en las empresas.  ¿Cuánto del poco tiempo que tenemos lo usamos para hacer alguno de éstos procesos? ¿Somos ordenados y disciplinados en el uso del tiempo?  Los japoneses son expertos en hacer uso disciplinado del recurso limitado tiempo y priorizan en el binomio orden-limpieza, antes de empezar a hacer cualquier cosa.

“Rápido crecimiento tecnológico y la disrupción obligan a las empresas a implementar planes estratégicos a corto plazo.”

Crear:  Al tener pocos recursos dentro de una celda la herramienta más importante es la mente, la capacidad “cuasi infinita” ―al no ser eternos―que tenemos para crear, para imaginar, para diseñar e innovar. Si a ese recurso le agregamos la velocidad natural con la que pensamos y tratamos de dar respuestas, nos daríamos cuenta de que somos una fuente inagotable de “Inteligencia Natural” en bruto y que tan rápido como se crean los nuevos mercados, podemos adelantarnos a los deseos de los clientes y responder a necesidades que el entorno en silencio nos está mostrando. Pero antes debemos observar, analizar, indagar y luego sentarnos a crear.

La realidad es que pocas veces lo hacemos, porque estamos ocupados resolviendo el día a día laboral. Hay corporaciones que en la actualidad y desde hace algunas décadas, descubrieron que tener en sus plantillas a una persona capaz de pensar sin que el barullo organizacional la contagie, es sumamente rentable. Estos pensadores natos, son los responsables de esas geniales ideas que representan millones de dólares en ganancias para esos conglomerados.

“La velocidad de creación de nuevos mercados exige a las empresas adaptarse, anticiparse y arriesgar.”

Plan:  Tras las rejas de Alcatraz era perentorio diseñar un plan, quizás los grandes escapistas lo hicieron y al no tener recursos para escribirlo sin ser descubiertos, les fue muy útil hacer uso de su mente, de su memoria. La misma que hoy día sub-utilizamos al dejarle al dispositivo móvil o al artilugio digital la tarea de recordarnos todo.  Sin un celular en la celda, durante la experiencia, nos obligaron a hacer uso de todos nuestros sentidos y a utilizar el cerebro, a comunicarnos, a escuchar y a articular ideas en orden.  En las empresas de telecomunicaciones y tecnología damos por sentada la importancia de la comunicación, pasándola por alto en muchas ocasiones. El mensaje debe enviarse, pero debemos asegurarnos de que el interlocutor leyó el mensaje y que lo comprendió, es parte del trabajo, confirmar ―justificarnos con la falta de tiempo para no hacerlo nos pasa factura, y el precio siempre es altísimo― que el mensaje llegó. Ser conscientes de que los artilugios digitales no reemplazan el contacto humano y que para planificar se requiere organizar ideas, encontrar y compartir recursos, pero sobre todo pensar, es clave para triunfar en un mundo abocado a la tecnología.

“Con el aumento del consumo de lo digital y diciendo que no tenemos tiempo para pensar, dejamos de ser planificadores, innovadores, recursivos o visionarios”. Dejamos de mostrar todas las competencias que tanto buscan los empleadores y requiere el mercado actualmente.

¿Contradicción? Usted tiene la respuesta

Datos:  Estudiar los escapes e intentos de escapes de Alcatraz les permitió a los encargados de la seguridad de la penitenciaria mejorar sus estrategias (de ambos lados se trabajaba en torno a la seguridad con objetivos diferentes.) Años más tarde el resto del mundo pudo conocer de la existencia de este sitio a través de libros, películas, noticias, etc., porque se guardaron y compartieron datos, historias, evidencias y experiencias.

Los elementos o insumos que llamamos “datos” en esta Era de Big Data y digitalización son en mayor escala y proporción, símiles a los que tuvimos para intentar escapar del encierro simulado. Buscamos respuestas, soluciones, estuvimos construyendo pensamientos e ideas a partir de datos. Los famosos insigths que los marketeros tanto promovemos están siempre allí, el reto es detectarlos y ponerlos a trabajar en pro de los clientes y las empresas.

En Alcatraz los datos pusieron en riesgo los planes de escape, la observación y el registro de ellos, por parte de los prisioneros dieron como resultado los intentos de violaciones de los sistemas de seguridad diseñados para ser inquebrantables.  La gestión de los datos por parte de las autoridades impidieron varios intentos de fuga.

La explosión de datos y su manejo representa para las empresas e individuos un reto, prestar atención a lo que esos conjuntos de datos tratan de decirnos es la nueva modalidad de pensamiento.

¿Qué hago con los datos? ¿A quién y por qué comparto datos? ¿Cuán consciente soy de la responsabilidad que conlleva el manejo de datos? Es un tema para no uno, si no varios artículos a futuro.

Escape y Aprendizaje de Alcatraz:  No hay una formula única para diseñar una estrategia, todos somos parte de un proceso de aprendizaje continuo que inició con la entrada de la tecnología digital en todos los sectores del quehacer humano. No es fácil escapar de la tecnología sin un plan, aunque sin un plan no es fácil hacerle frente.

De la experiencia y vivencia intentando escapar de Alcatraz aprendí y reaprendí, que todo recurso es útil, pero que la capacidad de pensar y crear del cerebro que poseemos es nuestro mayor recurso.  En ocasiones es necesario privarnos de todos los recursos y gratuidad que supone la tecnología en nuestras vidas para que valoremos las cosas que realmente importan.  Tal cual lo dicen todos los expertos futurólogos y líderes de negocios es la “Era del Humanismo, porque la tecnología ya está aquí”.    La tecnología no surge como lo hacen las florecitas silvestres, la tecnología surge de la capacidad humana de pensar, crear y hacer preguntas cuyas respuestas son esas soluciones que brinda.

Antes de finalizar este recorrido por el «Alcatraz mental» que supone enfrentarnos a la tecnología digital que nos encarcela―si la dejamos― y el pensamiento estratégico que tanto requerimos, les comparto un ¿Sabías qué? De Alcatraz:

  • Antes de ser prisión de máxima seguridad fue una fortificación militar española que guardaba la entrada de la bahía de San Francisco.
  • En la isla que da nombre a la prisión funciona aún el faro más antiguo de la costa oeste de los Estados Unidos.
  • La isla fue vendida en su momento, por solo $5,000 dólares americanos.
  • Se encuentran allí las primeras fortificaciones militares españolas.
  • La isla se convirtió en una prisión de la Agencia Federal de Prisiones en agosto de 1934.
  • Su uso como prisión duró 29 años.
  • Estuvieron recluidos allí criminales célebres como Al Capone, Robert Franklin Stroud (el «Hombre Pájaro de Alcatraz»), Bumpy Johnson, James «Whitey» Bulger.
  • El recluso que pasó más tiempo en Alcatraz fue Alvin Karpis.
  • Frank Morris y los hermanos Anglin se fugaron de Alcatraz el 11 de junio de 1962 y nunca más se supo de ellos. (Una carta pone en duda que se ahogaron/Noticia 2018)
  • El escape se recrea en la película La fuga de Alcatraz (1979) que protagonizó Clint Eastwood.

Al tomar cada día mayor importancia en nuestra vida, la tecnología bien utilizada es capaz de adaptarse a las exigencias de los consumidores, optimizar la relación con el cliente y apoyar la transformación de la que no podemos escapar. Aun sabiéndolo no dudemos de la capacidad de nuestras mentes para crear e innovar.

Nunca ha sido tan necesario hacer nuestras las palabras del autor de la novela El Retrato de Dorian Gray, Oscar Wilde escritor irlandés quien dijo: «No soy tan joven para saberlo todo». Recordemos que con tecnología en la palma de las manos solo nos resta seguir aprendiendo y ese aprendizaje se fundamenta en la experiencia “porque simplemente no sabemos nada, lo estamos aprendiendo todo.”

Imágenes: Pixabay

Sobre la autora:

Publicado el

Ciber-resiliencia: “Game Is Never Over”

“La resiliencia es la capacidad de un sistema, empresa o persona para mantener su propósito principal e integridad ante circunstancias radicalmente cambiantes.” ―Andrew Zolli y Ann Marie Healy

Generar planes estratégicos que propongan enfrentar ciber-riesgos con un enfoque de inversión de negocios y no un gasto, es parte del cambio de paradigma que deben propiciar los altos directivos y gerentes generales de las empresas que buscan transformarse digitalmente. Esta decisión deben tomarla de manera oportuna, porque los ataques de seguridad son sorpresivos e inesperados.

Al igual que sucede con otros temas inherentes a la organización, gestionar el riesgo supone invertir y estar conscientes de que las amenazas, las probabilidades y las ocurrencias se deben cuidar diariamente debido al valor de los datos y la fragilidad que representa la naturaleza humana en materia de protección informática y vulnerabilidad.  Afirmamos lo anterior, porque la realidad es que, en la mayoría de las organizaciones la seguridad se le atribuye al área de tecnología y por estar involucrados en el día a día, son muchos los empleados que descuidan cumplir con las acciones individuales para mitigar esas posibles fallas en los sistemas de seguridad.

Por lo general y más allá del conocimiento que puedan tener los directivos de las organizaciones sobre los procesos, las necesidades y los riesgos, se les sugiere apoyar decisivamente la adopción de un enfoque de Ciber-resiliencia, cuya mayor virtud es contar con la capacidad de conocer qué tecnologías se deben implementar en un mediano o largo plazo.  Cuando los empresarios logran comprender la importancia de los equipos especializados ―personas y soluciones de tecnología―para la prevención de ciberataques se implementan planes estratégicos coherentes con la realidad.

En Ingeniería se llama resiliencia a la unidad que mide la capacidad que tienen los materiales de recuperar su antigua forma después de haber sido deformados por una presión externa. Trasladando esta situación a la seguridad implicaría que la organización sea capaz de resistir, de afrontar, corregir y seguir funcionando tras haber sido objeto de un ciber-ataque. Lograrlo no es sencillo, permanecer anuentes y con un plan se antoja como la mejor manera de estar medianamente preparados, porque nunca se está en un 100% listo para lo imprevisto.

Se dice que una organización tiene resiliencia cuando posee la capacidad de resistir a la incertidumbre, a las crisis, a los cambios y a situaciones conflictivas. Esa entidad es capaz de aprender de las experiencias aprovechándolas como parte del camino hacia el progreso y la mejora, no solo como mecanismo de supervivencia ante las pruebas.

Resilio, resilire ¿Rebotan las empresas?

La palabra resiliencia deriva del latín «resilire» que significa ‘rebotar’. La resiliencia organizacional es la adaptación del término resiliencia al enfoque gerencial – administrativo de la organización, unión de términos que crean un concepto relativamente nuevo pero muy necesario.  Es la cualidad intrínseca, una característica innata, propia forma parte de la naturaleza de dicho organismo y está implícita en su estructura.

Cuando una entidad se hace llamar resiliente debe ser capaz de reaccionar y salir airosa ante una serie de sucesos y externamente continuar operando como si nada hubiera ocurrido, lo que es sumamente difícil. Son estas las empresas capaces de rebotar sin romperse ante la adversidad y es el modelo que toda empresa debería considerar para afrontar los riesgos.

Ciber-resiliencia

A partir de la definición de resiliencia que ya hemos explorado y enmarcando las posibles fuentes de crisis a eventos tecnológicos y procedentes del ciberespacio, se habla de Ciber-resiliencia. Otros limitan esta definición a las afectaciones en sus sistemas de proceso de datos y sus comunicaciones.

Del documento sobre Ciber-resiliencia de IEEE nos llama poderosamente la atención la manera de abordar el tema, cuando propone que: «Dada la complejidad de las organizaciones, y la interdependencia entre los distintos elementos que las forman: personal, entorno social, suministros, infraestructura TIC, procesos, …; no se puede trazar una línea divisoria clara entre lo que supone la resiliencia de la misma y la ciber-resiliencia de sus sistemas. Una y otra están íntimamente relacionadas, es más, son un mismo concepto. No se puede crear una infraestructura tecnológica ciber-resiliente si la organización en sí no es resiliente. La organización es un todo, y el departamento TIC no es un ente independiente que puede sobrevivir o pretender ser inmune a los eventos que pueden sacudir a su personal y sus usuarios.»

Desde el punto de vista del riesgo, el análisis de una organización se basa en identificar vulnerabilidades una por una y fijar una acción para cada una de ellas. Somos parte de las organizaciones que se preocupan por minimizar el riesgo y proveer soluciones para mitigarlo en pro de la Ciber-resiliencia. Telefónica se ha consolidado como un MSSP (Managed Security Services Provider, proveedor de servicios de seguridad gestionados), trabajando en tres propuestas:

  • Visión 360°de riesgos en ciberseguridad
  • La automatización de la ciberseguridad
  • Ciberinteligencia

ElevenPaths, la Unidad Global de Ciberseguridad de Telefónica crea soluciones a la medida y trabaja a diario con el compromiso de hacer frente al riesgo en el ciberespacio.  Entre sus propuestas de formación y actualización se encuentra el Security Innovation Day, que se llevó a cabo en España el pasado 7 de noviembre. En esta oportunidad, colocó en la mira del mundo la Ciber-resiliencia como su foco principal y en torno a ello, se presentó ante los asistentes, toda la actividad desarrollada en los centros de innovación de la compañía y los servicios que se ofrecen. Destacando Stela FileTrack, descrita como una especie de metaconsola de toda la información y documentación sensible de una empresa, con el fin de poder hacer su seguimiento y tener la trazabilidad. Permite a las organizaciones una visibilidad online del ciclo de vida completo de cada documento con monitorización, geolocalización, etiquetado y aplicación de políticas basadas en el grado de confidencialidad de los documentos. Este producto es la solución para la protección de la información documental sensible de las organizaciones que añade una capa de trazabilidad, permitiendo en todo momento una visibilidad online del ciclo de vida completo de cada documento.

Junto a Stela FileTrack se presentaron:

  • RightsKeeper, permite gestionar los documentos que se comparten, limitando o eliminando permisos de edición y acceso a los mismos, incluso, una vez distribuidos. Se muestra la relación de nuestra herramienta Shadow y cómo se puede proteger un documento de manera imperceptible unido al IRM de ElevenPaths.
  • SmartPattern y CapaciCard, las nuevas tecnologías del equipo de Innovación y Laboratorio de ElevenPaths. SmartPattern es un nuevo concepto de autenticación que permite autorizar la entrada a servicios y firmar documentos a través de un patrón inteligente de movimiento realizado en un smartphone. Capacicard permite autenticar o autorizar a un usuario aprovechando las características capacitivas inherentes a una pantalla de móvil o touchpad de un portátil. No necesita NFC ni conexión alguna, solo una económica tarjeta y sin hardware adicional.
  • Connected Car, aplicación de tres servicios de IoT (provisión de credenciales, detección de anomalías y DNS seguro) sobre el entorno del coche conectado.

Valorar el impacto del riesgo es importantísimo, las amenazas no contempladas acechan, gestionar el riesgo en tiempo real se hace perentorio. La ciber-inteligencia es una apuesta clave para Telefónica, en esta línea con la adquisición de DinoFlux y con la creación de ALDARA se avanza en el camino correcto para ofrecer las mejores opciones para que su organización sea ciber-resiliente.

Al revisar documentos como el Informe de investigación del Ponemon Institute© (Organización que realiza investigaciones independientes sobre privacidad, protección de datos y política de seguridad de la información con el  objetivo de permitir que las organizaciones tanto del sector público como privado tengan una comprensión más clara de las tendencias en las prácticas, percepciones y amenazas potenciales.), sobre el valor de la ciber-resiliencia que se realizó contemplando en la muestra a Estados Unidos, Reino Unido, Francia, Alemania, Australia, Emiratos Árabes Unidos y Brasil, encontramos enseñanzas y pasos claros para mejorar esta área en las organizaciones:

  • Incrementar el personal dedicado a la seguridad de TI. El promedio de equivalente a tiempo completo (ETC) es de 39 empleados y los encuestados creen que debería ser de 55 para alcanzar un nivel superior de ciber-resiliencia.
  • Extender la influencia y la implicación de los CSIRP a toda la empresa.
  • Invertir en tecnologías como la automatización, machine learning, inteligencia artificial y orquestación, que ayudan a abordar el mayor volumen y gravedad de los ciberataques, así como la dificultad que entraña la contratación de profesionales de seguridad de TI especializados.
  • Incrementar la financiación destinada a actividades de ciber-resiliencia para poder contratar y retener a profesionales cualificados e invertir en tecnologías.
  • Tomar medidas para reducir el tiempo de detección, contención y respuesta a los ciberataques

Recuerde que la unidad de Ciberseguridad de Telefónica está a su entera disposición para ofrecerle todo lo que en materia de gestión del riesgo y ciber-resiliencia requiere su organización.  No lo olvide: “Game Is Never Over”.

 

Imagen: Pixabay

Fuentes de Consulta:

https://iot.telefonica.com/press/stela-filetrack-protagonista-de-la-vi-edicion-del-sid-2018

https://factorhuma.org/attachments_secure/article/8264/resiliencia_cast.pdf

http://www.ieee.es/Galerias/fichero/docs_opinion/2015/DIEEEO35-2015_Ciber-resiliencia_LuisdeSalvador.pdf

https://blogthinkbig.com/security-innovation-day-2018-claves

 

 

 

Publicado el

Cross check y reportar ¿Estamos listos para despegar?

Mucho se comenta en las redes sociales sobre cómo prevenir un ciberataque. ¿Qué servicios contratar? ¿Cómo cuidar y resguardar la información? pasan a ser moneda corriente en cada charla de ciberseguridad que escuchamos al acudir a eventos de actualización tecnológica. Lo mismo sucede en los buscadores, al colocar la palabra ciberseguridad en los mismos, todos los artículos que nos sugieren están ligados a la prevención de ciberataques.

Hace días he estado meditando en el tema, lo que me ha llevado a hacer una  analogía de la ciberseguridad con una enfermedad. En el ámbito médico siempre se considera la prevención como algo clave e importante. Ahora bien, una vez que la prevención no funcionó de la manera esperada o, simplemente no se tuvieron en cuenta las medidas de prevención necesarias, cómo debemos actuar pasa a ser lo más crítico. Tal cual sucede con las enfermedades, tan pronto se declara una emergencia  en materia de ciberseguridad hay que actuar con prontitud, utilizando los protocolos y herramientas con las que se cuentan para afrontar el suceso.

En cuestión de segundos toda la información de su empresa, así como su información personal pueden quedar expuestas y en manos de terceros con fines no ciertamente benéficos, entonces el protocolo de cómo actuar ante un ciberataque debe estar claro y ser conocido por todos en la organización. Conocerlo implica actuar con rapidez, tomar las acciones precisas de inmediato y que todos los miembros del equipo tengan claro el rol que deben ejercer ante el problema.

Me imagino el escenario y me permito hacer la comparación con la despresurización de la cabina de un avión. Cuando surge una emergencia área, no hay quien dude en la tripulación de la aeronave en cuanto a qué debe hacerse. Cada cual sabe qué hacer, quién debe apretar el botón para que las mascarillas de oxígeno caigan desde el techo del avión a cada asiento lo hace, quién debe anunciar el problema por el altavoz para que todos los pasajeros sepan qué está pasando lo hace y no titubea, y quién debe anunciar lo acontecido a la torre de control del aeropuerto no pide permiso para hacerlo, pues cada uno conoce perfectamente su responsabilidad y actúa acorde a ella.

Así debería funcionar el protocolo de respuesta ante un ciberataque en las organizaciones. Qué hacer, quién debe hacerlo y cómo, deben estar documentados en la cartilla del asiento delantero antes de que sea anunciado el famoso “cross check y reportar”.

A esta altura usted se estará preguntando “¿Tenemos un protocolo formalizado en la empresa, cada persona sabe qué hacer y cómo hacerlo?”.

Hacer simulacros de incendio es común en estos tiempos en los edificios que albergan las oficinas de las empresas, colegios, entes públicos y comercios. La probabilidad de ocurrencia de un incendio se toma en serio. ¿Qué hay de la ocurrencia de un ciberataque? ¿Por qué aun nadie hace un protocolo de actuación ante un ciberataque? ¿Realmente creen que estamos siendo más vulnerables a un incendio hoy en día que a un ciberataque?

Luego de exponer la situación que acecha silenciosa a toda empresa, me permito compartirles algunos “tips” para planificar su ruta de escape ante una eventualidad como lo es la fuga de información:

  • Designe un líder y responsable de la “ruta de evacuación”. ¿Cuándo y cómo es momento de poner la infraestructura de respuesta en marcha? ¿Apagamos las máquinas? ¿Las encendemos? ¿Usamos el correo o está prohibido? Alguien debe ser el responsable de dar instrucciones en la organización y ese alguien debe ser la voz autorizada. Es importantísimo que esta persona sea anunciada y su rol sea conocido con anterioridad, por todos en la organización
  • Poner en marcha al equipo de trabajo. Este equipo de trabajo multidisciplinario debe conformarse en toda organización para que actúe cuando estos hechos infortunitos ocurran. El equipo debe estar conformado no solo por especialistas en IT, Ciberseguridad y Microinformática sino también por profesionales en Comunicación y Relaciones Públicas que actuarán en tiempo y forma según evalúen y consideren. Muchas veces la información de un ciberataque no se filtra fuera de la organización mientras que otras veces sí se hace. Esto debe evaluarse por los profesionales del equipo en cada caso. Para ello es conveniente que sean asesorados en cuanto a la cultura de comunicación que tiene la empresa y los medios idóneos para comunicar este tipo de acontecimientos deben ser seleccionados con anterioridad para que, en caso de decidirse comunicar algo, el protocolo simplemente se ponga en marcha y cada uno sepa cómo y qué hacer.
  • Tomar las garantías necesarias para que no vuelva a suceder. Una vez que se presenta una situación semejante se debe asegurar que no se repita. Es imperante documentar qué pasó, qué fue afectado y asesorarse en qué deberíamos haber tenido controles para evitarlo. Una vez se clarifica este panorama se debe invertir en las garantías necesarias para que la situación no vuelva a pasar.

Al igual que sucede con una vacuna que se administra para prevenir una enfermedad especifica no quedamos exentos de contraer otra y acabar enfermos, la ciberseguridad funciona de manera similar, estar vacunados contra una enfermedad por lo menos nos garantiza que no seremos afectados por la misma.

Frente a ataques cibernéticos prevenir es dar un paso al frente y minimizar las probabilidades de ser atacados. No espere contraer la enfermedad para vacunarse… ya no hará el efecto esperado.

 

 

 

 

María Carolina Bussi

Gerente de Mercadeo  Empresas y Negocios

Telefónica Business Solutions Centroamérica