En este interesante articulo, nuestro Director Técnico, menciona algunas de las recomendaciones que los profesionales del sector tambien comparten. Algunos de ellos, de reconocido prestigio, como Lorenzo Martinez @lawwait.
Noticias relacionadas con el sector de Seguridad IT
Nos llega desde Kaspersky LABS.
…tras encontrar y reportar un bug en sus sitemas.
Recientemente, varios investigadores de seguridad han descubierto una forma de comprometer la seguridad del protocolo HTTPS en todo tipo de redes, incluso en las públicas, donde la seguridad es vital para proteger los datos. Esta vulnerabilidad se debe a un abuso de la característica Web Proxy Autodiscovery Protocol (WPAD), un método utilizado para encontrar la dirección URL de un archivo de configuración utilizando técnicas de descubrimiento de servidores DHCP y/o DNS.
Utilizando esta técnica, un atacante puede descubrir la URL completa a la que se asocia un paquete HTTPS. Aunque el resto de información sobre la conexión sigue siendo segura, poder averiguar la URL completa puede ser un peligro ya que en muchos casos en la misma URL se incluyen datos sobre el inicio o las cookies de sesión, como ocurre con el estándar OpenID o con muchas otras plataformas como Google o Dropbox, quienes comparten un token de inicio de sesión incluido en la URL. Muchos mecanismos de recuperación de contraseñas funcionan de forma similar.
DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Según los datos de una encuesta realizada por Kaspersky Lab y B2B Internacional, los bancos y las organizaciones financieras tienen dificultades para gestionar el fraude financiero online en la compleja escena actual. Más de un tercio (38%) de las organizaciones admiten que cada vez es más difícil saber si una transacción es fraudulenta o real.
Casi el 40% de las organizaciones financieras es incapaz de distinguir un ciberataque de la actividad online normal del cliente.
El explosivo crecimiento de los pagos electrónicos, combinado con los nuevos avances tecnológicos, ha obligado a las empresas a mejorar la eficacia de sus procesos de negocio en los últimos años. En muchos casos, esto se ha logrado mediante la implementación de sistemas de flujo de correo para interactuar con proveedores y clientes.
Netmesis, acompañada de sus sócios técnológicos llega al mercado Mejicano como empresa de referencia en el ámbito de la ciberseguridad.
La experiencia acumulada en España, la solidez y solvencia de la empresa en estos momentos, propician afrontar este ambicioso plan.
De la mano de uno de los mas grandes empresarios mejicanos, comenzamos la andadura re-planificando la infraestructura de 2 periódicos de tirada nacional, y con el objetivo de asegurar las información de otras 25 inicialmente antes de finalizar 2017.
1 nueva delegación, 7 personas procedentes del HeadQuarters de Madrid, 1 gran proyecto de expansión.
Building your security.
Gracias por confiar en nosotros,
Atentamente, el Equipo de Netmesis.com
Para mejorar la ciberseguridad en las empresas, es fundamental la concienciación de los propios empleados, de los directivos, y a ser posible, que esté insertada en la propia cultura de la compañía. Y por supuesto, contar con planes de respuesta a incidentes de ciberseguridad. Un ejemplo de buenas prácticas es la de Uber, que apuesta por la ciberseguriad en su cultura empresarial, desde la base, concienciando a los empleados. Aunque el problema también está en los tomadores de decisiones, ya que según una encuesta, sólo el 8% de los líderes empresariales de Europa consideran la ciberseguridad una prioridad para sus negocios.
Lo que es innegable es que muchas (por no decir todas) las empresas están en riesgo de ser víctimas de incidentes de seguridad. Según una encuesta realizada por F5 Networks, el 36% de los expertos aseguran que sus empresas no cuentan con ningún plan de respuesta para protegerse de ciberataques. Algo que sin duda deberían tener en cuenta, por varios motivos. En primer lugar, por el coste que tiene una brecha de seguridad para una empresa. En el caso de una gran corporación, puede alcanzar 1,9 millones de euros. Y por supuesto, por el impacto en la reputación y en la imagen de las empresas.
En los últimos años, en las profundidades oscuras de Internet ha florecido un nuevo tipo de mercado clandestino.
Su nombre, corto y cifrado, no nos dice mucho: xDedic.
Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.
Acer experimentó una gran brecha de datos, y se cree que 35.500 de sus clientes fueron afectados. La compañía envió una notificación de muestra a la Oficina del Fiscal General en California, similar a la que sería enviada a las personas impactadas; en ella, dice que uno de sus sitios de comercio en línea fue comprometido.
La corporación taiwanesa, dedicada a la fabricación de computadoras y productos informáticos, admitió que el incidente afectó a “ciertos clientes” que usaron el sitio entre el 12 de mayo de 2015 y el 28 de abril de 2016. La información personal comprometida incluye nombres, direcciones y números de tarjeta de crédito, incluyendo los códigos de seguridad de tres dígitos.
Acer señaló en su comunicado que no recolecta números de seguridad social y que no encontró hasta el momento evidencia que sugiera que se filtraron contraseñas o datos de acceso. Además, aseguró que el incidente está centrado en Estados Unidos, por lo que clientes en Europa, Oriente Medio y África (EMEA) están seguros, en parte, porque “sus tiendas en línea están alojadas en forma separada de otras regiones”.
La compañía tranquilizó a sus clientes diciendo:
El CEO debería asumir la responsabilidad por una brecha de seguridad, pero solo el 8% lo considera prioritario.
VMware, líder global en infraestructuras cloud y movilidad empresarial, ha presentado los resultados de un estudio hecho por la consultora española GAD3 que muestra que el 25% de los trabajadores de las grandes empresas en España consideran que el CEO debería asumir la responsabilidad de una brecha de seguridad significativa. Sin embargo, otro estudio de VMware realizado por la Unidad de Inteligencia de The Economist ha revelado que solo el 8% de los líderes empresariales de Europa consideran la ciberseguridad una prioridad para sus negocios.
Las organizaciones siguen bajo la creciente amenaza de los ciberataques. De hecho, casi uno de cada cuatro de los trabajadores encuestados (el 24%) teme que su empresa reciba un gran ataque en los próximos tres meses. A medida que los ciberataques se intensifican y se hacen más dañinos para las organizaciones, puesto que pueden perder propiedad intelectual, posicionamiento, competitividad o datos confidenciales de clientes, el impacto potencial de esta desconexión entre los departamentos de TI y los consejos de dirección puede ser desastroso.