Teléfono: +52 (55) 5335 1181 | +52 (55) 5335 1182 Email: ventas@integridata.com.mx
24julio

Cómo fortalecer tu cuenta de Facebook para evitar que la roben

By Artículos

El siguiente artículo es un aporte de ElLadoDelMal.

facebook seguridad

En este artículo vamos a repasar las opciones para fortalecer el proceso de login, así como las sesiones y las comunicaciones entre Facebook y tú. Estas son algunas de las recomendaciones que deberías seguir si quieres hacer que tu cuenta de Facebook sea mucho más segura.

La cuenta de correo de usuario de Facebook.

Un punto inicial importante es decidir cuál es la cuenta de usuario asociada al perfil de Facebook. Lo recomendable es que sea una cuenta de correo no conocida por nadie – puede ser una cuenta de correo que no se use para nada más -, y que no pueda ser vista o consultada por nadie.

facebook email security

Además, esa cuenta de usuario debería estar protegida con un segundo factor de autenticación basado en SMS o en Google Authenticator u otros, para que siempre pudiéramos tenerla controlada.

La contraseña de Facebook.

La elección de la contraseña de Facebook debe ser más o menos como todas. Mi recomendación es que las passwords complejas en la web deben morir y el de muchos otros que dudan de su efectividad, pero tampoco pongas una contraseña que alguna persona de tu entorno pueda conocer porque la utilizas en otros servicios. Además, si al principio utilizas un carácter alfabético, recuerda que Facebook permite utilizar también la password con los valores en mayúsculas y minúsculas, generando tres passwords en total.

facebook formatos de contraseña

Es casi más importante que la cambies periódicamente. Una buena estrategia es ponerse en el calendario una cita cíclica cada mes, por ejemplo, y utilizar un gestor de contraseñas que protejas con una clave maestra segura. Recuerda que si utilizas un gestor de contraseñas en la nube y es hackeado -como sucedió con LastPass-, la password maestra es lo último que va a salvar tu contraseña.

Alertas de Inicio de Sesión en tu cuenta Facebook.

Facebook, cada vez que inicias sesión hace un fingerprinting del cliente. Esto es, una recolección de la huella digital de tu conexión para saber desde dónde te estás conectando (dirección IP, zona geográfica, sistema operativo, versión del navegador, y datos varios).

alertas en facebook

Si te conectas desde un dispositivo nuevo o un nuevo navegador Facebook te puede enviar un SMS o un correo electrónico. Como curiosidad, la imagen del logo de Facebook viene enlazada en el mensaje de correo, lo que le permite a la compañía hacer doxing de dónde y cuándo se abre el correo electrónico de la alerta, incluso si lo haces desde el proxy de Gmail, que permite saber información del User-Agent -aunque no de la dirección IP-.

correo alerta de facebook

Si eliges que te envíe un correo electrónico, ten en cuenta que para los ataques de phishing este es un buen gancho para ponerte nervioso e intentar robarte la cuenta con un Spear Phishing como explicaba yo en el caso del robo de cuentas de iCloud con un correo electrónico de alerta de la propia Apple.

revisión detalle de conexión

Si dejas las activadas las alertas de login por correo electrónico es una buena opción utilizar las claves PGP para las comunicaciones. Así te será muy fácil saber si ese correo que te viene desde Facebook es auténtico o es un ataque de phishing para robarte las cuentas.

El segundo factor de autenticación con mensajes SMS One-Time Password.

Como en la mayoría de los servicios online, Facebook también permite que los procesos de login desde dispositivos nuevos o los nuevos navegadores tengan que ser aprobados por un código One-Time Password para proteger tu identidad. En este caso, vía mensaje SMS a tu número de teléfono.

activación otp sms

Si activas esta opción, debes fortificar el acceso a la SIM de tu terminal. Para ello protege el código PIN de tu tarjeta, pero también el código PUK y los datos del contrato con tu operadora para evitar un posible ataque de SIM Swapping y no uses SIMs antiguas que puedan ser clonadas.

Los códigos de aprobación de un solo uso.

Estos códigos de aprobación se pueden generar desde la app de Facebook instalada en un terminal móvil con la sesión iniciada o desde la propia sesión web. Facebook te dará una lista de códigos de un solo uso que podrás utilizar para aprobar el acceso a tu cuenta desde un nuevo dispositivo o un nuevo navegador.

códigos de aprovación app facebook

Estos códigos tienen la ventaja de que los puedes llevar guardados y no necesitas disponer de teléfono y son especiales para cuando estas fuera de tu país en entornos de roaming o sin teléfono disponible.

código de aprobación facebook app

Si se configura el modo Auto, en lugar de acceder a una lista de códigos la app de Facebook te mostrará el código OTP cada vez que se vaya a realizar un proceso de login desde un nuevo dispositivo o un nuevo navegador.

Las contraseñas de aplicación.

Cuando tienes un segundo factor de autenticación con OTP o con códigos de aprobación, las aplicaciones que se conecten a tu cuenta, si lo hacen con tus credenciales de Facebook, tendrán que pasar también el proceso de verificación en dos pasos. Para evitar eso, se pueden utilizar las passwords de aplicación.

generar password aplicación facebook seguridad

Esto tiene además, como ventaja añadida, que si estás utilizando tu cuenta Facebook en una aplicación de móvil de otros que permite autenticarse con Facebook, entonces puedes también evitar que si te la roban te roben toda tu cuenta, ya que las passwords de aplicación no tienen el control total de tu cuenta y no pueden hacer todas las acciones que se pueden hacer con un inicio de sesión con las credenciales principales de la cuenta.

Las apps conectadas a tu cuenta.

Además de las passwords de aplicación, en Facebook puedes autorizar a aplicaciones para que tengan ciertos permisos de acceso a tu cuenta. Esto puede ser para tomar solo información, pero también para postear o acceder a tus mensajes. Aplicaciones con Tinder utilizan esta conexión con tu cuenta para acceder a tus fotografías, biografía, etcétera.

petición app para generar token oauth facebook

Estos tokens OAuth son los que se pueden robar en aplicaciones inseguras, o pueden ser utilizados en esquemas de ataque de phishing, así que es muy importante que periódicamente revises que apps tienen acceso a tu cuenta y elimines toda aquella que no debiera estar.

Los navegadores y dispositivos de confianza.

Además de las apps, en esa misma opción se pueden revisar cuáles son los dispositivos y navegadores de confianza que no necesitarán un segundo factor de autenticación vía OTP o vía código aprobación de un sólo uso.

dispositivos y navegadores reconocidos facebook

Si alguno es un dispositivo que ya no utilizas o es de un equipo desde el que te conectaste puntualmente, elimínalo. Es conveniente que cuando te conectes desde un dispositivo o navegador nuevo tengas cuidado y no lo guardes en la lista de confianza si es una conexión puntual.

guardar browser como navegador de confianza

Desde aquí puedes eliminarlos todos y si necesitas volver a usarlo, con pasar el proceso de verificación en dos pasos, todo listo.

Los contactos de confianza.

Muchos son los que han sufrido el robo de una cuenta o grupo de Facebook, por lo que lo mejor que se puede hacer es tener un contacto de confianza que pueda ayudarte a recuperar la cuenta cuando esto pase.

contacto de confianza facebook

Ojo, que tu contacto de confianza sea tu contacto de confianza y no una persona que pueda volverse en tu contra. Elige sabiamente o no elijas a nadie ante la duda.

Control de Sesiones Abiertas manualmente o con Latch.

Otra opción interesante es la de vigilar constantemente qué sesiones tienes abiertas. Esto permitirá detectar ataques de hijacking que te hayan robado cookies de sesión vía un ataque de man in the middle -usando por ejemplo un Bridging HTTPs(IPv4)-HTTP(IPv6) como el que usé yo en el programa de Salvados -o porque hayas tenido un descuido y te hayan robado la cookie en unos segundos que te dejaste la sesión abierta.

gestión de sesión de facebook

Para controlar esto de forma constante, el hack para integrar Latch con Facebook es una buena opción, ya que en el momento que se detectan nuevas sesiones se puede forzar su cerrado tal y como se explica en este post “Un hack para integrar Latch con Facebook” y permite controlar las sesiones tal y como se ve en el siguiente vídeo.

Este mismo truco con Latch también se puede aplicar a las sesiones de las cuentas de iCloud, Gmail o GitHub, tal y como se explican en los artículos correspondientes.

Palabras finales.

Además de todo esto, reforzar las opciones de privacidad para controlar quién puede ver tu información es más que recomendable. Si algún atacante busca una app mágica para hackear Facebook, que estas opciones de fortificación hagan que se lleve una buena sorpresa, tal vez en forma de adware o de ser estafado por alguno de esos “hackers for hire” que se alquilan por ahí para robar cuentas de Facebook y acaban engañando a la gente.

1 Like
21julio

Las condenas a los cibercriminales

By Artículos

Texto de ElLadoDelMal.

A veces cuando veo las condenas que se imponen a los cibercriminales no sé cómo más gente se sigue metiendo en estos negocios. Se meten por un negocio lucrativo a corto plazo, pero teniendo en el horizonte unos años a la sombra, que en algunos casos puede ser cadena perpetua, me hace creer que no han sido conscientes de eso antes.

años de prisión a cibercriminales

El creador de la R.A.T. BlackShades fue condenando a 5 años de cárcel por desarrollar y vender un troyano. Alex Paunch, creador de BlackHole Exploit Kit fue detenido y puesto a la sombra por crear y vender el kit de explotación más popular de su momento. Los criminales detrás de la estafa del ransomware de Oleg Pliss, que básicamente robaron cuentas de Apple iCloud haciendo una campaña de phishing para luego secuestrar los dispositivos iPhone & iPad y pedir un rescate, fueron condenados a 4 años en prisión.

silk road

Pero la lista no acaba ahí,y podríamos seguir caso a caso. Guccifer, detrás de campañas de ransomware fue detenido en Rumanía y condenado a 10 años en la cárcel. Ross Ulbritch, detrás de Silk Road en la red TOR, fue condenado a cadena perpetua y ahora están detrás de dar comienzo al juicio de la reciente detención de Darkode, un foro dedicado al cibercrimen que ha sido tumbado con el arresto de los principales miembros.

no lusers arresto domiciliario sin internet

No sé si a alguno le quedan ganas de pasar unos años a la sombra en prisión, pero solo piensen por un momento que tengan que pasar todo ese tiempo sin conexión a Internet -que lo de ver la calle a muchos de estos seguro que les da lo mismo-.

Like this post
19junio

Gmail & Hotmail: Cómo saber si ahora mismo te están espiando

By Artículos

Texto de ElLadoDelMal.

Hace algo de tiempo les hablé de cómo había visto unas campañas de robo de cuentas de Gmail y Hotmail por medio de tokens de acceso OAuth a la cuenta. Ahora, unas semanas después me he topado con el caso de una persona a la que habían conseguido engañar para robarle los tokens. Ese acceso además, lo utilizaron para leer durante mucho tiempo su correo electrónico y preparar un ataque a su vida personal y robarle dinero del banco. El esquema que usaron los cibercriminales fue el mismo que les conté el año pasado en el artículo “Dos casos reales de robo de dinero“, en concreto el caso de la transferencia bancaria desde el correo electrónico.

gmail y hotmail te estan espiando

Todo lo que se había utilizado en el esquema era información que estaba en los mensajes de correos electrónicos ‘Enviados y Recibidos’. Datos de cuentas, documentos, información personal para demostrar conocimiento y familiaridad con la persona del banco e incluso secciones de texto copiadas de correos electrónicos para repetir mismos términos y formalismos. Cuando tuve que analizar este caso, y viendo la cuenta en un Hotmail, rápidamente pensé en el truco de los tokens OAuth de acceso al buzón, y ahí estaba la app fraudulenta que había conseguido acceso al buzón.

app fraudulenta

Como pueden ver, la cuenta estaba monitorizada desde el mes de abril, pero habían estado esperando el mejor momento para poder trazar el plan de ataque, que se llevó a principios de junio. Se tomaron todo el tiempo del mundo porque prácticamente nadie vigila los tokens OAuth que ha concedido. Por supuesto, el truco se completa simulando que es una conexión con una cuenta Google, algo que la víctima no tiene.

Puntos de revisión de tu cuenta de Hotmail y Gmail

Visto esto, les quiero dejar unas recomendaciones de seguridad que les recomiendo que hagan ahora mismo en Gmail y Hotmail para descubrir si les están espiando el correo electrónico ahora mismo. Si es así, tomen las medidas de protección que les dejo después:
Revisión de Tokens OAuth: Como ya les expliqué en el otro artículo, deben ir a las siguientes URLs y quitar acceso a todas las apps a las que hayan concedido un token de acceso en su buzón y no lo sepan.

apps conectadas a gmail

Apps conectadas a tu cuenta de Hotmail
Apps conectadas a tu cuenta de Gmail

Revisar cuentas a las que se reenvía el correo: A veces cuando se tiene acceso a tu cuenta, alguien deja una cuenta de reenvío para seguir viendo tus mensajes de correos electrónicos aunque le quiten acceso:

hotmail

Cuentas a las que se envía tu correo de Hotmail
Cuentas a las que se envía tu correo de Gmail

Poner un sistema de verificación en dos pasos: Tanto en Hotmail como en Gmail es imposible utilizar Latch – salvo como un hack para Gmail – pero sí que es posible en ambos utilizar Google Authenticator, así que tanto si tenías a alguien leyendo tu correo electrónico con alguno de los dos trucos anteriores como si no, puede que alguien te haya robado tu contraseña y esté entrando a tu buzón, así que:

google authenticator

Cambia la password ahora mismo
Configurar Verificación en dos pasos en Hotmail
Configurar Verificación en dos pasos en Gmail

Es una pena cuando alguien tiene acceso a tu correo electrónico, ya que una vez que se han llevado todos tus datos se los han llevado para siempre y deberás pasar mucho tiempo cambiando la información que puedas, avisando a personas con las que trabajas y estando vigilante a lo que pueda pasar con tu vida digital en el futuro. Si esto te sucede, mira la posiblidad de contratar un seguro contra el robo de identidad.

Like this post
20marzo

“No hay CISOs en América Latina”: Adrián Palma

By Artículos

Adrian Palma

La definición oficial de un director de seguridad de la información (Chief Information Security Officer, CISO) es un ejecutivo de nivel superior responsable por alinear las iniciativas de seguridad con los programas empresariales y los objetivos de negocio, asegurando que los activos y las tecnologías de información estén adecuadamente protegidos. Para Adrián Palma, director general de Integridata, no existen CISOs como tales en América Latina.

El ejecutivo, cuya empresa se dedica a la seguridad de la información y la continuidad del negocio, explicó a SearchDataCenter en Español cuáles son las razones por las que tiene este punto de vista y los retos que tienen los profesionales de seguridad para seguir avanzando en su carrera.

SearchDataCenter en Español: ¿Cómo ves la figura del CISO en México y en América Latina?

Adrián Palma: Primero, no hay CISOs en las organizaciones, en la mayoría; yo les llamo encargados de seguridad. Porque primero no tienen el nivel, no de competencia, sino el nivel jerárquico; no tienen la visión que debe tener realmente un CISO; y tercero, su enfoque está netamente a lo que llamamos fierro, bits y bytes, y nada más. No nada más pasa en México y en América Latina, sino también en parte de Estados Unidos, en Europa, en Asia sí no te puedo decir, pero en esos [lugares que mencioné] sí te puedo garantizar que así es.

Entonces, no hay ese enfoque. La tendencia, o lo que debe venir en los siguientes años es que el CISO, antes que otra cosa, su principal habilidad es que debe tener una visión organizacional, antes que una visión técnica. Segundo, debe tener una serie de responsabilidades que hoy en día se desconocen en la mayoría de organizaciones. Por ejemplo, ir por presupuestos; quitar la barrera que hay entre las áreas de negocio y la gente de tecnología y la misma gente de seguridad; hacer entender a la alta dirección que estos son temas importantes –a lo mejor no son de prioridad uno, pero sí son de prioridad dos– que me van a ayudar en el principal punto a que las actividades o prioridades de nivel uno se hagan de una manera adecuada. Además de todo el rollo que hay de cumplimiento, de marcos regulatorios, estándares de la industria, etc.

Así que hoy en día sí siento una falta, primero de entender cuál es el rol del CISO en la organización y segundo necesitamos, de alguna otra manera, generar esas habilidades porque no van a aparecer por ósmosis, entonces sí se requiere de entrenamiento y de visión para poder llegar a eso.

SDCE: ¿Cuáles consideras entonces que son los principales retos que tienen los CISOs y los profesionales de seguridad con visión hacia este panorama?

Adrián Palma: Muy sencillo. Hoy en día yo digo que estamos en [la era de] el IT Security, no del Information Security. Lo primero es entender que la posición de la gente de seguridad de la información (Information Security) debe tener otra perspectiva, totalmente distinta, a la gente especialista en IT security. La diferencia del IT security es que esta es una responsabilidad de TI, es decir del custodio, no es una responsabilidad de seguridad. ¿A qué me refiero con eso? A la implementación, configuración y administración de toda la tecnología de seguridad: firewalls, IPS, IDS, suites de gestión de identidad, suites de control de acceso, infraestructuras de llave pública, todo lo que tenga que ver con la parte de controles técnicos, eso lo debe tener la gente de TI, porque es infraestructura.

La gente de seguridad debe tener otro rol, que es más normativo, más de estar buscando, un equipo consultor dentro de la organización, que entienda los requerimientos que necesita el dueño de los datos –que es a quién comúnmente llamamos gente de negocio– en cuestión de confidencialidad, integridad y disponibilidad, siendo su rol principal como apoyo, dando experiencia, método y forma para poder obtener esos datos. Esos datos, esa información, la tiene el dueño, no seguridad. Seguridad ya tendrá formas para poder hacer diagnósticos de seguridad, análisis de riesgo –que es la base para hacer una estrategia de seguridad– desarrollos de normatividad (como políticas, estándares, guías, procedimientos, baselines), desarrollar estrategias de awareness, train and education, además de toda la parte de compliance, gobierno de seguridad. Todo ese tipo de cosas son responsabilidad de gente de seguridad y que muchas veces en las organizaciones no se hacen porque en las áreas de seguridad se dedican a la parte de infraestructura. Hay una brecha muy grande en las organizaciones y la pregunta es quién hace realmente el trabajo de seguridad de la información.

SDCE: ¿Cómo llegamos de un punto a otro? ¿De tener el perfil de un profesional de seguridad de TI a ser un profesional de seguridad de la información?

Adrián Palma: Con mucho esfuerzo, mucho trabajo. Pero primero es entender lo que yo tengo que hacer, porque si no lo entiendo, difícilmente lo voy a poder permear. Después de eso, trazar una estrategia dependiendo de la organización en la que yo esté. Es una tarea titánica. Es cambiar más de 30 años de un enfoque al nuevo que se requiere, pero se va a tener que hacer. Y esto va a explotar, según yo, en los próximos cinco a seis años.

SDCE: ¿Qué recomendaciones les puedes dar a los profesionales de seguridad para que empiecen a tener esa visión, especialmente los que quieren llegar a ser un CISO?

Adrián Palma: Desafortunadamente no tenemos una escuela. Hoy en día te hablo a nivel México y también a nivel de Latinoamérica, no la hay. Pero lo primero es buscar, en ciertas organizaciones –como ALAPSI o el Diplomado de Seguridad del Tecnológico de Monterrey, de la misma universidad– el cambio de enfoque. Lo primero que se debe hacer es entender cuál es el rol del CISO, de seguridad de la información, y eso sí lo puedes encontrar en muchas buenas prácticas genéricas, no al nivel de detalle que estoy comentando, pero ese es el primer entry level, porque es muy complejo. Yo te diría hay tres libros, hay tres revistas, pero no los hay.

SDCE: ¿Sirven las certificaciones?

Adrián Palma: Sí, pero no te hacen mejor. ¿A qué voy con esto? A que la certificación te da una forma distinta de ver las cosas; sin embargo, yo conozco gente que tiene certificaciones y que su trabajo deja mucho que desear, y conozco gente que no tiene certificaciones y que hace muy bien su trabajo. Entonces, sí te da un nivel de estructura de conocimientos óptima –es difícil obtener una certificación– pero no te garantiza el éxito en una carrera de éstas.

1 Like
13marzo

Protocolos de seguridad para Internet

By Artículos

seguridad en internetPor. Daniela Cardenas

Un escenario típico consiste de un número de principales, tales como individuos, compañías, computadoras, lectores de tarjetas magnéticas, los cuales se comunican usando una variedad de canales (teléfono, correo electrónico, radio…) o dispositivos físicos (tarjetas bancarias, pasajes, cédulas…).

Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso.

Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto.

Existen varios protocolos posibles. Las distintas compañías que instalan y administran este tipo de redes eligen unos u otros protocolos. En todos los casos se crean túneles entre el origen y el destino. Dentro de estos túneles viaja la información, bien por una conexión normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP Sec es uno de los más empleados. Este se basa en GRE que es un protocolo de tunneling. Éste también se utiliza de forma conjunta con otros protocolos como PPTP.

Generic Routing Encapsulation (GRE 47)

Point-to-Point Tunneling Protocol (PPTP)

IP Sec

Protocolo de tunelado nivel 2 (L2TP)

Secure shell (SSH)

Encapsulación de Enrutamiento Genérico se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas.

El GRE está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47.

Este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local.

Esquema:

GRE se encarga del encapsulamiento de los datos para enviarlos por un túnel, pero él no crea los túneles, de eso se encarga el protocolo PPTP u otro que estemos empleando.

El proceso de encapsulamiento tiene los siguientes pasos:

El paquete IP con los datos se transmite desde el Ecliente al servidor E-RRAS.

Se le añade la cabecera del PPP y se cifra todo junto obteniendo un ‘fragmento PPP’.

Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.

Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS a través de Internet.

Éste envío se realiza por una conexión VPN creada anteriormente.

El servidor R-RRAS elimina el encabezados GRE, descifra, elimina el encabezado PPP y transmite los datos (paquete IP) a el Rcliente.

Los datos cifrados se colocan dentro de un paquete GRE con su correspondiente cabecera.

Esquema: Formato de un paquete GRE

Point-to-Point Tunneling Protocol

El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para transmitirlos por una red IP como Internet o una intranet privada.

El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas o comprimidas o ambas cosas.

El PPTP supone la disponibilidad de una red IP entre un cliente PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un servidor PPTP (un servidor de túnel que utiliza el protocolo PPTP). El cliente PPTP podría estar ya conectado a una red IP por la que puede tener acceso al servidor PPTP, o podría llamar telefónicamente a un servidor de acceso de red (Network Access Server, NAS) para establecer la conectividad IP como en el caso de los usuarios de accesos telefónicos para Internet.

La autentificación que ocurre durante la creación de una conexión VPN con PPTP utiliza los mismos mecanismos de autentificación que las conexiones PPP, tales como el Protocolo de Autentificación Extendible (Extensible Authentication Protocol, EAP), el Protocolo de Autentificación con Reto/Negociación de Microsoft (Microsoft Challenge-Handshake Authentication Protocol, MS-CHAP), el CHAP, el Protocolo de Autentificación de Claves Shiva (Shiva Password Authentication Protocol, SPAP) y el Protocolo de Autentificación de Claves (Password Authentication Protocol, PAP). El PPTP hereda la encriptación, la compresión o ambas de las cargas PPP del PPP. Para servidores PPTP sobre Internet, el servidor PPTP es un servidor VPN con PPTP con una interfase con Internet y una segunda interfase con la intranet.

IP Sec

IP Sec es un grupo de extesiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones superiores.

IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec

Protocolo de tunelado de nivel 2 (L2TP)

Es un componente de creación importante para las VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para la creación de VPNs. L2TP combina las mejores funciones de los otros dos protocolos tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de Microsoft. L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la industria de la conectividad.

A continuación una serie de términos relacionados con este protocolo:

L2TP Access Concentrator (LAC): Se añade un dispositivo LAC a los componentes físicos de la red conmutada; como la red telefónica convencional o RDSI, o se coloca con un sistema de terminación PPP capaz de gestionar el protocolo L2TP. Un LAC sólo necesita implementar el medio sobre el cual opera el L2TP para admitir el tráfico de una o más LNS. Puede “tunelizar” cualquier protocolo que incluya el PPP. LAC es el iniciador de las llamadas entrantes y el receptor de las llamadas salientes.

L2TP Network Server (LNS): Un LNS opera sobre cualquier plataforma con capacidad de terminación PPP. LNS gestiona el lado del servidor del protocolo L2TP, ya que L2TP se apoya sobre el medio al que llegan los túneles L2TP y LNS sólo puede tener un único interfaz LAN o WAN, aunque es capaz de terminar las llamadas entrantes en cualquiera de la amplia gama de las interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre Frame Relay).

Network Access Server (Servidor de acceso a la red): NAS es un dispositivo que proporciona a los usuarios acceso temporal a la red bajo demanda. Este acceso es punto a punto, de uso típico en líneas de la red telefónica convencional o RDSI. En la implementación Cisco, un NAS sirve como LAC.

Secure shell (SSH)

Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el login como el password, así como el resto de la sesión, se transmiten a través de nuestra LAN o incluso a través de routers y nodos ajenos al nuestro en texto claro. Esto quiere decir que cualquiera que tenga activado un sniffer puede capturar nuestras sesiones con el potencial peligro que ello conlleva. La manera de evitar que alguien pueda espiar nuestras claves y sesiones, es utilizar una herramienta muy potente, fácil de instalar y muy cómoda para el usuario.

ssh/sshd actúan basándose en la arquitectura cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un puerto (el defecto es el 22) a la espera de que alguien utilizando un cliente ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo.

Todo es como en una sesión telnet tradicional, pero con la particularidad de que todas las comunicaciones serán encriptadas. El manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay que introducir el servidor al que te quieres conectar (por ejemplo fanelli.sindominio.net) y qué algoritmo de encriptación quieres usar (por ejemplo 3DES). Si no se dispone de un programa cliente de SSH, puede bajarse de Internet.

(vía Computación95).

Like this post
27febrero

Plan Continuidad del Negocio (BCP)

By Artículos

continuidad del negocio drp

Por. Carlos Primera

El término “negocio” es de uso frecuente en la literatura sobre organizaciones y se refiere a la actividad o las actividades fundamentales que hacen posible el logro de los objetivos organizacionales, que en líneas generales se traducen en productos o servicios. Por ejemplo, el negocio de una organización como la universidad, se asocia a la producción de conocimiento y la formación de profesionales competentes y con sensibilidad social. Otro ejemplo, el negocio de una empresa refinadora de petróleo es la producción de derivados, tales como gasolina, lubricantes y diesel, por nombrar algunos.

Por otro lado, la palabra “continuidad” está asociada a verbos como durar, permanecer, seguir o extenderse; en este contexto, dicha palabra expresa que el negocio de la organización, dure, permanezca, siga, se extienda o se restablezca, si ocurre algún evento perturbador. Para el logro de esa continuidad, es necesario que la gestión realice una serie de diligencias, que preparan a la organización, para reaccionar oportunamente, en el restablecimiento de la producción del servicio o producto, en un lapso de tiempo perentorio.

La gestión de la continuidad del negocio BCM (Business Continuity Management), por sus siglas en inglés, se fundamenta en el Plan de Continuidad del Negocio (BCP). Este plan describe procesos, procedimientos, recursos y responsables que se activan inmediatamente de la ocurrencia de alguna perturbación en el normal funcionamiento de la organización, por supuesto, si la ocurrencia afecta la continuidad del negocio, a un nivel intolerable.

Por ejemplo, si a una compañía proveedora de servicios de telefonía celular le derriban algunas de sus antenas, el servicio se suspende temporalmente. Para enfrentar esa eventualidad, la compañía debe tener un BCP que le permita restablecer el servicio parcialmente o totalmente en un tiempo perentorio que se fija durante la elaboración del plan. A continuación los procesos asociados a la elaboración del BCP.

procesos BCP

Figura 1. Procesos en la Elaboración del BCP.

La figura 1 muestra los procesos asociados al BCP. En el primer proceso la organización funciona normalmente y es el momento de realizar el plan o de probarlo. Para la realización es necesario identificar las amenazas al normal funcionamiento. Dicha identificación permite establecer los riesgos asociados y se analizan sus impactos potenciales. Los impactos potenciales se convierten en el insumo fundamental para generar el BCP. El BCP contiene una descripción detallada de procesos, procedimientos, recursos y responsables que se activan inmediatamente que ocurre alguno o algunos de los riesgos identificados.

Una vez elaborado el BCP es necesario probarlo en vivo, involucrando toda o parte de la organización. La prueba es vital porque permite identificar posibles fallas, las cuales, se recopilan con los resultados de la prueba; estos aspectos alimentan al equipo encargado de actualizar el plan. El plan actualizado contiene las mejoras, producto de la prueba en vivo. La prueba asegura la eficiencia y fiabilidad del plan y es importante realizarla con la periodicidad que fije la organización.

Resumiendo, todas las organizaciones necesitan un BCP para reaccionar asertivamente a la ocurrencia de alguna perturbación a su normal funcionamiento. Es justo advertir que a pesar del plan, pueden surgir imponderables, pero estos deben tener una mínima probabilidad de ocurrencia, si el plan ha sido elaborado adecuadamente.

(vía Gerencia y complejidad).

2 Likes
16enero

Crisis Communication for the Next Pandemic

By Artículos

ebola pendemic.540

For the past few weeks it seems you can’t turn on the news without hearing about the Ebola virus. It’s made its way to the U.S. but thankfully the risk of a major outbreak in this country is extremely low. Still, it leaves many organizations, hospitals, and state and local government agencies wondering if they are truly prepared to handle a pandemic, no matter the scale.

As with any event that affects your employees, proper preparation is key in avoiding interruptions to essential business operations that a pandemic can pose. Should a pandemic occur, your organization needs a strategy in place that leverages a number of components, some of which include:

Communication Plans – Organizations need to have a response plan in place in order to communicate with employees, customers, suppliers and partners.

Telecommuting – Certain pandemics, such as Influenza (Flu), have the potential to cause temporary staffing shortages. Allowing employees to work from home could be the best option to ensure continued operation, but there are a number factors that need to be considered to when developing a telecommunicating policy.

Employee Wellness – The well-being of employees should be top of mind for organizations. Should a pandemic occur, it is important that employees know what healthcare coverage is available to them, as well as services such as vaccinations and access to medical facilities.

Business Processes – Developing polices and processes are important for organizations to maintain operation effectiveness. For example, the decision of whether or not to use temps to avoid shutdown during a pandemic.

Preparing Successful Message Mapping for Pandemics – If a pandemic outbreak occurs in the vicinity of your organization, you need to send clear instructions and updates to your staff, key stakeholders, and important contacts to minimize risk, keep them safe and resolve issues quickly.

Public health threats and risks may seem like science fiction, but due diligence demands that we plan for all public health contingencies, including epidemics and pandemic outbreaks. Such events present dramatic consequences for health and safety, as well as business continuity and post-event recovery. This includes carefully planning for coordination, communication and sustained contact with key constituents and audiences before, during, and after major public health disruptions. Such planning must include strategically prepared and managed crisis communication messaging options not only about health-related matters, but also pertaining to every major aspects of business and organizational functioning that will impacted.

We invite you to download the Everbridge Pandemic Communications Kit, which includes:

• Our latest white paper, Crisis Communication for the Next Pandemic, offers insight into bet practices for pandemic preparedness.

Everbridge’s Pandemic Readiness Self-Audit Worksheet allows you to assess your pandemic readiness and pinpoint communication gaps.

• Our Message Maps Document provides sample messages you can send in a pandemic.

Like this post
04diciembre

La seguridad como función de negocios

By Artículos

security_key

Por. Adrián Palma

Para que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de negocios. En esencia la seguridad se debiera convertir en otra área de negocio de la organización o como una función sustancial en organizaciones sin fines de lucro. Como con cualquier área de negocio hay componentes de planeación, ventas, marketing, producción, entrega, económicos y de control.

La misión principal de la función de seguridad es garantizar la Confidencialidad, Integridad y  Disponibilidad de la información. Sin embargo, la misión debe ser completada dentro del contexto de seguridad como un facilitador para el desarrollo y entrega de los productos y servicios de la organización. La seguridad debe ser vista como el área donde uno busca respuestas acerca de cómo avanzar con la seguridad de un producto nuevo o servicio y asegurar que el compromiso de confianza en la organización está siendo logrado a sus clientes y socios de negocio. Esto debe hacerse a través de una función de seguridad eficaz con enfoque de manejo de riesgos para el desarrollo de soluciones alternativas.

Estructura Organizacional

Es importante como primer paso que se distingan perfectamente las funciones de seguridad de la información de la gestión de actividades o tareas netamente operativas de seguridad que se necesitan para garantizar que funcionen adecuadamente las aplicaciones, las bases de datos, la red, los sistemas operativos etc. Estas actividades o tareas son responsabilidades del área de IT (custodio), aunque en la mayoría de los casos estas son tareas de la función de seguridad.  El papel de la seguridad de la organización será la de establecer, supervisar y ayudar a aplicar una normatividad (Políticas, Estándares, Guías, Baselines y procedimientos) dentro del marco de referencia de roles y responsabilidades desde la óptica de seguridad de las diversas funciones y áreas de la organización. Si, como sucede la mayoría de las veces veces, la función de la seguridad también es responsable de la administración de la seguridad, entonces la parte normativa debe ser separada de la función operativa aunque, como se comento no es la mejor alternativa pero en dichas circunstancias esto podría aligerar esta revoltura de roles y responsabilidades.

Cultura

La primera tarea en la elaboración o revisión de una función de seguridad es evaluar y comprender la cultura de la organización. La identidad de una organización es rara vez definida, pero es crucial cuando la normatividad se desarrolla, implementa, prueba y práctica. La Seguridad de la información es mucho más que un agente de cambio, actividades, procesos, cambios y tecnología. De esta manera, la cultura de la organización necesita ser considerada y direccionada. Esto es muy difícil, la cultura dentro de una organización consta de los supuestos, valores, comportamientos normativos, y expectativas. ¿Tiene la organización una cultura donde las personas trabajan en equipo para lograr objetivos comunes?, ¿O es una fortaleza de la cultura, donde todo el mundo es “el enemigo”? Son funciones de negocio y/o técnicas descentralizadas y autónomas, o son funciones centralizadas para garantizar mayormente el éxito?.

La actitud hacia el riesgo es sin duda una cuestión cultural. Una organización de aversión al riesgo tendrá una fuerte tendencia a pegarse a la “carta de la ley” al aplicar el de la seguridad y afectará de manera significativa el propósito primordial de la seguridad que es vivir en la organización con un nivel de riesgo aceptable.

Aprender a lidiar con la cultura es un elemento esencial de una función de seguridad exitosa. Otra clave cultural tiene que ver con el cómo una organización interpreta y enfoca los aspectos legales, marcos regulatorios y la función de auditoría. Una vez que los riesgos legales, regulatorios y el core del negocio son entendidos es necesario plantear y contestar algunas preguntas:

¿Qué hará el gobierno de seguridad de la información en toda la organización?

¿Cuáles serán incluidos/omitidos de la Carta de la organización de seguridad?

¿Una metodología de riesgos se utilizará para la toma de decisiones con respecto a la seguridad de la información?

¿La función de seguridad hoy día es centraliza, descentraliza, o una combinación de las dos?

¿Cómo y dónde encaja la función de la seguridad en el organigrama de la empresa?

¿Cómo la seguridad de la información se relaciona con otras funciones de negocios de la organización?

¿Cuál es el nivel de compromiso de la alta dirección con respecto al presupuesto?

¿Cómo la seguridad de la información se relaciona con otras funciones de control, como la auditoría, el compliance, manejo de riesgos, y la seguridad física?

¿Qué funciones “pertenecen” al CISO?; ¿Qué funciones no pertenecen a el CISO, y cuál es la decisión de los problemas a resolver?

No hay una estructura única. Existen diferencias significativas en cómo las organizaciones y la función se gestionan. Sin embargo, un factor común es que los procesos de negocio como los presupuestos, mercadeo / ventas, planeación, construcción, producción y explotación son parte del tratamiento de la seguridad como una función de negocios.

Ubicación de de la Función

Históricamente, las áreas de seguridad o mejor dicho los encargados de seguridad (muchas veces ni recursos tienen), han reportado a un bajo nivel dentro del organigrama de TI. Una práctica más reciente es el de informar al jefe de la Dirección de Tecnología (CTO), que gestiona la infraestructura tecnológica. Otro atributo de un enfoque histórico es tener más de una área de seguridad sin necesidad de que ninguna se responsabilice de la función a nivel organizacional, esto ocurre algunas veces en los grandes corporativos. Esto es especialmente cierto ya que la tecnología es en sí misma fragmentada.

En algunas organizaciones hoy día, la función de seguridad de la información a menudo informa a un vicepresidente responsable de TI o de las operaciones de una organización.

Otro enfoque es que la función de seguridad de la información del área de TI, ya sea reportando directamente a la alta dirección o a otra área especializada de la organización como podría ser la de administración de riesgos, planeación y estrategia, seguridad física, a un comité de seguridad y en algunos casos extremos al área legal o de auditoría interna.

Modificación de actividades en la Función de Seguridad

En caso de que la organización no parezca estar funcionando de manera efectiva, se pueden realizar algunas actividades para poder mejorar la situación actual de la función de seguridad:

Consolidar funciones diferentes. Si la función es fragmentada debe ser un objetivo al menos consolidar instancias múltiples basadas solamente en la necesidad de eficiencia y reducción de costos.

Separar la parte normativa de los aspectos operativos. Como se señaló anteriormente, se necesitan diferentes habilidades para manejar la parte normativa y conceptual vs a una función operativa. La separación también puede ayudar con algunas de las cuestiones “políticas” que deben ser dirigidas.

Benchmarking. Una pregunta común que se debe de hacer el encargado de seguridad es la de cómo esta mi organización en materia de seguridad con respecto a mis peers, teniendo una respuesta precisa mejorara significativamente las oportunidades para los cambios en la organización así como el desarrollo e implementación de la normatividad.

Contratar a un consultor. Tener una opinión de una persona creíble y reconocida fuera de la organización muchas veces ayuda a desarrollar e implementar un plan de acción eficaz para la función de seguridad. Esto es especialmente verdadero si la opinión del consultor es el resultado de una evaluación de la viabilidad del programa de la función de seguridad de la información.

La estructura organizacional  y las responsabilidades de la función de seguridad deben adaptarse a la cultura de la organización en general. El nivel de reporte necesita ser lo suficientemente alto para influir en el cambio y no ser indebidamente limitado por otras funciones de la organización.

Si la organización de la seguridad de la información es centralizada, descentralizada, o una combinación de las dos, es un factor de cultura organizacional y puede cambiar basándose en la evolución de la función generalmente hablando, tiende a estar a niveles más grandes de centralización en las etapas más tempranas del ciclo de vida donde se está desarrollando el programa.

En cualquier organización ya sea comercial, de gobierno o sin fines de lucro, para que las funciones de negocio sean exitosas deben ser lideradas y guiadas por una persona que tenga la difícil y compleja habilidad de comunicarse  y colaborar con otros ejecutivos, directores, gerentes y personal de la organización.

El líder debe desarrollar un nivel de credibilidad en sus perspectivas, recomendaciones y sus decisiones. Uno de los objetivos del programa de seguridad es el desarrollo de una apreciación de la necesidad y la responsabilidad de la seguridad en todos los niveles de la organización, desde el más alto nivel hasta al  más bajo. Todos los niveles dentro de la organización deben tener una seguridad adecuada o un nivel de riesgo aceptable ya que es “propiedad” de todos y  no sólo de la función  de seguridad. El logro de este objetivo es el core de la venta y marketing de la seguridad de la información. Un programa exitoso debe de tener a la gente adecuada y  una función eficaz de seguridad de la información que cumpla con las requerimientos y necesidades en materia de seguridad en la  organización.

3 Likes
25septiembre

Security Awareness: factor crítico de éxito en la seguridad de la información

By Artículos

security awarenessProbablemente el aspecto más difícil para crear un programa de seguridad de la información exitoso, es lograr la participación proactiva y continua del personal de las organizaciones a todos los niveles. La elaboración de políticas, estándares y guías de seguridad, es sólo el principio de un programa de Seguridad de la Información, sin embargo por si solas no llevan a cabo funciones, ni restringen o instruyen al personal con respecto a las prácticas de seguridad
que deben seguir y el conocimiento que deben tener.

Un programa de Seguridad de la Información será menos efectivo si no tenemos un proceso
continuo que nos proporcione la certeza de que los empleados reconocen la importancia de la seguridad, así como del rol y responsabilidad que llevan a cabo para el éxito de la misma.

Awareness es el proceso realizado para lograr una conciencia de Seguridad de la Información. El Awareness debe lograr que los individuos reconozcan la seguridad, se preocupen por ella y respondan adecuadamente. Este esfuerzo incide en actitudes y deseos de mejora.

Tal vez el primer paso para desarrollar un programa de Awareness es precisamente comprender ¿Qué es el Awareness? y ¿Cuál es su objetivo principal?, sobre todo si consideramos que una gran cantidad de planes de Awareness fracasan por la poca claridad del concepto y su propósito. El principal error que existe es confundir Awareness con entrenamiento y pretender que en los esfuerzos de Awareness se enseñen las políticas, estándares, guías y, en muchos casos los procedimientos, instructivos y herramientas relacionados con la seguridad, sin antes haber “vendido” y “comprado” la idea de la Seguridad de la Información basada en los beneficios individuales y en el valor que aporta al negocio.

El Entrenamiento es más formal que el Awareness. Incide en el conocimiento y habilidades que mejoran las capacidades y el desempeño de las funciones.

De esta forma, se clarifica la idea de la Seguridad de la Información como un problema de gente, por lo que resulta fundamental el desarrollo de una estrategia que proporcione a los empleados información adecuada sobre los diferentes temas y beneficios de la Seguridad, que basada en las necesidades reales de práctica y entendimiento, garantice que la gente comprenda, aplique y sea parte de la solución integral de Seguridad de la Información.

La Seguridad de la Información no es un problema que pueda resolverse solamente con tecnología, herramientas o infraestructura, es un problema que debe ser atendido por el negocio, con especial énfasis en su Organización y su Gente.

Security Awareness: un proceso de cambio organizacional

Con frecuencia vemos en los artículos que el Awareness es un proceso muy similar al marketing, y en algunos casos los autores se atreven a afirmar que es exactamente igual.

Sin embargo, la experiencia en este tipo de esfuerzos me permite aseverar que el proceso de marketing no es suficiente para lograr la conciencia de Seguridad de la Información en una organización, en todos los casos es necesario establecer una estrategia más compleja que permita enfocarse al factor humano no como un mercado, sino como un elemento clave que debe ser gestionado como parte de un cambio organizacional, de tal forma que el resultado del proceso de Awareness perdure lo suficiente para que la organización y las personas lo puedan madurar paulatinamente, hasta que forme parte de sus hábitos personales y de cultura laboral. Lo anterior permitirá garantizar que la Seguridad de la Información sea una moda o un impulso, sino un principio de negocio que permitirá al negocio operar de manera segura y confiable.

El Plan de Awareness debe tener la capacidad real de marcar una diferencia positiva en la vida de las empresas y en su forma de operar.

Este proceso de cambio requiere evidentemente esfuerzos mayores al marketing si tenemos en cuenta que el resultado esperado no será una labor trivial y que será necesario involucrarse con la forma y cultura de la organización.

Security Awareness, una estrategia.

Si contamos con una estrategia adecuada para resolver este problema, la situación se simplifica notablemente y la posibilidad de éxito será mucho mayor al enfocar nuestros recursos y esfuerzos de forma asertiva y estructurada.

Es fundamental que la estrategia de Awareness este basada en las carencias reales de entendimiento y prácticas de seguridad existentes en la organización, y que sea difundida por medio de los canales de comunicación de mayor preferencia e impacto entre el personal.

Las etapas de una metodología a otra pueden ser tan variadas o limitadas como los enfoques que utilizan y los objetivos que pretenden. La siguiente metodología describe en 7 fases un esquema estructurado y probado que permite lograr un Awareness asertivo y con un alto grado de efectividad.

Antes de iniciar el desarrollo de cualquier estrategia o programa de Awareness debe obtenerse el apoyo y patrocinio de la Alta Dirección.

Fase I. Inicio

Establecer la planeación de la ejecución de cada una de las fases con sus etapas respectivas y la definición de los roles y responsabilidades de las entidades involucradas, dentro de un marco de tiempo y formas adecuados para obtener el resultado esperado.

En esta etapa es fundamental definir ¿Qué es Awareness? y ¿Cuál es el objetivo?; además de conseguir un patrocinador o “sponsor” del proyecto.

Fase II. Diagnóstico

Obtener un estatus real del nivel de concientización actual de los usuarios para una determinación del nivel de vulnerabilidad organizacional en la Gente, así como las preferencias sobre los medios de comunicación utilizados en la organización para difundir información oficial y autorizada.

La selección de técnicas para recopilación de esta información suele ser muy variado, y va desde cuestionarios automatizados en la Intranet, hasta sesiones de trabajo y en algunos casos focus group, sin embargo, deberá analizarse la cultura organizacional y los métodos establecidos, y con ello determinar si es posible seguirlos en caso de que sean confiables, o bien establecer uno alterno para lograr el objetivo deseado.

Como dato adicional, algunas estadísticas de clientes en México nos revelan situaciones interesantes que en algunos resultan alarmantes para las organizaciones, sobre todo si consideramos que aproximadamente el 30% de usuarios comparte o ha compartido alguna vez su contraseña, el 13% aceptó la posibilidad de fugas de información del negocio, el 68% no sabría que hacer inmediatamente después de una infección de virus en la red, y el 83% de usuarios no ha realizado respaldos de sus equipos personales en los últimos 6 meses.

La gente realiza actividades no autorizadas, que en la mayoría de los casos son ocasionadas por errores no intencionados.

Aún y cuando estos datos son muy reveladores, no podemos basar completamente el programa de Awareness en este resultado, debemos combinar otros elementos en caso de tenerlos disponibles.

Fase III. Unificación de Requerimientos y Definición de Medios

Determinar asertivamente los rubros de Seguridad de la Información hacia los cuales deberán enfocarse los esfuerzos de Awareness, de acuerdo con la situación real que vive el negocio, considerando:

  • Resultado del Diagnóstico (etapa anterior)
  • Análisis de Riesgos. Es indispensable considerar esta entrada de información en caso de tenerla disponible, en virtud de que los esfuerzos de Awareness deberán estar orientados también a los riesgos más significativos de la organización.
  • Normatividad existente. La Normatividad no será utilizada en el proceso de Awareness, pero deber ser estudiada para no contradecir ningún lineamiento existente en materia de seguridad.

Fase IV. Definición de la Estrategia

Integrar los elementos de la estructura de la estrategia de Awareness y las diferentes herramientas que garanticen su aplicación y desarrollo adecuado dentro de un marco de tiempo apropiado, a través del uso de medios de comunicación de mayor preferencia y elementos gráficos, ya sean electrónicos, impresos o presenciales.

Un factor indispensable en la definición de la estrategia de Awareness, es lograr una adecuada definición y clasificación de audiencias, no podemos llevar los mismos mensajes en forma y fondo a la Alta Dirección que a la Gerencia Media, lo siguiente puede proveer una claridad mayor al respecto.

awareness

Fase V. Ejecución

Ejecutar, con estricto apego al Plan de Awareness, los programas y cronogramas de actividades elaborados durante la Definición de la Estrategia.

Algunas fechas que pueden ser usadas como referencia o apoyo son las siguientes:

Mayo 10 — International Emergency Response Day.
Septiembre 8 — Computer Virus Awareness Day.
Noviembre 30 — International Computer Security Day.

Fase VI. Mecanismos de Evaluación

Medir y evaluar el desempeño de las técnicas, procedimientos y la metodología que fueron empleados para difundir los conceptos y otros conocimientos sobre Seguridad de la Información, para identificar los puntos de mejora.

Algunos de los elementos que pueden ser usados para medir la efectividad del Awarenes pueden ser:

  • Cuestionarios.
  • Observación.
  • Entrevistas con usuarios finales.
  • Tickets del help desk.
  • Incidentes de seguridad, entre otros.

Fase VII. Retroalimentación

Identificar todas aquellas propuestas de mejora a la estructura y desarrollo de la estrategia para determinar su factibilidad de aplicación y ejecución.

Conclusión

La Seguridad de la Información requiere elementos adicionales a la existencia de políticas, estándares, guías, procedimientos, herramientas y tecnologías de Seguridad, es más que recomendaciones de auditoria y requerimientos de autoridades, entre estos elementos siempre encontraremos el convencimiento del negocio y el factor de la gente, en lo que respecta al segundo elemento debemos tener presente que con el Awareness tenemos que cambiar prácticas y formas de hacer las cosas de muchos años atrás, y cuando esto se lleva a cabo con gente de por medio el riesgo a fracasar es alto, debemos tener en mente que vamos a cambiar a la gente, y con ello a la organización misma.

También es necesario considerar que antes de exigir a los empleados que cumplan con los requerimientos del programa de Seguridad de la Información, primero deberán estar conscientes de la importancia de la seguridad y de los beneficios que la misma aporta al trabajo diario y al negocio, de esta forma existirá la apertura y por consiguiente el convencimiento de que las actividades que deberán realizar de forma adicional a su trabajo diario traerán como consecuencia buenos resultados.

Finalmente, tenemos que reconocer que el Awareness no debe ser una capacitación para los empleados, sino un programa que tiene como misión transmitir mensajes asertivos por diferentes métodos y mecanismos para que logren la atención de los empleados hacia la Seguridad de la información, una vez que esto se ha logrado, el Awareness puede ser considerado exitoso, sin embargo no deberá perderse la secuencia, seguido de esta actividad viene el Entrenamiento, mediante el cual los empleados incrementaran sus aptitudes para colaborar de manera formal y activa con la seguridad, sin olvidar de proveer los medios para poder llevar a cabo el cumplimiento de los requerimientos de seguridad existentes.

Like this post