viernes, 13 de octubre de 2017

Cómo desarrollar una capa de seguridad orientada al usuario [Whitepaper]

Cómo desarrollar una capa de seguridad orientada al usuario [Whitepaper]

https://smartfense.com/recursos/whitepapers/como-desarrollar-una-capa-de-seguridad-orientada-al-usuario.pdf


Mucho hemos hablado ya en este blog sobre la importancia del usuario final dentro de la estrategia de seguridad de una organización, la ausencia de soluciones mágicas en cuestiones de seguridad de la información y, por consecuencia de los dos puntos anteriores, la importancia de seguir una estrategia de seguridad en capas.

Habiendo dejado en claro todos estos conceptos, creemos que tenemos el camino llano para pasar a la práctica y comenzar a hablar sobre el desarrollo en sí de una capa de seguridad orientada al usuario. Es por esto que hemos desarrollado un Whitepaper para poder explicar en detalle todo el proceso.

Su lanzamiento coincide con la segunda semana del mes de la concientización sobre seguridad cibernética, cuya consigna es: La seguridad informática en el lugar de trabajo es cosa de todos, lo cual resulta especialmente apropiado para el tema que estamos abordando y destaca nuestro compromiso con esta iniciativa internacional.

Link al Whitepaper

Leer Más

viernes, 6 de octubre de 2017

SMARTFENSE se suma oficialmente al Mes Nacional de Concientización sobre Seguridad Cibernética

SMARTFENSE se suma oficialmente al Mes Nacional de Concientización sobre Seguridad Cibernética


En SMARTFENSE tenemos el orgullo de anunciar que formamos parte oficialmente del National Cyber Security Awareness Month (NCSAM) o Mes Nacional de Concientización sobre la Seguridad Cibernética, a través del programa de Campeones. 

En este contexto, los Campeones representan a todas aquellas organizaciones y personas dedicadas a promover una Internet más segura y confiable. Mediante esta alianza, SMARTFENSE se une a un creciente esfuerzo global entre empresas, agencias gubernamentales, colegios y universidades, asociaciones, organizaciones sin fines de lucro e individuos para promover la concientización en seguridad de la información en Internet.

Acerca de NCSAM

Coordinado y dirigido por la Alianza Nacional de Seguridad Cibernética (NCSA) y el Departamento de Seguridad Nacional de los Estados Unidos (DHS), NCSAM es un esfuerzo por brindar el conocimiento y las herramientas necesarias para que las personas puedan hacer un uso seguro de Internet que ha crecido exponencialmente desde sus inicios, llegando a los consumidores, pequeñas y medianas empresas, corporaciones, instituciones educativas y jóvenes a lo largo del mundo. 

En el mes de octubre de cada año, se lanzan globalmente miles de campañas de todo tipo destinadas a generar conciencia en temas de seguridad y privacidad en Internet. 

Cada semana del mes posee su propia consigna. A continuación mencionamos las correspondientes la edición 2017, decimocuarta edición de NCSAM:

Semana 1: Pasos simples para mantenerse seguro en línea

Abordará las principales preocupaciones del usuario de Internet, proporcionará pasos sencillos para protegerse contra estas preocupaciones y le enseñará qué hacer si es víctima de un delito cibernético.

Semana 2: La seguridad informática en el lugar de trabajo es cosa de todos

Mostrará cómo las empresas de todo tipo pueden protegerse a sí mismas, a sus empleados y a sus clientes contra las amenazas cibernéticas más comunes.

Semana 3: Predicciones actuales para la Internet del futuro

Recordará que los datos personales son el combustible del mundo moderno. Si bien hay enormes beneficios de la interconexión masiva, es fundamental comprender cómo utilizar la tecnología de vanguardia para mantener segura la información privada.

Semana 4: La Internet te necesita: pensá en seguir una carrera relacionada con la seguridad informática

Animará a estudiantes y profesionales a explorar la ciberseguridad como una profesión viable y gratificante. 

Según un estudio realizado por el Centro para la Seguridad Cibernética y la Educación, para 2022, habrá una escasez de 1,8 millones de trabajadores de la seguridad de la información.

Semana 5: Protegiendo la infraestructura crítica de los ciberataques

Examinará cómo se utiliza la seguridad cibernética para mantener a raya los riesgos que enfrentan las infraestructuras críticas. 

Responsabilidad compartida

Internet es un recurso compartido, y asegurarlo es nuestra responsabilidad compartida. Este es el tema principal del NCSAM 2017.

Actualmente, todos tenemos vidas digitales conectadas a Internet. Ya sea en nuestro lugar de trabajo, en nuestra casa, o hasta en el camino, trabajamos, aprendemos y jugamos en línea. 

Incluso cuando no estamos conectados directamente a Internet, nuestra infraestructura crítica lo está, apoyando nuestra vida cotidiana a través de transacciones financieras, sistemas de transporte, registros médicos, sistemas de respuesta a emergencias, comunicaciones personales y más.

Ninguna entidad individual, empresarial o gubernamental es única responsable de asegurar Internet. Cada uno tiene un papel en asegurar su parte del ciberespacio, incluyendo los dispositivos y las redes que utiliza. 

Las acciones individuales tienen un impacto colectivo y cuando usamos Internet con seguridad, lo hacemos más seguro para todos. Si cada uno de nosotros hace su parte - implementando prácticas de seguridad más fuertes, concientizando a la comunidad, educando a jóvenes o entrenando a empleados - juntos seremos una sociedad digital más segura.

Nuestro compromiso

En SMARTFENSE tenemos un marcado compromiso con la concientización en seguridad de la información. De hecho, es nuestra razón de ser, y estamos alineados al 100% con los objetivos globales que persigue la iniciativa NCSAM.

Es por eso que mediante esta alianza afirmamos una vez más nuestros principios, y nos comprometemos a continuar brindando recursos de calidad a la comunidad para promover la conciencia en seguridad de la información.
Leer Más

viernes, 29 de septiembre de 2017

Cybersecurity Ventures: Fase 1 superada

Cybersecurity Ventures: Fase 1 superada


Recientemente, SMARTFENSE ha sido seleccionado, junto a otros 35 proyectos, para participar de la primera fase del Programa Internacional de Aceleración “Cybersecurity Ventures”, puesto en marcha por el Instituto Nacional de Ciberseguridad (INCIBE).

Acerca del programa

Cybersecurity Ventures se creó para dar impulso a la aceleración de nuevas empresas y al desarrollo del talento emprendedor en el ámbito de la ciberseguridad. Incluye un análisis individualizado de cada proyecto y formación personalizada para cada una de las ideas de negocio. Esta formación se completará con otro tipo de sesiones, como presentaciones de casos de éxito y conferencias inspiracionales impartidas por promotores e inversores.

El programa ofrecerá un apoyo intensivo a los equipos de 10 startups seleccionadas, en forma de capacitación, mentorización y vinculación con inversores, con el objetivo de madurar los negocios para atraer inversiones.

Dentro del programa, también se llevarán a cabo sesiones de trabajo con inversores business angel, capital riesgo, corporate venturing, etc. Asimismo, se facilitarán encuentros de captación de talento para favorecer el desarrollo de sus proyectos.

Mapa de tendencias en Ciberseguridad

El programa de aceleración valorará con mayor puntuación a aquellas empresas que aborden algunos de los retos de ciberseguridad derivados de las tendencias identificadas en el documento Tendencias en el Mercado de la Ciberseguridad desarrollado por INCIBE

Dichos retos estratégicos se han resumido en la siguiente imagen, donde se destaca la formación en seguridad como uno de ellos:


También se puede ver que en los retos específicos aparece en primer lugar la concienciación en Ciberseguridad, como podemos ver en el siguiente extracto:

Generación de mecanismos de impacto de concienciación en Ciberseguridad

Plataforma que integre diferentes elementos que permitan evaluar el nivel de conciencia en términos de Ciberseguridad de una organización así como hacer un seguimiento de dicho nivel tras diversas acciones de concienciación.

La plataforma debería ser capaz de simular campañas, extremo a extremo, con los ataques más comunes enfocados hacia el usuario interno, como puede ser el phishing o malware, empleando técnicas y herramientas de ingeniería social y generando patrones de evasión contra los principales controles de seguridad con los que las compañías cuentan.

Así mismo, debe medir la efectividad de dichas campañas, proponer modelos de concienciación basados en el resultado obtenido y establecer un modelo de seguimiento que mida la evolución en términos de concienciación de la organización a través de distintas oleadas/campañas.

Sin dudas, la formación en seguridad ocupa un lugar prioritario entre los retos identificados, y ha sido un factor determinante a la hora de la elección de SMARTFENSE como participante del programa.

Próximos pasos

SMARTFENSE se encuentra ahora en fase de valoración sobre papel, junto con otras 35 startups. A partir de esta valoración, seguirá una entrevista con nuestro CEO el día 10 de octubre. Las 15 mejores tendrán la oportunidad de participar presencialmente en un exposición pública en el encuentro 11ENISE, que se celebrará en León los días 24 y 25 de octubre de 2017, donde se presentará a los 10 proyectos de startups que pasan al programa de aceleración, más los 5 siguientes que serán mantenidos en reserva.

Agradecimientos

Desde SMARTFENSE agradecemos a todas las personas que nos han brindado su apoyo tanto cuando la inscripción al programa sólo era una idea, como ahora que se ha convertido en una realidad, con sus tuits de felicitaciones y su fe en nuestra empresa.
Leer Más

lunes, 18 de septiembre de 2017

Monitoreo + Concientización = Expectativa de Privacidad

Monitoreo + Concientización = Expectativa de Privacidad


Para comenzar con este post, me parece apropiado tomar una definición muy interesante y clara del libro CISSP All-in-One Exam Guide:

El concepto de privacidad es diferente al de seguridad. Privacidad es la habilidad de un individuo o grupo de controlar quién tiene cierto tipo de información sobre ellos. Es un derecho individual que permite determinar qué datos tendrá otra persona sobre uno mismo, quién tendrá permitido conocer esos datos y cuándo esas personas pueden accederlos. La seguridad se utiliza para hacer cumplir estos derechos de privacidad.
La privacidad es un tema realmente amplio y un sólo post no alcanzaría nunca para poder abarcarlo por completo. Es por eso que el presente se acotará sólo a la privacidad puertas adentro de las organizaciones, en específico a aquella que cada empleado espera tener respecto al monitoreo de sus actividades dentro de la organización y a la importancia que tiene esta expectativa en el marco legal.
 

El monitoreo de usuarios

Uno de los principales problemas que aqueja a las organizaciones en cuanto a la privacidad de sus empleados tiene que ver con el monitoreo de los mismos. Éste sucede por ejemplo cuando se realizan escuchas en llamadas telefónicas, se graban videos de seguridad o se guarda un registro del historial de navegación de los empleados.

El objetivo de una organización al llevar adelante este tipo de acciones pueden tener que ver con aumentar el rendimiento de los empleados, mejorar la satisfacción de los clientes, disuadir a los empleados de realizar acciones que están prohibidas, etc.

Antes de comenzar a monitorear la actividad de sus empleados, una organización deberá investigar exactamente qué puede y no monitorear antes de hacerlo según las leyes de privacidad que rijan en su país.

Por otro lado, debe aclararse que el monitoreo debe estar siempre relacionado al trabajo. Si un gerente tiene el derecho de escuchar las conversaciones de sus subordinados con sus proveedores, no significa que tenga también el derecho de escuchar conversaciones personales que no están relacionadas con el trabajo. El monitoreo a su vez debe ser realizado en forma consistente, de manera que todos los empleados estén sujetos al mismo monitoreo, no sólo una o dos personas.

La expectativa de privacidad

Quizá pueda parecer que con lo presentado hasta el momento cualquier organización puede comenzar sin problemas sus procesos de monitoreo. En realidad, podrán comenzar a hacerlo (muchas lo hacen), pero no sin problemas.

Falta tener en cuenta al actor principal de esta historia: la persona que va a ser monitoreada.

En pocas palabras, la organización debe concientizar a sus empleados para que sepan qué tipo de monitoreo puede ocurrir durante su trabajo. Esta es la mejor manera para una organización de protegerse legalmente, si es necesario, y evitar a su vez dar sorpresas a sus empleados.

Si una organización cree que es necesario monitorear los correos de sus empleados, esto debe ser explicado a los mismos, primero, a través de una política de seguridad, y luego a través de un recordatorio constante, como por ejemplo un newsletter o entrenamiento regular.

De la misma manera, cada persona no sólo debe saber a qué tipo de monitoreo puede estar sujeta, sino que también debe conocer exactamente cuáles son considerados comportamientos aceptables y cuáles son las consecuencias de no cumpir dichos comportamientos. Esto, además de ayudar legalmente a la organización puede disminuir los niveles de estrés, desconfianza e insatisfacción que el monitoreo puede causar a los empleados.

Por último, la organización deberá poseer un registro que respalde las acciones de concientización que ha realizado concernientes a este tema, que pueda ser tratado como un documento legalmente admisible. Este tipo de registro o documento que avale dicha concientización se conoce como renuncia a la expectativa razonable de privacidad, o (REP por sus siglas en inglés: reasonable expectation of privacy)

Si esto no sucede, cuando el monitoreo tome lugar, los empleados podrán reclamar que sus derechos de privacidad han sido violados y lanzar una demanda civil contra la organización.
 

Conclusión

En este artículo pudimos ver cómo la concientización y el entrenamiento van más allá de la creación de hábitos seguros para los usuarios, sirviendo en este caso como un instrumento indispensable a la hora de tratar con la expectativa de privacidad de cada una de las personas dentro de una organización.
Leer Más

martes, 5 de septiembre de 2017

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes

El pasado 31 de agosto y 1 de septiembre, tuvo lugar el VI Encuentro Nacional sobre Seguridad de la Información de Entidades Financieras y sus Clientes, del cual SMARTFENSE fue Sponsor exclusivo.

pieza3agosto.png

Acerca del evento

El objetivo del evento ha sido brindar una actualización sobre los temas que se enumeran a continuación, de la mano de reconocidos especialistas del rubro:
  • Análisis de los casos de Ransomware. Estrategias a implementar
  • Plan de Continuidad del Negocio como acción mitigante del riesgo
  • Políticas de seguridad implementadas en Cloud Computing
  • Evolución del Phishing como Amenaza Persistente Avanzada
  • Cómo comunicar a otras áreas de la organización para prevenir los ciberdelitos
  • Mecanismos de protección ante grandes volúmenes de datos
  • Blockchain: cómo resguarda y cuáles son los potenciales casos de uso
  • Firma Digital: Beneficios e implementación.
  • Cómo gestionar los distintos eventos y proteger la información de una manera efectiva

WhatsApp Image 2017-08-31 at 23.41.51.jpeg

Usuarios: el tema principal

En su mayor parte, el evento giró en torno a la importancia del usuario para la seguridad de la información de las organizaciones.

Por un lado, se dejó claro que el mayor porcentaje de incidentes de seguridad de la información tienen como puerta de entrada al usuario. Uno de los datos más impactantes fue que el 91% de los problemas de seguridad comienzan con un ataque de Phishing, y tanto éste como el Malware se encuentran en los primeros puestos de las principales preocupaciones de las organizaciones en materia de seguridad.

Por otro lado, se remarcó, en base a lo mencionado en el párrafo anterior, la importancia de incluir al usuario en la estrategia de seguridad de la organización como una nueva e importante capa de seguridad para la misma.

De hecho, la Concientización fue nombrada por la audiencia como la primera medida a tomar en el caso de encarar la seguridad de la información dentro de una organización, lo cual da cuenta de que los responsables de seguridad poco a poco van tomando consciencia de la problemática que enfrentan al tener usuarios con hábitos inseguros, realidad que ya ha sido asumida en países del primer mundo hace tiempo.

DSC_0476.JPG

Entrega de premios

Además de apoyar económicamente el evento, desde SMARTFENSE hemos ayudado en la difusión del mismo, tanto previamente como en el transcurso del mismo, a la vez que entregamos material sobre nuestra plataforma, contribuimos en la evangelización acerca de la importancia del usuario final, y realizamos un pequeño desafío en el segundo día del evento, cuyos ganadores fueron premiados.


Leer Más