miércoles, 19 de abril de 2017

OWASP Latam Tour - CIO vs CISO: OWASP al rescate

OWASP Latam Tour - CIO vs CISO: OWASP al rescate


Sobre el Tour

Recientemente se llevó a cabo en la ciudad de Córdoba, Argentina, por primera vez, el OWASP Latam Tour, específicamente en el Instituto Universitario Aeronáutico de la ciudad.

El objetivo del OWASP Latam Tour es concientizar sobre la seguridad de las aplicaciones en la región de América Latina, para que personas y organizaciones puedan tomar acciones sobre los verdaderos riesgos de seguridad de las aplicaciones.

Todo el mundo es libre de participar en OWASP y todos sus materiales están disponibles bajo una licencia de software libre y abierta.

Nuestra participación

SMARTFENSE estuvo presente en el evento y nuestro CEO, Mauro Graziosi, brindó una charla basada en la “Guía de Seguridad en Aplicaciones para CISOs” de OWASP, guía disponible en el idioma español gracias a una traducción en la que también participó nuestro CEO como revisor.

La presentación fue titulada: "CIO vs CISO: OWASP al rescate", y describió las diferentes problemáticas a las que se enfrenta un CISO en su trabajo diario, tomando en cuenta diversos escenarios posibles, y demostrando cómo esta guía de OWASP nos ayuda a la hora de resolver estas problemáticas.

Sobre la guía

Esta guía está específicamente diseñada para ayudar a los CISOs a instaurar la seguridad en las aplicaciones web de una forma permanente. Es por este motivo que se enfoca en lograr un nivel de compromiso en las inversiones de tal manera que quede institucionalizada en la organización, apoyada tanto en la gestión de riesgos como en métricas que demuestren la importancia de incorporar diferentes medidas desde etapas tempranas de desarrollo.

Está compuesta de estos cuatro capítulos:
  • Razones para invertir en Seguridad de las Aplicaciones
  • Criterios para gestionar los riesgos de seguridad en aplicaciones
  • Programa de Seguridad de Aplicaciones
  • Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad

Además, el Apéndice B permite rápidamente mapear cada una de las medidas vistas en la guía hacia un documento o proyecto dentro de OWASP, por lo que la unión entre el QUÉ y el CÓMO queda al alcance de la mano, siendo una guía que se enfoca en conseguir resultados tanto a corto como a largo plazo.

El capítulo de OWASP Córdoba

De reciente formación, el capítulo de OWASP Córdoba ya ha contado con su primer Latam Tour, el cual ha tenido una gran aceptación por parte de la comunidad de la provincia y alrededores, y del cual han surgido varias iniciativas interesantes para llevar adelante en los años venideros gracias a la buena predisposición y ganas de colaborar de todos los presentes.

En SMARTFENSE seguimos desde nuestros comienzos diferentes guías de OWASP para el desarrollo de nuestros productos y hemos brindado todo nuestro apoyo a este nuevo capítulo en el que nos hemos comprometido a participar activamente. Esperamos que el mismo continúe su crecimiento, y, si estás interesado, te invitamos a participar poniéndote en contacto con nosotros.

Leer Más

lunes, 10 de abril de 2017

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales


Reza un viejo proverbio chino:

"Dime algo, y lo olvidaré. Enséñame, y lo recordaré. Hazme partícipe, y lo aprenderé."
Jugar y aprender van de la mano. Cuando estamos involucrados activamente con un juego nuestra mente experimenta el deseo de entender el funcionamiento de un nuevo sistema.

En mi artículo anterior comenté sobre la necesidad de buscar nuevos enfoques para la difícil tarea de hacer que los procesos de capacitación y concientización en seguridad de la información produzcan cambios de comportamiento genuinos en los usuarios finales, y mencioné el uso de Ludificación como una estrategia para aumentar la motivación durante éstos procesos.

Hoy quiero mencionar un par de conceptos nuevos que muy a menudo son confundidos con ludificación, se trata del Aprendizaje Basado en Juegos (Game Based Learning o GBL) y Juegos Serios (Serious Games).

Ludificación, Aprendizaje basado en juegos y juegos serios

Mientras que aplicar ludificación implica utilizar elementos motivadores que incentiven la competición entre los usuarios, el uso de GBL consiste, directamente, en presentar los contenidos de un proceso de formación a través de un videojuego. Es decir, mientras que la primer técnica implica tomar elementos de juegos e insertarlos en el proceso de capacitación, en la segunda es la persona quien es trasladada al ámbito del juego para lograr un objetivo educativo.

Los procesos de GBL generalmente van de la mano con los denominados Juegos Serios, una caracterización aplicada a los juegos cuyo objetivo principal no es el entretenimiento, sino que fueron creados con otra finalidad, como por ejemplo generar consciencia sobre un determinado tema o enseñar.

¿Qué podemos aprender de un videojuego?

El carácter educativo de los videojuegos no es algo nuevo, su utilización en dicho ámbito data de mucho tiempo atrás. Un juego bien diseñado puede transportarnos a un mundo virtual que nos resulta familiar y nos parece relevante, lo cual resulta motivador porque es fácil ver y entender la conexión entre la experiencia de aprendizaje y la experiencia de la vida real.

Dentro de un proceso efectivo de aprendizaje basado en juegos, la persona trabaja para acercarse a un objetivo, eligiendo acciones y experimentando las consecuencias de las mismas. Puede cometer errores en un entorno que resulta libre de peligros y, a través de esa experimentación, aprender y practicar la forma correcta de hacer algo. Esto lo mantiene altamente motivado en ensayar comportamientos y procesos de razonamiento que pueden transferirse fácilmente desde el entorno simulado a la vida real.

Jugando a aprender Security Awareness

En el área de seguridad de la información, aunque la lista no es demasiado grande aún, ya existen algunos videojuegos orientados al entrenamiento de usuarios finales. CyberCiege, picoCTF y Hackend son algunos ejemplos que ilustran la variedad de tópicos y los diferentes géneros que pueden abarcarse.

Aunque todavía no existen estudios rigurosos que midan con exactitud el efecto de estos juegos en usuarios finales, la inclusión de los mismos en las campañas de concientización resultan en una disminución de hábitos inseguros en dichos usuarios.

Conclusión

Los videojuegos han demostrado poseer un gran potencial como herramientas educativas. El Game Based Learning busca aprovechar dichas capacidades utilizando Juegos Serios para transmitir conocimientos, y es un proceso mediante el cual es posible lograr profundos cambios de comportamiento en las personas.

Aunque todavía queda un largo camino por recorrer en el empleo de videojuegos como herramientas para formación en Security Awareness, su uso es ciertamente una tendencia y la cantidad de juegos disponibles es cada vez mayor. Habrá que estar atentos y empezar a conocer las alternativas que pudieran resultarnos útiles para abordar determinados tópicos. ¿Se animan entonces a incluir estos videojuegos en sus programas de capacitació?
Leer Más

martes, 4 de abril de 2017

Logros y avances de No More Ransom desde Diciembre de 2016 a Abril de 2017

Logros y avances de No More Ransom desde Diciembre de 2016 a Abril de 2017


Como Partners Oficiales del proyecto No More Ransom, nos enorgullece poner a su disposición un nuevo comunicado de prensa, publicado el día de la fecha de publicación de este post, en el cual podrán conocer los avances de esta gran iniciativa en la lucha contra el Ransomware entre el mes de diciembre del año 2016 al mes de abril de 2017.

En el mencionado período, No More Ransom agregó 15 nuevas herramientas de descifrado mientras que un número récord de socios se unieron a esta iniciativa global

Nueve meses después del lanzamiento del proyecto No More Ransom (NMR), un número cada vez mayor de agentes de la ley y Partners privados se han unido a la iniciativa, permitiendo que más víctimas de Ransomware recuperen sus archivos sin pagar a los criminales.

La plataforma www.nomoreransom.org ahora está disponible en 14 idiomas y contiene 40 herramientas gratuitas de descifrado. Desde el último informe en diciembre, más de 10 000 víctimas de todo el mundo han podido descifrar sus dispositivos afectados gracias a las herramientas disponibles gratuitamente en la plataforma.

No More Ransom fue lanzado en julio de 2016 por la Policía Nacional Holandesa, Europol, y algunas empresas privadas, introduciendo así un nuevo nivel de cooperación entre las fuerzas de la ley y el sector privado para luchar juntos contra el Ransomware. Desde el lanzamiento, decenas de socios de todos los continentes se han unido. Esto demuestra que el Ransomware es un problema mundial que necesita ser, y será, enfrentado juntos.

Las estadísticas muestran que la mayoría de los visitantes de la plataforma provienen de Rusia, Holanda, Estados Unidos, Italia y Alemania.

Anteriormente disponible en inglés, holandés, francés, italiano, portugués y ruso, la página ha sido traducida al finlandés, alemán, hebreo, japonés, coreano, esloveno, español y ucraniano. Se espera que más idiomas se hagan disponibles pronto para ayudar mejor a las víctimas en todo el mundo.

Desde la última versión, se han añadido 15 herramientas a la plataforma, ofreciendo nuevas posibilidades de descifrado a las víctimas de Ransomware: 
  • AVAST: Alcatraz Decryptor, Bart Decryptor, Crypt888 Decryptor, HiddenTear Decryptor, Noobcrypt Decryptor and Cryptomix Decryptor 
  • Bitdefender: Bart Decryptor 
  • CERT Polska: Cryptomix/Cryptoshield decryptor 
  • Check Point: Merry X-Mas Decryptor and BarRax Decryptor 
  • Eleven Paths – Telefonica Cyber Security Unit: Popcorn Decryptor 
  • Emsisoft: Crypton Decryptor and Damage Decryptor 
  • Kaspersky Lab: Updates on Rakhni and Rannoh Decryptors 

Nuevos socios privados y públicos

AVAST, CERT Polska y Eleven Paths, se unirán a No More Ransom como socios asociados, lo que eleva el total a 7. 

30 Nuevos socios también han decidido apoyar el proyecto, con lo que el total a 76. 

En cuanto a fuerzas de la ley confiere, se unen a NMR Australia, Bélgica, INTERPOL, Israel, Corea del Sur, Rusia y Ucrania; otros son Acronis International GmbH, CrowdStrike, Cyber Security Canada, DataGravity, Deloitte, eco - Asociación de la Industria de Internet (eco eV), ENISA, la Global Cyber Alliance (GCA), el Japan Cyber Control Centre (JC3), KUERT Datenrettung Deutschland GmbH, KÜRT Data Recovery and Information Security Co., mnemonic AS, Neutrino S.r.l., Portugal Telecom, Secura Group Limited, SentinelOne y Verizon Enterprise Solutions.

También hay un fuerte apoyo de la comunidad CERT, representada por AfricaCERT, CSIRT del Gobierno de la Ciudad de Buenos Aires, Centro Nacional de Cibersegurança, Equipo de Respuesta a Incidentes Certego, Cybersecurity Malasia y el Japan Computer Emergency Response Team Coordination Center (JPCERTCC).

La llegada de la INTERPOL llega como resultado de la Conferencia Ciberdelincuencia INTERPOL y Europol 2016, lo que ejemplifica la naturaleza práctica y centrada en el usuario de este acontecimiento anual conjunto.

Desde SMARTFENSE felicitamos a No More Ransom por todos sus logros y avances, y seguimos apoyando día a día la lucha contra el Ransomware.

Más información y prevención consejos están disponibles en www.nomoreransom.org.
Leer Más