viernes, 24 de noviembre de 2017

Cuando el recurso más valioso de la organización se transforma en amenaza

Cuando el recurso más valioso de la organización se transforma en amenaza


¿Qué es un delito informático y quiénes lo cometen?

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” [1]. La informática puede ser el medio o el fin de esos actos delictivos llevados a cabo por individuos malintencionados [2]. Por ejemplo, en la informática como medio un ciber delincuente utilizaría un ordenador para acceder sin permiso a un sistema y robar información para después venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la informática es un fin sin importar el medio utilizado para lograrlo.

¿Dónde está el foco de la seguridad en las organizaciones y qué se descuida?

Cuando se habla de delitos informáticos lo más habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro que residen fuera de la organización. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos. 

Estadísticas de delitos informáticos y fugas de datos en relación con los empleados

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversación de fondos o ataques de venganza tras haber sido despedidos. Según un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el 34% de la información de las organizaciones se ve comprometida intencionalmente por el personal interno [3]. Otro artículo publicado por Heimdal Security en 2016 indica que el 59% de los empleados roba información de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo está en los usuarios con accesos privilegiados [4]. Esta información robada es la que posteriormente sería utilizada para cometer diversos tipos de delitos.

¿Para qué se utiliza comúnmente la información robada por los empleados?

La 10ma Edición del “2017 Data Breach Investigations Report“ de Verizon alerta que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye: proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje [5].

¿Cómo suelen los empleados hacerse con la información?

La fuente mencionada anteriormente también indica que los empleados logran acceder a la información que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

¿Qué motiva a un empleado a robar información?

Según el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la información de la empresa al resultar tentado con la ganancia financiera

¿Por qué el empleado se anima a delinquir?

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).

¿Cómo prevenir estos delitos y cómo reducir las consecuencias en caso de que ocurran?

La implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos informáticos por parte de los mismos. Además, las políticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consuma algún tipo de delito.

La correcta implementación de políticas y gestión de contraseñas y controles de acceso son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusión

A la hora de llevar adelante la gestión de seguridad de la información la organización debería considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una riesgosa exposición. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas - y lo sabe - y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Fuentes

Leer Más

viernes, 17 de noviembre de 2017

 Una pequeña ciudad representando a toda Latinoamérica

Una pequeña ciudad representando a toda Latinoamérica

SMARTFENSE es el nombre de la plataforma online de concientización y entrenamiento en seguridad de la información que ha sido elegida por INCIBE, el Instituto Nacional de Ciberseguridad de España, para participar de su programa de aceleración.

INCIBE es una institución reconocida mundialmente en el ámbito de la seguridad de la información, y su programa de aceleración, orientado específicamente a empresas de este ámbito, es uno de los más codiciados. Sólo diez empresas han logrado formar parte del mismo, si bien fueron setenta y seis las postuladas para hacerlo, provenientes de diferentes partes del mundo.

Orgullo Latinoamericano, gestado en la UTN de Argentina

La empresa detrás de la plataforma SMARTFENSE, llamada “Digital Content Machine S.A.” ha sido creada por tres Ingenieros en Sistemas de Información graduados en la Universidad Tecnológica Nacional de Argentina, específicamente en su Facultad Regional San Francisco: Graziosi Mauro, Sánchez Mauro, y Testa Fernando. La empresa fue fundada en la misma ciudad donde se graduaron, en el año 2016, y un año después, ya ha sumado ocho nuevos miembros:
  • Abratte Pablo, Ingeniero en Informática, graduado en la Facultad de Ingeniería y Ciencias Hídricas, de la Universidad Nacional del Litoral.
  • Armando Silvana, Ingeniera en Sistemas de Información, graduada en la UTN FR San Francisco.
  • Barlatay Carolina, Licenciada en Administración, Universidad Nacional del Litoral.
  • Bruna Nicolás, Ingeniero en Sistemas de Información, graduado en la UTN FR San Francisco.
  • Casco David, Ingeniero en Sistemas de Información, graduado en la UTN FR San Francisco.
  • Monella Hugo, Analista de Sistemas, graduado en el Instituto Cooperativo de Enseñanza Superior de Sunchales.
  • Robledo Miguel, Ingeniero en Informática, graduado en la Facultad de Ingeniería y Ciencias Hídricas, de la Universidad Nacional del Litoral.
  • Bianciotti Lucas, estudiante de Tecnicatura en Programación en la UTN FR San Francisco.
  • Cugno Emiliano, estudiante de Ingeniería en Sistemas de Información en la UTN FR San Francisco.


Parte del equipo de SMARTFENSE, que reside en la ciudad de San Francisco, en Argentina

La startup de San Francisco, no sólo es la única empresa que representa a Argentina en el programa Cybersecurity Ventures, sino también, la única seleccionada de toda Latinoamérica.

La necesidad detrás de SMARTFENSE

Las organizaciones de cualquier tamaño y rubro manejan una gran cantidad de información en su día a día, la cual es considerada uno de sus activos más importantes.

Ésta, es manipulada en distinta medida por cada persona dentro de una organización, siendo cada una de ellas responsable de cuidarla y manipularla correctamente.

Lamentablemente, existen una gran cantidad de situaciones que pueden poner la información en peligro, provocando que la misma se pierda, se dañe o se publique sin autorización.

Frente a esta situación, las organizaciones deben fomentar el desarrollo de hábitos y comportamientos seguros en las personas que forman parte de ella, de manera de mantener a la información segura. SMARTFENSE es una plataforma online que facilita este desarrollo permitiendo tanto capacitar como poner a prueba a los empleados de una organización frente a situaciones reales de riesgo.


El programa de Aceleración

Cybersecurity Ventures” es el nombre de la Aceleradora Internacional de startups en Ciberseguridad impulsada por INCIBE junto con la colaboración de la Junta de León y Castilla y el Ayuntamiento de León.

El programa se creó para dar impulso a la aceleración de nuevas empresas y al desarrollo del talento emprendedor en el ámbito de la ciberseguridad.

El mismo ofrecerá un apoyo intensivo en forma de capacitación, mentorización y vinculación con inversores, con el objetivo de madurar cada startup para atraer inversiones y nuevos clientes.


Acerca de INCIBE

El Instituto Nacional de Ciberseguridad de España (INCIBE), es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos Españoles.

Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de transformación social y oportunidad para la innovación. Para ello, con una actividad basada en la investigación, la prestación de servicios y la coordinación con los agentes con competencias en la materia, INCIBE lidera diferentes actuaciones para la ciberseguridad a nivel nacional e internacional.


Mauro Graziosi, CEO de SMARTFENSE en el edificio de INCIBE
Leer Más

sábado, 4 de noviembre de 2017

¿Cuánto duran las campañas de Phishing?

¿Cuánto duran las campañas de Phishing?



En mi día a día dentro del ámbito de la concientización y entrenamiento en seguridad de la información, suelo recibir preguntas relacionadas a la duración de las campañas Phishing. Esto es porque uno de los métodos más efectivos para poder medir el grado de exposición de una organización frente a este tipo de ataques es, directamente, simular el ataque mismo y ver cuál es el comportamiento de los usuarios frente a una situación de Phishing real, pero inofensiva.

¡Que caigan todos!

Y al momento de lanzar una simulación de Phishing una de las dudas más comunes que asaltan a las personas a su cargo, es cuánto tiempo durará la misma. Lo más frecuente, es que en una primera instancia las personas se inclinen por realizar simulaciones con una duración de semanas, o incluso meses. El objetivo parece ser tener el tiempo suficiente para que caigan en la trampa simulada la mayor cantidad posible de personas, pero haciendo un análisis del comportamiento de las campañas de Phishing reales, podemos ver que éste no es el mejor enfoque.
 

Atrápame si puedes

Según un reporte de Webroots, el tiempo promedio que una campaña de Phishing está activa es de 15 horas, el tiempo mínimo 15 minutos, y el máximo 44 horas. Además, el 84% de las campañas de Phishing analizadas duró menos de 24 días, por lo que podemos ver una clara tendencia: Las campañas de Phishing duran poco, y hay un motivo para ello.


Ciclo de vida de un ataque de Phishing en horas - Fuente: Webroots

En un pasado no muy lejano, un solo ataque de Phishing duraba varias semanas o meses, y se mantenía alojado en un determinado dominio propiedad del atacante. Esto, si bien parecía una buena idea, brindaba a las organizaciones el tiempo suficiente para detectar y bloquear los mensajes de correo electrónico o los sitios web que el atacante utilizaba y evitar así que sus usuarios sean víctimas. Las empresas de seguridad a su vez incluían los dominios o IPs de este tipo de ataques en sus listas negras y ese Phishing quedaba fuera de pelea.

Por este motivo, los atacantes han evolucionado (y no sólo lo hicieron en este aspecto...) y han disminuido el tiempo que sus campañas de Phishing permanecen activas en un mismo dominio, lo cual permite que sea más difícil su detección. Además, utilizan dominios legítimos, los cuales comprometen para poder cargar su contenido malicioso, haciendo que sea más difícil bloquearlos mediante listas negras. Una página en específico de determinado dominio que en este momento es segura, el próximo segundo puede ser vulnerada por un delincuente y alojar contenido de Phishing.

Volviendo a la duda principal

Teniendo en cuenta lo dicho hasta aquí y recordando que la duda más recurrente es cuánto debería durar una campaña de Phishing simulado, si queremos ser fieles con la realidad, la misma no debería extenderse por más de dos días. De esta manera, podremos obtener estadísticas que se correspondan más con lo que realmente sucede en las campañas de Phishing lanzadas por los ciberdelincuentes y no desviar las mismas con situaciones que es menos probable que ocurran.
Leer Más