viernes, 15 de mayo de 2020

Cómo utilizar el Calculador de Costos de Ransomware, nueva herramienta gratuita

Cómo utilizar el Calculador de Costos de Ransomware, nueva herramienta gratuita


El calculador de costos de Ransomware es una herramienta de software libre que permite, a partir de datos básicos de entrada, conocer los costos en los que incurriría una organización en el caso de una infección por Ransomware.

Webinar


Objetivo

El objetivo del calculador es generar conciencia sobre el impacto económico que puede tener el Ransomware en una organización.

Por lo general, los altos mandos de las organizaciones no son conscientes del peligro al que están expuestos y el área de seguridad o tecnología no logra una comunicación efectiva mediante términos técnicos.

Utilizando el calculador, es posible generar un informe con claros indicadores gerenciales. Al disponer de métricas concretas expresadas en dinero, la comunicación con la alta gerencia es más sencilla. El impacto de los costos de un ataque de Ransomware son de utilidad para lograr el apoyo y el presupuesto necesarios para afrontar este riesgo latente.

Obtener un presupuesto adecuado puede redundar en la implementación de un plan de concientización de usuarios. La concientización es una de las armas más importantes para disminuir el riesgo de infección por Ransomware.

Modo de uso

La herramienta solicita una serie de datos agrupados en las siguientes categorías:
  • Datos generales
  • Copias de seguridad
  • Recuperación de equipos
  • Rescate
  • Información de negocio
Es importante destacar que la información ingresada no se envía a ningún servidor externo. Todos los cálculos son realizados dentro del mismo navegador, para mayor seguridad.


Recomendaciones para la carga

Como todo hecho social, un ataque de Ransomware a una organización siempre reviste variables imposibles de predecir. En ese sentido, el calculador brinda un resultado representativo para la organización pero no 100% exacto

Es por eso que se recomienda ingresar datos promedio para toda la organización, originados idealmente en una reunión interáreas. La participación de distintos representantes de diferentes áreas de la organización permitirá una aproximación más acertada de cada dato ingresado.

Resultados

El Calculador presenta los resultados distribuidos en seis escenarios diferentes. Cada uno de ellos incluye distintas variables que podrían incidir frente a un incidente de Ransomware:
  • Porcentaje de equipos infectados
  • Existencia de un descifrador para el Ransomware
  • Pago del rescate y consecuencias
  • Copias de seguridad de la organización y estado de las mismas


Cada escenario representa un costo diferente para la organización.


A su vez, es posible ver un detalle desagregado acerca de la composición de los costos de cada escenario, haciendo clic en cualquiera de ellos.

Dichos costos se dividen en costos tecnológicos y costos de negocio.

El primero es quizá el más directo de los dos, ya que refiere a los gastos asociados a limpiar los equipos afectados, restaurar sus copias de seguridad, generar nuevamente la información que no se encontraba respaldada y, si corresponde según el escenario, realizar el pago del rescate.

El costo de negocio considera cuestiones relacionadas con el tiempo en horas que llevarán las distintas actividades mencionadas en el costo tecnológico, y el costo de improductividad y oportunidad asociados a este tiempo de recuperación.


Es posible ver los detalles de cada costo haciendo clic en el indicador correspondiente a cada uno:


Ideas finales

El Calculador de Costos de Ransomware es un proyecto libre, que nació en 2017 dentro de una hoja de cálculo, que ha evolucionado mediante su aplicación práctica en distintas organizaciones y el aporte de distintos profesionales del rubro.

Su primera versión en línea, lanzada el 15 de mayo de 2020 es sólo un paso más dentro de este enriquecedor proyecto, el cual esperamos seguir avanzando mediante el aporte de la comunidad de la Seguridad de la Información.

Animamos a cualquier persona interesada en el proyecto a comunicarse con nosotros para realizar sus aportes o dejarnos sus opiniones al respecto.

Y dejamos un agradecimiento especial a quienes hicieron posible su lanzamiento:

Licencia

El Calculador de Costos de Ransomware se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.
Leer Más

martes, 28 de abril de 2020

Cómo utilizar el Kit de Autodiagnóstico sobre Teletrabajo Seguro a su favor

Cómo utilizar el Kit de Autodiagnóstico sobre Teletrabajo Seguro a su favor

KATS es el Kit de Autodiagnóstico sobre Teletrabajo Seguro. Como detallamos en nuestro sitio web, KATS permite determinar el nivel de exposición de su organización frente a posibles ataques relacionados con el Teletrabajo. Además, ofrece recomendaciones de mejores prácticas junto a un plan de acción para mitigar los riesgos detectados.

Una transformación tecnológica apresurada

La pandemia del Coronavirus causó una transformación tecnológica que de otra manera quizá no hubiera sido posible sino en muchos años a futuro. Dicha transformación demostró a muchas empresas y personas que trabajar de forma remota es posible, y existen muchos beneficios asociados a esta modalidad.

Sin embargo, la migración al teletrabajo, en el caso de muchas organizaciones, fue apresurada y hasta obligada. Aquellas que no estaban preparadas de antemano para gestionar los riesgos de esta situación, adoptaron el teletrabajo tomando pocas o hasta ninguna medida de seguridad para su información.

Por qué creamos KATS

Ya sea que las organizaciones sigan teletrabajando únicamente mientras dure la pandemia, adopten esta modalidad dentro de su día a día, lo hagan en forma parcial o deseen tenerla en cuenta sólo para futuras emergencias, es necesario que protejan adecuadamente su información.

En este contexto, desde SMARTFENSE, y junto con la colaboración de Segu-info, IniciACtiva y AsegurarTE, lanzamos KATS.

Cómo utilizar el Kit

La utilización es muy sencilla. Primero, es necesario responder las preguntas del autodiagnóstico. Se trata de preguntas concretas cuya respuesta puede ser Sí, No, Parcial o N/A.


Una vez completas, se obtiene un reporte con la puntuación de su organización. El mismo se divide en las siguientes categorías:
  • Acceso Remoto
  • Equipos de Usuarios
  • Hábitos de los usuarios
  • Cumplimiento
  • Gestión y Organización de la Seguridad
  • Seguimiento del Proyecto


Finalmente, KATS presentará un Plan de tratamiento de riesgos y mejoras acorde a su organización. Además, permitirá establecer un cronograma para la aplicación de las actividades derivadas de dicho plan como así también conocer otra información de interés.


Lo más importante: El seguimiento del proyecto

Las actividades relacionadas con el Plan de tratamiento de riesgos y mejoras no servirán de mucho si sólo quedan en una buena intención de realizarlas.

Por ejemplo, si se recomienda lanzar simulaciones de Phishing y Ransomware para medir el estado de su capa humana y llevar adelante un programa de concientización de usuarios para mejorar los hábitos de sus usuarios, esta recomendación sólo tendrá un efecto tangible si se lleva adelante de manera concreta y continuada.

Por este motivo, es necesario establecer un responsable de la implementación del plan que permita realizar un seguimiento cercano y pueda llevar a su organización desde su estado actual al estado óptimo propuesto por el kit.

Comience ahora a proteger su información

Descargue KATS y empiece a ejecutar su plan de tratamiento de riesgos.
Leer Más

viernes, 17 de abril de 2020

Videojuego RUN CISO RUN

Videojuego RUN CISO RUN


Días pasados publicamos el videojuego retro RUN CISO RUN. Lo utilizamos desde hace ya unos años en nuestras participaciones en ferias comerciales y congresos. Tengo que reconocer que ha evolucionado mucho a lo largo del tiempo y esperamos siga evolucionando, ya que lo encontramos tan pegadizo como los otros juegos de la década de los 80 por su simpleza (gracias a nuestro genio Pablo Abratte).

Dinámica del juego

En el juego nos encontramos con una pantalla dividida verticalmente en tres secciones:
  • A la izquierda se plantea un escenario de inacción absoluta, donde los ataques provienen desde el exterior y solo las herramientas técnicas tratan de detener a los ciberdelincuentes.
  • En el centro está nuestro personaje, el CISO, que corre para generar contenido e impartir el programa de concientización en ciberseguridad a los usuarios finales.
  • A la derecha se encuentra SMARTFENSE como plataforma de concientización, lanzando las campañas de forma constante.
En la medida que la velocidad del juego se va acelerando, nos vemos corriendo en búsqueda de generar contenido e impartirlo. Esto se da de forma reactiva y muchas veces ante la vorágine del juego (y de nuestra labor como CISOs) nos damos cuenta que no lo estamos haciendo de forma eficaz ni eficiente. Y este juego que dura apenas 90 segundos nos deja exhaustos...

Análisis de resultados

Al finalizar la partida, recién podremos comparar los costos de cada una de las alternativas. Las mismas que tenemos en la vida real como CISO de nuestra organización…


Se puede ver a la izquierda que la inversión en el caso de la inacción obviamente fue nula en concientización en seguridad de la información para los usuarios finales, pero lamentablemente las amenazas fueron despiadadas, llevándonos a gastar ese dinero ahorrado y mucho más en la remediación.

A la derecha actuó SMARTFENSE. Al ser una plataforma de concientización que nos permite programar campañas según el programa de awareness diseñado, asegura que se generan hábitos seguros en los usuarios con una inversión baja. De esta manera, es posible disminuir el riesgo ante phishing, spear phishing y ransomware. 

Los resultados en la pantalla del medio dependerán de cómo lo hayamos hecho nosotros, si ahorramos o invertimos, y de nuestra capacidad de respuesta ante las condiciones externas. En este caso, destacamos que no es fácil pensar cuando actuamos de forma reactiva a la situación que se nos presenta, y tampoco sabemos los efectos hasta que termine el juego (o el año, en el caso de nuestra organización).

¿Es posible “ganarle” a SMARTFENSE?

En el videojuego sí, ya que está diseñado para que las amenazas se lancen aleatoriamente, por lo que es normal que la instancia de la derecha donde está SMARTFENSE también reciba ataques (como puede pasar en la vida real). La situación del medio depende de nosotros, por lo dependerá de la expertise de cada uno encontrar la forma de invertir lo menos posible en formación y además, frenar gran parte de las amenazas. Para eso necesitamos muchos intentos de práctica (o años en la vida real). Aún así, estaríamos corriendo todo el tiempo… ¿es lo que queremos?

Esa fue la pregunta que me hice hace ya varios años y la respuesta fue un “no” rotundo. De hecho, fue el motivo por el que creamos SMARTFENSE. Para los que no lo saben, hace ya varios años me encontraba trabajando como CISO y me la pasaba corriendo sin saber qué tan efectivo era nuestro esfuerzo. Dándonos cuenta de esto, notamos que en el mejor de los casos, lograr un programa de concientización con una calidad y eficiencia aceptable nos iba a llevar años. Y finalmente nos íbamos a volver expertos en algo que podría haber sido tercerizado desde el inicio, con mucha mejor calidad, eficacia y control

Teniendo en cuenta lo anterior, la escasez de personal de ciberseguridad y sabiendo que otros tantos CISO en Iberoamérica se encontraban en la misma situación, decidimos dejar de quejarnos y actuar, en este caso creando una plataforma de concientización específica.

En los inicios de nuestra empresa también detectamos que la gran mayoría de los CISOs estaban colapsados de tareas, y por más simple que fuera la solución, en muchos casos no encontraban el tiempo ni para implementarla. Es por ese motivo que encontramos el aliado perfecto en los partners que entregan valor agregado, acompañándolos, no solo en la implementación y en la resolución de los inconvenientes, sino en el establecimiento de la línea base, en la programación, en la analítica y en la generación y adecuación de contenidos específicos. Hoy en día, nos es difícil pensar en trabajar sin ese aporte de valor ya que cada organización que quiera generar hábitos seguros en los usuarios finales necesita un diagnóstico preciso y un mensaje adaptado a su realidad, y es por eso que el partner integrador juega un rol clave.

Conclusiones finales

Si bien el juego trata sobre la concientización de usuarios, cada CISO se encuentra ante esta situación a diario en varios frentes, por lo que esperamos que el juego pueda ayudar a hacer esa retrospectiva y pensar qué es lo que quieren de su área de ciberseguridad y de su calidad de vida.
Leer Más

jueves, 9 de abril de 2020

Reduciendo el riesgo de ciberincidentes en el teletrabajo improvisado

Reduciendo el riesgo de ciberincidentes en el teletrabajo improvisado



Debido a la reciente pandemia, las organizaciones se encontraron repentinamente ante una situación de estrés, pánico y ausentismo masivo. Por ello, una de las medidas adoptadas para sobrevivir fue habilitar el trabajo remoto para muchos de sus empleados. Al momento, gran parte de las organizaciones lo hicieron como pudieron, de un día para el otro, sin ningún tipo de previsión. Por esta razón, hoy se encuentran ante un gran desafío, ya que podrían haber descuidado aspectos importantes de la seguridad en el teletrabajo

En esta circunstancia, uno de los desafíos es lograr que los usuarios puedan seguir accediendo a los recursos de la organización desde una conexión a Internet fuera de las oficinas, igualando las condiciones de seguridad que tienen dentro. Una de las soluciones más prácticas, que brinda el equilibrio ideal entre seguridad, rendimiento y asequibilidad, son las redes privadas virtuales (VPN). 

Una VPN permite acceder a los recursos de la organización evitando la revelación y manipulación de la información que viaja a través de Internet (desde el sitio remoto hacia la organización y viceversa), como así también accesos no autorizados. Esto último es posible gracias al proceso de autenticación, en donde el sistema confirma la identidad del usuario.

Además, podemos mejorar la seguridad si la organización le facilita al teletrabajador un equipo corporativo (ej. portátil) que cuente con una serie de controles técnicos y el usuario, por su parte, se compromete a seguir unas buenas prácticas

Consejos para la organización

Las soluciones técnicas de acceso remoto seguro (por ejemplo, VPN) pueden ser basadas en sistemas locales o en la Nube. Lo más habitual es implementar un sistema local de VPN con acceso directo a los propios equipos de los usuarios.

Algunos consejos para mejorar la seguridad en el acceso remoto

  • Realizar una implementación segura de la VPN (por ejemplo, elección del protocolo y algoritmo de cifrado adecuados, modo túnel en lugar de modo transporte, etc.). 
  • Aplicar actualizaciones y parches de seguridad en los equipos de red, sobre todo en el que establece la VPN. 
  • Validar la identidad del equipo de usuario remoto a través de un certificado digital. 
  • Restringir las direcciones IP origen desde las que se permite originar las conexiones. 
  • Implementar Doble Factor de Autenticación (2FA) en el acceso VPN. 
  • Revisar las características de seguridad del equipo remoto, para garantizar que dispone de: 
    • Endpoint antimalware actualizado, configurado adecuadamente y programado para realizar análisis periódicos. 
    • Despliegue de actualizaciones y parches de seguridad periódico. 
    • Cifrado de disco para la protección de los datos en caso de robo o pérdida. 
    • Medidas para evitar el almacenamiento local de datos sensibles (ej. Endpoint DLP). 
    • Permiso de administrador local deshabilitado. 
    • Autenticación por usuario y contraseña segura, que puede ser forzada mediante un controlador de dominio. Evaluar incorporar un segundo factor de autenticación para equipos críticos que puedan almacenar información sensible. 
  • Aplicar listas de acceso en el finalizador del túnel VPN (donde se hallan los recursos) para garantizar que el usuario sólo puede acceder a los servicios y aplicaciones específicas. 
  • Restringir accesos y unidades en los equipos remotos (ej. dispositivos extraíbles). 
  • Disponer de registros de auditoría de las conexiones (direcciones IP origen y destino, horario de inicio y fin y usuario) y revisarlos con frecuencia. 
  • Realizar la inspección de tráfico generado en el túnel. 
  • Limitar el ancho de banda y priorizar a los usuarios críticos. 
  • Alertar sobre el Phishing y otros ataques dirigidos a los teletrabajadores, a través de un programa de formación y concienciación en seguridad de la información

Consejos para los teletrabajadores (usuarios remotos)

  • Nunca conectarse a redes públicas (tengan o no contraseña). Un atacante podría publicarla o estar conectada a ella para obtener nuestras credenciales y acceder a la información. 
    • Si nos conectamos desde casa, verificar que la red Wifi al menos se nos solicite una clave de acceso. 
  • Desconectar el equipo de la red de la organización siempre que sea posible. Ejemplo: conectarse a la VPN, descargar ficheros del servidor al escritorio, trabajar sobre ellos, volverse a conectar y cargar los archivos al servidor de la organización. El ejemplo es a modo ilustrativo, ya que cada organización debería definir sus políticas de trabajo remoto. 
  • Almacenar la información de la organización en los directorios indicados por la organización donde se realicen copias de seguridad. 
  • Hacer buen uso del equipo de usuario corporativo, evitando: 
    • Almacenamiento de archivos personales. 
    • Navegación web a sitios de entretenimiento o interés personal. 
    • Uso por parte de otros miembros de la familia. 
  • No compartir credenciales de acceso al equipo con otros individuos. Si se hizo por error solicitar al administrador de sistemas un cambio de contraseña. 
  • Bloquear el equipo siempre que quede desatendido
  • Al transportar el equipo de un lugar a otro, llevarlo en un bolso o funda y nunca perderlo de nuestro rango de visión. 
  • Prevenir daños en el equipo: evitar dejarlo en el bode de un escritorio, protegerlo de la luz del sol, de altas temperaturas, etc. 
  • Comunicar incidentes o comportamientos anómalos del equipo al administrador de sistemas por los canales apropiados.

Comentarios finales

Estas son algunas recomendaciones puntuales que servirán para ayudar al negocio a operar de manera segura en estas circunstancias. Más allá de eso, es sumamente necesario que las organizaciones incorporen formalmente el teletrabajo seguro, ya sea de forma regular o para casos de fuerza mayor, a sus procesos mediante políticas, procedimientos y otro tipo de documentación. En esta instancia habrá que definir canales de comunicación transparentes y seguros con empleados y terceros (videoconferencias y reuniones virtuales), la habilitación de canales de comunicaciones para reuniones mediante Internet, la actualización del listado de perfiles de personas que pueden teletrabajar, entre otras.
Leer Más

jueves, 2 de abril de 2020

Videojuegos: tus power-ups para la concienciación en ciberseguridad

Videojuegos: tus power-ups para la concienciación en ciberseguridad


Aprender con videojuegos

En artículos anteriores ya hemos hablado sobre las ventajas de los videojuegos como herramientas educativas: permiten al usuario experimentar y cometer errores en un entorno altamente motivador y libre de peligros.

En el terreno de la ciberseguridad, los videojuegos son una herramienta que puede aprovecharse mucho para la concienciación de usuarios finales. Se ha comprobado que su uso resulta en un aumento de hábitos seguros.

Las aventuras de Gupi

Las Aventuras de Gupi es una serie de videojuegos lanzados por SMARTFENSE en los cuales un pez llamado Gupi, nuestro personaje principal, se enfrentará a diferentes desafíos en el tempestuoso mar de la seguridad de la información.

El usuario final se verá honrado con la responsabilidad de guiar las acciones y decisiones de Gupi, ayudándolo a llegar hasta el final de su aventura sin sufrir un incidente.

Pero el usuario no estará solo, sino que un pez sabio brindará consejos útiles cuando los desafíos no parezcan tener solución.

Evitando morder el anzuelo

La primera entrega de Las Aventuras de Gupi, ubica a nuestro personaje principal en un mar lleno de medusas, su plato favorito.

Presionando sobre ellas, Gupi se acercará para comerlas, pero antes de que lo haga, las medusas mostrarán una URL y será nuestra tarea clasificarlas como seguras o inseguras. Si tomamos la decisión correcta, Gupi comerá la medusa con felicidad, pero si nos equivocamos, ¡morderá un anzuelo y será pescado!

¿Ayuda Gupi a concienciar?

Para avanzar en las distintas rondas del videojuego, será necesario aprender a identificar URLs sospechosas o fraudulentas. 

Pero el jugador no estará solamente aprendiendo sino que formará parte de una aventura épica: el viaje de Gupi para aprender a valerse por sí mismo. El jugador se identificará con el personaje, compartirá su búsqueda y crecerá con él.

A diferencia de los contextos reales, dentro de los cuales muchas veces resulta difícil sumergirse, las Aventuras de Gupi: evitando morder el anzuelo, motiva al usuario a participar de manera mucho más intensa y le provee de feedback abundante que potencia su aprendizaje y lo hace consciente de sus propios logros.

¡A jugar!

Recientemente se abrió al público la versión Beta de Las aventuras de Gupi: evitando morder el anzuelo. El mismo se puede jugar en https://gupi-adventures.smartfense.com/

¡Lo invitamos a sumergirse junto a Gupi y a compartir el videojuego con sus usuarios!

¿Podrá llegar al final de la aventura?

Leer Más

viernes, 27 de marzo de 2020

El impacto en la huella de carbono a través del teletrabajo en SMARTFENSE

El impacto en la huella de carbono a través del teletrabajo en SMARTFENSE


Tomemos un minuto para pensar el impacto en el ambiente. 

Qué placentero es ver las aguas transparentes de Venecia o a los animales tranquilos en su hábitat en estos días. Ni hablar de ver cómo mejoran los índices de contaminación en las ciudades más afectadas del mundo. Parece hasta un pedido de la naturaleza para que reaccionemos y pensemos lo que estamos haciendo con ella.

¿Qué pasará cuando la rutina habitual de trabajo pueda restablecerse? Seguramente algunas actividades no presenten cambios, pero sería bueno que este tiempo sirva para reflexionar sobre lo que hacemos cada día, cómo impactamos en el ambiente y qué podemos mejorar.

De hecho, pueden conocer cuál es su huella de carbono tanto a nivel personal, familiar, como empresarial; para esto solo escriban en su buscador preferido “medidor de huella de carbono” y utilicen alguno de ellos.

El hecho de que las personas tengamos que teletrabajar ha significado muchísimo menos movimiento de vehículos, lo que obviamente reduce la contaminación. Ahora bien, hay ciertas actividades que notablemente requieren que nos movamos de un lugar a otro, pero otras, claramente, da lo mismo desde dónde las hagamos.

Otro tema es el medio de transporte de acuerdo a su propiedad. En el caso del transporte privado (que se entiende es un privilegio tener esa libertad) tiene un costo, y nos referimos nuevamente al vinculado al medio ambiente (no a su bolsillo). Incluso si hablamos de autos eléctricos, donde recordemos que siguen teniendo un impacto grande en la naturaleza por su propia producción y en la saturación también de los espacios de las ciudades. La pregunta aquí es: ¿es una comodidad o una necesidad? Y otro interrogante a considerar: ¿cuántos automóviles se “necesitan” en una familia?

Para no entrar en el debate familiar, nos vamos a enfocar en el aspecto laboral y comentar un poco sobre nuestra filosofía y experiencia como empresa comprometida con el medio ambiente.

Las ideas de SMARTFENSE

Primero, somos una empresa de e-learning, por lo que apostamos desde el día 0 a que la gente puede aprender de forma online sin mayores inconvenientes, que no sea necesario estar movilizándola para que se forme.

Segundo, somos una empresa jóven, que apostamos a la innovación pero con responsabilidad. Así por ejemplo, creemos que el uso de tecnologías como blockchain son un mal ejemplo contra el medio ambiente. ¿Por qué? Los invitamos a buscar “consumo energía blockchain” y verán el consumo excesivo de energía que requiere el minado. Es irónico que estemos usando un foco de bajo consumo y luego apostemos a tecnologías donde ya se estima tienen más consumo energético que un país.

Tercero, somos individualmente personas con alta conciencia medioambiental, es por eso que:
  • los altos cargos y gran parte del staff no contamos con un automóvil propio, usamos exclusivamente el transporte público
  • minimizamos los viajes de negocio, propiciando siempre el uso de tecnologías que permitan la gestión de forma remota
  • trabajamos en espacios de coworking
  • no trabajamos con horarios fijos y nadie está forzado a ir a las oficinas

Al trabajar con más de 100 mayoristas y partners, notamos igualmente que en cada territorio y dependiendo también de cada empresa, existe una resistencia hacia el teletrabajo y al trabajo colaborativo online en lo específico. Hemos tenido la suerte de concretar acuerdos en varios países sin haber viajado nunca a ellos, pero en uno en particular (lo dejaremos en el anonimato) hemos viajado mucho (en transporte público) para poder avanzar las gestiones comerciales. Entendemos que para ciertos aspectos es preferible y para otros indispensable el trato personal, pero luego... trabajemos remoto todo lo que podamos.

Hacia algunas conclusiones

Esperamos entonces, que este aislamiento global ayude a generar conciencia y que no se vuelva a los viejos hábitos donde parece que no queda opción otra más que ir a la oficina todos en el mismo horario recorriendo largas distancias, luego viéndose forzados a visitar a clientes, a ir cada uno en su vehículo, etc.

Esperamos que este confinamiento obligatorio sea el punto de partida para comenzar a cambiar la manera de pensar de los CEOs de las empresas por un lado, pero también de los individuos que conformamos las mismas.


Curiosidad: ¿saben cuántos clientes conseguimos donde forzosamente tuvimos que utilizar un vehículo propio? Uno. Fue una de nuestras primeras ventas. Esto significa menos del 1%, pero seguiremos trabajando para que ese porcentaje siga bajando.
Leer Más

lunes, 23 de marzo de 2020

Servicio de concienciación gratuito en teletrabajo seguro

Servicio de concienciación gratuito en teletrabajo seguro


Motivación

Como mencionamos en este artículo, mantener la seguridad de la información en una modalidad de teletrabajo no sólo implica desafíos tecnológicos. Aún estando físicamente alejado de la organización, el usuario demuestra, una vez más, ser el factor más importante al elaborar nuestra estrategia de seguridad.

Atendiendo a esta realidad y a la necesidad de las organizaciones de concienciar a sus colaboradores sobre teletrabajo seguro, SMARTFENSE pone a disposición su plataforma de manera completamente gratuita.

Esfuerzo mínimo

Para formar y concienciar a sus usuarios en este importante tópico, debe enviar un email desde su cuenta corporativa a recursos.gratuitos@smartfense.com.

Nuestro equipo solicitará únicamente un archivo CSV con los datos mínimos de los usuarios que usted desee alcanzar.

Sin ningún otro accionar de su parte, sus usuarios recibirán un contenido semanal durante un mes, alternando entre entrenamientos interactivos y newsletters amigables que reforzarán los conceptos aprendidos. 

Requisitos de la plataforma

SMARTFENSE implica un consumo mínimo de ancho de banda, ya que todo su contenido se encuentra optimizado para funcionar correctamente incluso para las conexiones más lentas y congestionadas.

Sus usuarios sólo necesitarán contar con acceso a Internet y correo electrónico, además de utilizar un navegador web con soporte oficial.

¡El momento es ahora!

Incluya a sus usuarios en su estrategia de seguridad. Un usuario con hábitos seguros es un escudo más protegiendo la seguridad de la información de su organización.

¡Aproveche este recurso gratuito y entrene a su legión de usuarios seguros!
Leer Más

sábado, 21 de marzo de 2020

SMARTFENSE, home office by design

SMARTFENSE, home office by design


Introducción

SMARTFENSE es mi quinto emprendimiento, y es la convergencia entre mis dos pasiones: la ciberseguridad y la educación. De la misma manera que las otras empresas que creé, fue cofundada con socios habitantes en la misma ciudad. Nuestro personal inicial a su vez, también residía en el mismo lugar. Sin embargo, todos estábamos incómodos...

Esto fue así porque implantamos una política de no considerar la presencia física como la única opción para trabajar. Fue duro, porque todos estábamos a un trecho corto incluso a pie, y si bien nos reuníamos presencialmente, no se permitía que los procesos fueran frenados si estábamos a distancia. Si bien considerábamos un privilegio estar reunidos físicamente, eso podía cambiar de un momento a otro por la propia naturaleza de la empresa.

Y así fue. En 2017 participamos del programa de aceleración de empresas del Instituto Nacional de Ciberseguridad INCIBE, llamado CYBERSECURITY VENTURES. Eso significó que como CEO de la empresa estuviera 5 meses en España. Allí fue más duro aún, pero gracias a todo lo hecho anteriormente en pos del home office, nos permitió mantener la operatoria normal de la empresa. Muchos decían que alejar al CEO de la empresa en sus inicios implicaba un riesgo muy grande, y sí, lo fue en algunos aspectos, pero nunca desde el día a día en la empresa ya que no se vió afectada.

Al finalizar el programa de aceleración, ya el equipo se hizo mucho más distribuido aún, pero nada de esto fue un problema porque estábamos preparados tanto mentalmente como tecnológicamente para el desafío: libertad para el personal, autonomía, autogestión y responsabilidad. Tengo que estar agradecido en ese sentido porque quienes se sumaron a SMARTFENSE lo han entendido desde el inicio y pudieron adecuarse a este modo de trabajo, que no implica solamente conectarse de forma remota.

¿Todas las organizaciones son compatibles?

En realidad, no pasa por un tema tecnológico. Eso está solucionado desde hace años con distintas opciones. En primer lugar, se trata del convencimiento de la Dirección, porque implica una forma de gestionar el capital humano depositando la confianza suficiente para que sepan que no se lo medirá por la cantidad de horas dedicadas sino por el compromiso y los resultados.

En segundo lugar, está el tema de la selección del personal, ya que no todas las personas están preparadas para tener estas libertades: implica una gran disciplina y autogestión. Por este motivo, un emprendedor debe buscar otros perfiles con espíritu emprendedor que lo acompañen en la travesía.

Por último, la selección de las herramientas que se adecuen mejor a la organización, siendo lo menos relevante.

¿Cómo es el teletrabajo en SMARTFENSE?

En SMARTFENSE hacemos uso de herramientas colaborativas online que permiten su uso a través de cualquier navegador web y soportan a múltiples usuarios trabajando al mismo tiempo sobre el mismo recurso. Así, es posible trabajar de manera ágil y desde cualquier parte del mundo.

Herramientas de oficina

Puntualmente, utilizamos las herramientas colaborativas de Google Suite. Nos permite editar documentos, hojas de cálculo y presentaciones en línea. Tiene como ventaja extra que su curva de aprendizaje es realmente baja, por su parecido con software de oficina tradicionales.

Sistemas de gestión

Absolutamente todos los sistemas que tenemos son en la nube, tanto sea para gestionar clientes con Salesforce, con nuestro ERP Xubio y el sistema para dar soporte a través del sistema de tickets OTRS.

Herramientas de comunicación

Nos comunicamos por múltiples medios, dependiendo de las preferencias personales y las de nuestros partners y clientes: Skype, Zoom, Google Meet, Gmail y Boomerang, por ejemplo.

Todas las notificaciones oficiales, como ser las notas de Releases o los mantenimientos programados se realizan desde nuestra propia solución SMARTFENSE con la funcionalidad de Newsletters.

Las encuestas de satisfacción también son cubiertas con SMARTFENSE a través del componente específico para esa función.

Herramientas de planificación

Existe un sinfín de herramientas que permiten planificar y gestionar todo tipo de actividades en línea y de manera colaborativa, pasando por los tradicionales diagramas de Gantt hasta el desarrollo de mapas mentales, tableros de Kanban o simples post-it. En SMARTFENSE, preferimos Trello como instrumento de planificación genérico, que posee la flexibilidad de adaptarse prácticamente a cualquier proceso que desee modelarse.

Por otro lado, usamos Zenhub para cuestiones más específicas como la gestión del desarrollo del producto mediante el framework SCRUM.

Google Calendar también complementa a todo lo dicho anteriormente.

Herramientas de desarrollo

En cuanto a SMARTFENSE, entrando ya en el mundo del desarrollo de software, se utilizan diversas herramientas como Github para la gestión del código, QATouch para la gestión del testing o Heroku como plataforma base.

Herramientas de marketing

Al estar presentes en LinkedIn, Twitter y Blogger, Hootsuite nos facilita la programación de las campañas.

También hacemos uso de Google Analytics, y las herramientas de analítica de cada red social para conocer las reacciones de nuestros usuarios.

Herramientas de formación

En este caso nos apoyamos en SMARTFENSE tanto para la certificación técnica como comercial, a través de los componentes de Módulos interactivos y exámenes.

Herramientas de seguridad

Si bien hacemos uso de múltiples herramientas tanto a nivel personal como corporativo que son 100% online, no podemos dar información sobre las mismas por aspectos de confidencialidad.

Conclusión

Más allá de las tecnologías en particular, se destaca que todas ellas tienen en común el hecho de ser herramientas en la nube, que pueden accederse desde cualquier lugar con una conexión a Internet y un navegador web. 

Elegir herramientas de este tipo es importante para el teletrabajo, pero tener un equipo de personas predispuesto a trabajar de esta forma es indispensable.

¿Estás preparado para comenzar a teletrabajar?

Nota: Todas las herramientas mencionadas en este artículo pueden ser utilizadas de manera gratuita estando al alcance de cualquier organización.
Leer Más

viernes, 20 de marzo de 2020

Un gran poder conlleva una gran responsabilidad

Un gran poder conlleva una gran responsabilidad


El escenario actual

El hito que ha marcado la pandemia del Coronavirus en el teletrabajo no tiene precedentes. Incluso las organizaciones que no habían admitido el trabajo a distancia se encuentran migrando (como pueden) a esta modalidad.

No todos los desafíos son tecnológicos

Las organizaciones deben enfrentar distintos desafíos tecnológicos para realizar teletrabajo seguro, pero eso es sólo una cara de la moneda.

Al permitir el trabajo a distancia, se está confiriendo a las personas un poder muy útil, que utilizado de manera incorrecta, puede ser muy peligroso para la seguridad de la información de la empresa. Se trata de la capacidad de trabajar con información sensible desde lugares remotos, en situaciones que escapan de nuestro control.

Aunque es posible aplicar diferentes medidas técnicas para resguardar la información en estos casos, ninguna de ellas será 100% efectiva por sí misma. Es indispensable entonces incluir al usuario en la estrategia de seguridad de teletrabajo, encarando de esta manera la seguridad del teletrabajo en capas de protección, siendo el usuario una de las más importantes.

Cómo lo logramos

La respuesta más común es indicar a los usuarios qué deben y qué no deben hacer mientras realizan teletrabajo, para así resguardar la información. Esto no sirve.

Hay una única manera de que una persona haga algo, y es que quiera hacerlo

¿Cómo logramos entonces que una persona quiera tener hábitos seguros?

Debemos darle motivos claros y métodos sencillos para tener comportamientos seguros.

Debemos contarle a qué peligros se enfrenta, de qué manera puede prevenirlos y, lo más importante, por qué le conviene saberlo. Es decir, todo debe apuntar a apreciar el punto de vista del usuario, alinear lo que a él le interesa con los objetivos organizacionales.

Debemos hacer énfasis en las ventajas que los comportamientos seguros en Internet tienen tanto a nivel personal como laboral y brindar ejemplos prácticos y concretos de la vida real.

Cierre

Teniendo en cuenta lo mencionado, podemos ver al Coronavirus como una oportunidad para convertir el área de seguridad en un área de valor para nuestros usuarios.

La concientización de usuarios en ciberseguridad, realizada desde este punto de vista, es una inversión transversal, que beneficia a todos los niveles de la organización y brinda resultados comprobables y mensurables a corto plazo.
Leer Más

viernes, 17 de enero de 2020

La perspectiva del ciberdelincuente: lanzando un ataque de Phishing con herramientas gratuitas

La perspectiva del ciberdelincuente: lanzando un ataque de Phishing con herramientas gratuitas



Un buen día para un ataque BEC


Hoy, como todos los días, era un buen día para lanzar un ataque de Phishing. Podría ser masivo, pero por motivos económicos, opté por un ataque del tipo BEC dirigido a la compañía Hábitos Inseguros S.A

Cosechando potenciales víctimas

Lo primero que necesité para realizar mi ataque fue conseguir el correo electrónico del CEO de la compañía, para suplantar su identidad. Además, tuve que conseguir la dirección de correo de mis potenciales víctimas.

Para esto, generalmente, basta con hacer un poco de OSINT. Utilicé la herramienta The Harvester, que brinda un listado de los correos electrónicos que se encuentran publicados en Internet de una determinada compañía, analizando para esto diversas fuentes abiertas como Google, Twitter o LinkedIn.

Todos los correos encontrados tenían la forma estandarizada de nombre.apellido@habitos-inseguros.com

Con esto en mente, ingresé a LinkedIn y en minutos encontré el nombre y apellido tanto del CEO como de algunas personas dedicadas a las finanzas de la organización.

Con esta información pude construir los correos electrónicos que necesitaba para mi trampa de forma realmente sencilla.

Preparando la carnada

Con el correo del CEO es sencillo idear distintos engaños, dado su nivel jerárquico. Además, los correos son fáciles de diseñar, ya que suele bastar con simples correos en texto plano.

En este caso, utilicé el siguiente mensaje y seleccioné como destinataria a una de las dos personas de finanzas que encontré en LinkedIn.


En este caso, el correo se basó en hacer sentir importante a la persona receptora con una serie de halagos, apelando a su profesionalidad para que responda con prioridad al pedido realizado. Con una excusa de ámbito legal, se solicitó que la comunicación se realice sólo por email para evitar que una comunicación por vías alternativas arroje luz sobre el engaño.

¡A pescar!

A la hora de enviar un correo de Phishing, existen diferentes caminos a seguir. En mi caso, como deseo suplantar al CEO de la organización, lo primero que hice fue utilizar la herramienta Spoofcheck para ver si el dominio habitos-inseguros.com podía ser suplantado, pero me encontré con que estaba protegido mediante SPF, DMARC y DKIM.

En este caso, había dos alternativas:
  • Encontrar un dominio similar al de Hábitos Inseguros S.A mediante la herramienta DNS Twist que se encuentre desprotegido y utilizarlo, como por ejemplo habilos-inseguros.com.
  • Consultar la configuración del servidor de correo de Hábitos Inseguros S.A para ver si podía conectarme al mismo y enviar un correo desde la dirección del CEO hacia la persona de finanzas, aprovechando la falta de mecanismos de autenticación en el protocolo SMTP.
Elegí la alternativa número dos, y para esto seguí los pasos descritos en este post. Gratamente, me encontré con que el servidor de correos era vulnerable a este tipo de ataques, por lo que pude enviar sin problemas el correo suplantando la identidad del CEO.

¡Pesca exitosa!

Dado el grado de efectividad de este tipo de ataques, era muy probable que suceda lo que terminó aconteciendo: Ese mismo día, tenía en mi poder el dinero de la transferencia solicitada.
Leer Más