Consejos y noticias TIC

En este blog podrás encontrar todos los consejos y recomendaciones sobre TIC para que tu negocio esté seguro y a la vanguardia.

Aniversario como partner de PECB

Con gran satisfacción hemos llegado a nuestro quinto año como socios únicos de PECB en República Dominicana para los entrenamientos de Certificación en Normas ISO relacionadas con Seguridad de Información, Gestión de Riesgo, Ciberseguridad y Continuidad de Negocios y Gestión de Incidentes.

Este ha sido un viaje interesante ya que hemos podido crecer junto con quienes nos han elegido como proveedores para el desarrollo en este tipo de competencias.

Durante este tiempo hemos podido impartir cursos para alrededor de un 100 personas en diferentes disciplinas, tanto en cursos abiertos como privado.

Dentro de nuestros clientes figuran todo tipo de organizaciones, ya sea gobierno, banca, academia e industria en general.

A continuación algunos de nuestros clientes de cursos de PECB

  • Superintendencia de Salud y Riesgos Laborales
  • Contraloria  General de la República 
  • Universidad Apec
  • Universidad Intec
  • Universidad Iberoamericana
  • Opitel
  • Ministerio de Administración Pública
  • Oficina Nacional de Estadística
  • Banco Central
  • CDEEE
  • Asociación La Vega Real de Ahorros y Préstamos

Dentro de los cursos que hemos impartido están

  • Implementador Principal Sistema de Gestión de Seguridad de la Información. 
  • Implementador Principal Sistema de Gestión de Continuidad de Negocios
  • Gerente de Riesgo Certificado ISO/IEC 27005
  • Gerente Líder de Gestión de Incidentes ISO/IEC 27035
  • Auditor Líder Sistema de Gestión de Seguridad de Información ISO/IEC 27001
  • Auditor Líder Sistema de Gestión de Continuidad de Negocios
  • Gerene Líder de Gestión de Riesgo ISO 31000

Hasta ahora hemos dictado el único curso que se ha impartido, a la fecha, sobre Gestión de Incidentes de Seguridad de Información basado en la norma ISO/IEC 27035.

Estos curso se han impartido directamente a través de nuestra empresa o a través de socios de negocios autorizados en sus respectivos países, tal como es el caso de sus y centro américa.

Un diferenciador importante en todos nuestros cursos es el dominio del contexto local, especialmente en las leyes y regulaciones que aplican a nuestro país.

He tenido la oportunidad de ser el asesor de la norma OPTIC Nortic A7, que es la referencia de Seguridad de Información para todo es estado dominicano.

Nuestros instructores son de alto relieve internacional, todos con experiencia multicultural en escenarios variados y demandantes.

Prontamente estaremos impartiendo otro curso más de Implementador Líder Sistema de Gestión de Seguridad de Información ISO/IEC 27001:2013.

Además agregamos horas de consultoría grátis para los participantes de todos nuestros cursos y estamos disponibles para reuniones de consulta en temas relacionados con las competencias que ofrecemos, es decir, que un curso de implementación pudede incluir también horas para asesorarte en la implementación dentro de tu organización.

Para nuestros participantes sobresaliente incluimos cupos libres de costo para otros cursos donde ellos puedan aportar y compartir su experiencia con los demás participantes.

Para nuestros clientes de consultoría siempre incluimos cursos formales de PECB como parte del proceso formativo de cara al desarrollo de competencias relacionadas con los objetivos de la consultoría.

¿Alguien que pueda acercarse a esta oferta?

Somos Partner Autorizado de Comptia

Formalmente hemos logrado la certificación de Partner Autorizado de Comptia por lo que desde ya podemos ofrecer curso de certificación con instructores certificados.

Al igual que el resto de nuestras propuestas de capacitación, ofrecemos el curriculum official reconocido/aprobado por el fabricante y el gran valor de la experiencia de nuestro personal.

Esperamos poder apoyarles en esta nueva ruta de desarrollo de competencias para el crecimiento de las organizaciones para las cuales trabajamos tanto como para del desarrollo personal.

Comptia ofrece una amplia gama de certificaciones profesionales en áreas específicas, ya sea de sistemas operativos, gestión de redes, computación en la nube, entre otras.

Esta nueva capacidad sirve de un complemento ideal a la ya amplia gama de ofertas que disponemos.

Experto recomienda ley responsabilice empresas por pérdida de datos de sus clientes

El licenciado Daniel Elías Robles dictó una conferencia en INTEC sobre la necesidad de responsabilizar a las empresas sobre la protección de información de sus usuarios y la notificación de riesgo si fueran víctimas de ataques cibernéticos

 Experto recomienda ley responsabilice empresas por pérdida de datos de sus clientes

SANTO DOMINGO. –El experto en ciberseguridad Daniel Elías Robles, recomendó crear una legislación que establezca consecuencias contra las instituciones que manejan información de terceros y no les notifican a los mismos cuando han sufrido una brecha o ataque cibernético que vulnere sus datos personales. 

Al dictar la charla “Estado presente y futuro de las normativas de seguridad y privacidad en República Dominicana”, en el en el Auditorio Osvaldo García de la Concha del Instituto Tecnológico de Santo Domingo (INTEC), Robles afirmó que las empresas, organizaciones, prestadoras de servicios e instituciones del Gobierno, que resguardan información de los ciudadanos, tienen el deber de hacer de conocimiento público, incluso a través de la prensa, que han sido atacados, y en caso de ocultarlo ser sancionados económicamente.  

 “Me parece que la alta dirección de las empresas no ve lo relacionado con ciberseguridad como un tema de subsistencia de la organización”, planteó. Además, el también presidente de Cyborg consultores de TI criticó que, por lo general, las organizaciones dan prioridad ante un ciberataque, mayormente, si la pérdida de la información o el acceso no autorizado a la información les afecta, pero no les preocupa si afecta a un tercero.

Asimismo, aseguró que en el país se han dado pasos importantes en lo relativo a las normativas de seguridad, en el sentido de que se han desarrollado algunas y otras se asumen de manera voluntaria, incluso las que son de carácter internacional. “Pero lo que me temo es que las organizaciones están asumiendo la implementación de normativas como una moda y un logro para presentar, más que como una herramienta que les va a ayudar en el crecimiento y la madurez institucional”, enfatizó. 

Las cosas que compartimos 

Robles abogó por que la sociedad comprenda el valor de la información. Dijo que, lamentablemente, el dueño de la información es el primero que incurre en el desconocimiento y se expone

“La gente al parecer desconoce las implicaciones de compartir información de forma descuidada, principalmente en redes sociales. Todo lo que decimos o colgamos en internet va asociado a nuestra identidad y nos va a perseguir toda la vida, por lo que debemos tener cuidado de las consecuencias”, sostuvo. 

La conferencia fue dictada como parte del compromiso de formación académica del Capítulo República Dominicana de la Asociación Internacional de Auditores de Sistemas y Controles (ISACA), la cual ayuda a empresas y líderes de tecnologías de información a maximizar el valor de su marca y gestionar riesgos relacionados con el manejo de información y las tecnologías. 

Publicado originalmente como nota de prensa http://www.intec.edu.do/prensa/notas-de-prensa/item/experto-recomienda-ley-responsabilice-empresas-por-perdida-de-datos-de-sus-clientes 

Sobre el blindaje contra los ataques cibernéticos.

Recientemente se publicó lo siguiente en un medio de circulación nacional 

http://www.listindiario.com/la-republica/2017/05/17/466324/el-gobierno-prepara-blindaje-cibernetico

 

Según lo que quiero poder entender del titular e introducción del artículo, es que se creará capacidad de respuesta ya que el blindaje como tal no existe para esta ni para ninguna organización en cualquier parte del mundo.

La capacidad de respuesta lo que busca es poder gestionar el incidente disruptivo de manera ordenada y ensayada con el propósito de que el daño no se propague ni aumente su impacto, trabajando posteriormente en las posibles soluciones alternativas, si las hubiere, en la eliminación de la causa raíz, si se pudiera identificar y existiera la capacidad de eliminarla, para finalmente entrar en una recuperación definitiva, si fuere posible.

Entiendo que el ejecutivo se estará refiriendo a dos o tres escenarios que sí se pueden tener los procedimientos, controles y recursos bajo el control de cierta organización

No importa la preparación que tenga una organización, el incidente habrá de ocurrir, ya sea porque cambiaron los componentes del riesgo o simplemente no pudieron completarse en tu justa dimensión a la hora de crear las recetas de respuestas.

Ninguna organización, o nación inclusive, tiene todos los recursos, dominio sobre los elementos de riesgo o variables involucradas como para garantizar el blindaje.
De hecho, la tendencia moderna de poder identificar, detectar y responder a la amenaza, dando por un hecho que sí habrá de suceder el impacto disruptivo y que no hay forma de eliminar completamente la probabilidad de ocurrencia.

Un viejo lema de esta disciplina es “Prepárate para lo peor y espera lo mejor”, y en tiempo hemos aprendido que el alcance de lo peor supera nuestra capacidad de imaginación o de consideración de todos los posibles componentes que pueden conducir al peor de los escenarios.

Entiendo que algo así es lo que se quiere comunicar.

Sí existen escenarios en los que una respuesta temprana puede ayudar a evitar que se complete un ataque, pero por lo regular estos escenarios cada día se tornan más escasos por el hecho de la aparición de la Amenazas Avanzadas y Persistentes, que por lo regular son diseñadas a la medida de una organización con el propósito de sobrepasar todos los controles de protección y detección y eventualmente permanecer residiendo dentro de la infraestructura de las organizaciones sin ser descubiertos y servir de punto de entrada y salida de información, algo que regularmente se conoce como exfiltración.

Dada la aparición de estas técnicas avanzadas los ataques furtivos rara vez son descubiertos sino en la etapa forense de la respuesta.

Pero para lograr esto en el mejor de los casos, se requiere de haber vivido durante años el proceso de aprendizaje de las lecciones aprendidas, de manera que cada centro de respuesta de cada organización o país tiene que pagar el precio del tiempo para conocer el entorno en el que se desenvuelve y el contexto del país como tal.

Mucho de lo que se requiere depende, en gran medida, de la creación de recursos administrativos, como leyes, procedimientos, y la creación de las competencias necesarias para el personal, que por lo regular, en cada nuevo lugar donde se implemente, tiene que crear su propio equipo nacional o local, porque el personal existente está ya comprometido con los centros donde se han formado y si contratar gestores convencionales de sistemas de información y seguridad de información, mucho más difícil la conformación rápida de un equipo que pueda dar respuesta a las tantas variantes que existen dentro del mundo de la ciberseguridad.

Aplaudo el esfuerzo, entiendo que como nación es impostergable, especialmente cuando tenemos ya tanta dependencia de soluciones tecnológicas y la vida nacional depende casi en su totalidad de  infraestructura crítica, tanto el aprovisionamiento de servicios como otros aspectos del aparato productivo nacional.

No obstante esto no sirve de mucho si solo el estado asume la responsabilidad de crear esta capacidad de respuesta, sino que los diferentes sectores de la vida nacional, así como los segmentos adecuados de las diferentes industrias deberían recibir el mandato de crear también esta capacidad de respuesta para que el centro de respuesta del estado pueda hacer una labor de coordinación a nivel de país y no depender de las limitantes que  pudieran estar presentando los demás actores de la vida nacional.

Ya en el pasado hemos apoyado este esfuerzo,siendo quizás uno de los pocos países donde existen varias personas, quizás no más de 6, con cierto nivel de competencia con relación al tema y que han alcanzado un nivel de certificación como Gerente de Incidentes según la norma ISO/IEC 27035,  que es una normativa ISO  orientada a la Gestión de Respuesta de Incidentes que hasta donde teníamos conocimiento solo nuestra empresa ha impartido estos cursos en América Latina, aunque no se como habrá cambiando la situación a este momento, aunque todavía tenemos varias personas de otros países interesados en un próximo entrenamiento de certificación.

Al parecer la palabra “blindaje” es la interpretación del articulista ya que la misma no aparece como cita del ejecutivo.

Como la normativa Optic Nortic A7 te puede ayudar con el ransomware de la semana

By Source, Fair use, https://en.wikipedia.org/w/index.php?curid=54032765

 

Uno de los objetivos que teníamos claro al momento de trabajar como asesor para la normativa Nortic A7 de la Optic, era poder explicar de una manera comprensible una serie de requerimientos que si se satisfacen no te garantizarían ser invulnerable, pero sí que te ayudarían en cumplir aquello que se conoce como la debida diligencia y el debido cuidado, términos sumamente importantes en lo relativo a la ciberseguridad.

En el caso que nos preocupa para este artículo es ver como en un entorno tan cambiante, tan dinámico y activo como la ciberseguridad, especialmente lo que se ha denominado por los expertos como la mayor amenaza para el ciberespacio tal y como lo conocemos hoy, nada más y nada menos con el código malicioso.

El viernes 12 de mayo de 2017, el mundo despertó, por lo menos los que estamos en esta zona horaria (-4 gmt), a la cruda realidad que de lo peor estaba comenzando, y lo estaba haciendo con mucha fuerza, cuando nos enteramos –no por lo medios convencionales, sino por colegas que se encontraban en el epicentro de tan grande evento y alertaron telefónicamente lo que estaba pasando en la madre patria.

Es la combinación perfecta para que suceda lo peor, un conjunto de vulnerabilidades desatendidas por los administradores de sistemas con una gran colección de herramientas de ciberataque desarrollada por la potencia como parte de su arsenal silencioso.

Es interesante el observar que el gran impacto de este ataque no fue por la complejidad tecnológica de los recurso que explotaba, sino por el nivel de exposición que representa el no seguir una serie de medidas un tanto rudimentarias en la ciberseguridad para poder crear capacidad de respuesta frente al código malicioso, la aplicación de parchos o actualizaciones tanto del sistema operativo como de las aplicaciones críticas de la organización.

Precisamente la normativa Nortic A7 tiene una sección dedicada al tratamiento de este tema con una serie de lineamientos escritos en lenguaje llano y fácilmente alcanzables por cualquier organización

Al final pareciera como si esta historia tuviera un final feliz porque se dice que cierto héroe anónimo desactivó la la propagación de tan indeseable mal.

No obstante si nos queda claro que los que más sufrieron, lamentablemente por ser los primeros, no fueron los que tenían peor tecnología sino los que estaban peor preparados en la forma de operar su Sistema de Gestión de Seguridad de la Información y el consecuente programa de ciberseguridad.

De este incidente podemos sacar las siguientes enseñanzas:

1.- Debido a que se dice que este ataque está relacionado con la publicación de un conjunto de herramientas de ciberguerra, es posible que simplemente se iniciara con este ataque por ser de más fácil implementación que otros que pudieran derivarse de la misma fuente.

2.- El que de manera providencial se fuera desactivada la operación de este malware no significa que no aparecerán familias completas de variantes del mismo ataque, que a su vez serán más difíciles de darle respuesta.

Pensemos de este caso como una simple prueba conceptual que servirá de inspiración a grupos organizados y a lobos solitarios que quieran probar fortuna.

3.- La alta dirección tendrá que obligatoriamente ver la ciberseguridad como algo de las más alta prioridad.

4.- Los nuevos escenarios de Continuidad de Negocios deben considerar este tipo de ataque de malware con un nivel de probabilidad más elevados que otros que tienen como causa raíz la naturaleza o amenazas creadas por el hombre dentro del ámbito físico. 

Ya no hay que afectar físicamente la sede de una organización, un ransomware puede ser más efectivo y más barato.

5.- Los llamados expertos en ciberseguridad necesitan concentrarse en el establecimiento y cumplimiento de las métricas de operación de sus sistemas de gestión.

6.- La respuesta no necesariamente requería de nuevas tecnologías

7.- No es posible lograr objetivos adecuados sin el involucramiento de la alta dirección.

Algo que hicimos durante el fin de semana es que escalamos el caso al nivel más alto al que teníamos acceso en cada organización, para evitar que se este problema se barriera debajo de la alfombra y además evitar que tanto ellos en la alta dirección como nuestra empresa fueran sorprendidos por algún incidente mayor.

8.- Los entrenamientos puramente técnicos no sirven de nada si no se van aplicar las mejores prácticas de gestión de ciberseguridad.

9.- Los equipos de ciberseguridad necesitan desarrollar nuevas competencias que estén más de la mano con procesos y objetivos de protección, no solamente en la implementación técnica.

10.- la ausencia de seguir marcos de referencia y normativas que representen requerimientos específicos y medibles solo conducen a la improvisación.

Los puntos a resaltar de cara a este artículo son los siguientes:

  • Se hace referencia inicial a los procedimientos administrativos, es decir, políticas y procedimientos que sea reales, practicables, medibles y seguibles por la parte operativa de la ciberseguridad
  • Si no se logra demostrar que la alta dirección está apoyando de manera real, mediante la asignación de recursos económicos para crear la preparación y la respuesta a todo lo relacionado con código malicioso, que tiene como punto de inicio la aplicación de las actualizaciones como una manera de reducir la superficie vulnerable al código malicio, entonces esta organización no debería poder ser certificada por parte del organismo auditor.Si tiene varios períodos esperando la aplicación del presupuesto o la asignación de recursos, entonces la organización está en una condición muy vulnerable y se no puede demostrar por evidencia que la alta dirección está comprometida.
  • La implementación de sistemas de gestión de parchos no requiere de ninguna inversión significativa por la cual se pretenda justificar la desactualziación de la infraestructura
  • La ausencia de mecanismos de medición de porcentaje de cumplieminto en este sentdo es posiblemente la causa raíz a todo este problema.
  • Lamentablemente las personas proficientes en las áreas de tecnología adolecen significativamente de capacidades de gestión y análisis que puedan ofrecer información útil par la toma de decisiones y trazar rutas de trabajo que puedan ser seguridad de manera recurrente.
  • de todas las organizaciones que contactamos posterior a la aparición de este ataque, todas tenían niveles importantes de desactualización, algunas con niveles tan preocupantes que simplemente no estaban en capacidad de dimensionar la magnitud de su problema.
  • En algunos casos los administradores de sistemas dejaron entender que el desactivar las actualizaciones era una opción válida para ellos sin medir el impacto que esto tendría para la organización.
  • En todos los casos se pudo comprobar que la relación tamaño de la organización y la cantidad de empleados con roles de ciberseguridad estaba completamente fuera de proporción, algunos ni siquiera tiene contemplado el rol, o si lo tienen es una posición de caracter simbólica para decir que tienen el personal aunque no disponga de las competencias necesarias ni la capacidad operativa.

A continuación les presentamos un extracto de la normativa Nortic A7 en lo relativo a la preparación, prevención y respuesta al código malicioso.

Nortic-a7 6.02

Ciberseguridad en el hogar sin invertir un solo centavo

Atrás quedaron los días en que las infraestructuras tecnológicas solo existían dentro de los ambientes empresariales, hoy día cualquier hogar puede tener una infraestructura compleja, solo que a pequeña escala.

Donde quiera que exista una infraestructura no faltará quien quiera sacar alguna ventaja de ella, ya sea solo para husmear viendo tus cosas privadas, o lo que se llama invasión de privacidad[1], utilizar tus propios equipos para atacar otras redes,  tal como sucede con el Internet de las cosas[2] (IoT por sus siglas en inglés), que no es que la interconexión digital, de los dispositivos que utilizamos en el día a día, tales como cámaras de video, televisores inteligentes, o cualquier otro dispositivo capaz de hablar el protocolo IP.

Lo cierto es que nuestro refrigerador, aire acondicionado o cualquier otro dispositivo podría ser utilizado como un mercenario digital, y ser controlado por extraños, siendo lo peor de todo que este uso no autorizado de tu infraestructura puede causarte serios problemas legales, económicos y daños irreparables a tu reputación.

Piensa que alguien podría utilizar la tu conexión a Internet para distribuir pornografía infantil, para el momento que te des cuenta es posible que ya las agencias de seguridad sepan más de ti que tu mismo.

La pregunta es ¿cómo puedo yo protegerme?, la segunda pregunta natural es ¿qué me costaría todo esto?, y la tercera es ¿Qué tan difícil sería manejar todo este que suena tan complicado?

Si estás leyendo este artículo es porque el tema te interesa y posiblemente pertenezcas o estés relacionado con la tecnología de información, o como dicen popularmente, con la informática.

Las preguntas anteriores tienen una respuesta común, y esta respuesta es SOPHOS.

Sophos es un fabricante líder de productos de seguridad, que se caracteriza por su gran esfuerzo por eliminar la complejidad natural de cualquier producto de seguridad y porque algunos de sus productos están disponibles sin costo alguno para ser utilizados exclusivamente en un entorno de hogar, con las mismas funcionalidades que los mismos productos empresariales.

Es decir, tú puedes lograr la misma seguridad que tienen muchas de las empresas que utilizan productos Sophos, solo que tú no tienes que invertir un solo centavo.

A continuación, veremos aprovechar esta oportunidad con varios de sus productos líderes y mejorar la seguridad de nuestros hogares y de nuestra vida digital.

Protección de dispositivos móviles.

Si eres usuario de algún dispositivo móvil basado en el sistema operativo Android, esta oferta no puedes dejarla pasar por alto.

1.- Sophos Mobile Security para Android

Descripción general

Sophos Mobile Security es una aplicación que protege los dispositivos Android sin afectar al rendimiento ni a la duración de la batería. La sincronización en tiempo real con SophosLabs garantiza que su dispositivo móvil esté siempre protegido contra los programas maliciosos y las amenazas de Internet más recientes, igual que con nuestros productos empresariales.

Sophos Mobile Security, diseñado especialmente para Android, identifica las aplicaciones maliciosas o no deseadas que podrían causar, por ejemplo, robos de datos, pérdida de datos y costes excesivos del uso de la red. Si el dispositivo se pierde o es objeto de un robo, el bloqueo o el borrado remotos protegen la información personal contra curiosos.

Para ofrecer un nivel adicional de seguridad para sus cuentas de Internet, Authenticator facilita la gestión de contraseñas de autenticación multifactorial para varios sitios como Google, Amazon y Facebook. El escáner de códigos QR seguro comprueba direcciones URL de destino en busca de contenido malicioso y amenazas de Internet y le permite escanear códigos QR sin riesgos.

Visita el siguiente enlace para ver el artículo completo y para registrarte para recibir el servicio:

https://www.sophos.com/es-es/products/free-tools/sophos-mobile-security-free-edition.aspx?id=0013000001FdzrD

2.- Sophos Home

Sophos Home protege todos los Mac y PC de casa contra programas maliciosos, virus, ransomware y sitios web inadecuados. Utiliza la misma tecnología galardonada en la que confían los profesionales informáticos para proteger sus empresas. Y lo mejor de todo es que puede gestionar la configuración de seguridad para toda la familia desde cualquier navegado.

Visita el siguiente enlace para empezar a disfrutar de este beneficio en hasta 10 equipos gestionados desde la nube:

Así de fácil, efectivo y gratis

https://home.sophos.com/es-es?id=0013000001FdzrD

La tercera oferta tiene que ver con la protección de los equipos conectados a la red

3.- Sophos XG Firewall Home Edition 

Descripción general

Nuestro XG Firewall gratuito de uso doméstico es una versión de software completa del Sophos XG Firewall, disponible de forma totalmente gratuita y sin compromiso. Proporciona una protección completa para su red doméstica, incluida protección contra aplicaciones maliciosas, seguridad web y filtrado de URL, control de aplicaciones, IPS, conformado de tráfico, VPN, informes y control, etc.

NOTA: La versión gratuita de uso doméstico de Sophos XG Firewall incluye su propio sistema operativo y sobrescribe todos los datos del equipo durante el proceso de instalación. Por lo tanto, es necesario contar con un ordenador independiente dedicado, que funcionará como dispositivo de seguridad completo. Es la aplicación perfecta para ese ordenador al que no sabe qué uso darle.

Te recomiendo que uses on equipo clone viejo, y hagas de este tu proyecto de fin de semana, de esta forma podrás proteger tu red local, los equipos conectados a tu router de Internet o cualquier otro dispositivo que utilices como punto de conexión entre la Internet y tus dispositivos en tu casa.

Visita el siguiente enlace para registrarte y recibir por correo la licencia para que actives de manera perpetua tu propio firewall casero pero con características de uso corporativo.

https://www.sophos.com/es-es/products/free-tools/sophos-xg-firewall-home-edition.aspx?id=0013000001FdzrD

Video explicativos de como configurar las funciones principales

https://community.sophos.com/products/xg-firewall/p/howto ?id=0013000001FdzrD 

De neuvo, te reiteramos que estos productos a los cuales te estamos introduciendo en este momento tienen las mismas funcionalidades que los productos que se utilizan en las grandes empresas para proteger  sus infraestructuras, solo que ellos pagan millones de pesos y tú los tienes completamente grátis.

Acerca de Cyborg Consultores de TI.

Es una empresa dedicada exclusivamente a los temas relacionados con Seguridad de Información,  ya sea consultoría, capacitación, implementación de sistemas de gestión basados en normas ISO o proveyendo soluciones claves para la protección de la infraestructura de TI.

Cyborg Consultores es el Partner más grande de Sophos en República Dominicana.

[1] https://es.wikipedia.org/wiki/Privacidad_en_Internet

[2] https://es.wikipedia.org/wiki/Internet_de_las_cosas

La muerte de un mito

 

El presente artículo tiene como propósito el llamar la atención acerca de algunos mitos que se asumen como ciertos a la hora de considerar y/o tomar una decisión en cuanto al uso de los proveedores en la nube.

No tiene como propósito encubierto el intimidar o frenar la adopción de esta herramienta, sino el ayudar a la toma de decisiones concientes que tiendan a apoyar el logro de los objetivos a alcanzar y no partir de concepciones equivocadas que ni siquiera los proveedores sostienen.

Mito #1 La nube es más segura o mi proveedor se encarga de la seguridad

El siguiente documento oficial de Microsoft sirve de alerta a aquellos que han seguido el mito de la seguridad en la nube, pensando que es responsabilidad del proveedor.

En este documento este proveedor establece cuales son sus responsabilidades desde el punto de vista de seguridad, y cuales seguirán siempre siendo la seguridad del usuario, lo cual es cierto no solo para el caso del proveedor sino para cualquier servicio independiente del modelo.

Estas observaciones aplicarían sin ningún problema para cualquier proveedor que se esté pensando en utilizar, al final del día, la organización contratante es la última responsable de su data.

En algunos de los casos el proveedor solo se responsabiliza por los edificios, la energía las comunicación y el hypervisor, quedando en la responsabilidad del contratante la responsabilidad de proteger sistema operativo, aplicaciones y la data, tal como lo haría en su propia infraestructura.

Este es un documento que toda persona relacionada con la toma de decision y la implementación de cualquier servicio contratado a un tercero debe tener presente.

¿Alguna vez has pensado en antivirus, pruebas de penetración y backups para los servicios en la nube?, especialmente para aquellos servicios en que se está adquiriendo la implementación de máquinas virtuales y servidores en la nube.

Algunos dirán, es que el proceso de aplicar parchos es muy tedioso y parece que nunca va a acabar, pues tengo para decirte que igual seguirás teniendo que aplicar parchos.

Elementos de protección como firewalls, IPS, backup fuera de línea y todas las buenas prácticas que se han desarrollado en la tierra deben de seguirse aplicando en la nube.

https://www.microsoft.com/es-xl/TrustCenter/Security/default.aspx

Mito # 2 La nube no falla

Este argumento adolece de una debilidad elemental, al igual como todo lo creado por el hombre, los servicios en la nube están expuestos a las mismas amenazas que sufren nuestros entornos en nuestras infraestructuras corporativas, y la principal de todas, el error humano.

Sí, es cierto que los niveles de disponibilidad son sumamente altos, por lo general más altos que los que nosotros podríamos lograr gestionando nuestra infraestructura, pero no es cierto que son a prueba de fallo.

La historia reciente de averías en los proveedores en la nube nos confirman la máxima de que el 70% de los errores en la disponibilidad, integridad o confidencialidad vineen como resultado de un cambio.

Cuando estos fallos suceden entonces se aplican ciertas claúsulas del contrato de que repondrán tal cantidad de dinero, que se aplicarán penalidades, o alguna otra forma de compensación muy claramente definida por la gran cantidad de abogados con los que cuentan estas firmas, pero al final del día, el negocio del que contrata un servicio con un proveedor en la nube no es que le retornen, descuenten o apliquen un crédito a la cuenta, es que los servicios estén disponibles.

Es cierto que estos apagones de ciertos servicios no son tan comunes, pero con la tendencia a moverlo todo a la nube resulta que ahora hemos desarrollado un modelo con un punto único de fallo.

Y lo que es peor, ya no hay nada que podamos hacer para recuperarnos por medios alternos porque ni siquiera se puede acceder la información al último momento antes de que suceda el evento.

Dependiendo del segmento al cual esté dirigido el negocio las consecuencias no son tan tan sencillas como publicar un mensaje en las redes sociales de que “nuestro proveedor está teniendo dificultades técnicas,y que el servicio se restaurará tan pronto como nuestro proveedor lo resuelva”

A continuación un artículo que nos muestra los incidentes más relevantes del año pasado.

http://www.crn.com/slide-shows/cloud/300083247/the-10-biggest-cloud-outages-of-2016.htm

Mito # 3 Es muy difícil quedar desconectado de la nube por todas las conexiones al Internet que tiene nuestro país.

Esta expresión, la cual hemos escuchado tantas veces, comunica lo que sería nuestro mejor deseo que una descripción de la realidad.

Resulta que con el crecimiento exponencial que están alcanzando los ataques cibernéticos a nivel del ciberespacio, ya nada podemos pensarlo como demasiado remoto o como una visión fatalista de una condición de distopía en un futuro donde reina el caos.

Por un lado tenemos a los delincuentes que buscan afectar intereses económicos mediante la interrupción de los servicios al realizar ataques masivos de negación de servicio, y por otro lado tenemos los que siguen alguna ideología política, religiosa, o que usan la afectación de los servicios como forma de expresión social.

Esto adquiere nuevas dimensiones con el incremento de las tensiones entres las potencias mundiales, los estados independientes y promotores de la anarquía que han hecho del ciberespacio el nuevo terreno de pelea para impactar negativamente a las naciones que les adversan, o como en el caso de muchos de nuestros países, que no están alineados con cualesquiera de estas tendencias.

El caso más reciente lo fue el Liberia, cuya infraestructura de Internet se vino abajo como consecuencia de un ataque masivo.

https://www.theguardian.com/technology/2016/nov/03/cyberattack-internet-liberia-ddos-hack-botnet

Como pueden ver estos son algunos de los paradigmas más comunes a la hora de considerar una migración a servicios en la nube, los cuales la evidencia nos indican lo contrario.

En otro momento seguiremos compartiendo parte de los mitos que sirven de argumentación para una toma de decisiones que al final no fur basada en la información sino en la concepción de como uno desearía que fueran las cosas.

Daniel Elias Robles es consultor e instructor certificado en Ciberseguridad.

Para más información ver www.cyborg.com.do

¿Por qué PECB?

pecb-logo_400x126

 

Una de las decisiones más importantes a la hora de considerar opciones para capacitación es cuál será el proveedor del material y la calidad de los instructores.

Muchas personas pasan por alto estos factores sin comprender el valor que estos tienen ya que una decisión no adecuada puede resultar tanto en una pérdida de tiempo, dinero, enfoque y resultados.

De manera particular, el que una organización que provea entrenamientos pueda cumplir con los lineamientos de entidades como ISO, ANSI, ISA u otro organismo reconocido significa que la experiencia de capacitación no solo garantiza la adquisición de nuevas competencias, sino que las mismas podrán ser reconocidas a lo largo de toda la industria, o inclusive a nivel mundial.

En Cyborg Consultores, líderes en entrenamientos de Seguridad de Información, Riesgo, Continuidad de Negocios. Gestión de Incidentes, entendemos esta realidad, por eso solo ofrecemos cursos certificados en estas disciplinas.

Recientemente me encontraba participando en un curso de habilitación para poder certificar instituciones en Sistemas de Gestión basados en normas ISO, y realmente se sentí afortunado donde el instructor no solo mostró un alto nivel de pericia en el manejo de todos los puntos que comprenden el entrenamiento, sino que es el editor y Gerente de Proyecto de varias normas ISO relacionadas con Seguridad de Información.

Inclusive como Organismo de Certificación de Individuos, www.pecb.com, es un privilegio el contar con el respaldo de líderes de reconocimiento global en las revisiones de normas como la familia ISO/IEC 27000.
¿Sabías que tan solo en latino américa se imparten más de 150 cursos anuales de PECB, relacionados tan solo normas ISO y Sistemas de Gestión?.

Muchos de estos cursos no solo son diseñados por PECB y sus socios, sino que también tienen en como empleados personas de alto perfil, tanto como miembros de los equipos revisores de estas normas.

En esta oportunidad he tenido el privilegio de poder recibir la capacitación de Auditor Líder de Certificación en Sistemas de Gestión a Anders Carlstedt, que dentro de su impresionante perfil figura como editor de tres normas de la familia ISO/IEC 27000.

 

Una experiencia impresionante con un grupo de profesionales de latino américa.

La próxima vez que pienses en tomar entrenamientos en normativas ISO y Sistemas de Gestión, piensa en PECB.

Cyborg Consultores de TI es socio de negocios en el área de Cyber Seguridad, Riesgo, Continuidad de Negocios, entre otras áreas de la Seguridad de Información, tanto de PECB como de EC Council.

Para más información visita www.cyborg.com.do/registro/

Página 1 de 212