Incluso a la NASA le roban sus laptops
A cualquiera le pueden robar su notebook. A ti, a mí, a un familiar, a un amigo, a un vecino, incluso a la NASA. Así es, ni siquiera la famosa agencia espacial se salva de los robos.
Tal parece que un buen número de empleados de la NASA están en peligro luego del robo de una laptop no encriptada y otros documentos importantes desde un vehículo de la agencia. El ladrón les ha obligado a cambiar algunas reglas a nivel de seguridad.
Charles Bolden Jr., el administrador de la NASA, está muy descontento con la situación y ahora le ha dado una prioridad máxima a todas las tareas que respectan a la seguridad y están llevando a cabo todas las investigaciones que les sean posibles. Recordemos que el año pasado la agencia sufrió una importante pérdida de datos que involucraba toda clase de códigos e información sobre los empleados.
A partir de ahora, todas las portátiles de los empleados deberán estar encriptadas antes del próximo 21 de diciembre. Además de esto, la agencia prohibirá a sus trabajadores almacenar información importante en dispositivos como tablets y smartphones.
La agencia con tecnología de punta que una vez nos llevó a la Luna (si es que así fue) deberá de hacer algunos cambios importantes.
sábado, 17 de noviembre de 2012
domingo, 4 de noviembre de 2012
Hasta un novato lo puede hacer. ¡Qué roche!
La seguridad de las empresas es comprometida por novatos [Verizon]
Aunque el crimen organizado en Internet es una realidad cada vez más apremiante, la mayoría de los ciberataques (96%) que comprometen información de valor dentro de los ambientes empresariales son ejecutados por usuarios novatos con técnicas simples, de acuerdo al reporte 2012 Data Breach Investigations Report [PDF].
El informe desarrollado por el operador Verizon -que cuenta con el apoyo del Servicio Secreto de Estados Unidos, la Unidad Central de Crimen Digital de la Policía y las divisiones de combate al cibercrimen de Alemania, Irlanda y Australia- destaca que en el último año a nivel mundial se han reportado más de 855 incidentes y poco más de 174 millones de archivos comprometidos.
“Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospitalidad y alimentos son los nuevos blancos de ataque de los delincuentes en línea”, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
Rivera menciona que la razón principal detrás de la tendencia radica en que muchas empresas dentro de estas verticales, carecen de programas, procesos o sistemas de seguridad, sin embargo sí procesan datos bancarios de tarjetas de crédito o debito.
"Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera", comenta.
El informe de 2012 señala que el numero de brechas y datos comprometidos del último año ha sido uno de los más altos, sólo superado por 2004 —año en el que el operador comenzó a realizar el análisis—.
Los datos del informe, según Rivera, también levantan diversas preocupaciones pues 98% de la brechas de información son generadas por agentes externos, de estas 81% utilizaron algún método de hacking, 69% incorporó el uso de malware y 58% fueron resultado de protestas hacktivistas.
“La mayoría de ciberataques responde a un tema de oportunidad más que de elección, es decir, son víctimas que tienen una debilidad que puede ser aprovechada por los cibercriminales, difícilmente se tratan de ataques dirigidos”, cita el informe.
De acuerdo con cifras del 2012 Data Breach Investigations Report, 79% de las víctimas fueron blancos de la oportunidad, 96% fueron vulnerados por ataques simples y en el 85% de los casos a las empresas les tomó más de dos semanas detectar el robo de información.
Lo más crítico, dice Rivera, es que 97% de los incidentes analizados por Verizon podrían haberse evitado con simples controles o políticas claras de seguridad.
"El problema más grave en seguridad IT es que muchas industrias están llenas de fuertes incongruencias. Por ejemplo, el sector salud cuenta con tecnología de punta para salvar la vida humana, pero operan con los controles mínimos para proteger la información de empleados o pacientes", comenta Rivera.
Situación similar con las regulaciones y estándares de industria, pues muchas empresas tienden a creer que con estar en cumplimiento o por aprobar la auditoria están exentos de ser vulnerados por los cibercriminales.
Las regulaciones de gobierno como Sarbanes Oxley y los estándares de cumplimiento como PCI, son un arma de doble filo porque si bien ayudan a mejorar y crear procesos y controles de protección, también generan un sentido falso de seguridad, apunta Steve Rivera.
El informe de Verizon también demuestra que el número de brechas de seguridad generadas por usuarios internos -intencional o no- se mantiene a la baja. En 2010, los incidentes generados por usuarios internos representaban 12%, contra 86% provocados por agentes externos (cibercriminales).
En el informe de 2012, la cifra se redujo a 2% interno, contra 98% de las brechas provocadas por usuarios externos a la organización, criminales que en nueve de cada 10 casos buscan vulnerar a la organización en busca de un beneficio económico.
Aunque el crimen organizado en Internet es una realidad cada vez más apremiante, la mayoría de los ciberataques (96%) que comprometen información de valor dentro de los ambientes empresariales son ejecutados por usuarios novatos con técnicas simples, de acuerdo al reporte 2012 Data Breach Investigations Report [PDF].
 |
“Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospitalidad y alimentos son los nuevos blancos de ataque de los delincuentes en línea”, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
Rivera menciona que la razón principal detrás de la tendencia radica en que muchas empresas dentro de estas verticales, carecen de programas, procesos o sistemas de seguridad, sin embargo sí procesan datos bancarios de tarjetas de crédito o debito.
"Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera", comenta.
El informe de 2012 señala que el numero de brechas y datos comprometidos del último año ha sido uno de los más altos, sólo superado por 2004 —año en el que el operador comenzó a realizar el análisis—.
Los datos del informe, según Rivera, también levantan diversas preocupaciones pues 98% de la brechas de información son generadas por agentes externos, de estas 81% utilizaron algún método de hacking, 69% incorporó el uso de malware y 58% fueron resultado de protestas hacktivistas.
“La mayoría de ciberataques responde a un tema de oportunidad más que de elección, es decir, son víctimas que tienen una debilidad que puede ser aprovechada por los cibercriminales, difícilmente se tratan de ataques dirigidos”, cita el informe.
De acuerdo con cifras del 2012 Data Breach Investigations Report, 79% de las víctimas fueron blancos de la oportunidad, 96% fueron vulnerados por ataques simples y en el 85% de los casos a las empresas les tomó más de dos semanas detectar el robo de información.
Lo más crítico, dice Rivera, es que 97% de los incidentes analizados por Verizon podrían haberse evitado con simples controles o políticas claras de seguridad.
"El problema más grave en seguridad IT es que muchas industrias están llenas de fuertes incongruencias. Por ejemplo, el sector salud cuenta con tecnología de punta para salvar la vida humana, pero operan con los controles mínimos para proteger la información de empleados o pacientes", comenta Rivera.
Situación similar con las regulaciones y estándares de industria, pues muchas empresas tienden a creer que con estar en cumplimiento o por aprobar la auditoria están exentos de ser vulnerados por los cibercriminales.
Las regulaciones de gobierno como Sarbanes Oxley y los estándares de cumplimiento como PCI, son un arma de doble filo porque si bien ayudan a mejorar y crear procesos y controles de protección, también generan un sentido falso de seguridad, apunta Steve Rivera.
El informe de Verizon también demuestra que el número de brechas de seguridad generadas por usuarios internos -intencional o no- se mantiene a la baja. En 2010, los incidentes generados por usuarios internos representaban 12%, contra 86% provocados por agentes externos (cibercriminales).
En el informe de 2012, la cifra se redujo a 2% interno, contra 98% de las brechas provocadas por usuarios externos a la organización, criminales que en nueve de cada 10 casos buscan vulnerar a la organización en busca de un beneficio económico.
Windows es TODO !!
Los productos Microsoft ya no aparecen en el Top10 de inseguros [Kaspersky]
Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.
En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.
La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.
Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.
Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URLs sirven código maligno, con un incremento del 3% respecto del segundo trimestre.
Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.
Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.
En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.
La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.
Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.
Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URLs sirven código maligno, con un incremento del 3% respecto del segundo trimestre.
Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.
Suscribirse a:
Entradas (Atom)