¿Por qué es tan importante hablar de Data Loss Prevention?

Como concepto general, se sabe que hay que proteger la información de la compañía. En este punto, lo importante es destacar que a la información hay que protegerla SIEMPRE.

La información puede estar en tres estados: en uso, en transporte, o en almacenamiento. En los tres casos debemos asegurar su confiabilidad, su integridad y su disponibilidad.

El primer concepto implica que solamente las personas autorizadas tengan acceso a la información. En tanto, el segundo término consiste en asegurar que cada vez que busco un dato, el mismo es fidedigno y no ha sido modificado. Por último, la disponibilidad tiene que ver con asegurar que voy a poder acceder al dato siempre que lo necesite.

Ahora apliquemos estos conceptos los tres estados en que puede estar la información:

  • En uso: En general, esto se da cuando lo estoy usando dentro de mi PC.
  • En transporte: Este es un caso para tener en cuenta, ya que el transporte es amplio. Consideramos aquí, cuando un dato es enviado dentro de la red, por ejemplo desde una oficina a otra o hacia el Data Center. Pero no podemos olvidar que cuando llevamos un pendrive, estamos transportando información. Lo mismo ocurre cuando llevamos una notebook de un lado a otro. ¿Qué ocurre si la laptop es robada?
  • En almacenamiento: es cuando el dato está guardado en un lugar fijo, como por ejemplo un Data Center o en un Server dentro de la empresa.

De los tres casos, cada uno tiene su forma de proteger a la información.

Pero concentrémonos en los dispositivos móviles (notebooks, pendrives, smartphones, etc). En este punto es importante tener una política definida sobre la protección de los datos ya que, si cuando están dentro de la empresa, en general están en mayor o menor medida protegidos, cuando los transportamos físicamente hay muy poco hecho.

Al respecto, a fin de garantizar la seguridad de los datos transportados se deben encriptar los discos rígidos de las notebooks para evitar que, ante una pérdida o robo, la información pueda ser utilizada. Asimismo, existen en el mercado pendrives con password, donde toda la información contenida esta encriptada, llegando incluso a poder tener lectores de huellas digitales en los mismos.

Otro punto a tener en cuenta es qué ocurre con los puertos de las computadoras. En este sentido, tenemos que asegurar que cuando un archivo es confidencial el mismo no pueda ser copiado, impreso, o gravado en un pendrive o similar. Hoy en día los celulares poseen muchas capacidades, y tenemos que considerar si estos dispositivos no pueden ser un problema de seguridad para la empresa.

Por todo lo dicho, se aconseja implementar soluciones de protección de datos, que permitan encriptar toda la información de los dispositivos móviles, bloquear los puertos de computadoras solamente para los archivos marcados como confidenciales, no permitir su impresión o copia, etc.

Con respecto a la red, hay que encriptar los vínculos y segurizar los accesos, entre otras medidas para prevenir la perdida de información.

Con todo esto lograremos estar mejor preparados para enfrentar la problemática del robo de información, defendiendo los intereses de nuestra compañía.

Via http://www.redusers.com

Gestion de Claves

Generación de claves

La seguridad de un algoritmo descansa en la clave. Un criptosistema que haga uso de claves criptográficamente débiles será él mismo débil. Algunos aspectos a considerar que se presentan a la hora de la elección de las claves son:

Espacio de claves reducido

Cuando existen restricciones en el número de bits de la clave, o bien en la clase de bytes permitidos (caracteres ASCII, caracteres alfanuméricos, imprimibles, etc.), los ataques de fuerza bruta con hardware especializado o proceso en paralelo pueden desbaratar en un tiempo razonable estos sistemas.

Elección pobre de la clave

Cuando los usuarios eligen sus claves, la elección suele ser muy pobre en general (por ejemplo, el propio nombre o el de la mujer), haciéndolas muy débiles para un ataque de fuerza bruta que primero pruebe las claves más obvias (ataque de diccionario).

Claves aleatorias

Claves buenas son las cadenas de bits aleatorios generadas por medio de algún proceso automático (como una fuente aleatoria fiable o un generador pseudo-aleatorio criptográficamente seguro), de forma que si la clave consta de 64 bits, las 264 claves posibles sean igualmente probables. En el caso de los criptosistemas de clave pública, el proceso se complica, ya que a menudo las claves deben verificar ciertas propiedades matemáticas (ser primos dos veces seguros, residuos cuadráticos, etc.).

Continuar leyendo “Gestion de Claves”

Mecanismos de Seguridad

No existe un único mecanismo capaz de proveer todos los servicios anteriormente citados, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes:

  • Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos.
  • Cifrado: garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico. Estos sistemas son mucho más rápidos que los de clave pública, resultando apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo, que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.

Continuar leyendo “Mecanismos de Seguridad”

Amenazas de Seguridad

Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.

Continuar leyendo “Amenazas de Seguridad”

Servicios de seguridad

Para hacer frente a las amenazas a la seguridad del sistema se definen una serie de servicios para proteger los sistemas de proceso de datos y de transferencia de información de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad. Una clasificación útil de los servicios de seguridad es la siguiente:

  • Confidencialidad: requiere que la información sea accesible únicamente por las entidades autorizadas. La confidencialidad de datos se aplica a todos los datos intercambiados por las entidades autorizadas o tal vez a sólo porciones o segmentos seleccionados de los datos, por ejemplo mediante cifrado. La confidencialidad de flujo de tráfico protege la identidad del origen y destino(s) del mensaje, por ejemplo enviando los datos confidenciales a muchos destinos además del verdadero, así como el volumen y el momento de tráfico intercambiado, por ejemplo produciendo una cantidad de tráfico constante al añadir tráfico espurio al significativo, de forma que sean indistinguibles para un intruso. La desventaja de estos métodos es que incrementan drásticamente el volumen de tráfico intercambiado, repercutiendo negativamente en la disponibilidad del ancho de banda bajo demanda.
  • Autenticación: requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa. Se distinguen dos tipos: de entidad, que asegura la identidad de las entidades participantes en la comunicación, mediante biométrica (huellas dactilares, identificación de iris, etc.), tarjetas de banda magnética, contraseñas, o procedimientos similares; y de origen de información, que asegura que una unidad de información proviene de cierta entidad, siendo la firma digital el mecanismo más extendido. Si le interesa, puede leer el curso de control de acceso en Internet mediante técnicas básicas.
  • Integridad: requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación y reactuación de los mensajes transmitidos. La integridad de datos asegura que los datos recibidos no han sido modificados de ninguna manera, por ejemplo mediante un hash criptográfico con firma, mientras que la integridad de secuencia de datos asegura que la secuencia de los bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o perdidas, por ejemplo mediante time-stamps.
  • No repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.
  • Control de acceso: requiere que el acceso a los recursos (información, capacidad de cálculo, nodos de comunicaciones, entidades físicas, etc.) sea controlado y limitado por el sistema destino, mediante el uso de contraseñas o llaves hardware, por ejemplo, protegiéndolos frente a usos no autorizados o manipulación.
  • Disponibilidad: requiere que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando los necesiten.

Via http://www.iec.csic.es

Concienciar a los empleados, clave para evitar el robo de identidad

El robo de identidad personal consiste en el robo de datos confidenciales (nº de DNI, números de cuentas bancarias, etc.) por parte de criminales, para solicitar créditos, abrir cuentas paralelas y un sinfín de actividades fraudulentas en nombre de la víctima.

Según Fellowes Ibérica, la tasa de robo de identidad personal sigue en crecimiento, aunque la mayoría de la población sigue desconociendo en qué consiste este fraude y cómo puede llegar a cometerse. De hecho, son muchos los que desconocen por completo dos cuestiones clave para prevenir el Robo de Identidad: cómo acceden los ladrones a sus datos personales (a través de documentos personales como extractos bancarios o introduciéndose en páginas web que contengan información confidencial de los usuarios) y cuáles son las medidas que se podrían adoptar para evitar este robo.

Aumentar la concienciación de los empleados

Por ello, el nivel de concienciación y la aplicación de las medidas preventivas adecuadas son las claves para combatir este delito. El primer lugar para fomentar esta concienciación y políticas de seguridad de la información es en las organizaciones y empresas (de carácter público o privado), ya que a menudo los empleados manejan datos de carácter privado de clientes o proveedores, sin tener en cuenta las consecuencias que puede acarrear una mala gestión de los mismos. Ejemplo de ello, ha sido la noticia de un hospital catalán, en el que se tiraron a un contenedor información privada de 173 pacientes a los que se les había practicado un transplante.

“Gracias a las múltiples campañas de información sobre el peligro de Robo de Identidad, ha habido un aumento en lo que respecta a la concienciación sobre este delito. Sin embargo, el descuidar sencillas medidas de seguridad, hace que todavía haya un gran número de personas que se convierten en víctimas”, señala Héctor Barak, director general de Fellowes Ibérica.

Destrucción segura de documentos con información sensible

Para evitar ser víctimas de un robo de identidad, los empleados y usuarios tienen a su disposición una gran cantidad de máquinas destructoras que se adaptan a sus necesidades. Estos equipos ofrecen máximas garantías de seguridad en la eliminación de todo tipo de documentos, al disponer de varios tipos de cortes para la destrucción de información en papel, CDs o tarjetas de crédito, incorporando tecnologías innovadoras como Microcorte, que incrementa la seguridad proporcionada por sus destructoras al nivel 4, la tecnología SafeSense, dirigida a garantizar la seguridad del usuario del equipo, o el sistema 100% anti-atasco, que asegura una destrucción eficaz sin atascos.

Fuente: RRHH Digital

Vulnerabilidad de Cross Site Scripting en IBM WebSphere Application Server

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.1.x y 7.x) que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

La vulnerabilidad está causada por un error de validación de entradas cuando procesa los datos introducidos por el usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

Para WebSphere Application Server 6.1 se recomienda instalar el último Fix Pack (6.1.0.29 o posterior) o el APAR PK92057.

Más Información:
IBM WebSphere Application Server Administration Console cross-site scripting

Informe Sobre Criminologia Virtual

El planeta ingresó en una “guerra fría cibernética” que se caracteriza por una carrera ciberarmamentista entre las grandes potencias, que espían a otras naciones y prueban redes informáticas con intenciones de utilizar Internet como campo de batalla, afirmó un informe publicado ayer en Estados Unidos por la empresa de seguridad McAfee.

“Muchas naciones están armándose para defenderse en una ciberguerra y alistando sus fuerzas para lanzar sus propios ataques”, afirma el quinto informe anual de McAfee, 2009 Virtual Criminology Report .

Continuar leyendo “Informe Sobre Criminologia Virtual”

Protección de datos e identidad en la nube: Las mejores prácticas para crear entornos de confianza

El crecimiento exponencial de los servicios basados en cloud computing también arroja algunos riesgos que las compañías deben evitar para mantener sus datos e identidades a salvo.

RSA, división de seguridad de la compañía EMC acaba de publicar un informe en el que se proponen diversas directrices y buenas prácticas para que las compañías puedan mantener sus datos e identidades fuera de peligro en la medida de lo posible.

El estudio, titulado “Protección de datos e identidad en la nube: Las mejores prácticas para crear entornos de confianza”, combina la experiencia de los principales expertos en materia de seguridad en el cloud computing, lo que permitirá ayudar a las compañías a saber cómo construir relaciones de confianza en la nube y protegerse contra posibles fraudes.

Robo de Identidad, Guía de Supervivencia

El siguiente resumen ha sido realizado sobre el documento original “Tome control: Defiéndase contra el Robo de Identidad” disponible en inglés y castellano en el Federal Trade Commission (Buró de Protección del Consumidor) y AARP (ex-American Association of Retired Persons).

Las pérdidas de los consumidores e instituciones debido a los robos de identidades totalizaron 745 millones de U$S en 1997, según lo afirman los Servicios Secretos de los EE.UU. y se denuncian 133 robos de identidad anualmente en Argentina.

Continuar leyendo “Robo de Identidad, Guía de Supervivencia”