Upload File

la batalla por la seguridad informatica en la era wikileaks- diario bae

  • Home
  • Documents
  • La batalla por la seguridad informatica en la era wikileaks- Diario BAE
1
Diario BAE | SOCIEDAD | 29 Domingo 19 de diciembre de 2010 www.diariobae.com El ministro de Tu- rismo, Enrique Meyer, dejó inau- gurada oficial- mente la tempo- rada de verano en Mar del Plata, con un acto ayer donde se bendijo las aguas y los frutos del mar. La actividad se rea- lizó en el Paseo de las Américas. Enrique Meyer Cuando los cables del escándalo Wikileaks comenzaron a conocer- se, el mundo entró en convulsión, las relaciones entre países -princi- palmente Estados Unidos- debie- ron y deben sortear frentes de tor- mentas muy fuertes, para tratar de que el sistema diplomático no en- tre en caos, aunque para ellos res- ponsabilizan a Julian Assange, ti- tular del sitio, y no a sus propias in- seguridades internas en materia informática. Sin embargo, también abre un nuevo paradigma en materia de preservación de la información que no hace otra cosa que abrir un de- bate y obligar a las empresas, ya sean de tecnología como aquellas que manejen datos sensibles en sus bases de datos, empiecen a tomar recaudos a la hora de compartir su "secretos más preciados", por lo que BAE consultó a responsables de empresas dedicadas a la seguri- dad informática. En tal sentido, Marcos Boaglio, gerente de ingeniería de pre venta de Symantec SOLA (Sur de Améri- ca Latina), explicó que "la infor- mación de las organizaciones es su activo más valioso y está expuesta a múltiples amenazas informáticas. Sin embargo, como no todas las em- presas o usuarios están enterados de estos riesgos o han tomado ac- ción para contar con sistemas y/o políticas de seguridad adecuados, aún vemos que algunos de ellos su- fren incidentes que les llevan a per- der datos". No obstante, comentó que tras un estudio realizado por Symantec, se determinó que "actualmente existe una mayor conciencia sobre los riesgos, la fuga de información y las mejores prácticas en cuestión de protección de información, es- pecialmente entre las pequeñas em- presas". Y a su criterio el caso Wikileaks deber servir "como alerta" para las empresas y organizaciones, a quie- nes recomiendan que sean "pro- activos e implementen los proce- sos adecuados y las soluciones ne- cesarias como aquellas enfocadas en prevenir la pérdida de datos (DLP - Data Loss Prevention) para man- tener su información confidencial dentro de la organización". Por su parte, Por Federico Pa- checo, Gerente de Educación e In- vestigación para ESET Latinoamé- rica, comentó que el caso Wikile- aks "las empresas que no estaban prestando suficiente atención a la fuga de información, comenzaron a comprender los peligros que con- lleva la falta de procedimientos y preparación adecuada para evitar este tipo de incidentes". "Sin embargo, es importante des- tacar que en muchos casos las or- ganizaciones, especialmente las grandes corporaciones, ya poseían planificación y metodologías para evitar este tipo de incidentes, dado que las normativas internaciona- les aconsejan y requieren fuerte- mente que se tenga en cuenta el pe- ligro", agregó. Marcelo Pizani, Pre Sales & Pro- duct Manager de Panda Security, señaló que uno de los puntos que no se tuvo muy en cuenta en el tema Wikileaks y que sí puso un grado de alerta en la red de las empresas fue la reacción del grupo Anonymous (Anónimos), que se autodefinen como "ciberactivistas" y que a tra- vés de Internet "bombardeó" los si- tios de empresas como MasterCard, que se había negado a continuar pasando los pagos hacia el sitio de Assange, provocando que estuvie- ran inactivos durante un tiempo, dado la cantidad de personas que intentaron acceder al mismo. "En primer término hay que pen- sar si los internautas apoyan la cau- sa, o buscan otras cosas. Hay he- rramientas que no son lícitas de las que utilizan, y en el medio hay he- rramientas de hacking, las redes so- ciales, para que la gente se preste como pasó con Anonymous", afir- mó Pizani. Por su parte, Boaglio de Syman- tec comentó que "las fugas de da- tos siempre han existido. La buena noticia es que se pueden prevenir y con esto reducir drásticamente el riesgo de perder información. Para ello, las organizaciones deben pri- mero identificar cuál es su infor- mación sensible o confidencial y asegurarse que la misma esté dis- ponible sólo para la gente que debe tener acceso a ella, y que los datos sensibles no vayan a donde no de- ben ir". Según un estudio realizado en 2009 por Symantec y Ponemon Ins- titute, sobre una encuesta a em- pleados que perdieron o abando- naron sus empleos en 2008, el 53 % de los encuestados dijeron haber descargado los datos en un CD o DVD, 42 % en una unidad USB y 38 % envió archivos a una cuenta per- sonal de correo electrónico. Este mismo consigna que el 59% de los ex empleados admitieron ha- ber robado información confiden- cial de la compañía, y entre el tipo de datos que se toman más co- múnmente destacan las listas de correos electrónicos, registros de empleados, información de clien- tes, incluyendo las listas de con- tactos e información no financie- ra. Para Pacheco, de Eset, "muchas de las empresas que no lo hacían, es decir, que no tenían tales políti- cas de prevención, comenzaron a tomar sugerencias e ideas prove- nientes de las normativas interna- cionales, para adaptar los procedi- mientos a entornos reducidos o es- pecíficos. Más allá de esto, no hay medidas especiales nuevas surgi- das en este tiempo, dado que el tema de la confidencialidad de la información y la pérdida de priva- cidad asociada a los incidentes de seguridad es moneda corriente en el ámbito de la seguridad de la in- formación a nivel corporativo". A su vez, Pizani de Panda co- mentó que a su criterio la "ten- dencia" en cuanto a ataques para el 2011 estará enfocada en grupos de internet que protestarán y tam- bién utilizarán las redes sociales. "Esto se volverá a ver y se expandi- rá a otros horizontes, aunque en Ar- gentina se demorará un tiempo en llegar", agregó. Pizani hizo una aclaración sobre las actividades en la red de los "ci- beractivistas" y señaló: "por un lado está la ciberprotesta y luego toda- vía está la terminología que se uti- liza para denominarla. Pero la gen- te de grupo Anonymous se dice ci- beractivistas y si infringen la ley serían para ellos hackactivistas', pero en ese caso estarían come- tiendo un delito, aunque no hay una legislación común aún". "La problemática vinculada a la fuga de información y su conse- cuente pérdida de confidenciali- dad, no está tan instalado en la con- ciencia de las personas. Y muchas veces no se suele tomar dimensión de la gravedad de este tipo de asun- tos. Es por ello que muchas em- presas no llevan a cabo las políti- cas necesarias para evitar estos in- cidentes que pueden afectar la reputación de la empresa y poner en riesgo datos sensibles", senten- ció Pacheco de Eset. La seguridad informática, hackeada por Wikileaks Las empresas endurecen sus políticas de seguridad para evitar fugas de información El grupo de ciberactivista Anonymous hackeó a Mastercard, en protesta por la presión de Assange. ARCHIVO A. T . [email protected] El escandalo de wikileaks reabrió el debate sobre la seguridad infor- mática en las empresas. Especia- listas consultados por BAE expli- can las medidas que deben tomarse para preservar la información. UNA ENCUESTA PRIVADA SEÑALA QUE EL 42% DE LOS EMPLEADOS DESPEDIDOS SE LLEVAN INFORMACIÓN EN USB E l escandaloso episodio de alcance mun- dial de Wikileaks no sólo tuvo signifi- cancia política, sino que también trajo consigo una impactante repercusión en la in- dustria de la seguridad informática, que atra- viesa un importante desafío: ofrecer a las em- presas medidas de seguridad que protejan el uso y acceso a su información confidencial. Las amenazas internas son un capítulo en el que las empresas deben poner especial atención. El caso Wikileaks puso de manifies- to las graves consecuencias que pueden ge- nerarse si no se cuenta con estrategias de se- guridad informática que se adapten a las nuevas herramientas del mercado; la infor- mática avanza y se mantiene en constante es- tado de mutación, y peligro, por lo cual la se- guridad debe modificarse al compás. ¿Cómo puede tanta información sensible verse comprometida? En las organizaciones se establecen distintos niveles de seguridad; una de las cláusulas más comunes de la rela- ción empleado - empleador radica en que, en caso de tener acceso a la información sensi- ble o confidencial de la firma, ésta no debe, bajo ningún punto de vista, ser comunicada fuera de la organización. RIESGOS. Usuarios privilegiados. Una de las debilidades más peligrosas de una compañía comienza puertas adentro. La gestión ineficaz de los usuarios privilegiados -que tienen ac- ceso total a los principales sistemas y a todos los entornos de TI- se constituye como el principal riesgo de seguridad. Contraseñas. Las contraseñas compartidas de administración se convierten en otro fac- tor que podría conducir a un acceso inade- cuado a los sistemas y la información; esto genera un condimento extra, resulta imposi- ble identificar específicamente quién realizó la acción que en cada sistema. Roles de usuario. La superposición de fun- ciones y prestaciones duplicadas o inconsis- tentes, son problemas comunes que pueden conducir al acceso indebido. Débil autenticación de usuario. El acceso a información altamente sensible a menudo sólo requiere autenticación de contraseña simple, y no toma en cuenta otro tipo de in- formación contextual que podría aumentar el riesgo de incumplimiento. Gestión de identidad global. La protección eficaz contra el acceso o uso indebido de la información requiere un fuerte control sobre las identidades de usuario, el acceso y uso de la información. Auditoría. Muchas empresas no tienen for- ma de auditoría continua de acceso para ga- rantizar que sólo las personas debidamente autorizadas están accediendo. La protección de información crítica debe ser, en una época donde los fraudes informá- ticos están a la orden del día, un área priorita- ria para las empresas, dado que resulta, ni más ni menos, que defender uno de sus acti- vos más importantes: su información. El incumplimiento Wikileaks es un caso ex- tremo de un riesgo muy común para cual- quier organización. Trabajar en estrategias de prevención y fortaleza de los medios de segu- ridad, se constituyen como una necesidad y un valor agregado del que su empresa no puede prescindir. *VP de Seguridad de CA Technologies para America Latina El análisis de Ricardo Fernandes* La batalla por la seguridad informatica en la era wikileaks

Upload: ca-technologies-argentina

Post on 12-Mar-2016

212 views

Category:

Documents


0 download

Report

DESCRIPTION

Análisis de Ricardo Fernandes, VP de Seguridad de CA Technologies para America Latina. El escandaloso episodio de alcance mundial de Wikileaks no sólo tuvo significancia política, sino que también trajo consigo una impactante repercusión en la industria de la seguridad informática, que atraviesa un importante desafío: ofrecer a las empresas medidas de seguridad que protejan el uso y acceso a su información confidencial.

TRANSCRIPT

Page 1: La batalla por la seguridad informatica en la era wikileaks- Diario BAE

Diario BAE | SOCIEDAD | 29Domingo 19 de diciembre de 2010

www.diariobae.com

El ministro de Tu-rismo, EnriqueMeyer, dejó inau-gurada oficial-mente la tempo-rada de veranoen Mar del Plata,

con un acto ayerdonde se bendijolas aguas y losfrutos del mar. Laactividad se rea-lizó en el Paseode las Américas.

EnriqueMeyer

Cuando los cables del escándaloWikileaks comenzaron a conocer-se, el mundo entró en convulsión,las relaciones entre países -princi-palmente Estados Unidos- debie-ron y deben sortear frentes de tor-mentas muy fuertes, para tratar deque el sistema diplomático no en-tre en caos, aunque para ellos res-ponsabilizan a Julian Assange, ti-tular del sitio, y no a sus propias in-seguridades internas en materiainformática.

Sin embargo, también abre unnuevo paradigma en materia depreservación de la información queno hace otra cosa que abrir un de-bate y obligar a las empresas, yasean de tecnología como aquellasque manejen datos sensibles en susbases de datos, empiecen a tomarrecaudos a la hora de compartir su"secretos más preciados", por loque BAE consultó a responsablesde empresas dedicadas a la seguri-dad informática.

En tal sentido, Marcos Boaglio,gerente de ingeniería de pre ventade Symantec SOLA (Sur de Améri-ca Latina), explicó que "la infor-mación de las organizaciones es suactivo más valioso y está expuestaa múltiples amenazas informáticas.Sin embargo, como no todas las em-presas o usuarios están enteradosde estos riesgos o han tomado ac-ción para contar con sistemas y/opolíticas de seguridad adecuados,aún vemos que algunos de ellos su-fren incidentes que les llevan a per-der datos".

No obstante, comentó que trasun estudio realizado por Symantec,se determinó que "actualmenteexiste una mayor conciencia sobrelos riesgos, la fuga de informacióny las mejores prácticas en cuestión

de protección de información, es-pecialmente entre las pequeñas em-presas".

Y a su criterio el caso Wikileaksdeber servir "como alerta" para lasempresas y organizaciones, a quie-nes recomiendan que sean "pro-activos e implementen los proce-sos adecuados y las soluciones ne-cesarias como aquellas enfocadasen prevenir la pérdida de datos (DLP- Data Loss Prevention) para man-tener su información confidencialdentro de la organización".

Por su parte, Por Federico Pa-checo, Gerente de Educación e In-vestigación para ESET Latinoamé-rica, comentó que el caso Wikile-aks "las empresas que no estabanprestando suficiente atención a lafuga de información, comenzarona comprender los peligros que con-lleva la falta de procedimientos ypreparación adecuada para evitareste tipo de incidentes".

"Sin embargo, es importante des-tacar que en muchos casos las or-ganizaciones, especialmente lasgrandes corporaciones, ya poseíanplanificación y metodologías paraevitar este tipo de incidentes, dadoque las normativas internaciona-les aconsejan y requieren fuerte-

mente que se tenga en cuenta el pe-ligro", agregó.

Marcelo Pizani, Pre Sales & Pro-duct Manager de Panda Security,señaló que uno de los puntos queno se tuvo muy en cuenta en el temaWikileaks y que sí puso un grado dealerta en la red de las empresas fuela reacción del grupo Anonymous(Anónimos), que se autodefinencomo "ciberactivistas" y que a tra-

vés de Internet "bombardeó" los si-tios de empresas como MasterCard,que se había negado a continuarpasando los pagos hacia el sitio deAssange, provocando que estuvie-ran inactivos durante un tiempo,dado la cantidad de personas queintentaron acceder al mismo.

"En primer término hay que pen-sar si los internautas apoyan la cau-sa, o buscan otras cosas. Hay he-rramientas que no son lícitas de lasque utilizan, y en el medio hay he-rramientas de hacking, las redes so-ciales, para que la gente se preste

como pasó con Anonymous", afir-mó Pizani.

Por su parte, Boaglio de Syman-tec comentó que "las fugas de da-tos siempre han existido. La buenanoticia es que se pueden preveniry con esto reducir drásticamente elriesgo de perder información. Paraello, las organizaciones deben pri-mero identificar cuál es su infor-mación sensible o confidencial yasegurarse que la misma esté dis-ponible sólo para la gente que debetener acceso a ella, y que los datossensibles no vayan a donde no de-ben ir".

Según un estudio realizado en2009 por Symantec y Ponemon Ins-titute, sobre una encuesta a em-pleados que perdieron o abando-naron sus empleos en 2008, el 53 %de los encuestados dijeron haberdescargado los datos en un CD oDVD, 42 % en una unidad USB y 38% envió archivos a una cuenta per-sonal de correo electrónico.

Este mismo consigna que el 59%de los ex empleados admitieron ha-ber robado información confiden-cial de la compañía, y entre el tipode datos que se toman más co-múnmente destacan las listas decorreos electrónicos, registros de

empleados, información de clien-tes, incluyendo las listas de con-tactos e información no financie-ra.

Para Pacheco, de Eset, "muchasde las empresas que no lo hacían,es decir, que no tenían tales políti-cas de prevención, comenzaron atomar sugerencias e ideas prove-nientes de las normativas interna-cionales, para adaptar los procedi-mientos a entornos reducidos o es-pecíficos. Más allá de esto, no haymedidas especiales nuevas surgi-das en este tiempo, dado que eltema de la confidencialidad de lainformación y la pérdida de priva-cidad asociada a los incidentes deseguridad es moneda corriente enel ámbito de la seguridad de la in-formación a nivel corporativo".

A su vez, Pizani de Panda co-mentó que a su criterio la "ten-dencia" en cuanto a ataques parael 2011 estará enfocada en gruposde internet que protestarán y tam-bién utilizarán las redes sociales."Esto se volverá a ver y se expandi-rá a otros horizontes, aunque en Ar-gentina se demorará un tiempo enllegar", agregó.

Pizani hizo una aclaración sobrelas actividades en la red de los "ci-beractivistas" y señaló: "por un ladoestá la ciberprotesta y luego toda-vía está la terminología que se uti-liza para denominarla. Pero la gen-te de grupo Anonymous se dice ci-beractivistas y si infringen la leyserían para ellos hackactivistas',pero en ese caso estarían come-tiendo un delito, aunque no hayuna legislación común aún".

"La problemática vinculada a lafuga de información y su conse-cuente pérdida de confidenciali-dad, no está tan instalado en la con-ciencia de las personas. Y muchasveces no se suele tomar dimensiónde la gravedad de este tipo de asun-tos. Es por ello que muchas em-presas no llevan a cabo las políti-cas necesarias para evitar estos in-cidentes que pueden afectar lareputación de la empresa y poneren riesgo datos sensibles", senten-ció Pacheco de Eset.

La seguridad informática, hackeada por Wikileaks�Las empresas endurecen sus políticas de seguridad para evitar fugas de información

El grupo de ciberactivista Anonymous hackeó a Mastercard, en protesta por la presión de Assange.

AR

CH

IVO

A. [email protected]

El escandalo de wikileaks reabrióel debate sobre la seguridad infor-mática en las empresas. Especia-listas consultados por BAE expli-can las medidas que deben tomarsepara preservar la información.

UNA ENCUESTA PRIVADA SEÑALA QUE EL 42% DE LOS EMPLEADOS DESPEDIDOS SE

LLEVAN INFORMACIÓN EN USB

El escandaloso episodio de alcance mun-dial de Wikileaks no sólo tuvo signifi-cancia política, sino que también trajo

consigo una impactante repercusión en la in-dustria de la seguridad informática, que atra-viesa un importante desafío: ofrecer a las em-presas medidas de seguridad que protejan eluso y acceso a su información confidencial.

Las amenazas internas son un capítulo enel que las empresas deben poner especialatención. El caso Wikileaks puso de manifies-to las graves consecuencias que pueden ge-nerarse si no se cuenta con estrategias de se-guridad informática que se adapten a lasnuevas herramientas del mercado; la infor-mática avanza y se mantiene en constante es-

tado de mutación, y peligro, por lo cual la se-guridad debe modificarse al compás.

¿Cómo puede tanta información sensibleverse comprometida? En las organizacionesse establecen distintos niveles de seguridad;una de las cláusulas más comunes de la rela-ción empleado - empleador radica en que, encaso de tener acceso a la información sensi-ble o confidencial de la firma, ésta no debe,bajo ningún punto de vista, ser comunicadafuera de la organización.

RIESGOS. Usuarios privilegiados. Una de lasdebilidades más peligrosas de una compañíacomienza puertas adentro. La gestión ineficazde los usuarios privilegiados -que tienen ac-ceso total a los principales sistemas y a todoslos entornos de TI- se constituye como elprincipal riesgo de seguridad.

Contraseñas. Las contraseñas compartidas

de administración se convierten en otro fac-tor que podría conducir a un acceso inade-cuado a los sistemas y la información; estogenera un condimento extra, resulta imposi-ble identificar específicamente quién realizóla acción que en cada sistema.

Roles de usuario. La superposición de fun-ciones y prestaciones duplicadas o inconsis-tentes, son problemas comunes que puedenconducir al acceso indebido.

Débil autenticación de usuario. El acceso ainformación altamente sensible a menudosólo requiere autenticación de contraseñasimple, y no toma en cuenta otro tipo de in-formación contextual que podría aumentar elriesgo de incumplimiento.

Gestión de identidad global. La proteccióneficaz contra el acceso o uso indebido de lainformación requiere un fuerte control sobrelas identidades de usuario, el acceso y uso de

la información.Auditoría. Muchas empresas no tienen for-

ma de auditoría continua de acceso para ga-rantizar que sólo las personas debidamenteautorizadas están accediendo.

La protección de información crítica debeser, en una época donde los fraudes informá-ticos están a la orden del día, un área priorita-ria para las empresas, dado que resulta, nimás ni menos, que defender uno de sus acti-vos más importantes: su información.

El incumplimiento Wikileaks es un caso ex-tremo de un riesgo muy común para cual-quier organización. Trabajar en estrategias deprevención y fortaleza de los medios de segu-ridad, se constituyen como una necesidad yun valor agregado del que su empresa nopuede prescindir.

*VP de Seguridad de CA Technologies para America Latina

El análisis de Ricardo Fernandes*

La batalla por la seguridad informatica en la era wikileaks

Wikileaks desnuda la diplomacia estadounidense€¦ · Generacción 2010 • Número 188 • 1 ‹ Revista Generacción / ENTREVISTA Wikileaks desnuda la diplomacia estadounidense

wikileaks dominicano

i Pe Bae Studios

Aeropuerto BAE

Cronicas fundador de wikileaks

Fragata BAE moran valverde

Julian Assange Wikileaks

Suplemento BAE 10/04/13

WikiLeaks, la Garganta Profunda de Internet

Wikileaks MEX 12 Hasta Dic 2010

Suplemento BAE 03.04.13

Wikileaks, ¿ejemplo de ciberguerra social?. Wikileaks

Presentacio bae jci

Taller bae(ii)

Proyecto personal wikileaks por analucia suarez

Wikileaks presentacion pp

Post wikileaks

Resumen bae bloque 3

WikiLeaks Presentation

Forem herramientas bae

Bae el curriculum vitae

€¦ · Web viewMOHAMED KASSIM F BAE 23 ASMA KHAMIS SEIF F BAE 24 NASSRA KOMBO OMAR F BAE 25 NASRA RAMADHAN KHAMIS F BAE 26 SAADA HAMAD BAKAR F BAE3 27 ABDALLA SULEIMAN FAKI M BAE3

Bag y Bae Conservac Biblioteca

44786728 especial-perfil-wikileaks-05122010

Deber de wikileaks

Diapositivas Power Point Wikileaks

Wikileaks: Cronología

Wikileaks pp

Bae Català

Adónde conducen los desafíos de WikiLeaks

Archilab 2011 Wikileaks

Los Wikileaks “Olvidados”

Diario BAE

EU FINANCIÓ ESCÁNDALO: WIKILEAKS #PanamaPapers

Diagnostico BAE Tibás