¿Huir o enfrentar? La decisión que debe tomar el área de TI

Categorías relacionadas:
Administración, Administración, Administración de proyectos, Administración del riesgo, Amenazas, Cómo hacerlo, Cloud / Nube, Continuidad, Continuidad de negocios, CSO, Destacado, Estrategias, Experiencia de Usuario, Identidad y Accesos, Malware y Amenazas, Políticas y normas, Protección, Protección de datos, Redes Sociales, Seguridad, Seguridad, Seguridad, Seguridad, Tecnologías, Tips

reporte-especial-seguridad-mexico

¿Qué es el miedo? Hay muchos enfoques sobre qué es el miedo. Pero si lo analizamos desde el punto de vista biológico, lo definen como un esquema adaptativo, un mecanismo de defensa para reaccionar y sobrevivir. El miedo nos alerta de algo.

Leer más...



Lanzan el Avaya Surge, solución de seguridad perimetral para dispositivos IoT

Categorías relacionadas:
Aplicaciones, CSO, Del día, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Movilidad, Productos de seguridad, Protección, Protección de datos, Seguridad, Seguridad, Tecnologías

Surge-Avaya-2-dispositivos

Avaya aprovechó el ENGAGE 2017, su reunión internacional de usuarios, desarrolladores, socios de negocio y analistas efectuada en Las Vegas, para dar a conocer esta semana la solución Avaya Surge, un adaptador “que funciona en la red de cualquier proveedor y en todo tipo de industria vertical” para impedir el acceso no autorizado en los dispositivos de Internet de las Cosas (IoT).

Anteriormente conocido como SDN Fx Healthcare, el Avaya Surge es un pequeño adaptador que se conecta a los dispositivos IoT para convertir a estos en nodos de red inteligentes mediante los cuales el usuario puede controlar de manera central la seguridad y la administración. De esta manera se evita el uso de miles de mini firewalls para tener alcance en miles de dispositivos desplegados o emplear controles de acceso a la red para obtener seguridad IoT, explicó Marc Randall, Vicepresidente Ejecutivo y Director General de Avaya Networking.

“La falta de seguridad es el principal problema que surge tras el crecimiento de IoT, y a menos que esto se resuelva de manera práctica, pronto nos toparemos con límites de innovación, transformación digital y productividad”, señaló Randall durante el lanzamiento del nuevo adaptador.

Sus características

Entre las capacidades que ofrece Avaya Surge destacan las tecnologías de seguridad HyperSec Zoning, el uso de perfiles “Sígueme” en los dispositivos y la actualización automática de flujos de tráfico.

En efecto, la característica HyperSec Zoning está conformada por una serie de tecnologías que crean zonas codificadas para permitir a Surge aislar y filtrar tráfico desde el dispositivo hacia el destino. De esta manera, los dispositivos IoT pueden ser menos visibles y están protegidos contra tráfico dañino como virus o malware. Los flujos de tráfico se filtran en una lista blanca para así limitar lo que el dispositivo recibe o envía y verificar qué y con quién se comunica.

Por su parte, el uso de perfiles “Sígueme” configurados centralmente según el dispositivo, brindan la elasticidad necesaria para asegurar el perímetro de la red. Cuando se desconectan de ésta, los perfiles desaparecen, y cuando se reconectan, los perfiles se reasignan de manera automática.

Finalmente, Randall se refirió a la capacidad de aprendizaje que ofrece Avaya Surge, con la cual actualiza automáticamente los flujos de tráfico. La nueva solución también reporta el uso de la actividad operativa de los dispositivos y ofrece APIs programables para que las organizaciones puedan personalizar servicios y aplicaciones.

“Avaya Surge –disponible a partir del segundo trimestre de este año– es una solución para todo tipo de redes con la cual la compañía pretende unificar el manejo de redes alámbricas e inalámbricas, simplificar las operaciones, ofrecer una plataforma escalable en forma masiva, así como una arquitectura segura multi-tenant”, concluyó el directivo.

Leer más...



DX, impulsor de la experiencia del cliente: Kevin Kennedy, CEO de Avaya

Categorías relacionadas:
Administración, Administración de proyectos, Amenazas, Cómo hacerlo, Continuidad, Continuidad de negocios, CSO, Estrategia CIO, Estrategias, Innovación, Lo más reciente, Lo más reciente, Malware y Amenazas, Principal, Productos de seguridad, Protección, Protección de datos, Seguridad, Tendencias, Tendencias, Tips, Transformación digital, Transformación digital, Transformación digital

Avaya-Kevin Kennedy

Las fuerzas del mercado TI –nube, dispositivos móviles, Big Data, canales sociales– “conduce a que las organizaciones impulsen o adopten consideraciones estratégicas como la transformación digital (DX) y la seguridad perimetral”. En estos términos, Kevin Kennedy, Presidente y CEO de Avaya, se refería a dos de las principales temáticas abordadas durante el evento internacional Avaya ENGAGE 2017, realizado esta semana en Las Vegas.

El directivo dijo que la transformación digital está impulsando los cambios en la experiencia del cliente, la operación y los modelos de negocio aprovechando las competencias digitales de cada organización.

Advirtió que la irrupción digital es un cambio irreversible e incontenible, pues se estima que para el año 2027 el 75% del actual índice Standard & Poor’s 500 –que agrupa a las más grandes empresas que cotizan en las bolsas NYSE o NASDAQ– serán reemplazadas por otras que hayan logrado surgido a raíz de la transformación digital o se hayan adaptado con éxito a tal cambio.

“La mayoría de las organizaciones están comenzando su viaje hacia la transformación digital y lo hacen teniendo al cliente en el centro de sus esfuerzos. Se trata de un cambio que impulsa la necesidad de predecir y responder al comportamiento del cliente, y en Avaya queremos acompañarlo en ese proceso”, aseveró el CEO.

En lo que respecta a seguridad perimetral, el otro gran tema aludido por Kennedy, la compañía dio a conocer el Avaya Surge –antes conocido como SDN Fx Healthcare–, una solución que mejora el proceso para asegurar y administrar los dispositivos de Internet de las Cosas en forma más sencilla.

Tres eventos en uno

Avaya ENGAGE 2017 reunió la Conferencia del Grupo Internacional de Usuarios de Avaya (IAUG), el Foro de Tecnología Avaya y el Foro de Socios de Negocio de la compañía en el mismo evento, lo cual permitió la interacción de clientes, socios, desarrolladores y analistas, entre otros.

Mesa-redonda-Avaya

En el panel plenario sobre transformación digital participaron (de izq. a der.) Marilyn Mersereau, CMO de Plantronics; Tom Festa, Vicepresidente de Tecnología del equipo de beisbol Mets de Nueva York; Brenda Emerson, CIO de Landmark Bank; Rick Schoenhals, Vicepresidente Tecnológico de Kroenke Sports & Entertainment; y Morag Lucey, CMO de Avaya, como moderadora.

Brenda Emerson CIO Landmark Bank y Presidenta del IAUG precisó que actualmente este grupo de usuarios está conformado por 5,400 miembros en 40 países, los cuales representan a 1,450 organizaciones y hay 45 capítulos activos en 10 países. En representación de sus compañías, se organizó panel titulado “Juntos para impulsar la transformación digital” con la participación de CIOs y CMOs miembros del IAUG.

Otras de las experiencias prácticas dadas a conocer en este evento fueron las del equipo de futbol soccer Earthquakes de San Jose, cuya sede, el Avaya Stadium es considerado el primer estadio “habilitado para la nube”, ya que integra de soluciones de cloud, ofrece una aplicación móvil, un muro virtual para sus seguidores y conexión móvil en cualquier lugar del estadio, entre otras características, de acuerdo con Jared Shawlee, COO del equipo californiano.

Estadio-Avaya-1

Presentación del Avaya Stadium, el primero “habilitado para la nube”.

Por su parte, Jim Kimball, Director Ejecutivo de Servicios de Telecomunicaciones Empresariales de la cadena hotelera MGM Resorts International, se refirió a la “experiencia del huésped”, que en su caso va más allá del simple ROI y se ha convertido en una experiencia verdaderamente diferenciada “que sólo se puede habilitar con una estrategia tecnológica de próxima generación”, aseveró.

Asimismo, durante el evento se efectuó la Expo de Soluciones donde se ofrecieron experiencias prácticas con una gama de nuevas soluciones que han sido lanzadas durante el último año, incluyendo Avaya Oceana, Avaya Equinox, Avaya Breeze, Zang, así como las soluciones aportadas por sus socios de canal y miembros del Avaya DevConnect.

José Luis Becerra, CIO México

Leer más...



Cinco mitos sobre seguridad que los bancos deben considerar

Categorías relacionadas:
Del día, Lo más reciente, Lo más reciente, Protección, Seguridad, Seguridad, Tips

datos-mdm

Ante un ataque informático las compañías están más preocupadas que los mismos consumidores debido a que éstas se ven perjudicadas en demandas legales, pérdidas de clientes y de credibilidad. De ahí que  las instituciones financieras tomen nota de estas cuestiones con el objetivo de proteger su reputación, sus activos y a sus clientes.  Considerando esta situación,  de acuerdo con Francisco Farrera, Especialista de Seguridad en Unisys, es un buen momento para disipar cinco mitos acerca de la seguridad informática:

Mito 1: La seguridad sólo es trabajo del CISO (Chief Information Security Officer) y del equipo. Ninguna cantidad de dinero o recursos puede mantener a una institución segura si esto no es parte integral del trabajo de todo mundo. Si es el reclutador de Recursos Humanos, el que verifica los antecedentes de los solicitantes, el prestamista que escanea los documentos del cliente en su smartphone, o el CEO que se reúne con analistas, existen medidas de seguridad vitales que deben ser incorporadas en la mentalidad y la rutina diaria.

Mito 2: Los controles de seguridad excesivos irritan a los clientes.  Esto oscurece la visión matizada de atender mejor a los clientes y sus necesidades en materia de seguridad, que son coyunturales, por ejemplo: una simple comprobación de ID para eventos de bajo riesgo o verificaciones rigurosas, pero rápidas para transacciones de altas cantidades de dinero o alto riesgo. ¿Cuándo los clientes quieren observar una fuerte seguridad? Cuando: ¿Un funcionario corporativo envía electrónicamente el pago de la nómina de la empresa? O envía ¿una carta de crédito para un cliente nuevo en Asia? O simplemente cuando  requiere un largo tiempo para que el cliente pueda verificar el balance en su cuenta de cheques.  La seguridad efectiva implica ajustarse según la necesidad.

Mito 3: Para mejorar la seguridad, reforzar el perímetro.  Sin negar el valor de un perímetro reforzado, esto suscita la curiosidad al anunciar: “Hay algo de valor aquí”. Muchas organizaciones prefieren simplemente ocultar sus objetos de valor, encubrir sus operaciones y actividad de la vista de alguien que no esté debidamente acreditado. Si los criminales cibernéticos ven, en lugar de una valla, absolutamente nada, no tienen ninguna razón para quedarse y tratar de meterse.

Mito 4: Cuanto menos se dice acerca de la seguridad mejor.  Se supone que los bancos son seguros. ¿Por qué debemos llamar la atención de la delincuencia cibernética?. Los fabricantes de automóviles solían ser así con relación a los accidentes automovilísticos hasta que la matanza se hizo inevitable y surgieron soluciones. Ahora la seguridad es una característica de la marca para muchos.  Mientras más titulares de delitos cibernéticos vean los clientes (al menos el 60% saldrían a la luz después de una violación), apreciarán más el saber que la seguridad es una característica de su marca preferida.

Mito 5: Resuelva la seguridad en el silo, y estará seguro.  Bueno, quizás nadie se adhiere a este mito explícitamente, pero es lo común para muchos.  La seguridad es evaluada sistema por sistema, dispositivo por dispositivo, aplicación por aplicación, almacén de datos por almacén de datos, pero los ciber-criminales son muy hábiles a la hora de explotar los eslabones débiles en lo que se protege con seguridad.  Éste es el motivo por el que algunos CISOs están adoptando una visión empresarial con respuestas integrales que vinculan todos los puntos delicados expuestos a delitos informáticos: transferencias bancarias, movilidad / BYOD, banca en línea, cajeros automáticos, contratación y acreditación de empleados, de proveedores, y mucho más.


Leer más...



Cuando la cultura y la seguridad se enfrentan

Categorías relacionadas:
Amenazas, Lo más reciente, Lo más reciente, Principal, Seguridad, Seguridad

La seguridad perimetral física es diferente de instalación en instalación, con una miríada de factores que influyen en todo aquello que se realiza, implementa y actualiza, incluyendo el presupuesto y los activos que están siendo protegidos.

Pero, ¿qué hay de la ubicación geográfica y, por tanto, la cultura?

Definitivamente, no es uno de los aspectos más obvios que la gente considera cuando examina la seguridad, pero tiene más protagonismo del que uno piensa. La seguridad perimetral varia de país a país, y las culturas han demostrado ser tanto beneficiosas como perjudiciales.

En general, existe una mayor cultura de la seguridad fuera de Estados Unidos y la mayoría de negocios están equipados con medidas más rigurosas de las que se ve en Estados Unidos, señala Eric Milam, director administrativo de Accuvant.

“La mayoría de empresas en Estados Unidos parecen estar a la zaga del resto del mundo”, afirma. “La protección contra seguimientos, balas de goma, trampas para hombres… encontramos mucho más de eso en Europa”.

Bill Besse, vicepresidente de consultoría e investigaciones en Andrews International LLC, filial de U.S. Associates, que también ha pasado un tiempo en el extranjero, señala que las medidas de seguridad más intensas no se encuentran solo en los países europeos que optan voluntariamente por implementarlas; sin embargo, coincide en que muchas instituciones financieras de ahí tienen niveles de seguridad más altos que los de Estados Unidos. También hay países que en realidad no tienen opción.

“Creo que hay algunas diferencias culturales en lugares donde han experimentado graves incidentes terroristas”, afirma Besse. “La escena nacional juega un rol muy importante en la seguridad perimetral y en la cultura, y mucho de eso ha sido impulsado y dirigido por lo que les ha pasado”.

Besse, que pasó tiempo en Estambul, Turquía, recuerda esto ya que debido a las actividades extremistas -como los atentados con bombas- todos los edificios de interés se encontraban equipados con detectores de metales, sistemas de revisión de paquetes y equipaje, y tecnología de rayos X. Todos los que entraban eran sujetos de inspección, pero a la gente simplemente no le importaba porque era parte de la cultura, parte de vivir en un área de constante lucha con los peligros.

“La gente acepta esas inspecciones como algo estándar y normal”, sostiene Besse. “Las distancias de revisión han aumentado, las barreras retráctiles antivehículos en las avenidas cerca de hoteles y edificios estatales, se ha llegado a aceptar con el pasar de los años”.

Besse también reflexionó sobre todo el tiempo que pasó en India y en Israel, donde dice que encontró una situación similar. Después de los ataques terroristas en el 2008 en Mumbai, el país incrementó la seguridad con unidades caninas, guardias armados y detectores de metales en lugares comerciales y hoteles. En Israel, la detección de vehículos en los perímetros de los centros comerciales y otras áreas importantes, es algo común.

“Culturalmente, es una manera aceptable de realizar negocios en Israel”, anota Besse. “Es un gran cambio cultural si es que viene de Estados Unidos o algunas otras partes del mundo. Normalmente son protocolos diarios en lugares como Israel, donde la gente siente que la seguridad tiene que llevarse a cabo a la perfección y de cierta manera”.

Pero a pesar de toda la rigurosa seguridad perimetral que se puede encontrar en el extranjero, Milam encontró que la ingeniería social ha demostrado ser una manera efectiva de burlar todas esas medidas, y las diferencias culturales son normalmente un factor en el éxito de su equipo. Reflexionó sobre el momento en el que una compañía Americana le pidió a él y a su equipo de Accuvant que ingresen a sus almacenes en Japón, y lo fácil que fue para ellos hacerlo.

“Básicamente usamos dos chicos estadounidenses que no hablan nada del idioma”, indica Milam. “Pero una vez que llegamos a Japón, encontramos que a ellos les han enseñado a ser respetuosos, a ayudar y no siempre cuestionar a la gente. Ellos van a querer ayudarnos en lugar de preguntarnos directamente, ‘¿Qué están haciendo aquí?’”

Milam siguió y explicó que, como con cualquier prueba física de seguridad, él y su equipo realizaron una investigación y preparación previa. Pero en este caso en particular, él y su compañero la tuvieron fácil: fueron capaces de encontrar en línea imágenes de los empleados y la insignia del contratista. Así que después de imprimir las tarjetas de identidad falsas, Milam se fue hasta Japón con una carta falsa diciendo que venía de una compañía estadounidense para que lo dejaran entrar a las instalaciones.

“Hicimos el papel de los estadounidenses tontos mientras estuvimos ahí”, sostiene. “Nos llevaban a todos lados en los carros del hotel, bajábamos de un Mercedes en el edificio que era nuestro objetivo y nadie nos decía nada, simplemente nos dejaban entrar. Nos tomamos fotos abrazando al guardia al final”.

Para garantizar aún más que la seguridad del almacén tendría que aventurarse fuera de sus zonas de confort para cuestionar la autoridad de Milam, se aseguró de llegar al sitio cuando fueran las tres de la madrugada en los Estados Unidos, donde estaba ubicada la sede principal de la compañía y de donde había sido mandado. Así, si alguno de los guardias quería llamar a confirmar si se suponía que Milam debería estar ahí, iban a tener que sacar a alguien de la cama y despertarlo -y parece que nadie está dispuesto a hacer eso.

“Lo que encontramos fue un ambiente sumiso, no querían ser irrespetuosos”, señala Milam, y agrega que se encontró con el mismo ambiente cuando hizo algo similar en los almacenes de la misma compañía en China. “No querían faltarnos el respeto porque parecía que teníamos las tarjetas de identidad apropiadas y definitivamente, no estaban acostumbrados a tener visita de Estados Unidos, pero aquí estábamos nosotros con nuestras caras amigables y grandes tarjetas de identidad”.

En algunos casos, incluso, los distintivos o insignias no fueron necesarios; el retraimiento de la gente para desafiar lo que Milam estaba hacienda en su local era más que suficiente. Él menciona una época en que fue contratado para infiltrarse en el edificio de una refinería de petróleo en Holanda, pero debido al uso de las ‘trampas para hombres’ -en la cual desliza una tarjeta de identidad, sube a un tubo, lo escanean y se baja por el otro lado- no pudo simplemente entrar.

“Así que me quede en el área de fumadores un miércoles… No sé si es Holanda en general o solo la compañía, pero les dan ese día libre para estar en casa con sus familias”, anota Milam. “Así que me hice amigo de una dama y le dije, ‘Sí, mi jefe se tenía que ir a casa porque tenía que hacer un vuelo de emergencia. No sé quién es el que está trabajando con él en este momento, pero el otro empleado tampoco ha venido’”.

La dama me contestó que no había problema y procedió a dar fe de Milam a los encargados de seguridad, los cuales ni siquiera lo miraron antes de darle el distintivo de visitante y pasarlo por la trampa de hombres.

Sin embargo, no siempre ha sido tan fácil para Milam y su equipo. Recuerda que en España, cuando estaba haciéndole pruebas a la misma refinería de petróleo y después de un poco de reconocimiento preliminar, se metió en problemas. Sin embargo, últimamente, la dinámica de la cultura de género ha terminado trabajando a su favor -y en detrimento de la seguridad de la compañía.

Después de hacer un reconocimiento a cómo es que las tarjetas de identidad de la compañía se veían y crear facsímiles parecidos, Milam adquirió un cartón del tamaño de una tarjeta de crédito hecha por Hardekrnel (equipada con Kali Linux) y la configuró para devolverle la llamada a un comando y servidor de control a través de un canal seguro. El único problema era que necesitaba un cuarto de conferencias abierto donde pudiera conectarlo.

“Así que identificamos al director legal, encontramos su firma y escribimos nuestra propia carta que decía: ‘Ayuden a estas personas en lo que puedan. Esto se trata de una auditoría a presión de la que nadie sabía nada’, y terminamos la carta con su firma”, comenta Milam. “Todo parecía real”.

Con la carta en la mano, Milam procedió a pedirle a la señora que estaba en la recepción del local que le dé acceso al cuarto de conferencias.

“La cosa es que las mujeres de mediana edad se sienten con el poder de preguntar qué es lo que hace ahí”, afirma. “Ella hizo un buen trabajo al interrogarme por unos 10 minutos, lo tengo todo en un video. Le entregué la carta y podía decir por su cara que en realidad no se la estaba creyendo”.

Pero Milam continuó presionando y la mujer eventualmente aceptó hablarle sobre el tema al jefe de planta, punto en el cual la seguridad de la compañía se comenzó a desenredar.

“Ella le entrega la carta y muy rápidamente él la calla”, anota Milam. “Él dijo, ‘No me importa lo que digas, esta persona puede entrar’”. Así que a Milam le dieron el acceso al cuarto de conferencias donde conectó y abrió un reverse shell en el tablero para el servidor de control y comando.

Después del suceso, Milam sospechaba que los aspectos culturales habían jugado a su favor.

“Aunque esta señora estaba haciendo lo correcto, en este ambiente en España, parecía que los hombres mandaban a las mujeres”, comenta Milam.

A pesar que la compañía falló al protegerse, la resistencia inicial fue un buen comienzo y en algunos casos pudo haber sido suficiente para desviar las amenazas menos persistentes. Asimismo, hay otras medidas simples que hacen la vida de los atacantes más difícil como limitar los puntos de salida o tener a todos los empleados canalizados a través de un solo punto, señala Milam.

Los perímetros también se están expandiendo, cosa que también tiene que ser tomado en consideración a la hora de planificar la seguridad. “Tiene que haber más de un perímetro de seguridad”, indica Besse. “Las barreras tienen que estar diseñadas en zonas perimetrales, así que si un perímetro es violado, el adversario no estaría en contacto directo con el activo. Esto proporciona la primera posible advertencia de que alguien o algo está intentando penetrar la seguridad de una organización”.

Incluso la zona más externa debería presentar un frente más difícil o complicado para los adversarios; sin embargo, mientras mayor adversidad encuentra el enemigo cuanto antes, mejor. Así como Besse señala, los atacantes no van a gastar su tiempo en objetivos que los frenen.

“Esta es una premisa central de la que me he dado cuenta con el pasar de los años: los atacantes intentan romper el perímetro, y si se dan cuenta que es difícil, normalmente siguen adelante y lo dejan de lado”, señala Besse. “Obviamente, van a optar por el camino que les proporcione menos resistencia”.

Esa es la razón por la cual, agrega, independientemente de lo que está protegiendo, obviamente no debe ser el objetivo más sencillo. Pero el otro lado de la moneda es que ser el objetivo más complicado no siempre garantiza que el camino sea más fácil.

“Puede querer ser el objetivo más complicado”, comenta Besse. “Si es el gobierno protegiendo armas nucleares o recursos militares, de hecho va a querer ser el objetivo más complicado; sin embargo todo esto tiene un precio”.

Así que si una compañía está luchando con un presupuesto, como ocurre en la mayoría de organizaciones y empresas, debería realizar una evaluación exhaustiva de los riesgos y si es que en verdad son tan grandes. Desde ahí se podrá determinar cuáles son las pérdidas potenciales y cuál debería ser su nivel de protección.

“Y a veces”, señala Besse, “ser el objetivo más complicado o difícil, lo hace uno atractivo”.
– Grant Hatchimonji, CSO (EE.UU.)

Leer más...