Fugas de información

En la línea del post Factor humano y seguridad, como aquellas noticias que señalan la peligrosidad del uso de las redes sociales en las empresas, por motivos de seguridad y económicos, se está apuntando al tema fuga de información.

Noticiasdot.com informa que

El 36% de las fugas de información que sufren las empresas provienen de empleados descontentos, según un informe de la agencia de investigación Winterman.

"Según el grupo, la actual coyuntura económica y el aumento de la inestabilidad laboral han provocado un aumento de empleados y ex empleados que utilizan Internet y las redes sociales para perjudicar a su empresa".

"Al aumentar el número de despidos, los trabajadores deciden apropiarse de información confidencial para situarse en una mejor posición en el mercado laboral".

"El despido o conseguir dinero extra a través de la venta de la información son otras de las posibles motivaciones para cometer estos delitos de fuga de información".

Nada fácil la situación, me imagino que en aquellos ámbitos donde no funcione adecuadamente la relación entre directores y dirigidos en un esquema adecuadamente organizado, los incidentes deben ser muy notables, lo que coloca en una mala posición a la organización.

Argentina gana posiciones en el Índice Global de Competitividad IT 2009

"Argentina logró subir cinco posiciones en el índice de competitividad de la industria IT del año 2009 a nivel mundial, quedando así en el puesto 41 con un puntaje de 36.5 de 100 en el índice ascendiendo cinco puestos con respecto al índice de 2008. Estos se encuentran entre los hallazgos de un nuevo estudio emitido por la Unidad de Inteligencia de Economist patrocinado por Business Software Alliance (BSA)", señala el parte de prensa de BSA.

Una buena noticia si tenemos en cuenta que el año pasado Argentina había caído del puesto 45° al 46° en el ranking de competitividad. Evidentemente se realizaron de mejor manera algunos deberes. Pero no es cuestión de dormirse en estos laureles.

"El estudio encuentra que Argentina ha logrado avanzar en Infraestructura de TI con una puntuación de 24.9 e Investigación y Desarrollo con un 20.3 vs 9.0 y 1.0 correspondientes al año 2008. No obstante es importante destacar que se requiere mejorar en las áreas de factor humano, régimen legal de protección de Propiedad Intelectual y el apoyo para el desarrollo de la industria de TI, a pesar de que Argentina ha mejorado en estas dos últimas mostrando un crecimiento de 2.0 y 1.1 respectivamente con respecto al año 2008", indica otro párrafo del parte de prensa.

Pueden bajar el informe en formato PDF y en español desde este link del website de Business Software Alliance (BSA).

Sobre las redes sociales

Como muchos el tema de las redes sociales en algún momento llamó mi atención, y hasta he participado de un par de ellas, pero como tengo cierta naturaleza a tratar el porque de los porque, me puse a indagar entre los que considero con cierta experiencia en el tema y allí surgio mi desconfianza a esas "redes sociales", "¿herramientas?" de dudosa utilidad pero de fácil manipulación para quien lo controle.

Como ya lo han señalado en algunos ámbitos, hemos llegando a un punto en el que Internet, nos ha dado una falsa imagen de privacidad. Existen un puñado de empresas que tienen en su poder información personal de millones de personas, y no son pocos los que indican que no existen las suficientes garantías de que esa información permanecerá en privado.

El exceso de confianza en los usuarios ha hecho que éstos suban todo tipo de información, inclusive información sensible. Hay que tener en cuenta que es mucha la gente que está a la pesca de esa información. Para ejemplo, hace unos días se informó que "la compañía de recursos humanos Randstad advirtió que el uso de las redes sociales online, cada vez más extendido, puede convertirse en un arma de doble filo a la hora de conseguir un puesto de trabajo".

"Así, subrayó que las empresas pueden acceder a los perfiles publicados por los candidatos en estas redes y ver sus fotos, detalles de su vida personal y comentarios, pudiendo encontrar información que influya en el proceso de selección". Publicado por iProfesional.com - Management.

De idéntica manera, se conoce que los "caza víctimas" para hechos delictivos tienen puestas sus miras en la información subida en esas "redes sociales". Los más audaces delincuentes informáticos ya han probado atacar estas redes como lo fue desde el sábado próximo pasado el popular servicio de microblogging Twitter, mediante el uso de un virus específico (Word:JS/Twettir.A). El propósito del ataque es desviar al usuario a otro sitio, en un procedimiento similar al tristemente famoso "phishing" de las cuentas del home banking.

Esto no es nuevo, en diciembre pasado, 120 millones de usuarios de la red social Facebook fueron víctimas potenciales de un virus de tipo gusano llamado Koobface que se extendió por el sistema de correo de la red enviando mensajes a los amigos de usuarios infectados, recomendando falsas actualizaciones de programas.

En los ambientes corporativos serios, el tema está siendo observado muy atentamente, ya lo hemos señalado en este blog al referirnos al tema factor humano y seguridad. El hecho es que se están marcando casos donde los empleado abusan del tiempo de uso de estas redes en horarios laborales, además de los casos en que en medio de una "conversación" el empleado liberó información estratégica de la empresa, a sabiendas o por descuido.

El tema da para mucho más, pero no me quiero extender. Me parece que hay información suficiente para entender que el participar en esos sistemas implica ciertos niveles de inseguridad, y está en cada uno correr el riesgo o no. Considero que más allá de ser una manera más de comunicarse, como lo es el correo-e o la mensajería instantánea, no tienen otra utilidad. Me parece muy poco serio utilizarlas en ambientes laborales, creo que aquí las empresas u organizaciones deberán avanzar en el conocimiento de las consecuencias, poner las cosas claras y determinar límites a sus empleados.

Actualización 14-04-2009

En LinkedIn aparecieron perfiles de famosas con links a sitios con malware.-"Afirman contener enlaces para acceder a videos y fotos comprometedoras de actrices y cantantes. En realidad, llevan a los usuarios a portales donde se les ofrecen antivirus falsos". Canal-AR.

Factor humano y seguridad

Hacía rato que no tratábamos específicamente el tema factor humano y seguridad. Es una de las consideraciones más importantes por estos tiempos en los equipos TI de las organizaciones, al menos de aquellas que se precian de hacer las cosas correctamente.

En la mayoría de los casos de violaciones a los sistemas, el detalle notable es que fue desde adentro de la organización y/o el ataque externo tuvo "ayuda interna". En gran medida el "tratamiento" que reciben de sus empleadores ha influenciado la decisión del atacante. Cosa seria muchas veces no contemplada.

Hoy se publica una interesante nota, que trata sobre los riesgos a que están expuestos los datos informáticos de las organizaciones.

Con un ojo en las portátiles y otro en los empleados.- "Dos informes recientes de Microsoft y Symantec advierten sobre los riesgos internos y externos que enfrentan los datos informáticos de las organizaciones. Cómo prevenir prácticas como el robo de información por parte de ex empleados y la sustracción de equipos". Por César Dergarabedian para iProfesional.com.

Factor humano y seguridad

Alguna ves replicamos en este espacio una nota publicada por Tendencias 21, que indicaba "El factor humano es esencial para la seguridad informática". En la nota (11/2006), se destacaba la siguiente conclusión: "Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI".

Más cerca, en el tiempo (09/2007), siguiendo la temática de la seguridad publicamos la historia de  Andy Lin, de 51 años de edad, un administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños.

Hoy nos enteramos de otra noticia similar, bastante interesante:

Un pirata informático pone en jaque a San Francisco al cambiar las claves.- "Un pirata informático y ex trabajador del gobierno de la ciudad de San Francisco ha puesto en jaque a esta localidad tras manipular y ocultar la clave de acceso a una red informática de información confidencial.

Según fuentes del ayuntamiento de San Francisco, Childs creó una clave que le daba acceso exclusivo a esta red. El ex funcionario proporcionó inicialmente a la policía una contraseña que resultó ser falsa y después se negó a facilitar cualquier información.

Terry Childs, que será acusado formalmente hoy, manipuló un nuevo sistema informático conocido como FiberWAN, en el que las autoridades de la ciudad almacenan datos confidenciales como nóminas de funcionarios municipales o correos electrónico oficiales.

Childs está en prisión bajo fianza mientras que las autoridades municipales intentan acceder a la red.

“Hemos logrado algunos avances”, señalaron fuentes del ayuntamiento a la prensa de San Francisco.

La principal preocupación de las autoridades es que Childs haya facilitado la contraseña a terceras personas que pudieran acceder a la información o destruirla, señalaron. De Redacción de Noticiasdot.com.

Sin dudas, tratar bien a la gente que trabaja contigo, es un buen consejo. Pueden leer otros post relacionados aquí.

Da buen trato a tus empleados

Es un muy buen consejo. Es muy conocido en los ámbitos de seguridad informática la acción del "factor humano". Un gran porcentaje de las acciones en contra de los sistemas de una organización son producidas por los empleados disconformes, esto es una realidad.

Así que es muy conveniente dar buen trato a tus empleados que manejan los sistemas de tu organización, no vaya a ser que tengas un Lin exitoso.

¿Quien es Lin?, se preguntarán...

En 2003, Andy Lin, de 51 años de edad, era administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños: 23 de Abril de 2004.

Debido a un error de programación, la bomba de Lin no funcionó, de modo que la reparó y reprogramó para activarse el mismo día pero del año siguiente (2005), y eso a pesar de que los temores de Lin al despido no se vieron confirmados.

No obstante, en enero de 2005 un colega de Lin investigaba un error del sistema cuando descubrió la bomba, lo que volvió a frustrar el ataque, esta vez definitivamente. De haber tenido éxito, la bomba lógica de Lin hubiera destruido datos sanitarios críticos en 70 servidores...

Lin ha sido juzgado anteayer y se ha declarado culpable. Se enfrenta a una pena máxima de diez años de cárcel y un cuarto de millón de dólares de multa (unos 175.000 euros).

La sentencia se conocerá el próximo 8 de enero.///(publicado por kriptopolis, fuente: Computer World).

Seguiremos hablando de seguridad...interna

Hace unos días leímos sobre el factor humano en la seguridad informática, decíamos que las miradas de los responsables de seguridad están principalmente apuntadas hacia adentro de la organización. Hoy nos damos con algo más que sostiene esa afirmación, en Infobaeprofesional.com presentan la noticia que "las empresas japonesas Ricoh y Hitachi Software Engineering desarrollaron un sistema que registrará las huellas de los dedos de un usuario en los documentos impresos con el fin de prevenir la filtración de información". Costará unos U$S 127.000.

"El nuevo dispositivo requiere que después de ordenar la impresión el usuario se identifique poniendo su dedo en un lector integrado en la impresora, según el diario económico Nihon Keizai. La información recabada quedará grabada en los documentos para poder rastrear la identidad de la persona que imprimió un documento".

Nótese que estamos hablando de impresión, no de transferencia electrónica de datos y/o de grabación de datos en soportes magnéticos.

Protégete de flash

Continuando, de alguna manera, con el tema del factor humano en la seguridad informática. Ayer he recibido mi ejemplar de la PC Magazine Argentina, edición Noviembre de 2006. Estoy suscripto (en el kiosco de Don Bulacio, en la esquina de mi casa). En esta edición hay una nota publicada por Robert Lemos, donde se hace referencia a los problemas de seguridad, esta ves asociados al uso de las unidades USB Flash.

Protégete de Flash (*): Los empleados y usuarios caseros constituyen el eslabón más débil en la seguridad de las computado­ras. La gente navega hasta sitios inseguros y proporciona sus contraseñas a cambio de una pluma gratis. Acepta CD-ROM de extraños y los usa en los ordenadores de la compañía. En cada caso, el empleado cae ante el troyano, por medio del cual el enemigo espera violar las defensas de tu empresa o equipo casero.

Ahora, a la lista de troyanos podemos agregar unidades USB, esos populares dispositivos de almacenamiento flash portátiles que comparten el espacio de tus bolsillos con las llaves de tu auto y casa. Un grupo de asesores de seguridad descubrió que las unidades USB pueden ser la forma perfecta para aprovecharse de los usuarios inocentes.

En una prueba sobre la seguridad de una unión de crédito, la empresa de auditoría Secure Network Technologies distribuyó 20 unidades USB flash en el edificio del grupo financiero. Durante el día, los empleados tomaron 15 uni­dades y las conectaron a sus PC.

Cada una de éstas tenía un grupo de archivos de imágenes, uno de los cuales era un programa autoejecutable. Mientras los 15 usuarios observaban cada archivo, el sencillo pro­grama, activado por la falsa imagen, estableció contacto con el sitio web de los aseso­res. Éstos no tuvieron ningún problema para usar los datos obtenidos por las unidades USB troyanas y podrían haber puesto en grave peligro el sistema de computadoras, si así lo hubieran querido.

Los riesgos que las unida­des USB representan no son nuevos. Cualquier medio de almacenamiento, desde las cintas magnéticas, son potenciales vehículos para virus, troyanos u otros pro­gramas malignos.

Las compañías apenas empiezan a considerar una defensa contra la amenaza de los emplea­dos a distancia que re­gresan a la oficina con laptops comprometi­das o infectadas por haber navegado en casa durante el fin de semana o trabajado en hotspots públicos no seguros y luego conectado a la red alámbrica local. El hecho de agregar unidades USB, iPod y otros dispositivos pequeños complica la ecuación de seguridad.

Los dispositivos de almacenamiento pequeños están destinados a ganar cada vez más popularidad. La tecnología del escritorio en un disco, que te permite llevar contigo un sencillo dispositivo de almacenamiento, conectarlo a una computadora y utilizar información y aplicaciones propias, parece lista para estrenarse. Black Dog y U3 ofrecen dis­positivos que se ejecutan de manera au­tomática en cualquier sistema Microsoft Windows al conectarlos en un puerto USB.

Microsoft proporciona una solución al problema y permite a las compañías es­tablecer políticas de grupo que imposibilitan el uso de dispositivos USB de alma­cenamiento. Sin embargo, muchas empresas quieren que sus empleados tengan la capacidad de utilizar éstos, pero no de descargar infor­mación. Otras te protegen de mayor variedad de dispositi­vos, tienen más característi­cas de auditoría y permiten políticas detalladas.

Asimismo, las compañías deben exigir que todos los escritorios tengan software de seguridad para evitar que programas malignos se eje­cuten o conecten a web. Y como las unidades USB no funcionan sin que un usua­rio las enlace a una compu­tadora, las empresas deben educar a sus empleados sobre los peligros de éstas.

Al final, los dispositivos de almacena­miento son sólo una forma de manejar la información, sea un código maligno o propiedad intelectual de una compañía para moverla de un lugar a otro. Debemos tomar en serio su seguridad.

(*) Por Robert Lemos para PC Magazine Argentina, Edición Noviembre de 2006, pág. Nº 44.

El factor humano es esencial para la seguridad informática

En Tendencias 21 publican una nota de Sergio Manaut tratando este importante y muchas veces controvertido tema.

"Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI. Son los resultados de un estudio realizado por IDC, el proveedor líder de inteligencia de mercado a nivel mundial, que analizó una muestra de más de 4.000 profesionales de la seguridad informática en más de 100 países".

"Las empresas de alcance global necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI”, afirma el estudio realizado por IDC, el proveedor líder de inteligencia de mercado a nivel mundial, a pedido del Consorcio de Certificación de Sistemas de Seguridad".

"Esta encuesta, que consideró una muestra de más de 4.000 profesionales de la seguridad informática en más de 100 países, evidencia que las organizaciones han venido menospreciando la importancia de la conducta humana y se han inclinado a confiar más en el hardware y en el software para resolver problemas de seguridad".

"Sin embargo, los participantes en la encuesta manifiestan que las empresas están empezando a reconocer que la tecnología es un “facilitador”, no la solución, para implementar y ejecutar una estrategia de seguridad contundente"...(sigue)

Por experiencia propia, concuerdo plenamente con que "las organizaciones han venido menospreciando la importancia de la conducta humana", más aún por estos rumbos. Muchas veces fallan en la implementación de controles necesarios, enfocados al análisis del desempeño del personal (por dar un ejemplo), o directamente no lo implementan. No es por nada que muchos responsables de sistemas apuntan controlar más al "usuario" interno que al cliente externo.