Jan 27 2015

Ocho reflexiones sobre la seguridad en entorno SaaS

image_pdfimage_print

CloudSecurity


¿Utiliza su empresa (o lo hacen sus empleados a título personal) aplicaciones alojadas en la nube?  ¿Es consciente de los riesgos que con ello está asumiendo?  ¿Dispone de medios para mitigarlos?

 


 

La masiva oferta de servicios alojados en la nube ha permitido a las compañías trasladar a entornos más flexibles y económicos, accesibles desde prácticamente cualquier punto el tratamiento de informaciones tanto estratégicas como operacionales para crecer y facilitar los negocios e intercambiar información con clientes y proveedores. Pero en un mundo imperfecto como aquél en el que vivimos, las ventajas que ha aportado este modelo han traído consigo algunos serios inconvenientes. Recapacitemos sobre ellos:

1El perímetro de seguridad que permitía preservar (y defender) la infraestructura tecnológica de la compañía se ha disuelto: En esta combinación de aplicaciones albergadas en el interior y en el exterior ya no hay puntos fronterizos en los que forzar la seguridad.

2Con el uso (generalmente autorizado) de correos personales basados en la web (cuentas gmail, yahoo, …), el uso de las redes sociales en actividades de marketing y prospectivas y la utilización de instrumentos de trabajo y de almacenamiento en grupo, se ha desvanecido (o encarecido, por la multiplicidad de posibilidades) la factibilidad de realizar un exhaustivo control de los usuarios y de su actividad.

3Existe una posibilidad cierta de que en la compañía se empleen de forma particular para finalidades empresariales este tipo de medios (algunos de ellos de libre uso y sin coste) sin el conocimiento de los responsables y con la consiguiente falta de autorización.

4Pese a todas las precauciones que puedan tomarse, el control de quién accede, desde dónde, cómo y cuando (incluyendo usuarios privilegiados, como administradores de los sistemas) está en manos externas, por mucho que en los acuerdos contractuales se haya concretado este tipo de extremos.

5No todos los servicios en la nube presentan el mismo nivel de riesgo. Y este tampoco es constante a lo largo del tiempo, ya que está en función de la propia entidad del sistema, de su proveedor y de las tendencias del entorno (considerando parte de ellas la actividad de los hackers y sus intereses en cada momento).

6Al ser accesibles desde cualquier punto y con cualquier dispositivo, los riesgos se han incrementado: En principio cualquier autenticación que el sistema reconozca como válida hará posible emplear nuestras aplicaciones y acceder a nuestros datos suplantando usuarios reales, con lo que ello significa.

7…Y existen multitud de formas para obtener las credenciales necesarias: La ingeniería social, el phishing, la escucha de las redes wifi, la interceptación de credenciales mediante keyloggers u otro tipo de malware. Y en el extremo, las acciones de fuerza bruta.

8Estos riesgos comprometen tanto la actuación empresarial como la cumplimentación de normativas sectoriales y la legislación.

La garantía de mantenimiento de un entorno seguro está tanto en la sensibilización de los equipos humanos (algo absolutamente imprescindible) como en el análisis de los puntos desde los cuales se accede a las aplicaciones (y a cuáles), la detección de accesos inadecuados, la identificación de conductas irregulares, el control de los accesos desde dispositivos móviles, métricas de riesgo, etcétera…

Permanent link to this article: http://www.ingelan.com/?p=4739

Jan 21 2015

Grupos de debate en LinkedIn

image_pdfimage_print

social-icons-31


Mantenerse al día en lo referente a la evolución y al uso de las tecnologías de la información requiere tiempo, dedicación y el empleo de fuentes adecuadas. Con los grupos que a continuación presentamos, nuestra intención es hacerle las cosas más sencillas.


A fin de hacerles llegar nuestras noticias y las mejores prácticas fruto de nuestras experiencias, así como para recoger sus críticas y sugerencias de mejora hemos creado una serie de grupos de debate en LinkedIn, la red social más extendida para uso de profesionales.

En cada uno de estos grupos (focalizados a problemáticas concretas), iremos publicando novedades, noticias y enlaces a los post que aparezcan (quincenal o mensualmente) en nuestra web. Suscribiéndose, recibirá avisos cuando aparezcan novedades en temáticas de su interés. De la misma forma, podrá contribuir y ser informado de las aportaciones que otros hayan realizado.

Nos agradaría contar con Usted y recibir (si así lo desea) sus aportaciones. Si le parece interesante inscribirse en alguno de ellos y tiene Vd. un perfil en LinkedIn, pulse sobre el logotipo correspondiente para ser redirigido al proceso de confirmación de su alta en el grupo.

Deseamos – de verdad – que pueda beneficiarse a nivel de conocimientos, contactos y relaciones con su participación.

 

Ingelan TIC

Logo Linkedin TIC Que se marca como objetivo promover el uso de las Tecnologías de la Información en general y debatir acerca de visiones y novedades.Pretende ser también un foro en el que compartir experiencias y obtener orientaciones para abordar la resolución de los problemas que a diario se presentan en la gestión IT.

Ingelan TIC Pharma

 Logo Linkedin TIC Pharma Pensado para plantear y debatir el empleo de las Tecnologías de la Información en entornos regulados en general y de producción química y farmacéutica en particular, tanto en usos de planificación, logística y control, como para facilitar la automatización de las operaciones de manufactura.

Ingelan GMP Compliance

 Logo Linkedin GMP Compliance Destinado a recoger y discutir aspectos metodológicos y prácticos en cuanto a la eficiencia, reducción del riesgo, control y gestión por excepción, validación de soluciones IT, cumplimiento normativo GMP/FDA en la industria farmacéutica y otras necesidades de los sectores químicos, cosmético y de alimentación y bebidas.

Ingelan Seguridad

 Logo Linkedin Seguridad Deseamos a través de este grupo reunir y difundir novedades, además de compartir experiencias acerca de temas referentes a la protección (tanto física como lógica) de los activos digitales de las organizaciones.

Ingelan Automation Support

Queremos sea un espacio en el que exponer novedades y experiencias, debatir sobre métodos, aplicación de las normativas y empleo de herramientas de automatización, con una amplia participación de los especialistas de Ingeniería y Mantenimiento de las plantas de fabricación de todos los sectores industriales.

Permanent link to this article: http://www.ingelan.com/?p=4457

Jan 14 2015

Mejores prácticas para mantener la seguridad de los endpoints

image_pdfimage_print

290_SecurityBreachComo usuario de un dispositivo móvil (laptop, tablet o smartphone), o como responsable de soportar los que utilicen los empleados de su compañía para manejar información de interés para su corporación, es muy importante asegurar que los datos manejados están a buen recaudo.

Un 67% de los directivos están preocupados por las posibles pérdidas de información que – por descuido o mal uso – se puedan producir. Y para un 57% (muy significativa cantidad), la inquietud está en que se produzcan accesos no autorizados por parte de personas extrañas a la entidad.

El panorama se va haciendo más complejo conforme se implantan nuevas formas de trabajo: La deslocalización de los puestos de trabajo con la consiguiente necesidad de comunicaciones no siempre seguras; El empleo por parte de los colaboradores de sus propios dispositivos para actividades laborales (BYOD); La irrupción y uso extensivo de nuevos medios de acceso (laptops, tablets y smartphones); La proliferación de software y app’s diseñadas y desarrolladas para ser empleadas en ellos… Los riesgos en este nuevo ambiente se multiplican de forma exponencial.

Para mitigarlos es preciso poner en marcha una serie de mecanismos que no únicamente responden al empleo de software. Es más: Esa es una parte mínima de lo que hay que hacer.

En el whitepaper que puede Ud. descargar a continuación, le sugerimos 25 mejores prácticas para conseguir estos objetivos (o – al menos – una buena parte de ellos).

 


Su nombre (necesario)

Su dirección de correo (necesaria)

Introduzca este código:
captcha

Permanent link to this article: http://www.ingelan.com/?p=4773

Jan 07 2015

6 situaciones en las que se exige garantizar la seguridad de los datos (y 2)

image_pdfimage_print

Data%20Protection%20and%20Privacy%20RightsEn esta segunda parte plantearemos otras tres situaciones sobre las que reflexionar al respecto de la confidencialidad y seguridad de los datos de los que las tecnologías de la información son custodios. Nos servirán para discernir de un lado la adecuación, amplitud y profundidad de las medidas a establecer, porque no todos los casos son iguales. Y de otro, el beneficio (en este tipo de casos deberíamos hablar de riesgo de pérdidas) que es posible obtener como consecuencia de su puesta en marcha.

Y es que una aplicación de estas características es como una póliza de seguro: Tiene un monto que puede costar asumir, pero se echa en falta en el momento en que hay que afrontar un incidente. Porque confiamos en las personas, pero hasta los mejores pueden errar o sucumbir.

4. Salvaguarda de información en outsourcing

4Subcontratar la gestión de los sistemas de información es una tendencia cada vez más extendida (algunos estudios afirman que más de un 40% de las empresas de todo tamaño está total o parcialmente en esta situación o pensando en ello) ya que – según se cree – permite ahorros por unas economías de escala imposibles de alcanzar en condiciones normales.

Si la información manejada no es relevante y contiene datos operacionales, es muy posible que no sea excesivamente peligroso dejar en manos de terceras partes los soportes que la contienen. Pero esta cesión puede ser crítica si se trata de información relevante, y no digamos si se trata de información sensible y protegida que pasa a ser controlada por y en un ambiente sobre el que no se tiene control. Ningún empresario desea ver en manos de extraños su lista de clientes, ni un financiero quiere que sus cuentas sean del dominio público. Y ambas cosas han ocurrido recientemente y han sido recogidas por los medios de comunicación.

No sirven las soluciones radicales: El emplear hardware dedicado porque incrementa notablemente (hasta un 60%) el coste al no ser aplicables las economías de escala; La encriptación a tutiplén tampoco resuelve nada porque penaliza los medios de proceso (hasta un 80%) y hace más lentas las transacciones, … Hay, pues, que pensar de una forma más amplia y atender a las particularizaciones y necesidades caso a caso. Y… ¿quien ha de ofrecer el servicio? ¿Ha de ser el subcontratista?, o por el contrario… ¿debe el data owner añadir a los sistemas cedidos el que realice las tareas de protección?.

Semejante idea es aplicable a compañías de ingeniería o gabinetes jurídicos que puedan tener datos/documentos de proyectos/casos pertenecientes a diversos clientes y que son manejados por equipos autónomos y sin relación entre sí. La garantía de confidencialidad que se ha de proporcionar (y que puede ser temporal) puede refrendarse y demostrarse fehacientemente si se dispone de los medios de control adecuados.

5. Acción de usuarios privilegiados

5En toda instalación IT existe un cierto número de usuarios que para el desempeño de sus funciones requieren de disponer de unas posibilidades de acción restringidas a cualquier otro utilizador: Administradores de los sistemas, de las bases de datos, analistas, desarrolladores o miembros de los equipos de soporte (helpdesk) son, típicamente, perfiles que deberían poder acceder a los sistemas con una cierta profundidad.

Aún en el supuesto de que todo el mundo se atuviese estrictamente a sus funciones, hay un elevado riesgo de exposición indebida de datos o informaciones. Y este riesgo se dispara – obviamente – en caso de acciones interesadas. Aunque existe una creciente sensibilidad en este sentido para evitar excesos y minimizar los peligros, no olvidemos que este tipo de roles han de existir y deben estar provistos de los permisos suficientes para ejercer satisfactoriamente su misión. El equilibrio es difícil y complejo. Pero hay que encontrarlo.

6. Redes de ventas de alta rotación

6La situación económica actual está haciendo que las estructuras de ventas en determinados sectores (el farmacéutico o el de los seguros – por ejemplo – y sin querer marcar éstos como los únicos en esta coyuntura) trepiden y que se puedan producir reestructuraciones que impliquen despidos. En este marco, la sustracción de preciosa información para – en caso de cese – ofrecer a la competencia como prima de enganche a cambio de un nuevo puesto de trabajo es un hecho de cada día. Ese tipo de pérdida pone a la empresa en unas condiciones de inferioridad significativas, ya que se le ha hurtado información por cuya obtención pagó en su día. Y sus adversarios la conseguirán gratuitamente.

Además de este hecho – que calificaremos de anómalo – este tipo de redes, extensa y extendida geográficamente, presenta algunas vulnerabilidades adicionales que pueden catalogarse de “normales” o “necesarias”: El empleo masivo de las comunicaciones (con/sin VPN, vía aplicaciones HTTP) y del correo electrónico (muchas veces en la nube) son algunas de ellas. ¿Han de viajar determinados datos sin ningún tipo de protección?… Estamos seguros de que no debería ser así, ya que – a título de ejemplo – mucha información de una póliza de salud es sensible según LOPD.

Permanent link to this article: http://www.ingelan.com/?p=4728

Página 1 de 3312345...102030...Última »