Seguridad Física

Al momento de hablar de seguridad se piensa principalmente en que afuera hay personas que quieren entrar, por lo que se enfatiza en las medidas perimetrales de seguridad. El problema es que existe una alta probabilidad de que un ataque provenga desde dentro de la organización ya sea intencionado o accidental y en formas que ni siquiera se han contemplado.

En una nota anterior habíamos hecho referencia a las laborares del CISO (Chief- Information- Security-Officer). Entre una de ellas esta tener en cuenta la seguridad física de centros de cómputos.

Este aspecto muchas veces olvidado, bien por desconocimiento o por simple simple exceso de confianza, tendría que atenderse no solo si se tiene una gran cantidad de servidores, también tendría que ser tomado en cuenta para cualquier tipo de sistema que requiera brindar las premisas básicas de la seguridad:

• Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
• Confidencialidad: La información sólo debe ser legible para los autorizados.
• Disponibilidad: Debe estar disponible cuando se necesita.
• Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Uno de los puntos más afectados en cuanto a la seguridad física es el de la Disponibilidad. Un simple error de cálculos y el servidor de producción que está encima del escritorio de la secretaria puede terminar en el suelo. O bien, una persona mal intencionada puede realizar una Denegación de Servicio (ataque DoS) simplemente con un martillo o llevándose el servidor. De igual forma puede hacerse un DoS simplemente desconectando el cable de red o electricidad los cuales están al alcance.

De acuerdo a las a las posibilidades y teniendo en mente la importancia de la información que se maneja, se debería contar con control de ciertos aspectos de seguridad física.

Existen diversos peligros físicos que pueden comprometer la seguridad de la información. Entre ellos se encuentran los peligros del entorno: Fuego, humo, polvo, terremotos, humedad, agua, etc. También se podrán encontrar los peligros por vandalismo o robo al contar del acceso físico al lugar donde están los servidores que contienen los datos.

Read More

Recomendaciones Anti-Phishing

Las siguientes medidas publicadas por ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) buscan asistirlo para minimizar los efectos negativos de un ataque de “phishing” y de ser posible, impedirlo:

Si recibe un correo electrónico que le pide información personal o financiera, no responda.
Si el mensaje lo invita a acceder a un sitio Web a través de un enlace incluido en su contenido, no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.

No envíe información personal usando mensajes de correo electrónico.
El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.

No acceda desde lugares públicos.
En la medida de lo posible, evite ingresar al sitio Web de una entidad financiera o de comercio electrónico desde un cybercafé, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus datos personales.

Verifique los indicadores de seguridad del sitio Web en el cuál ingresará información personal.
Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio Web, escriba la dirección Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deberá notar que la dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio Web al que está accediendo.

Read More

Preguntas y Respuestas:
P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (o sea, la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio o ingreso bruto en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, es decir cuando el valor es mayor que el costo.

Read More

AltoSec Blog

AltoSec inaugura una nueva modalidad de servicio para las PyMEs tendientes a la reducción de los costos operativos en sistemas.

El servicio de Gerenciamiento de Sistemas.

Con esta modalidad  AltoSec brinda el asesoramiento y el  personal calificado para el mantenimiento y gestión de los sistemas de información de las empresas por una fracción del costo que tendría con una persona desempeñando esta tarea en la organización.

Entre los servicios includos en esta modalidad se pueden enumerar:

• Liderazgo de proyectos de sistemas
• Gestión de implementación de infraestructura y redes
• Gestión de la seguridad
• Soporte a usuarios
• Consultoría para adquisiciones de sistemas, hardware o implementaciones de terceros

Las empresas interesadas en esta modalidad se pueden comunicar mediante el formulario de contacto para la realización un plan a la medida de sus necesidades.

Preguntas y Respuestas:
P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Esta ley tiene similitudes con la LOPD (Ley Orgánica de Protección de Datos) de España.

P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación y tratamiento de las bases de datos personales, estableciendo la obligatoriedad de su inscripción con fecha de vencimiento al 31 de marzo de 2006.

P: ¿Qué implica dicho tratamiento de las bases de datos?
R: Básicamente hay que establecer medidas de seguridad para dar cumplimiento a los términos de la ley. Dicha protección ha sido normada por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP).

P: ¿Qué establece dicha Disposición?
R: En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. La Disposición detalla también las medidas de seguridad correspondientes para cada nivel.

Read More