Categoría: Cybersecurity

25 Oct 2018
Moving PGP to the cloud

¿ESTÁ MOVIENDO SU PGP A LA NUBE? HE AQUÍ LO QUE NECESITA SABER

¿Es la encriptación PGP parte de su estrategia de mensajería segura? ¿Está usted alojando este sistema en sus instalaciones en la actualidad? ¿Ha pensado alguna vez en mudar su encriptación PGP de emails a la nube? Puede sonar desalentador, pero, con las herramientas y servicios correctos, moverlos a la nube es una inversión para que usted y  sus clientes consideren.

Un sistema PGP alojado localmente consume muchos recursos y requiere que un software esté instalado en su estación de trabajo y en sus servidores. La demanda en su departamento de informática puede ser considerable – migrarlo todo a la nube puede quitarle mucha tensión a su personal.

He aquí algunos puntos a considerar si usted está pensando en hacer el cambio:

La encriptación de emails debería ser más que adecuada

Tenemos la responsabilidad de proteger los mensajes confidenciales que enviamos, y necesitamos hacerlo de una forma que no se interponga con hacer negocios.

Una solución de encriptación de email efectiva tiene cinco cualidades principales:

  • Es fácil de implementar
  • Puede escalar para mantenerse al ritmo de las crecientes demandas y los súbitos aumentos en volúmenes de emails
  • Es rica en funciones, y basada en los estándares actuales, compatible con tecnologías de encriptación ampliamente utilizadas en la actualidad
  • Es jurisdiccionalmente consciente, por lo que los mensajes enviados desde la UE, por ejemplo, no son almacenados o enviados a través de los Estados Unidos u otras jurisdicciones que puedan comprometer el cumplimiento de las normas de la RGPD
  • Se opera de forma segura por un proveedor confiable que se dedica a la seguridad

Tener sistemas heredados o antiguos no debe ser un impedimento para migrar a la nube

Mover un sistema PGP local a la nube no solo es posible, sino que estos sistemas heredados o antiguos pueden migrarse sin disrupciones, una consideración crucial desde el punto de vista del negocio si su organización envía grandes números de mensajes seguros diariamente. Y usted obtiene acceso a métodos de envío seguro adicionales, como la habilidad de enviar mensajes vía portal web y demás funciones, como la habilidad de personalizar mensajes encriptados con su marca.

Gestión de claves sin la gestión

De acuerdo al decimotercer estudio de encriptación encomendado por Thales al Ponemon Institute, la gestión de claves continúa siendo uno de los principales temas sensibles para el 57 por ciento de las organizaciones. Y muchas de estas organizaciones reportan que continúan gestionando sus procesos de claves de forma manual. Esta no es una estadística nueva. De hecho, ¡la gestión de claves se mantenido como un tema sensible de forma consistente año tras año! Migrar a la nube le permitirá simplificar su proceso de gestión de claves – y automatizarlo.

¿Por qué utilizar la Seguridad como un Servicio?

En el clima de hoy, los negocios deben escalar rápidamente para poder alcanzar las demandas que cambian constantemente. Las amenazas de seguridad evolucionan constantemente, y la tecnología continúa transformándose a un paso acelerado. Nuevos desarrollos como la informática móvil, la Internet de las Cosas, Software como Servicio e Infraestructura como Servicio están conduciéndonos a cambios fundamentales en la manera en la que operan los negocios.

Trabajar con una Seguridad en la nube como proveedor de servicios puede aportar muchos beneficios. Sheila Jordan, CIO en Symantec, señala, por ejemplo, que mientras las inversiones en Informática y tecnología pueden usarse para operar y hacer crecer a una compañía, la lista de tareas a llevar a cabo siempre será mayor que los recursos y fondos disponibles. A menudo, la informática es vista como un rubro fácil donde acortar gastos, y en respuesta, los CIOs “deben priorizar las demandas que afectan de forma más directa la rentabilidad y las metas financieras de la compañía”. Los CIOs son responsables no solo de proteger la información, sino también de ayudar a las compañías a usar esa información para generar conocimiento práctico y viable. Migrar a la nube les permite a las organizaciones rastrear y reportar en tiempo real.[1]

¿Está pensando en la Seguridad como un Servicio? He aquí algunas preguntas a considerar:

  • ¿Cuál es su perfil de riesgo?
  • ¿Está respondiendo a una crisis especifica?
  • ¿Tiene un plan claro implementado?

 

Una vez que la decisión de migrar a la nube ha sido tomada, elija cuidadosamente su proveedor. No busque una solución única: si lo hace, podría encontrar que la solución que eligió se ha vuelto rápidamente obsoleta o que no es el único foco para abarcar un producto más grande. Contacte a su nuevo socio para capacitar y entrenar a sus equipos y guiar a su compañía a través del proceso. Y más importante aún, familiarícese con el equipo con el que trabajará ya que tener una buena relación puede hacer la diferencia a la hora de lidiar con una crisis.

Sheila Jordan de Symantec lo dice mejor: “Cuando uno trabaja con un socio que entiende su negocio y hacia donde uno se dirige, este puede ofrecerle soporte global y soluciones que crecerán con su organización. Los socios indicados siempre estarán enfocados en el cliente, haciendo todo lo que esté a su alcance para impulsar su compañía hacia adelante”.

Vea que tan fácil es migrar sus PGP a la nube.

Por Christian Peel, VP de Ingeniería, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” en Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, editorial. Ajay K. Sood (Toronto: Foro CLX, 2018), 23-45.

27 Sep 2018
cybersecurity audits

¿Por qué son importantes las auditorías de ciberseguridad?

El ambiente de la ciberseguridad está cambiando. Las tasas de emails maliciosos, spam y malware siguen aumentando, y nuevas amenazas, como la minería de criptomonedas, están surgiendo. Mientras tanto, los ataques de ransomware se han vuelto tan comunes que ciertos grupos de ataque los usan como señuelos para cubrir otros tipos de ataque más serios.

En un mar de ciberamenazas en constante evolución, ¿podrá tu empresa mantenerse a flote?

Si crees que un firewall es todo lo que debes tener en cuenta al evaluar la ciberseguridad de tu perímetro digital, probablemente te equivoques. Después de todo, los ciberataques modernos son cuestión de tiempo, y no existe una solución universal a todos los problemas. Es aquí donde tener una segunda opinión puede hacer una diferencia en entender el panorama contemporáneo de amenazas a la ciberseguridad, entender las defensas disponibles, terceros riesgos y nuevas regulaciones.

Introduciendo las auditorías de seguridad.

De acuerdo a asesores de Ritcher, hoy en día, “un firewall es solo la punta del iceberg de la seguridad”. Hoy más que nunca, necesitas saber a qué amenazas se enfrenta tu empresa, pues los ciberataques son cuestión de tiempo. En lugar de preguntarte si tu empresa sufrirá un ciberataque, pregúntate cuándo.

¿Por qué realizar auditorías de ciberseguridad de terceros?

La ciberseguridad es una compleja red de sistemas y procesos que deben evolucionar en respuesta a las amenazas. Las auditorías de ciberseguridad de terceros externos ayudan a brindar claridad y entendimiento. En algunas organizaciones, puede que exista una falta de conciencia sobre cuán a menudo se deben revisar las políticas de seguridad y por qué. Es posible que los departamentos de TI carezcan de las herramientas necesarias para garantizar que sus sistemas estén seguros. Peor aún, a veces ni siquiera se dan cuenta de esto. Incluso cuando la ciberseguridad es un elemento clave en la cultura organizativa,  concentrarse en tablas de resultados y en métricas de negocios solo mantiene la atención en amenazas ya enfrentadas en el pasado. Al contrario, las empresas deben mirar al futuro para anticipar las amenazas que no hayan surgido tomando medidas proactivas de ciberseguridad para la privacidad desde el diseño. Este concepto es conocido como privacidad desde el diseño.

¿Cómo te ayudarán las auditorías de ciberseguridad?

Hay cuatro razones principales por las que tu empresa se beneficiará de las auditorías de ciberseguridad.

  1. Brindan conocimiento y validación. Los auditores cuentan con una extensa experiencia, y ofrecen las mejores prácticas para fortalecer los programas de las empresas. Los auditores estudian las nuevas regulaciones (como la GDPR). Pueden asegurar que los sistemas y procesos cumplan con los estándares regulatorios actuales. Además, los auditores pueden señalar problemas potenciales y sugerir mejoras.
  2. Ofrecen evaluaciones neutras y objetivas de los programas. Estas evaluaciones objetivas muestran además una mejor visión de cuán atractiva puede ser una empresa para los hackers.
  3. Las auditorías de terceros pueden ser más precisas. Ya que los auditores no están asociados directamente a la empresa, pueden tener una visión más precisa de toda la estructura organizativa, incluyendo políticas de BYOD (trae tu propio dispositivo) y equipos móviles que no sean oficialmente parte del flujo de trabajo de la organización.
  4. Ayudan a validar tus políticas de privacidad ante posibles terceros aliados, y viceversa.

¿Qué busca un tercero auditor de ciberseguridad?

Evaluar la ciberseguridad requiere un conjunto de habilidades específicas. Los auditores deben examinar la configuración de servidores, realizar pruebas de penetración y revisar el reglamento de gestión de eventos de seguridad. No todos los departamentos de TI tienen al personal con la capacidad y el conocimiento para realizar estas tareas.

Adicionalmente, existen regulaciones complejas en lo referente a la protección y privacidad de los datos, y tu organización debe seguir dichas regulaciones en cada jurisdicción en la que haga negocios.  Por ejemplo, la recién aprobada GDPR, requiere que cualquier filtración de información que involucre datos de residentes de la Unión Europea sea revelada públicamente en menos de 72 horas. ¿Reconocería tu empresa una filtración así en caso de ocurrir? ¿Qué tan segura está la información personal de identificación (PII) que guarda tu empresa? ¿La información que almacena tu empresa es accesible a sus aliados, proveedores o clientes? ¿Especifican tus contratos cómo los proveedores y distribuidores manejarán esta información? ¿Tienen estas organizaciones los sistemas adecuados para mantener tu información segura? Una auditoría de terceros observa todas las relaciones de negocios y ofrece una evaluación completa de amenazas y riesgos.

¿Por qué son importantes las auditorías de ciberseguridad?

Un informe reciente de PWC indica que 87% de los CEO globales creen que invertir en ciberseguridad es importante para generar confianza en los clientes. Aun así, menos de la mitad de todos los negocios del mundo cuentan con auditorías de los terceros que manejan su información personal recolectada. Dicho de otro modo, hay un 54% de posibilidades de que una organización que recolecte información personal no esté segura de si su esta información está protegida adecuadamente, sin importar que sus CEO reafirmen la importancia de hacerlo.

Si una empresa cree en la protección de la información personal, o al menos desea evitar una costosa filtración de información, deberá hacer las diligencias pertinentes al momento de elegir a sus terceros proveedores. Es por esto que llevar a cabo auditorías de ciberseguridad es tan importante. Una organización necesita saber dónde y cómo se almacena su información, pues al final del día, cualquier organización que recolecte información personal es responsable de cualquier reclamación de protección de datos, y estas reclamaciones pasan a ser responsabilidad de los terceros.

¡Practicamos lo que predicamos!

En Echoworx respiramos encriptación, y trabajamos cada día para ayudar a organizaciones a proteger su información delicada en tránsito. Lógicamente, invertimos en los más altos niveles de ciberseguridad. Es por esto que toda nuestra organización, de arriba a abajo, es examinada regularmente por terceros auditores para asegurar la hermeticidad de la información. ¡Nos enorgullecemos de nuestras certificaciones SOC2 y Web Trust!

Comprueba por ti mismo nuestras calificaciones en ciberseguridad.

Por Alex Loo, VP de Operaciones, Echoworx

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

¿Es vulnerable su negocio contra amenazas de ciberseguridad?

En 2017, Deloitte fue calificada la mejor consultora de ciberseguridad en el mundo por quinto año consecutivo. Pero más tarde ese mismo año, surgieron noticias de que la misma Deloitte estaba siendo víctima de un hackeo que duro casi un año entero[1].

¿Como pudo revertirse esto tan dramática y rápidamente?

Cualquier compañía es vulnerable a un ciberataque. Mientras más grande la compañía, más grande el blanco. Para la mayoría de las compañías es solo cuestión de tiempo.

Los hackers apuntan a robar datos sensibles tales como secretos corporativos, datos personales y propiedad intelectual. También lanzan ataques de sabotaje. El daño financiero a la economía mundial excede los $575 billones anualmente—más que el PBI de muchos países.

¿Cuán vulnerable es su negocio?

Ciberseguridad = vigilancia constante

He aquí algunas vulnerabilidades de ciberseguridad para notar:

  • Desconfiguración de seguridad. Esta es la más común y peligrosa falla porque reside en aprovechar simples errores informáticos, tales como correr software desactualizado, utilizar parámetros de configuración y contraseñas de fábrica , y cuentas por defecto.
  • Desbordamientos de buffer. Cuando una aplicación intenta poner más datos en un buffer de los que este puede manejar, el buffer se desborda. Esto puede permitir que un atacante sobrescriba bloques de memoria para corromper datos, hacer que fallen programas, o instalar código malicioso. Estos ataques son comunes y difíciles de detectar, pero también son más difíciles de realizar que un ataque de vulnerabilidad de inyección.
  • Exposición de datos sensibles. Esto hace referencia a cualquier instancia en la que un hacker obtiene acceso a datos sensibles, ya sea directamente desde un sistema, o mientras están en tránsito entre un usuario y un servidor. La falla más directa que puede ser aprovechada es la falta de encriptación, o encriptación que esté en peligro por contraseñas débiles o falta de autenticación de multifactor. Cualquier organización que maneje datos sensibles puede ser vulnerable a este tipo de ataque.
  • Autenticación dañada y manejo de sesiones. Cuentas expuestas, contraseñas, IDs de sesión representan filtraciones o fallas en los procedimientos de autenticación. Los hackers las usan para para hacerse con cuentas y hacerse pasar por usuarios legítimos.
  • Infraestructura o software de seguridad anticuado. El equipo más Viejo no soporta adecuadamente las aplicaciones modernas, y no es fácil de proteger contra las amenazas actuales.

La amenaza de hackers continúa creciendo a medida que las técnicas más sofisticadas de vuelven más comunes. Una encuesta reciente ha mostrado que 7 de cada 10 organizaciones dijeron que su riesgo de seguridad a ciber amenazas aumento en 2017 con respecto al año anterior. El 54% de las compañías fue víctima de uno o más hackeos exitosos en 2017. Y el 77% de esos ataques aprovecho vulnerabilidades como las mencionadas previamente (también llamadas técnicas “sin archivo”) sin adjuntos maliciosos o archivos .exe.

La forma más reciente de ciberataque es el crypto-jacking. También conocido como minería de criptomoneda, esto es el uso no autorizado de computadoras para minar criptomonedas. Los hackers implantan código en una computadora usando hipervínculos maliciosos en emails o sitios web infectados. Symantec advierte que la actividad de minar criptomoneda se incrementó en un 34,000% durante 2017, y que la detección de mineros de criptomonedas aumento un 8,500%. Para fines de 2017 la actividad de minería de criptomoneda también fue detectada en dispositivos móviles, y probablemente crecerá en este ámbito también.

Defender su negocio

Aunque ningún sistema está 100% seguro de un ataque, una encriptación fuerte es una herramienta de defensa efectiva contra el hackeo.

Tenga estos tips en mente:

  • Encripte toda la información sensible que los hackers o criminales puedan obtener.
  • Mantenga sus credenciales de ingreso confidenciales y protegidas con contraseñas.
  • Utilice autenticaciones de multifactor siempre que sea posible.
  • Emplear hasheo fuerte de contraseñas.

Nosotros usamos la nube. Es segura, ¿verdad?

Los servicios en la nube no lo protegen de un riesgo. Tal y como lo señala Sandra Liepkalns, CISO en LoyaltyOne, la información aún debe ser almacenada físicamente, y “la nube” solo significa que usted está usando servidores externos. ¿Sabe usted donde se encuentran esos servidores? ¿Si sus servidores se encuentran en los Estados Unidos, tienen las credenciales necesarias para manejar información con protección GDPR de Europa? ¿Y qué sucede con las amenazas físicas? ¿Están los servidores ubicados en lugares vulnerables a inundaciones o incendios forestales? ¿Y qué hay de huracanes? ¿O terremotos?

Al final del día, cada organización es responsable de proteger la información de sus clientes. Después de todo, no se trata sobre si su organización será violada o no, si no cuando. ¡No se deje atrapar desprevenido! Minimice los riesgos y haga que su seguridad sea integral a todos sus sistemas y procesos.

Por Randy Yu, Gerente de Implementación en Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

25 Ene 2018
Cyber Threat

¿Qué tan malo es malo? El actual panorama de amenazas en México

México es una de las economías de más rápido crecimiento en el mundo, enfocada en emplear tecnología para impulsar las empresas hacia adelante. Pero esta dependencia en la tecnología viene con un lado oscuro: las empresas son significativamente más vulnerables a las amenazas cibernéticas y las filtraciones de datos.

México ha estado atrayendo la atención de maliciosos ejecutores de amenazas cibernéticas. La atracción se debe en gran medida a su creciente importancia geoestratégica regional y global, junto con la creciente riqueza económica y financiera de la nación.

Según estudios recientes, las organizaciones mexicanas están enfrentando amenazas similares a las que operan en las economías más desarrolladas del mundo. México ocupa el segundo lugar en América Latina, justo detrás de Brasil, para la mayor parte de los ciberataques, con los sectores bancarios, de ventas al por menor y de telecomunicaciones como los más afectados.

Tiempo serio de hacer ajustes

La ocurrencia de la actividad cibercriminal en México, la diversidad de instituciones financieras y el creciente valor de capital del sector, son todos factores de riesgo. Grupos criminales, claramente capaces, asediaron el sector financiero mexicano al comprometer los cajeros automáticos y defraudar a los clientes de los bancos en una escala significativa. Ataques menos sofisticados, como el uso de Troyanos bancarios, ransomware y Puntos de Venta de malware, están bien extendidos y representan una amenaza significativa.

Las vulnerabilidades claves observadas en el panorama cibernético de México son la falta de una cultura de seguridad cibernética, las configuraciones anticuadas de sistemas y versiones obsoletas de las aplicaciones de software. El derecho a la privacidad junto con la protección de información personal, tanto para individuos como para corporaciones, es un tema extremadamente relevante para las organizaciones internacionales y el sector público. Si la seguridad cibernética no es fortalecida, más empresas en México quedarán expuestas.

Si México quiere ser un pionero de derechos de datos, la nueva infraestructura debe adaptarse efectivamente a los cambios en la forma en que la información es transmitida alrededor del mundo y deben cumplir no solo con las directivas nacionales y regionales, sino también con la protección internacional de las prácticas de información.

Surge la Pregunta

¿Está su negocio en una encrucijada? ¡Asuma los costos de aumentar las defensas o conviértase en alguien cada vez más susceptible al riesgo de ataques!

La elección correcta sería migrar hacia un modelo proactivo incorporando puntos de control de seguridad opuestos a un modelo reactivo. El tener las medidas de seguridad correctas podría resultar ser un diferenciador para superar a los competidores.

Una desviación positiva

Según PwC Mexico, “El 91% de las empresas mexicanas han priorizado la seguridad cibernética en sus organizaciones y México es el país con mayor inversión en seguridad cibernética en América Latina”. El sector financiero ha liderado el camino en esta área, seguido por las telecomunicaciones, y estos, ambos, son los sectores económicos más globalizados de México.

Aquí es donde el Gobierno de México debería trabajar de cerca en colaboración con firmas privadas. Los beneficios de fomentar la investigación sobre el tema de la protección de datos serían mutuamente beneficiosos, manteniendo el enfoque en la creación de una economía sostenible y creciendo de manera segura.

Echoworx ha respondido a las demandas de seguridad de datos de México mediante la configuración de nuestra avanzada plataforma de cifrado OneWorld dentro de un centro de datos local cerca de la Ciudad de México. Esta expansión ha sido impulsada por la creciente demanda de empresas multinacionales operando en México para procesar y proteger su información sensible de manera local.

Con nuestra ágil plataforma de cifrado de correo electrónico, es más fácil que nunca que las organizaciones puedan cumplir, mantengan la reputación de la marca, generen confianza entre los clientes y ganen una ventaja competitiva, mientras maximizan la protección de sus comunicaciones confidenciales, la propiedad intelectual y otros datos sensibles.

México se está perfilando para estar entre los líderes mundiales en transacciones digitales, y ya que la seguridad es una preocupación primordial, salvaguardar las comunicaciones debe ser una principal prioridad. Como líder en el cifrado de correo electrónico, Echoworx está enfocado en fortalecer la seguridad cibernética colaborando con varias partes interesadas igualmente apasionadas para salvaguardar la colaboración y comunicación de información sensible en todo México.

 

Por Christian Peel, ‎ Vicepresidente de Ingeniería de Clientes, Echoworx

05 Ene 2018
Microprocessor attacks

Ataques Spectre y Meltdown, ¿crees que el cielo se está cayendo?

Al igual que la mayoría de las empresas, Echoworx es consciente de las vulnerabilidades anunciadas recientemente que afectan a los microprocesadores más modernos.  Queríamos tomarnos un minuto para proporcionar la siguiente guía sobre los ataques Spectre y Meltdown para garantizar la conciencia de los problemas y para informarte sobre los pasos que Echoworx está tomando para abordarlos.

¿Cuáles son estos ataques?

Spectre en realidad son dos vulnerabilidades diferentes, y Meltdown es una.  Ambos ataques explotan características de microprocesadores ‘modernos’ llamados ‘ejecución especulativa’.   La Ejecución Especulativa es una técnica de captación previa de datos e instrucciones previas a la ejecución en caso de que se necesiten.   Básicamente, si no se necesitan, aún quedan restos de los datos en la memoria que pueden leerse en otros procesos.

El ataque Meltdown es el peor de los dos, ya que puede revelar toda la memoria de la computadora, no solo algunas partes de la misma.  El Meltdown también es más fácil de realizar.  Afortunadamente, el Meltdown también es más fácil de parchear.  Spectre por otro lado es más difícil de realizar, revela menos, pero es más difícil de tratar a través de parches.  Hay parches para casos conocidos específicos.

¿Qué se ve afectado por estos ataques?

“Moderno” no es tan moderno… Al menos no en términos informáticos.   Básicamente cualquier procesador Intel construido desde aproximadamente 1995 se vería afectado.  Intel, AMD, ARM, procesadores y otros también se ven afectados en diversos grados.  Hay algunos informes de que ciertos procesadores no están expuestos a todas las vulnerabilidades, pero no está claro si se ha demostrado que es así o si aún no se ha logrado. Sería mejor errar por el lado de la precaución.

¿Qué deberías hacer como individuo en tus dispositivos personales?

Siempre debes mantenerte actualizado con parches, y este caso no es diferente.   Existen parches para Linux, Microsoft (Windows, Edge, IE), Apple (MacOS, iOS, TVOS, Safari), Android, Firefox, Chrome y probablemente muchas otras aplicaciones.  Aplicar estos te ayudará a protegerte.

También debes asegurarte de que tu software antivirus/seguridad de Internet esté actualizado.   Microsoft ha anunciado que sus correcciones pueden tener problemas de compatibilidad con algunos software antivirus.   El parche para Windows no se instalará si tienes un antivirus obsoleto o incompatible.  Yo primero actualizaría el software antivirus y luego aplicaría el parche MS.

Ten en cuenta que algunas de las soluciones a este problema podrían causar un impacto en el rendimiento.  Hay algunas estimaciones bastante desagradables de cuán grave impacto podría haber, pero los proveedores que he visto hasta ahora han reportado impactos mínimos.  Por ejemplo, Apple informa un máximo de 2.5% contra 1 punto de referencia para estas correcciones.

 

By David Broad CISSP, Information Security and Audit Lead, Echoworx

08 Sep 2017
privacy by design

Privacidad por diseño, o por desastre

¿Tienes algún negocio europeo? Si es el caso, el RGPD podría dispararte multas de 20 millones de euros después del 25 de mayo de 2018, a menos que hayas construido los niveles más altos de protección de privacidad en tus sistemas.

El Reglamento General de Protección de Datos (RGPD) protege la privacidad y los derechos humanos de las personas y entra en vigencia en mayo. Aplica a las empresas con sede en la UE, además de las empresas extranjeras que realizan negocios en la UE. El alcance abarca una amplia gama de datos personales, por ejemplo, nombres, direcciones de correo electrónico, redes sociales, detalles bancarios o direcciones IP de la computadora.

Para las empresas que no cumplen con el RGPD, hay multas de hasta 20 millones de euros o hasta el 4 por ciento de sus ganancias anuales en todo el mundo , un gran mordisco en su balance final. La buena noticia es que hay una directiva para guiarlo, conocida como Privacidad por Diseño, o “PbD, por sus siglas en inglés”.

Privacidad por Diseño
Cumplir con el RGPD significa seguir los siete principios de PbD que se incluyen casi literalmente en la regulación.

  1. Proactivo no reactivo; preventivo no correctivo
    Piensa en esto como “privacidad por diseño o desastre”. Si creas privacidad, cifrado y ciberseguridad general adecuadas en tus productos y servicios, es menos probable que tengas una infracción en el lado del desastre que implica multas, demandas colectivas y daños a tu reputación.
  2. Privacidad como configuración predeterminada
    La mayoría de las personas no lee los contratos de licencia de usuario final ni los extensos documentos legales de las instituciones financieras. Haz que tus ofertas sean más fáciles de usar, de forma predeterminada con los niveles más altos de privacidad y cifrado, y pide claramente permiso específico para usar los datos del cliente para cualquier otra cosa que no sea la que pretenden. Por ejemplo, mantén vacías las casillas de opción para que el usuario final distraído no otorgue el permiso por accidente.
  3. Privacidad integrada en el diseño
    ¿Qué tan bien están cifradas tus aplicaciones y sistemas de administración de datos? Esto debe ser un hecho predeterminado, sin elección, incorporado a toda tu arquitectura de datos.
  4. Funcionalidad completa – suma positiva, no suma cero
    Existe el argumento de que la seguridad total y la privacidad total no son compatibles, pero está mal: un cifrado fuerte te permite tener ambas cosas. Además, cuando tus clientes sepan que lo estás usando, tendrán un mayor nivel de confianza en ti y estarán más dispuestos a compartir sus datos.
  5. Seguridad de extremo a extremo: protección completa del ciclo de vida Con tu sistema diseñado para respetar y mantener la privacidad en cada contacto, ¿qué sucede cuando terminas de usar los datos? Desde el momento en que un cliente da su nombre, hasta el cierre de la cuenta, debes asegurarte de que sus datos se administren de forma segura y, finalmente, se destruyan.
  6. Visibilidad y transparencia: mantenlo abierto
    Ser capaz de demostrar que estás usando los datos como está previsto en cada paso. Pero también debes estar dispuesto a compartir todos los datos que ha recopilado sobre alguien con esa persona, porque los datos les pertenecen. Y poder verlo significa que pueden corregir las imprecisiones, haciéndolo mucho más útil para ti.
  7. Respeto a la privacidad del usuario: mantenlo centrado en el usuario
    Estar centrado en el usuario significa que tu empresa y tus arquitectos de datos son proactivos a la hora de proteger la privacidad del cliente. Pero la incorporación de un cifrado de datos sólido y la ciberseguridad en general no se trata solo de estar seguro. La inversión en estas tecnologías y prácticas fomentará el respeto y la confianza de tus clientes, lo cual es bueno sin importar dónde hagas negocios.

 

By Alex Loo, VP Operations, Echoworx 

[Reference links]

19 Jul 2017
cyber criminals

Objetivos principales para delincuentes cibernéticos

Los ciberdelincuentes de hoy en día ahora tienen acceso a herramientas avanzadas y estrategias sofisticadas. Sin embargo, podría decirse que sus armas más poderosas son paciencia y persistencia a montar un ataque sostenido en su organización si terminas en su punto de mira. Si quieren acceder a los datos en tu red, encontrarán la manera. Su motivación, en la mayoría de los casos, es el ingreso que pueden generar a partir de tu información confidencial. ¿Pero quiénes son sus principales objetivos y qué los hace tan atractivos para los cibercriminales?

Conversations That Matter presenta a Dominic Vogel
“Los hackers van donde está el dinero, centran su atención en las cinco aplicaciones principales en uso”.
Según Vogel, el programa #1 bajo amenaza es el correo electrónico.

Tres objetivos comunes para el delito cibernético son: Firmas de abogados, Servicios financieros y Empresas físicas. Dentro de cada una de estas categorías, esto es lo que persiguen los ciberdelincuentes:

BUFETES DE ABOGADOS
Los ciberdelincuentes buscan detalles ocultos valiosos y jugosos dentro de los archivos del cliente. Si logran acceder a la red de un bufete de abogados, no se van a decepcionar. Obtendrán datos que pueden monetizar directamente o que luego pueden usar para una campaña más amplia de ingeniería social. Los bufetes de abogados tienen todo tipo de información financiera confidencial (números de cuenta y otra información confidencial de la cuenta, información de tarjetas de crédito), información personal sobre ellos mismos y sus clientes, e información privilegiada del negocio. Los ciberdelincuentes pueden averiguar sobre un trato comercial pendiente y luego: a) hacerse pasar por una parte en un trato con otra parte o, b) chantajear a una persona o compañía con esa información. Los ciberdelincuentes pueden monetizar cualquier dato confidencial, ya sea directa o indirectamente, de forma específica.

PROVEEDORES DE SERVICIOS FINANCIEROS
Es casi innecesario decirlo (pero nosotros nos encargamos de decirlo) que cuando los clientes de los proveedores de servicios financieros brindan sus datos personales a sus asesores, esperan que la información sea salvaguardada al más alto grado. ¿Quién de nosotros no insistiría en tener el más alto estándar de seguridad cibernética para una inversión privada o información de cuenta bancaria? Los servicios profesionales reciben información financiera, números de seguro social, información confidencial de empresas e información privada sobre la familia y la salud. Los ciberdelincuentes pueden monetizar directamente esta información si la venden en el mercado negro o si obtienen acceso a esas cuentas. Alternativamente, pueden enviar correos electrónicos de phishing haciéndose pasar por instituciones financieras y compañías de administración de inversiones diciendo que necesitan ‘restablecer su contraseña’. Así, los ciberdelincuentes obtienen acceso a su cuenta. De una forma menos directa, la información se puede agregar para decir más acerca de una persona y esa información puede usarse posteriormente en un ataque. La creatividad de un adversario determinado no tiene fin para poner sus manos sobre su valiosa información, ya sea directa o indirectamente.

NEGOCIOS FÍSICOS
Para los ciberdelincuentes que apuntan a los negocios físicos, cosas como la información financiera de sus clientes, listas de clientes, información de cuentas de empresas, procesos y planes comerciales, listas de proveedores de empresas y propiedad intelectual les son particularmente de interés. Los proveedores y socios comerciales pueden tener credenciales de inicio de sesión en sus redes que pueden abrir un punto de entrada significativo para un ciberataque cuidadosamente diseñado. Incluso datos aparentemente inofensivos puede ser usado en contra de la compañía. Estos atacantes cibernéticos profesionales bucan algo que puedan usar en un ataque de phishing para hacer que el ataque suene más legítimo y luego, después de ingresar a la red de una organización, monetizarán los datos indirectamente.

Las tres categorías que hemos explorado en este artículo son solo la punta del iceberg. La lista de servicios profesionales, desde corredores de hipotecas hasta consultores de negocios, es extensa. Las empresas de contabilidad, por ejemplo, tienen amplios registros financieros comerciales y personales, y tienen información similar a los bufetes de abogados. Los negocios físicos son otra categoría amplia que podría ser cualquier cosa, desde cadenas de restaurantes , fabricantes , hasta tiendas minoristas. Desde hoteles hasta corretaje de seguros, la lista de objetivos principales para los ciberdelincuentes es larga y con muchas subcategorías. Nos sumergiremos más en estos y otros blancos cibernéticos clave en futuros artículos y videos.

CONSEJO PRACTICO
Si te preocupa la posibilidad de un ciberataque en tu organización, aquí hay seis pasos fundamentalmente importantes que puedes tomar:

Haz un inventario de todos tus activos valiosos (activos intangibles que necesitas proteger)
Crea tu registro de riesgo
Selecciona qué riesgos deberían tratarse y en qué orden los riesgos deben ser tratados
Selecciona opciones de tratamiento de riesgo (controles) para cada riesgo en las siguientes categorías:
a. Gente
b. Procesos
c. Tecnología
Implementa los controles
Regularmente monitorea y revisa la efectividad de tus controles
Implementa estas medidas para comenzar a construir tu marco de gestión de riesgos cibernéticos y endurecer tu posición de seguridad cibernética. Con el fin de gestionar con éxito tus ciberamenazas, debes hacer bien las cosas básicas.

“Prime Targets for Cyber Criminals” es un artículo del autor invitado Dominic Vogel

07 Jun 2017
cybersecurity

Definiendo el futuro de la Ciberseguridad, juntos

La ciberseguridad es uno de los principales problemas que enfrentan las empresas en el entorno electrónico actual. En todas sus facetas, los delitos cibernéticos continúan aumentando y los correos electrónicos son, y se espera que sigan siendo, el blanco #1 para los ciberdelincuentes. Muchas organizaciones enfocan la seguridad cibernética a la protección contra ataques externos, pero ignoran las posibles amenazas a, y por medio de correos electrónicos, que pueden ser mucho más destructivas.

El robo de datos confidenciales para espionaje corporativo, la revelación de secretos comerciales a un competidor y/o la divulgación de información privada de salud al público se pueden obtener por correo electrónico. Se estima que para el 2019, las cuentas de correo electrónico corporativas en todo el mundo superarán los 1,300 millones. Con el gran volumen de correos electrónicos que entran y salen de la empresa, el riesgo de infracciones que las organizaciones deben mitigar es grande. Por otra parte, de acuerdo con la investigación hecha por Echoworx, las industrias altamente reguladas, como el petróleo y el gas, la salud y las finanzas son los principales objetivos de las amenazas de seguridad del correo electrónico.

Existe una necesidad urgente de que los responsables de la toma de decisiones corporativas adopten una mentalidad que tenga en cuenta la realidad de las vulnerabilidades del correo electrónico… O que se enfrenten a las posibles consecuencias.

Toma el pirateo de DNC por ejemplo. Si se hubiera utilizado el cifrado de correo electrónico y las políticas se aplicaron efectivamente para activar la mensajería segura, la gravedad de la infracción podría haberse minimizado. Hubo un momento en que el cifrado de correo electrónico era muy complicado de implementar para una empresa en toda su organización. Pero los tiempos han cambiado. A través del cifrado de correo electrónico, las empresas ahora pueden:

  • Asegurar las comunicaciones digitales mientras crece su marca corporativa
  • Mejorar el servicio al cliente
  • Aumentar las eficiencias y reducir costos operativos
  • Aumentar la velocidad, rendimiento y función
  • Hacer cumplir la normativa
  • Prevenir la pérdida de datos, mitigar el riesgo

Mirando hacia atrás: Cybercon 2016
Echoworx, siendo un ferviente creyente del cifrado de correo electrónico de calidad mundial, participó en Cybercon 2016, que se celebró en la ciudad de Atlanta, para analizar los cambiantes problemas que afectan a la ciberseguridad y el papel que todos desempeñamos en la seguridad de datos.

De hecho, Echoworx fue una de las doce compañías seleccionadas de todo el mundo para participar en una sesión de lanzamiento de producto solo por invitación en Cybercon 2016.

“Estamos encantados de tener un grupo tan fuerte y diverso de compañías de seguridad cibernética tanto nacionales como extranjeras que participan en esta oportunidad única de contar sus historias a los principales profesionales de la industria de la seguridad”, dijo Justin Daniels, director del Grupo de Compañías Emergentes de Atlanta de Baker Donelson y del acelerador de ciberseguridad Baker Donelson. “Dado que la mayoría de las empresas que presentan provienen de fuera de los Estados Unidos, este es realmente un evento internacional y destaca el reconocimiento internacional del robusto ecosistema de seguridad cibernética del área de Metro Atlanta”.

Espero Cybercon 2017, que está programado para octubre de este año como parte de la Atlanta Cyber Week.  Puedes obtener los detalles aquí: http://www.cybercon.us

Esta publicación de blog fue publicada originalmente en inglés

By Kael Harden, Territory Director – East, Echoworx

19 May 2017
Wannacry

WannaCry: la amenaza permanece, la privacidad versus la seguridad ha terminado

Para cualquiera que use computadoras en su empresa u organización, considera el 12 de mayo de 2017 como tu llamada de atención. Ahí fue cuando se cree que se produjo el ataque cibernético más grande de la historia, que afectó computadoras en 150 países de todo el mundo. WannaCry, un software malicioso, se propagó a través de un enlace de correo electrónico y archivos locales cifrados, exigiendo un rescate de US$300 en Bitcoin para liberar los archivos.

Los atacantes cibernéticos usaron un hack robado que la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) de los Estados Unidos había desarrollado para recopilar información de inteligencia, utilizando una falla en el software Windows de Microsoft.

Jacob Ginsberg, director senior de productos para Echoworx, tiene este consejo que ofrecer acerca de cómo el riesgo de ataques similares puede ser minimizado o mitigado.

¿Qué deficiencias en el gobierno y los enfoques comerciales expuso este ataque?

Este es un resultado directo de la política que hemos visto implementarse y es hora de que la política cambie. Las relaciones entre el gobierno y el sector privado han sido adversas y no han colaborado.

El gobierno de los Estados Unidos acumula vulnerabilidades y elige explotarlas, en lugar de informarlas a los fabricantes (la NSA informó a Microsoft de la falla solo después de que se robó el hack). Estos hacks son armas. El gobierno y las agencias de inteligencia están participando en un juego arriesgado. Están apostando a que el valor de mantener estas vulnerabilidades expuestas, para que puedan espiar y atacar a quienes quieran, supera los riesgos de mantener a sus ciudadanos e infraestructura en peligro, pero es un juego que no siempre van a ganar.

Necesitamos reconocer que la narración de privacidad versus seguridad se acabó. Necesitamos Cooperación entre los sectores público y privado. La comunidad de seguridad tiene buenos consejos que ofrecer. En el caso de WannaCry, la comunidad de inteligencia, la comunidad de seguridad y Microsoft hicieron lo correcto. Todos abordaron el problema y trabajaron juntos para arreglarlo y mitigar el daño.

Existe un vínculo entre la tecnología, la sociedad y las cosas en las que confiamos. La gente puede ser seriamente perjudicada por amenazas cibernéticas. Debido a este ataque, por ejemplo, se canceló operaciones a unos pacientes en Inglaterra. Necesitamos trabajar juntos para asegurar nuestros países e infraestructura. Es necesario que haya una relación diferente entre los intereses públicos y privados.

<blockquote class=”twitter-tweet” data-lang=”en”><p lang=”en” dir=”ltr”>Learn more about the Wannacry ransomware and how to protect yourself here: <a href=”https://t.co/CKQAJZbbYQ”>https://t.co/CKQAJZbbYQ</a> <a href=”https://twitter.com/hashtag/WannaCry?src=hash&amp;ref_src=twsrc%5Etfw”>#WannaCry</a> <a href=”https://twitter.com/hashtag/wcry?src=hash&amp;ref_src=twsrc%5Etfw”>#wcry</a> <a href=”https://twitter.com/hashtag/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw”>#Ransomware</a></p>&mdash; Security Response (@threatintel) <a href=”https://twitter.com/threatintel/status/863289333327044608?ref_src=twsrc%5Etfw”>May 13, 2017</a></blockquote>
<script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>

¿Cómo puedo proteger a mi organización de ataques como este?

El ataque WannaCry es algo que una organización podría haber evitado. El problema era el software desactualizado.  Tener el software actualizado y las últimas correcciones es un consejo importante.

Si bien es tentador ignorar los avisos que te piden que actualices tu software y sistema operativo, no lo hagas. Aunque Microsoft ofreció un parche en marzo que lidiaba con la vulnerabilidad detrás de WannaCry, muchas organizaciones no lo usaron, no actualizaron su software o tenían sistemas operativos que eran antiguos y que ya no son compatibles. Microsoft emitió un parche para sistemas más antiguos en este caso, pero eso rara vez sucede y puede que no vuelva a suceder.

Utiliza software de cifrado para garantizar que tus datos están protegidos y para educar al personal sobre el procedimiento correcto de correo electrónico. Ya no se aplican los viejos argumentos de que el software de cifrado es difícil de usar o ralentiza las cosas.

Ten políticas claras con respecto al acceso y autorización a la información. Esto es para todos, desde grandes compañías de Fortune 500 hasta las más corrientes.

¿Se acabó la amenaza por ahora?

Estamos bromeando si creemos que no volverá a suceder. La tecnología se está infiltrando en todos los aspectos de la sociedad. Todos los bancos en línea, por ejemplo.  Si cosas como este hack siguen por allí, pueden ser utilizados por grupos terroristas o de crimen organizado.

Es mejor que aprendamos de esto, porque es mejor que creas que ellos (los ciberatacantes) sí aprendieron. Es un juego constante del gato y el ratón, y los malos se están dando cuenta. ¡Considera esta tu llamada de atención!

 

By Lorena Magee, VP Marketing, Echoworx

15 May 2017
cyberattack

IMPACTOS DE LOS ATAQUES CIBERNÉTICOS, MÁS PROFUNDOS Y MENOS NOTABLES DE LO QUE SOSPECHAS

La ciberseguridad es uno de los temas más debatidos en cualquier organización. Aunque la necesidad de inmunizar a tu empresa contra todo tipo de ataques cibernéticos sigue siendo urgente, el impacto total de un incidente cibernético aún no se ha comprobado.

Hace poco, leí un artículo de Deloitte que hablaba sobre lo difícil que es para los ejecutivos medir el impacto de los ataques cibernéticos en sus empresas porque no están realmente al tanto del trabajo y el esfuerzo que se hace para que una empresa sea segura, o las consecuencias de no hacerlo hasta que sea demasiado tarde.

El hackeo al DNC (Comité Nacional Demócrata) de Estados Unidos fue el mayor ataque electoral en la historia de los Estados Unidos. Cada dos días, WikiLeaks se ocupa en publicar las conversaciones “privadas” que tuvieron lugar dentro de las redes del Comité. Estas conversaciones privadas se extendieron como un fuego forestal en las redes sociales. Los ataques cibernéticos como el contra el DNC no son infrecuentes. Todos los días hay otra violación; basta con ver la violación de datos de Yahoo, violación de registros médicos Anthem, WannaCry ransomeware, y así sucesivamente.

Los correos electrónicos se utilizan para comunicaciones corporativas, incluidas las comunicaciones clasificadas, todos los días. Lamentablemente, incluso después de todos estos incidentes ampliamente públicos y lecciones demostradas, muchas empresas aún evitan usar el cifrado. Las razones van desde la complejidad del software hasta el exceso de confianza en la mínima probabilidad de un ciberataque en su contra. Pero, ¿adivina qué? Nadie está seguro. No importa cuán grande o cuán pequeña sea una compañía.

Los costos e impactos de una violación de datos y ataques cibernéticos incluyen:

• Costos de notificación: todas las actividades necesarias requeridas para reportar la violación al personal apropiado dentro de un período específico.
• Costos de respuesta a la violación: todas las actividades requeridas para notificar a los afectados con una carta, una llamada telefónica, un correo electrónico o un aviso general de pérdida o robo de información personal.
• El costo de proporcionar servicios de monitoreo de crédito durante al menos un año.
• Daño a la reputación.
• Pérdida de negocio.
• Publicidad negativa: amplia cobertura mediática, que daña aún más la reputación de la organización.
• Honorarios y litigios de abogados.
• Aumento de las primas de seguros.
• Pérdida de propiedad intelectual (PI).
Está en tus manos proteger la privacidad de los datos de tu empresa. Y el momento de actuar es ahora.

Si deseas obtener más información acerca de los riesgos de seguridad cibernética más importantes y las formas seguras en que el cifrado puede mitigarlos, puede ser de tu interés el contenido adicional que se detalla a continuación.

Descarga nuestro REPORTE | ¿Cuánto confías en el Email?

Por Will Nathan, Echoworx

14 May 2017
employee breaches

¡NO PUEDES PARAR LOS CLICKS!

Pregúntale a la persona promedio en la calle cuál es la mayor amenaza para la seguridad de la empresa, y ellos elaborarán una larga lista de piratas informáticos extranjeros, espionaje corporativo y todo tipo de escenarios tipo James Bond. Haga la misma pregunta a un profesional de seguridad y obtendrá una respuesta mucho más simple: gente. Es decir, empleados. Así es, el “factor humano” supera a todos los demás riesgos de seguridad que enfrentan las empresas. Muchas de las infracciones de seguridad que leemos en los titulares de noticias tienen algún tipo de elemento humano involucrado, ya sea que se trate de caer en una estratagema de ingeniería social simple y, sin saberlo, otorgar acceso a un pirata informático o algo más astuto ideado por un empleado descontento.

De acuerdo con el Centro de Recursos de Identify Theft, en 2016 las empresas y agencias gubernamentales de EE. UU. sufrieron más de 1,000 infracciones, un aumento del 40% con respecto a 2015, ¡alcanzando un récord histórico sin precedentes! En 2016, los incidentes de hackeos llegaron a su punto más alto: casi el 55,5% de todas las infracciones; un aumento del 17,7% con respecto a 2015. Violaciones involucrando exposición al correo electrónico de información al 9,2% seguida de la categoría error/negligencia del empleado al 8,7%. Si bien ciertos tipos de infracciones de datos en general disminuyen como una proporción del total, la pérdida de datos por hackeos y phishing aumenta rápidamente.
Según un informe reciente de Data Breach Digest de Verizon, los ataques de ingeniería social son así de exitosos porque los actores de amenazas saben que los humanos son el eslabón más débil en cualquier estrategia de seguridad de la información. Se aprovechan de los rasgos naturales como la curiosidad, los temores, el orgullo y otros factores de la psique humana de las personas para obtener acceso a datos confidenciales. Esto generalmente implica algo tan simple como hacer clic en un enlace o abrir un archivo adjunto dentro de un correo electrónico que parece provenir de una fuente confiable. El informe de Verizon muestra cuán simple puede ser esto:
• Un empleado recibe un correo electrónico de felicitación supuestamente del director de sistemas de información (CIO) de la compañía por un trabajo bien hecho: “Haga clic aquí para obtener su premio por el logro”. Resultado: Intento de transferencias electrónicas por un total de más de $5 millones.
• Un ingeniero jefe que busca un trabajo en el horario de la empresa recibe un correo electrónico de un reclutador con oportunidades de trabajo prometedoras: “Las vacantes actuales están en el archivo adjunto”. Resultado: los planes robados utilizados por un competidor para ingresar al mercado más rápidamente.
¿Crees que tus empleados son demasiado inteligentes para esto? Piensa otra vez. Los empleados no son tontos, se les ha advertido acerca de los peligros de hacer clic en enlaces y abrir archivos adjuntos durante años. Muchos se ríen en los recesos por los correos electrónicos de bancos en países extranjeros que declaran que han heredado $ 20 millones de un pariente fallecido, o los correos electrónicos falsos de PayPal o Apple que solo quieren “confirmar” su cuenta. Pero los piratas informáticos (hackers) se han vuelto cada vez más astutos para comprender qué motiva a los humanos a tomar una acción y están creando formas inteligentes de aprovechar eso. Estos tipos de objetivos pueden ser generales, como obtener acceso a todos los registros de una compañía de atención médica, o pueden ser específicos, como obtener acceso a los planes para el nuevo producto de una compañía, como se describió anteriormente.

Opinión: El mundo está siendo hackeado. ¿Por qué no hacemos más para detenerlo? https://t.co/JvrhMZW9zc pic.twitter.com/HsmDvB8tEQ
— The New York Times (@nytimes) May 14, 2017

Desafortunadamente, a pesar de que los empleados son conscientes de que existen estos esquemas, no está cambiando su comportamiento o el comportamiento de las empresas en su conjunto para proporcionar una mejor capacitación. Según un informe reciente de Osterman Research, “los empleados necesitan estar constantemente sensibilizados y capacitados a través de programas de concientización de seguridad para estar más atentos a sus acciones”. El informe cita estadísticas alarmantes de una encuesta reciente de participantes involucrados en la gestión de capacidades de seguridad para su mediana o gran organización. En esa encuesta, solo el 31% de los encuestados consideraron “medir la disponibilidad de seguridad de nuestros empleados” un método utilizado de forma significativa o extensa para medir la efectividad de su inversión en seguridad de la información. Esto se compara con el 49% que otorga una alta prioridad a la medición del cumplimiento de las obligaciones reglamentarias.

El estudio también mostró una brecha significativa entre la importancia de prevenir las violaciones de datos entre los empleados de alto nivel y los mandos intermedios y los trabajadores “promedio”. Mientras que el 77% de los encuestados consideró que su organización estaba muy bien o razonablemente preparada para lidiar con las consecuencias de una violación de datos significativa, la prioridad dada a la prevención de violaciones de datos varió significativamente según el rol dentro de una organización. Por ejemplo, el 71% de la administración senior de TI le dio una alta prioridad a la prevención de una violación, mientras que solo el 21% de los empleados “promedio” lo hicieron. La gerencia intermedia de la línea de negocios (43%) y la línea de gestión comercial de nivel C (55%) también fueron alarmantemente bajas en términos de dar una alta prioridad a la prevención de violaciones de datos.

El resultado final: la seguridad de la empresa puede ser una alta prioridad para la gerencia de alto nivel, pero esa urgencia no está goteando hacia los empleados que están poniendo en riesgo los datos confidenciales de la empresa, cualquiera que sea su forma. Cuando la seguridad es una simple casilla de verificación, la culpa recae en la empresa cuando se cometen errores humanos. Eliminarlos de la ecuación tanto como sea posible mediante el uso de tecnología que les impide cometer simples errores “humanos” es fundamental para la seguridad de la empresa en el futuro.

Si deseas saber cómo proteger tu información confidencial del factor humano, el contenido que se detalla a continuación puede ser de su interés:

Descargue nuestro REPORTE | ¿Cuánto confías en el Email?

Por Greg Aligiannis, Director Senior de Seguridad, Echoworx

12 May 2017
insider threats

COMBATIENDO AMENAZAS INTERNAS

Cuando Edward Snowden filtró los documentos clasificados de la NSA de su programa de vigilancia, envió un mensaje fuerte y claro a las empresas; si un empleado puede robar documentos confidenciales de la NSA, un empleado puede hacerlo con cualquier persona. El acceso autorizado de los empleados a los datos confidenciales de una empresa plantea un riesgo evidente para su seguridad cibernética y financiera, ya que dichos datos pueden utilizarse para explotar a la empresa.

¿La motivación detrás de tales traiciones? Podría abarcar desde una oportunidad fraudulenta tentando a un empleado hasta el resentimiento que llevan por dentro y que, finalmente, fomenta la acción. Puede ser debido a la moral o a creencias profundamente arraigadas de un empleado o, de hecho, a la oportunidad de ganancia financiera. El acceso a los secretos mejor guardados de la compañía y el conocimiento interno de sus debilidades de seguridad, siempre da una ventaja a los culpables.

El robo intencional no es la única amenaza interna.
Imagina tu empresa, ahora imagina que un empleado de tu empresa envía un documento confidencial a un cliente. Tal vez tiene prisa, o está aturdido o está enviando el correo electrónico antes de que su cafeína entre en acción y él envía el documento confidencial sin cifrarlo. El hacker está esperando en el punto final para encontrar una vulnerabilidad, y, ¡adivina qué!, tu empleado del mes simplemente le entregó la seguridad de tu compañía en bandeja de plata. En 2015, se enviaron más de 116 mil millones de mensajes comerciales al día. Eso significa 116 mil millones de posibilidades de interceptar información sensible, ya sea con intención maliciosa o accidental.

El elemento más fundamental de la amenaza a la #cyberseguridad es enteramente humano. https://t.co/WSWyLeHms5
— Echoworx (@Echoworx) Diciembre 13, 2016

La cantidad de información que circula dentro de las redes comerciales todos los días puede ser asombrosa, y gran parte de ella se considera confidencial. Las empresas en industrial altamente reguladas poseen grandes cantidades de información confidencial, entre las que destacan la información biométrica, registros de salud, transacciones financieras y seguimientos de inventario. Simplemente la posibilidad de tener acceso a una gran cantidad de información altamente confidencial de un solo golpe hace que las industrias altamente reguladas sean un objetivo principal. Dado que muchas empresas están favoreciendo los firewalls (cortafuegos) y la seguridad del servidor y evitando el cifrado del correo electrónico, están dejando una gran laguna para la interceptación de mensajes y están poniendo en riesgo la información. El cifrado de correo electrónico basado en políticas es clave para combatir a los criminales cibernéticos que están dedicando aún más esfuerzo a violar los datos corporativos en el correo electrónico.

Las soluciones de cifrado de correo electrónico, que pueden configurarse para reconocer y cifrar un correo electrónico específico basado en las políticas preestablecidas de una compañía, brindan una experiencia fácil de usar para los empleados, y tranquilidad para la administración de TI. Pero, ¿lo usará tu fuerza de trabajo de manera confiable? Caso tras caso nos ha demostrado que las empresas, e incluso industrias enteras han, dejado de hacerse la pregunta.
Si las soluciones de seguridad de correo electrónico, o incluso cualquier otra tecnología, son demasiado complicadas, es casi seguro que los empleados encuentren medios más fáciles para completar una tarea. En este escenario, la seguridad es la meta que no se cumple. Las amenazas internas continúan manteniendo despiertos a los líderes empresariales senior durante la noche. Un reciente informe de PwC en los Estados Unidos encontró que el 32% de los encuestados consideraba que las amenazas internas eran más costosos y más dañinos que los incidentes externos.

El cifrado es crucial para garantizar que esta información confidencial permanezca privada y segura, mientras los correos electrónicos están en tránsito y en reposo. Si deseas obtener más información acerca de cómo el cifrado del correo electrónico puede ayudar a tu empresa y a tus empleados a proteger los datos confidenciales, el informe que se detalla a continuación puede ser de tu interés.

Descarga nuestro REPORTE | ¿Cuánto confías en el Email?

Por Sam Elsharif, VP de Desarrollo de Software, Echoworx

28 Abr 2017
Echoworx | Email Encryption Solutions | How to Protect Company Email From Attacks

COMO PROTEGER EL CORREO ELECTRÓNICO DE LA COMPAÑÍA ANTE ATAQUES CIBERNÉTICOS

El correo electrónico es una de las formas más comunes que utilizan los atacantes para infiltrarse en los sistemas de una organización y obtener acceso a datos confidenciales. El correo electrónico está integrado en teléfonos inteligentes, tablets, dispositivos de juegos y computadoras de escritorio … pero no está diseñado para proteger la privacidad o la seguridad.

Sin protecciones establecidas, “el correo electrónico es una postal, no una carta sellada”, advierte Jacob Ginsberg, Director Senior de Productos en Echoworx. Él dice que las personas a menudo no entienden la permanencia de los datos y cómo pueden existir en los servidores mucho después de que se hayan olvidado de ellos.

“El correo electrónico es una de las formas más comunes en que los hackers se infiltran en el sistema de una compañía”, dice Sam Elsharif, Vicepresidente de Desarrollo de Software en Echoworx. “A menudo usan estafas de phishing, y envían correos electrónicos que parecen provenir de una fuente legítima que pide a los destinatarios que hagan clic en un enlace que les indica que proporcionen información de la tarjeta de crédito o la contraseña”.

Costos de delitos cibernéticos llegarán a los $8 billones para el 2022 #cybercrime #CyberSecurity #infosec https://t.co/qwdvngJmHY pic.twitter.com/GlO6Ez0BDv
— Bob Carver (@cybersecboardrm) 31 de Mayo, 2017

¿Cómo puedes proteger tus comunicaciones por correo electrónico?
Ginsberg dice que el cifrado es una solución lógica y proporciona una protección eficaz. Incluso pequeñas y medianas empresas deben considerar cifrado, especialmente si se refieren a datos tales como información de tarjeta de crédito del cliente y propiedad intelectual. “Hay viejos conceptos fosilizados erróneos sobre cifrado – debe ser difícil de usar, sólo expertos informáticos pueden entenderlo, retrasará las cosas – pero ya no son válidas”, dice Ginsberg. “Las herramientas son fáciles de usar y fuertemente invito a utilizar el cifrado.”

Ginsberg dice que, con el cifrado, solo usuarios y destinatarios previstos pueden ver la información. Para mayor seguridad y una herramienta que se ocupa del phishing, los usuarios podrían querer agregar una firma digital (un mensaje cifrado asociado con una persona específica).

Educar al personal acerca del uso del correo electrónico es crucial.
“Lleve a cabo entrenamientos regularmente para hacer que los empleados estén conscientes de las reglas y prácticas en cuanto al correo electrónico”, sugiere Elsharif. “Realice sus actividades con diligencia: investigue amenazas y soluciones, y revise cómo su compañía almacena información, cómo envía información, y cómo maneja información de tarjetas de crédito. Asegúrese de que su compañía está cumpliendo regulaciones vigentes.”
Elsharif aconseja consultar a más de un proveedor, dependiendo de tus necesidades. “Todos necesitan cortafuegos y software anti-virus. ¿Permite usted a sus empleados acceder a la red desde el exterior? Quizás deba considerar una VPN (red privada virtual). No tenga miedo de checar el sistema con múltiples proveedores. Ninguna compañía puede hacerlo todo.”

La tecnología puede ser efectiva al mitigar amenazas asociadas a correos electrónicos, pero no confíen solo en ella.

“Nada supera el sentido común humano”, dice Elsharif. “Como usuario, intente aplicar las mejores prácticas y no sea descuidado al manejar su información”.

Ver para Creer
Ve por ti mismo cómo nuestra más reciente tecnología de cifrado es fácil de instalar, muy personalizable, y más importante, simple para cualquier usuario.

Acompáñanos para una demostración en

Por Greg Aligiannis, Director Senior de Seguridad, Echoworx

12 Abr 2017
educating security personnel

CIFRAR, EDUCAR, Y EMPODERAR PARA MINIMIZAR EL RIESGO DE ATAQUES

El cifrado es crítico para proteger los valiosos datos de tu organización y garantizar que las operaciones se desarrollen sin problemas. Pero con el panorama de amenazas en constante evolución, tu empresa puede ser vulnerable a ataques o robos de datos.

¿Cómo te puedes asegurar que la solución de cifrado de su organización se mantenga por delante de los atacantes y que no se violen los sistemas de la misma?

“Hay que elevar las paredes en todos los frentes”, dice Jacob Ginsberg, Director Senior de Productos para Echoworx.

“Muchas veces, no se sabe si se infringe tu sistema”, agrega Sam Elsharif, Vicepresidente de Desarrollo de Software de Echoworx. “Si eres es un administrador de sistemas, asegúrate de estar utilizando las mejores herramientas para proteger tu sistema, incluidos los últimos parches y correcciones proporcionados por tus proveedores de servicios. Asegúrate siempre de que tus sistemas estén actualizados y realiza escaneos, monitorea tu red y sigue las mejores prácticas “.

Seguir las Mejores Prácticas
Las mejores prácticas incluyen seguir las reglas de cumplimiento, saber cómo deshacerse de los datos y almacenarlos, determinar quién puede tener acceso a la red y cómo detectar violaciones. Elsharif recomienda consultar con los proveedores para estar al tanto de los últimos avances en software de cifrado, mantenerse actualizados sobre redes y seguridad, y leer las noticias para conocer a qué nuevas áreas se dirigen los hackers.

Minimizar el Riesgo de Ataque
Ginsberg sugiere estos para ayudar a una organización a minimizar el riesgo de ataque: “En primer lugar, eduque a los usuarios sobre los hábitos adecuados para usar el correo electrónico. A continuación, otorgue poder a su propio personal de TI y seguridad. Capacite a sus expertos internamente o colabore con expertos externos. Es un trabajo de tiempo completo para estar al tanto de los cambios que están ocurriendo constantemente “.
El personal de TI debe evaluar el estado de seguridad de la red y las herramientas implementadas y observar las prácticas de las personas en la organización, sugiere Ginsberg. Si los hábitos de los usuarios ponen en riesgo los datos, “es una plática difícil de realizar, pero esto ya no se puede ignorar”.

Él dice que a menudo las personas se sienten frustradas con herramientas o procedimientos y buscan una forma de eludirlos. Por ejemplo, pueden enviar correos electrónicos desde sus teléfonos celulares personales o usar las computadoras de sus hogares para iniciar sesión en una red de la compañía, lo que crea riesgos.

Nueva publicación: “Según encuesta, la mayoría de los empleados están dispuestos a compartir información confidencial” https://t.co/tgSEEl82Z8

— Maria Korolov (@MariaKorolov) Abril 20, 2017

El cifrado avanzado es una solución lógica
Mientras que algunas compañías y usuarios pueden ser reacios a adoptar el cifrado porque solía ser difícil de usar y solía ralentizar la transferencia de comunicación, eso ya no es una excusa válida. Ginsberg dice que la tecnología de cifrado ha evolucionado, por lo que es fácil para cualquier persona usarla, y funciona de forma rápida y sin problemas en segundo plano, lo que simplifica la protección de las comunicaciones confidenciales.

Ver para Creer
Acompañanos para una demostración en vivo de nuestra plataforma de cifrado de correo electrónico– OneWorld. Ve por ti mismo cómo nuestra más reciente tecnología de cifrado es fácil de instalar, muy personalizable, y más importantemente, simple para cualquier usuario.

Por Greg Aligiannis, Director Senior de Seguridad, Echoworx

 

14 Mar 2017
financial security

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (GDPR): ¿AGUANTARÁS LA TORMENTA DE SEGURIDAD?

Uno pensaría que las comunicaciones simples con empleados y clientes serían lo primordial para cualquier firma de servicios financieros, ¿cierto? ¿Que la necesidad de un cumplimiento en confidencialidad y regulación nunca había sido superior? Especialmente considerando que la información financiera ha sido la más comúnmente revelada y robada en violaciones recientes a la seguridad. ¡Piénsalo dos veces! Nuestra encuesta del año pasado reveló que, a pesar de que el 83% de los servicios financieros usan el correo electrónico más que cualquier otra forma de comunicación, 23% no utiliza o no sabe de ninguna tecnología in situ de cifrado para compartir correos y archivos.

Es hora de que los negocios aseguren la bóveda, pues el Reglamento General de Protección de Datos – GDPR (General Data Protection Regulation) está por ser implementado y los negocios están preocupados por su impacto. La Comisión Europea ha establecido nuevas regulaciones regionales, las cuales entrarán en vigor en abril de 2018. Los negocios que no cumplan con las nuevas leyes podrían enfrentarse a multas de €20 millones o el 4% de las ganancias mundiales – lo que sea mayor. Las multas de este nivel van a tener un impacto importante en cualquier negocio. Solo hace falta observar los costos incurridos por TalkTalk tras su conocida violación a la seguridad del año pasado (£60 millones y en aumento, a considerable pérdida de los clientes) – y se pueden ver multas como esta manteniendo a los directivos financieros preocupados.

Nosotros organizamos una mesa de diálogo con directores y oficiales de la seguridad de la información de compañías de servicios financieros. La mayoría de ellos admitieron que algo se tenía que hacer para cumplir el GDPR, pero que no sabían por dónde empezar. Estaba claro que estas importantes figuras de la industria de servicios financieros estaban completamente al tanto de la amenaza que representan los ciber-atacantes y los hackers. Ya han tomado acción al respecto. Sin embargo, la presión para reducir costos es un calvario que todos sufren. Investigaciones de TheCityUK Cyber Taskforce (p.11) encontró que 46% de las compañías consideran a las amenazas cibernéticas una preocupación clave en sus negocios, contrastado con un 10% arrojado en otra encuesta de un año atrás.

No es solo el correo electrónico interno el que debe estar cubierto por el nivel correcto de seguridad. La comunicación externa con los clientes también necesita medidas de seguridad. Las anécdotas de delitos cibernéticos y de violaciones a la seguridad siguen apareciendo en los titulares día a día, mientras que los consumidores están más conscientes de la tecnología y la seguridad que nunca. De hecho, una encuesta reciente del Departamento de Comercio de EE. UU. Encontró que el 45% de los consumidores informaron que las preocupaciones de seguridad cibernética les impidieron realizar transacciones financieras en la web.

Las organizaciones de servicios financieros deben contar con soluciones sólidas de cifrado que sean manejables por el negocio y que satisfagan las necesidades y expectativas de los clientes. Los bancos se han seguido resistiendo porque consideran que es demasiado complicado. Muchos argumentan que los clientes no entenderán cómo usar soluciones de seguridad más complejas. Esto, simplemente, ya no es una excusa. Hay muchas opciones en el mercado que han puesto la experiencia del usuario como principal. Una valiosa solución de cifrado de correo electrónico simplifica el proceso tanto para el remitente como para el destinatario.

El costo de una violación de seguridad de la información a una organización de servicios financieros va más allá de consideraciones financieras (aunque con la perspectiva de grandes multas inminentes como parte del GDPR, sin duda es una preocupación sustancial). La reducción en la confianza del cliente y el daño a la reputación son factores contribuyentes igualmente costosos. Durante mucho tiempo, las compañías de servicios financieros han aumentado sus precauciones de seguridad en el perímetro de sus negocios. Ahora, necesitan extender esta protección a sus clientes también. Cuestiones como la violación a TalkTalk, junto con los nuevos poderes del gobierno para espiar en la forma del Investigatory Powers Bill, han dejado a los clientes más preocupados que nunca sobre la seguridad de sus datos. Los bancos deben actuar con rapidez para tranquilizar a los clientes y evitar el cambio a un rival más seguro. Además, todas las compañías de servicios financieros deben asegurarse de cumplir con el GDPR, adoptando el cifrado de datos personales y la idea de seguridad y privacidad por diseño, antes de que sea implementado en 2018.

El Reglamento General de Protección de Datos (GDPR) entrará en vigencia en toda Europa en mayo de 2018, las empresas estadounidenses y canadienses que piensan que no las afecta tendrán un rudo despertar, con multas de 20 millones de euros o el 4% de sus ingresos globales, ¡el que sea más alto!

Para conocer más acerca del GDPR, mira nuestro seminario web con la creadora de Privacy by Design, la Dra. Ann Cavoukian.

Por Jacob Ginsberg, Director Senior, Echoworx

Este artículo originalmente apareció en el Global Banking & Finance Review