El 91% de las empresas han sufrido algún ataque externo en el último año

El 91 por ciento de las empresas han visto sus sistema de seguridad comprometidos por algún tipo de amenaza externa durante los últimos 12 meses. El 31 por ciento de estos ataques se ha saldado con el robo de datos. La amenaza de seguridad más frecuente han sido los virus y un 30 por ciento de las empresas no utiliza ningún sistema de protección contra el malware, según los datos de Kaspersky.

La compañía de seguridad ha elaborado su encuesta Riesgos Globales a la Seguridad Informática [PDF] en colaboración con B2B International, una agencia internacional de investigación, especializada en investigaciones de mercado. En el sondeo han participado más de 1.300 profesionales del sector de 11 países diferentes, entre ellos España.

Según el estudio, la amenaza a la seguridad más frecuente se da en forma de virus, programas de espionaje (spyware) y programas maliciosos en general. El 31 por ciento de los ataques de software malicioso ha tenido como consecuencia algún tipo de pérdida de datos y un 10 por ciento de las empresas declara haber sufrido algún tipo de robo de información sensible sobre sus actividades.

Tan sólo un 70 por ciento de las empresas ha manifestado haber implantado sistemas de protección anti-malware, mientras que el 3 por ciento de las compañías ha declarado no disponer de protección alguna.

El nivel de implantación de sistemas anti-malware varía según el país: en los mercados emergentes tan sólo un 65 por ciento de las empresas ha adoptado soluciones de este tipo, mientras que la tasa de implantación en el Reino Unido y los EEUU alcanza el 92 por ciento y el 82 por ciento respectivamente. A pesar de ello, la mayoría de las empresas siguió siendo objeto de ataques a su integridad informática durante estos últimos 12 meses y casi un tercio de ellas perdió información empresarial.

“Esta actitud resulta sorprendente, sobre todo teniendo en cuenta que casi la mitad de las organizaciones consideran los ataques informáticos como una de las tres principales amenazas a las que se enfrentan: se otorga más prioridad a la estrategia informática que, incluso, a las estrategias financieras, de marketing y de recursos humanos”, ha comentado el director de inteligencia de Kaspersky Lab, Alexander Erofeev, .

“La explicación más probable es la falta de inversión en seguridad informática”. De hecho, el estudio demuestra que una de cada dos empresas considera que su presupuesto de seguridad es insuficiente, y estima que necesitarían en torno a un 25 por ciento más. Hoy por hoy, la inversión media en seguridad informática es de 8.055 dólares (5.561 euros) en pequeñas empresas, 83.200 dólares (57.446 euros) en empresas de tamaño medio y 3 millones de dólares (2,07 millones de euros) en grandes corporaciones.

Fuente: EuropaPress

www.segu-info.com.ar

Una empresa de seguridad actualiza el Facebook de sus clientes para evitar robos en verano

Una compañía de seguridad de Reino Unido ha lanzado una cobertura para sus clientes mediante la cual realizarán actualizaciones en sus perfiles de Facebook para que sus cuentas se mantengan activas y los ladrones no puedan comprobar su ausencia. Los clientes aprobarán las actualizaciones antes de irse de vacaciones y la compañía se encargará de su publicación.

A las clásicas recomendaciones de pedir a un vecino que retire el correo del buzón y que suba y baje las persianas, ahora está la necesidad de regular las redes sociales. Según informa el diario The Telegraph, la empresa Chelmsford ofrece a sus clientes un plan para gestionar sus redes sociales durante su ausencia.

La información de los usuarios en redes sociales puede ser muy valiosa para los ladrones ya que además de confirmar que los usuarios están de viaje, pueden llegar a saber incluso dónde está ubicada su residencia, facilitando que puedan llevar a cabo algún tipo de robo.

La iniciativa de Chelmsford pretende garantizar que no se levanten sospechas sobre la ausencia de los usuarios y es un servicio útil para todos aquellos que van a un destino donde no podrán conectarse a Internet y para los que quieren ir publicando sus fotografías.

Contenido completo en Europa Press

www.segu-info.com.ar

México: entrará en vigor en julio Ley de Datos Personales

La Secretaría de Economía (SE) presentó la guía práctica para generar el Aviso de Privacidad de la Ley Federal de Protección de Datos Personales.

La Directora de Economía Digital y Comercio Interior, Claudia Ivette García, recordó que las sanciones para las empresas que hagan mal uso de la información de sus clientes van de 200 a 320 mil días de salario mínimo.

Durante un seminario donde se dio a conocer la ley que entra en vigor el 6 de julio, la funcionaria señaló que esta disposición ayudará a la transparencia en el uso de datos personales y a la tranquilidad de usuarios.

Cabe mencionar que la violación de la ley puede representar penas corporales que van de tres a cinco años de prisión.

“Los responsables tienen que informar a los titulares respecto de la información que está recabando de ellos, y también los fines, a través de este elemento que hoy estamos señalando, que es el aviso de privacidad”, puntualizó la funcionaria.

Fuente: Azteca Noticias

www.segu-info.com.ar

Elementos para administración de Riesgos

Por Alejandro H. Morales T.

Para dar inicio a un proceso formal de identificación y cuantificación de riesgos debe procederse de una manera ordenada y sistemática, preparando el esquema general del trabajo. La primera necesidad es la de definir un conjunto de términos, los cuales van a ser utilizados en el transcurso de la labor y cuyo significado deberá ser comprendido y aceptado de manera unánime por las personas que participen en el trabajo. A continuación se presentan algunos de los términos de más común utilización en los procesos de cuantificación de riesgos.

La administración de riesgos implica:

1. Un sistema formal para:

• Identificar y/o anticipar, medir y controlar riesgos
• Registrar información
• Monitorear resultados

2. Administración económica: Adoptar medidas cuyo costo sea inferior a sus beneficios por medio de la reducción del costo de las pérdidas o la evitación de pérdidas catastróficas.

3. Establecer responsabilidades para la administración de los riesgos para proveer una defensa contra su eventual materialización.

Continuar leyendo parte I, II, III

www.segu-info.com.ar

Malasia busca cerrar sitios web de descargas ilegales

La Comisión de Comunicaciones y Multimedios de Malasia, un organismo rector, expresó el viernes su deseo de que los proveedores de Internet bloqueen 10 cibersitios que violan las leyes de derecho de autor.

Más de seis mil 500 personas desde entonces se han sumado a una página de Facebook que critica la postura del gobierno y algunos aseguran que las autoridades se han retractado de su compromiso de no censurar Internet.

La medida al parecer era acatada de manera errática por los proveedores de Internet en Malasia. La mayoría de los usuarios se quejaron el sábado de que no podían navegar en los sitios referidos aunque otros lo lograron el domingo. Algunos utilizaron rutas alternativas de acceso para sortear el bloqueo.

Los cibersitios bloqueados incluyen Pirate Bay, que tiene oficinas centrales en Suecia y ha enfrentado demandas de compañías de entretenimiento en Europa que lo implican en violaciones a los derechos de autor.

La Comisión de Multimedios defendió el bloqueo y afirmó que el Ministerio de Comercio Interior de Malasia solicitó la medida para obligar el cumplimiento de las normas sobre derechos de autor. La comisión rechazó que la medida fuera censura.

Contenido completo en Milenio

www.segu-info.com.ar

Anonymous lanzó ciberataque y suspenden el tratamiento de la Ley Pirata Argentina

El ataque a los sitios webs de el Senado argentino y de SADAIC comenzó el martes 08 de junio y fue en represalia por someter a votación un proyecto de ley que aplica un arancel adicional a los soportes de almacenamiento digital masivo (CD, USB, discos duros, reproductores, grabadoras, entre otros).

“Anonymous le muestra su total repudio dejando inoperativos los sitios web del Senado de la Nación Argentina”, relató en un comunicado difundido en la página de Facebook de Anonymous Iberoamérica.

La norma en discusión funciona a manera de compensar los derechos de autor y propiedad intelectual afectados por la piratería. Sin embargo, el grupo de hackers indica que transgrede el derecho a la presunción de inocencia porque supone que todos consumen “piratería y nos obliga a pagar como si fuéramos delincuentes por el legítimo uso de un insumo tecnológico”.

En el día de hoy, en horas de la tarde, ambos sitios han vuelto a funcionar normalmente.

Es importante destacar que el tratamiento del proyecto de copia privada (S-3732/10), conocido también como “Ley Pirata argentina”, ha sido suspendido porque “Hemos escuchado la multiplicidad de voces contrarias a esta iniciativa que se plasmaron recientemente en el ciberespacio por eso se tomó la decisión de continuar debatiéndolo” según expreso (parte de prensa) el senador Pichetto, creador de la ley.

Fuentes consultadas RPP e Infobae

SoloE de la Redacción de Segu-Info

www.segu-info.com.ar

Controla los permisos en Android con Android WhisperCore

La empresa Whisper Systems, que ofrece software para gestionar la seguridad de Android, ha anunciado la salida de una nueva herramienta que permite a los usuarios ser más selectivos con los permisos que otorgan a una aplicación.

Hasta la fecha, al instalar una aplicación en Android el cliente tenía que aceptar las condiciones especificas que esta determinaba sobre el acceso a los datos de su teléfono, o en caso de que no estuviera de acuerdo con ello cancelar la instalación.

Para terminar con esto, desde Whisper Systems han lanzado la aplicación WhisperCore 0.5, que permite a los usuarios controlar exactamente que autorizaciones se otorga una aplicación antes de instalarla.

Además, el funcionamiento es relativamente sencillo, ya que básicamente, lo que hace la aplicación de Whisper Systems es crear un identificador que contiene información falsa para proteger la privacidad del usuario.

Asimismo, WhisperCore, que está disponible en versiones para Windows, Linux y MacOS X, puede proceder al cifrado del smartphone y ofrece también un firewall.

De todas formas, de momento cuenta con importantes limitaciones como son el hecho de que para instalarse se requiera tener el dispositivo desbloquedado y que sólo sea compatible con los modelos Nexus One y Nexus S.

En cualquier caso se espera que se unan otras marcas en el futuro y se pueda ir perfeccionando su funcionamiento en las próximas versiones.

Fuente: TheInquirer

www.segu-info.com.ar

San Luis busca que las historias clínicas sean digitales y estén en manos de los pacientes

El Ejecutivo puntano, como parte de su agenda digital, impulsa diferentes proyectos de ley que sustentan sus políticas. Y como parte de esas normativas, se presentó ante la Legislatura provincial el proyecto “Acceso de los habitantes a su historia clínica. Creación del sistema de historia clínica digital (HCD)”.

El propósito de esta legislación será regular un sistema de HCD que funcionará en toda la provincia. La normativa provincial se basará en la Ley Nacional 26.529 -Derechos del paciente en relación con profesionales en instituciones de la salud-, en su artículo 13. Con este nuevo proyecto, el Estado puntano hará efectivo el derecho a la salud de la ciudadanía, mediante la provisión, en todo lugar y en tiempo real, de sus datos y archivos médicos. A la vez, que apuntará a mejorar la eficiencia del sistema de salud en su totalidad, garantizando la confidencialidad y protección de los datos personales y clínicos de cada habitante.

En referencia a la ley nacional mencionada, Luciana Vera, asesora legal de la ULP y directora del Instituto de Firma Digital (IFD), señaló que prevé que la historia clínica esté en poder de la institución, y el paciente debe poder acceder a ella en un plazo de 48 horas. Al respecto, subrayó la diferencia con la normativa sanluiseña, que apunta a que la historia clínica esté en poder del propio paciente. “Al ser digital será al revés. La historia clínica será del paciente y será éste quien le permita al médico, o a una institución, acceder a esos datos”, aseveró.

Asimismo, agregó que actualmente los pacientes acceden a sus datos médicos solo cuando enfrentan juicios por mala praxis. “Antes, no la pueden conseguir, porque las instituciones se oponen por una cuestión de responsabilidad. Además, cuando se realiza una consulta médica, el profesional llena fichas que se guardan en una carpeta o elaboran una especie de historia clínica en sus recetarios. Lo mismo sucede con los resultados de los análisis”, detalló Vera.

El proyecto de ley presentado por la ULP y Progreso toma algunas pautas de la ley nacional; pero establece cuatro principios innovadores: accesibilidad, finalidad, veracidad y confidencialidad. El primer principio otorga el derecho a conocer los datos médicos, que sean explicados y rectificados en caso de ser erróneos. Además, la información deberá ser entendible para el paciente. Y en caso de que el profesional deba realizar una modificación, no podrá eliminar ningún dato; deberá realizar la corrección agregando el nuevo dato y tendrá que firmar digitalmente.

En cuanto al principio de finalidad considera que los datos de la HCD serán personales, confidenciales y sensibles, sólo podrán ser usados para asistencia y no podrán publicarse, salvo autorización del paciente; incluso podrán ser usados para términos estadísticos según la reglamentación vigente. En lo referido a la confidencialidad, se trata de que quienes administren la base de datos de salud traten a los datos de la HCD con absoluta reserva, salvo por una disposición judicial o autorización del paciente.

El hecho de que en San Luis la historia de salud de un paciente sea digital, le garantizará a cada persona el acceso a ella desde cualquier lugar en que se encuentre. “Se piensa que el instrumento de acceso sea la CIPE -Cédula de Identidad Provincial Electrónica- ya sea usando firma digital o con el certificado de autenticación, que es como una especie de contraseña. Además, el ciudadano podrá restringir o dar acceso a sus datos. También, se está pensando la manera en que otra persona- establecida por el paciente- pueda autorizar al médico el acceso a los datos, en caso de que el paciente no pueda dar su consentimiento”, aclaró Vera.

Fuente: Mercado

www.segu-info.com.ar

CloudFlare, una posible solución frente a ataques (D)DoS

Hace unos días comentábamos que LulzSec estrenaba página web. Probablemente viendo la que les venía encima han contratado un servicio muy interesante.
Se trata de CloudFlare, un servicio que gracias a su red trata de actuar como intermediario entre Internet y nuestra web para balancear carga, implementar su propio caché de información, filtrar ataques web, gestionar estadísticas y bloqueos de clientes, etc.

Aparte de las ventajas que proporciona en cuanto a rendimiento, ahorro de carga, seguridad y control, hay un punto que llama la atención.

Si por cualquier motivo el sitio web original deja de responder, cuando un cliente intente visitarlo CloudFlare mostrará de forma casi transparente al usuario la última copia del sitio de la que disponga. Y decimos casi transparente, porque en la parte superior nos mostrará un pequeño aviso informando de la situación.

Cuando el sitio original vuelva a responder se volverá a servir a los nuevos clientes. Es una opción realmente interesante de cara a protegernos de ataques de denegación de servicio, ya que el contenido seguirá siendo accesible por los clientes, incluidos bots de buscadores, que no nos penalizarán.

Un ejemplo de esta protección lo pudimos ver en la web de LulzSec, que no estuvo disponible durante un tiempo, pero se podía acceder igualmente a todo el contenido.

Según los creadores la configuración del servicio es realmente sencilla (menos de 5 minutos) y existen varios planes, uno de ellos gratuito, que se pueden ver aquí, junto a un video explicativo.

Fuente: SecuritybyDefault

www.segu-info.com.ar

Diseño de Programas y Controles Antifraude

Por C.P. José Luis Rojas de la Cruz y C.P. Ricardo Bernal de la Torre

Nunca, como hoy en día, en tiempos de aguda crisis económica en los que existe una gran preocupación por lograr el sustento de los negocios y limitados recursos para ejecutar las estrategias, se hace palpable el continuo dilema de la administración de la empresa: hacer lo mínimo indispensable por cumplir contra hacer lo necesario y correcto para lograr los objetivos.

Desde que se dio la primera gran depresión económica en 1929; pasando por los escándalos financieros de los años ochenta, que dieron origen al Marco de Referencia Integrado de Control Interno de COSO; las posteriores debacles financieras de NorCom, Enron y MCI WorldCom, que conmovieron al mundo inversionista; así como otros fraudes que se han ido develando en años subsecuentes y que promovieron directa e indirectamente la aparición del nuevo marco de COSO para la administración de riesgos empresariales, además de otras regulaciones de los mercados de valores y mejores prácticas de gobierno corporativo, contabilidad y control, ha sido evidente que no podemos confiar en la naturaleza humana y que siempre que se dé una combinación de factores como: oportunidad, racionalización e incentivos y presiones, la empresa estará expuesta a acciones de individuos o grupos que buscan obtener un beneficio para sí mismos, para un tercero o para la propia empresa, a costa de comportamientos que transgreden las barreras de lo ético, lo moral y las sanas prácticas de negocios.

Recordemos que J. Edgar Hoover, fundador del FBI, decía: “Dado un cierto momento, hay un determinado porcentaje de la población que no busca nada bueno”. Tal vez eso sea particularmente cierto en tiempos de crisis, cuando hay desesperación; es decir, falta de claridad en la forma de lograr que los negocios sobrevivan, por lo que en ocasiones se sucumbe ante la tentación de lograr un peso de manera rápida, pero no ética.

Contenido completo en fuente original Auditool

www.segu-info.com.ar