Infografía: 5 mitos de la seguridad derribados

mayo 24, 2013 § 2 comentarios

Más allá de sus mejores esfuerzos para educar a los empleados acerca de los peligros de la Web, ¿no parece que aún hay unos pocos usuarios que terminan haciendo clic donde no deberían? Hay muchos mitos de seguridad que siguen pasando de usuario a usuario, haciendo menos efectivas las tácticas educativas que lo que uno esperaría, y poniendo una gran responsabilidad por la seguridad en su solución de protección de malware, firewall y antivirus.

Creamos esta infografía para destacar los 5 mito más problemáticos que nuestros amigos que trabajan en TI y seguridad escuchan más a menudo. Esperamos que los compartan con sus usuario y nos hagan comentarios.

Mitos
  1. Uno se encuentra con virus y malware solo en lugares sospechosos de la Web.
  2. No soy suficientemente interesante. Nadie quiere hackearme.
  3. Pero si tengo una Mac. No se infectan con virus o malware.
  4. Estoy más seguro con mi celular que con mi laptop o PC
  5. Tengo instalado un antivirus. No debo preocuparme donde hago clic.
Traducción: Raúl Batista – Segu-Info
Fuente: Blog OpenDNS
Anuncios

4 mitos sobre la seguridad en Internet

diciembre 13, 2012 § Deja un comentario

McAfee presentó informe acerca de los 4 grandes mitos sobre la seguridad de la información en Internet, así como consejos prácticos de los especialistas.

Estos 4 mitos que afectan directamente a los usuarios finales, y dicen relación con:

Mito 1: Mi dispositivo móvil no necesita software de seguridad como mi computadora.
Mito 2:
Internet presenta ofertas únicas, por eso puedo realizar compras en línea 100% seguras.
Mito 3:
Las Redes Sociales son 100% seguras.
Mito 4:
El software de protección hace más lenta mi computadora.
Ver detalles en infografía (PDF)

Fuente: Infoweek Online

Los Cuatro Mitos de la Seguridad de los ERP

mayo 5, 2012 § 4 comentarios

Hay varios mitos en la seguridad de los ERP. Uno de los más comunes es que la seguridad es en su mayor parte una cuestión de control de acceso y segregación de funciones. Otro es que las aplicaciones de negocios son accesibles solo dentro de las redes internas. Y otro más es que este tipo de aplicaciones no son un objeto de ataque. Los tres se basan en una visión simplista y errónea sobre los sistema ERP actuales.

La realidad es que los sistemas ERP contemporáneos tienen una estructura muy compleja. La complejidad es enemigo de la seguridad. Las vulnerabilidades se pueden encontrar no solo en la capa de aplicaciones o de negocio (lo cual es el área tradicional de foco para los profesionales de la seguridad de ERP) sino también en la capa técnica que incluye base de datos, sistema operativo y componentes de red. Un enfoque tipo Fort Knox para el nivel de aplicación dará un falso sentido de la seguridad si las fallas de configuración de la arquitectura y la programación no son tratados en el nivel técnico.

Esto se agrava por el hecho que la mayoría de los casos de ERP tienen más de una superficie de ataque. Casi todos tienen conexiones directas o indirectas a Internet. Las últimas incluyen conexiones a oficinas externas, proveedores, vendedores y otros socios y a los servicios de SAP. Esto último puede incluir conexiones a estaciones de trabajo de usuario con acceso Internet. Los recursos ERP se diseñan cada vez más para ser accesibles por los usuarios móviles utilizando protocolos usados por la Web, puertos y servicios. Los mainframes aislados de antaño son un recuerdo lejano en nuestra era de comunicaciones globales.

Los vectores para atacar las superficies en sistemas ERP son generalmente conocidos. Es más, la mayoría se pueden realizar con laptops pequeñas y un mínimo de conocimientos. La idea de que muy pocas personas tengan algún motivo para atacar tales sistemas ricos en información, es uno de los mitos más perturbadores y desconcertantes en la seguridad de los ERP. Me recuerda a un comentario que me hizo un socio importante de una empresa consultora muy conocida. El socio estaba contratado como asesor de seguridad  para una gran empresa de procesamiento de carne durante una implementación de SAP por demás exitosa. En su opinión, el cliente tenía un perfil relativamente de bajo riesgo que justificaba un marco de seguridad por defecto para sus sistemas SAP. Como resultado, a la compañía se la instó a seguir con los valores por defecto de SAP, siempre que fuera posible.

Esto nos lleva al cuarto y al más perjudicial de los mitos en la seguridad ERP: la noción que los sistemas son configurados seguros por defecto, cuando no lo son, y que es responsabilidad del proveedor la de asegurar el sistema. Los sistemas ERP son diseñados para ser flexibles. Deben ser capaces de satisfacer las necesidades diversas de cada empresa imaginable en todas las industrias y sectores. Como resultado, no hay una configuración estándar que pueda cumplir los requerimientos de cada empresa. La seguridad tiene que ser habilitada. La configuración de seguridad por defecto a menudo es muy peligrosa y puede dejar a las organizaciones abiertas a ataque internos y externos. Por esta razón, SAP ha publicado numerosos documentos, guías de seguridad y otras publicaciones para apoyar la configuración segura de su software durante y después de la implementación. Esto debería se de lectura obligatoria para todos los profesionales de seguridad especializados en SAP.

SAP no se responsabiliza por problemas de seguridad derivados de las fallas de arquitectura, errores de configuración y parches insuficientes. Se espera que los clientes diseñen, administren y mantengan sus sistemas de una forma segura. Esto puede llegar a ser un reto en compañías donde no hay una clara propiedad de los recursos SAP o en caso donde los sistemas son propiedad de departamentos de negocio que carecen de las habilidades técnicas para administrar efectivamente la seguridad ERP. En estos escenarios, los dueños del negocio deben tomar las medidas para compartir la propiedad con las funciones de TI, especialmente los recursos técnicos dentro de la organización que están acostumbrados a tratar con la infraestructura o la seguridad a nivel de la plataforma.  En mi observación, usualmente hay una fuerte relación entre la fortaleza de la seguridad SAP en organizaciones y el grado de colaboración entre el negocio y TI.

Traducción: Raúl Batista – Segu-Info
Autor: Aman Dhillon
Fuente: Layer Seven Security – Blog

5 mitos sobre el Outsourcing de IT

septiembre 12, 2011 § 2 comentarios

Por: Gerardo Zamudio

Hoy en día la Banca Mexicana se encuentra haciendo frente a varios desafíos, por un lado la entrada al país de la legislación internacional Basilea III, el incremento de sus reservas preventivas y la presión por bancarizar a la mayor cantidad de población posible con la finalidad de fomentar el desarrollo del país. Estas condiciones ponen de manifiesto la necesidad de contar con sólidas prácticas internas y disponibilidad de infraestructuras que permitan cumplir con estos nuevos mandatos y requerimientos de la población.

Alcanzar el máximo desempeño de TI para soportar las funciones del negocio es quizá el factor crítico de éxito en las organizaciones hoy en día. La habilidad de adaptarse rápidamente a los cambios del mercado, a la vez que se mitigan los riesgos, están llevando a las compañías a buscar estrategias de tercerización innovadoras que mantengan los avances de TI caminando de la mano de los objetivos de negocio.

El outsourcing de TI es mucho más que ahorro en costos; llevado a cabo adecuadamente puede proveer de impacto real al negocio que conduzca a operaciones más estables, robustas y seguras. Pero para tener éxito en esto, es necesario contar con un socio experimentado, con herramientas y modelos flexibles capaces de aportar valor estratégico y ampliar la visión del cliente, además de un fuerte compromiso para alcanzar las necesidades de outsourcing de los mismos.
En la actualidad los CIOs en diferentes industrias pretenden destinar hasta un 50% del presupuesto de recursos operacionales e infraestructura a la innovación y desarrollo. Por esto, es importante que implementen una estrategia de outsourcing adecuada que les permita liberarse del costo de mantener las operaciones del día a día y aprovechar la capacidad técnica del personal del área en el desarrollo de aplicaciones, así como el presupuesto en tecnología e innovación.

Por muchos años, el outsourcing tradicional simplemente apoyó a mantener el status quo, donde los procesos existentes y las ineficiencias se trasladaban a un proveedor externo; algunos analistas señalan que hace apenas unos años más del 60% del presupuesto de TI se empleaba para la operación diaria. Aunque este modelo aliviaba problemas relacionados con la escasez de recursos y ayudaba a la gestión de costos, implicaba un buen grado de riesgo e incertidumbre, lo cual no conducía al crecimiento.

“Aún podemos encontrar a algunas empresas que tienen una idea errónea acerca del outsourcing de TI, debido a fallas en los proyectos de esta naturaleza o por la falta de resultados tangibles”, comentó Diana Gómez, Directora General y VP de Servicios Globales de Outsourcing, Unisys México “En la actualidad, el outsourcing ya no es más un riesgo; más bien es una oportunidad, es una relación que busca generar el cambio, permite a las organizaciones progresar hacia mejores condiciones y alienta la mejora continua”.

Los mitos del outsourcing de TI

1. Tercerizar significa sacrificar control y flexibilidad.

Una buena estrategia de outsourcing debe de tener la capacidad de cambio a medida que las necesidades del negocio evolucionan, proporcionando las soluciones que mejor se adapten a la organización.

Adicionalmente, el proveedor de servicio de outsourcing debe diseñar soluciones y modelos de gobierno que permitan establecer de forma conjunta las necesidades iniciales y ajustar la gestión del servicio con el tiempo, lo que significa un mayor control y flexibilidad por parte de las organizaciones a largo plazo.

2. El outsourcing no aporta resultados relevantes para la estrategia de negocios o de TI.

La excelencia operacional en áreas como ejecutar un help-desk o el mantenimiento de las aplicaciones es importante, pero no suficiente. Las decisiones sobre la tercerización deben estar alineadas para soportar los objetivos de negocio mediante la transformación de la entrega de los servicios de TI.

Es importante que las empresas que se encuentren buscando un proveedor de servicios de TI revisen que la propuesta de este último se alinee a sus objetivos y cuente con herramientas de medición de resultados. Al liberarse de las tareas de mantenimiento y servicio, los departamentos de TI pueden enfocarse en el desarrollo de proyectos de innovación de las tecnologías empresariales.

3. La reducción de costos es la única razón para tercerizar.

Este es uno de los principales motivos que lleva a las organizaciones a tercerizar, pero definitivamente no debe ser el único. Estructuras rentables son la señal de negocios exitosos. Realizar casos de negocio a lo largo de la evolución del proyecto, sirve para medir si se entrega el valor esperado por el cliente.

Mediante estos casos de negocio se construye el historial de cambios en el tiempo y se comunica el impacto al negocio en los puntos de unión de la relación outsourcing – objetivos de negocio. Esto es fundamental debido a que con el tiempo las razones para tercerizar cambian junto con los requerimientos del negocio y la tecnología.

4. El outsourcing es empleado para transferir los problemas de la organización a alguien más por un costo más bajo.

Hacer lo mismo a través de alguien más y esperar un resultado diferente es igual a fracaso. Una de las razones clave para tercerizar debe ser el propio cliente; las organizaciones necesitan cambiar la forma en que llevan los procesos de negocio y la tecnología para poder alcanzar resultados diferentes que impulsen el avance del negocio.

Para lograr lo anterior, se requiere tener visibilidad de todos los procesos, gobierno y soluciones innovadoras que permitan generar una transición confiable, segura y rentable.

5. El outsourcing sólo proporciona valor cuando transforma toda la operación.

El outsourcing no tiene que ser una propuesta de ’todo o nada’. En realidad se trata de capitalizar lo mejor de los servicios de insource y de outsource. Una buena estrategia de outsourcing aporta valor cuando, mediante un panorama definido por modelos de procesos de negocios de TI, la prestación de servicio y responsabilidades por parte del cliente, del proveedor y de terceras partes, son bien identificadas; de esta manera la estrategia se centrará en el rendimiento y se evitarán sorpresas.

La responsabilidad conjunta garantiza la prestación del servicio de forma coherente y mesurable, empleando lo mejor de los recursos in-house y los recursos del proveedor.

“La estrategia correcta de outsourcing ayudará a mejorar los procesos existentes, de esta manera las organizaciones pueden ofrecer nuevos e innovadores servicios a sus clientes. La clave está en desarrollar el modelo adecuado para alcanzar y mantener el nivel de rendimiento de negocio adecuado, independientemente de los cambios en el entorno”, agregó Gómez.

Maximizando los beneficios del outsourcing

Como se mencionó previamente, un programa de outsourcing adecuado permitirá alinear recursos y procesos para apoyar las iniciativas de negocio sin incidentes. Otros beneficios que genera el outsourcing son:

  • Aumento de la competitividad.
  • Mejora la gestión del riesgo.
  • Captar nuevas oportunidades de mercado.
  • Incrementar la satisfacción del cliente.
  • Mejorar la efectividad de la estrategia de abastecimiento (inshore, outshore y onshore).

“Por más de 50 años hemos apoyado las infraestructuras de misión crítica de nuestros clientes, obteniendo la experiencia necesaria en el diseño de procesos, entrega de servicio diario y manejo de crisis. A lo largo de los años hemos implementado con tenacidad junto a los clientes, un enfoque único que integre personas, procesos y tecnología, enfatizando las relaciones que los interconectan”, finalizó la directiva.

Fuente: Top Management

5 mitos sobre el Outsourcing de IT

septiembre 12, 2011 § 2 comentarios

Por: Gerardo Zamudio

Hoy en día la Banca Mexicana se encuentra haciendo frente a varios desafíos, por un lado la entrada al país de la legislación internacional Basilea III, el incremento de sus reservas preventivas y la presión por bancarizar a la mayor cantidad de población posible con la finalidad de fomentar el desarrollo del país. Estas condiciones ponen de manifiesto la necesidad de contar con sólidas prácticas internas y disponibilidad de infraestructuras que permitan cumplir con estos nuevos mandatos y requerimientos de la población.

Alcanzar el máximo desempeño de TI para soportar las funciones del negocio es quizá el factor crítico de éxito en las organizaciones hoy en día. La habilidad de adaptarse rápidamente a los cambios del mercado, a la vez que se mitigan los riesgos, están llevando a las compañías a buscar estrategias de tercerización innovadoras que mantengan los avances de TI caminando de la mano de los objetivos de negocio.

El outsourcing de TI es mucho más que ahorro en costos; llevado a cabo adecuadamente puede proveer de impacto real al negocio que conduzca a operaciones más estables, robustas y seguras. Pero para tener éxito en esto, es necesario contar con un socio experimentado, con herramientas y modelos flexibles capaces de aportar valor estratégico y ampliar la visión del cliente, además de un fuerte compromiso para alcanzar las necesidades de outsourcing de los mismos.
En la actualidad los CIOs en diferentes industrias pretenden destinar hasta un 50% del presupuesto de recursos operacionales e infraestructura a la innovación y desarrollo. Por esto, es importante que implementen una estrategia de outsourcing adecuada que les permita liberarse del costo de mantener las operaciones del día a día y aprovechar la capacidad técnica del personal del área en el desarrollo de aplicaciones, así como el presupuesto en tecnología e innovación.

Por muchos años, el outsourcing tradicional simplemente apoyó a mantener el status quo, donde los procesos existentes y las ineficiencias se trasladaban a un proveedor externo; algunos analistas señalan que hace apenas unos años más del 60% del presupuesto de TI se empleaba para la operación diaria. Aunque este modelo aliviaba problemas relacionados con la escasez de recursos y ayudaba a la gestión de costos, implicaba un buen grado de riesgo e incertidumbre, lo cual no conducía al crecimiento.

“Aún podemos encontrar a algunas empresas que tienen una idea errónea acerca del outsourcing de TI, debido a fallas en los proyectos de esta naturaleza o por la falta de resultados tangibles”, comentó Diana Gómez, Directora General y VP de Servicios Globales de Outsourcing, Unisys México “En la actualidad, el outsourcing ya no es más un riesgo; más bien es una oportunidad, es una relación que busca generar el cambio, permite a las organizaciones progresar hacia mejores condiciones y alienta la mejora continua”.

Los mitos del outsourcing de TI

1. Tercerizar significa sacrificar control y flexibilidad.

Una buena estrategia de outsourcing debe de tener la capacidad de cambio a medida que las necesidades del negocio evolucionan, proporcionando las soluciones que mejor se adapten a la organización.

Adicionalmente, el proveedor de servicio de outsourcing debe diseñar soluciones y modelos de gobierno que permitan establecer de forma conjunta las necesidades iniciales y ajustar la gestión del servicio con el tiempo, lo que significa un mayor control y flexibilidad por parte de las organizaciones a largo plazo.

2. El outsourcing no aporta resultados relevantes para la estrategia de negocios o de TI.

La excelencia operacional en áreas como ejecutar un help-desk o el mantenimiento de las aplicaciones es importante, pero no suficiente. Las decisiones sobre la tercerización deben estar alineadas para soportar los objetivos de negocio mediante la transformación de la entrega de los servicios de TI.

Es importante que las empresas que se encuentren buscando un proveedor de servicios de TI revisen que la propuesta de este último se alinee a sus objetivos y cuente con herramientas de medición de resultados. Al liberarse de las tareas de mantenimiento y servicio, los departamentos de TI pueden enfocarse en el desarrollo de proyectos de innovación de las tecnologías empresariales.

3. La reducción de costos es la única razón para tercerizar.

Este es uno de los principales motivos que lleva a las organizaciones a tercerizar, pero definitivamente no debe ser el único. Estructuras rentables son la señal de negocios exitosos. Realizar casos de negocio a lo largo de la evolución del proyecto, sirve para medir si se entrega el valor esperado por el cliente.

Mediante estos casos de negocio se construye el historial de cambios en el tiempo y se comunica el impacto al negocio en los puntos de unión de la relación outsourcing – objetivos de negocio. Esto es fundamental debido a que con el tiempo las razones para tercerizar cambian junto con los requerimientos del negocio y la tecnología.

4. El outsourcing es empleado para transferir los problemas de la organización a alguien más por un costo más bajo.

Hacer lo mismo a través de alguien más y esperar un resultado diferente es igual a fracaso. Una de las razones clave para tercerizar debe ser el propio cliente; las organizaciones necesitan cambiar la forma en que llevan los procesos de negocio y la tecnología para poder alcanzar resultados diferentes que impulsen el avance del negocio.

Para lograr lo anterior, se requiere tener visibilidad de todos los procesos, gobierno y soluciones innovadoras que permitan generar una transición confiable, segura y rentable.

5. El outsourcing sólo proporciona valor cuando transforma toda la operación.

El outsourcing no tiene que ser una propuesta de ’todo o nada’. En realidad se trata de capitalizar lo mejor de los servicios de insource y de outsource. Una buena estrategia de outsourcing aporta valor cuando, mediante un panorama definido por modelos de procesos de negocios de TI, la prestación de servicio y responsabilidades por parte del cliente, del proveedor y de terceras partes, son bien identificadas; de esta manera la estrategia se centrará en el rendimiento y se evitarán sorpresas.

La responsabilidad conjunta garantiza la prestación del servicio de forma coherente y mesurable, empleando lo mejor de los recursos in-house y los recursos del proveedor.

“La estrategia correcta de outsourcing ayudará a mejorar los procesos existentes, de esta manera las organizaciones pueden ofrecer nuevos e innovadores servicios a sus clientes. La clave está en desarrollar el modelo adecuado para alcanzar y mantener el nivel de rendimiento de negocio adecuado, independientemente de los cambios en el entorno”, agregó Gómez.

Maximizando los beneficios del outsourcing

Como se mencionó previamente, un programa de outsourcing adecuado permitirá alinear recursos y procesos para apoyar las iniciativas de negocio sin incidentes. Otros beneficios que genera el outsourcing son:

  • Aumento de la competitividad.
  • Mejora la gestión del riesgo.
  • Captar nuevas oportunidades de mercado.
  • Incrementar la satisfacción del cliente.
  • Mejorar la efectividad de la estrategia de abastecimiento (inshore, outshore y onshore).

“Por más de 50 años hemos apoyado las infraestructuras de misión crítica de nuestros clientes, obteniendo la experiencia necesaria en el diseño de procesos, entrega de servicio diario y manejo de crisis. A lo largo de los años hemos implementado con tenacidad junto a los clientes, un enfoque único que integre personas, procesos y tecnología, enfatizando las relaciones que los interconectan”, finalizó la directiva.

Fuente: Top Management

>Los 5 grandes mitos sobre ISO 27001

febrero 11, 2011 § 1 comentario

>Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no sé si ponerme a reír o a llorar. De hecho, es gracioso cómo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco. Estos son los errores conceptuales más comunes:

La norma requiere…”
“La norma requiere que se cambien las claves cada 3 meses”. “La norma requiere que se contraten a diversos proveedores”. “La norma requiere que la ubicación alternativa de recuperación ante desastres se encuentre, como mínimo, a 50km de distancia de la ubicación principal”. ¿Es así? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de información falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prácticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto está establecido en la norma, difícilmente la hayan leído alguna vez.
Dejaremos que el departamento de TI lo maneje”
Esta es la preferida de la dirección: “La seguridad de la información tiene que ver con tecnología de la información, ¿no?” Bueno, no exactamente. Los aspectos más importantes de la seguridad de la información no sólo incluyen medidas de TI, sino también temas organizacionales y gestión de recursos humanos, que, en general, se encuentran fuera del ámbito del departamento de TI. Ver también Seguridad de la información o seguridad de TI.
Lo implementaremos en unos pocos meses”
Podría ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionará; solamente obtendrá un montón de políticas y procedimientos que nadie tendrá en cuenta. La implementación de la seguridad de la información quiere decir que tiene que implementar cambios, y esto lleva tiempo.
Ni qué decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el análisis de qué es necesario lleva tiempo; se llama evaluación y tratamiento de riesgos.
Esta norma no es nada más que documentación”

La documentación es una parte importante en la implementación de ISO 27001, pero no es un fin en sí misma. Lo más importante es que usted realice sus actividades de forma segura, y la documentación está allí precisamente para ayudarle. Además, los registros que genere le ayudarán a medir si alcanzó sus objetivos de seguridad de la información y le permitirán corregir aquellas actividades que no lo han logrado.

El único beneficio de la norma es obtener una ventaja de comercialización”

“Estamos haciendo esto solamente para obtener el certificado, ¿no es cierto?” Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aquí si se debe, o no, utilizar a la norma ISO 27001 con fines de promoción y ventas, pero también puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver también Cuatro beneficios clave de la implementación de la norma ISO 27001 y Lecciones aprendidas a partir de WikiLeaks: ¿Qué es exactamente la seguridad de la información?.

Lo importante aquí es que primero hay que leer la norma ISO 27001 para poder dar una opinión sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, además de la publicidad. Es decir, aumente sus posibilidades de realizar una inversión rentable en seguridad de la información.

Autor: Dejan Kosutic
Fuente: Blog iso27001standard.com

Mitos y recomendaciones para una navegación web segura a día de hoy

octubre 30, 2010 § Deja un comentario

Os dejamos a continuación una serie de consejos para poder llevar a cabo una navegación web segura así como los 10 mitos sobre la seguridad en Internet. Muchos usuarios no conocen si navegan de forma segura, no saben evitar los sitios peligrosos, no utilizan una política sólida de acceso a Internet ni utilizan un navegador seguro, o no cuentan con la experiencia suficiente para reconocer un sitio peligroso con tan sólo verlo. Con que una sola de estas condiciones se cumpla, ya debería ser consciente de que se encuentra en un grave peligro.

Además, a pesar de encontrarnos en el siglo XXI, todavía están generalizados una serie de mitos sobre la seguridad en Internet que Sophos ha resumido en un informe y a los que ofrece la respuesta definitiva”,comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. Los 10 mitos sobre la navegación segura por Internet:

Mito 1: Internet es seguro porque no he sufrido nunca una infección por malware.
Esta idea está muy extendida, aunque lo que puede ocurrir en realidad es que el usuario no sea consciente de que ya está infectado. Muchos ataques provocados por los programas maliciosos están diseñados para robar información personal y contraseñas, o para utilizar el equipo para distribuir correo no deseado, malware o contenido inapropiado sin que el usuario sea consciente de ello.

Mito 2: Mis usuarios no pierden el tiempo navegando por contenidos inapropiados.
Más del 40% del uso de Internet en entornos corporativos es inapropiado y no se comprueba, lo que equivale a una media de 1 a 2 horas por día y usuario. Además, el número de casos de adicción a Internet va en aumento, y los cálculos actuales indican que hasta entre un 5 y 10% de los usuarios de la Red de redes, sufren algún tipo de dependencia de la web.

Mito 3: Controlamos el uso de Internet y nuestros usuarios no pueden evitar esta política.
Gracias a los servidores proxy anónimos, para los empleados es muy fácil eludir la política de filtrado web y visitar cualquier sitio que quieran.

Mito 4: Los únicos sitios que son peligrosos son los de pornografía, juegos de azar y otras páginas “raras”.
Las páginas de confianza que han sido secuestradas representan más del 83% de los sitios que alojan programas maliciosos. La mayoría de los sitios infectados son páginas web en las que el usuario confía y, de hecho, puede que visite diariamente y que son secuestradas para la distribución de malware.

Mito 5: Sólo los usuarios ingenuos son víctimas de infecciones causadas por el malware y virus.
Los programas maliciosos procedentes de descargas no autorizadas se activan de forma automática sin ninguna acción por parte del usuario que no sea, simplemente, visitar ese sitio.

Mito 6: Sólo se puede ser víctima de infecciones si se descargan archivos.
Actualmente la mayoría de infecciones provocadas por el malware se producen mediante una descarga no autorizada. El código malicioso se puede encontrar oculto en el contenido de la página web y descargarse y ejecutarse de manera automática en el navegador con el simple hecho de visitar la web en cuestión.

Mito 7: Firefox es más seguro que Internet Explorer.
Todos los navegadores están expuestos a los mismos riesgos porque, básicamente, todos ellos, son un entorno de ejecución de JavaScript, que es el lenguaje de programación que se usa en Internet y que, por tanto, utilizan los creadores de malware. Además, muchos ataques van dirigidos a complementos que se utilizan en todos los navegadores, como por ejemplo, Adobe Acrobat.

Mito 8: Cuando aparece el icono de candado en el navegador, es seguro.
El icono de candado indica que hay una conexión cifrada con SSL entre el navegador y el servidor, pero no ofrece ningún tipo de seguridad contra el malware.

Mito 9: La seguridad en Internet obliga a hacer un sacrificio entre seguridad y libertad.
A pesar de que Internet se ha convertido en una herramienta vital para muchas funciones empresariales no hay ninguna necesidad de sacrificar el acceso o la seguridad. Una solución de seguridad en Internet ofrece la libertad de conceder acceso a los sitios que los usuarios necesitan al tiempo que se protege la empresa.

Mito 10: Las soluciones de seguridad para estaciones de trabajo no pueden ofrecer protección contra las amenazas de Internet.
En esencia, el navegador de Internet es su propio entorno de ejecución: descarga contenido, lo genera y ejecuta scripts, y todo ello sin ninguna visibilidad por parte de productos de seguridad para estaciones de trabajo. No obstante, esto está cambiando, y se está abriendo todo un nuevo enfoque a la seguridad en Internet, sobre todo para trabajadores móviles que realizan sus tareas fuera de los límites tradicionales de las redes corporativas.

Cinco consejos definitivos para hacer frente a las amenazas web modernas

La educación y la concienciación de los usuarios, medidas preventivas y una solución moderna de seguridad en Internet son componentes integrales de una defensa completa con las amenazas web actuales. Desde MuySeguridad.net corroboramos los consejos de Sophos, que:

  • Se mantengan los sistemas actualizados y con todos los parches instalados.Una de las mejores maneras de hacerlo es mantener activada la función de actualización automática.
  • Se estandarice el software web. Se puede reducir de forma drástica la exposición a riesgos mediante la limitación o la estandarización de un conjunto básico de aplicaciones para interactuar con Internet: navegador, lector .pdf, reproductor multimedia, etc.
  • Se protejan los navegadores. Se debe familiarizar con los parámetros de seguridad, privacidad y contenido presentes en todos los navegadores. Algunos supondrán una molestia sin aumentar la seguridad, mientras que otros son importantes para limitar los ataques y amenazas.
  • Se aplique una política sólida de contraseñas. Una política eficaz consiste en hacer que nos e puedan adivinar ni descifrar fácilmente las contraseñas. Es importante que éstas sean largas, que incluyan números, símbolos y caracteres en mayúscula y minúscula, sin información personal y cambiarlas con frecuencia.
  • Se utilice una solución de seguridad eficaz para Internet. Una solución de seguridad adecuada reduce la exposición a las amenazas, protege contra sitios de confianza que pueden ser objetos de secuestros, y ayuda a proteger los recursos contra los abusos provocados por el intercambio de contenidos ilegales o la transferencia de contenido multimedia.

Autor: Jesús Maturana
Fuente: Muy Seguridad.net

¿Dónde estoy?

Actualmente estás explorando la categoría mitos en Seguridad Informática.