Tag empresa

Cada vez más empresas usan soluciones de código abierto. ¿Cómo se puede hacer esta transición correctamente y cuáles son los riesgos que deben tener en cuenta?

Las aplicaciones de código abierto se han establecido en los sistemas TI de las grandes y medianas empresas. De dominar segmentos como servidores web, bases de datos y analíticas, las soluciones de código abierto ahora también se utilizan para la contenerización, el aprendizaje automático, DevOps y, por supuesto, el desarrollo de software. Muchas empresas se están pasando al código abierto para tareas que no son del sector TI, como el CRM, la producción de contenido visual y la publicación de blogs. De acuerdo con Gartner, más del 95 % de las empresas TI utilizan soluciones de código abierto, pero incluso entre las empresas que no se incluyen dentro de este sector la cifra supera el 40 % y no deja de aumentar. Por si fuera poco, esta cifra no incluye los muchos casos en los que se utilizan bibliotecas de código abierto dentro de aplicaciones.

Elegir entre código abierto y cerrado no es nada fácil: no es solo un dilema entre pago o gratuito, con o sin soporte. A la hora de decidir sobre cualquier solución TI, las empresas deben tener en cuenta una serie de aspectos importantes.

El coste y cronograma de implementación

Aunque las soluciones de código abierto no suelen tener coste, implementarlas no sale gratis. Dependiendo de la complejidad de la solución, puede que debas gestionar las horas de dedicación del equipo TI, traer consultores expertos o incluso contratar desarrolladores que adapten constantemente la aplicación a las necesidades de tu empresa.

También existe el modelo de licencia híbrida, que te permite usar una edición comunitaria de la aplicación de forma gratuita, pero la versión extendida con funciones “empresariales” requiere una licencia de pago.

Además, muchos productos de código abierto no cuentan con documentación completa y/o actualizada o cursos de formación para usuarios finales. En grandes implementaciones, es posible que todas estas brechas sean necesarias y deban cubrirse internamente, lo que cuesta tiempo y dinero.

La ventaja del código abierto en la fase de implementación es, por supuesto, que permite realizar pruebas completas. Aunque planees implementar una solución de código abierto como alojamiento dedicado o, con la ayuda de un contratista especializado, realizar una prueba piloto (prueba de concepto) por tu cuenta es mucho más eficaz que ver demostraciones en vídeo de soluciones privativas. Inmediatamente verás lo funcional y aplicable que es la solución para tu empresa en particular.

Al comparar soluciones de código abierto y cerrado antes de la implementación, es importante comprender qué tiempo queda disponible para las pruebas y si tienes la opción de cambiar el producto en sus primeras etapas. Si los plazos no son constantes y la respuesta a la segunda pregunta es afirmativa, tiene sentido realizar pruebas exhaustivas de un producto de código abierto.

El coste del soporte

El soporte y la configuración del día a día de muchas aplicaciones de código abierto a escala industrial, así como su adaptación a altas cargas de trabajo, requieren un conocimiento muy específico y profundo por parte del equipo TI. Si esta opción no está disponible, este conocimiento deberá adquirirse, ya sea mediante la contratación o subcontratación de expertos. Entre los tipos más comunes de subcontratación se encuentra la ayuda de expertos específicos de la aplicación (formato Red Hat) o el alojamiento dedicado optimizado para una solución TI específica (Kube Clusters, WP Engine o un formato similar).

Por supuesto, el soporte de pago también es un estándar de las soluciones privativas; el de código abierto no es el único que lo necesita. El coste no es muy diferente: como muestra la práctica, el soporte técnico anual para una aplicación corporativa típica de código abierto es solo entre un 10 y un 15 % más económico que el de las soluciones privativas.

La corrección de errores, las nuevas funciones y la posibilidad de escala

Aunque las soluciones maduras de código abierto se actualizan regularmente para ampliar sus funciones y corregir errores, a menudo puede suceder que los desarrolladores no prioricen un error crítico para una empresa en particular. Esto es aún más común en el caso de las solicitudes de funciones. Aquí, debes sentarte y esperar pacientemente, o gastar el valioso tiempo de tus desarrolladores (internos o contratados) para que escriban el código necesario. Lo bueno es que esto es posible al menos teóricamente; lo malo, que puede convertirse en un gasto importante e impredecible.

Ten en cuenta que el alojamiento dedicado elimina la preocupación de tener que andar instalando parches y actualizando aplicaciones, pero no puede evitar estos ajustes individuales. Una empresa con esta necesidad que accede al mercado de desarrollo debe elegir el formato de la extensión que crea: una bifurcación del producto de software principal o una adición a la rama de desarrollo principal en asociación con los desarrolladores originales de la aplicación. Es aquí donde entran en juego las ventajas estratégicas del código abierto: la flexibilidad de uso y la velocidad de la innovación.

La integración y el soporte multiplataforma

Para las soluciones multicomponente a gran escala que intercambian datos de forma activa, la integración y la compatibilidad con diferentes plataformas pueden desempeñar un papel importante en la elección del producto de software. La prioridad aquí es el soporte de formatos de la industria para el almacenamiento e intercambio de datos, además de interfaces de programación de aplicaciones (API) bien documentadas. A veces, una solución de un solo proveedor con código de fuente cerrada puede cumplir estos requisitos mejor que un enjambre de soluciones de fuente abierta, incluso las de alta calidad. Pero siempre resulta útil estimar el coste que supone modificar una solución de código abierto si gana en otros criterios y ha pasado la fase de prueba de concepto.

Riesgos, seguridad y cumplimiento

A menudo, el código abierto se promociona como la opción más segura. Después de todo, que alguien pueda ver el código fuente y corregir errores, debe ser más seguro que la oferta de propiedad de una caja negra, ¿cierto?

Como siempre, la realidad es más complicada. En primer lugar, muchas aplicaciones de código abierto tienen millones de líneas de código que nadie puede auditar en su totalidad. La gran cantidad de actualizaciones de este código solo complica aún más la tarea. Dicho esto, pequeño no significa seguro. Por ejemplo, la vulnerabilidad Shellshock basada en Bash pasó desapercibida durante 20 años.

En segundo lugar, el problema de las dependencias es grave, ya que las aplicaciones y el código tienen su propia cadena de suministro. Una aplicación de código abierto puede usar una biblioteca de código abierto de terceros, que a su vez esté vinculada a otra biblioteca de terceros, y es poco probable que los encargados de verificar la aplicación comprueben también todas esas bibliotecas. Los riesgos de esta cadena se han demostrado muchas veces, por ejemplo: la vulnerabilidad en la biblioteca de registro gratuita Log4j que afectó a miles de grandes soluciones de código abierto, impactando a gigantes como Amazon, Cloudflare y Elastic; el ataque que reemplazó las bibliotecas npm con homónimos maliciosos funcionó en Apple y Microsoft; y la decisión de un desarrollador independiente de no admitir la biblioteca left-pad en el repositorio de npm que bloqueó más de mil aplicaciones y sitios populares (incluido Facebook) durante varias horas.

Dependencias de software. Fuente.

Otro problema con las dependencias son las licencias. Las licencias de código abierto son bastante específicas y no tener que pagar no significa que no haya un titular de los derechos de autor. La aplicación en sí y sus bibliotecas pueden venir con varias licencias, y la violación de las más estrictas (copyleft) está plagada de litigios. Al igual que el proceso bien establecido de auditoría de seguridad TI y mitigación de vulnerabilidades, los principales usuarios y desarrolladores de software de código abierto deben tener un proceso similar para verificar periódicamente el cumplimiento de la licencia, a poder ser semiautomatizado.

Todo lo anterior no significa que el código abierto sea la peor opción desde la perspectiva de la seguridad de la información. Solo debes comprender todos los riesgos: el equipo de implementación debe evaluar la cultura de desarrollo y la frecuencia de las actualizaciones de seguridad en las aplicaciones de la competencia y controlar las dependencias y licencias (por ejemplo, mediante el uso de SBOM, siglas en inglés de software bill of materials). Además, si tu empresa trabaja en el campo de desarrollo de software, es una buena idea escanear todos los paquetes de código abierto en busca de vulnerabilidades y funcionalidades maliciosas.

Fuente: latam.kaspersky.com

El departamento de Tecnologías de la Información (TI) gana responsabilidad en la toma de decisiones y se posiciona como un referente para las demás áreas de la compañía, de acuerdo con un análisis de ‘MIT Technology Review en español’ en colaboración con Dell Technologies. La ciberseguridad cobra importancia en un entorno cada vez más digital y tecnologías como el 5G y la multinube marcarán el futuro de las organizaciones de la región.

En una realidad cada vez más digital, las empresas latinoamericanas están reconfigurando su cultura. ¿Cómo lo están haciendo? ¿De qué manera planean transformarse digitalmente? ¿Qué tecnologías tienen mayor presencia en el mercado actual y cuáles serán tendencia? Dell Technologies y MIT Technology Review en español han llevado a cabo el estudio El rol de TI en la transformación digital en Latinoamérica para responder a esas preguntas a través de encuestas y entrevistas con 111 empresas de diferentes sectores y países de la región. Un análisis que ha permitido obtener una visión del desarrollo digital en América Latina y el papel clave del área de TI en este proceso.   

IT crece hacia un rol líder y transversal

Las compañías de América Latina ya habían dado sus pasos hacia la digitalización cuando llegó la pandemia, un punto de inflexión que aceleró el proceso. En este contexto, un área de la empresa ha adoptado un rol cada vez más estratégico: el departamento de tecnologías de la información (TI). Su propia labor también ha evolucionado. Tradicionalmente dedicado a cuestiones de mantenimiento informático, ahora se responsabiliza de la adopción del plan de transformación digital, que incluye iniciativas de teletrabajo, implantación de los sistemas en la nube, protección de la ciberseguridad o aplicación de metodologías ágiles del trabajo.

En este sentido, 8 de cada 10 empresas encuestadas aseguran tener un plan de transformación digital, pero solo un 62% de ellas lo están ejecutando. Entre las razones que dificultan la digitalización en las empresas de la región está la cultura tradicional anclada, un factor que limita la innovación según 6 de cada 10 compañías encuestadas.

El área de TI también tiene la responsabilidad de alcanzar resultados con visión de futuro, un enfoque innovador que permite la toma de decisiones basada en datos y que marca el ejemplo a seguir por el resto de los departamentos. En muchos casos, se apoya en otras áreas como Finanzas o Recursos Humanos (RR HH) para lograr esos resultados.

Por otro lado, los departamentos de RR HH de las empresas latinoamericanas tienen el desafío de captar y retener talento tecnológico. Para hacer frente a esta situación, los modelos flexibles y de teletrabajo son opciones que ofrecen el 68% de las compañías que han participado en el estudio. No obstante, la transformación cultural es un proceso que engloba otros aspectos más allá del teletrabajo.

El auge de nuevas tecnologías

El desarrollo tecnológico está en continua evolución en la región latinoamericana, pero cada sector presenta unas características concretas en relación con las tecnologías del momento. Por ejemplo, la informática de alto rendimiento (HPC por sus siglas en inglés, High Performance Computing) despunta en el sector edtech (educación tecnológica) y se prevé su expansión a corto plazo. También se espera una próxima implantación de chatbots y robots en el sector de las telecomunicaciones. De hecho, la automatización de consultas mediante chatbots forma parte de los planes a corto plazo de todas las empresas de este sector que han participado en el estudio.

Por otro lado, existen una serie de tecnologías cuya penetración todavía es baja en la región, pero se espera un importante desarrollo en todos los sectores. La primera de ellas es el 5G, la generación de redes móviles más potente hasta la fecha: la emplean tan solo el 8% de las empresas encuestadas, pero el 45% esperan implantarla próximamente. La inteligencia artificial (IA) también formará parte de los sistemas de 4 de cada 10 compañías de América Latina. La tercera tendencia en importancia es el internet de las cosas (IoT por sus siglas en inglés), que aparece en el plan a corto plazo del 34% de las organizaciones.

Otras tecnologías destacadas son los servicios de almacenamiento en la nube o cloud computing que, a pesar de estar presentes en el 82% de las empresas, se encuentran en una etapa inicial de implantación en la mayoría de ellas. De forma similar, el 92% tiene en cuenta la ciberseguridad, pero su nivel de madurez es intermedio.

¿Qué se espera en el futuro?  

El desarrollo tecnológico ha incentivado la transformación del área de TI y su importancia en las organizaciones latinoamericanas. La nueva situación saca a la luz nuevos retos.  Entre los desafíos a los que deben hace frente se encuentran:

• Implementación de big data. El almacenamiento masivo de datos requiere un correcto tratamiento de estos. Sin embargo, está tecnología no presenta un gran desarrollo en Latinoamérica.   

• Cultura de la ciberseguridad. Todas las áreas de una empresa pueden verse impactadas por los ciberataques, de ahí que se trate de un desafío clave. La IA, entre otras tecnologías, puede ayudar a automatizar y mejorar la seguridad de la red en la nube.

• Trato cercano y fiel con el cliente. Las nuevas tecnologías permiten personalizar la relación con el usuario y atenderle por nuevos canales.  

• Captación y retención de talento tecnológico. El 80% de las empresas encuestadas encuentran problemas para atraer a estos profesionales y conseguir mantenerlos en el tiempo, algo que muestra la importancia de resolver este desafío.  

Más allá de los retos, el futuro de las empresas de Latinoamérica se verá marcado por tendencias como las estrategias multinube y la hiperconectividad con el crecimiento del internet de las cosas, el edge computing (computación en el borde o en la periferia), la red 5G y los entornos de trabajo híbridos que ya están transformando a las organizaciones.

Las tendencias tecnológicas han revolucionado y seguirán revolucionado el escenario latinoamericano. Por eso, el área de TI se ha convertido en un pilar de las compañías de la región y será una pieza cada vez más fundamental en los próximos años.

Fuente: www.technologyreview.es

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com

En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.

Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.

#1. Establecer un correo de consulta

Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.

Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.

#2. Reporte de alertas tempranas

Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.

#3. Charlas y/o capacitaciones

Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.

Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.

También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.

#4. Dinámicas o concursos

Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.

Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.

#5. Guía de buenas prácticas en seguridad

Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.

Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.

Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.

Fuente: www.welivesecurity.com

La productividad es una capacidad que se mide en relación entre lo que se produce y los medios que se emplean, como son los recursos. Es por eso que en el Día Mundial de la Productividad decidimos poner el foco en cómo los hábitos productivos pueden marcar la diferencia a la hora de proteger los activos de una organización. Además, repasamos una serie de acciones que se promueven desde el ámbito de la seguridad de la información y que sirven para garantizar al máximo posible la productividad por el simple hecho de reducir la posibilidad de ser víctima de un incidente.

A continuación, destacamos una serie de acciones clave que fundamentalmente en el campo laboral deberían llevarse adelante y que contribuyen en la mejora de la productividad.

1. Realizar backup de la información

Contar con una copia de seguridad de toda la información necesaria para el correcto funcionamiento de una empresa permite que la productividad no se vea afectada (o no tanto) en caso de sufrir un incidente de seguridad que comprometa los sistemas de información.

Perder el acceso a archivos fundamentales podría tener consecuencias tan severas para la productividad que incluso pueden llevar a la quiebra de una empresa. De hecho, datos de un estudio realizado en 2016 aseguran que el 60% de las empresas que sufren la pérdida de información quiebran en seis meses.

Por último, además de realizar un backup de la información, es importante dedicar el tiempo suficiente para hacerlo correctamente (establecer una periodicidad, tener en cuenta el soporte, etc), ya que no hacer el backup de la manera correcta podría significar tanto la pérdida de la información como del tiempo.

2. Contar con una política de actualización de software

Similar a no contar con una copia de seguridad de la información de valor, no contar con una política de actualización que asegure la instalación de los parches de seguridad de las herramientas que se utilicen podría significar la exposición a un ataque o incidente de seguridad. Solo basta con recordar lo que ocurrió con el brote de WannaCry, un ransomware que explotaba una vulnerabilidad en Windows para la cual Microsoft ya había lanzado un parche de seguridad que lo mitigaba, pero que requería que los usuarios actualicen sus sistemas para instalarlo. Sin embargo, debido a que muchos equipos no llevaron adelante la actualización sufrieron las consecuencias del ransomware.

Es importante tener presente que todo software es susceptible de necesitar actualizaciones de seguridad. A través de estas actualizaciones, los fabricantes añaden mejores a los productos, corrigen errores y reparan fallos de seguridad. En este sentido, contar con la última actualización podría evitar ser víctima de un intento de ataque que busque robar información y/o credenciales.

3. Contar un plan de respuesta a incidentes

Contar con plan de respuesta a incidentes implica tener herramientas para tratar de lograr recuperar el funcionamiento normal de una empresa en el menor tiempo posible, de forma que no se vea perjudicada la productividad; así como su imagen u otras consecuencias como las que puede surgir a partir de ser víctima un incidente de seguridad. En este sentido, esta herramienta que generalmente forman parte de un Sistema de Gestión de Seguridad de la Información, funciona como un lineamiento de los pasos a seguir para responder de manera adecuada en diferentes escenarios en los que los datos de una empresa estén en riesgo.

En el siguiente artículo, el investigador de seguridad de ESET, Camilo Gutiérrez, ofrece algunas recomendaciones que deberían tenerse en cuenta para mejorar el Plan de Respuesta a Incidentes.

Por otra parte, desde Academia ESET también se ofrece un curso online gratuito de gestión de respuesta ante incidentes de seguridad que será de ayuda.

4. Llevar adelante capacitaciones de seguridad

La capacitación es clave para evitar incidentes de seguridad, ya que el ser humano es el eslabón más vulnerable en toda la arquitectura de seguridad de una organización. Según datos publicados a fines de 2018 de un estudio realizado por IBM, el 95% de las incidencias en ciberseguridad se deben a errores humanos. Teniendo esto presente y las consecuencias para la productividad que puede tener para una organización sufrir un incidente de seguridad, es que la capacitación se convierte en un pilar clave para disminuir el riesgo a incidentes. Por lo tanto, ofrecer las herramientas a los colaboradores para que aprendan a reconocer las técnicas de engaño utilizadas por los cibercriminales, como son las técnicas de ingeniería social, contribuye a disminuir los riesgos.

5. Configurar los accesos según el principio de menor privilegio 

Tal como explicó el investigador en seguridad de ESET, Miguel Ángel Mendoza, la estrategia de limitar el acceso a lo que es imprescindible, conocido como el principio del menor privilegio, se apoya en la idea de otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad. De esta manera, dedicar tiempo y esfuerzo a este modelo reduce el grado de exposición a incidentes al reducir al mínimo posible los permisos de acceso. Sin embargo, se debe prestar atención a que esta limitación de los accesos no afecte las necesidades de cada profesional de la empresa, ya que podría afectar a la productividad de la misma.

Como conclusión, las acciones que tengan como objetivo la disminución de riesgos suponen una mejora para la productividad al reducir las probabilidades de que una amenaza atente contra el funcionamiento natural de la organización, aunque se deben llevar adelante de tal forma que las propias acciones no afecten de manera negativa la dinámica laboral.

Fuente: www.welivesecurity.com

Liferay, Inc., proveedor líder mundial de software empresarial Open source de portales y colaboración, hace públicas las que considera 5 Recomendaciones clave para optimizar el uso del software libre en los entornos empresariales actuales. El software libre, consolidado ya como alternativa de referencia, está presente, según el INE, en un 75% de empresas españolas y en el 90% de las administraciones públicas, y ofrece valores como la innovación y una armonía plena con las necesidades reales de los usuarios, lo que ha permitido su penetración en todos los sectores y mercados.

«Durante los últimos 10 años el uso del software libre ha tenido un crecimiento exponencial en los entornos corporativos hasta lograr la penetración en proyectos críticos y consolidarse como referencia. Pero mucha gente desconoce que existen una serie de recomendaciones muy sencillas que pueden ayudar a potenciar más si cabe las inversiones realizadas en el mundo Open Source», destaca Jorge Ferrer, vicepresidente de Ingeniería de Liferay y uno de los expertos más prestigiosos en software libre de nuestro país. «Valerse de las auditorías, propias o independientes, a la hora de evaluar un producto de software libre o comprobar la experiencia en el mismo de la empresas que aportan su know-how para construir un proyecto empresarial son sólo algunos de los consejos que se pueden seguir para potenciar todas sus ventajas».

Desde la fase de evaluación hasta ver completado un proyecto, Liferay destaca las siguientes recomendaciones clave para obtener el máximo beneficio cuando se están usando de base productos de software libre:

1. OBJETIVIDAD: Evaluar los proyectos de software libre en base a datos objetivos, conociendo la evolución del producto y su contribuidores, su nivel de colaboración y apertura, su ecosistema de servicios locales. Ya que esta modalidad de software da acceso a toda la información acerca del producto y es 100% auditable «las compañías han de valerse de ello para obtener todos los datos necesarios que les permitan evaluar si responde a sus necesidades», destaca Ferrer.

2. COMPROMISO: Si la empresa decide llevar a cabo su proyecto acompañada de un socio tecnológico, es recomendable buscar siempre empresas involucradas en el desarrollo del software libre, con la experiencia y el conocimiento suficientes para asistirles en el proceso. Identificar proveedores que entiendan el software libre y sus dinámicas de participación permite aprovechar mejor las libertades que proporciona.

3. CRECER CON EL PRODUCTO: Desarrollar el proyecto sin modificar el código fuente, de esta forma siempre podrán beneficiarse de las aportaciones de toda la comunidad a largo plazo y su mantenimiento será más sencillo. Y, si lo modifican, reportarlo para que retorne en beneficio de todos los usuarios del producto. Las mejoras comunes serán más útiles y siempre permitirán que las nuevas versiones de producto respondan a nuestros requerimientos.

4. INVERTIR EN FORMACIÓN Y EXPERIENCIA: Invertir en conocer los productos libres usados o rodearse de proveedores de confianza que realicen esta inversión. Al poder acceder al código fuente es más fácil y rápido conocer el potencial del producto y construir sobre el mismo. Sin embargo, también es fácil caer en la idea de que cualquiera puede resolver problemas en entornos críticos, tanto por la propia empresa como terceros. No es así: la formación, cercanía con el producto y su fabricante (cuando exista), experiencia en proyectos anteriores y contar con personal certificado se hacen indispensables para garantizar el éxito de los proyectos, tanto para la empresa como para sus proveedores.

5. CULTURA DE PARTICIPACIÓN: Participar con tareas simples que aporten beneficios rápidos a la empresa – como notificar potenciales bugs, aportar ideas, mejorar la documentación o contribuir con pequeñas mejoras- permite alinear la evolución del producto con nuestras necesidades. «La participación ayuda además a las empresas a atraer y mantener el talento, ya que los desarrolladores buscan compañías que ofrezcan una cultura abierta de desarrollo, al estilo de una comunidad, lo que genera un alto índice de fidelización», destaca Ferrer.

Asimismo, las empresas deben tener en cuenta al abordar cualquier proyecto de software libre que, si requieren soporte, la calidad del mismo es una nota reseñable. «Los tiempos en los que no había garantías para productos de software libre hace tiempo que pasaron; actualmente, es muy sencillo contar con una plataforma abierta y flexible con soporte de nivel empresarial 24×7».

«La realidad es- concluye Ferrer- que el software libre aporta beneficios a lo largo de todas las fases de un proyecto, desde la evaluación inicial hasta la etapa de evolución, facilitando el ahorro de costes y fomentando la innovación de un modo ágil, participativo y estandarizado».

Jorge Ferrer, bajo el título «Beneficios del software libre en entornos corporativos», expuso recientemente todo este argumentario en el transcurso de su presentación para LibreCon 2014, el evento de referencia centrado en la creación de negocio y empleo en todos los sectores de la sociedad a través de las tecnologías libres, la innovación y el emprendimiento. En esta edición participaron junto a Ferrer otros ponentes de alto nivel y casos de estudio de entidades como el grupo Santander, Ford, la Universidad Complutense de Madrid, Euskaltel o Amnistía Internacional, entre otros.

Fuente: www.somoslibres.org

La fecha esta marcada a fuego en el calendario de muchos administradores de sistemas de todo el mundo: 8 de abril de 2014.

A partir de ese día las empresas que sigan contando con Windows XP tendrán un problema, ya que de forma oficial Microsoft no publicará más actualizaciones ni parches de seguridad para el veterano sistema operativo. ¿Qué opciones tiene la empresa? O actualizar sus máquinas a una nueva versión de Windows (con el gasto que supone en licencias) o confiar en Linux.

Confiar en Linux tiene muchas ventajas: en la mayoría de los casos es un sistema operativo gratuito, es seguro, es software libre, es fácil de instalar y de utilizar, y en muchas de las necesidades que puede tener una empresa media, ofrece soluciones alternativas de calidad a los principales programas que la empresa utilizaba Windows XP. Dicho lo cual, si decidimos migrar nuestros sistemas a Linux, deberemos considerar lo siguiente: ¿Cuántos y qué ordenadores vamos a migrar? Cada empresa es un mundo y por supuesto, no es lo mismo una microempresa de cinco trabajadores que una pyme de cincuenta. Para decidir cuántos ordenadores y qué ordenadores vamos a migrar a Linux, debemos responder antes plantearnos las siguientes cuestiones:

¿Utiliza nuestra empresa una aplicación propietaria que no tenga equivalente en Linux? Y si es así, ¿En cuántos puestos de trabajo se está utilizando? ¿Tenemos posibilidad de remplazarla por una alternativa cloud? ¿Qué periféricos (impresoras, escáneres, webcams, etc.) estamos utilizando? ¿Son compatibles con Linux? En la mayoría de los casos Linux reconocerá automáticamente los periféricos, pero en realidad no tenemos la garantía al 100% de que será así.

¿Cómo trabajamos y cómo trabajan nuestros clientes? Una suite ofimática como LibreOffice sustituye en casi todo a Microsoft Office. Sin embargo si necesitamos trabajar con formatos propietarios como .docx tenemos que tener en cuenta que en los documentos más complejos la compatibilidad no será total (especialmente en una aplicación Excel). Una vez hemos respondido a estas preguntas, hacemos las siguientes recomendaciones.

Comenzar el despliegue poco a poco. En primer lugar a aquellos usuarios que hayan trabajando antes con Linux o que tengan ciertos conocimientos tecnológicos. Serán ellos los que tras ir probando que todo funciona bien, puedas actuar como formadores para el resto de compañeros. Si hay una aplicación que utilizamos de una forma muy puntual y que no es un “MUST” es nuestro trabajo diario, siempre podemos dejar Windows XP en una partición que utilicemos únicamente para esa aplicación. Si esa aplicación es importante pero sólo la necesitan algunos usuarios, podemos escoger actualizar esos equipos a Windows 7 y si lo queremos, mantener una partición para Linux.

Cómo pasar tu empresa Windows XP a Linux y no morir en el intento

¿Qué distribución vamos a escoger? Como vimos en “Las mejores distribuciones Linux para tu empresa”, la elección de la mejor distribución dependerá de nuestras necesidades. ¿Necesitamos una distribución para servidores? ¿Cómo vamos a desplegar las aplicaciones? ¿Necesitamos un entorno de colaboración? ¿Tenemos personal especializado o necesitamos soporte técnico?

Respondiendo a estas preguntas podríamos determinar que existe casi una distribución para cada tipo de empresa. Si en nuestra empresa por ejemplo únicamente necesitamos tener una solución ofimática, correo electrónico, acceso a Internet y alguna aplicación de contabilidad, distribuciones sencillas y amigables para el usuario como Ubuntu, es todo lo que vamos a necesitar.

Si nuestra empresa es algo más grande, necesita una buena adminitración IT, trabajamos con servidores para la gestión del correo electrónico, el intercambio de archivos, etc. puede que nos interese una distribución “más profesional” y con soporte técnico. Opciones como Suse Linux Enterprise o Red Hat no sólo nos planificarán la migración de nuestra estructura IT sino que nos ofrecerán el soporte que necesitamos.

La resistencia al cambio

Con todo, es probable que las mayores dificultades no las encontremos desde el punto de vista técnico, sino en los propios usuarios. El “esto no funciona como Windows”, “dónde está el botón inicio”, “no encuentro X”, “esto con Windows no me pasaba”, etc. se van a empezar a acumular. Para evitar en lo posible que se de esta situación, la clave está en la formación.

Como comentábamos antes, un despliegue masivo e inmediato sólo puede conducirnos al mayor de los fracasos. Empecemos con esas personas más curiosas por el mundo tecnológico. Cuando esas personas se hayan acostumbrado al cambio, organicemos charlas de formación en la que sean ellos los que expliquen a sus compañeros cómo funciona el nuevo sistema.

La formación tiene que basarse únicamente en lo que los usuarios necesitan conocer para su trabajo. Nadie (salvo los administradores IT) necesitan conocer los comandos de consola y probablemente nadie (aunque no estaría mal comentarlo) necesita conocer la filosofía en la que se basa el mundo GNU/Linux.

Hagamos sesiones cortas y enfocadas hacia la productividad. Cómo se utiliza el nuevo escritorio, cómo se gestionan los archivos, cómo se utiliza OpenOffice, el correo electrónico, etc. A las pocas semanas, todos los trabajadores se darán cuenta de que el cambio ha sido para bien y sin necesidad de invertir un dineral en nuevas licencias de Windows.

Fuente: muypymes.com