Schneider Electric se unió a alianza global de ciberseguridad.

Uno de los principales fabricantes de equipos de gestión de la energía y automatización, se unió a la recién conformada Alianza Global de Ciberseguridad o ISA.

Al reunir a empresas, proveedores de tecnología y sistemas, proveedores de infraestructura de TI, proveedores de servicios, integradores de sistemas y otras organizaciones, la Alianza abordará, de manera proactiva, las amenazas cibernéticas crecientes y emergentes.

Más información

#HablemosDeSeguridad

Vía @larepublica

Aumentan los ataques de spam y phishing enviados desde páginas web de empresas legítimas.

Los cibercriminales explotan cada vez en mayor medida los formularios de registro, suscripción o comentarios en los sitios web para introducir contenido de spam o enlaces de phishing en los emails de confirmación enviados desde empresas respetadas y fiables.

Más información

#HablemosDeSeguridad

Vía @CybersecurityES

Un consultor de ciberseguridad modifica su coche Tesla para transformarlo en un sistema de vigilancia rodante.

El modelo 3 de Tesla disponen de un Modo ‘Sentry’ («Centinela») que añade un plus de seguridad para aquellos usuarios que quieren conocer en todo momento lo que ocurre alrededor de su coche, recurriendo al sistema de cámaras del mismo para establecer un ‘perímetro de seguridad’ y poder registrar así cualquier agresión que sufra el vehículo.

Truman Kain ha querido llevar la idea un paso más allá, poniendo en marcha un experimento con el fin de ilustrar las ventajas y desventajas este usar esta tecnología.

Más información

#HablemosDeSeguridad

Vía @xataka

México es el país más ciberatacado… del mundo

El país rebasó a la India y Brasil como flanco de ciberataques y la mayoría de las víctimas son las empresas pequeñas y medianas.

México es el país más ciberatacado a escala mundial y prueba de ello fue el 82% de las empresas mexicanas que dijeron haber sufrido una vulnerabilidad durante 2018, de acuerdo con la encuesta más reciente de la firma de ciberseguridad Sophos, The Impossible Puzzle of Cybersecurity. La muestra de dicha encuesta se centró en 200 compañías mexicanas que admitieron un panorama poco seguro.

Más información

#HablemosDeSeguridad

Vía @ExpansiónMX

Rusia apuntó a los sistemas electorales en los 50 estados de EE. UU.

La infraestructura de votación en los 50 estados de EE. UU. probablemente fue infiltrada por la inteligencia rusa en los últimos años, según un nuevo informe del Comité de Inteligencia del Senado.

Investigadores del FBI y del Departamento de Seguridad Nacional (DHS) analizaron la actividad de las direcciones IP sospechosas descubiertas en 2016 y llegaron a la conclusión de que la actividad rusa estaba mucho más extendida que la de los 21 estados que se suponía que habían sido atacados.

«Los funcionarios electorales estatales, que tienen la primacía en la celebración de elecciones, no fueron suficientemente advertidos o preparados para manejar un ataque de un actor hostil del estado-nación».

Más información

#HablemosDeSeguridad

Vía @InfosecurityMag

Auditoría de seguridad de la información ¿estamos listos?

Por lo general, cuando escuchamos la palabra “auditoría” en nuestra empresa pareciera que es una palabra de terror debido a que en el entorno laboral una auditoría puede parecer algo intimidante cuando alguien ajeno a nuestro entorno evalúa si estamos haciendo algo bien. Así surge la incertidumbre de “pasar el examen”.

Una auditoría, por definición, es un proceso de negocio que se utiliza de manera formal para evaluar la calidad de la información en relación con los procesos de negocio y para conducir a la empresa hacia la mejora continua. La auditoría puede ser interna (realizada por un área dentro de la empresa) o externa (realizada por un tercero).

Quitarse el miedo

Una auditoría puede aportar más que perjudicar, ya que nos ayuda a mejorar y a entender las áreas de oportunidad de nuestras tareas. Por esta razón, hay que tomarla como un aporte laboral, es decir, es un elemento de ayuda que beneficiará el cumplimiento de nuestras funciones:

  • Alinear los objetivos a cumplir con las metas del negocio
  • Crear propuestas de mejora ante la detección de observaciones o no conformidades
  • Aumentar la productividad en términos de optimización de recursos físicos
  • Presentar más transparencia en los roles y funciones
  • Tener la posibilidad de obtener una certificación

El peor escenario es el incumplimiento. Por fortuna, una de las tareas de la auditoría es señalar en dónde se encuentra la falla y, por consecuencia, está deberá arreglarse para que en un futuro los resultados de la auditoría sean positivos.

¿Auditoría interna o auditoría externa?

Una auditoría interna tiene como objetivo comprobar el cumplimiento de las metas y objetivos de las prácticas y procesos de negocio dentro del entorno organizacional, el cual está conformado por personal de la misma empresa y que, hasta cierto punto, genera un ambiente más relajado, ya que los hallazgos que pudieran ser detectados son tratados como áreas de oportunidad.

La auditoría externa, a diferencia de la interna, provee una revisión más exhaustiva, profesional y sistematizada de las prácticas y procesos que exige una norma o un estándar de calidad. Esta auditoría es realizada por personal independiente a la empresa y está predefinida con una serie de revisiones obligatorias que permiten detectar debilidades o incumplimientos en su aplicación para lograr la obtención de un certificado o reconocimiento de cumplimiento. Por lo tanto, una auditoría externa contará con 3 fases principales:

Figura 1. Fases de una auditoría

A continuación, se presentan algunas recomendaciones que podrás llevar a cabo en cada una de las fases en caso de una próxima auditoría.

Recomendaciones para la planificación

  1. Realizar una revisión previa de cada uno de los procesos o sistemas que están proyectados para evaluarse.
  2. Entender y conocer cuál es el objetivo de la auditoría (una certificación, recertificación, revisión, etc.).
  3. Entablar canales de comunicación entre las áreas o recursos involucrados en la auditoría con el fin de presentar información que esté relacionada y sea coherente.
  4. Repasar lo que se va a mostrar. No debemos permitir que durante el procedimiento de la auditoría aparezca una falla, información inconsistente o no prevista.
  5. No hacer ajustes de último momento, ya que esto puede afectar los documentos probatorios de otras áreas o recursos; es por esto que se debe prevenir este tipo de incidente en la fase de planificación.
  6. El respaldo de información es crítico previo a la auditoría.

Recomendaciones para la ejecución o realización de la auditoría

  1. Se deberá mostrar únicamente lo que el auditor solicite. Mostrar más puede propiciar la apertura a más preguntas y una solicitud de documentos probatorios, mostrar menos puede ser un indicativo de incumplimiento para el auditor.
  2. Mismo caso en las respuestas; responder de forma directa a la pregunta. Al extenderse en la respuesta o no ser conciso, el auditado puede ser más propenso a extender el tiempo de la auditoría.
  3. Pareciera irrelevante, pero mostrar seguridad durante el proceso puede incrementar la probabilidad de éxito en los resultados de la auditoría. Si existieran equivocaciones (como presentar datos erróneos en documentos probatorios o información), lo más recomendable es buscar una oportunidad para corregir el error con una actitud de confianza.

Recomendaciones en la revisión del informe y plan de acción

  1. Es importante tomar nota de las observaciones que haga el auditor al final de la auditoría.
  2. Si existen objeciones, se deben emitir de manera clara y objetiva teniendo a la mano los documentos que las justifiquen. En caso de ser rechazadas, lo mejor es permitir que el auditor concluya la sesión y solicitar una audiencia privada; esto permitirá un aumento en la probabilidad de éxito.
  3. Posterior a la emisión de resultados, es importante convocar una sesión de lecciones aprendidas para revisar los resultados y elaborar los planes de acción que permitan cumplir o mejorar los procesos o prácticas auditadas

Finalmente, una auditoría evalúa a los empleados como una unidad, como una empresa y el resultado de la misma es directamente proporcional al esfuerzo de un trabajo en equipo. Por lo tanto, independientemente de una certificación, el resultado es la obtención del valor y la calidad de los procesos de negocio para entregar servicios de calidad.

Por Diana Cadena

Usuarios remotos en el entorno corporativo.

Las relaciones laborales van cambiando con el tiempo, hoy en día vemos como se extiende el trabajo remoto, y no solo para perfiles comerciales que tradicionalmente no tienen presencia continua en la oficina, sino también en muchos otros puestos a medida que cada vez más empresas permiten a sus trabajadores trabajar de forma remota.

Para poder trabajar de forma remota los trabajadores utilizan dispositivos móviles y acceden a datos compartidos y aplicaciones de forma remota. Estos accesos remotos cambian la forma en la que las empresas se organizan y la forma en la que hay que vigilar la seguridad.

Más información

#HablemosDeSeguridad

Vía @CybersecurityES

Vulnerabilidad en las máquinas de anestesia permite ajustar la composición de la mezcla de gases.

El nivel de composición de las sustancias anestésicas puede diferir de un paciente a otro dependiendo de sus condiciones médicas. Este nivel de composición se gestiona mediante procedimientos y protocolos que aseguran la dosis correcta para cada individuo. Sin embargo, la vulnerabilidad permite que un atacante permita que el dispositivo utilice una versión menos segura de los protocolos.

Más información

#HablemosDeSeguridad

Vía @cyware

Por qué un software obsoleto puede poner en riesgo nuestros datos.

Los ciberdelincuentes adoran los sistemas y programas desactualizados por las múltiples vulnerabilidades que presentan. Vendedores como Microsoft emiten actualizaciones con regularidad y paquetes de software a sus sistemas operativos y aplicaciones para bloquear esas vulnerabilidades, pero mucha gente las ignora, lo que supone exponer los archivos, datos personales, vídeos o fotografías que pueden ser robados o dañados.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES