The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for August, 2014

  Top 5 de riesgos para la privacidad que debes conocer


ESET Latinoamérica – Laboratorio by Camilo Gutiérrez Amaya 
 

Si por un momento nos detenemos a pensar cómo ha evolucionado la forma en que compartimos nuestra información, los más clásicos nos remontaremos a los disquetes y CDs y aquellos más jóvenes seguramente recuerden los dispositivos USB o incluso solamente han compartido información a través de Internet. Son estos cambios, que además cada vez son más acelerados, los que generan una serie de riesgos y amenazas.

La evolución de la forma en que interactuamos en la red y compartimos nuestra información, ha cambiado la expectativa de privacidad de nuestros datos en Internet. Con el solo hecho de abrir un perfil en una red social, tener una cuenta de correo electrónico, hacer compras en línea o una simple búsqueda en Google ya vamos dejando rastros en Internet.

El primer nivel de defensa que debemos adoptar es ser conscientes de cuáles son lasamenazas que nos pueden llegar a afectar para tomar las medidas de protección más adecuadas. Si bien son muy diversos los riesgos que pueden llegar a afectar la privacidad de nuestra información, queremos compartir el top 5 de los riesgos que tienen una mayor posibilidad de afectarnos:

#5: Robo o pérdida de dispositivos

Tal vez la más clásica de las amenazas que puede afectar la privacidad de nuestros datos. Desde que manejábamos disquetes para compartir nuestros archivos o un CD para almacenar fotos y videos, el hecho de que estos se puedan perder y nuestros datos queden expuestos ha sido un riesgo latente. Los dispositivos de almacenamiento actuales tales como USB o discos duros externos sumados a smartphones y tablets con gran capacidad de almacenamiento hacen de este riesgo algo mayor.

Para muchos la idea de perder sus fotografías, videos, archivos personales y laborales por la pérdida de su dispositivo es una idea escalofriante y bastante presente. Así que adoptar medidas preventivas como el cifrado de los datos para que nadie pueda ver nuestra información o hacer copias de seguridad nos van permitir estar más tranquilos y protegidos contra estas amenazas.

#4: Nuestra información en manos de terceros

Cuando subimos nuestros archivos a la red, dejan de estar bajo nuestra gestión. La seguridad de nuestros datos pasa a ser gestionada por un proveedor que en la mayoría de los casos ofrece el servicio de forma “gratuita”. Pero el precio que pagamos al entregar nuestra información es una cuestión que deberíamos tener presente.

No debemos dejar de lado el hecho de que muchos de estos proveedores, a cambio de sus servicios, utilizan nuestros datos para compartirlos con terceros y de esta forma ofrecernos productos y servicios de acuerdo a nuestros hábitos. Además de esto es importante verificar cuáles son las condiciones de privacidad que nos garantizan las redes sociales y servicios que utilizamos. Tener conocimiento de cómo manejan nuestros datos y hacer un uso adecuado de las configuraciones de seguridad puede ser la diferencia para no ver nuestra imagen comprometida en la red.

#3: Campañas de Ingeniería Social

Internet es un gran ecosistema en el cual convive una gran cantidad de usuarios con diferentes niveles de conocimiento al respecto de cómo se utiliza la red. Son estas falencias en la forma en que nos manejamos en la red lo que hace que las campañas de Ingeniería Social hoy en día sigan teniendo una gran tasa de éxito para los atacantes.

Seguramente para los que conocemos de seguridad, este tipo de amenazas no representen una amenaza real e incluso puede ser que las veamos como algo ridículo. Pero hay que recordar que no todos los usuarios tienen el mismo nivel de conocimiento; por esta razón que te invitamos a que compartas lo que sabes sobre seguridad con la mayor cantidad de personas para cerrar la brecha a este tipo de amenazas.

#2: Códigos maliciosos

Códigos maliciosos que llegan por correo electrónico, se descargan en sitios web o a través de dispositivos de almacenamiento externo siguen siendo una de las principales amenazas para la privacidad de nuestra información. Desde malware que monitorea toda nuestra actividad hasta aquel que roba fotos, videos e incluso contraseñas y números de tarjeta de crédito, hacen parte del gran arsenal con que cuentan los cibecriminales y que están buscando utilizar para vulnerar nuestra privacidad.

De acuerdo a las actividades que realicemos en nuestra computadora vamos a estar más o menos expuestos antes este tipo de amenazas y a menos que no nos conectemos a Internet y no utilicemos dispositivos de almacenamiento externo (lo cual hoy por hoy no tiene mucho sentido), contar con una solución de seguridad va a darnos esa barrera de protección adicional que necesita nuestros datos.

#1: Mal uso de la tecnología

La gran cantidad de funcionalidades de conectividad que tienen los dispositivos facilitan muchas de nuestras actividades. Pero el uso inadecuado de estas características también puede poner en riesgo nuestra información. Por ejemplo, conectarse a una red Wi-Fi insegura, no gestionar las características de geolocalización o no actualizar las aplicaciones que utilizamos pueden convertirse en una brecha de seguridad que termine afectando la privacidad de nuestros datos.

Conocer cuáles son las amenazas y hacer un uso consciente de la tecnología nos va a garantizar un alto nivel de seguridad de nuestra información personal. Ser prudentes en el uso de la tecnología y en cómo compartimos nuestra información definitivamente marca la diferencia para estar tranquilos con nuestra privacidad.

Créditos imagen: ©Josh Hallet/Flickr

El post Top 5 de riesgos para la privacidad que debes conocer aparece primero en We Live Security en Español.

Advertisements

Vulnerabilidades: ¿qué es CVSS y cómo utilizarlo?

En el contexto de la seguridad de la información, una vulnerabilidad se define como una debilidadque se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad.

En este sentido, la seguridad se enfoca en reducir los riesgos a un nivel que resulte aceptable, razón por la cual una de las actividades a las que se recurre con frecuencia consiste en identificar y evaluar debilidades asociadas a las plataformas de software y hardware, con la intención de evitar la materialización de eventos indeseados e inesperados.

En un ambiente donde los riesgos se encuentran en constante cambio, las amenazas son dinámicas y los recursos son limitados, resulta fundamental priorizar la aplicación de medidas de seguridad, luego de identificar las vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y los criterios que permitan transformar los datos obtenidos en información.

Un elemento que aborda esta problemática y que ha sido adoptado por una cantidad importante de organizaciones y compañías enfocadas en seguridad, es Common Vulnerability Score System (CVSS).

¿Qué es CVSS?

Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permiteestimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades. Actualmente se utiliza la versión 2, aunque la tercera ya está en desarrollo.

CVSS se encuentra bajo la custodia de Forum of Incident Response and Security Teams (FIRST), pero se trata de un estándar completamente abierto, por lo que puede ser utilizado libremente.

Resulta común identificar el uso de CVSS en bases de datos de vulnerabilidades públicamente conocidas como National Vulnerability Database (NVDB), Common Vulnerabilities and Exposures(CVE) u Open Source Vulnerability Database (OSVDB).

¿Cómo se calcula el impacto con CVSS?

Al entender qué es CVSS, para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y 3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando el puntaje cae dentro del rango 7.0 y 10.0.

Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas: base, temporal y de entorno, cada una se conforma a su vez de un conjunto de otras métricas, como lo veremos a continuación.

  • Las métricas base representan las características intrínsecas a la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. Incluyen las métricas de vector de acceso, complejidad de acceso y autenticación, de manera que permiten definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada.La severidad de las tres métricas mide la manera en la que una vulnerabilidad, si se explota, afecta de forma directa a los activos de TI. Los impactos se determinan de manera independiente, como el grado de pérdida de confidencialidad, integridad y disponibilidad, ya que una vulnerabilidad podría causar pérdida parcial de integridad y disponibilidad, pero tal vez no afecte la confidencialidad.
  • El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo, pero que son constantes en el ambiente de un usuario.Debido a que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo del tiempo, se consideran tres factores que influyen en ello: confirmación de los detalles técnicos de la vulnerabilidad, el estado de remediación y la disponibilidad del código o técnicas que permitan la explotación. Estas métricas son opcionales e incluyen un valor que no afecta a la evaluación cuando un usuario cree que la métrica en particular no existe y quiere omitirla.
  • Las métricas de entorno corresponden al tercer grupo y representan las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular.Se definen debido a los distintos ambientes que pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. Este grupo de métricas se enfoca en las características de una vulnerabilidad asociadas al entorno del usuario. Incluyen el daño potencial colateral, distribución de objetivos y los requisitos de confidencialidad, integridad y disponibilidad.

El siguiente esquema resume estos conceptos:

metricas
Al igual que las métricas temporales, son opcionales y cada una tiene un valor sin efecto en la evaluación, el cual es utilizado cuando un usuario considera que la métrica en particular no existe y la omite.

Cuando se asignan valores a las métricas, la ecuación calcula una puntuación de 0 a 10 y crea una cadena de texto (vector) con dichos valores asignados, que es utilizada para comunicar la forma en que se generó cada puntuación de la respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto la calificación de la vulnerabilidad.

De manera general, el grupo de métricas base pretende definir y comunicar las característicasfundamentales de una vulnerabilidad, para otorgar a los usuarios una clara e intuitiva representación de una vulnerabilidad.

Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas cuando se trata de mitigar los riesgos derivados de las vulnerabilidades. Para poner en práctica el método que se ha descrito, los usuarios pueden hacer uso la calculadora CVSS.

Beneficios de utilizar CVSS

Las ventajas de utilizar el método definido con CVSS son diversas, principalmente, se utilizan puntuaciones de vulnerabilidad estandarizadas, lo que permite crear criterios consistentes para la gestión de vulnerabilidades.

También, al utilizar un marco abierto es posible conocer las características individuales de la vulnerabilidad, que son utilizadas para obtener la puntuación. Finalmente, cuando se calcula la puntuación la vulnerabilidad se vuelve representativa del riesgo en una organización, por lo que los usuarios conocen la importancia de una vulnerabilidad con relación a otras. Esto se traduce en una priorización consciente de las medidas de seguridad que se desean aplicar.

Créditos imagen: ©Steve Snodgrass/Flickr

El post Vulnerabilidades: ¿qué es CVSS y cómo utilizarlo? aparece primero en We Live Security en Español.

 
 

Visit Website