Hablando de TI

Etiqueta: empresas

  • ¿Es suficiente la seguridad digital de su empresa?

    ¿Es suficiente la seguridad digital de su empresa?

    La seguridad digital actual es un tema realmente complejo que ha superado con creces el enfoque tradicional. Las empresas hoy día están expuestas a ataques que pueden extraer información sobre sus clientes, propiedad intelectual o incluso causar daños físicos, por lo que se impone que las empresas e individuos adopten nuevas estrategias para protegerse

     

    La seguridad digital de empresas e individuos es actualmente algo muy diferente a lo que solía ser. Los enfoques tradicionales, basados en aislamiento de sistemas, contraseñas, usuarios y potentes firewalls no parece ser suficiente. Los ataques modernos ocurren de diferentes maneras: la ingeniería social se combina con la tecnología más avanzada, incluso con BigData, para realizar nuevos ataques que obligan a las instituciones a tener que considerar nuevos paradigmas.

     

    Los daños traspasan el ámbito digital

    Un ataque cibernético causó daños en una acerería en Alemania, según se vio en un reporte liberado a finales del año pasado. No se trata del primero en su estilo –basta con recordar a Stuxnet, desarrollado por los gobiernos de USA e Israel para afectar las fabricas enriquecedoras de uranio en Iran—y estuvo basado en el mismo principio: la manipulación de un sistema de control interno, que no cuenta con ningún tipo de protección avanzada contra la intromisión.

    El ataque fue realizado de manera bastante tradicional: envío de correos electrónicos infectados a personal de la fábrica, para buscar que estos abrieran los correos desde PCs conectadas a la red interna, desde donde avanzaron para controlar los sistemas internos de producción. El daño al parecer provino de el malfuncionamiento de los sistemas, que causaron que algunos componentes trabajaran fuera de sus límites de seguridad.

    Esto es parte del panorama aterrador al que nos enfrentamos, y el ataque en Alemania sólo parece ser el anunció de una época –temible y terrible—que puede estar por suceder.

     

    Los datos de los usuarios: el “target” más apreciado

    En la pasada navidad las redes de juego en línea de Sony y Microsoft sufrieron importantes ataques. Los ataques sufridos por ambas empresas lograron sacar de línea los servicios que ofrecen a los cientos de millones de suscriptores, 110 en la red de Sony y 48 millones en la red de Microsoft.

    Un grupo de hackers conocidos como Lizard Squad –el Escuadrón Lagarto—se atribuyó el ataque. Este grupo se había atribuido con anterioridad otros ataques contra la plataforma de Sony, aunque no hay evidencia sólida que permita saber si en realidad se trata del mismo grupo.

    Este ataque ha tenido como resultado el que los millones de suscriptores de ambas plataformas no pudieran conectarse a los servidores centrales de cada plataforma. Al parecer se trató de sencillo ataques DDoS (Denegación de servicio) que son bastante complicados de resolver.

    Sony acababa de sufrir un ataque a sus servidores donde se supone se perdieron una gran cantidad de datos. Justo antes del planificado estreno de la película titulada “The Interview” la empresa recibió gran cantidad de amenazas de posibles ataques al punto de suspender su estreno. La película tiene una trama basada en un complot para asesinar al líder de Corea del Norte, Kim Jongun, y las amenazas se supone provinieron de piratas informáticos ubicados en ese país.

    Y en este tipo de ataques nadie está a salvo. El gobierno de EUA sufrió este año una brecha de seguridad masiva, que expuso a más de cuatro millones de empleados del gobierno federal, y los obligó a desviar y cerrar gran parte del tráfico web hacia las instituciones comprometidas, que son prácticamente todas las agencias del país, durante más de un día. Las oficinas de recursos humanos de la mayoría de las agencias gubernamentales de EUA fueron atacadas y los datos personales de los empleados vulnerados.

    Desde hace tiempo China –país que se supone fue el anfitrión del ataque– controla el acceso a la Internet con su “Gran Muralla de Fuego: o “The Great Firewall” como se le conoce. Este cortafuegos gigante filtra todas las peticiones web de China hacia fuera y solo deja pasar las que están autorizadas. Pero recientemente el gobierno chino empezó a usarla para modificar las peticiones de páginas dentro de China. Allí cambiaba el código para incluir comandos propios en las páginas, que ha usado para atacar sitios web que buscan evadir la censura china en Internet, principalmente, pero que pueden ser utilizados para atacar cualquier sitio web en general.

    Más recientemente el sitio para Adultos conocido como Ashley Madison sufrió un ataque en el que se comprometieron los datos de 37 millones de usuarios, que acaba de ser publicada en la web –unos 10GB de datos y que están dando mucho de que hablar. Ya sea que el ataque se originó por no estar de acuerdo con el sitio, o para intentar lograr beneficios económicos que no se dieron –probablemente intentando chantajear a la compañía—este tipo de ataques revela un nuevo tipo de comportamiento malvado que requiere cambiar la forma de funcionar de las empresas

    seguridad-office

    ¿Estamos entonces indefensos?

    La realidad parece aplastante, pero no necesariamente lo es. Ataques como los de Sony Microsoft o Ashley Madison, podrían limitarse –o al menos mitigar sus consecuencias—al usar bases de datos encriptadas, un paso adicional que pocas empresas asumen actualmente.

    Algunas empresas que proporcionan soluciones de seguridad apuntan a herramientas de última generación –incluyendo BigData y Analítica—para poder contrarrestar los nuevos tipos de ataques, cada vez más sofisticados.

    Sin embargo no se puede pasar por alto que muchos de los ataques que ocurren se originan dentro de las líneas de defensa de la empresa por culpa de la poca precaución de los usuarios y el uso de herramientas de ingeniería social por parte de los atacantes.

    Así que la combinación de una política de seguridad completa y coherente por parte de la empresa, contar con herramientas de protección –firewalls, antivirus, administradores de dispositivos móviles y sistemas de detección de intrusos, entre otros—y la educación de los usuarios para que eviten conductas que los expongan, terminan mejorando la seguridad de la empresa enormemente.

    La implementación de sistemas de doble autenticación al momento de ingresar a la red corporativa, el uso de redes privadas virtuales (VPN) y el mantener la información encriptada todo el tiempo son algunas de las recomendaciones más efectivas.

    Conversando con el CIO de una reconocida empresa de manufactura venezolana –que no quiso declarar abiertamente— confesó que una de las vulnerabilidades que más preocupan a las empresas de su área son aún los viejos sistemas de control de maquinarias, que están generalmente conectadas a la red interna de la empresa y por ende, a un paso de la Internet. Sin embargo al preguntarle sobre el impacto de los hábitos de los usuarios se vio forzado a aceptar que “ellos son los que causan los mayores problemas, especialmente cuando conectan los equipos que traen de su casa”. La preocupación del CIO por el negocio es clara, intentando proteger la infraestructura de producción, pero a la larga su mayor problema han sido los usuarios poco conscientes.

    Otro aspecto que influye notablemente sobre la seguridad es la dificultad para adquirir nuevas tecnologías que tienen algunos mercados de la región como Venezuela y Argentina que experimentan controles de convertibilidad de moneda que no solo limitan la disponibilidad de equipos, sino que también terminan inflando los precios de los mismos y frenando las actualizaciones de sistemas operativos y software en general.

    Denise Giusto, Investigador de seguridad de Eset Latinoamérica, destaca que de acuerdo a las cifras recolectadas por el Laboratorio de Investigación de ESET para la región, durante 2014 se registró un incremento de 65% más vulnerabilidades a los equipos en comparación a hace 5 años. “En lugar de reducirse los índices de debilidades en los sistemas con el paso del tiempo y el avance de la tecnología, está sucediendo todo lo contrario porque los usuarios no están haciendo uso correcto de los aplicativos de seguridad”, explicó. Otra explicación posible es que equipos antiguos equipados con sistemas operativos caducos, como Windows XP que ya no cuenta con soporte, así como el uso de antivirus gratuitos, en lugar de soluciones de seguridad completas, que contemplan otras aristas del problema.

    Giusto es enfática al señalar que “el primer rasgo de un empleado seguro es estar consciente de la seguridad y abogar porque su empresa cuente con los recursos necesarios para desarrollar políticas de seguridad adecuadas” afirma la investigadora, que señala que en muchas empresas las preocupaciones por la seguridad digital son menospreciadas hasta que sufren un primer incidente.

    Al final, una empresa no puede ser segura si sus empleados no sienten que la seguridad sea una prioridad para la empresa, en especial los ejecutivos, que son los que terminan definiendo las grandes líneas de acción de la organización.

    Por tanto la idea es, estimado usuario, que no estemos hablandodeti, ni de tu empresa, la próxima vez que desde este blog relatemos una brecha de seguridad.

     

     

     

     

     

  • Microsoft compra a Elop, perdón, a Nokia

    Microsoft compra a Elop, perdón, a Nokia

    elop
    El anuncio puede agarrar por sorpresa a muchos, porque no se sabía cuando ocurriría, pero no porque no se imaginaran el movimiento. Cuando hace poco hablaba de la posibilidad de la venta de Blackberry advertía que a Microsoft sólo le serviría para comprar marketshare y que sería una mala operación, pues al fin, Windows Phone está despegando. Y esta compra complica las cosas más a Blackberry, pero al mismo tiempo la convierte en la empresa de movilidad “comprable” más atractiva.

    De hecho Microsoft hace rato que selló la compra de Nokia, desde que Elop, el presidente de Nokia venido de las filas de Microsoft, decidiera botar por la borda Symbian, MeeGo y cualquier otro sistema para favorecer a Windows Phone. En aquel entonces pareció que Elop jugaba demasiado a favor de Microsoft. Hoy queda claro que Elop hizo una pasantía de alto nivel, la más cara en la historia de las TI, para volver ahora a Microsoft, quizás a reemplazar a Ballmer. Si tal como lo leen. Ballmer, actual presidente de Microsoft, lo dijo claramente hace unos días: dejará su cargo para que en esta época de movilidad, un ejecutivo mejor adaptado a los dispositivos móviles lleve las riendas de la empresa. Elop no sólo se ha especializado en móviles, sino que mientras estuvo en Microsoft llevó adelante varias responsabilidades, incluyendo manejar la unidad de negocios de Microsoft, siendo el jefe máximo de los desarrollos de Office y Dynamics, por citar dos productos exitosos.

    Es un paso lógico, y serio en esta reestructuración que acaba de emprender Microsoft. Ellos ganan un negocio que está creciendo, el de los Windows Phone, y una marca de reputación, al tiempo que recuperan un ejecutivo importante y se abren a nuevos negocios, el de los mapas y el de la música, por ejemplo, con herramientas maduras y que, en el caso de los mapas, son consideradas las mejores del mercado.

    Este movimiento dará pie, sin duda, a más de un post en este blog, donde se sigue con interés los reacomodos de la industria. Así que seguiré pronto hablandodeti, Microsoft y de tus movimientos estratégicos.

  • Movilidad como parte fundamental de las empresas

    Movilidad como parte fundamental de las empresas

    Desde hace ya algunos años hemos visto como la movilidad está afectando a las empresas. Esta corriente que si se quiere empezó de manera tímida, realmente despegó con el iPad, el primer dispositivo que brindaba una pantalla lo suficientemente grande para que “todos” los procesos de la empresa pudieran verse en el de manera adecuada.

    Por supuesto que son muchos los factores a tener en cuenta para que esto halla ocurrido: el avance de la virtualización, el software como servicio, la arquitectura web, etc, Todas estas tecnologías debieron alcanzar grados de madurez muy altos ara configurar la realidad actual, donde prácticamente todos los procesos de la empresa pueden ser pensados como móviles –pronto se tratara de un deber, más que de una simple posibilidad optativa.

    Recién regreso de una conferencia de Infor, un proveedor de ERP que adquirió tecnología móvil y se alió con Salesforce.com para brindar colaboración móvil. Hoy IBM anunció una serie de herramientas para desarrollar herramientas de negocio en múltiples plataformas móviles de una sola vez. Ya se había adlenatdo SAP copn la compra de Sybase, y son innumerables las iniciativas d eotras empresas. La movilidad llegó para quedarse en el mundo empresarial. ¿Pueden ustedes concebir un CEO de una empresa que viaje sin una iPad, o alguna otra tableta? ¿que no tenga un iPhone, Blackberry o Android? ¿Que no lleve en su maletín una portátil –o más bien una “ultrabook”—para conectarse desde lejos?

    El ejecutivo de hoy usa todo tipo de gadgets móviles y por ende presiona a los departamentos de TI para que los soporten. Los CIO deben dejar de perder su tiempo viendo como “frenar” el uso de estos dispositivos, y más bien pensar como los incorporan en lo que ya tienen.

    Los demás ejecutivos de la empresa, deben estar pensando cuales de sus procesos se benefician más de la movilidad, y cuáles los benefician más a ellos, si los pueden acceder desde afuera de la empresa. Pronto, la opción móvil de cualquier aplicación o sistema tendrá que ser parte integral de la aplicación. Las empresas como Citrix, que proveen de ambientes virtualizados a las empresas, deberán afrontar este reto en un primer lugar, pero pronto serán las propias aplicaciones empresariales quienes deberán soportarlo. Seguro vendrán algunos estándares al respecto pronto.

    En fin, lo importante es recordar, al momento de definir una estrategia de TI que importancia tendrá el factor movilidad, y cómo se puede incorporar desde el mismo inicio a la solución. Así , al momento en que los ejecutivos vengan a pedir que les brinden soporte para poder acceder a los sistemas de la empresa desde su teléfono inteligente o tableta, ya la empresa tenga una política definida al respecto.

    Al final se trata de poder estar hablandodeti, o trabajando para ti, desde cualquier parte, en cualquier dispositivo.

  • Empresa confiable, negocio confiable

    Empresa confiable, negocio confiable

    La Universidad Canergie Mellon, a través de su laboratorio CyLab, realizó un estudio patrocinado por RSA, donde se encuestó a 2.000 ejecutivos de empresas de clase mundial, sobre las prácticas de gobernabilidad de seguridad digital, y se encontró que estos aún no le están prestando la debida atención a los riesgos cibernéticos.
    Jody Westby, director general de riesgo mundial del CyLab y enargado de realizar este estudio por tercera vez aseguró que “La privacidad y seguridad son cuestiones de competitividad y las empresas que marcan la pauta de un “lugar de trabajo confiable” con los empleados, también transmiten el mensaje de un “negocio confiable” en el mercado. Un gobierno efectivo mejora la rentabilidad a través de mitigar riesgos y pérdidas asociadas con los costos de cumplimiento, tiempo de inactividad operativa, cibercrimen y robo de propiedad intelectual.”
    Entre los hallazgos más importantes del estudio, destaca que los directorios ejecutivos no suelen estar involucrados ni comprometidos con los mecanismos de supervisión más importantes, incluyendo establecer las políticas “top” de seguridad, determinar el enfoque y el alcance del concepto de privacidad dentro de la organización, ni siquiera en la elaboración del presupuesto de seguridad, un aspecto fundamental para el desarrollo de las políticas de seguridad. De hecho el 54% de los encuestados no revisa y aprueba nunca, o lo hace muy esporádicamente, el presupuesto anual de seguridad y privacidad. Incluso el 58% de los encuestados comentaron que sus juntas directivas no están revisando la cobertura de sus seguros relacionados con riesgos cibernéticos.
    Los invesitgadores de Carnegie Mellon concluyen su informe con una serie de recomendaciones para que las organizaciones mejoren sus políticas de seguridad y aumenten la gobernabilidad sobre las mismas, que a continuación copio textualmente del comunicado de prensa en español.
    · Establecer la “pauta adecuada para la dirección” de privacidad y seguridad a través de políticas de nivel superior.
    · Revisar roles y responsabilidades de privacidad y seguridad para garantizar que hayan sido asignadas a profesionales calificados de tiempo completo de alto nivel, al igual que el riesgo y la responsabilidad son compartidos a través de la organización.
    · Asegurar el flujo regular de información a la alta dirección y consejos sobre riesgos de privacidad y seguridad, incluyendo incidentes y brechas cibernéticas.
    · Revisar los presupuestos de TI anuales para privacidad y seguridad, de manera separada que el presupuesto del Director de TI.
    · Llevar a cabo revisiones anuales del programa de seguridad empresarial y efectividad de controles, reexaminar los resultados y garantizar que las brechas y deficiencias sean atendidas.
    · Evaluar la conveniencia de la cobertura del seguro cibernético contra el perfil de riesgo de la organización.
    Les recomiendo revisar la “encuesta 2012 Carnegie Mellon Cylab Governance”. Quién sabe si al comentar los datos encontrados, estén también hablandodeti y de tu organización.

  • Una historia de la web 2.0: Y el empleado del año es…El Gerente de Comunidad

    Una historia de la web 2.0: Y el empleado del año es…El Gerente de Comunidad

    La compañía decidió que necesitaba un Gerente de Comunidad, y en seguida el departamento de Recuso Humanos redactó un aviso de periódico que decía: se busca Gerente de Comunidad, Requisitos:…. y allí se quedaron por horas pensando que actitudes requiere un Gerente de ese estilo. Para empezar en el departamento de RRHH no saben de que se tiene que haber graduado para optar por el cargo. Es más ni siquiera saben que comunidad es la que debe gerenciar, así que envían a presidencia un escueto memo que dice: por favor definir los atributos del nuevo gerente.

    Una semana después llega la respuesta: apasionado, organizado, de buen talante, que sepa convencer a las personas, culto, educado, que conozca nuestro negocio, que conozca las responsabilidades de cada uno dentro de la empresa para poder canalizar las inquietudes de los clientes. Debe además conocer y manejar el plan de negocios de la empresa, respetar las directrices comunicacionales, tener muchos amigos influyentes y estar dispuesto a trabajar sobretiempo y fines de semana. Por ser un cargo nuevo no disponemos de un presupuesto exagerado, así que tendrá que aceptar trabajar por un salario modesto, hasta que su trabajo genere ganancias importantes.

    Una semana más tarde RRHH contesta: la posición de Gerente de Comunidad ha sido cubierta con un empleado existente, seleccionado por nuestro programa de RRHH tomando en cuenta los requisitos exigidos. ¡El cargo deberá ser ocupado por usted, señor presidente!

    Y es así cómo el Gerente de Comunidad, llegó a ser también el empleado del año en la organización.

    Esta historia la escribo para complacer a un amigo que me preguntó como una empresa pequeña suele escoger su comunity manager. Pocas son las que se dan cuenta de que al escoger un Gerente de Comunidad, lo que realmente están haciendo es escoger a quien va a estar hablandodeti frente a tu comunidad de usuarios.

  • ¿Qué si tengo twitter? No, pero… ¡ya estoy en eso!

    ¿Qué si tengo twitter? No, pero… ¡ya estoy en eso!

    En las mañanas y mientras voy en mi carro de un lado al otro de la ciudad, quizás dirigiéndome al trabajo o saliendo de alguna entrevista, suelo escuchar en la radio varios programas de los que se conocen como revistas, por tener una gran variedad de secciones. En uno de ellos un par de buenas periodistas se dedican a preguntarle a cuanto entrevistado se les atraviesa si ya tiene twitter y facebook. La mayoría suele tener presencia en alguna de las redes sociales y dan con gusto esos datos o sus correos electrónicos para que los posibles clientes los contacten. Pero hay un grupo especial –nada insignificante en número—qué suele contestar: No tengo twitter, pero ya estoy en eso. Y cómo una cuenta de twitter se crea en sólo 5 minutos, sin necesitar ayuda de expertos, comprenderán que lo único que una frase así demuestra es un desconocimiento total.

    Esa frase en sí misma encierra tanto que es digna de estudio. Que no tenga cuenta de twitter, ni comprenda de que se trata esa red social es más que comprensible. Pero la frase –pronunciada así, tan temerariamente—encierra no sólo desconocimiento de la plataforma, sino también una ignorancia tal –que mezclada con la arrogancia implícita—puede causar mucho daño a la imagen de quién lo pronuncia. Y es que si es pronunciada por un cocinero que se dedica en su casa a preparar banquetes, quizás sólo arranque unas tímidas sonrisas en aquellos oyentes que si saben de que se trata twitter. Pero si es pronunciada por un vocero de una empresa de tecnología, un profesional de la comunicación, o peor aún por un periodista, la frase inmediatamente sitúa a la persona en la prehistoria comunicacional –eso es como dos o tres años para atrás.

    En una especie de anorexia o bulimia intelectual, muchos profesionales de la comunicación se rehúsan a conocer la web 2.0 –quizás por que esta web se está metiendo directamente con sus bolsillos y derribándoles el modelo de negocios que siempre había funcionado—y no se molestan en conocer las virtudes de este nuevo medio o se rehúsan a aplicarlas, regurgitando todo lo que aprenden sobre ellas.

    Pero tal como se dice que “el desconocimiento de la ley no justifica su incumplimiento” aquí pasa lo mismo, ya que el desconocimiento –real o fingido—de la realidad de la web 2.0 no frenará el impacto que tiene sobre los medios y las profesiones relacionadas a la comunicación.

    Aunque no lo crean yo suelo hablar con algunos periodistas muy reconocidos en la fuente de la tecnología que aún no tienen su cuenta en twitter y hablan de eso como un fenómeno lejano. También conozco muchas empresas de comunicación que se mueren por entender como aplicar las redes sociales a favor de sus clientes. Conozco medios de comunicación que no hallan donde poner las redes sociales en sus estrategias. Y por su puesto conozco empresas que miran con avidez, las posibilidades que estas redes les ofrecen. Es sin duda una rara mezcla, a la que unos pocos encontrarán como sacarle provecho, pero que por ahora ha sido abordada de manera muy poco eficiente por algunos autoproclamados expertos en Web 2.0, con resultados mediocres para las empresas.

    Si bien el fenómeno de las redes sociales llegó hace rato, aún no están claros los modelos de negocios alrededor de ellas para los antiguos actores –agencias y medios de comunicación– y apenas algunos de los nuevos actores –como Facebook—han logrado capitalizarlas.

    Y es por eso que desde aquí, desde hablandodeti, estoy empeñado en lograr que más profesionales de la comunicación y empresas en general se animen a montarse en esta ola del 2.0, para que juntos podamos descubrir nuevos modelos de negocios que permitan a todos los actores beneficiarse, especialmente a los lectores, que se merecen poder contar con información de calidad. Espero que al menos, después de haber leído esta nota, muchos periodistas y empresas que aún no tienen cuenta en twitter, comiencen a usar el servicio y en breve estén hablandodeti a través de sus cuentas.