Amenazas, Aplicaciones, Blogs, Continuidad, Del dia, Desarrollo, Desarrollo, Destacado, Estrategía, Movilidad, Opinion, Privacidad, Seguridad, Seguridad, Soluciones

Ransomware como Servicio: otro reto a la disponibilidad empresarial

Seguramente, al igual que yo, ha escuchado sobre el Ransomware como Servicio (RaaS). Para mí, este concepto representó un disparador de alerta en lo que respecta al nivel real de amenaza que se podría estar enfrentando muy pronto. Creo, incluso, que cambiará la forma en que conocemos a las tecnologías de la información (TI).

Ahora que el Ransomware es tan fácil de crear, no hay duda de que veremos una escalada de amenazas internas. Anteriormente, el malware era sólo para hackers expertos –pero en la actualidad cualquiera puede hacer un Instalador de ransomware customizado porque todo lo que se necesita son unos cuantos clics en un sitio web. ¡Sin esfuerzo! Después de eso, todo lo que el malvado personaje hipotético tiene que hacer es correr el instalador en cualquier computadora y esperar el pago del rescate. ¿Está viendo el problema?

Algunos podrían decir que esto no es una nueva amenaza, y hablar de cómo el principio de privilegios mínimos y restricciones físicas de acceso al servidor son cada vez más importantes que nunca. Pero estarían equivocados. Ésta es, de hecho, una amenaza dramáticamente nueva, porque ahora hay dinero involucrado. Potencialmente, mucho dinero.

En cierta medida, el concepto de Ransomware como Servicio no es diferente de lo que fue desplegar el antiguo virus de la carta bomba (letter bomb virus) en la clase de cómputo en la universidad (levante la mano si usted es tan viejo como yo, y para quienes no lo sean, se trataba de una broma común cuando yo era estudiante).

Luego todos crecimos, conseguimos un trabajo en el explosivo mercado de TI y algunos se disgustaron con su empleador. Fue ahí que las empresas comenzaron a darse cuenta de que las amenazas potenciales provienen del interior, así que mucha gente hizo cosas malas sólo porque estaban disgustados con el jefe. Esto era suficiente para justificar la molestia y el riesgo, pero el dinero ni siquiera estaba en la imagen. En esos casos, se extraviaron datos de manera irreversible, la compañía perdió millones y la persona fue a la cárcel; pero todo fue porque alguien estaba molesto.

Pero ahora, tener dinero involucrado cambia todo. Gracias al potencial rescate, de repente existe la verdadera razón para asumir ese riesgo. Y lo que es peor, usando el conocimiento íntimo del proceso de negocio de una empresa, los iniciados se pueden dirigir deliberadamente a los sistemas que contienen los datos más preciosos para la organización y, de esta forma, garantizar que la compañía no tendrá más remedio que pagar un rescate de siete cifras porque, al final, será la forma más barata de recuperarse.

Entonces, ¿qué significa Ransomware como Amenaza de Servicio? Por un lado, los CIOs ya no pueden confiar en nadie. El dicho de que “todos tenemos un precio” es lamentablemente cierto. Incluso las personas con los más altos estándares morales a veces no pueden resistir a cometer un crimen cuando la recompensa es potencialmente alta o necesitada (porque su hijo está muriendo y le urge la información), de forma que ningún negocio puede hoy día arriesgarse a tener “confianza” como parte de su estrategia de TI. Hay que estar permanentemente preparados para las peores cosas, potencialmente ejecutadas por sus propios empleados, por una razón muy simple: dinero.

Pregúntese a sí mismo: ¿Cuál es su plan si un colega que acaba de salir de vacaciones se registra remotamente en su red desde algún país del Medio Oriente, elimina todos los respaldos en línea (tanto los primarios como sus copias) y pega el instalador en los servidores de producción? Sin duda, esto es mil veces más fácil de hacer en su entorno que robar un banco. Y por desgracia, realmente no se puede evitar que esto pase sin limitar al personal de TI a realizar sus actividades de trabajo.

Entonces, ¿cómo pueden las empresas protegerse contra las amenazas internas? Garantizando la disponibilidad. Tres palabras son la clave: air gapped backups (respaldos offline que no pueden ser manipulados o eliminados remotamente). Los permisos estrictos no ayudarán, ya que las credenciales correctas se pueden obtener con un keylogger o mediante ingeniería social. Sin embargo, algo tan simple como discos duros externos o cintas en la caja fuerte del ejecutivo resuelven el problema completamente.

¿Qué pasa si tiene un gran número de datos y odia las cintas? Hay sistemas de almacenamiento “read-only-ness” implementados en el firmware, pero también es necesario garantizar su seguridad física. O simplemente puede ir con el proveedor de servicios que mantendrá una copia de sus respaldos de forma que las haga no manejables remotamente (por ejemplo, en la red privada sin conexión a Internet o en cintas), y esto asegurará que nadie de su empresa pueda eliminar sus datos.

Realmente debería actuar e implementar ahora, porque mañana, ¡podría ser demasiado tarde!

 

 

Por: Anton Gostev,

Vicepresidente de Producto,

Veeam Software.

Leer más...

Aplicaciones, Aplicaciones, Big data, Blogs, Cloud Computing, Del dia, Desarrollo, Destacado, Movilidad, Opinion, Principal, Redes

Razones por las que empresas en México ya deberían adoptar la nube

A medida que las compañías comienzan con su estrategia digital, descubren que adoptar la nube es una necesidad antes que un beneficio.

Leer más...

Amenazas, Aplicaciones, Blogs, Continuidad, Del dia, Desarrollo, Destacado, Estrategía, Gobierno/Industria, Industria TIC, Infraestructura, Movilidad, Network World, Open Source, Redes, Seguridad

Cómo el Open Source le ayudará a reforzar la defensa de su empresa

El código abierto y la seguridad están estrechamente conectados. Los mitos alrededor del open source, tales como su vulnerabilidad a las amenazas informáticas, su inmadurez para el entorno empresarial, la ausencia de quien responda por las fallas, entre otros, resultan hoy inverosímiles y sin fundamento.

Leer más...

Blogs, Cloud Computing, Del dia, Desarrollo, Desarrollo, Internet de las Cosas, Movilidad, Network World, Principal, Redes, Tendencias, Transformación Digital

Cómo superar el reto del IoT mediante una adopción ágil

Si bien el Internet de las cosas (IoT) está teniendo un gran impacto en las empresas a nivel mundial, aún son pocas las que han mostrado efectos satisfactorios.  ¿Qué necesitan las empresas para capitalizar esta oportunidad? 

Leer más...

Aplicaciones, Blogs, Business Intelligence/Analytics, Del dia, Desarrollo, Destacado, Industria TIC, Inteligencia Artificial, Noticias, Noticias, Nuevos Productos, Robótica, Tendencias

La automatización robótica, ¿imita a los seres humanos?

Los avances tecnológicos han revolucionado la forma de hacer negocio, incluso en tareas que nunca imaginamos pudieran sustituir al humano; y es que vivimos en un mercado competitivo en donde cada vez más vemos que las empresas buscan impulsar el crecimiento y la agilidad de los negocios a través de la innovación. Mucho se ha hablado de la Automatización Robótica de Procesos (RPA), así como de su impacto en todo tipo de industrias de todo el mundo; sin embargo, todavía existen dudas sobre qué es exactamente y cómo se pueden beneficiar las empresas.

La Robótica encuentra una aplicación generalizada en tareas físicas, datos y contextos empresariales intensivos en procesos.

Con la mayoría de las empresas que quieren hacer ‘más con menos’, los robots pueden mejorar significativamente la velocidad y la precisión con su capacidad para ejecutar tareas con exactitud.

También pueden ayudar a impulsar la eficiencia operativa, optimizar el costo de calidad e impactar positivamente en los resultados.

Los expertos de la industria predicen que la automatización es y seguirá siendo una prioridad estratégica en 10 años a partir de ahora; con la automatización, los Servicios de Procesos de Negocio (BPS) toman mayor fuerza para permitir a las empresas mantenerse a la vanguardia ante el cambiante panorama empresaria, y lograr un crecimiento sostenible y rentable, de forma que logre obtener un alto nivel de automatización a través de la robótica. Automatizar un proceso dañado dará como resultado un proceso automatizado dañado.

Aunque el enfoque inicial de RPA era realizar tareas repetitivas, ahora un número cada vez mayor de soluciones de RPA está evolucionando para procesos empresariales; un ejemplo de ello es el sector bancario, el cual está empezando a aprovechar la Robótica en sus operaciones diarias, y es que las empresas financieras ya están implementando robots asesores para apoyar las necesidades de planificación de los clientes mediante la aplicación de algoritmos estadísticos para determinar los mejores rendimientos de su cartera de inversiones.

La mejora de procesos con un objetivo de reducción de costos y error, satisfacción de consumidor o simplemente como una palabra de moda, ha estado en uso por años. 80% de los proyectos de automatización hoy en día existen para reducir el tiempo que los empleados le dedican de forma manual a tareas que pueden ser automatizadas, pero las preguntas son ¿puede RPA resolver problemas más complejos mediante soluciones en tiempo real como ventas de productos personalizadas en sucursales, solución en la primera llamada en los centros de atención telefónica o detección de fraude de tarjetas de crédito o en cajeros automáticos?

La robótica cambiará los lugares de trabajo actuales de manera tan drástica como lo hicieron las máquinas durante la revolución industrial.

La automatización robótica de procesos es parte de los pasos a seguir, tener un objetivo claro del programa con “alcance” y “ganancias” esperadas.

RPA complementado por BPS ayuda a tomar mejores decisiones al proporcionar información relevante basada en el rendimiento del negocio y las demandas del mercado, esto permite ofrecer resultados empresariales superiores en métricas significativas. El crecimiento, la rentabilidad y la satisfacción del cliente dependen de la capacidad de una empresa para convertir datos en conocimientos prácticos, simplificar procesos y ofrecer una experiencia superior al cliente.

La Automatización Robótica de Procesos anuncia una nueva era de productividad en el lugar de trabajo, innovar y adoptar las herramientas son sin duda un aliado para el éxito y crecimiento de las empresas.

Contar con las soluciones correctas de automatización permite a los clientes aprovechar sus tiempos, pero lo que es una realidad es que nunca podrán sustituir por completo la capacidad humana.

 

Por Rahul Wadhawan, Director regional de LATAM de la división BPS de TCS.

Leer más...

Aplicaciones, Blogs, Ciencia e Innovación, Del dia, Desarrollo, Desarrollo, Destacado, Industria TIC, Infraestructura, Inteligencia Artificial, Internet de las Cosas, Network World, Tecnologia, Tendencias

Convergencia entre Inteligencia Artificial, Internet de las Cosas y Blockchain

La Inteligencia Artificial (IA), el Internet de las Cosas (IoT) y Blockchain, normalmente son temas se abordan por separado, sin embargo, la rápida convergencia de estas tecnologías está aportando un gran valor a las empresas y las personas que utilizan estos nuevos servicios.

Claramente se habla mucho sobre la IA, mientras que la automatización es una prioridad para brindar mejores experiencias conforme se elevan los niveles de eficiencia para las empresas. El  IoT, por otro lado, ha sido un tema recurrente en los últimos años y su función es llevar el análisis en tiempo real a los procesos automatizados (de los cuales la AI forma parte). El IoT genera un flujo de trabajo sofisticado para personalizar las experiencias que las empresas ofrecen a sus clientes y usuarios.

¿Y Blockchain? Cuando se empieza a ofrecer servicios personalizados es probable que se necesite acceder o almacenar cantidades grandes de información personal, lo que requiere una arquitectura de seguridad mucho más fuerte a la que hemos visto en el pasado con el modelo centralizado. Debido a que Blockchain es una arquitectura distribuida que utiliza criptografía y un concepto de “escribe un registro una sola vez”, brinda un valor enorme a los casos de uso que se requieren como parte de las transformaciones digitales para mejorar la validación de algunos de esos datos sin alterar las bases de datos existentes, las cuales cumplen con varios requerimientos de cumplimiento. Todos esos factores combinados proporcionan una solución muy potente y pienso que estos se implementarán juntos de manera mucho más frecuente en el futuro cercano.

 

Un caso de uso muestra el beneficio de converger la IA, IoT y Blockchain

Imagine llevar puesto un dispositivo que monitoree su ritmo cardíaco y nivel de ejercicio todos los días. El dispositivo contiene toda su información personal (identidad, incluyendo reconocimiento facial y de huella digital; información de contacto; datos sobre su médico, medicamentos, alergias, etc.). Por motivos de seguridad, las funciones biométricas cifradas se almacenarían en una arquitectura de base de datos Blockchain, sin alterar las bases de datos que se utilizan para las cantidades grandes de datos y el cumplimiento regulativo necesario para los propios datos. Su aseguradora médica asume con seriedad su salud y constantemente monitorea los diferentes aspectos de esta a lo largo del día por medio de los dispositivos wearable que usted ha registrado con ellos.

Mientras asiste a un evento, su dispositivo wearable reporta un ritmo cardíaco anormal. La AI, a través del análisis, determina que esa anormalidad es un precursor de un ataque cardíaco. Un evento se activa de inmediato para notificar a su médico y proporcionarle todos los datos relevantes de los últimos días. Su médico observa un suceso grave y envía a una ambulancia por usted para que lo lleve al hospital.

Sus dispositivos wearable indican su ubicación exacta que se envía al equipo de respuesta de emergencia con todos los datos necesarios para que lo atiendan. Cuando llega al hospital, el sistema enlazado a su divisa digital personal (digamos, el bitcoin), que también utiliza Blockchain, le permite ingresar y pagar por una habitación privada.

El proceso activado por la IA brindó una experiencia completamente automatizada que le salvó la vida.

 

Casos de uso infinitos en desarrollo

A medida que la gente continúa vislumbrando escenarios como este me doy cuenta de cómo la IA, el IoT y Blockchain convergerán rápidamente para brindar experiencias sumamente valiosas a los clientes y los ciudadanos. No se trata de algo futurista. Todo esto ya es técnicamente posible hoy —existen casos de uso infinitos que se están desarrollando en este momento y que cambiarán la manera en que vivimos—.

 

Por: Jean Turgeon,

Vicepresidente y Director Tecnológico,

Avaya. 

 

Leer más...

Amenazas, Blogs, Cloud Computing, Continuidad, Del dia, Desarrollo, Estrategía, Industria TIC, Movilidad, Network World, Principal, Privacidad, Seguridad, Seguridad, TI en Gobierno

¿Qué tan buena idea es contratar un hacker ético?

Los hackers y los grupos de hacking parecen intrigantes para el hombre común. Estas palabras evocan imágenes de un grupo de personas amantes de la tecnología reunidas en un sótano y conspirando para robar información y dinero a las personas y organizaciones. Pero hackear no está limitado a robar y destruir, y no todos los hackers tienen la intención de causar daño. De hecho, los hackers ‘éticos’ ayudan a organizaciones y agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que éstos se puedan arreglar. Ayudan a la organización en la implementación de controles de seguridad robustos para impedir ataques potenciales.

 

La creciente brecha entre el suministro y la demanda de ‘hackers éticos’

Es difícil encontrar profesionales de ciberseguridad que tengan amplio conocimiento tecnológico y habilidades específicas en asesoría de seguridad y riesgo. En el estudio de seguridad de Intel, el 71% de las empresas reportan que la escasez en competencias de ciberseguridad les causa daños directos y medibles. Por otra parte, las mentes jóvenes y apasionadas que demuestran aptitud en esta área no siempre pueden encontrar un entorno constructivo para perseguir su pasión y podrían ser influenciadas para pasarse al lado oscuro de la práctica.

 

Buscando a los hackers adecuados

Las organizaciones podrían contratar hackers que hayan trabajado con el propósito de traspasar la seguridad de organizaciones en el pasado (conocidos como Black Hatters o Hackers del lado oscuro). Éstos podrían demostrar tener amplias habilidades, ya que tienen experiencia del mundo real jugando en la ofensiva. Hay una enorme diferencia entre las personas que han aprendido a defender un sistema y las personas que tienen experiencia violando un sistema. Pero, aunque suena convincente, esta táctica tiene varios defectos. Después de todo, la confianza sería una gran preocupación.

¿Qué sucede si el ex-hacker se comporta de una manera no ética? Entonces la pregunta persiste, ¿es ésta la mejor forma de proteger la organización?

Otra opción sería entrenar al grupo existente de expertos de TI en su organización. La principal desventaja de este método es que a estos empleados les podría faltar la pasión para prosperar como profesionales de seguridad. También, entrenar a los empleados toma tiempo y dinero, se requiere de una cantidad significativa de tiempo, exposición a la industria de seguridad y experiencia de trabajo antes que puedan convertirse en un recurso valioso para la organización. Aunque este enfoque parece viable a largo plazo, consume mucho tiempo y no puede aplicarse cuando hay una necesidad inmediata.

Crowdsourcing es una tendencia creciente en la industria, la cual requiere que el sistema sea revisado  por cientos de profesionales de seguridad en todo el mundo. Recientemente, varias organizaciones se están uniendo a plataformas de Crowdsourcing como HackerOne y Bugcrowd para administrar sus programas de divulgación responsable. Ésta es una manera inteligente para detectar vulnerabilidades y administrar los programas de divulgación responsable, pero solo funciona si se tiene implementada una fuerte estrategia de administración de información de seguridad y habilidades de ejecución establecidas.

 

Contratación gamificada 

Considerando que el hacking ético es una capacidad de nicho dónde la actitud y aptitud correcta es más importante que una calificación académica, los procesos de selección convencionales guiados por asesoramientos escritos estándar y entrevistas personales con candidatos de una serie de universidades acreditadas, no ofrecen los resultados esperados.

La opción más prometedora sería la contratación gamificada. Este formato imita los retos de vida real al construir varias situaciones enfocadas en demostrar rasgos específicos de personalidad que en otras instancias serían difíciles de reconocer.

Introducir ‘elementos de juego’ puede darle a los reclutadores la oportunidad de evaluar los perfiles completos de los candidatos y ayudarles a determinar su impulso por la innovación, su capacidad de resolver problemas y de desempeñarse bajo presión.

En Tata Consultancy Services (TCS), el 5.6% de las contrataciones en las universidades ocurre a través de la contratación gamificada y se espera que este número incremente mucho más en los próximos años.

Como la educación y las políticas convencionales no están satisfaciendo nuestra creciente demanda de profesionales de seguridad, necesitamos medidas no convencionales. Las empresas deben identificar, nutrir y canalizar este talento. Las organizaciones están moviéndose rápidamente hacia este nuevo modo de contratación, y está claro que aquellos que no lo hacen estarán próximamente en desventaja.

 

Por: Jyoti Acharya, Asesor de Administración de Vulnerabilidad en la práctica de Ciberseguridad de TCS y Santosh Mishra, Analista de Seguridad en la práctica de Ciberseguridad de TCS.

Leer más...