Fortalecer el eslabón más débil: Concienciación sobre seguridad para empleados

 El conocimiento es un arma poderosa que puede convertir a sus empleados en la primera línea de defensa contra las amenazas.

El Mes de la Concienciación sobre la Ciberseguridad (CSAM) es una iniciativa que abarca tanto el mundo de los consumidores como el de las empresas. Hay muchos puntos en común: al fin y al cabo, todo empleado es también un consumidor. Como cada vez trabajamos más desde casa, o nuestro espacio de trabajo remoto favorito, las líneas se hacen difusas. Por desgracia, al mismo tiempo, los riesgos de compromiso nunca han sido tan agudos.

Para construir un entorno más ciberseguro, ¿qué deberían incorporar los jefes de TI a sus programas de concienciación sobre seguridad? Es importante asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado.

Por qué es importante la formación

Según Verizon, tres cuartas partes (74%) de todas las violaciones globales del año pasado incluyen el "elemento humano", que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social. Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. Pero no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo. Se trata de cambiar los comportamientos de los usuarios a largo plazo.

Eso sólo puede ocurrir si ejecuta programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores temporales, contratistas y ejecutivos; cualquiera puede ser un objetivo, y basta un solo error para abrirle la puerta de su organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.

Como mencionado en un artículo anterior, las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.

3 áreas a incluir ahora y en 2024

A medida que nos acercamos al final de 2023, vale la pena pensar qué incluir en los programas del año que viene. Considere lo siguiente:

1) BEC y phishing

El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador.

Existen varios métodos utilizados, como hacerse pasar por un director general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing. 

El phishing como tal existe desde hace décadas, pero sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.

Para 2024, considere incluya contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería(smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA).

Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

2) Seguridad en el trabajo remoto e híbrido

Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponerles a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Y aquí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los "gemelos malvados", en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica.

También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.

3) Protección de datos

Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

La formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Y siempre deben considerar si lo que publican en las redes sociales debe mantenerse confidencial.

Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. "Personas, procesos y tecnología" es el mantra que ayudará a construir una cultura corporativa más cibersegura.

Fuente: www.welivesecurity.com

Passkeys, el nuevo estándar de la ciberseguridad para proteger tus contraseñas

Si repites las contraseñas en todas tus cuentas nuevas, esta herramienta te puede dar una capa de mayor seguridad sin tener que memorizar tantas claves.

Esta iniciativa forma parte de un proyecto de la Alianza FIDO, en la que también participan Apple y Microsoft. (Foto: Google Safety Center)

Cada vez que un usuario abre una cuenta nueva, se le pide que genere una contraseña y ante tal cantidad de servicios, la respuesta es tener una clave madre para todas ellas, lo cual representa un riesgo grande para la seguridad y la necesidad de nuevos estándares.

De acuerdo con una investigación de Digital Shadows, una empresa de protección de riesgos digitales, en 2022 más de 24,000 millones de nombres de usuarios y contraseñas estaban disponibles en la web oscura y es por ello que las empresas de tecnología están generando nuevas formas de proteger a los usuarios sin tener que generar tantas claves.

Una de las propuestas más comunes hasta la actualidad son los gestores de contraseñas, que guardan la información para un inicio de sesión más sencillo y están disponibles en sistemas operativos, como Apple. Sin embargo, las tecnológicas están apostando por un nuevo estándar: Passkey.

¿Qué son las Passkey?

Esta llave de acceso es una credencial almacenada en las computadoras o teléfonos de los usuarios que funciona a partir de criptografía de clave pública, es decir, se necesitará de una prueba de que el usuario posee la credencial que se muestra en su cuenta para desbloquearla.

Por ejemplo, si quiere iniciar sesión en un sitio web desde la computadora, sólo se requiere tener cerca el teléfono y se le solicitará que se desbloquee para otorgar el acceso en el ordenador.

Royal Hansen, vicepresidente de privacidad, seguridad e ingeniería en Google, explicó a Expansión que Passkey tiene un objetivo doble. Por una parte, optimiza la decisión de qué contraseña usar para evitar la repetición de las claves.

También mejora la seguridad porque, asegura, “es un sistema matemáticamente más poderoso, más seguro que aun los mejores gestores de claves. Con esto se podría pensar es que el próximo paso es remover o eliminar la contraseña, pero en una forma que sea fácil para el usuario”.

No obstante, Hansen acepta que se requiere como alfabetización para que los usuarios al final realmente lo entiendan y puedan usarlo. Hasta ahora, menciona, “no queremos hacer una mayor migración. Poco a poco, lo integraremos en las acciones más comunes para los usuarios para que lo utilicen de la forma más sencilla”.

Un nuevo estándar, pero no se debe bajar la guardia

Los especialistas de la ciberseguridad coinciden en que los passkeys ofrecen una sólida protección contra los intentos de phishing, al ser una opción tecnológica en línea con los estándares internacionales.

Sin embargo, Igor Kuznetsov, director del equipo global de investigación y análisis de Kaspersky, resalta que, a pesar de estas medidas de seguridad, las passkeys son susceptibles de sufrir la misma amenaza que afecta a cualquier método de autenticación, como la ingeniería social para engañar a los usuarios.

Por lo tanto, resalta complementar el uso de passkeys con prácticas de seguridad tradicionales hasta que se haya convertido en un aspecto normal en la forma en que se cuida la ciberseguridad en todo el panorama tecnológico.

Google, Microsoft y Apple son las compañías que están motivando las passkeys y, de acuerdo con Tal Zamir director de tecnología de la empresa de ciberseguridad, Perception Point, es probable que este método de seguridad sea común en todas las organizaciones dentro de unos cinco a 10 años.

Resalta que este método de seguridad no protege contra los malware que llegan a través de métodos como correos electrónicos y otros medios, por lo que se debe mantener la precaución en varios ámbitos.

Fuente: expansion.mx

CERTIFICADOS SSL/TLS VENCIDOS: El riesgo de Seguridad Crítico que puedes estar pasando por alto

Los certificados SSL/TLS son esenciales para proteger los sistemas corporativos y los sitios web internos y externos, además de proteger los datos de los usuarios. Al cifrar la comunicación entre los sitios web y los navegadores de los usuarios, protegen los datos confidenciales de miradas indiscretas, como números de tarjetas de crédito, datos corporativos y contraseñas. Pero, como la mayoría de las cosas, los certificados eventualmente vencen. Un certificado sin seguimiento puede dejar tu sitio vulnerable en el peor momento.

Para garantizar que tus sitios web y sistemas estén siempre seguros, es importante mantener un inventario de todos tus certificados SSL/TLS. Se debe realizar un seguimiento de los siguientes atributos:

• el nombre del certificado
• el propietario/responsable del certificado
• el nombre de dominio para el que va dirigido el certificado
• la fecha de vencimiento del certificado
• el tipo de certificado (por ejemplo, dominio validado, organización validada, validación extendida)
• el emisor del certificado.

Con estos datos, puedes hacer lo siguiente:

• Evitar sorpresas al vencer el certificado: tu sitio web puede mostrar advertencias o dejar de estar disponible cuando el certificado venza. Mantener un inventario de certificados te permite detectar próximos vencimientos. Luego podrás renovar los certificados de forma proactiva antes de que se produzcan interrupciones.
• Detectar y resolver errores de certificados: si hay un problema con uno de tus certificados, como una mala configuración o un cambio de nombre de dominio, podrás identificar rápidamente el problema y tomar medidas correctivas.
• Aumentar el cumplimiento: muchos sectores, como la atención médica y las finanzas, tienen regulaciones estrictas que requieren que los sitios web u otros sistemas utilicen certificados seguros. tener un inventario de tus certificados, puedes demostrar fácilmente que cumples con estas regulaciones.

Hazte cargo de tus certificados

La solución Certificate Inventory and Management de ServiceNow ayuda a gestionar los certificados SSL/TLS de dos formas clave: 1) Descubrir dónde se implementan los certificados mediante Discovery de ServiceNow y 2) Recopilar un inventario de los certificados emitidos por tu autoridad de certificados. Con el poder de las capacidades de flujo de trabajo de la plataforma, esta solución agiliza los procesos de certificados clave, lo que incluye lo siguiente:

• solicitar nuevos certificados
• renovar certificados existentes
• revocar certificados cuando sea necesario.

Además, concilia los certificados emitidos con los implementados de tu CA.

Esto permite ahorrar costos al identificar los certificados no utilizados que no requieren renovación. Los beneficios adicionales incluyen los siguientes:

• Mayor confianza del cliente: cuando los usuarios ven el ícono del candado en la barra de direcciones de su navegador, saben que el sitio web es seguro y que sus datos están protegidos.
• Riesgo reducido de filtraciones de datos: al cifrar todas las comunicaciones entre los sistemas o un sitio web y el navegador de un usuario, los certificados SSL/TLS pueden ayudar a reducir el riesgo de filtraciones de datos.
• Esto es especialmente importante para sitios web que manejan datos confidenciales, como números de tarjetas de crédito y contraseñas.
• Rendimiento mejorado del sitio web: los certificados SSL/TLS pueden mejorar el desempeño del sitio web al reducir la necesidad de volver a cifrar los datos cada vez que un usuario visita el sitio web.
• Conciencia operativa mejorada: aprovechar la NOW Platform, los flujos de trabajo para el cumplimiento de solicitudes de certificados y las tareas de renovación de certificados aportan claridad a las operaciones de seguridad con capacidades familiares de generación de informes y paneles.

No dejes la seguridad de tu sitio al azar. Con un inventario completo de certificados y ServiceNow como guía, puedes aumentar el cumplimiento, la confianza y el rendimiento mientras reduces el riesgo. 

Fuente: www.thirdera.com

INCUMPLIMIENTO DE ESTÁNDAR PCI DSS EN LATAM VULNERA DATOS DEL CONSUMIDOR

El estándar PCI DSS (Payment Card Industry Data Security Standard) ha demostrado ser una forma eficaz de proteger los datos de titulares de tarjetas de pago o datos privados de autenticación. Aunque dicha certificación ha sido más lenta en América Latina que en otras regiones del mundo, su implementación debe acelerarse ya que de lo contrario representará una puerta de entrada a la ciberdelincuencia.

Una estimación de la consultora Americas Market Intelligence destacó que para 2022 en América Latina había 99 millones de titulares de tarjetas de crédito, en comparación con 169 millones que son solo titulares de tarjetas de débito y 117 millones que no están bancarizados. Por ello, la normativa PCI DSS juega un papel fundamental para evitar filtraciones de datos dentro de todo el ecosistema de pagos.

Oswaldo Palacios, Senior Account Executive para Akamai, mencionó que el estándar PCI DSS forma parte de los requisitos para transaccionar con tarjetas de crédito, por lo cual bancos e instituciones financieras están obligados a su adopción para garantizar con ello que los datos de los consumidores estén protegidos en todo momento al hacer uso de una tarjeta de débito o crédito.

Para mejorar la seguridad de los datos de los consumidores, varias empresas de tarjetas de crédito, tales como: VISA, Mastercard, Discover, JCB y American Express formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés) para garantizar su transparencia de operación. Esto aunado a las regulaciones gubernamentales, han hecho de PCI un “must” para cualquier compañía que transaccione con tarjetas de crédito y débito.

Ante una alta tasa de incidencia de riesgos asociados con el robo de datos, la banca o el sector financiero debe aplicar controles de seguridad eficientes y sólidos cuando se trata de salvaguardar los datos de las tarjetas bancarias. Latinoamérica es considerada una de las zonas con más fraudes en tarjetas de pago, problema que se agravó con el aumento de sitios de comercio electrónico y la digitalización.

Según un estudio de 2022, los comercios en línea de cuatro regiones del mundo declararon haber perdido casi el 3% de sus ingresos por comercio electrónico debido al fraude en los pagos. En particular, América Latina registró una pérdida mayor, del 4,6%, mientras que América del Norte obtuvo la pérdida más baja, del 2,4%.

¿Por qué la banca debe adoptar el estándar PCI DSS?

Aquellas instituciones bancarias que adoptan el estándar PCI DSS logran disminuir el riesgo de sufrir ciberataques o ciberfraudes, lo cual es fundamental cuando se procesan o almacenan datos confidenciales. Otros beneficios son: establecer alianzas comerciales, mejorar la gestión de incidentes de ciberseguridad, otorgar confianza al consumidor, evitar multas y procesos legales.

Al respecto, Oswaldo Palacios resaltó que uno de los motivadores de dicha normativa es proteger a la banca de amenazas como el ransomware, debido a que puede propagarse de una manera tal que pueden evadir controles de ciberseguridad tradicionales como Firewalls, XDR (detección y respuesta ampliadas) e IPS (sistema de prevención de intrusos). Por esto, el estándar ha evolucionado y pide que el alcance de las comunicaciones se reduzca mediante Microsegmentación ya que dicha práctica ayuda a mejorar la postura de ciberseguridad de las organizaciones.

El directivo explicó que PCI DSS pide a las instituciones la reducción del alcance de comunicación en los activos que “tocan” PCI o datos de los tarjetahabientes;  dicha acción se puede hacer mediante Microsegmentación, ya que sin generar cambios en la infraestructura se puede realizar una separación de tráfico de Red y accesos no autorizados o innecesarios en infraestructura crítica.

Es importante mencionar que las redes y aplicaciones que están en el ámbito de las normativas PCI DSS son complejas. Pueden abarcar varias máquinas, incluir entornos híbridos como contenedores y máquinas virtuales e incluso trabajar en varias ubicaciones físicas o zonas horarias. La Microsegmentación se está convirtiendo en una opción indispensable para el cumplimiento normativo, como PCI DSS.

También la Microsegmentación permite una visibilidad de todas las aplicaciones y cargas de trabajo a nivel de proceso, además de crear políticas flexibles que se centren en el cumplimiento normativo y aplicarlas para controlar una postura de seguridad general que le permita estar preparado para cualquier auditoría.

Más adelante, el experto de Akamai destacó que el incumplimiento de la normativa puede acarrear consecuencias a las instituciones financieras y bancos, que van desde no poder operar pagos y transacciones con tarjetas de débito y crédito, multas por parte de los gobiernos o reguladores financieros, más el daño reputacional.

Por último, Oswaldo Palacio advirtió que si una institución financiera o banco no cumple con el estándar PCI, no podrá transaccionar con tarjetas de crédito y probablemente su alcance se reduciría a una caja de ahorro o una simple organización que recaba dinero de consumidores para algún fin determinado como el ahorro.

Los requisitos de Cumplimiento de PCI seguirán evolucionando, pero la implementación de soluciones potentes permite a los departamentos de IT proactivos cumplir con los actuales y, al mismo tiempo, establecer una base sólida para futuras mejoras de Seguridad de Datos.

 

Fuente: revistaseguridad360.com

 

VERIFICACIÓN DE DATOS “OFICIAL”: Una peligrosa iniciativa en México y Brasil

"Los factores de poder no pueden ofrecer verificación sobre informaciones y datos que los afectan". Crédito: Getty Images. Arte: Arlene Fioravanti.

Para que uno pueda creer en el trabajo de verificación de datos, los que lo ofrecen deben –necesariamente– ser transparentes y sobre todo apartidistas. Desafortunadamente, en América Latina, parece que se ha puesto de moda ver a políticos y/o partidos invitando a los ciudadanos a visitar "sus plataformas de fact-checking".

Esto es un engaño. No caigas en esta trampa.

El pasado domingo, el presidente de Brasil, Luiz Inácio Lula da Silva, publicó un tuit de cuatro frases que dejó a quienes luchan contra la desinformación en América Latina con los pelos de punta.

"Brasil ha sufrido mucho con las mentiras vistas en las redes sociales en los últimos años. Tenemos que fortalecer una red de la verdad. El gobierno lanzó esta semana una plataforma de verificación de datos y de combate a la desinformación. #BrasilContraFake", escribió.

Nadie cuestiona las dos primeras observaciones del líder izquierdista brasileño. Su país realmente vio el impacto de la desinformación masiva el pasado 8 de enero, cuando –de forma semejante a lo que pasó en Washington DC en 2021– miles de personas invadieron el Congreso, la Suprema Corte y el Palacio de Gobierno, creyendo en las noticias falsas que afirmaban que las elecciones habían sido fraudulentas.

Pero Lula se equivoca gravemente al celebrar que su gobierno ahora tenga una iniciativa de fact-checking. La idea es absurda y extremadamente peligrosa.

Los factores de poder no pueden ofrecer verificación sobre informaciones y datos que los afectan. Para que eso sea válido, es necesario que lo haga un equipo independiente. Lo demás es propaganda oficial disfrazada.

Desde 2016, el Código de Ética de la Red Internacional de Verificadores de Datos (la IFCN, por sus siglas en inglés) establece una serie de reglas claras para el trabajo de los fact-checkers. El objetivo es evitar que haya fact-checking de mala calidad –algo que empeoraría aún más el ya dramático escenario desinformativo en el que vivimos.

Para la IFCN, es indispensable que los fact-checkers sean transparentes en al menos tres aspectos: en la metodología que utilizan para escoger qué van (y qué no van) a chequear; en las fuentes que utilizan para determinar el grado de veracidad de las informaciones que analizan y en sus fuentes de financiación –para evitar que haya conflictos de interés en el camino de la más pura verdad factual.

Además de esto, la IFCN también exige de aquellos que se proponen hacer verificación de datos de forma honesta que tengan una política pública de corrección (para utilizar siempre y cuando se equivoquen) y que no sean partidistas.

Eso explica el susto que se llevó la comunidad de fact-checkers esta semana. Rompiendo todas las reglas del trabajo de verificación de datos, el gobierno brasileño busca asumir el papel de dueño de la verdad y está dispuesto a usar toda la maquinaria de Brasilia (más unos 5 millones de dólares de presupuesto) para distribuirlas.

Quienes cliquearon en el enlace ofrecido por Lula en su tuit del domingo encontraron un trabajo 100% alineado con los intereses de su gobierno. Una defensa de ministros y ministerios. La vieja y conocida propaganda política –de esta vez, empaquetada como la verdad.

Es la llegada al país más grande de América Latina de la peligrosa ola que ya se ha visto en México, Colombia, Perú y Ecuador. Algo contra lo que debemos alzar nuestra voz.

Datos recolectados esta semana por los miembros de LatamChequea, la red de verificadores de datos profesionales que reúne a más de 30 iniciativas de fact-checking en Latinoamérica, demuestran que los políticos de la región buscan dejar de ser tema de las verificaciones para pasar a ser sus productores. Y que están dispuestos a usar recursos públicos en esto.

El gobierno mexicano, por ejemplo, mantiene en internet dos plataformas que usan las famosas etiquetas de verdadero y falso para ofrecer a los ciudadanos propaganda.

Infodemia, lanzada en 2020, es una iniciativa del sistema público de radiodifusión del estado de México dedicada a amplificar las "verdades" del presidente Andrés Manuel López Obrador (AMLO). Sea en formato de audio, video o texto.

’Quién es quién’ es una especie de sección en la famosa "mañanera" que el político ofrece en directo, por las redes, todos los días. Pasó a ser un espacio utilizado por AMLO para incluso atacar a la prensa que investiga su administración.

En noviembre del año pasado, el Centro Latinoamericano de Investigación Periodística (CLIP) hizo un análisis sobre la calidad del trabajo ofrecido por esas dos iniciativas mexicanas y reveló que los chequeos de Infodemia y ‘Quién es Quién’ suelen manipular hechos en favor del gobierno y del partido oficialista Morena. También consumen dinero público para funcionar y se aprovechan del sofisticado aparato de propaganda oficial.

En Perú y en Colombia, las incursiones del poder en el universo del fact-checking también existieron, pero fueron puntuales.

Los organismos electorales peruanos (autónomos, pero parte del Estado) lanzaron páginas con "verdades" sobre las elecciones en 2021. Según la Oficina Nacional de Procesos Electorales (ONPE), fueron 217 "chequeos", una labor que "alcanzó mucha audiencia a nivel de plataformas digitales". En privado, los verificadores reclaman por la baja calidad de la información ofrecida.

En Colombia, una iniciativa de chequeo gubernamental se mantuvo activa durante el paro de 2021 y llegó incluso a difundir la narrativa de que los verificadores eran en realidad los verdaderos desinformadores en acción. ColombiaCheck reaccionó explicando en detalle cómo realiza su trabajo.

Y en Ecuador si no fuera por la acción inmediata de los verificadores locales, el gobierno tendría también su página de "verdades". En un editorial muy impactante, María Sol Borja, editora política de GK, subrayó que el fact-checking tiene como ingrediente indispensable ser independiente del poder. Y que el poder jamás podría ejecutar una verificación de calidad.

Para los que viven en Estados Unidos, toda esta charla puede parecer lejana y fuera de contexto. Pero no lo es. Desde 2016, políticos en campaña usan el fact-checking como arma para conseguir votos. Hillary Clinton dedicó la homepage de su sitio a esto. Y nada indica que no habrá "fact-checking partidista" en 2024.

Imaginemos ahora cómo sería la reacción de los estadounidenses si el presidente Joe Biden, en disputa por la reelección, asumiera el papel de verificador de datos nacional y pusiera toda la maquinaria de la Casa Blanca para repartir sus verdades. ¿Quiénes en Estados Unidos se callarían? ¿Quiénes aceptarían? Dedícale unos minutos a esa reflexión.

Fuente: univision.com

CUMPLIMIENTO DE LAS NORMAS PCI-DSS ¿QUÉ SE ESTÁ HACIENDO PARA MEJORARLO?

Esta normativa requiere que las organizaciones que manejan información de salud implementen medidas de seguridad para protegerla de los ciberataques. Estas medidas incluyen el uso de contraseñas seguras, el cifrado de datos y la capacitación del personal en seguridad.

 

La situación actual sobre las Normas PCI DDS es mixta. Por un lado, hay un creciente reconocimiento de la importancia de estas normas y un aumento en el número de empresas que están trabajando para cumplirlas. Por otro lado, todavía hay muchas empresas que no están cumpliendo con las normas, lo que las pone en riesgo de sufrir ataques cibernéticos y pérdidas financieras.

LA NORMATIVA PCI DSS

La normativa PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de estándares de seguridad para la protección de datos de tarjetas de crédito. Esta normativa es obligatoria para todas las empresas que almacenan, procesan o transmiten datos de tarjetas de crédito, ya sean físicas o virtuales.

TIPOS DE SOLUCIONES PCI DSS

Hay una variedad de soluciones PCI disponibles en el mercado, que van desde soluciones de software a servicios gestionados. Las organizaciones deben elegir una solución PCI que se adapte a sus necesidades específicas.

• Soluciones de software: Las soluciones de software PCI son soluciones que se instalan y configuran en los sistemas informáticos de la organización. Estas soluciones pueden proporcionar una variedad de funciones de seguridad, como la detección y eliminación de malware, la gestión de contraseñas y la protección de datos en tránsito.

• Servicios gestionados: Los servicios gestionados PCI son servicios que proporcionan una solución PCI completa, que incluye la instalación, configuración, mantenimiento y actualización de la solución. Estos servicios pueden ser una buena opción para las organizaciones que no tienen los recursos o los expertos necesarios para gestionar su propia seguridad de datos de tarjetas de pago.

¿CÓMO CUMPLIR CON LAS NORMAS PCI DSS?

Las Normas PCI DSS son un conjunto de requisitos complejos y detallados. Para cumplir con las normas, las empresas deben realizar una evaluación de riesgos para identificar los datos de tarjetas de pago que almacenan, procesan o transmiten. A partir de esta evaluación, las empresas deben implementar las medidas de seguridad necesarias para proteger estos datos.

Las empresas también pueden optar por contratar a un tercero para que realice una evaluación de cumplimiento de PCI DSS. Un tercero puede ayudar a las empresas a identificar las áreas en las que no cumplen con las normas y a desarrollar un plan de cumplimiento.

¿CÓMO ELEGIR UNA SOLUCIÓN PCI?

Al elegir una solución PCI, las organizaciones deben considerar los siguientes factores:

• Necesidades de seguridad: Las organizaciones deben evaluar sus necesidades de seguridad para determinar qué tipo de solución PCI es la más adecuada.

• Tamaño de la organización: Las soluciones PCI están disponibles para organizaciones de todos los tamaños. Las organizaciones deben elegir una solución que se adapte a su tamaño y presupuesto.

• Requisitos de cumplimiento: Las organizaciones deben asegurarse de que la solución PCI que elijan cumpla con sus requisitos de cumplimiento.

Autor: Anónimo

ANTIVIRUS POWERTECH PARA IBM i

DEFENSA CONTRA MALWARE PARA IBM i

El reciente aumento de los ataques de malware y ransomware ha puesto de relieve la necesidad de proteger los servidores (incluidos los servidores de Power Systems que ejecutan IBM i) de programas maliciosos. Powertech Antivirus para IBM i es una solución de escaneo creada para IBM i para brindar la seguridad, estabilidad y confiabilidad que las organizaciones modernas necesitan.

IBM i incluye funcionalidad incorporada para admitir el escaneo antivirus nativo, pero la plataforma no contiene un motor de escaneo. Como el único motor de análisis antivirus comercial nativo de IBM i, Powertech Antivirus llena ese vacío. Al integrarse perfectamente con el sistema operativo IBM i, Powertech Antivirus elimina muchos de los problemas que pueden introducir los motores de exploración que no se ejecutan de forma nativa en IBM i.

Ningún sistema operativo puede permitirse el lujo de estar desprotegido. IBM i se utiliza normalmente para aplicaciones y datos críticos. Esto significa que la amenaza de virus malware y ransomware supone un riesgo importante para su organización. Powertech Antivirus está diseñado para proporcionar el nivel de protección que sus servidores Power Systems necesitan.

ANTIVIRUS POWERTECH PARA IBM i

Diseñado específicamente para los sistemas de archivos utilizados por IBM i, Powertech Antivirus proporciona escaneo nativo del sistema de archivos que le permite escanear las estructuras del sistema operativo que no se encuentran en otras plataformas, como enlaces recursivos, para descubrir virus y códigos maliciosos dondequiera que se encuentren. Además de comprender los enlaces recursivos, Powertech Antivirus para IBM i le permite escanear objetos de IBM i en busca de firmas digitales modificadas (un signo de manipulación).

CARACTERÍSTICAS CLAVE

Escaneo de sistemas de archivos nativos para sistemas IBM i

Para encontrar virus donde se esconden, es importante usar una herramienta nativa para evitar fallas en el escaneo y problemas de seguridad. Powertech Antivirus está diseñado específicamente para escanear sistemas IBM i de forma segura y eficaz.

Elimine los problemas de rendimiento

Si no está utilizando un programa creado para IBM i, el proceso de escaneo de malware es lento y aumenta la carga de su red. Las soluciones de malware diseñadas para IBM i eliminan estas preocupaciones.

Protección mejorada contra ransomware

La detección de ransomware basada en el comportamiento protege a IBM i del ransomware que se origina en sistemas que acceden a IBM i a través de unidades compartidas. La detección híbrida sin firmas de última generación protege sus sistemas de ataques de malware conocidos y desconocidos.

Análisis heurístico avanzado

Powertech Antivirus utiliza una técnica llamada análisis heurístico para identificar virus no identificados previamente mediante características que a menudo los distinguen, como la modificación espontánea de archivos o la replicación.

Opciones de escaneo flexibles

Puede optar por escanear archivos dinámicamente a medida que se abren o Powertech Antivirus funciona con cualquier solución comercial de programación de trabajos, para que pueda decidir qué directorios escanear y cuándo escanearlos.

Escaneo de particiones

No pierda tiempo ni dinero instalando múltiples soluciones antivirus en toda su empresa. Powertech Antivirus garantiza que todas sus particiones de Linux, AIX e IBM i estén libres de malware, virus y gusanos.

Escaneo de integridad de objetos

IBM y otros proveedores firman digitalmente sus objetos, pero estos objetos todavía corren el riesgo de sufrir modificaciones. Cuando utiliza Powertech Antivirus para IBM i, puede escanear y detectar objetos modificados, programas parcheados y otras modificaciones no autorizadas en IBM i.

Informes de cumplimiento integrales

Powertech Antivirus informa sobre cualquier cosa que un auditor solicitaría, incluidos directorios escaneados, infecciones encontradas y actividad de limpieza/cuarentena. Toda la actividad de escaneo de malware se registra en el diario de auditoría del sistema y también se puede transmitir a su archivo syslog para obtener un seguimiento de auditoría claro.

Aportes de valor

Protección de datos y la información

Apoya en la protección los datos y la información confidencial de las organizaciones contra el robo o la destrucción.

Reducción de los riesgos de seguridad

Reduce los riesgos de seguridad que pueden afectar el funcionamiento de las organizaciones. 

Mejora de la eficiencia

Powertech para IBM i ayuda a mejorar la eficiencia de las organizaciones al reducir el tiempo y los recursos necesarios para la gestión de seguridad. 

Mayor tranquilidad

Proporciona a los usuarios una mayor tranquilidad, sabiendo que sus datos e información están protegidos.

Fuente:

fortra.com