A partir de 2025, la innovación se acelerará con la apertura de la región de AWS en México, rompiendo paradigmas históricos en tecnología y transformación digital, ya que, en un país conocido por sus estrictas regulaciones en el sector financiero —donde bancos, aseguradoras y fintechs deben garantizar la residencia de datos productivos—, esta nueva región elimina barreras que antes limitaban la transformación digital.

Sin embargo, ahora, la transformación no tendrá límites.

La ciberseguridad sigue siendo una inversión prioritaria para las empresas. En América Latina, la proporción de la seguridad informática en el presupuesto general de TI creció del 22% en 2019 al 30% en 2020 en las PyMES y del 27% al 34% en las empresas de mayor tamaño. Asimismo, el 59% de las organizaciones espera aumentar en los próximos tres años su presupuesto de ciberseguridad.
Así lo señala el informe Ajuste de la inversión: alineando los presupuestos de TI con las prioridades de seguridad, difundido por la empresa Kaspersky. Tales estimaciones se producen a pesar de que, en términos generales, durante la pandemia del COVID-19, se ha recortado el gasto de TI, y el de ciberseguridad en particular, especialmente entre aquellas PyMES más impactadas económicamente.

Las prioridades de TI de las empresas pueden verse condicionadas por determinados eventos externos. Tal es el caso de la crisis derivada del confinamiento por la COVID-19, que ha llevado a las organizaciones a ajustar sus planes para adaptarse a nuevas necesidades, desde la digitalización urgente a la optimización de costos.

Kaspersky realizó este estudio, basado en una encuesta a más de 5,000 profesionales de TI y ciberseguridad en 31 países, en el que se analizan las últimas tendencias económicas en seguridad TI y su relación con lo acontecido este año.
Según refleja la investigación, la partida del presupuesto de TI dedicada a la seguridad sigue creciendo año tras año en los países de la región: de $114,000 dólares en 2019 a $250,000 dólares en 2020 en el caso de las PyMES latinoamericanas, y de $13 millones de dólares en 2019 a $20 millones de dólares en 2020 en las grandes empresas.
Sin embargo, un pequeño porcentaje de las empresas, el 9% de las PYMES y el 13.5% de las grandes compañías latinoamericanas tienen previsto reducir el gasto en seguridad de TI en los próximos tres años.
De estas últimas, el 28% alega que la alta dirección no ve ninguna razón para invertir tanto en seguridad de TI, mientras que otro 28% comentó que pueden tomar esta decisión, debido a que las funciones de Seguridad Informática han sido asumidas por empresas de outsourcing.

Sugerencias para preservar la seguridad

Kaspersky sugiere a las empresas que sigan las siguientes recomendaciones para mantener la seguridad, incluso con presupuestos limitados:
• Mantenga siempre al equipo al tanto de los riesgos de seguridad de TI, como el phishing, las amenazas web, el malware bancario y otros que pueden afectar a los empleados en su rutina de trabajo diaria.
• Asegúrese de que todos los sistemas, software y dispositivos estén actualizados. Esto ayudará a evitar infiltraciones de malware en los sistemas corporativos, a través, por ejemplo, de un sistema operativo sin parches de actualización.
• Establezca la práctica de utilizar contraseñas seguras para acceder a los servicios corporativos. Utilice la autenticación multifactorial para el acceso a servicios remotos.
• Asegúrese de que todos los dispositivos corporativos estén protegidos con contraseñas fuertes y que se cambien de manera regular.
• Utilice servicios y plataformas basados en la nube probados cuando transfiera datos empresariales. Asegúrese de que protege todos los archivos compartidos con contraseñas, por ejemplo, en Google Docs, o póngalos a disposición de un círculo limitado dentro de un grupo de trabajo.
• Utilice una herramienta gratuita de seguridad para endpoint, como Kaspersky Anti-Ransomware Tool for Business, que ofrece protección tanto para PCs como servidores frente a una amplia gama de amenazas, como el ransomware, los criptomineros, el adware, el software pornográfico y los exploits, entre otros.
• Existen también algunas herramientas útiles que podrían ayudar a cubrir necesidades específicas de ciberseguridad, como la comprobación de archivos, direcciones IP, dominios y URL sospechosos.

Fuente: https://cio.com.mx/aumenta-el-presupuesto-para-ciberseguridad-en-empresas-pese-a-los-recortes-por-covid-19/

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

Son los asuntos relacionados con la seguridad y la conformidad compartida entre AWS y el cliente. Este modelo compartido puede aliviar la carga operativa del cliente, ya que AWS opera, administra y controla los componentes del sistema operativo host y la capa de virtualización hasta la seguridad física de las instalaciones en las que funcionan los servicios. El cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), de cualquier otro software de aplicaciones asociado y de la configuración del firewall del grupo de seguridad que ofrece AWS.

Los clientes deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios que utilicen, de la integración de estos en su entorno de TI y de la legislación y los reglamentos correspondientes. La naturaleza de esta responsabilidad compartida también ofrece la flexibilidad y el control por parte del cliente que permite concretar la implementación. Como se muestra a continuación, la diferenciación de responsabilidades se conoce normalmente como seguridad “de” la nube y seguridad “en” la nube.

Responsabilidad AWS

AWS es responsable de proteger la infraestructura que ejecuta todos los servicios provistos en la nube de AWS. Esta infraestructura está conformada por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de AWS.

Responsabilidad del cliente

La responsabilidad del cliente estará determinada por los servicios de la nube de AWS que el cliente seleccione. Esto determina el alcance del trabajo de configuración a cargo del cliente como parte de sus responsabilidades de seguridad. Por ejemplo, un servicio como Amazon Elastic Compute Cloud (Amazon EC2) se clasifica como Infraestructura como servicio (IaaS) y, como tal, requiere que el cliente realice todas las tareas de administración y configuración de seguridad necesarias.

Los clientes que implementan una instancia de Amazon EC2 son responsables de la administración del sistema operativo huésped (incluidos los parches de seguridad y las actualizaciones), de cualquier utilidad o software de aplicaciones que el cliente haya instalado en las instancias y de la configuración del firewall provisto por AWS (llamado grupo de seguridad) en cada instancia. En el caso de los servicios extraídos, cómo Amazon S3 y Amazon DynamoDB, AWS maneja la capa de infraestructura, el sistema operativo y las plataformas, mientras que los clientes acceden a los puntos de enlace para recuperar y almacenar los datos. Los clientes son responsables de administrar sus datos (incluidas las opciones de cifrado), clasificar sus recursos y utilizar las herramientas de IAM para solicitar los permisos correspondientes.

Este modelo de responsabilidad compartida entre los clientes y AWS también abarca los controles de TI. De la misma forma que AWS y sus clientes comparten la responsabilidad del funcionamiento del entorno de TI, también comparten la administración, el funcionamiento y la verificación de los controles de TI. AWS puede ayudar a aliviar la carga que supone para los clientes operar los controles, para lo que administra los controles asociados con la infraestructura física implementada en el entorno de AWS de cuya administración se encargaba anteriormente el cliente. Dado que la implementación de cada cliente se realiza de manera diferente en AWS, los clientes tienen la oportunidad de migrar a AWS la administración de determinados controles de TI para obtener un (nuevo) entorno de control distribuido. Los clientes pueden usar la documentación de conformidad y control de AWS disponible para ejecutar sus procedimientos de verificación y evaluación de controles según sea necesario. A continuación se incluyen ejemplos de controles cuya administración está a cargo de AWS, de los clientes de AWS o de ambos.

Controles físicos y de entorno

Controles heredados

Controles que un cliente hereda totalmente de AWS.

Controles Compartidos

Controles que se aplican tanto a la capa de la infraestructura como a las capas de los clientes, pero en contextos o perspectivas completamente independientes. En un control compartido, AWS suministra los requisitos para la infraestructura y el cliente debe proveer su propia implementación de controles en el uso que haga de los servicios de AWS. Entre los ejemplos se incluyen:

Administración de parches

AWS es responsable de implementar parches y de corregir imperfecciones en el interior de la infraestructura, pero los clientes son responsables de implementar parches en sus aplicaciones y sistemas operativos huésped.

Administración de configuración

AWS mantiene la configuración de sus dispositivos de infraestructura, pero el cliente es responsable de configurar sus aplicaciones, bases de datos y sistemas operativos huésped.

Información y formación técnica

AWS capacita a los empleados de AWS, pero el cliente debe capacitar a sus propios empleados.

Controles específicos del cliente

controles que son de absoluta responsabilidad del cliente en función de la aplicación que implementa dentro de los servicios de AWS. Entre los ejemplos se incluyen:

Seguridad de zona o protección de comunicaciones y servicios, qué podrían necesitar que el cliente direccione o separe en zonas datos en entornos de seguridad específicos.

Fuente: https://aws.amazon.com/es/compliance/shared-responsibility-model/

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

Las empresas dependen de las aplicaciones SaaS para innumerables funciones, como colaboración, marketing, uso compartido de archivos y más. Pero, de manera problemática, a menudo carecen de los recursos para configurar esas aplicaciones para prevenir ataques cibernéticos, exfiltración de datos y otros riesgos.

Las violaciones de datos catastróficas y costosas son el resultado de errores de configuración de seguridad de SaaS. El Informe de Investigaciones de Violación de Datos de Verizon 2020 encontró que los errores son la segunda causa más importante de filtraciones de datos, y representan aproximadamente una de cada tres violaciones. De ellos, las configuraciones incorrectas son, con mucho, las más comunes, y a menudo resultan en la exposición de las bases de datos o el contenido del sistema de archivos directamente en un servicio en la nube.
Las empresas tienden a ser tan vulnerables como las configuraciones de seguridad más débiles que han habilitado para sus aplicaciones SaaS. Para ilustrarlo, el equipo de Adaptive Shield ha descubierto errores de configuración de SaaS que dejan a las empresas abiertas al espionaje corporativo con un solo clic, exponiendo toda su nube.

Los equipos de seguridad de TI deben hacer más para proteger a sus organizaciones de los riesgos causados por aplicaciones SaaS mal configuradas. Aquí hay cinco errores de configuración de SaaS que vemos todo el tiempo que debe verificar y corregir según sea necesario:

1. Asegúrese de que los administradores de su sistema SaaS usen MFA, incluso si SSO está habilitado.
   SSO se ha convertido en una característica clave para asegurar el acceso a las aplicaciones SaaS; sin embargo, todavía hay algunos usuarios que pueden, por diseño, omitir este control. Por motivos de mantenimiento, la mayoría de los proveedores de SaaS permiten a los propietarios de sistemas iniciar sesión con su nombre de usuario y contraseña, aunque el SSO esté activado. Asegúrese de que la autenticación multifactor obligatoria esté habilitada para estos superusuarios. Si sus administradores confían en el nombre de usuario y las contraseñas, y las credenciales de un administrador se ven comprometidas, los atacantes podrán acceder a la cuenta.
2. Los buzones de correo compartidos son platos fáciles, apreciados por los Ciberdelincuentes. Arregle el suyo.
   Muchas empresas utilizan buzones de correo compartidos para información financiera, de clientes y de otro tipo. Descubrimos que las organizaciones tienen un buzón compartido por cada 20 empleados en promedio. Estos presentan problemas porque no tienen un propietario claro y cada usuario tiene una contraseña, que es estática porque nadie la cambia. Los problemas son tan graves que Microsoft incluso recomienda bloquear el inicio de sesión para las cuentas de buzón de correo compartidas.
3. Gestionar usuarios externos con acceso a información interna.
   Hoy en día, muchas empresas intercambian información mediante herramientas de colaboración. Si bien el uso compartido externo es una excelente manera de extender su organización a sus proveedores y socios, conlleva el riesgo de perder el control sobre sus datos. Asegúrese de definir una política de colaboración con usuarios externos y establecer las limitaciones adecuadas en todas las aplicaciones SaaS.
4. No sabes lo que no puedes ver; active la auditoría para maximizar la visibilidad y el control.
   Como experto en seguridad, debe conocer la información que le falta. Si bien las acciones auditadas predeterminadas son suficientes para algunas organizaciones, para otras, puede ser una brecha de seguridad importante. Asegúrese de comprender lo que no está viendo y optimice si existen brechas.
5. Asegúrese de que ninguna entidad de datos sea accesible de forma anónima sin su conocimiento.
   Mantener un control total sobre sus datos corporativos no es una tarea fácil. Y solo se vuelve más difícil a medida que agrega aplicaciones SaaS.

Identifique qué recursos están expuestos públicamente, como paneles, formularios, debates o cualquier otra entidad de datos, y actúe ahora para solucionarlos.

Fuente: https://thehackernews.com/2020/11/worried-about-saas-misconfigurations.html

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

Contáctanos

Solicita una consulta gratuita. Envíanos un mensaje y en breve uno de nuestros representantes se pondrá en contacto contigo.

La brecha por falta de habilidades y talento en ciberseguridad sigue en aumento.
Un estudio de ESG e Information Systems Security Association (ISSA) pone de relieve que el 70% de las compañías se ven afectadas por esta carencia de recursos.
A pesar de la importancia que ha cogido la ciberseguridad como uno de los pilares básicos de la transformación digital –más si cabe con la presencia del teletrabajo forzado– la brecha generada por la ausencia de habilidades técnicas y la escasez de profesionales sigue en aumento, según un estudio de ESG e Information Systems Security Association (ISSA). Y, es que, hasta el 70% de los trabajadores especializados cree que su organización se ve afectada por la falta de habilidades. En los últimos cuatro años, este dato ha llegado a crecer hasta cinco puntos porcentuales.

De este modo, esta carencia genera una carga de trabajo extra, y cada vez más creciente, para los expertos de ciberseguridad, que además se tienen que encargar de la capacitación del personal y lidiar con la insuficiencia de recursos. “Estamos tan ocupados apagando incendios que no nos hemos tomado tiempo para aprender a sacar provecho de las herramientas “, aseguran.

Asimismo, la brecha se agiganta si hablamos de seguridad de aplicaciones, nube y análisis. Las organizaciones mueven cada vez más cargas de trabajo a la nube pública y se enfrentan a amenazas cada vez más sofisticadas, lo que genera desconcierto.

El informe pone de relieve también que solo el 7% de los profesionales estima que su compañía ha mejorado su posición en cuanto a la ciberseguridad en los últimos años. El 45% dice que han empeorado y el 48% cree que se encuentran en la misma situación.

Como conclusiones finales, la encuesta expresa que esta escasez muestra dos vertientes; por una parte, que no hay suficientes profesionales; por otra; las habilidades también escasean.
Fuente: https://cso.computerworld.es/tendencias/la-brecha-por-falta-de-habilidades-y-talento-en-ciberseguridad-sigue-en-aumento
En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

A medida que la pandemia continúa obligando a las organizaciones a cambiar a la configuración de trabajo desde casa, más empresas están aceptando el hecho de que se necesitan cambios en la continuidad, la seguridad y la movilidad.
En la industria, incluidos cambios en la seguridad en línea y las actividades ciberdelincuentes y la necesidad de una mayor comprensión de la gobernanza como una función distribuida.
Se deben cambiar los conceptos erróneos sobre seguridad.
Actualmente, trabajar de forma remota es algo más fácil ahora que la seguridad se considera un elemento crítico para el éxito. Sin embargo, en el pasado, los equipos de seguridad se consideraban únicamente como apoyo de la función administrativa; con demasiada frecuencia, también se los percibía como “obstáculos” que, en el último minuto, señalaban cuestiones que debían abordarse antes de poder implementar soluciones.
Se debe mejorar la seguridad ha implicado muchos cambios, incluido el cambio de conceptos erróneos, la transformación de perspectivas, la formulación de preguntas que son difíciles y más allá de las operaciones, la educación continua y la práctica de la autosuficiencia para el cumplimiento de la seguridad. Como resultado, el papel de la seguridad también se ha vuelto más visible e involucrado.
Sin embargo, la estrategia de involucrar la seguridad desde el principio dependía no solo del equipo de seguridad, sino también de cambiar la mentalidad de todo el equipo.
La seguridad continúa siendo primordial para la empresa, especialmente desde que trabajar de forma remota se ha convertido en parte de la “nueva normalidad”. Para asegurar sus operaciones en estas circunstancias, se debe evaluar qué cambios deben realizarse, ya sea de forma temporal o permanente, para garantizar que el negocio esté habilitado y que se mantenga la privacidad del cliente.

Una estrategia centrada en la nube y posibilitando la movilidad.

La compañía debe adoptarse a una mentalidad de nube primero durante bastante tiempo y ha estado avanzando con importantes esfuerzos de transformación digital, los cuales claramente ayudan a permitir una transición sin problemas a una fuerza laboral remota igualmente significativa. La flexibilidad, disponibilidad, fácil adquisición y capacidad de expansión de la nube brindan facilidad y ayudan a habilitar la movilidad.
La seguridad en la nube es un modelo de responsabilidad compartida. Algunos de los controles y la gobernanza son responsabilidad del proveedor de alojamiento, mientras que otros pertenecen al proveedor de la solución. Para ello, es clave para una organización tener un buen proceso para evaluar la seguridad de las soluciones que utiliza, tanto interna como externamente a través de socios.

Puntos clave:

• Cambia la percepción. Involucre a los equipos de seguridad desde el principio y con frecuencia para crear asociaciones y dejar de ser un obstáculo.
  • Habilite los recursos. Ya sea que una organización esté educando a los equipos sobre cómo mirar la funcionalidad desde el punto de vista de un adversario o proporcionando herramientas y procesos que les permitan ser autosuficientes, el resultado final será una seguridad más sólida y mejores relaciones.
  • Coordinar con terceros. Incluso hoy en día, hay muchos casos en los que las empresas confían erróneamente o creen que el proveedor de alojamiento solo tiene su seguridad cubierta. Sin embargo, las organizaciones deben asegurarse de que su programa de administración de terceros haga las preguntas correctas en relación con las soluciones en la nube / alojadas para que puedan tomar decisiones informadas basadas en el riesgo.
  • Confíe en las asociaciones. Cuando necesite nuevas soluciones / herramientas para la nube, aproveche las asociaciones existentes tanto como sea posible para impulsar eficiencias e integraciones.

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

En esta era digital acompañada por escenarios de contingencia, conocemos diversos casos en los que se ha violado la privacidad y confidencialidad de las organizaciones por medios cibernéticos. Lo cual evidentemente ha provocado daño a su imagen, además de tiempo y dinero. De ahí que sea imprescindible contar con medidas de aseguramiento de la calidad en los servicios que brindan rentabilidad al negocio garantizando su continuidad.

Afrontar tal desafío tiene que ver con la transformación en la manera de operar, implementando pruebas de desempeño y análisis de vulnerabilidades. Midiendo el desempeño de sus soluciones tecnológicas para reducir riesgos y aumentar certezas.

UN CLARO EJEMPLO

Pensemos en una dependencia federal en materia energética, debiendo cumplir funciones por demás relevantes que marcan un referente en el plano de la seguridad y desarrollo nacional e internacional.

Esta agencia gubernamental requiere verificar la calidad de sus soluciones tecnológicas desarrolladas para validar el correcto desempeño de sus aplicativos, estresándolos con pruebas de desempeño para detectar la cantidad de usuarios concurrentes que soportará precisamente cada uno de sus aplicativos.

Confirmando que cumplan con los estándares de seguridad a través de la detección de vulnerabilidades, apoyados en una metodología de seguridad de auditoría. Una metodología orientada al análisis de seguridad de sus aplicativos y usada como referente.

En ese contexto, se necesita del aseguramiento de una Fábrica de Software, validando de manera cuantitativa la calidad del desarrollo entregado por el proveedor. Debe contarse con un servicio de aseguramiento de la calidad para realizar la ejecución de pruebas de desempeño y análisis de vulnerabilidades.

HACEMOS QUE SUCEDA

Como aliado de negocio, Itera adecuó la metodología de pruebas presentada, adaptándose a las necesidades de esta dependencia, teniendo como referente marcos internacionales como ISTQB, CMMI, OWASP, TMMi y PMI. Dentro de las actividades previas a la ejecución de pruebas se definieron herramientas, proceso de pruebas y estándares (métricas) que certifiquen la calidad de las soluciones desarrolladas.

Una vez que efectuamos la ejecución de pruebas de calidad, con el fin de evaluar objetivamente las soluciones tecnológicas, coadyuvamos a implementar una metodología para la gestión de la calidad del producto durante el ciclo de vida del desarrollo.

Es así como en Iterapodemos garantizar la disponibilidad de los sistemas de información que aseguran la continuidad del negocio, permitiendo a la Alta Dirección conocer el rendimiento real de estos sistemas en comparación con las expectativas.

Mejorando la experiencia de los clientes, aumentando los ingresos en línea, manteniendo actualizada la detección de amenazas que comprometen la protección de la información. Contando con un conjunto de medidas que resulten efectivas para detectar, prevenir y mitigar posibles ciberataques.

Asegurando un estado ideal precisamente en la seguridad de la información a las organizaciones que gusten confiar en nuestras soluciones de Governance IT: Pruebas de Desempeño y Análisis de Vulnerabilidades.