martes, septiembre 17, 2019

ESET Security Report 2019



Ya podemos comentar los resultados del reporte ESET 2019, reporte que fue recientemente publicado. Veamos lo mas destacable que se incluye este año.

Mas de 3000 profesionales de seguridad encuestados, 10 tipos de industrias diferentes gubernamentales o privadas, con datos de empresas de 13 países de la región, incluyendo Colombia (18%), Argentina (15%), Guatemala (12%), México (10%) y Chile (10%).

Datos y cifras relevantes:
  1. Solo la mitad de las empresas encuestadas cuenta con 3 de los controles más básicos, antivirus, firewall y backup.
  2. El 61% de las empresas sufrió por lo menos un incidente de seguridad.
  3. 10% Disminuyó la cantidad de casos de ransomware respecto del año anterior.
  4. 2 de cada 5 Empresas de Latinoamérica sufrieron una infección de malware en 2018
  5. 7% De crecimiento respecto al año anterior, en la cantidad de archivos maliciosos vistos en Latinoamérica durante 2018, problema que va en aumento para los usuarios de la región. 
  6. 2 de cada 5 empresas no tienen políticas de seguridad. 
  7. Apenas una tercera parte del total de empresas encuestadas cuenta con un Plan de continuidad del negocio. Ocurre un evento comprometedor y parálisis por tiempo indefinido. 
  8. 40% De las empresas en las que NO se implementan actividades educativas sufrió incidentes de ingeniería social.
  9. las herramientas de detecciones de intrusiones apenas alcanzan a un tercio (29%) de las empresas.
  10. La falta de información y la baja adopción de algunas tecnologías de sencilla complementación son algunos de los puntos más preocupantes del panorama actual de las empresas


Incidentes de seguridad por país:



Ingeniería Social + Phishing
Esta en franco aumento, afectando a un 15% de las empresas analizadas, siendo así la amenaza que mayor aumento presento como incidente, presentandose campañas de phishing de marcas tan reconocidas como apple, netflix, mastercard o nespresso entre otras.Es importante resaltar que este tipo de engaños, basados en Ingeniería Social, han evolucionado a lo largo de los años, volviéndose cada vez más efectivos.   

¿Como esta Colombia?
El informe incluye varios listados: 
Total de Incidentes: puesto 7.
variantes diferentes de Ransomware vistas en países de Latinoamérica: Puesto 5
variantes diferentes de Miners vistas en países de Latinoamérica puesto 5
Niveles de implementación de controles básicos de seguridad por país Primer puesto!
Niveles de implementación de prácticas de gestión para la seguridad puesto 5

Conociendo la "malicia indígena" de los delincuentes que operan en nuestro país, la verdad los resultados son alentadores, pues precisamente por dicha situación cualquier persona podría considerar que estaríamos peor ubicados pero tranquiliza un poco saber que no es así. 



Si desean ver el archivo completo, lo pueden ver en este link
Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,

lunes, septiembre 16, 2019

Ecuador: filtrada la información personal de TODA su población!



La información personal de prácticamente todo ciudadano Ecuatoriano se filtro en linea en una fuga fatal de información. Nombres, números telefónicos e información financiera de aproximadamente 20 millones de ecuatorianos se encontraron en un servidor en la nube por trabajadores de la compañía vpnMentor.

En cerca de 18 GB de información, se encontró información relacionada con personas ya fallecidas, asi como de cerca de 17 millones de personas, incluyendo información personal de cerca de 6,7 millones de niños. 

Los archivos encontrados contienen una enorme cantidad de información sensible, como registros familiares, fechas de matrimonios, historial académico, historial laboral, y los 10 dígitos que componen los documentos de identidad llamados igual que en Colombia, cédulas de ciudadanía. 

Analistas de la mencionada empresa mencionan que es una filtración demasiado seria pues se puede utilizar para por medio de la ingeniería social, conseguir inclusive aun mas información confidencial.  a pesar de que los detalles exactos aun no se conocen, la información filtrada podría contener información directamente de fuentes gubernamentales y/o bancarias de dicho país. 

Un análisis de la información filtrada le permitiría a cualquier persona hacer un listado de las personas mas adineradas del país que seria la envidia de cualquier grupo antisocial. La información incluye quien tiene grandes cantidades de dinero, donde viven o han vivido, si están casados o tienen hijos, que carros conducen así como las placas de dichos vehículos. 

La información fue encontrada en una serie de archivos guardados en un servidor ubicado en Miami, Florida, los cuales estaban manejados por una compañía de mercadeo y análisis de datos llamada Novaestrat. Una vez se descubrió la información, se contacto dicha compañía, restringiéndose el acceso a dicha información el 11 de septiembre de 2019. 

Para finalizar; esta filtración es similar a una que ocurrió recientemente en otro pais Sudamericano el mes pasado, en la que se encontró en un servidor los registros electorales de cerca del 80% de los 14,3 millones de ciudadanos chilenos. 
Publicadas por a la/s No hay comentarios.:
Etiquetas:

viernes, septiembre 13, 2019

Resultados encuesta mundial ISO Survey 2018 ¿Como nos fue?


Se acaban de publicar los resultados de la ISO SURVEY del año 2018, veamos un par de resultados que son de interés para este blog:

Colombia actualmente tiene 146 certificaciones otorgadas, que si bien nos ubica en un segundo puesto, estamos lejos de las 218 con las que cuenta México; pero también es para destacar que se supera a Brasil, país que pensé estaría en el puesto No 1 de este Ranking. Lamentable ver que Venezuela no tiene ni siquiera una certificación, pero comprensible dada la incertidumbre empresarial que hay en dicho país. 




OJO! Comparado con el año 2017, hubo una disminución de 2 certificaciones; y salimos peor librados comparándonos con 2016, pues tenemos 17 certificaciones menos con respecto a ese año. 

 

Hablemos ahora de los sectores: lastimosamente en primer lugar el listado incluye 85 de estas certificaciones en "Otros sectores" lo cual no comprendo, pues ISO claramente debe conocer los sectores que están certificados, pero asumo que por alguna clausula de confidencialidad no están en libertad de compartir dicha información. En segundo lugar, y guardando alguna coherencia con el enfoque de los SGSI, estan las empresas del sector IT, y en tercer lugar, nuevamente, "Otros servicios".
Publicadas por a la/s No hay comentarios.:
Etiquetas: ,

martes, septiembre 10, 2019

Lanzada la ISO 27701:2019 PIMS


Fue lanzada ya de manera oficial la ISO 27701: Técnicas de Seguridad Extensión a la ISO 27001 y 27002 para la gestión de información personal. Requerimientos y guías. El alcance de esta norma es mejorar los Sistemas de Gestion de Seguridad de Informacion (SGSI)  con requerimientos adicionales para mejorar un Sistema de Gestion de Informacion Personal; pero fundamentalmente es una norma enfocada específicamente para la seguridad de los datos de carácter personal. 

Esta es la presentación de la norma:

Este documento especifica los requerimientos y suministra guías para establecer, implementar mantener y mejorar continuamente un Sistema de Gestión de Información Privada (PIMS en ingles) a manera de extensión de las normas ISO 27001 y 27002 para gestión de la privacidad dentro del contexto de la Organización. 

Este documento especifica los requerimientos relacionados a los PIMS y suministra una guía para el control y procesamiento de Información de Identificación Personal (PII Personal Identifiying Information en ingles), asignando responsabilidades en el manejo de esta información. 

Este documento es aplicable a todo tipo y tamaño de empresas, incluyendo publicas y/o privadas, entidades gubernamentales o sin animo de lucro que manejen información confidencial dentro de un Sistema de Gestión de Seguridad de la Información ó SGSI.

 De momento los dejo con la tabla de contenido de la norma en ingles:
Introduction1 Scope2 Normative references3 Terms, definitions and abbreviations4 General4.1 Structure of this document4.2 Application of ISO/IEC 27001:2013 requirements4.3 Application of ISO/IEC 27002:2013 guidelines4.4 Customer5 PIMS-specific requirements related to ISO/IEC 270015.1 General5.2 Context of the organization5.3 Leadership5.4 Planning5.5 Support5.6 Operation5.7 Performance evaluation5.8 Improvement6 PIMS-specific guidance related to ISO/IEC 270026.1 General6.2 Information security policies6.3 Organization of information security6.4 Human resource security6.5 Asset management6.6 Access control6.7 Cryptography6.8 Physical and environmental security6.9 Operations security6.10 Communications security6.11 Systems acquisition, development and maintenance6.12 Supplier relationships6.13 Information security incident management6.14 Information security aspects of business continuity management6.15 Compliance7 Additional ISO/IEC 27002 guidance for PII controllers7.1 General7.2 Conditions for collection and processing7.3 Obligations to PII principals7.4 Privacy by design and privacy by default7.5 PII sharing, transfer, and disclosure8 Additional ISO/IEC 27002 guidance for PII processors8.1 General8.2 Conditions for collection and processing8.3 Obligations to PII principals8.4 Privacy by design and privacy by default8.5 PII sharing, transfer, and disclosureAnnex
A PIMS-specific reference control objectives and controls (PII Controllers)Annex B PIMS-specific reference control objectives and controls (PII Processors)Annex C Mapping to ISO/IEC 29100Annex D Mapping to the General Data Protection RegulationAnnex E Mapping to ISO/IEC 27018 and ISO/IEC 29151Annex F How to apply ISO/IEC 27701 to ISO/IEC 27001 and ISO/IEC 27002F.1 How to apply this documentF.2 Example of refinement of security standards
El documento en ingles tiene 66 paginas en total. 
Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)