Security by Design es anticiparse

En los últimos años, la proliferación de aplicaciones ha permitido a las empresas, primero adaptar sus procesos de negocio a los mecanismos informáticos, con el incuestionable beneficio que ha supuesto. Después, abrir la empresa a la comunicación efectiva con clientes y proveedores. Más recientemente a la interacción con potenciales clientes o simpatizantes y en la actualidad con la famosa y omnipresente “transformación digital”.

Read more

Martes Tecnológico – “Ciberseguridad en la transformación digital: el futuro ya está aquí”

martes-tecnologicosEn esta sesión conoceremos el futuro cercano con las tecnologías que afectan a la seguridad en el diseño de aplicaciones en un momento en el que la industria afronta los retos de ubicuidad y funcionalidad sin precedentes hasta la fecha.

Además, veremos cómo la herramienta IBM Security AppScan permite a las organizaciones evaluar y realizar un seguimiento para ejecutar la seguridad de las aplicaciones de manera efectiva, y la importancia de conocer el ecosistema de aplicaciones de la organización.

Acompáñanos en este Martes  Tecnológico, donde expertos de SOGETI e IBM te darán las claves de seguridad más allá de tus aplicaciones de negocio.

Fechas:

  • Miércoles 6 de abril -Barcelona
  • Martes 12 de abril -Madrid

 

REGISTRO CERRADO

La vacuna no era eso

Recuerdo aquellos años en los que el ordenador personal dejó de ser personal para formar parte de un todo interconectado. Algunos recordarán aquellas sentencias lapidarias de Larry Ellison y Scott McNealy diciendo que “La red es el ordenador” y “El ordenador es la red”. Fueron unos momentos en los que el malware se manifestaba, sobre todo a través de virus dañinos que formateaban el ordenador y desbordaban todo lo desbordable con mensajes de correo electrónico que ayudaban a propagar la maldición. Aquellos tiempos, por aquello del principio de acción y reacción, fueron en los que florecieron los antivirus. Sin embargo, y a pesar de los nombres que tomaron aquellos remedios, los antivirus no son la vacuna. Ni lo eran entonces ni lo son ahora.

La manera más eficiente de funcionamiento de un antivirus ha sido la de localizar el payload de los virus y generar “firmas” como ayuda a identificar el malware y bloquearlo. Es posible que las defensas orgánicas tengan un patrón parecido pero hoy en día la producción de malware, y con ella la producción de las firmas para identificarlo, ha crecido de manera exponencial y este método de defensa ha llevado a reputados fabricantes de antivirus, como Symantec primero y Kaspersky después, a proclamar abiertamente la muerte del antivirus.

Es cierto que la incorporación de las firmas de virus que se generan a diario es prácticamente imposible. Hay incluso kits de generación de malware con innumerables opciones que convierten la labor preventiva en algo simplemente imposible. Pero ¿qué se puede hacer ante esta invasión? ¿Cómo se puede estar seguro ante el ataque del malware?

Existen muchas maneras de prevenir, la mayor parte de ellas tiene que ver con un comportamiento preventivo: no acceder a enlaces sospechosos, no ejecutar archivos de dudosa procedencia, evitar el uso de pendrives no identificados, identificar mensajes de phishing para poder ignorarlos olímpicamente o borrarlos sin contemplaciones,… Esto se llama CONCIENCIACIÓN y es, o más bien debería ser una medida básica de ciberseguridad en cualquier organización.

Lo habitual en los ataques es que el atacante aproveche una vulnerabilidad del sistema para explotarla y acceder a la información que es el objetivo del ataque. En ocasiones el ataque a la información se realiza de manera directa y en otras ocasiones se explotan debilidades de terceros para convertirlos ayudantes del atacante. A veces hay un verdadero ejército de ayudantes contra su vountad. “Zombies”, los llaman.

Pues ha llegado el momento de evitar los paños calientes y atacar la raíz del problema. Las vulnerabilidades en el software son la causa de la mayor parte de los males y no basta con identificar a los malos. Hay que hacer más fuertes a los buenos. El software debe construirse con principios de desarrollo seguro y conseguir la consideración de seguro desde el comienzo de su diseño. Presten atención a las palabras “Security by design”, porque en poco tiempo comenzarán a definir a los vencedores en el terreno de la ciberseguridad.

Descubre cómo SOGETI puede ayudarte a implantar estrategias de ciberseguridad eficaces en tu compañía.

 

Juan-Carlos-Pascualok

 

Juan Carlos Pascual (@JKPascual)

Security Lead en Sogeti España

El Internet de las Cosas y la seguridad que debería tener

digitalEl Internet de las Cosas no deja de ser un concepto idealizado de lo que cada uno pretende obtener de un conjunto de tecnologías que aglutinan unas presuntas bondades y que el entusiasmo que genera, unido a esa atracción que sentimos por el vacío, lo convierte un concepto preñado de aquellas funcionalidades maravillosas que nos resolverían problemas o nos facilitarían tareas cotidianas. Pero hay un lado oscuro en la posible perversión del buen funcionamiento del Internet de las Cosas, y de ello vamos a tratar. Read more