sábado, 29 de junio de 2013

Cómo generar confianza en la seguridad de la información de RRHH que se aloja en la Nube

RRHH Digital, 28-06-2013 00:03:00
Cezanne HR
RRHH Digital Cezanne HR, proveedor de software para la gestión de recursos humanos en la Nube para Pymes, axplíca cuáles han sido los principios de seguridad que fundamentan Cezanne OnDemand para garantizar la protección de la información que almacena esta solución online, que utilizan pequeñas y medianas empresas de todo el mundo.
Como explica Carlo Ugdulena, director managing de Cezanne HR, “la información de recursos humanos, es una de las más sensibles y comprometidas que posee cualquier organización. Garantizar la protección de estos datos para que permanezcan seguros, además de ser importante para proteger a los empleados, es también un requisito legal. Nosotros hemos entendido desde el primer momento de la concepción de Cezanne onDemand, que debíamos ofrecer un servicio de confianza, consistente y seguro”.
Enfoque multicapa para “blindar” la información
El planteamiento adoptado en el desarrollo de Cezanne OnDemand, responde a un enfoque multicapa que permite asegurar la protección de la información, prácticamente a todos los niveles. Las medidas que incorpora este modelo de seguridad multicapa tienen que ver con la seguridad física y con la seguridad propia del sistema.
En cuanto a la seguridad física, Cezanne OnDemand está alojado en un Centro de Datos de AWS (Amazon Web Service), uno de los principales proveedores líderes a nivel mundial en servicios de hosting. AWS proporciona a Cezanne OnDemand niveles de seguridad física propios de la banca, esto es, vigilancia a cargo de guardias jurados las 24 horas del día, video vigilancia a través de CCTV, detección de intrusiones, reconocimiento biométirco de huellas dactilares para evitar accesos no autorizados a las istalaciones, etc.
Desde el punto de vista de la seguridad del sistema, Cezanne HR protege todos los aspectos relacionados tanto con la tecnología en sí, como con la arquitectura de red necesarios para prestar el servicio de Cezanne OnDemand, desde el punto incial de entrada en la red, hasta la arquitectura del producto en sí.
El perímetro de la red está protegido por las tecnologías de servidor de seguridad, los ssitemas operativos se han fortalecido para eliminar la posibilidad de entrada por la “puerta trasera”, los sistemas están blindados gracias a la traducción de direcciones de red, IP enmascarados, y esquemas de direccionamiento IP no enrutables, entre otras medidas que apuntan desde la compañía.
El cifrado de los datos y la autenticación y autorización de los usuarios, por su parte,  también cumplen la función de salvaguarda de los datos en tránsito y evitan el acceso no autorizado a la información sensible. Este aspecto es particularmente relevante pues como asegura Carlo Ugdulena, “Cezanne OnDemand permite la incorporación de nuevos usuarios en cualquier momento, por lo que, es necesario definir sus roles de seguridad, opciones y reglas de autenticación para proteger la información. En general, la seguridad ha sido un aspecto absolutamente clave en el desarrollo de Cezanne OnDemand y, a día de hoy, podemos decir que en este sentido, nuestro sistema de “escudo” es referencia para otros grandes proveedores de software”.
Desde Cezanne HR, señalan para terminar que el acceso directo o no autorizado a la base de datos de Cezanne OnDemand es prácticamente imposible gracias a su potente arquitectura que proporciona una garantía de seguridad sin precedentes, a la implementación de una funcionalidad de aplicación en capas independientes y al resto de medidas de seguridad que protegen la solución a todos los niveles. 
Cezanne HR, proveedor de software para la gestión de recursos humanos en la Nube para Pymes, axplíca cuáles han sido los principios de seguridad que fundamentan Cezanne OnDemand para garantizar la protección de la información que almacena esta solución online, que utilizan pequeñas y medianas empresas de todo el mundo.

Como explica Carlo Ugdulena, director managing de Cezanne HR, “la información de recursos humanos, es una de las más sensibles y comprometidas que posee cualquier organización. Garantizar la protección de estos datos para que permanezcan seguros, además de ser importante para proteger a los empleados, es también un requisito legal. Nosotros hemos entendido desde el primer momento de la concepción de Cezanne onDemand, que debíamos ofrecer un servicio de confianza, consistente y seguro”.

Enfoque multicapa para “blindar” la información

El planteamiento adoptado en el desarrollo de Cezanne OnDemand, responde a un enfoque multicapa que permite asegurar la protección de la información, prácticamente a todos los niveles. Las medidas que incorpora este modelo de seguridad multicapa tienen que ver con la seguridad física y con la seguridad propia del sistema.

En cuanto a la seguridad física, Cezanne OnDemand está alojado en un Centro de Datos de AWS (Amazon Web Service), uno de los principales proveedores líderes a nivel mundial en servicios de hosting. AWS proporciona a Cezanne OnDemand niveles de seguridad física propios de la banca, esto es, vigilancia a cargo de guardias jurados las 24 horas del día, video vigilancia a través de CCTV, detección de intrusiones, reconocimiento biométirco de huellas dactilares para evitar accesos no autorizados a las istalaciones, etc.

Desde el punto de vista de la seguridad del sistema, Cezanne HR protege todos los aspectos relacionados tanto con la tecnología en sí, como con la arquitectura de red necesarios para prestar el servicio de Cezanne OnDemand, desde el punto incial de entrada en la red, hasta la arquitectura del producto en sí.

El perímetro de la red está protegido por las tecnologías de servidor de seguridad, los ssitemas operativos se han fortalecido para eliminar la posibilidad de entrada por la “puerta trasera”, los sistemas están blindados gracias a la traducción de direcciones de red, IP enmascarados, y esquemas de direccionamiento IP no enrutables, entre otras medidas que apuntan desde la compañía.

El cifrado de los datos y la autenticación y autorización de los usuarios, por su parte,  también cumplen la función de salvaguarda de los datos en tránsito y evitan el acceso no autorizado a la información sensible. Este aspecto es particularmente relevante pues como asegura Carlo Ugdulena, “Cezanne OnDemand permite la incorporación de nuevos usuarios en cualquier momento, por lo que, es necesario definir sus roles de seguridad, opciones y reglas de autenticación para proteger la información. En general, la seguridad ha sido un aspecto absolutamente clave en el desarrollo de Cezanne OnDemand y, a día de hoy, podemos decir que en este sentido, nuestro sistema de “escudo” es referencia para otros grandes proveedores de software”.

Desde Cezanne HR, señalan para terminar que el acceso directo o no autorizado a la base de datos de Cezanne OnDemand es prácticamente imposible gracias a su potente arquitectura que proporciona una garantía de seguridad sin precedentes, a la implementación de una funcionalidad de aplicación en capas independientes y al resto de medidas de seguridad que protegen la solución a todos los niveles.


Fuente: http://www.rrhhdigital.com/secciones/tecnologia-e-innovacion/93476/Como-generar-confianza-en-la-seguridad-de-la-informacion-de-RRHH-que-se-aloja-en-la-Nube
Publicado por en No hay comentarios:

sábado, 22 de junio de 2013

Negligencias en Bancos



Un banquero transfirió 295 millones de dólares mientras dormía

Un empleado alemán se quedó dormido en el teclado de su computadora y transfirió millones por error. El caso pasó del banco a un tribunal laboral
Un banquero transfirió 295 millones de dólares mientras dormía

 Es una verdadera comedia de enredos. Un empleado bancario inicia el trámite para hacer una transferencia de unos 64 euros (US$85). En el proceso, se duerme.
Pero su dedo queda posado sobre el número 2 del teclado de su computadora.
Y se queda ahí hasta completar la cifra 222.222.222,22.
Así, el hombre termina transfiriendo el equivalente a casi US$295.000.000, algo así como 347.000 veces la suma original.
¿Cómo sigue la historia? La supervisora del empleado “dormilón”, tras una larga carrera en el banco, es despedida por el banco, porque supuestamente no verificó la transacción.
EL DESTINO DE LOS MILLONES
Todo esto sucedió en abril de 2012 en Alemania.
Pero la historia no terminó allí. Pasó de la sucursal financiera a una corte legal laboral.
Y esta semana el tribunal correspondiente del estado alemán de Hesse determinó que el despido fue injusto y que la supervisora, quien trabajaba desde 1986 en el banco, sólo debió haber sido reprendida.
Tras tener en cuenta que la mujer había revisado 812 documentos el día en cuestión, la Justicia determinó que no había actuado con malicia.
Se le ordenó al banco que la volviera a contratar.
¿Y qué pasó con la persona a la que le transfirieron esos millones?
Pues nada: el mismo día del error otro empleado se dio cuenta de lo que había pasado y revirtió la operación.

Fuente:
Publicado por en No hay comentarios:

sábado, 15 de junio de 2013

Los gigantes de la internet y el gobierno de EE.UU.


Compañías de internet revelarán información de seguridad tras acuerdo con EE.UU.

Viernes, 14 de junio de 2013 | 9:42 pm
Compañías de internet revelarán información de seguridad tras acuerdo con EE.UU.
Compañías de internet revelarán información de seguridad tras acuerdo con EE.UU.
Facebook se convirtió en la primera en entregar la cifra total de solicitudes sobre datos de usuarios.
Varias compañías de internet han logrado un acuerdo con el Gobierno de Estados Unidos para entregar información limitada sobre la cantidad de solicitudes de vigilancia que reciben.
Facebook se convirtió en la primera en entregar la cifra total de solicitudes, diciendo en una publicación en su blog que recibió entre 9.000 y 10.000 solicitudes sobre datos de usuarios en la segunda mitad del 2012, cubriendo entre 18.000 a 19.000 cuentas de sus usuarios.

Los acuerdos muestran la presión impuesta sobre el Gobierno de Estados Unidos y las compañías de internet después de que se filtró la noticia la semana pasada de un controvertido programa de la Agencia Nacional de Seguridad que involucra la vigilancia a extranjeros.
La revelación del programa generó preocupaciones sobre el rango y la extensión del ejercicio de recolección de información.

Se espera que otras compañías de internet entreguen las cifras de solicitudes del Gobierno sin detallar cuántas provienen de la Agencia Nacional de Seguridad, dijeron las fuentes.
Google, Facebook y Microsoft han instado públicamente al Gobierno de Estados Unidos a permitirles revelar la cantidad y el rango de solicitudes de vigilancia que reciben, incluidas las peticiones confidenciales hechas bajo la Ley de Vigilancia de Inteligencia Extranjera (FISA, por sus siglas en inglés).
Publicado por en No hay comentarios:

sábado, 8 de junio de 2013

Se Filtra informacion sbre el programa PRISM


EE.UU.: La filtración sobre la Agencia de Seguridad Nacional es una amenaza grave
Publicado: 7 jun 2013 | 3:31 GMT Última actualización: 7 jun 2013 | 12:00 GMT




James Clapper, director de la Agencia de Seguridad Nacional de EE.UU. (NSA), calificó de "condenable" el hecho de que se haya publicado el uso del programa secreto para vigilar a los usuarios de las empresas claves de Silicon Valley.
En sus comentarios al respecto, insistió en que la filtración amenaza la seguridad nacional de EE.UU., ya que ahora los enemigos del país cambiarán su comportamiento y será más difícil entender sus intenciones.

No obstante, el director de la NSA subrayó que la colaboración del Gobierno con empresas privadas para recabar información sobre sus usuarios se limita a ciudadanos extranjeros, ya que —afirma— las leyes estadounidenses lo permiten siempre y cuando las compañías cooperen voluntariamente.

"La revelación no autorizada de un documento altamente secreto de la corte de EE.UU. potencialmente amenaza con desembocar en un daño duradero e irreversible a nuestra habilidad de identificar y responder a las numerosas amenazas a las que se enfrenta nuestro país", puntualizó Clapper.

Los diarios 'The Washington Post' y 'The Guardian' han recibido acceso a un documento de PowerPoint que al parecer fue utilizado para entrenar a agentes de inteligencia estadounidenses sobre las capacidades de un programa PRISM que permite recopilar información directamente desde los servidores de los principales proveedores de servicios internet de EE.UU., desde Apple y Microsoft hasta Yahoo, Facebook, Skype y Google. El programa permite a los especialistas de la NSA ver los datos de cualquier cliente de estas empresas, dentro o fuera de EE.UU.

El analista político Miguel-Anxo Murado cree que EE.UU. está abriendo una caja de pandora cuando afirma que estos programas solo espían a ciudadanos extranjeros, puesto que —sostiene— "con la misma justificación otros países como China, Irán o Corea del Norte" u otros países que no son amigos de EE.UU. pueden hacer lo mismo. La razón —dice— valdría para todos.

"Es hasta casi un poco cómico que la respuesta del Gobierno norteamericano sea: 'Bueno no se preocupen porque solo espiamos a extranjeros.' Claro, a la mayor parte de los habitantes del mundo, por tanto, sí que nos importa y nos preocupa mucho", indicó con sorna el analista.


Texto completo en: http://actualidad.rt.com/actualidad/view/96700-eeuu-filtracion-seguridad-nacional

EE.UU.: La filtración sobre la Agencia de Seguridad Nacional es una amenaza grave

Publicado: 7 jun 2013 | 3:31 GMT Última actualización: 7 jun 2013 | 12:00 GMT
AFP Win Mcnamee
James Clapper, director de la Agencia de Seguridad Nacional de EE.UU. (NSA), calificó de "condenable" el hecho de que se haya publicado el uso del programa secreto para vigilar a los usuarios de las empresas claves de Silicon Valley.
En sus comentarios al respecto, insistió en que la filtración amenaza la seguridad nacional de EE.UU., ya que ahora los enemigos del país cambiarán su comportamiento y será más difícil entender sus intenciones.

No obstante, el director de la NSA subrayó que la colaboración del Gobierno con empresas privadas para recabar información sobre sus usuarios se limita a ciudadanos extranjeros, ya que —afirma— las leyes estadounidenses lo permiten siempre y cuando las compañías cooperen voluntariamente.

"La revelación no autorizada de un documento altamente secreto de la corte de EE.UU. potencialmente amenaza con desembocar en un daño duradero e irreversible a nuestra habilidad de identificar y responder a las numerosas amenazas a las que se enfrenta nuestro país", puntualizó Clapper.

Los diarios 'The Washington Post' y 'The Guardian' han recibido acceso a un documento de PowerPoint que al parecer fue utilizado para entrenar a agentes de inteligencia estadounidenses sobre las capacidades de un programa PRISM que permite recopilar información directamente desde los servidores de los principales proveedores de servicios internet de EE.UU., desde Apple y Microsoft hasta Yahoo, Facebook, Skype y Google. El programa permite a los especialistas de la NSA ver los datos de cualquier cliente de estas empresas, dentro o fuera de EE.UU.

El analista político Miguel-Anxo Murado cree que EE.UU. está abriendo una caja de pandora cuando afirma que estos programas solo espían a ciudadanos extranjeros, puesto que —sostiene— "con la misma justificación otros países como China, Irán o Corea del Norte" u otros países que no son amigos de EE.UU. pueden hacer lo mismo. La razón —dice— valdría para todos.

"Es hasta casi un poco cómico que la respuesta del Gobierno norteamericano sea: 'Bueno no se preocupen porque solo espiamos a extranjeros.' Claro, a la mayor parte de los habitantes del mundo, por tanto, sí que nos importa y nos preocupa mucho", indicó con sorna
Publicado por en No hay comentarios:

La propiedad transitiva de la confianza: El uso de seguridad para evitar el fraude en línea

Usar la seguridad para promover la confianza y prevenir el fraude online 

Ninguna empresa está a salvo, no existe la seguridad al 100%:  De una encuesta que se realizo a 2000 empresas de EEUU, 614 dijeron que sus negocios habían sido afectados negativamente por su incapacidad para controlar los factores de confianza. (Ponemon Institue, Feb 2013).
Infecciones de Malware no solo son peligro de pornografía o sitios ilegales de descarga: Sitios de shopping online tienen 21 veces más de probabilidad de presentar contenidos maliciosos que de aquellos sitios que ofrecen software falsificado. (Cisco 2013 Annual Security Report).
Un específico problema de confianza: Malvertising
¿Qué entendemos por Malvertising? 
Es el uso de publicidad online para distribuir malware, esto envuelve inyección maliciosa o anuncios cargados con malware en legítimos redes de publicidad online o webpages. En resumen un Malvertising es un malware distribuido vía publicidad.
La infección silenciosa (The “silent” infection): Han estallado últimamente, incrementando 20 veces de 2010 a 2012; más del 50% de publicadores han experimentado al menos un incidente de malvertising.
La propiedad transitiva de confianza
 (The transitive Property of Trust)
Existe un ciclo de esta propiedad:
La prpiedad transitiva de la confianza



Tell your trust story to protect your funnel (Cuenta tu historia de confianza para proteger tu embudo):

La confianza es más importante que otras cosas
Desde el punto de vista del cliente cuando quiere realizar alguna compra online, esta puede no ser completada por las siguientes razones durante su compra:

Principales factores para la duda y la desconfianza de un sitio web o compra online:
Presunto sitio de “phishing” 
  Lista negra de malware
Malas noticias en medios de comunicación tradicionales
  Malas noticias en redes sociales
  Peligros de seguridad en los buscadores
  Peligros de contenido mezclados
  No presenta sello de sitio
  Inconsistente uso de indicadores de confianza
Ingresos por publicidad digital sigue en aumento año tras año
La publicidad por internet ha alcanzado 36.6 billones de dólares en 2012, superando la marca del 2011 la cual fue 31.7 billones de dólares según la IAB.
Como detener el malvertising, buenas prácticas:
  Demasiado bueno para ser verdad, primero se trata de profunda investigación.                                     Conocer a tus socios                                                                                                                        Conocer a los socios de tus socios                                                                                                         Mirar debajo de las etiquetas de quien te envía un correo.                                                                    Seguir siendo vigilantes y mantener siempre el monitoreo.

Protección alrededor del embudo:
Descubrimiento y estado:
Resultados de seguridad y reputación de cada parte de la cadena.
Extracción automática de los links de publicidad para todas las etiquetas de publicidad.
Detección y alerta:
Nuevas variantes de spots en tiempo real.
Detectar drive-by-downloads in .exe, .pdf, flash and .jar objects.
      Notificaciones de correo inmediatamente
Presenter un expediente completo de cada malvertisement:
Ad server URL
Tipo de malware e identificación
Payload details
Mejores prácticas: Build a Trust Center
Reemplazar tus políticas de repositorio:
Declaración de privacidad
 Declaración de seguridad
 Darse de baja (Unsubscribe)
 Política de cookies

 Colección de datos, almacenamiento y movimiento.


Publicado por en No hay comentarios:

sábado, 1 de junio de 2013

INFRAESTRUCTURA DE DATA CENTER


Cómo diseñar un  centro de datos óptimo



El centro de datos es un recurso clave. Muchas organizaciones simplemente
paran cuando sus empleados y clientes no pueden acceder a los servidores,
sistemas de almacenaje y dispositivos de red que residen ahí. Literalmente,
algunas empresas, como grandes bancos, líneas aéreas, consignadores de
paquetes y agentes de bolsa en línea, pueden perder millones de dólares en una
sola hora de tiempo de inactividad. Dadas estas consecuencias, un atributo clave
del centro de datos es la confiabilidad. Otro es la flexibilidad. Las necesidades del
futuro tal vez no sean las mismas que las actuales. Los avances tecnológicos, las
reestructuraciones organizativas e incluso los cambios en la sociedad en general
pueden imponer nuevas exigencias.
No es una tarea simple o insignificante diseñar y construir un centro de datos
que satisfaga estas necesidades. Sin embargo, si está informado, la tarea puede
resultar más fácil de lograr. Ese es el objetivo de este informe. Si bien no trata
este complejo tema en su totalidad, si ofrece elementos para comprender
cuestiones clave sobre el diseño de un centro de datos e indica fuentes de
información adicionales. Contenidos:
• Espacio y diagrama de distribución
• Administración de cables
• Energía
• Refrigeración

Espacio y diagrama de distribución
El inmueble del centro de datos es muy costoso, por lo
tanto, los diseñadores deben asegurarse de que haya
suficiente espacio y que se use prudentemente. Esta tarea
requerirá:
• Asegurarse de que el cálculo del espacio necesario
para el centro de datos considere expansiones en el
futuro. El espacio que se necesita al principio puede ser
insuficiente en el futuro.
• Asegurarse de que el diagrama de distribución incluya
vastas áreas de espacio flexible en blanco, espacio
libre dentro del centro que se pueda reasignar a una
función en particular, tal como un área para equipos
nuevos.
• Asegurarse de que haya espacio para expandir el
centro de datos si supera sus confines actuales. Esto se
logra particularmente al garantizar que el espacio que
rodea al centro de datos se pueda anexar de manera
fácil y económica.
Diagrama de Distribución
En un centro de datos bien diseñado, las áreas funcionales
se deben plantear de manera que garantice que
• Se pueda reasignar fácilmente el espacio para satisfacer
necesidades cambiantes, en particular de crecimiento

• Se puedan manejar fácilmente los cables de
manera que los tendidos de cable no superen las
distancias recomendadas y que los cambios no sean
innecesariamente difíciles
La ayuda para la distribución en el Centro de
Datos:
TIA-942
La TIA-942, es la norma de infraestructura de
telecomunicaciones para centros de datos, una norma
que aún no se ha liberado a la fecha de este informe
(mayo de 2004), que ofrece orientación sobre el diagrama
de distribución del centro de datos. Según la norma,
un centro de datos debe tener las siguientes áreas
funcionales clave:
• Uno o más cuartos de entrada
• Un área de distribución principal (MDA, por sus siglas
en inglés: main distribution area)
• Una o más áreas de distribución horizontal (HDA, por
sus siglas en inglés: horizontal distribution areas)
• Un área de distribución de zona (ZDA, por sus siglas en
inglés: zone distribution area)
• Un área de distribución de equipos









Espacio y diagrama de distribución


Administración de cables
La clave para la administración de los cables en el centro de datos óptima es comprender que el sistema de cableado es permanente y genérico. Es como el sistema eléctrico, un servicio muy confiable y flexible al que se puede conectar  cualquier aplicación nueva. Cuando está diseñado con este concepto en mente, no es difícil o perjudicial hacer adiciones o cambios.












Refrigeración
Dispersar los equipos por las partes sin usar del piso elevado. Obviamente, es una alternativa válida sólo si hay espacio sin usar disponible.
• Aumentar la altura del piso elevado. Duplicar la altura del piso ha demostrado aumentar la corriente de aire hasta un  50%.
• Usar racks abiertos en lugar de gabinetes. Si no se puede usar racks por motivos de seguridad o por la profundidad de los servidores, se puede usar gabinetes con una malla en el frente y el dorso como alternativa.
• Aumentar la corriente de aire debajo del piso al bloquear todos los escapes de aire innecesarios.
• Reemplazar las placas perforadas actuales con otros con agujeros más grandes. La mayoría de las placas vienen con 20% de agujeros, pero algunos tienen entre 40 y 60% de agujeros.

Conclusiones
Un centro de datos óptimo es un sistema bien diseñado, cuyas piezas trabajan juntas para garantizar un
acceso fiable a los recursos del centro y brindan la flexibilidad necesaria para satisfacer las necesidades
desconocidas que puedan surgir en el futuro. Descuidar cualquier aspecto del diseño puede dejar al
centro de datos vulnerable a fallas muy costosas u obsolescencia prematura. Este informe técnico ha
tratado varias consideraciones de diseño clave y brindado las siguientes recomendaciones:
• Espacio: Asegúrese de que haya suficiente espacio y flexibilidad asignada para satisfacer las
necesidades actuales y futuras.
• Administración de cables: Trate al sistema de cableado como un servicio permanente y genérico,
un recurso muy fiable y flexible que se puede adaptar con facilidad a cualquier aplicación nueva.
• Energía: La electricidad es la parte vital del centro de datos. Construya el nivel de redundancia
necesario para satisfacer las necesidades de acceso de su centro de datos.
• Refrigeración: El equipo de refrigeración no es su única preocupación en esta área. Las estrategias
de corriente de aire también tienen un papel importante.

 
Fuente:
http://albinogoncalves.files.wordpress.com/2011/03/como-disenar-un-data-center-adc.pdf
Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)