Conecta con nosotros

Recursos

Tres consejos para evitar amenazas de seguridad

Publicado el

Quest Software ofrece tres consejos para evitar amenazas de seguridad de usuarios con privilegios de gestión de cuentas

Una mayor concienciación acerca de los posibles riesgos para la seguridad es un paso fundamental para frustrar ataques malintencionados. Sin embargo, con demasiada frecuencia, las organizaciones públicas y privadas se ven obligadas a reconocer que los riesgos potenciales de seguridad son aún mayores cuando un atacante logra obtener privilegios de administrador, independientemente de si es un atacante externo o una amenaza interna. Quest Software (ahora parte de Dell) tiene un profundo conocimiento de los problemas a los que se enfrentan las organizaciones que carecen del control y las auditorías adecuadas sobre los accesos de administración y las cuentas de superusuario.

Tal y como se recoge en un estudio realizado este año en la The Experts Conference, conferencia anual que reúne a profesionales de la informática de todo el mundo bajo el patrocinio conjunto de Quest y Microsoft, la mitad de las organizaciones encuestadas manifestaron que su principal problema normativo es garantizar la correcta asignación de los privilegios de acceso de los usuarios, incluyendo los accesos con privilegios. En el caso de la gestión de cuentas con privilegios, la situación es aún más problemática cuando los administradores reciben “las llaves del reino”, al obtener privilegios de acceso anónimo compartido a sistemas informáticos cruciales. En el sector privado, los errores y carencias a la hora de gestionar los accesos a la información y la adecuación a las normativas mediante mandatos de seguridad pueden conllevar pérdidas de ingresos, auditorías adversas y un deterioro generalizado de la marca. En las instituciones gubernamentales, por su parte, la gestión de los derechos de acceso plantea situaciones de alto riesgo, ya que anticiparse a las posibles amenazas emergentes es una cuestión de seguridad nacional. Tanto es así, que la gestión de las cuentas con privilegios queda recogida en varias certificaciones de seguridad, incluyendo las ISO 27001 y NIST 800-53. Un nuevo informe elaborado por Enterprise Management Associates para Quest, destaca los controles de accesos de administración incorrectos como “una de las lagunas de seguridad informática más indignantes en muchas organizaciones.”

Quest Software ofrece tres consejos para evitar amenazas de seguridad de usuarios con privilegios de gestión de cuentas

El informe, titulado “Por qué debería replantearse la gestión de privilegios de acceso (y cosas que desconoce que debería conocer),” examina algunas de las excusas más frecuentes que ofrecen las compañías a la hora de justificar sus descuidos. Además el informe ofrece perspectivas de gran utilidad sobre cómo las prácticas modernas de administración de cuentas con privilegios (o PAM, por sus siglas en inglés), y las correspondientes soluciones tecnológicas pueden cubrir esas carencias de seguridad mediante un control flexible de las políticas, la automatización de los flujos de trabajo y el registro y seguimiento de todas las actividades, con el fin de aumentar la seguridad, cumplir las normativas y aumentar la eficiencia.

Con el fin de ayudar a los directores ejecutivos a evitar estos riesgos de seguridad, tristemente tan frecuentes, Quest ofrece tres prácticos consejos:

superusuarios

1. Asignar responsabilidades individuales a la actividad de los superusuarios

Los derechos de administración compartidos y mal gestionados no son una mera mala ocurrencia; suponen la forma más rápida y sencilla de exponer a toda una organización a riesgos innecesarios, ya que estas cuentas de superusuario suelen tener amplios privilegios sobre sistemas operativos, aplicaciones, bases de datos, etc. De compartirse las cuentas, cualquier posible fallo de seguridad o normativa podrá rastrearse a nivel de cuenta, pero no será posible determinar qué administrador la ha estado empleando.

Por ello, con el fin de contener posibles riesgos, convendrá adoptar un planteamiento por el que solo ofreceremos a los administradores privilegios de acceso sobre aquello que necesiten, cuando lo necesiten. Ni más, ni menos. Así, solo se emitirían las credenciales que fueran necesarias, en el momento en que fueran necesarias, acompañándolas de un registro auditado de quién las utiliza, quién ha aprobado su uso, para qué se han utilizado y cómo y por qué se han entregado. Una vez se hayan utilizado para el fin para el que estaban previstas, deberá cambiarse la contraseña de inmediato. La capacidad para automatizar y asegurar todo este proceso supone un medio eficaz para gestionar los derechos de administración de toda una organización. Del mismo modo, las prácticas PAM son fundamentales a la hora de garantizar la correcta colaboración entre agencias locales, estatales y
federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.

2. Implementar y seguir una estrategia de “privilegios mínimos” en los accesos de administración

Muchas cuentas de administración, incluyendo las de las cuentas root de Unix, las cuentas de administrador de Windows o de Active Directory, DBA, etc., ofrecen permisos ilimitados en su ámbito de gestión. De compartirse estas cuentas, se pueden estar fomentando posibles actividades malintencionadas. Así, por ejemplo, el tan divulgado fallo de seguridad que se produjo en Fannie Mae se dio cuando un empleado empleó un acceso de superusuario de este tipo para colocar una bomba lógica malintencionada que, de no haber sido descubierta, podría haber trastocado las operaciones de toda la organización y haber puesto en peligro los datos personales y financieros de aproximadamente 1.100 personas.

Un planteamiento mucho más prudente pasa por establecer una política que defina claramente qué puede hacer cada administrador (o cada puesto de administración) con sus accesos y qué no. Dado que este proceso puede resultar complicado y de difícil implementación en los diversos sistemas de una organización, Quest recomienda la incorporación de herramientas de microdelegación, optimizadas para las plataformas designadas, e integradas a otras tecnologías PAM como la salvaguarda de privilegios, la autenticación multifactor y los puentes para Active Directory.

superusuarios seguros

3. Reducir la complejidad de la administración de cuentas con privilegios

Uno de los retos más habituales a los que se enfrentan las prácticas PAM es la diversidad de sistemas informáticos, cada uno de los cuales presenta sus propias características y requisitos en materia de administración de cuentas con privilegios. Esto suele resultar en la utilización de herramientas especializadas y políticas y prácticas específicas, diseñadas para controlar el acceso a las cuentas con privilegios. Desgraciadamente, este planteamiento suele complicar los procesos de auditoría, por lo que puede resultar complicado demostrar que todos los accesos estén controlados y que los principios de separación de tareas se han establecido y se hacen cumplir.

Por ello, consolidar diferentes sistemas en una estructura de identidades común crea un entorno en el que resulta posible implantar una estrategia de prácticas PAM unificada, garantizando la cohesión en las prácticas en una mayor parte de la organización, eliminando con ello posibles errores producidos por la complejidad derivada del uso de múltiples sistemas, al tiempo que se reducen los riesgos y los gastos que conlleva la administración de dichos sistemas. Además, toda consolidación de las capacidades de PAM bajo una interfaz unificada de gestión y registro redunda en una mayor eficiencia.

El informe realizado por EMA al que hacíamos referencia, apunta a que las organizaciones centradas en alcanzar un elevado nivel de disciplina en la administración de configuraciones y cambios tienden a presentar mejores resultados, no solo por una menor incidencia de sucesos de seguridad que alteren sus operaciones, sino por una mayor fiabilidad informática, menos tareas no planificadas para los departamentos informáticos, cambios informáticos más exitosos, mejores proporciones de administradores de servidores frente a sistemas, y más proyectos informáticos completados cumpliendo plazos y presupuestos.

Recursos

Entender Blockchain, clave para innovar

Publicado el

icemd-curso-especializado-en-blockchain

Escuchamos noticias todos los días sobre la tecnología Blockchain, sobre Bitcoin y otras criptomonedas. Es muy normal que en estos contenidos, difundidos por las grandes cadenas de televisión y radio y las webs generalistas se mezclen toda clase de conceptos sin ton ni son. Es posible que Blockchain y el resto de conceptos relacionados sean lo más complejo de entender en tecnología de los últimos años.

Asistimos a un maremágnum de conceptos sobre Blockchain que hace difícil entender nada. En lo que sí coinciden todos es en que Blockchain va a cambiar el mundo. Y tú podrías ser parte de ese cambio en tu empresa o negocio si conoces bien la tecnología y sus implicaciones.

Entender verdaderamente qué es y qué ventajas puede aportar Blockchain y las tecnologías afines puede marcar la diferencia entre tener un crecimiento discreto y dar el salto a “las grandes ligas” y escalar tu modelo de negocio de forma exponencial. ¿Quieres saber más?

¿Qué es Blockchain y para qué sirve?

Según comenta Pablo Fernández Burgueño, Socio-Fundador del Bufete de abogados Abanlex y profesor del Curso Especializado en Blockchain de ICEMD, el Instituto de la Economía Digital de ESIC:

“Se conoce por blockchain al libro contable distribuido que dio origen a la red Bitcoin”.

Prosigue diciendo que “gracias a esta tecnología, un mismo documento electrónico en el que se puede escribir, pero no borrar o editar contenido, se mantiene almacenado y sincronizado en dos o más ordenadores conectados en una red”. Blockchain es un mecanismo que permite que distintos actores, que no se conocen y que no confían los unos en los otros tengan una referencia común y fiable a la que acceder y a la que aportar contenidos: el “libro contable” distribuido.

Tal y como lo explica Pablo Fernández Burgueño: “Imaginemos que un documento estuviera guardado en todos los ordenadores del mundo de manera que, cuando alguien desde un ordenador agregara una línea de texto, ésta se escribiera automáticamente en la copia del documento almacenado en todos los demás ordenadores, de forma que cualquiera la pudiera leer pero que nadie, ni el que escribió la línea, pudiera jamás borrar o cambiar lo escrito”.

Esa es la esencia de Blockchain, crear un registro de confianza entre agentes que desconfían los unos de los otros. Y una vez esto se comprende, el siguiente paso es ver cómo se implementa y qué requisitos tiene. Con esta información asentada, ahora sí, es mucho más sencillo empezar a ver las posibilidades que se abren en múltiples sectores.

Pablo Fernández Burgueño termina la explicación del siguiente modo: “Este archivo o documento electrónico recibe el nombre de blockchain debido a que tiene la forma de una cadena de bloques (o block chain, en inglés)”, y prosigue:

“Cada página en la que se puede escribir es un bloque, y cada nuevo bloque va indisolublemente unido al anterior.”

La cadena de bloques ha sido la respuesta tecnológica al problema que se planteaba para convertir el concepto de Bitcoin en una realidad funcional. Pero las ventajas de un “libro contable” distribuido no se limitan a la emisión y uso de criptomonedas. Gracias a ellos se pueden automatizar, manteniendo el nivel de confianza, operaciones que hasta ahora se hacían con numerosos controles manuales, papeleos, etc. Algunos ejemplos inmediatos son:

  • La emisión y recepción de facturas,
  • Los pagos entre empresas y/o particulares,
  • Gestión de activos financieros,
  • Tramitación de siniestros asegurados,
  • Micro-préstamos,
  • Sistemas de verificación de identidad,
  • Y, en general, cualquier trámite en el que sea importante identificar a ambas partes.
  • Blockchain también tiene una aplicación directa en procesos de trazabilidad, por lo que es inmediatamente aplicable a campos como la ganadería, la agricultura, la producción artesanal o industrial de productos e incluso el seguimiento de obras de arte.

Tal y como argumenta Alex Preukschat, coordinador del libro “Blockchain: la revolución industrial de internet” de LibroBlockchain.com y profesor del Curso Especializado en Blockchain de ICEMD “En el ámbito del Blockchain, asistimos a un movimiento global con infinidad de aplicaciones, lo que nos lleva a una necesidad de replantearnos nuestra formación y las formas de implementar esta tecnología.”

“Blockchain es un movimiento global con infinidad de aplicaciones.”

Señala también que la primera gran ola transformadora de Internet afectó principalmente a la información. Sufrieron su efecto industrias de sectores como las telecomunicaciones, los medios de comunicación o el turismo. En muchos casos, estas industrias “sufrieron las consecuencias de no haber prestado atención al potencial disruptor de los modelos descentralizados”.

Ahora estamos frente a una revolución similar, pero esta vez centrada en el Internet del Valor y las tecnologías exponenciales. Los principales centros de innovación del mundo están posicionándose para captar el talento y liderar esta transformación. Alex Preukschat indica que: “Si queremos participar en esta transformación tenemos que formar a nuestro talento en esta nueva tecnología como paso previo imprescindible para convertirnos en uno de los países que definen la era de la digitalización.”

“Formar a nuestro talento en esta nueva tecnología como paso previo imprescindible.”

La punta de lanza en la adopción de Blockchain se ha dado en el sector financiero, pero le seguirán muy de cerca el eCommerce o las redes sociales, entre otros. En palabras de Alex Preukschat “Nuestro talento puede ser el catalizador de la transformación del mundo pero para eso debemos aprender primero los fundamentos de la tecnología Blockchain. Sólo así podremos redefinir el funcionamiento de industrias enteras”.

La formación es clave para ser parte de los pioneros de esta transformación, y para ello nada mejor que acudir a los verdaderos expertos en formación en tecnologías digitales. Si quieres profundizar tus conocimientos de Blockchain no dudes en consultar el Curso Especializado en Blockchain impartido
por ICEMD.

 

 

Continuar leyendo

Recursos

Tsyvalue, comprometidos con la calidad y la atención al cliente

Publicado el

Tsyvalue

Tsyvalue es una compañía fundada en 2006 que proporciona soluciones tecnológicas de alto valor añadido. Desarrolla productos, soluciones y servicios de infraestructura informática con amplia implantación en el mercado español y presencia multinacional. Tsyvalue está presente a través de filiales en las ciudades de Miami y Sao Paulo.

Los pilares de fundamentales de su actividad son el compromiso con la calidad, la atención al cliente y la solidez financiera, todo ello a través del compromiso de todo su equipo humano para aportar valor a las soluciones TI de sus clientes. Tsyvalue acompaña tanto organizaciones públicas como del sector privado en su transformación digital.

Tsyvalue

Tal y como señala Javier Martín, CEO de la compañía “En Tsyvalue escuchamos las necesidades de nuestros clientes, para diseñar soluciones que integren los productos tecnológicos y los componentes de servicio requeridos. Todo ello entregado de una forma sencilla y abierta por un equipo de profesionales de reconocido prestigio”. La vocación de servicio de la compañía está presente en todo momento, incluso en la misma forma de relacionarse con sus clientes porque, como explica Javier Martín, “Hacemos nuestros sus problemas”.

Tsyvalue

Tsyvalue cubre todo el ciclo de vida de las soluciones de TI. Desde el caso de negocio y el programa de transformación, hasta los proyectos de implantación o los servicios de operación. Y todo ello teniendo en cuenta la seguridad de los datos y el aspecto del reciclado ecológico. El CEO de Tsyvalue recalca que este compromiso con la calidad les lleva a obtener:

“La confianza, el respeto y la reputación que tenemos entre nuestros clientes”

La propuesta de valor de Tsyvalue para ayudar a sus clientes en la transformación a la tercera plataforma se estructura en 4 áreas:

  • Infraestructura híbrida
  • Redes y seguridad
  • Puesto de trabajo y movilidad
  • Servicios gestionados

Tsyvalue

Nacho Arganda, Gestor de Cuentas de la compañía, indica que “Tsyvalue garantiza que las aplicaciones de los clientes se ejecutan en los mejores entornos, ya sea a través de servicios de infraestructura y plataforma de pago por uso o en nubes privadas que se apoyan en la cloud pública”. Continúa señalando que su “compromiso con HPE Nimble Storage permite ofrecer a nuestros clientes una cabina de almacenamiento optimizada para discos flash que protege el acceso dato y garantiza la máxima velocidad con los más altos niveles de servicio en cualquier entorno“.

“Tsyvalue es el partner de valor #1 de HPE en España”

La compañía posee el más alto nivel de certificación: HPE Platinum. Esto se debe a los más de 90 especialistas que la integran, que suman más de 850 certificaciones entre todos ellos. Esto les permite ofrecer servicios de alto valor añadido en los campos más demandados en el sector TIC. Además, disponen de las certificaciones ISO de: Calidad, Gestión de Servicios TI, Gestión Ambiental y de Seguridad de la Información.

Las organizaciones confían la Consultoría, Implantación, Administración y Mantenimiento de sus plataformas informáticas a Tsyvalue. Desarrollar estas tareas con profesionalidad y rigor requiere capacidad técnica, cooperación con los fabricantes y vocación de servicio. Valores todos ellos que distinguen a Tsyvalue.

 

Contacta con Tsyvalue

 

 

 

Continuar leyendo

Recursos

9 Consejos de seguridad para proteger tus equipos estas vacaciones

Publicado el

9-consejos-proteger-movil-smartphone-vacaciones

La independencia que nos proporcionan los modernos móviles y portátiles tiene una parte no tan agradable. Y es que, dependiendo de nuestro trabajo, nuestros equipos nos acompañarán incluso en las vacaciones. Si te encuentras en esta situación, y te van a acompañar en tus días libres, pueden verse expuestos a determinados riesgos. En ese caso, te interesan estos sencillos consejos para mantenerlos a salvo y garantizar que están sanos y salvos a tu vuelta. Hemos preparado una lista de consejos de seguridad para que todo esté de tu parte.

Continuar leyendo

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!