CELEBRACIÓN DE LA FESTIVIDAD DE PESAJ: LIBERTAD, PAZ Y ESPERANZA

Reducción de horario laboral: ¿Aumentará la productividad?

ASRock presenta sus nuevos monitores Phantom Gaming de 180 Hz para juegos y creación de contenidos

¿Cuál es la mejor forma de emplear el retiro de la AFP?

Las nuevas características de Amazon Bedrock que hacen que sea más fácil y rápido que nunca crear aplicaciones de IA generativa de forma segura

Roku y Caixun amplían su presencia en América Latina al introducir modelos de TV Roku en Perú

Llega a Perú el vivo V30 SE: dispositivo de alto rendimiento que combina diseño y funcionalidad

Del lente a leyenda: Vive el lanzamiento de la nueva Serie Xiaomi 14 con ópticas Leica y descubre lo que esta línea premium de smartphones trae a Latinoamérica

El Auto Show de China Presenta Nuevo Sistema Automotriz ¿Qué son los vehículos de nueva energía (VNE) y los vehículos inteligentes conectados?

Fortinet informa cómo las organizaciones están utilizando la nube y otros descubrimientos de su reporte de Seguridad en la nube de 2024

Cirion facilita conexiones ininterrumpidas para que los clientes accedan a los servicios de Google

Día de la Tierra: la sostenibilidad es la pieza clave del negocio de Intel a través de su producción, sus productos y su personal

Servicios Digitales ¿Cuáles son los principales rubros que invierten en la digitalización de sus procesos?

Disipando los mitos que impiden que su empresa adopte la IA generativa

En el Día de la Tierra, Xiaomi se une a la iniciativa “HAZla por tu playa” para trabajar por el cuidado de nuestros mares

Coney Park inaugura el parque de diversiones más grande de la zona sur del país en Cusco

Pueblo Libre: historia, cultura y modernidad para vivir

El HONOR Magic6 Pro llega al Perú con las tecnologías de protección ocular más revolucionarias del mercado de smartphones

Ejemplos de correos que distribuyen malware en Latinoamérica

Auto Show de Beijing: Chery propone un plan de colaboración innovador para la "Nueva Era"

Anuncian segunda edición de la Feria de Soluciones Tecnológicas 2024: IA será el tema central

Cinco consejos para prolongar la vida útil de tu smartphone

Salesforce dialoga con Gabriela Ramos en una nueva edición del ciclo Trailblazers Latinoamericanos

Infinix aterrizó en Perú: conoce los nuevos Note 40 Pro, Hot 40 Pro y Hot 40i

Las estafas más comunes que utilizan a Booking

¿Qué novedades llegan a Perú con las cámaras del HONOR Magic6 Pro este 25 de abril?

Xiaomi y Leica: Así comenzó la alianza entre los dos gigantes de la industria

Xiaomi Fan Festival: fans vivieron una experiencia inolvidable junto a sus influencers favoritos

Estudio de IBM: la sostenibilidad continúa siendo un imperativo empresarial en Latinoamérica, pero los enfoques actuales se quedan cortos

Amazon Web Services reúne a clientes, socios de negocios y expertos en nube para compartir las tendencias del sector en el AWS Cloud Experience de Lima

Motorola anuncia una nueva generación de la familia edge con un diseño impactante y su cámara más sorprendente, potenciada por moto AI

Revive la celebración del Xiaomi Fan Festival 2024

2024-ICAC
  • Entrevistas
  • Urge la necesidad de implementar adecuadas políticas de contraseñas

Urge la necesidad de implementar adecuadas políticas de contraseñas

Stanley Velando Director de Risk Management de Kunak Consulting 5Este año hemos sido testigos de cómo entidades gubernamentales fueron violentadas sin mayor reparo en materia de seguridad de la información. En este sentido, ¿cómo define usted una adecuada política de contraseñas?

Una buena política de contraseñas debe estar basada en las buenas prácticas recomendadas por el estándar de seguridad ISO27001: deben ser complejas en su composición (mayúsculas, minúsculas, números) y cambiarse máximo cada tres meses. Asimismo deben tener un mínimo de longitud de 8 caracteres, no se deben repetir en un año y el sistema de autenticación debe bloquearse como máximo al quinto intento fallido de acceso.  Pero, lo más importante es que esta política esté aprobada por el nivel gerencial de la compañía (C-Level) y que esté difundida y reforzada de manera técnica, es decir, que los controles descritos anteriormente puedan ser ejecutados de manera automática por los sistemas informáticos.

En la actualidad, ¿las empresas están invirtiendo en educar al respecto a sus colaboradores?

Muy pocas organizaciones invierten en capacitar a sus usuarios. Por lo general, solamente las empresas multinacionales o la industria regulada en el Perú (como la industria financiera) realiza esfuerzos de concientización, ya que la mayoría de éstas piensa que invirtiendo en un firewall ya está solucionado su problema de seguridad cuando por lo general la cadena se rompe por el lado mas débil, que viene a ser las personas que utilizan los sistemas.

Entonces, ¿cuáles son los errores más frecuentes que se cometen en las organizaciones? Esto ocurre por desconocimiento del personal o por medidas de prevención de los responsables del área de TI. ¿Cuál es su opinión al respecto?

Los errores más frecuentes en temas de seguridad de información ocurren por desconocimiento del personal de la empresa.  En el caso específico de las contraseñas, no comprenden la razón por la cual éstas deben ser, por ejemplo, complejas (uso de mayúsculas, minúsculas, números y letras, 8 caracteres mínimos de longitud, etc.).  La razón es que utilizando software bajado de internet se pueden realizar ataques de diccionario (se compara de manera automática las contraseñas contra un diccionario de contraseñas utilizadas comúnmente hasta que se da con la contraseña utilizada).  Estos ataques se pueden hacer en minutos.  Si la contraseña es compleja, estos ataques no son exitosos.  La responsabilidad evidentemente es del área de Sistemas o del área de Seguridad de Información, dado que no promueven estas políticas a nivel gerencial y no son una “norma” dentro de la empresa.

La inversión en este tipo de consultoría ha crecido en lo que va del año o aún no se destina presupuesto para esta gestión. En comparación a los años anteriores, cómo usted ve el mercado. ¿Cuánto es la inversión promedio por esta gestión o una consultoría en qué montos oscila?

En general, las compañías a nivel mundial vienen invirtiendo cada vez más en seguridad de información.   En específico, en planes de concientización, según una encuesta del 2011 de una firma de consultoría americana, se determinó que invertir en Planes de Concientización era la cuarta opción más importante del total del gasto en seguridad de información.  Esta práctica debe se adoptada por las empresas latinoamericanas.  Actualmente, la inversión promedio para uno de estos planes es alrededor de los 15,000 dólares.

Podría decirnos a la fecha, qué segmentos de mercado sí o sí deberían invertir en ello.

Por su puesto. La industria financiera, ya que se encuentra regulada por la SBS y les exigen cumplimiento de difusión de políticas de seguridad. Los bancos, financieras, edpymes, cajas municipales, rurales, etc. Todas estas organizaciones deben implementar planes de concientización, ya que el riesgo en este tipo de empresas está ligado a pérdida de dinero de sus clientes.

Puedes brindarnos algunas recomendaciones claves y estratégicas a ser tomadas en cuentas para evitar el acceso de información o robo de contraseñas.

Para evitar el acceso no autorizado a información se tiene que implementar un Sistema de Gestión de Seguridad de la Información alineado al estándar ISO27001.  Para evitar el robo de contraseñas en específico, se tiene que concientizar al personal, es decir, implementar un Plan de Concientización.  Esto debe venir acompañado de reforzar los controles en los sistemas de información de manera técnica, esto es responsabilidad del área de Sistemas.

¿Cuáles son las razones frecuentes que una tiene para robar contraseñas en el ámbito empresarial /corporativo?

Básicamente la razón siempre es el acceso a información privilegiada, que en muchos casos luego puede ser utilizada como punto de partida para ataques más sofisticados o como punto de extorsión para el atacado.

En este sentido, la venta de datos ha empezado a cobrar un valor importante. Usted cree que esto ya es un negocio.

Siempre ha sido un negocio.  Existe un mercado negro de venta de datos y las leyes peruanas en este sentido son pocas y muy laxas.  La mejor manera de protegerse es tomar acciones uno mismo:  no ingresar a sitios web que no brinden la confianza del caso, no abrir ni responder correos no solicitados, evitar usar cabinas de internet, no botar sus vouchers del banco, etc.

¿Cuáles son los tres factores claves que se deben seguir en seguridad de la información?

Primero, ser siempre desconfiado. Luego, nunca brindar más información de la necesaria. Y, finalmente, mantener actualizada tu computadora y con un antivirus de marca.

¿Cuáles son los 4 principios de la seguridad?

En primer lugar la confidencialidad, que las personas tengan acceso sólo a la información necesaria para sus labores. Seguido de la integridad, que los datos sean exactos, que no se hayan modificado sin autorización. Tercero, la disponibilidad, que los servicios que brindan los datos estén disponibles cuando se les necesita. Y, por último, el no Repudio, que existan mecanismos que aseguren que quien se “autentica” en un sistema es quien dice ser y que luego no pueda negarlo.

Algo más que agregar o añadir

Simplemente que la seguridad, como defensa civil, es tarea de todos y que debemos saber que en todo momento alguien puede tomar ventaja de nuestra información, razón para estar siempre alerta.

Muchas gracias.