Resultados de la búsqueda

CIO Los expertos coinciden en que ya es hora de que las empresas dejen de confiar en las contraseñas tradicionales. Deben cambiar a métodos de acceso más seguros como autenticación multifactor (MFA), biometría y sistemas de inicio de sesión único (SSO). De acuerdo con el último Informe de Verizon Data Breach Investigations , el 81% de las violaciones de seguridad relacionadas con la piratería informática involucran contraseñas robadas o débiles. Primero, hablemos de las técnicas de piratería de contraseñas. La historia es diferente cuando el objetivo es una empresa, un individuo o el público en general, pero el resultado final suele ser el mismo. El hacker gana. Si todas las contraseñas de una empresa son descifradas al mismo tiempo, esto generalmente se debe al robo de un archivo de contraseñas. Algunas empresas tienen listas de contraseñas de texto sin formato, mientras que las empresas con conciencia de seguridad generalmente mantienen sus archivos de contraseñas en forma de hash. Los archivos hash se usan para proteger contraseñas para controladores de dominio, plataformas de autenticación empresarial como LDAP y Active Directory, y muchos otros sistemas, explicó Brian Contos, CISO de Verodin, Inc. Estos hashes, incluidos los hashes con sal, ya no son muy seguros. Los hashes codifican las contraseñas de tal manera que estas no se pueden descifrar de nuevo. Para verificar si una contraseña es válida, el sistema de inicio de sesión codifica la contraseña que ingresa un usuario y la compara con la contraseña hash previamente almacenada. Los atacantes que tienen en sus manos un archivo de contraseñas hash utilizan algo llamado “tablas de arcoíris” para descifrar los hashes usando búsquedas simples. También pueden comprar hardware especial diseñado para descifrar contraseñas, alquilar espacio de proveedores de nubes públicas como Amazon o Microsoft, o construir o alquilar botnets para procesarlos. Lea después: Las vulnerabilidades de los usuarios al crear contraseñas Los atacantes que no son expertos en descifrar contraseñas pueden subcontratar a otros. “Puedo rentar estos servicios por un par de horas, un par de días o un par de semanas, y generalmente también incluyen soportes”, comentó Contos. Con suficiente tiempo y recursos, se puede descifrar cualquier contraseña. La diferencia está en si tomará horas, días o semanas. Como resultado, los tiempos necesarios para descifrar las contraseñas hash, incluso las que antes se consideraban seguras, ya no son millones de años. “De acuerdo con mi experiencia de cómo las personas crean contraseñas, generalmente del 80% al 90% de ellas pueden ser craqueadas en menos de 24 horas. Con suficiente tiempo y recursos, puedes descifrar cualquier contraseña”, argumentó Contos. Esto es especialmente cierto para cualquier contraseña creada por humanos, en lugar de una generada aleatoriamente por computadora. Una contraseña más larga, como una frase-contraseña, es una buena práctica cuando los usuarios necesitan algo que puedan recordar, pero jamás reemplazará a una autenticación multifactor fuerte. Los archivos hash robados son particularmente vulnerables porque todo el trabajo se realiza en la computadora del atacante. No es necesario enviar una contraseña de prueba a un sitio web o aplicación para ver si funciona. “En Coalfire Labs preferimos Hashcat y tenemos una máquina de craqueo dedicada complementada con unidades de procesamiento de gráficos múltiples que se utilizan para reducir esas listas de contraseñas usando algoritmos hash criptográficos”, dijo Justin Angel, investigador de seguridad en Coalfire Labs. Para atacar los grandes sitios públicos, los atacantes usan botnets para probar diferentes combinaciones de inicios de sesión y contraseñas. Usan listas de credenciales de acceso robadas de otros sitios y listas de contraseñas que las personas usan comúnmente. Según Philip Lieberman, presidente de Lieberman Software Corp., estas listas están disponibles de forma gratuita o a bajo costo, e incluyen información de inicio de sesión de aproximadamente el 40% de todos los usuarios de Internet. “Violaciones de la seguridad realizadas en el pasado a compañías como Yahoo!, han creado bases de datos masivas que los delincuentes pueden usar”, expresó Lieberman. A menudo, esas contraseñas se mantienen válidas durante mucho tiempo. “Incluso después de la violación de seguridad, muchos usuarios no cambiarán su contraseña ya violada“, añadió Roman Blachman, CTO de Preempt Security. Digamos, por ejemplo, que un hacker quiere ingresar a cuentas bancarias. Iniciar sesión en la misma cuenta varias veces activará alertas, bloqueos u otras medidas de seguridad. Entonces, comienzan con una lista gigante de direcciones de correo electrónico conocidas y luego toman una lista de las contraseñas más comunes que usan las personas, aclaró Lance Cottrell, científico jefe de Ntrepid Corp. Intentan iniciar sesión con cada una de las direcciones de correo electrónico usando una de las contraseñas más comunes, entonces, cada cuenta solo registra un error. Esperan un par de días y luego prueban cada una de esas direcciones de correo electrónico con la siguiente contraseña más común. “Pueden usar su botnet de un millón de computadoras comprometidas, por lo que el sitio web objetivo no detecta que todos los intentos provienen de una sola fuente”, agregó Cottrell. La industria está empezando a abordar el problema. El uso de servicios de autenticación de terceros como LinkedIn, Facebook o Google ayuda a reducir el número de contraseñas que los usuarios deben recordar. La autenticación de dos factores (2FA) se está volviendo común en los principales proveedores de la nube, así en los sitios de servicios financieros y los principales minoristas. Los organismos de establecimiento de normas también están mejorando, afirmó James Bettke, investigador de seguridad de SecureWorks. En junio, NIST lanzó un conjunto de Pautas de identidad digital actualizadas que abordan el problema específicamente. “Reconoce que los requisitos de complejidad de contraseñas y los reinicios periódicos en realidad producen contraseñas más débiles. La fatiga causada por las contraseñas hace que los usuarios reutilicen contraseñas y reciclen patrones predecibles”, aseguró Bettke. Además de los estándares, también existen nuevas tecnologías “sin fricción”, como la bioetría conductual y el reconocimiento facial, que pueden ayudar a mejorar la seguridad de los sitios web y las aplicaciones móviles de los consumidores. Para atacar a un individuo, los atacantes verifican si las credenciales de ese usuario ya han sido robadas de otros sitios en el probable caso de que la misma contraseña o una contraseña similar hayan sido utilizadas. “La violación de seguridad de LinkedIn hace unos años es un buen ejemplo. Los piratas informáticos capturaron la contraseña de LinkedIn de Mark Zuckerberg y pudieron acceder a otras plataformas porque aparentemente la reutilizaron en otras redes sociales”, señaló Gary Weiss, vicepresidente senior y gerente general de seguridad, análisis e investigación en OpenText Corp. La persona promedio tiene 150 cuentas que requieren contraseñas, según una investigación de Dashlane, una compañía que ofrece una herramienta de administración de contraseñas. Esas son demasiadas contraseñas para recordar, por lo que la mayoría de las personas usan solo una o dos contraseñas, con algunas variaciones simples. Eso es un problema. “Existe un error común al afirmar que, si tiene una contraseña muy complicada, puede usarla en todas partes y permanecer protegido. Esto es categóricamente falso. Los hackeos son reportados después de que ya es demasiado tarde, momento en el que tu única contraseña muy complicada ya está comprometida, y también lo está toda tu información”, explicó Emmanuel Schalit, CEO de Dashlane Inc. Una vez que se piratea cualquier sitio y se roba la contraseña, se puede aprovechar para acceder a otras cuentas. Si los hackers pueden acceder a la cuenta de correo electrónico de sus usuarios, la usarán para restablecer la contraseña del usuario en cualquier otro lugar. “Puedes tener una contraseña muy buena en tu banco o cuenta de inversión, pero si tu cuenta de Gmail no tiene una buena contraseña, y ellos pueden entrar a través de ella, y ese es tu correo electrónico de recuperación de contraseña, ellos serán los dueños de ti”, declaró Cottrell. Si encuentran un sitio o una aplicación empresarial interna que no limite los intentos de inicio de sesión, también tratarán de aplicar fuerza bruta a la contraseña utilizando listas de contraseñas comunes, tablas de búsqueda de diccionarios y herramientas para descifrar contraseñas como John the Ripper, Hashcat, o Mimikatz. Los servicios comerciales están disponibles en la clandestinidad criminal que utilizan algoritmos más sofisticados para descifrar las contraseñas. Estos servicios han sido de gran ayuda debido a las continuas filtraciones de archivos de contraseñas. Cualquier cosa que un ser humano pueda pensar, reemplazar letras con símbolos, usar abreviaturas difíciles, patrones de teclado o nombres inusuales de novelas de ciencia ficción, alguien más ya lo ha pensado. “No importa cuán inteligente seas, las contraseñas generadas por humanos son completamente inútiles, pero los humanos no hemos mejorado mucho en la selección de nuestras contraseñas”, especificó Cottrell de Ntrepid. Para un objetivo de alto valor, los atacantes también investigarán para encontrar información que pueda ayudarlos a responder las preguntas de recuperación de seguridad. Las cuentas de usuario generalmente son solo direcciones de correo electrónico, agregó, y las direcciones de correo electrónico corporativo en particular son muy fáciles de adivinar porque están estandarizadas. La mayoría de los sitios web hacen un mal trabajo a la hora de decirle a los usuarios si la contraseña que eligieron es fuerte o no. Por lo general, están varios años desactualizados, y buscan cosas como una longitud de al menos ocho caracteres, una combinación de letras mayúsculas y minúsculas, y el uso de símbolos y números. “Los sitios de terceros evaluarán la fortaleza de tu contraseña, pero los usuarios deben tener cuidado con los sitios que utilizan. Lo peor que se puede hacer en el mundo es ir a un sitio web al azar y escribir una contraseña para que este la pruebe”, argumentó Cottrell. Vea luego: Administre sus contraseñas de forma gratuita Si se tiene curiosidad acerca de cuánto demoraría una contraseña en ser craqueada, un sitio web que le podría servir es HowSecureIsMyPassword.net de Dashlane .Otro sitio que mide la fortaleza de la contraseña, probando palabras del diccionario, escritura Leet y patrones comunes, es el medidor de entropía de prueba del ingeniero de software Aaron Toponce. Él recomendó elegir una contraseña con al menos 70 bits de entropía. Para la mayoría de los usuarios, y para los sitios web y las aplicaciones en las que inician sesión, esto es un problema. ¿Cómo se espera que los usuarios creen contraseñas únicas para cada sitio, y las cambien cada tres meses, el tiempo suficiente para garantizar su seguridad y recordarlas? “Una regla general es que, si se puede recordar, entonces no es una buena contraseña. Ciertamente, si puedes recordar más de una o dos de ellas, no es una buena contraseña, siempre son un par de palabras y el nombre del sitio web”, dijo Cottrell. El experto recomienda usar una contraseña generada aleatoriamente y de la mayor longitud que permita el sitio web, además de almacenarla usando un sistema seguro de administración de contraseñas. Luego, para la contraseña maestra de la bóveda, use una frase-contraseña larga. “Mi recomendación para recordar las contraseñas es que debería ser extraordinariamente obscena, lo que también hace menos probable que vayas y se la cuentes a alguien. Si tienes una frase de 30 caracteres, es efectivamente imposible de craquearla usando fuerza bruta. La combinatoria simplemente explota”, añadió Cottrell. Para las contraseñas individuales de los sitios web o aplicaciones, 20 caracteres es una longitud razonable, según Cyril Leclerc, jefe de seguridad de Dashlane, pero solo si son caracteres aleatorios. “Los crackers podrán descifrar una contraseña generada por humanos de 20 caracteres, pero no una contraseña generada aleatoriamente”, concluyó Leclerc. #informaciónsegura #hackers #craqueo #contraseña #seguridad

CIO Pregúntele a un CIO cómo él o ella cuantifica el impacto de sus transformaciones digitales y podrá recibir a cambio una risa, como si hubiera dicho una broma de mal gusto. La realidad es que muchos CIO no tienen métricas para evaluar el éxito de los proyectos digitales, como nuevas plataformas de comercio electrónico, aplicaciones móviles y chatbots. Pero los CIO que no pueden cuantificar estas iniciativas pueden verse sobrepasados por rivales más ágiles, aseguran los analistas. Para medir el valor de los esfuerzos de transformación, los CIO deben tener a los indicadores clave de rendimiento (KPI) digitales como la “brújula de la empresa,” dijo Peter Sondergaard, jefe global de investigación de Gartner en el simposio de la empresa durante la ITxpo 2017. Pero hay un dilema del “huevo o la gallina” en el trabajo, ya que no se puede medir lo que no se ha definido . Lea luego: ¿Por qué iniciar el viaje hacia la transformación digital? “La mayor limitación de los KPI digitales es la falta de una ambición digital claramente definida. Tener una idea clara de tu ambición digital te dará algunas ideas de lo que debes medir para cuantificar tu progreso. No puedes medir algo para lo que no tienes una vara de medición”, explicó Paul Proctor, analista de Gartner. ¿Qué son los KPI digitales? Los KPI digitales son valores mensurables para evaluar el desempeño de las iniciativas comerciales digitales. Los KPI digitales pueden ayudar a una organización a determinar qué tanto ha avanzado en la estrategia digital y qué tanto está mejorando sus resultados comerciales en este sector. Las empresas tradicionalmente han medido el rendimiento comercial en función de las ganancias netas, las ganancias por acción y otras métricas de Wall Street, números que a su vez son respaldados por KPI más específicos, como los giros de inventario, las cuotas de producción y la satisfacción del cliente. Los KPI digitales, por otro lado, son más difíciles de definir, ya que las empresas de diferentes áreas tienen distintas formas de cuantificar sus iniciativas digitales. Ejemplos de KPI digitales Para algunas industrias, un KPI digital clave puede ser el porcentaje de ingresos generados a través de los canales digitales, como la web y las aplicaciones móviles. Una compañía de seguros de vida puede medir el porcentaje de ventas realizadas a través de canales digitales de autoservicio, mientras que una aseguradora de propiedades y accidentes puede medir el porcentaje de reclamos recibidos a través de los canales digitales. David Gledhill, managing director de DBS, creó instrumentos y métricas para rastrear la eficiencia operativa y el compromiso digital para los clientes del banco.”El compromiso digital incrementa los volúmenes de negocio y de ingresos y, por lo tanto, la simple medición de cuántas veces un cliente te contacta es importante”, dijo Gledhill a CIO.com a principios de este año. ¿Cómo lo digital está impulsando una mejor experiencia del cliente? A medida que las expectativas de los clientes se elevan, está claro que uno de los mayores desafíos a los que se enfrentan las organizaciones actuales es mover el foco de los productos y enfocarse en la experiencia del consumidor. ¿Cómo definir los KPI digitales? Paul Proctor de Gartner indicó que los CIO empresariales que buscan crear KPI digitales deberían comenzar por dos categorías amplias. El primer conjunto de KPIs debe evaluar el progreso de la compañía en la digitalización de su modelo comercial actual al medir los objetivos en ventas, marketing, operaciones, cadena de suministro, productos /servicios y el servicio al cliente. Varios restaurantes, como TGI Fridays y Wingstop, por ejemplo, están utilizando chatbots para ayudar a digitalizar la toma de pedidos y las transacciones. Starbucks, Target y varias otras organizaciones orientadas al consumidor ahora permiten que los consumidores paguen por los productos desde sus teléfonos en lugar de en la caja. Los CIO deben evaluar tales operaciones digitales usando métricas que evalúen las tasas de adopción y el impacto comercial en relación con los modos de funcionamiento tradicionales. Un segundo conjunto de KPIs debe evaluar las nuevas fuentes de ingresos generadas a partir de los recientes modelos comerciales digitales. Estos KPI deben representar crecimiento, ingresos, cuota de mercado y métricas de margen diferenciadas de los activos físicos. Procter & Gamble adquirió Dollar Shave Club , dándole una plataforma desde la cual vender afeitadoras en línea. Caterpillar adquirió Yard Club para el alquiler de maquinaria pesadas a través de un mercado en línea. Cleveland Clinic vende algoritmos para analizar los resultados cardiológicos y oncológicos a través del mercado en línea de Apervita. Estas nuevas fuentes de ingresos basadas en modelos digitales deben evaluarse por separado de los flujos de ingresos análogos para medir cómo afectan el resultado final. Mejores prácticas digitales relacionadas con los KPI Si bien muchas empresas están llevando a cabo transformaciones digitales, solo la mitad de los CEOs que Gartner ha encuestado tienen KPIs para medir sus logros digitales, afirmó Proctor. Él recomendó varios pasos que los CIO pueden tomar para analizar el valor de su negocio digital: – Trabaje con ejecutivos senior para cuantificar en qué medida sus áreas se beneficiarían de la digitalización. Un CIO podría trabajar con un director de operaciones para definir qué parte de las operaciones de manufactura de la empresa deberían digitalizarse y qué beneficios esperar. – Establezca KPIs y metas que tracen el camino del negocio digital y agudicen los resultados comerciales esperados. – Mida el progreso de su viaje digital y el valor comercial que este crea. Aquí, algunos KPI serán “transitorios”, mientras que otros se convertirán en métricas permanentes para el rendimiento empresarial a medida que se logre la transformación y el negocio digital se convierta en un procedimiento operativo estándar. – Use los KPI para respaldar las expectativas sobre los resultados específicos. – No sobredigitalice su negocio. Apuntar hacia tener demasiadas interacciones con los clientes a través de canales digitales puede generar impactos negativos. Por ejemplo, el hecho de esperar que todas las ventas pasen por un canal de ventas digital molestará a algunos clientes y brindará muy pocas oportunidades para lograr un alto nivel de interacción. Vea después: Pymes dominicanas deben apresurar su transformación digital Los beneficios de los KPI digitales No hay balas de plata o fórmulas mágicas para el éxito comercial digital, pero los KPI pueden ayudar. Los KPI digitales tienen que ver con entender dónde se está ganando dinero o mejorar un modelo de negocios existente, cómo medirlo y trabajar con los ejecutivos que no son del área de TI para lograr nuevos resultados comerciales que se establecieron en función del hecho de volverse digital. Fuera de eso, todo lo que se tiene es una colección de nuevos proyectos que usan tecnología para hacer cosas nuevas y, desafortunadamente, es ahí donde están la mayoría de las empresas hoy en día. #empresas #kpi #kpidigitales #transformacióndigital

CIO A veces, la mejor defensa es un buen ataque. Esa fue la filosofía detrás de los esfuerzos de la compañía de seguridad SCYTHE para crear la plataforma de evaluación de vulnerabilidades, Crossbow. Implementada utilizando software como servicio (SaaS) o mediante una instalación local, Crossbow es un entorno de amenazas virtual que permite a los administradores cargar e implementar ataques históricos reales como WannaCry , Goldeneye o Haxdoor, o crear nuevas amenazas desde cero . Una vez cargados o creados, esos ataques pueden enviarse contra una red protegida para detectar posibles vulnerabilidades. Crossbow es quizás uno de los programas defensivos más peligrosos que CSO haya revisado alguna vez. Todos los ataques que puede cargar o crear son reales, utilizando técnicas y tácticas reales que históricamente han roto las defensas de ciberseguridad en muchas organizaciones. Solo la carga útil se neutraliza, e incluso, esa parte es opcional. Esto convierte a Crossbow en una de las herramientas más realistas para acceder, probar y administrar vulnerabilidades. Para ponerlo en perspectiva, Crossbow es mucho más parecido a un ejercicio de disparo real en el ejército que a una simulación, porque las amenazas virtuales de Crossbow son reales. No se pierda: Episodios más difíciles para la ciberseguridad en 2017 Los ingenieros de SCYTHE crearon Crossbow para probar los tres pilares de las defensas de ciberseguridad que existen en casi todas las organizaciones: los empleados, los productos de seguridad y el personal de TI. Las campañas pueden diseñarse para probar las defensas individuales, como enviar un ataque de phishing a los empleados para ver cómo reaccionan, o implantar un agente corrupto en una máquina cliente utilizando credenciales de administrador para simular una cuenta de administrador comprometida y ver cuánto tardan los equipos de TI en notar y reaccionar. Debido a que Crossbow proporciona herramientas de ataque del mundo real, simplificadas en una interfaz fácil de usar, se pueden crear campañas para probar, y con suerte fortalecer cualquier aspecto de la ciberseguridad de una organización. La interfaz principal de Crossbow se asemeja más a un kit de ataque de malware artesanal, como el que puede encontrarse o comprarse en la dark web. Pero la mayoría de ellos solo ofrecen uno o dos métodos de ataque. Crossbow parece cubrir todas las vulnerabilidades que se pueden utilizar para infiltrarse en una red o poner en peligro a un host, además permite mezclarlas según se requiera. Cuando se utiliza un ataque previo, basta con un par de clics para armarlo. Crear su propia amenaza no es mucho más difícil que elegir una exitosa del historial. Todo está configurado con bloques de construcción fáciles de usar, sin necesidad de programar nada. Por lo tanto, puede mezclar y combinar capacidades, como instalar un keylogger y luego usar HTTP o DNS para extraer los datos. Crossbow está bien versado en las técnicas más avanzadas, como usar Twitter como servidor de comando y control, o imágenes para enviar el malware. A pesar de que la interfaz es extremadamente fácil de usar, los tipos de ataques que pueden construirse y desplegarse a través de Crossbow son las peores pesadillas para los encargados de la seguridad cibernética. Los ataques también se pueden configurar de forma muy precisa. Por ejemplo, podría crearse una cepa de malware existente en keydrives, que luego se distribuiría en un estacionamiento de empleados para ver cómo reacciona el personal. Vea también: Archivos maliciosos aumentaron un 11.5% más que en 2016 El panel de control de Crossbow permite a los administradores monitorear las pruebas, buscando cualquier signo de debilidad en sus defensas. Crossbow es minucioso durante el proceso de creación de malware. La mayoría de los programas maliciosos se implementan a través de agentes y se pueden configurar estrechamente. Un buen ejemplo son los agentes de ransomware que usan encriptación. Se pueden configurar para que hagan copias de todos los archivos encriptados para así tener una copia de seguridad. A los agentes también se les da un rango de fechas válido durante su creación, por lo que no pueden existir más allá de la hora establecida como fecha de vencimiento o antes de su hora de inicio. De esta forma, si ocurriera el escenario improbable en el que el malware de prueba se desatara más allá de la prueba, no durará mucho en la naturaleza o su red. Todo lo que los ataques de prueba hacen a sus objetivos es grabado por la consola principal de Crossbow. Debido a que los ataques exitosos involucran comunicaciones salientes, cualquier dato que llegue proporciona una confirmación sólida de que un ataque ha tenido éxito. El programa principal de Crossbow registra cada vez que un sistema se ve comprometido al usar una de sus amenazas. La forma de evaluación de vulnerabilidad de Crossbow es una de las más activas, y posiblemente, realistas, en el mercado. En lugar de confiar en simulaciones o escaneos de red, permite que los administradores se conviertan en probadores de penetración, dirigidos a amenazas persistentes avanzadas como un láser dirigido a cualquier parte de las defensas de ciberseguridad de una red. El único inconveniente es que esto requiere la participación activa de los administradores: alguien debe crear, planificar, ejecutar y monitorear los ataques para generar esos datos valiosos. Si una organización ya tiene un “equipo rojo” encargado de lanzar ataques, entonces Crossbow simplemente puede convertirse en un gran multiplicador de fuerzas para ellos. De lo contrario, alguien tendrá que ser puesto a cargo de los ataques de prueba. Las organizaciones que quieran probar sus defensas contra las amenazas del mundo real en un entorno seguro deberían probar Crossbow. Al igual que una ballesta real, el programa es una herramienta peligrosa que puede convertirse en un enlace invaluable en las defensas cuando es manejado por defensores capaces. #test #pruebas #empresas #vunerabilidad #seguridad

CIO Asistentes virtuales como Siri de Apple, Cortana de Google y Google Now, tienen el potencial de hacer que los trabajadores de las empresas sean más productivos. Pero, ¿los asistentes “que siempre escuchan” también representan una amenaza grave para la seguridad y la privacidad? 19% de las organizaciones ya están usando asistentes digitales inteligentes, como Siri y Cortana, para tareas relacionadas con el trabajo, según la encuesta de octubre de 2016 realizada por Spiceworks a 566 profesionales de TI en América del Norte, Europa, Medio Oriente y África. La encuesta también encontró que el 46% de las organizaciones planea adoptar asistentes inteligentes dentro de los próximos cinco años. Actualmente, alrededor de 500 millones de personas usan asistentes digitales activados por voz, y se espera que 1.8 billones de personas lo hagan para el 2021, según un estudio de Bing / iProspect. Debido a que la tecnología del lugar de trabajo tiende a seguir las tendencias tecnológicas de los consumidores, se espera que los asistentes virtuales habilitados por voz se vuelvan más comunes en la oficina, señaló un capitalista de riesgo recientemente en The Wall Street Journal. Lea después: 5 maneras para que su asistente virtual no comparta los secretos corporativos Pero cuando se le preguntó acerca de sus mayores preocupaciones relacionadas con los asistentes virtuales y la inteligencia artificial, la mayoría de los profesionales de TI apuntaron a problemas de seguridad y privacidad (48%), según Spiceworks. Si bien “los asistentes virtuales ofrecen una gran comodidad y valor, estos dispositivos introducen nuevos desafíos de seguridad y privacidad”, explicó Merrit Maxim, analista senior de seguridad y riesgo, para la firma de investigación Forrester. “En un nivel, podrían verse comprometidos para otros fines, como lo que sucedió con la botnet Mirai. O los propios dispositivos podrían verse comprometidos ya sea con fines maliciosos, como recopilar datos, o simplemente para demostrar una vulnerabilidad“, añadió Maxim. Si planea integrar asistentes virtuales en su organización, aquí hay cinco recomendaciones de parte de los profesionales de seguridad en la industria de TI. 1.Enfoque en la privacidad del usuario Los desarrolladores de asistentes virtuales suelen trabajar en grandes compañías tecnológicas con la capacidad de dirigir su atención a proteger a los usuarios, en lugar de “sacar el producto de la puerta y venderlo antes que alguien más”, afirmó Will Ackerly, cofundador y CTO de Virtru, una firma de encriptación y seguridad de datos de correo electrónico. Él añadió que, con el tiempo, la privacidad “se convertirá en una característica premium y diferenciadora” para los productos de asistentes virtuales. Mientras tanto, los fabricantes deberían tomar medidas para salvaguardar a sus usuarios moviendo más inteligencia a sus dispositivos y permitiéndoles mantener el control sobre dónde se encuentran sus datos y cómo están protegidos, aconsejó Ackerly. 2.Desarrolle una política Supongamos que todos los dispositivos con micrófono siempre están escuchando, argumentó Bill Anderson, que trabajó en seguridad para BlackBerry y Palm, y ahora es director ejecutivo de la empresa de seguridad empresarial móvil OptioLabs. Incluso si el dispositivo tiene un botón para apagar el micrófono, si tiene una fuente de alimentación, aún es posible que esté grabando audio, advirtió. Además, recuerde que los asistentes virtuales pueden almacenar búsquedas de voz y solicitudes en los servidores del proveedor. “¿Qué se necesitaría para violar esa información?”, preguntó Anderson. Para reforzar la privacidad y la seguridad, una empresa debe comenzar con una idea general de dónde se encuentran sus posibles vulnerabilidades, comentó Anderson. “Pregúntese: ¿su organización reconoce que ya hay micrófonos múltiples en cada oficina? ¿Ha pensado en la privacidad y seguridad de su sistema de teléfono PBX en la oficina? ¿Cómo sabes que el firmware en los teléfonos de tu oficina no ha sido pirateado? ¿Cómo sabes que tus computadoras portátiles no tienen un software de monitoreo de terceros? ¿Hay otros dispositivos en la oficina (que graban voz)? ¿Comprendes cómo llegaron allí y cuál es su función?” Una vez que tenga una imagen completa, desarrolle una política que refleje “la cantidad de problemas que desea atravesar para garantizar que las conversaciones regulares no se filtren involuntariamente”, dijo Anderson. “Y si le importan las conversaciones regulares sobre equipos existentes (como los sistemas telefónicos PBX), entonces está listo para pensar en una política para asistentes virtuales”. 3.Trate a los dispositivos de asistente virtual como cualquier dispositivo IoT “Debe tratar los dispositivos de asistentes virtuales como cualquier otro dispositivo IoT que registre información confidencial y la envíe a un tercero”, sostuvo Marc Laliberte, analista de amenazas a la seguridad de la información para la empresa de seguridad WatchGuard Technologies. “Estos dispositivos no deberían estar operativos en lugares donde la información potencialmente confidencial se transmite verbalmente. Además, los dispositivos de IoT deben segmentarse del resto de la red corporativa para proporcionar protecciones adicionales si se ponen en peligro”. Una forma de segmentar los dispositivos IoT desde la red corporativa es conectarlos a una red Wi-Fi invitada, que no proporciona acceso a los recursos de la red interna, agregó Matias Woloski, CTO y cofundador de Auth0, una plataforma de identidad universal. 4.Decida sobre BYO o propiedad de la compañía La moda de BYOD de los últimos años se extenderá inevitablemente a los dispositivos de asistente virtual habilitados para voz como Google Home y Amazon’s Echo, aseguró David Fapohunda, director de la unidad de delitos financieros de PwC, que se ocupa de ciberseguridad. “Veremos que estos dispositivos se vuelven más comunes tanto en aplicaciones personales como corporativas en los próximos dos años”, expresó Fapohunda. “A diferencia de las versiones actuales, se volverán más personales, capaces de identificar quién es el usuario por reconocimiento de voz, un dispositivo portátil o potencialmente algo así como imágenes de acústica Wi-Fi“. “Las versiones de próxima generación se adaptarán a cada individuo y realmente proporcionarán respuestas contextuales más profundas y automatizarán muchas tareas manuales. Un asistente digital leerá sus correos electrónicos, correos de voz e incluso se comunicará con otros asistentes virtuales en su red personal y comercial. En este punto, los asistentes se convertirán en una herramienta empresarial crítica como el correo electrónico “. Pero este escenario en un futuro no muy lejano presenta un desafío para la empresa. ¿Permite asistentes virtuales BYO? ¿O debería la empresa poseerlos y administrarlos? La pregunta provocará más discusión de la que ha tenido hasta ahora “a medida que los ejecutivos de C-suite refinan sus próximas estrategias de reducción de gastos operativos o de optimización de personal”, manifestó Fapohunda. Dado que los asistentes virtuales personales “confían en la nube para comprender comandos complejos, buscar datos o asignar tareas informáticas complejas a más recursos”, su uso en la empresa genera problemas sobre propiedad de datos, retención de datos, robo de datos y de IP, y aplicación de privacidad de datos que CISOs y CIOs necesitarán abordar, agregó. No se pierda: Samsung lanza asistente virtual en el nuevo S8 5.Plan para proteger Dispositivos como Google Home y Amazon’s Echo están diseñados para hogares, no para lugares de trabajo, señaló Will Burns, vicepresidente senior de la firma de seguridad cibernética root9B. “Si bien su presencia hace que ciertas actividades sean convenientes, no están orientadas a acciones empresariales o de seguridad y traen consigo una serie de preguntas de seguridad sin resolver”, explicó. “Si hay uno desplegado dentro del entorno corporativo, no lo vincularía a una cuenta corporativa utilizada para la compra. Minimizaría su acceso a Internet a la hora específica en que se usa para las actividades corporativas, y supervisaría su actividad de red. Al igual que muchas empresas hoy en día ahora ponen una cubierta en sus cámaras web cuando no están en uso, debe haber protecciones similares en el micrófono para su asistente digital “. #asistentevirtual #empresas #innovaciónempresarial #softwareempresarial

CIO Para algunas personas, Google controla la mayor parte de su identidad en línea, y perder el acceso a esa cuenta crítica podría ser devastador. Un estudio reciente de Google y UC Berkeley examinó las diversas formas en que las cuentas se ven comprometidas y determinó que los ataques de phishing – no las violaciones de datos – representan el mayor riesgo para los usuarios cuando se trata de pérdida de acceso. El estudio de Google duró un año, desde marzo de 2016 hasta marzo de 2017, y buscó comprender mejor cómo los atacantes toman las cuentas. Si bien la suplantación de identidad (phishing), la captura de pantalla y las infracciones de datos afectan a todos, Google se enfocó en sí mismo como caso de estudio. Vea luego: ¿Qué elementos debe tener una estrategia antiphishing? “Lo que aprendimos de la investigación demostró ser inmediatamente útil”, explicaron Kurt Thomas y Angelika Moscicki, dos de los autores del estudio. De hecho, los datos ayudaron a proteger unos 67 millones de cuentas de Google antes de que pudieran ser objeto de abuso. El estudio de Google incluye datos tomados de 25,000 herramientas maliciosas utilizadas para phishing y captura de teclas, lo que permitió a los investigadores identificar 788,000 credenciales comprometidas debido a keyloggers; 12 millones de credenciales comprometidas a través de phishing; y 3.3 mil millones de credenciales expuestas debido a violaciones de datos. Google dijo que la mayoría de los que usan kits de phishing y keyloggers para comprometer credenciales se concentran en Nigeria, seguido por Estados Unidos, Marruecos, Sudáfrica, Reino Unido y Malasia. Recientemente, CSO ha estado rastreando varios ataques de phishing de Office 365, que usan cuentas comprometidas para ampliar su alcance. Muchos de los ataques que aterrizaron en las bandejas de entrada pudieron originarse en Nigeria. Si bien algunos kits de phishing son básicos, cumplen una función esencial. A menudo llevan a los usuarios a creer que hay un problema, y parecen lo suficientemente convincentes como para engañar a alguien para que comparta su contraseña y otra información de identificación. Algunos de los kits de suplantación de identidad observados por Google recogían detalles adicionales, como la dirección IP, la marca y el modelo del dispositivo, los números de teléfono y la ubicación, cosas que Google podría solicitar para la verificación de identidad. Los datos recopilados por Google muestran que el 80% de todos los kits de phishing observaron nombres de usuario, contraseñas y geolocalización específicos; seguido de números telefónicos y detalles del dispositivo. Un subconjunto más pequeño de los kits de phishing también se enfoca en preguntas secretas, nombres completos, datos de tarjetas de crédito y números de seguridad social. Por esta razón, explicó Google, se determinó que el phishing representaba la mayor amenaza, seguido de cerca por keylogging. Según la información, Google dijo que solo el 7% de las contraseñas expuestas por una violación de datos aún estaban siendo utilizadas por sus usuarios, en comparación con el 12% o el 25% de las contraseñas expuestas por phishing o captura de pantalla. Como tal, en el gran esquema de cosas, a la vez que tiene un gran impacto en los servicios donde la reutilización de contraseñas es común, las violaciones de datos ocuparon el último lugar. Durante el cronograma del estudio, Google determinó que, desafortunadamente, la mayoría de los usuarios que fueron víctimas de un ataque de phishing no sabían que su cuenta estaba en riesgo. Sin embargo, una ventaja de los datos recabados es que la mayoría de las víctimas solo se ven afectadas una vez, ya que solo el 2% de las personas en el conjunto de datos fueron infectadas con éxito por segunda vez. Gmail, seguido por Yahoo y Hotmail, fueron los tres dominios principales para las víctimas de phishing y keylogging. La mayoría de las víctimas de phishing residen en los Estados Unidos, mientras que las víctimas de captura de pantallas se encuentran principalmente en Brasil y la India. No se pierda: Proteger a sus Clientes contra el Phishing: ¡Es su Responsabilidad! El estudio también señaló que si bien la autenticación de dos factores ayudaría a mitigar los problemas asociados con el phishing, existen serios obstáculos para una amplia adopción, incluida la facilidad de uso, la recuperación de pérdidas y lograr que los consumidores confíen en terceros. Google presentó sus hallazgos durante la Conferencia sobre Seguridad de Computadoras y Comunicaciones (CCS). Una copia completa está disponible en línea. #cuentasdecorreo #datos #ataque #phishing #información

CIO Las empresas de comercio electrónico podrían enfrentar nuevas investigaciones antimonopolio, advirtió el principal organismo de control de la competencia de la Unión Europea (UE). La Comisión Europea espera que estas investigaciones den lugar a más opciones y precios más bajos para los consumidores, en línea y fuera de línea. Recientemente finalizó un estudio de dos años sobre prácticas comerciales, el cual plantea problemas de competencia en el sector del comercio electrónico. “Ciertas prácticas de las empresas en los mercados de comercio electrónico pueden restringir la competencia limitando indebidamente la distribución de productos en toda la UE. Nuestro informe confirma que estas restricciones podrían limitar la elección del consumidor y evitar precios más bajos en línea”, dijo Margrethe Vestager, comisaria de competencia. “Nuestros hallazgos nos ayudan a apuntar a la aplicación de las reglas de competencia de la UE en los mercados de comercio electrónico”, añadió. Vea más adelante: Estados Unidos planea investigación antitrust en comercio electrónico Tres investigaciones abiertas en febrero Dentro de los casos analizados se encontraba uno sobre el uso de geoblocking en la plataforma de ventas de videojuegos en línea Steam, en la que cinco editores de juegos, Bandai Namco, Capcom, Focus Home, Koch Media y ZeniMax, son sospechosos de vincular claves de activación de juegos en determinados países. Geoblocking también fue una preocupación en una investigación sobre reservas de hoteles en línea, donde la Comisión sospecha de operadores turísticos como Kuoni, REWE, Thomas Cook y TUI, que pudieron trabajar con hoteleros para vincular los precios o la disponibilidad de habitaciones con la nacionalidad de los clientes o el país de residencia. La tercera pesquisa se refirió a las ventas en línea de electrodomésticos y sistemas de alta fidelidad, en los que la Comisión considera que los fabricantes pudieron haber evitado que los revendedores fijaran sus propios precios para los productos. “No se trata solo de regular las ventas en línea”, afirmó Vestager, “sino de la necesidad de equilibrar los intereses de los minoristas en línea y ‘de ladrillo y mortero”. Desde los primeros días de las ventas en línea, algunos clientes han buscado asesoramiento y probado productos en tiendas físicas y luego han seguido comprando los mismos productos por menos en tiendas en línea, lo que puede empujar a las tiendas físicas a una espiral de mayores costos y menos ventas. No se pierda: Implemente la seguridad en el comercio electrónico Algunos fabricantes han tratado de equilibrar esto permitiendo que las empresas solo vendan sus productos en línea si también los venden en una tienda física. Eso está muy bien si lleva a los minoristas a competir tanto en el servicio al cliente como en el precio, según la Comisión. Sin embargo, el informe previene que “ciertos requisitos para operar al menos una tienda de ladrillo y cemento sin ningún vínculo aparente con la calidad de la distribución y / u otras eficiencias potenciales pueden requerir mayor escrutinio en casos individuales”. Amazon.com, por ejemplo, parece estar listo para enfrentar estos desafíos regulatorios y contractuales. Después de años de operaciones solo en línea, está comenzando a vender libros e incluso comestibles en las tiendas del centro. #comercioelectrónico #Comprasenlínea #ecommerce #UniónEuropea

CIO Las compañías son plataformas de software empresarial refrescantes para la era de la nube y unen nuevos sistemas para respaldar proyectos comerciales digitales, lo que provoca un repunte en el gasto de TI en todo el mundo. Gartner pronosticó un aumento del 2,4% en el gasto mundial de TI este año, que asciende a USD$3,5 billones, frente al anémico crecimiento del 0,3% del 2016. El gran impulsor de este crecimiento es el gasto en software empresarial, que se espera aumente un 7,6% en lo que queda del año, alcanzando los USD$351 mil millones. “Estamos llegando a los sistemas ERP postmodernos, estamos reemplazando y envolviendo los sistemas existentes con la nube, y CRM (gestión de las relaciones con los clientes) está aumentando los éxitos, porque CRM es fácil de implementar en una oferta en la nube”, dijo John- David Lovelock, vicepresidente de investigación de Gartner. Lea después: ¿Dónde encajan las aplicaciones móviles en el mundo del software empresarial? El gasto en CRM en algunos países aumentó en un 35% este año, añadió Lovelock. En general, se mantiene la expectativa de que las empresas gasten alrededor de USD$30 mil millones en ERP y USD$ 39 mil millones en sistemas CRM. Las predicciones de Gartner para el gasto de TI en 2017 subieron y bajaron en los últimos trimestres, pero la mayoría de los ajustes a sus pronósticos se debieron a las fluctuaciones en el valor del dólar. Esas fluctuaciones no están alterando las tendencias fundamentales en el gasto de TI. A medida que los usuarios se agarran a sus teléfonos móviles durante dos, tres o incluso cuatro años, en lugar de actualizarlos cada año, el principal motor para el crecimiento de TI será la transformación digital de negocios. Las tendencias comerciales digitales incluyen el uso de la infraestructura de IoT en la fabricación y la tecnología blockchain en servicios financieros y otras industrias, así como también máquinas inteligentes en el sector minorista, agregó Lovelock. Pero la tecnología para impulsar la transformación digital aún no se ha convertido en un producto básico, señaló Lovelock. “Se pueden obtener fragmentos pero se está escribiendo mucho”, afirmó. La tecnología Blockchain se usa para agregar y transmitir información sobre artículos en buques de carga, por ejemplo. “Están tratando de hacer eso en el entorno de la cadena de bloques: todo eso se está escribiendo, hay partes de él, pero la mayoría se está escribiendo desde cero”, explicó Lovelock. Lovelock argumentó que los CIO van a tener que volver a ser constructores y tendrán que combinar el software existente con piezas que no lo son, a fin de proporcionar nuevos productos y ofertas basadas en su propiedad intelectual. Los bancos, por ejemplo, pueden comenzar a ofrecer servicios que analizan los patrones de gasto de los clientes y sugerir formas de ahorrar dinero. “Los CEO dicen, ya sabes, vamos a crecer, y se centran en el crecimiento de los ingresos de primera línea y piensan que pueden hacerlo en el entorno económico actual al traer nuevos servicios al mercado, por lo que se trata menos de TI apoya el negocio, pero ahora lo permite”, expresó Lovelock. Mientras tanto, las empresas están gastando más en sistemas modernos de inteligencia empresarial que complementan el aprendizaje automático, lo que eleva los ingresos de los proveedores de estos sistemas en un 35% este año. Vea luego: 5 maneras en que cambió el software empresarial para siempre Para construir nuevos sistemas basados en máquinas de aprendizaje automático, IoT e inteligentes, las empresas también están recibiendo ayuda de grandes proveedores de servicios como IBM, lo que impulsa el crecimiento de los servicios de TI en un 3,1%, predice Gartner. En otras áreas de la tecnología, el gasto en dispositivos, incluidos teléfonos, computadoras y tabletas, está volviendo este año, aumentando USD$ 654 mil millones, ayudado en parte por las actualizaciones en los teléfonos inteligentes Samsung y Apple. Con el tiempo, sin embargo, se espera que el gasto en teléfonos móviles se aplane. Se proyecta que el gasto del sistema de centros de datos crezca un 0,3% a medida que disminuye la implementación de almacenamiento empresarial, solo parcialmente equilibrado por el gasto en tecnología de servidores en la nube. #aumento #inversión #IT #softwareempresarial

CIO “Está la tendencia moderna de desarrollo de DevOps, pero cada vez más personas inyectan algún tipo de funciones de ciencia de datos en las áreas de desarrollo y sistemas, por eso necesitas a alguien en el equipo de DevOps que tenga la mentalidad que se adquiere trabajando con datos”, dijo Ted Dunning, arquitecto jefe de aplicaciones en MapR Technologies y coautor de Machine Learning Logistics: Model Management In the Real World. Principios de la DataOps Al igual que la DevOps, el enfoque DataOps siguió la senda de la metodología ágil. Este enfoque prioriza la entrega continua de perspectivas analíticas con el objetivo principal de satisfacer al cliente. Los equipos de DataOps valoran análisis que funcionan; miden el rendimiento de los análisis de datos según la información que entregan. Los equipos de DataOps aceptan el cambio y buscan comprender constantemente las necesidades cambiantes de los clientes. Los equipos de DataOps son equipos. Se auto-organizan alrededor de objetivos y buscan reducir el “heroísmo” en función de equipos y procesos sostenibles y escalables. Los equipos de DataOps buscan orquestar datos, herramientas, códigos y entornos de principio a fin. Es esencial que los resultados sean reproducibles. Los equipos de DataOps tienden a ver las tuberías analíticas como si fueran análogas a las líneas de manufactura. ¿Dónde es adecuada la DataOps? Las empresas de hoy en día están inyectando cada vez más el aprendizaje automático a una amplia gama de productos y servicios. Y la DataOps es un enfoque orientado a apoyar las necesidades integrales del aprendizaje automático. “Por ejemplo, este estilo hace más factible para los científicos de datos contar con el apoyo de la ingeniería de software para proporcionar lo que se necesita cuando se entregan los modelos al departamento de operaciones durante el despliegue”, escriben Dunning y la coautora Ellen Friedman, tecnóloga principal de MapR. “El enfoque de DataOps no se limita al aprendizaje automático. Este estilo de organización es útil para cualquier trabajo orientado a datos, lo cual facilita aprovechar los beneficios que ofrece la creación de un tejido de datos global”, añadió. También agregan que la DataOps encaja bien con las arquitecturas de microservicios. Ver  más: ¿Cómo aprovechar el aprendizaje de las máquinas para el retail? DataOps en la práctica A medida que las empresas adoptan tecnologías de datos emergentes como estas, Dunning y Friedman dicen que es imperativo que éstas desarrollen su perspectiva para que mejoren su capacidad de trabajar con datos a escala y responder a los eventos del mundo real a medida que ocurren. “Los roles tradicionalmente aislados pueden resultar demasiado rígidos y lentos para adaptarse bien a las organizaciones de big data que están pasando por una transformación digital”, escriben. “Ahí es donde un estilo de trabajo DataOps puede ayudar”. El enfoque DevOps reúne a especialistas en desarrollo de software y en operaciones para alinear más estrechamente el desarrollo con los objetivos comerciales, acortar los ciclos de desarrollo y aumentar la frecuencia de despliegue. Hace mucho énfasis en tener equipos inter-funcionales que posean habilidades transversales a gremios como operaciones, ingeniería de software, arquitectura y planificación, y gestión de productos. La DataOps agrega funciones de ciencia de datos e ingeniería de datos a esta mezcla con el objetivo de aumentar la colaboración y la comunicación entre desarrolladores, profesionales de operaciones y expertos en datos. Dunning subraya que para alcanzar la coordinación que promete la DataOps es necesario integrar científicos de datos en el equipo de DataOps. “No hagas diferencias entre ellos”, agrega. “Necesitan escuchar los comentarios de primera línea, recomendar las mismas soluciones, someterse a los mismos retos. Esa integración es el paso clave a seguir”. Cómo construir un equipo de DataOps Crear un equipo de DataOps no significa necesariamente que debas contratar nuevos especialistas. Friedman señala que muchas empresas ya tienen el núcleo de lo que es un equipo de DataOps en los equipos de DevOps existentes. El siguiente paso es identificar los proyectos que requieren un desarrollo intensivo de datos y a alguien con capacitación en datos. Esa persona puede incluso ser un ingeniero de datos en lugar de un científico de datos completo. “Cuando estás buscando cubrir estas habilidades diferentes y juntarlas para lograr el objetivo común, eso no significa necesariamente que tengas que contratar un montón de personas para que llenen estos roles.Probablemente ya tienes a estas personas con las habilidades clave. Solo requieres una realineación para comprender cuáles son los roles clave”, reflexionó. La parte importante, dice, es mejorar la colaboración entre los conjuntos de habilidades en pro de  la eficiencia y de un mejor uso del tiempo y la experiencia de las personas. Dunning y Friedman coinciden que también es clave que los equipos de DataOps compartan un objetivo común: las necesidades impulsadas por datos de los servicios que respaldan. #dataops #machinelearning