WebSec 2006 advierte sobre riesgos en seguridad
Fuente: http://www.infochannel.com.mx/mundos22.asp?id_nota=14174&tecnologia=4
www.websec.com.mx
Del 13 al 16 de febrero el WTC Ciudad de México fue sede del “WebSec 2006”, una conferencia técnica que congregó a expertos en seguridad informática de diferentes partes del mundo, quienes advirtieron que cada vez es más recurrente que las empresas sufran la pérdida de millones de dólares a causa de la intrusión maliciosa (hackeo) a sus sistemas de información.
Durante WebSec 2006 especialistas de Alemania, Argentina, Canadá, España, Estados Unidos, Inglaterra y México impartieron una serie de conferencias y talleres dirigidos al personal que opera los sistemas de información y de comunicaciones de las compañías.
Opinaron que "el panorama no es alentador" en materia de seguridad de la información, puesto que existe una red criminal que actúa a lo largo y ancho del planeta; como ejemplo indicaron que en Estados Unidos el delito cibernético más frecuente es el de robo de identidad, el cual implicó la pérdida de casi 48,000 millones de dólares en 2004.
De acuerdo con los especialistas, sólo 1.3 de cada 1,000 delincuentes son sancionados debido a que muchos países no cuentan con un marco jurídico legal que sancione o desaliente este delito, de entre cuyas consecuencias se encuentran la disminución de transacciones electrónicas, la reducción del uso de comercio electrónico y la mala imagen ante proveedores y clientes.
Por ello los expositores invitaron a los responsables de la seguridad de sus empresas a realizar mejores prácticas para el desarrollo de sistemas web e implantación de sistemas de seguridad; asimismo, recomendaron incorporar estándares internacionales como el ISO 17799-2005 Security Framework, argumentando que el tamaño de la inversión en seguridad no implica que la empresa esté a salvo de intrusiones.
Igualmente sugirieron estudiar nuevas áreas en materia de seguridad, como la “Web Forensics” que permitirá realizar investigaciones a fin de saber cuáles fueron las causas que originaron el hackeo de un servidor.
Hace un par de años un hacker se limitaba a cambiar el contenido de una página web; no obstante, ahora éste conoce el valor de una base de datos o de una aplicación comercial o propietaria, por lo cual los expositores señalaron que una empresa necesita contar con mejores herramientas para ser competitiva e implementar sistemas de detección de intrusiones (IDS) o de prevención (IPS).
La seguridad desde diversos frentes
En el desarrollo de una aplicación web, en la administración de un servidor, en la construcción de una red o en el usuario la constante al interior de las empresas debe ser la seguridad de su información.
Víctor Chapela, director general de Sm4rt y líder del capítulo mexicano de WebSec, destacó que antes de diseñar, implementar o instalar es necesario que las organizaciones piensen en la seguridad de su información.
Por su parte, Esteban Martínez, investigador de seguridad Oracle de la firma Argeniss en Argentina, expresó que la base de datos (donde las más utilizadas son las correspondientes a Microsoft y Oracle) es lo más importante que tiene una empresa, por lo que se necesita que ésta mantenga los parches de seguridad al día.
Martínez dijo que encontró 40 formas de atacar el SQL Server de Microsoft y 140 para la base de datos de Oracle, mismas que los investigadores han reportado, aunque la mayoría -en el caso de Oracle- sigue sin corregirse.
En su oportunidad, César Cerrudo, director general de AppSec, también de Argentina, indicó que Oracle ha mostrado avances en cuanto al tema de seguridad para su base de datos; sin embargo, señaló que su reacción ante una falla es lenta e incluso ha publicado parches defectuosos.
"No entiendo por qué tardan tanto en entregar un parche; falta visión en cuanto al tema de seguridad y visión en cuanto a la responsabilidad con sus clientes", criticó.
Respecto de las acciones de Microsoft, ambos especialistas coincidieron en que su respuesta es más oportuna, puesto que al interior de la firma notaron que es 100% más caro hacer el parcheo de su sistema que lanzar al mercado un sistema con menos vulnerabilidades. Martínez añadió que, a pesar de lo anterior, es posible prevenir al tomar las medidas necesarias para minimizar los riesgos.
En cuanto al tema de redes, Chapela dijo que aparte de las medidas pertinentes es importante considerar que una red bien diseñada también puede defender de una manera eficiente la información de las empresas.
Tips WebSec 2006
1) Instale un firewall.
2) Utilice encriptación de datos.
3) Deshabilite todas las funciones de red no utilizadas.
4) Revise periódicamente los accesos a sus bases de datos.
5) Su administrador de bases de datos y su líder de seguridad requieren de capacitación constante.
6) Sea constante en el respaldo de información.
7) Asegúrese de tener un plan o programa para la seguridad de su empresa.
8) En el caso de la subcontratación de servicios, revise las cláusulas bajo las cuales está protegido.
www.websec.com.mx
Del 13 al 16 de febrero el WTC Ciudad de México fue sede del “WebSec 2006”, una conferencia técnica que congregó a expertos en seguridad informática de diferentes partes del mundo, quienes advirtieron que cada vez es más recurrente que las empresas sufran la pérdida de millones de dólares a causa de la intrusión maliciosa (hackeo) a sus sistemas de información.
Durante WebSec 2006 especialistas de Alemania, Argentina, Canadá, España, Estados Unidos, Inglaterra y México impartieron una serie de conferencias y talleres dirigidos al personal que opera los sistemas de información y de comunicaciones de las compañías.
Opinaron que "el panorama no es alentador" en materia de seguridad de la información, puesto que existe una red criminal que actúa a lo largo y ancho del planeta; como ejemplo indicaron que en Estados Unidos el delito cibernético más frecuente es el de robo de identidad, el cual implicó la pérdida de casi 48,000 millones de dólares en 2004.
De acuerdo con los especialistas, sólo 1.3 de cada 1,000 delincuentes son sancionados debido a que muchos países no cuentan con un marco jurídico legal que sancione o desaliente este delito, de entre cuyas consecuencias se encuentran la disminución de transacciones electrónicas, la reducción del uso de comercio electrónico y la mala imagen ante proveedores y clientes.
Por ello los expositores invitaron a los responsables de la seguridad de sus empresas a realizar mejores prácticas para el desarrollo de sistemas web e implantación de sistemas de seguridad; asimismo, recomendaron incorporar estándares internacionales como el ISO 17799-2005 Security Framework, argumentando que el tamaño de la inversión en seguridad no implica que la empresa esté a salvo de intrusiones.
Igualmente sugirieron estudiar nuevas áreas en materia de seguridad, como la “Web Forensics” que permitirá realizar investigaciones a fin de saber cuáles fueron las causas que originaron el hackeo de un servidor.
Hace un par de años un hacker se limitaba a cambiar el contenido de una página web; no obstante, ahora éste conoce el valor de una base de datos o de una aplicación comercial o propietaria, por lo cual los expositores señalaron que una empresa necesita contar con mejores herramientas para ser competitiva e implementar sistemas de detección de intrusiones (IDS) o de prevención (IPS).
La seguridad desde diversos frentes
En el desarrollo de una aplicación web, en la administración de un servidor, en la construcción de una red o en el usuario la constante al interior de las empresas debe ser la seguridad de su información.
Víctor Chapela, director general de Sm4rt y líder del capítulo mexicano de WebSec, destacó que antes de diseñar, implementar o instalar es necesario que las organizaciones piensen en la seguridad de su información.
Por su parte, Esteban Martínez, investigador de seguridad Oracle de la firma Argeniss en Argentina, expresó que la base de datos (donde las más utilizadas son las correspondientes a Microsoft y Oracle) es lo más importante que tiene una empresa, por lo que se necesita que ésta mantenga los parches de seguridad al día.
Martínez dijo que encontró 40 formas de atacar el SQL Server de Microsoft y 140 para la base de datos de Oracle, mismas que los investigadores han reportado, aunque la mayoría -en el caso de Oracle- sigue sin corregirse.
En su oportunidad, César Cerrudo, director general de AppSec, también de Argentina, indicó que Oracle ha mostrado avances en cuanto al tema de seguridad para su base de datos; sin embargo, señaló que su reacción ante una falla es lenta e incluso ha publicado parches defectuosos.
"No entiendo por qué tardan tanto en entregar un parche; falta visión en cuanto al tema de seguridad y visión en cuanto a la responsabilidad con sus clientes", criticó.
Respecto de las acciones de Microsoft, ambos especialistas coincidieron en que su respuesta es más oportuna, puesto que al interior de la firma notaron que es 100% más caro hacer el parcheo de su sistema que lanzar al mercado un sistema con menos vulnerabilidades. Martínez añadió que, a pesar de lo anterior, es posible prevenir al tomar las medidas necesarias para minimizar los riesgos.
En cuanto al tema de redes, Chapela dijo que aparte de las medidas pertinentes es importante considerar que una red bien diseñada también puede defender de una manera eficiente la información de las empresas.
Tips WebSec 2006
1) Instale un firewall.
2) Utilice encriptación de datos.
3) Deshabilite todas las funciones de red no utilizadas.
4) Revise periódicamente los accesos a sus bases de datos.
5) Su administrador de bases de datos y su líder de seguridad requieren de capacitación constante.
6) Sea constante en el respaldo de información.
7) Asegúrese de tener un plan o programa para la seguridad de su empresa.
8) En el caso de la subcontratación de servicios, revise las cláusulas bajo las cuales está protegido.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!