Ciberseguridad al día

Suscríbete al podcast en iTunes, Ivoox, Castbox o Spotify
La interacción y la construcción de una relación efectiva con la junta directiva de una organización es vital parar las funciones del CISO, este también debe manejar las expectativas y compartir narrativas que resuenan...

No todas las juntas directivas son iguales, la composición de una reunión de la junta directiva y las diferentes personalidades asociadas con ella son elementos que debes tener en consideración.

¿Quieres saber más al respecto? entonces, sigue escuchando este episodio.

Bienvenido a un nuevo episodio de Ciberseguridad al día.

Hoy hablaremos de Construir una Relación Efectiva con una Junta Directiva. Parte I

En mi experiencia he visto CISO que parecieran ser de otro planeta, porque no sabe cómo comunicarse con la Junta directiva, la semana pasada hablamos sobre algunas de las cualidades que debe tener el CISO.
Hoy te comparto mis impresiones, siempre basándome en mi experiencia...

Qué tienen en común el CISO y la Junta Directiva
El CISO y la junta directiva comparten algo en común, que es gestionar el riesgo y hacer que el negocio tenga éxito. Sin embargo, el CISO tiene que ganarse la confianza de la junta incluso cuando está bien establecido que él es el experto en la materia de seguridad.

Las relaciones exitosas deben ser nutridas, y ésta no es diferente. Cada miembro de la junta llega a la mesa con un punto de vista, antecedentes, expectativas y personalidad diferentes. Conocer a la junta y cómo comunicarse mejor con ellos es una de las principales prioridades de CISO.

Consejos para un yo más joven
La primera regla es conocer tu junta directiva, porque cada miembro es diferente. Algunos son inteligentes y cibernéticos, mientras que otros tienen poca exposición a la tecnología y la seguridad. Tú necesitas hacer la tarea para entender mejor las áreas de especialización y experiencia de los miembros de la junta. Necesitas saber si alguno de ellos ha tenido un incidente o violación de seguridad en el pasado, y si tienen un profundo conocimiento de la seguridad.

Otra pregunta importante que debes hacerte es si conoce a algún líder de seguridad que haya trabajado con algunos de los miembros de su junta.

También es importante conocer su forma de comunicar; ¿cuál es el plan de seguridad para su función?, ¿cómo mide el progreso, ¿cómo se comunica mejor y se gana la confianza y el apoyo de la junta? He visto a muchos CISO (y también otros miembros de la junta directiva) frente a los comités de junta y el error más común que veo es que el presentador no está preparado para la audiencia de la junta. El presentador que conoce su trabajo, pero no logra comunicarlo de manera que se gane la confianza de la junta, es alguien que perdió su ventana de oportunidad de ganarse la junta.

Esa habilidad para contar historias es muy importante porque la junta va a recordar la narrativa que les cuentas. Pueden resonar con las estadísticas que se les presentan temporalmente, pero a los pocos meses no van a recordar los números. Ellos recordarán la narrativa que le diste, ese ejemplo en el que enfatizaste el punto que querías transmitir.

Los Diferentes Tipos de Juntas Directivas
Hay diferentes tipos de junta directivas, donde algunos son expertos en seguridad y otros no. Por lo general, no les importa, tienen experiencia en TI o no.

Pero, ha llegado el día del juicio final. Ellos necesitan comprender y no seguir ignorando estos temas o desestimarlos. Deberían saber lo que hace la unidad de seguridad, y especialmente lo que hace el CISO.
Sin embargo, el tema de la seguridad con la junta directiva es relativamente nuevo y todavía está en pañales. Realmente, no saben cómo medir si ese programa de seguridad o si líder de seguridad está siendo efectivo. La Asociación Española para el Fomento de la Seguridad de la Información publicó El libro blanco del CISO. Este libro puede ayudar a educar a la junta y...

Suscribete al podcast en iTunes, Ivoox, Castbox o Spotify

¿Conoces lo que debe saber un CISO?
¿Sabes la importancia de tener un CISO?
¿Tienes idea de las funciones de un CISO?
Quédate, porque de esto hablaremos hoy...

Bienvenido a un nuevo episodio de Ciberseguridad al día.

Hoy hablaremos de 5 Cualidades que tu próximo CISO debería tener. (o que debería adquirir el que ya tienes)
En un mundo donde el culto a los datos se ha convertido en la nueva norma para las organizaciones, la seguridad se ha convertido en una alta prioridad. O al menos, debería ser una prioridad para tu organización.

Desafortunadamente, la realidad es diferente, para algunas empresas, y cada año muchas personas siguen siendo víctimas de una de las cientos de filtraciones de datos que hay en el año. Cualquier organización puede ser pirateada, y sin suficientes medidas de seguridad, puede resultar muy costosa.

Retos de la seguridad de la información para las organizaciones
Desafortunadamente, proteger tu organización de ciberdelincuentes es difícil. Las organizaciones se enfrentan a muchos retos a la hora de garantizar la seguridad de la información.

Vamos con un caso "hipotético":

En tu organización careces de personal adecuado en operaciones de seguridad y respuesta a incidentes.
Como resultado, careces de los ingenieros y analistas de datos necesarios para garantizar una supervisión y detección adecuadas de los incidentes.

En consecuencia, la organización se enfrentan a muchos falsos positivos debido a la falta de análisis inteligente, lo que resulta en demasiado ruido.

Además, en la organización, el monitoreo todavía depende de demasiados procesos manuales, herramientas que no están integradas y la organización carece de un panorama general completo.

Ojala y esto solo fuera hipotetico...

Aquellas empresas que no implementen las medidas de seguridad adecuadas, o que al menos se aseguren de que sus datos estén encriptados para que sean inútiles en caso de que se produzca una violación de datos, pueden ser consideradas responsables. Especialmente bajo las regulaciones de GDPR (para mis amigos europeos).

Por lo tanto, es vital que las organizaciones desarrollen las políticas y los procesos adecuados para garantizar la seguridad de los datos y el CISO debe ser responsable.

¿Todavía no tienes el puesto del CISO? Entonces, abre la vacante..

El Oficial de Seguridad de la Información
El CISO (por sus siglas en ingles) es responsable de gestionar los riesgos empresariales relacionados con la información, desplegar análisis de seguridad dentro de la organización para hacerlo y garantizar el cumplimiento de las normativas relacionadas con la seguridad de los datos.

El CISO debería crear un entorno capaz de manejar grandes cantidades de datos. No sólo los datos creados dentro de la organización, sino también los datos relacionados con el análisis de seguridad.

Los análisis de seguridad generalmente involucran terabytes o petabytes de datos debido a la información de registro de la monitorización de su red, información de la base de datos, información de identificación y todo tipo de datos del sistema que necesita ser analizada en tiempo real para saber qué está sucediendo (Esta es una buena entrada para la Big Data). El papel del CISO es importante, pero ¿cuáles son las cinco características principales a tener en cuenta al contratar a tu próximo Oficial de Seguridad de la Información?

1. Entender el entorno técnico
El CISO tiene que desarrollar la columna vertebral de la seguridad de una organización, a menudo partiendo de cero. El CISO debe participar activamente en actividades como la gestión de las actividades de riesgo operacional, la identificación de objetivos y métricas de protección que estén alineadas con el plan estratégico y la priorización de las iniciativas de seguridad dentro de las organizaciones. Por supuesto, el CISO debe ser responsable de implementar...

¿Tienes tiempo en el área de tecnología y estás viendo en qué especialidad de la ciberseguridad te puede especializar?...
¿Ya estás en el área de ciberseguridad pero te gustaría cambiar de especialidad dentro de la ciberseguridad?
¿Quisieran tener una visión general de todos los dominios donde podemos desarrollarnos en ciberseguridad?
O como fue mi caso, ¿No eres del área pero te interesa la ciberseguridad?
Pues prepárate, porque este episodio te va a gustar..

Bienvenido a un nuevo episodio de Ciberseguridad al día.

Hoy hablaremos de Los dominios de la ciberseguridad.

Este episodio fue inspirado, después de tener una conversación con uno de mis clientes, cuando comenzábamos a trabajar sus interés en la ciberseguridad...

¿Adivinen que fue lo que me dijo que se iba a poner a estudiar?

Que se pondría a hacer un curso de Ethical Hacking... No pude evitar reírme...

Y es que muchas personas aún creen que lo único que es ciberseguridad o el primer paso que hay que dar es el Ethical Hacking.

No me mal interpretes, esa es un área bastante compleja y llena de retos, pero no es lo único que hay, conozco personas que están en la ciberseguridad desde hace muchos años y jamás han ejecutado un comando en la terminal, ¿Eso está mal? ¿Está bien? no creo que ni siquiera valga la pena discutirlo.

Lo importante es que debemos descubrir cual es el mejor rol que podemos desempeñar dentro de la ciberseguridad de acuerdo a nuestras capacidades, conocimientos previos y lo que nos gusta.

En una publicación de Henry Jiang en LinkedIn, nos comparte de forma gráfica un mapa mental donde muestra los dominios de la ciberseguridad, aunque la información está en ingles, Yolanda Baker tradujo el mapa mental al español... Este y todos los demás enlaces están en las notas del episodio.

Este mapa mental tiene dominios como "Desarrollo profesional" donde habla de algo muy importante y es que hay que trabajar duro, se debe estudiar por cuenta propia, hacer entrenamientos, certificaciones, mindmaster o grupos de profesionales, asistir a conferencias y utilizando la magia de la tecnología asistiendo a webinarios.

Después tiene otro dominio denominado "Marcos de referencias y estándares" aquí menciona en líneas generales los marcos que utilizamos dentro de la ciberseguridad como COBIT, NIST, OWASP, ISO y muchos más..

Ok, estarán pensando, pero nada de esto me dice en que áreas me puedo desempeñar o desarrollar ¿Cierto?

Ahí vamos, no se me apuren pero tampoco se me atrasen.

Análisis de riesgos
En esta parte se enmarcan todos las actividades que nos ayudan a determinar los riesgos, como los análisis de código programáticos (ese análisis que se hace sobre los códigos fuentes), los pentesting que a su vez se dividen en las actividades de BlueTeam (actividades defensivas) y RedTeam (Actividades de ataque), también hay actividades, como las evaluaciones de riesgo per sé (Esas actividades más documentales donde se gestionan los mismo... ¿recuerdan mitigar, transferir,evitar, aceptar? eso es lo que hacen aquí)

Gobernabilidad
Aquí están las actividades relacionadas de alguna forma con la alta gerencia de la organización, porque por ejemplo, la auditoría (que es uno de los apartados de este dominio) es una actividad realizada por un personal específico, la alta gerencia debe tomar decisiones en función de los resultados que arrojen la auditoría. En este dominio también se encuentra los controles administrativos, como políticas, normas procedimientos, indicadores clave de desempeño (KPI) y por último pero no menos importante está todo relacionado al cumplimiento legal, aquí es donde los abogados tiene un rol vital dentro de la ciberseguridad, porque no importa si los ciberdelicuentes no pueden entrar en nuestra organización, si incumplimos con alguna regulación, ese será el fin de nuestra organización.

Inteligencia de amenazas - también conocido como Threat...

Te estabas preguntando, ¿y este donde estaba? ¿y eso que ahora publicó? ¿Seguirá publicando sobre ciberseguridad? ¿De qué nos va hablar?(...) Lo importante es que les traigo novedades para ustedes y para volver a darle vida a este podcast...

Bienvenido a un nuevo episodio de Ciberseguridad al día...

Después de mucho tiempo... Hoy hablaremos de lo que se puede esperar para esta nueva temporada.

Si aun estabas suscrito, lo primero quiero decirte es GRACIAS por aun estar allí, a pesar de que tenía un rato sin publicar.

A principios de años me había puesto el reto de hacer una publicación diaria, ciertamente fue un reto bastante exigente, y como puedes escuchar (sobretodo si ya estabas suscrito) es que no lo he cumplido, puedo pasar horas y horas dándoles razones y excusas del porqué había parado, pero, nada de eso vale la pena ya... lo importante es que aquí estoy...

La cuestión fue que en estos días recibí una solicitud de conexión en Linkedin de una persona, y lo primero que me comentó es que estaba escuchando los episodios del podcast, le dije que ciertamente debía volver a activarme con eso y pues aquí estoy, gracias José Rivera por darme ese impulso...

Eso me hace pensar que como pequeñas cosas, pequeños detalles, pequeñas palabras de aliento pueden darnos los impulsos que necesitamos... por eso, nunca escatimemos en felicitar a las personas por un trabajo bien hecho (así sea su responsabilidad) o regalen una sonrisa a un extraño en la calle, eso pudiera cambiarle el día o incluso la vida a alguien..

En fin, este es un podcast de Ciberseguridad, y ¿qué es lo que puede esperar en esta nueva temporada?... eso fue un tema que le dio muchas vueltas en mi cabeza, ver de que forma puedo ayudar y apoyar a mi comunidad de la mejor manera posible, por supuesto, todo desde mi experiencia.

Decidí, de forma unilateral y autoritaria (jajaja), que me enfocaré en esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad.
En este momentos muchos se dirán que *"Los temas de desarrollo para profesionales en la Ciberseguridad es muy amplio, ¿No?"*...

Y esa es la idea, la idea es hablar de:

• Aspectos técnicos, que requerimos en nuestro trabajo.
• Aspectos de cumplimiento, porque al final seremos sancionados o no las leyes, lo interesante es como aplicar eso en este mundo tan globalizado.
• Aspectos tecnológicos, como influyen o como podemos utilizar estas tecnologías en nuestra labor.
• Aspectos procedimentales, administrativos, porque a veces la mejor seguridad es un procedimiento o una norma y no necesariamente algún software.
• Aspectos de liderazgo, auto liderazgo como liderazgo hacia los demás...
• Lo que también nos lleva a aspectos del talento humano en relación a la Ciberseguridad. El activo más importante de una organización no es su información, es su gente.
• Revisiones de libros, esto me obligará a leer más... Además que serán libros que estén relacionado con la Ciberseguridad y también libros que no estén directamente relacionado con la misma.
• De temas que yo esté desarrollando en el momento, de nuevo, relacionado con la Ciberseguridad, porque no creo que les interese lo que estoy haciendo para poder bajar de peso...
• Entrevistas, nunca he hecho entrevistas pero me gustaría mucho empezar a entrevistar a personas del sector, donde nos puedan dar sus puntos de vista de lo que necesitamos para desarrollarnos. Si conocen a alguien que podría entrevistar, mandenme sus datos de contacto.
• Y si se les ocurre alguna temática o tema que podamos desarrollar pues cuéntemelos...

Habrá dos grupos de publicaciones y les diré la frecuencia y duración de cada uno de ellos:

Primero,

Los episodios principales, donde hablaremos de los diferentes temas, pero de forma más profunda. Los voy a publicar una vez a la semana, para ser más específicos los voy a publicar los domingos en la...

Hoy les hablo sobre algunos de los peligros de la Computación Cuántica para la ciberseguridad.

Para agendar tu "Sesión Estratégica Complementaria" ¡Gratuita! ingresa a:https://calendly.com/soysoliscarlos/15min

Esta Semana en Ciberseguridad... Episodio 06... 14 de febrero de 2018... Soy Carlos Solís Salazar

Suscríbete en iTunes | iVoox | whooshkaa | RSS

En este podcast, comparto con ustedes lo más relevante (a mi criterio) que ocurrió durante la semana pasada en materia de Ciberseguridad...
ADB.Miner: nueva botnet dedicada al minado de criptomonedas; Botnet 'Smominru' afecta a más de 500.000 equipos usando EternalBlue; El lunes negro de WordPress, actualizaciones con fallos y vulnerabilidades que no se solucionan; Riesgos de usar WhatsApp Web en entornos corporativos; Vulnerabilidades en software de gasolineras; Vulnerabilidad en LibreOffice; UDPoS, el malware que afecta a puntos de venta; OUCH! Newsletter, Asegurar sus dispositivos móviles; La policía china recibe gafas de reconocimiento facial, Confirmado un ciberataque durante la jornada inaugural de los Juegos Olímpicos de Invierno... Todo esto y más en este episodio de "Esta semana en Ciberseguridad"

Contenido:

• ADB.Miner, nueva botnet dedicada al minado de criptomonedas: El pasado 3 de febrero un nuevo gusano dirigido al minado de criptomonedas empezó a propagarse rápidamente a través de dispositivos Android, principalmente en China y Corea del Sur.

• Botnet 'Smominru' afecta a más de 500.000 equipos usando EternalBlue : El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos. A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

• El lunes negro de WordPress, actualizaciones con fallos y vulnerabilidades que no se solucionan: Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

• Riesgos de usar WhatsApp Web en entornos corporativos: WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

• Vulnerabilidades en software de gasolineras: Hace unos meses, Kaspersky detectó una amenaza crítica de seguridad. Resultó ser una simple interfaz web que en realidad era un enlace a una gasolinera real, haciéndola manipulable de manera remota.

• Vulnerabilidad en LibreOffice: Esta vulnerabilidad se encuentra en el soporte que da LibreOffice a la función "COM.MICROSOFT.WEBSERVICE" se trata de una función que se encarga de mostrar datos de Internet o de una intranet en nuestros documentos de LibreOffice Calc.

• UDPoS, el malware que afecta a puntos de venta: UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn.

• OUCH! Newsletter, Asegurar sus dispositivos móviles: Sus dispositivos móviles son una manera increíble y fácil de comunicarse con amigos, comprar o realizar transacciones bancarias en línea, ver películas, jugar juegos y realizar una gran cantidad de otras actividades. Dado que sus dispositivos son una parte tan importante de su vida, aquí hay algunos pasos simples para mantenerlo a usted y sus dispositivos a salvo y seguros.

• La policía china recibe gafas de reconocimiento facial: A tiempo para la próxima gran migración humana que es el Año Nuevo Lunar anual de China, la policía china ha agregado una nueva herramienta de vigilancia a su ya considerable arsenal: gafas equipadas con tecnología de reconocimiento facial rápida conectada a una base de datos de 10.000 sospechosos buscados en...