Nov 28

Artículo: Protege la información mediante técnicas criptográficas

Interesante artículo publicado por por INCIBE.

En el funcionamiento diario de cualquier organización, se procesa multitud de información que en función de su contenido puede considerarse sensible y confidencial. Debido a la trascendencia o el impacto que este tipo de información podría tener en nuestro negocio, deberá estar especialmente protegida tanto en su tránsito, como cuando esté almacenada.

Para proteger la información, además de contar con políticas de control de acceso y de clasificación de la información, también existe la posibilidad de hacer uso de herramientas criptográficas. Éstas se encargarán de cifrar los datos haciéndolos ilegibles, salvo para aquellos casos en que se disponga de las claves de descifrado. De esta forma, se garantiza la confidencialidad e integridadde la información, principal activo de cualquier organización.

Además, en sectores como el administrativo, donde se trabaja con facturas, contratos e información privada similar, se puede utilizar la firma digital en los documentos y correos electrónicos. De esta forma, garantizaremos la autenticidad, confidencialidad, integridad y no repudio de los mismos.

Por otro lado, también será muy importante utilizar protocolos de comunicación seguros, haciendo uso de certificados web de validación extendida para aquellos servicios que se gestionen vía web (como los pagos online), o el uso de VPN para acceder en casos de teletrabajo.

Con el objetivo de proteger la información a través de las técnicas criptográficas tendremos que tener en cuenta los siguientes puntos:

Qué información deberá ser cifrada. Para ello, tendremos que clasificar la información para diferenciar cuál deberá ser cifrada (información sensible o confidencial, información almacenada en servicios cloud o dispositivos extraíbles, etc.).

Uso de firma electrónica. Será necesario utilizarla en aquellos escenarios que requieran especial garantía de autenticidad y no repudio de la información (trámites con la Administración Pública, facturación, etc.).

Certificados web. Necesarios para garantizar la seguridad de la información de un sitio web. En caso de trabajar con trámites o ventas online contaremos con un certificado SSL/TLS.

Cifrado de datos cuando se contraten servicios externos. Especialmente si estos servicios trabajan con datos personales o confidenciales de nuestra organización (nóminas, seguridad social, etc.). Además, también será necesario cifrar cuando se realicen copias de seguridad en la nube o si se cuenta con pasarelas de pago para nuestra tienda online (se recomienda no almacenar datos en nuestra web de las transacciones que se realicen optando mejor por servicios externos).

Cifrado de datos en el desarrollo de aplicaciones. Por norma, cualquier desarrollo de una aplicación que trate datos personales o credenciales de acceso, deberá contemplar criterios de privacidad por defecto como el cifrado de la información.

Accesos a través de VPN. En aquellas situaciones en las que se cuenta con accesos externos autorizados, como puede ser por motivos de teletrabajo, se habilitarán canales VPN cifrados que garanticen la confidencialidad de las comunicaciones.

Algoritmos de cifrado. Es recomendable utilizar algoritmos de cifrado actuales evitando hacer uso de aquellos que hayan quedado obsoletos. Además es preferible que sean conocidos, hayan sido evaluados ampliamente y siempre que sea posible de cifrado asimétrico.

Aplicaciones autorizadas para usos criptográficos. Es conveniente contar con una lista de aplicaciones permitidas con fines criptográficos, detallando el uso concreto de cada una.
Protocolos seguros de comunicación. Deberemos formar a todos los empleados para garantizar la confidencialidad. Para ello, se emplazará a que hagan uso de mecanismos y herramientas de comunicación que utilicen protocolos criptográficos (SSH, SFTP,FTPS o HTTPS).

Cifrado del wifi. Será necesario configurar la red wifi de tu empresa con el estándar de cifrado más seguro, el WPA2-AES y cambiar la clave de acceso por defecto.

La información corporativa, confidencial o sensible con la que se trabaja en una organización debe contar con un nivel de seguridad y protección alto. Además de establecer protocolos en el acceso y tratamiento de la misma, implantaremos políticas para su cifrado, aumentando considerablemente el nivel de confidencialidad y garantizando la integridad de la información.

Nov 28

Artículo: La mitad de las webs de phishing tienen HTTPS Y candado verde: cuidado con donde entras

La mitad de las webs de phishing tienen HTTPS y candado verde: cuidado con donde entras

Cuando visitamos una página web en la que tenemos que introducir nuestras credenciales, lo primero que hacemos es buscar el candado o el https en la URL. Sin embargo, una nueva investigación de PhishLabs ha demostrado que ese consejo ya no sirve de nada, ya que el 49% de las páginas de phishing que intentan robar tus datos tienen el candado verde y HTTPS en la URL.

El 49% de las páginas web phishing son HTTPS

El año pasado sólo el 35% de las páginas web de phishing eran HTTPS, pero este año la cifra ha aumentado hasta el 49%. Los hackers saben lo que miran los usuarios en una URL, y por ello intentan darle el aspecto más legítimo posible, ya que una web HTTP ahora aparece como “No segura”. En la encuesta realizada por la compañía, el 80% de los usuarios creían que el hecho de que una web tuviera el candado verde implicaba que era real y segura.

Como sabemos, HTTPS lo único que dice es que los datos que se están transmitiendo entre el navegador y la web están cifrados mediante SSL (Secure Sockets Layer). Sin embargo, una vez que llegan al destino, pueden descifrarse. Algunas URL son directamente falsas a simple vista, con dominios que empiezan por “xn—“ (conocidas como punycode). Sin embargo, otras parecen tan reales que usan URL muy parecidas.

Una web HTTP no es segura, pero una HTTPS también puede no serlo

En Chrome, las páginas punycode son marcadas como no seguras con bastante rapidez. Este es el caso de Bibox, un portal de intercambio de criptomonedas. Una web falsa que intenta suplantarla muestra el dominio b?box.com/login, pero en realidad redirige a https://www.xn--bbox-vw5acom/login, que es un dominio falso y así lo marcan como tal Chrome y Firefox.

Todo esto hace que tengamos que tener muchísimo cuidado con los enlaces a los que accedemos. Lo más seguro es que los tengamos guardados en marcadores, o que accedamos a ellos escribiéndolos manualmente en el cajón de la URL, así como buscarlos en Google. Pinchar en enlaces que encontramos por la red, o que podemos recibir en emails de phising, nos puede exponer a este tipo de ataques. Por tanto, una página HTTP va a ser siempre 100% insegura, pero que una página sea HTTPS no indica que sea totalmente segura.

Ver información original al respecto en Fuente>

https://www.adslzone.net/2018/11/27/mitad-webs-phishing-https/

Nov 27

Artículo: Cómo funciona TLS 1.3

De nuestros compañeros de Segu-Info.

http://blog.segu-info.com.ar/2018/11/como-funciona-tls-13.html

Transcripción literal:

TLS 1.3 ya es el nuevo estándar de seguridad online que ha llegado para suceder a la versión actual, TLS 1.2 (y sustituir a todas las anteriores) ofreciendo una seguridad muy superior para cifrar las comunicaciones entre cliente y servidor y, además, reduce la latencia en las comunicaciones. Una de las mejoras de seguridad que llega con este nuevo estándar criptográfico es la obligación para usar PFS (Perfect Forward Secrecy) en todas las sesiones, algo que hasta ahora era opcional y que va a complicar mucho las cosas a los atacantes.

A grandes rasgos, PFS obliga a usar claves diferentes en cada sesión que se establece. De esta manera, si un atacante, consigue hacerse con una de las claves (algo nada sencillo), todas las sesiones pasadas y futuras seguirán siendo seguras, ya que con dicha clave solo podría descifrar el tráfico de la sesión actual.

Los atacangtes van a tener que cambiar su metodología para analizar y monitorizar redes con la llegada de este nuevo estándar criptográfico para poder seguir desempeñando su labor.

En el “The New Illustrated TLS Connection”podemos ver una explicación muy detallada sobre cómo funciona TLS 1.3, así como un ejemplo, paso a paso, de cómo sería el proceso para enviar un “ping” y recibir un “pong” a través de este nuevo estándar de seguridad.

Nov 17

Artículo: Error de Gmail permite manipular el remitente

Sin palabras, ha investigar toca… Artículo publicado por nuestros compañeros de blog.segu-info.com.ar.

http://blog.segu-info.com.ar/2018/11/error-de-gmail-permite-manipular-el.html

Transcripción literal:
Este error se basa en la forma en la que Gmail controla la estructura del remitente, “De:”. De ser explotado, se podría poner cualquier dirección de e-mail de forma arbitraria en este campo. Esto podría confundir a los usuarios sobre correos que han mandado y a quién.
Este fallo ha sido descubierto por el investigador de seguridad Tim Cotten. Ha visto recientemente este problema después de que un empleado de su compañía viera algunos mensajes dentro de su cuenta de Gmail que no recordaba haber enviado.Rápidamente este investigador de seguridad se puso a intentar ver la procedencia del problema. Encontró que realmente estos correos no habían sido enviados desde la cuenta del trabajador. Por el contrario, fueron recibidos a través de una cuenta externa y posteriormente se archivaron en la carpeta de Enviados de forma automática.

El motivo del error lo descubrió después de ver la estructura del encabezado “De:”. Aquí mostraba una anomalía, ya que contenía la dirección del remitente junto a la del destinatario.
El investigador informa de que al estructurar el campo “De:” para introducir la dirección del destinatario junto al texto, Gmail lo que hace es filtrar y organiza el mensaje como si hubiera sido enviado por el destinatario.
Según informan desde Bleeping Computer, Tim Cotten se puso en contacto con Google y, al momento de escribir este artículo, el problema sigue existiendo y no ha sido solucionado.
En cualquier caso, si un atacante decide utilizar la dirección del destinatario en el encabezado “De:”, hay algunas pistas que alertan de que algo va mal. Veríamos ese correo en la bandeja de entrada y además, la copia en la carpeta Enviados, aparece con el asunto en negrita.
Además de esta problemática, Cotten también informó de que los atacantes podrían aprovechar este fallo para enviar links maliciosos. También informó de que sería técnicamente posible agregar cualquier dirección de correo al encabezado entre comillas. Esto permitiría falsificar al remitente.
En definitiva, este error de Gmail podría permitir modificar el remitente de un correo. Es previsible que la conocida plataforma de correos electrónicos solucione este problema. Sin embargo al tiempo de escribir este artículo todavía no había sido resuelto.
La seguridad y privacidad son aspectos importantes para los usuarios de este tipo de servicios. En un artículo anterior explicamos cómo saber si hay algún intruso en nuestra cuenta de correo electrónico. De esta manera podríamos evitar posibles riesgos para nuestra privacidad y seguridad.

Nov 13

Hide and Script: Inserted Malicious URLs within Office Documents’ Embedded Videos – TrendLabs Security Intelligence Blog

Programas maliciosos….

https://blog.trendmicro.com/trendlabs-security-intelligence/hide-and-script-inserted-malicious-urls-within-office-documents-embedded-videos/

Traducción literal:

A fines de octubre, los investigadores de seguridad de Cymulate mostraron una prueba de concepto (PoC) que explotaba un error lógico que podía permitir a los piratas informáticos abusar de la función de video en línea de Microsoft Office para entregar malware. De hecho, identificamos una muestra en el medio silvestre (detectada por Trend Micro como TROJ_EXPLOIT.AOOCAI) en VirusTotal, utilizando este método para entregar el ladrón de información URSNIF (TSPY_URSNIF.OIBEAO).

¿Cuál es el vector de infección del malware?
Dado que este tipo de ataque implica el uso de un documento de Word especialmente diseñado, podemos asumir que puede llegar al sistema de un usuario a través de otro malware o como un archivo adjunto o enlaces / URL en spam.

La falla afecta a Microsoft Word 2013 y versiones posteriores. El PoC y el malware emplean el tipo de archivo DOCX utilizado en Microsoft Word, un archivo basado en lenguaje de marcado extensible (XML) que puede contener texto, objetos, estilos, formato e imágenes. Se almacenan como archivos separados y se empaquetan en un archivo DOCX comprimido / archivado en ZIP.

Figura 1: Comparación de las cadenas de infección PoC (izquierda) y de la muestra en la naturaleza (derecha)

¿Cómo funcionan los programas maliciosos PoC y en el salvaje?
El PoC y la muestra in-the-wild abusa de un error lógico en la función de incrustación de video en línea de Microsoft Office que permite a los usuarios incrustar un video en línea de fuentes externas como YouTube y otras plataformas de medios similares.

El PoC se realizó incrustando videos en línea en el documento y luego modificando los archivos XML dentro del paquete del documento. Como lo demuestra Cymulate, implica:

  • Modificación de la extensión de archivo del documento (DOCX a ZIP).
  • Extraer los archivos dentro del archivo del documento.
  • Ubicación de la etiqueta ( embeddedHtml ) dentro del archivo XML donde se pueden agregar scripts o URL maliciosos. Tenga en cuenta que una vez que se modifica la URL bajo el parámetro embeddedHtml , redirige automáticamente al usuario a la URL especificada después de hacer clic en cualquier lugar del marco de video dentro del documento.
  • Inicializando y desplegando la carga útil modificando el script dentro de embeddedHtml .

Una mirada más cercana a la muestra in-the-wild revela que simplemente modifica la URL escrita bajo el parámetro src , reemplazándola con una URL de Pastebin que contiene una secuencia de comandos que se carga y ejecuta luego de una redirección exitosa. A su vez, el script accede a otra URL maliciosa para descargar y ejecutar una versión del malware URSNIF.

Figura 2: Fragmento de código que muestra la URL modificada en el parámetro embeddedHtml (resaltado)

¿En qué se diferencia el PoC de la muestra de malware real?
El PoC utilizó el método msSaveorOpenBlob , que inicia una aplicación para un archivo u objeto blob, para decodificar un binario codificado en base64 incrustado dentro de la etiqueta de video. También se activa haciendo clic en el cuadro de vídeo. Una vez descodificado, le indicará al usuario con el Administrador de descargas de Internet Explorer (que muestra el nombre de archivo binario incorporado) una notificación que le pregunta si debe ejecutar o guardar manualmente el archivo ejecutable (que se muestra en la Figura 3).

Sin embargo, a diferencia del PoC, la muestra de malware real es más simple y podría ser más efectiva. Accederá directamente a la URL maliciosa al hacer clic en el cuadro de video. Luego cargaría un script malicioso que descarga automáticamente la carga útil final. Como se muestra en la Figura 4, luego solicita al usuario el administrador de descargas que guarde o ejecute la carga útil, que se presenta como una actualización de Flash Player.

Figura 3: Instantánea de IE Download Manager pidiendo al usuario que ejecute o guarde el archivo ejecutable

Figura 4: Cómo funciona la muestra en el medio silvestre

¿Cómo pueden los usuarios defenderse contra esta amenaza?
Microsoft informó que no asignó un identificador de CVE para esto ya que la función de inserción de video en línea funciona como estaba previsto / diseñado. Los usuarios pueden defenderse contra amenazas que abusan de esto al bloquear documentos de Word que tienen laetiquetaembeddedHtml en sus respectivos archivos XML o deshabilitar documentos con video incrustado. Dado que esta técnica aparentemente nueva solo necesita modificar las URL, podría exponer a los usuarios y las empresas a varios programas maliciosos y otras amenazas. Adopte las mejores prácticas: sea más cuidadoso con los correos electrónicos no solicitadosy actualice los sistemas, aplicaciones y redes para parchearvulnerabilidades explotables. El empleo de mecanismos de seguridad que pueden proporcionar capas adicionales de seguridad a los puntos finales (como el filtrado / categorización de URL) también puede ayudar a bloquear URL maliciosas y sitios de alojamiento de malware.

Los usuarios y las empresas también pueden considerar adoptar soluciones de seguridad que puedan proteger los sistemas de varias amenazas a través de una combinación intergeneracional de técnicas de defensa contra amenazas. Las soluciones de punto final de Trend Micro como Smart Protection Suites y Worry-Free Business Security pueden proteger a los usuarios y empresas de amenazas detectando mensajes y archivos maliciosos, así como bloqueando todas las URL maliciosas relacionadas. Trend Micro ™ Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de archivos adjuntos maliciosos y URL.

Estas soluciones se basan en la seguridad de Trend Micro ™ XGen ™ , que proporciona aprendizaje automático de alta fidelidad que asegura la puerta de enlace y el punto final , y protege las cargas de trabajo físicas, virtuales y en la nube. Con las tecnologías que emplean el filtrado de URL / web, el análisis de comportamiento y el sandboxing personalizado, la seguridad de XGen ofrece protección contra amenazas en constante cambio que evitan los controles tradicionales y explotan vulnerabilidades conocidas y desconocidas.

Indicadores de compromiso (IoC):
hashes relacionados (SHA-256):

  • 03634e2eab2f61ab1d7359c4038c7042f7eb294d9d5c855560468b8824702c47 – TROJ_EXPLOIT.AOOCAI
  • d01b6f839b233ce9d6834a58d9d832ad824b73dd3dd1f399639fe5326faf783b – TSPY_URSNIF.OIBEAO

URL maliciosa relacionada:

  • hxxp: // wetnosesandwhiskers [.] com / driverfix30e45vers [.] exe

Regla YARA para detectar TROJ_EXPLOIT.AOOCAI:

la regla EMBEDDEDHTML_WITH_SCRIPT {

meta:

description = “posible abuso de vídeo de Office embededHtml”

reference = “https://blog.cymulate.com/abusing-microsoft-office-online-video”

instrumentos de cuerda:

$ embeddedHtmlre1 = / \ sembeddedHtml = ”[^”] + /

$ embeddedHtmlre2 = / \ sembeddedHtml = ‘[^’] + /

$ script = “<script” nocase

condición:

(

para cualquier i in (1 .. # embeddedHtmlre1): (

para cualquier j en (1 .. # script): (

@ embeddedHtmlre1 [i] <@script [j] y

@script [j] <@ embeddedHtmlre1 [i] +! embeddedHtmlre1 [i]

)

)

)

o

(

para cualquier i in (1 .. # embeddedHtmlre2): (

para cualquier j en (1 .. # script): (

@ embeddedHtmlre2 [i] <@script [j] y

@script [j] <@ embeddedHtmlre2 [i] +! embeddedHtmlre2 [i]

)

)

)

}

Nov 08

Artículo: Valor de la vida digital en la Deep Web

Cuidado con lo que compartimos y los links que “clikequeamos” 😉. Artículo publicado por nuestros compañeros de blog.segu-info.com.ar.

http://blog.segu-info.com.ar/2018/11/valor-de-la-vida-digital-en-la-deep-web.html

Según ha podido demostrar recientemente la firma de seguridad Kaspersky, un delincuente informático podría conseguir una vida digital completa en la Deep Web por tan solo 50 dólares. Esta vida digital incluiría desde perfiles completos en redes sociales hasta datos bancarios, datos personales, acceso a servidores y ordenadores remotos, cuentas de Uber, Netflix y Spotify, juegos online, aplicaciones de citas… todo.

Si no queremos una vida completa también podemos comprar la información que nos interese de manera individual. Por ejemplo, podemos comprar una cuenta en una red social o en alguna aplicación como Spotify y Netflix por solo un dólar, accesos a tiendas online se venden fácilmente por 10 dólares y los datos de acceso a ordenadores y servidores remoto más caros.

Curiosamente, los delincuentes informáticos ofrecen a los compradores una garantía de por vida para estos perfiles de manera que si en algún momento uno de ellos deja de funcionar reciben otro de manera totalmente gratuita.

Dado que cada vez usamos más internet y las redes sociales sin tener en cuenta todos los peligros, cada vez mayores, que se esconden en ellas, a continuación os vamos a explicar cómo consiguen toda esta información los delincuentes y cómo podemos proteger nuestra vida digital para evitar que caiga en manos de delincuentes o circule por la Deep Web.

Cómo consiguen los delincuentes estas vidas digitales y cómo proteger la nuestra

Las técnicas utilizadas por los delincuentes para hacerse con esta información son las clásicas que ya conocemos, como, por ejemplo, mediante ataques de phishing y engaños o explotando vulnerabilidades en los ordenadores de las víctimas para poder hacerse con las contraseñas guardadas, vincularlas a un correo y probar a ver dónde funcionan.

La mejor forma de evitar que esto ocurra es contar con software de seguridad que nos ayude a detectar y neutralizar estas amenazas. Un buen antivirus actualizado junto con un cliente de correo capaz de identificar y bloquear estos mensajes fraudulentos, como GMail, reducirán considerablemente la probabilidad de caer en las garras de los delincuentes informáticos.

Mantener nuestro ordenador y todas nuestras aplicaciones siempre actualizadas a las últimas versiones es también otra manera de evitar lo mismo, caer en manos de los delincuentes. Por último, el sentido común, tanto con lo que publicamos en la red, como con los posibles correos que recibimos, también nos ayudará a reducir la probabilidad de que nuestra información personal termine en la red a merced del primero interesado en una nueva vida digital.

Nov 08

Comisión de Auditoría: incorporación y formación inicial – KPMG Tendencias

Inicio y seguimiento. Vamos a ello! Artículo publicado por KPMG tendencias.

https://www.tendencias.kpmg.es/2018/11/comision-auditoria-formacion-inicial-y-onboarding/

La Comisión de Auditoría tiene cada día un papel más relevante. Debe vigilar y supervisar información y procesos críticos. Para cumplir con eficacia sus funciones, sus miembros deben tener conocimientos, experiencia, rigor y saber hacer las preguntas oportunas para retar los planteamientos del equipo gestor y establecer con ellos un diálogo continuo y constructivo. Desde el Audit Committee Institute (ACI) de KPMG en España queremos aportar reflexiones y preguntas clave que deberían plantearse en la Comisión de Auditoría. Ése es el objetivo de la serie que ponemos hoy en marcha bajo el título Comisión de Auditoría: cuestiones clave para una supervisión eficaz. La serie se nutrirá quincenalmente de nuevos artículos que irán abordando cuestiones clave de la Comisión de Auditoría.

Este primer artículo aborda el proceso de incorporación y la formación inicialde los nuevos miembros. De la calidad con que se lleven a cabo estos procesos dependerá la curva de aprendizaje que todo nuevo miembro debe superar y la rapidez con la que podrá contribuir de forma significativaen las reuniones de la Comisión de Auditoría.

Entender la entidad —sus operaciones, estrategias, riesgos y equipo de dirección—, así como las responsabilidades y la cultura de la organización, el consejo y de sus comisiones lleva tiempo. Ahora bien, un programa de formación inicial estructurado —que incluya información esencial y manual con instrucciones, conversaciones de calidad con profesionales clave y una hoja de rutapara ponerse en marcha— puede acelerar y facilitar en gran medida la integración de un nuevo miembro de la comisión y su contribución a la labor de la misma.

En el caso de nuevos miembros de una Comisión de Auditoría, la formación inicial presenta un nivel añadido dedificultad en comparación con los miembros del consejo en general en vista de la complejidad y el alcance de las cuestiones en materia deinformación financiera/contabilidad,área jurídica/cumplimiento normativoy supervisión de riesgos que debe abordar la comisión de auditoría.

Hay que garantizar en todo momento una formación inicial personalizada

Es una buena práctica de gobierno corporativo ofrecer un programa de formación inicial a los nuevos miembros. El presidente y/o el secretario de la comisión deben garantizar que todo programa de formación inicial se personalice para adaptarse a las necesidades específicas de cada miembro. Por tanto, aunque todos los consejeros precisarán una formación inicial sobre la propia organización, un consejero que asuma su primer puesto en la Comisión de Auditoría necesitará algo diferente.

El presidente de la Comisión de Auditoría deberá plantearse una revisión del programa de formación inicial para el nuevo miembro una vez transcurridos varios meses para plantear cualquier duda que puedan seguir teniendo, así como para mejorar el proceso de cara a las próximas incorporaciones.

Incluso una vez que un nuevo miembro de la comisión ha recibido la formación inicial, se deberá dar continuidad a su desarrollo y formación. Los miembros de la Comisión de Auditoría deben ser objeto de un desarrollo profesional continuado para facilitarles su labor y asegurar que cuentan con los conocimientos y habilidades necesarios para abordar las constantes situaciones de cambio a las que se enfrenta la compañía.

Elementos básicos de un programa de formación inicial

-Facilitar un manual o paquete informativo y de iniciación a la organización que incluya, como mínimo:

  • la visión global de su modelo de negocio y organizativo y de su estrategia,
  • el entorno tecnológico en el que opera,
  • copias de los últimos informes financieros y publicación de resultados,
  • las condiciones de organización y funcionamiento de la comisión y las actas de las últimas reuniones,
  • el plan de auditoría interna y externa
  • el registro de riesgos, tanto financieros como no financieros,
  • cualquier desglose sobre la efectividad del control interno y políticas corporativas relevantes, como el código de conducta y la política de denuncia de irregularidades.

Reuniones con el presidente de la Comisión de Auditoría y otros miembros para entender su papel y objetivos, el puesto -incluyendo el compromiso esperado del nivel de dedicación- y las expectativas

-Reuniones con los principales miembros de la dirección -incluidas visitas a localizaciones clave de la organización- para debatir las cuestiones actuales de auditoría y de presentación de información financiera, así como las referentes a los controles internos.

-Reuniones con los auditores externos e internos para entender los riesgos de auditoría y los planes de auditoría.

Reunión con la Dirección de Asesoría Jurídica para entender el marco regulatorio y normativo de la compañía y el sector en el que opera, así como el estado de cualquier litigio en curso

Preguntas clave para la Comisión de Auditoría

Manuales o paquetes de información inicial
  • ¿Quién se encarga de preparar el paquete de información de formación inicial? ¿Cuándo debe facilitarse?
  • ¿Qué deberíamos incluir en el paquete de información?
  • ¿Quién debe participar en su preparación?
  • ¿Cómo se facilitará la información al nuevo miembro? ¿Se escalonará e intercalará con reuniones con miembros relevantes de la dirección?
  • ¿Cuál es la trayectoria del nuevo miembro? ¿Ya tiene experiencia en comisiones de auditoría? ¿Cómo puede personalizarse el paquete informativo para adaptarlo de manera óptima al nuevo miembro y facilitar su incorporación?
Reuniones con la dirección
  • ¿Qué precisa saber el nuevo miembro o qué información se le ha facilitado antes de reunirse con los diferentes miembros de la dirección para potenciar al máximo las ventajas de estas reuniones?
  • ¿Bastará para el nuevo miembro asistir a reuniones regulares de la dirección o deberían programarse reuniones específicas adicionales con directivos concretos?
  • ¿Con quién deberá reunirse el nuevo miembro? ¿Qué lugar o localizacións clave de la organización debería visitar el nuevo miembro?
  • ¿En qué momento debería reunirse el nuevo miembro con el responsable de auditoría interna?
  • ¿Cómo puede asegurarse que el responsable de auditoría interna sea capaz de facilitar una valoración real de los riesgos, la gestión y los controles internos de la sociedad?
Asesores externos
  • ¿En qué momento debería reunirse el nuevo miembro con el socio principal de auditoría?
  • ¿Cómo puede asegurarse que el socio principal de auditoría sea capaz de facilitar una valoración real de los riesgos, la gestión y los controles internos de la sociedad?
  • ¿Existen otros asesores externoscon los que el nuevo miembro debería reunirse en el marco del programa de formación inicial?
  • ¿Sería beneficioso para el nuevo miembro atender a las reuniones con inversores?
  • ¿Facilitaría la labor del nuevo miembro recibir formación/directrices de formadores externos(contabilidad, gestión de riesgos, sector, etc.)?
Desarrollo profesional continuado
  • ¿Quién se encarga de supervisar el desarrollo profesionalcontinuado? ¿Cómo se supervisa?
  • ¿Están los miembros de la comisión lo suficientemente expuestos hoy en día a las cuestiones sectoriales? ¿Son necesarias sesiones informativas internas adicionales para facilitar actualizaciones más regulares sobre cambios en las circunstancias?
  • ¿Asistir a seminarios organizados externamente beneficiaría a los miembros de la comisión? ¿Sería buena idea invitar a expertos en materias concretas a las reuniones de la comisión de auditoría?
  • ¿Contribuye el socio principal de auditoría a facilitar directrices en cuanto a los avances sobre presentación de información financiera y otras cuestiones contables relevantes?

Nov 08

Artículo: Así puedes gestionar los datos que guarda Google sobre ti – Globb Security

De nuestros compañeros de globbsecurity, este interesante artículo con vídeo incluido.

https://globbsecurity.com/asi-puedes-gestionar-los-datos-que-guarda-google-sobre-ti-43857/

En una sociedad cada vez más conectada, buscar cosas en Google, publicar fotos en Instagram o compartir con todo el mundo cómo nos sentimos en Twitter o Facebook se ha convertido en algo habitual. Nuestra vida es cada vez más transparente, pero, muchas veces, no somos conscientes de hasta que punto.

Google basa su estrategia de negocio precisamente en eso. Aprovecha los datos que proporcionamos tanto consciente como insconcientemente para segmentar al detalle la publicidad y así conseguir que el anunciante controle en qué páginas de resultados le conviene aparecer.

Google ofrece multitud de servicios gratuitos: Chrome, Gmail, Drive, Maps… la lista es interminable. Y es precisamente de estas aplicaciones de las que Google extrae datos a priori irrelevantes y los convierte en datos útiles con los que segmentar la publicidad que recibimos.

Así, la información que aportamos a Google podría divirse en dos grupos: datos que proporcionamos sin darnos cuenta como nuestro historial de navegación, nuestras búsquedas, etc. Y los datos con los que accedemos a nuestras cuentas, que proporcionamos conscientemente.

Google asegura que toda esta información se guarda de forma segura y explica el motivo de esa recopilación de datos. En este sentido, antes era necesario hacerlo desde tu cuenta de Google. . Sin embargo, ahora se podrá hacer desde el buscador. A partir de hoy podrá hacerlo directamente desde sus versiones web móvil y de escritorio y, en las próximas semanas, en Google app para iOS y Android. Y es que, coincidiendo con el mes europeo de la ciberseguridad, Google ha lanzado una mejora de la gestión de los datos en el buscador.

“También vamos a poner a tu disposición el acceso rápido a aquellos controles de privacidad de tu cuenta de Google que son más relevantes cuando utilizas el buscador” aseguran. Por ejemplo, para controlar los anuncios que ves mientras realizas tus búsquedas, te damos acceso a tus preferencias de Google Ads. Además, puedes acceder a los controles de actividad de tu cuenta y decidir qué información guarda y utiliza Google con el fin de hacer que el buscador y el resto de sus servicios sean más rápidos, inteligentes y útiles.

Si quieres conocer con más detalle qué datos se generan mientras usas los servicios de Google y cómo los utiliza Google, desde la compañía han creado un vídeo explicativo en el que puedes descubrirlo:

Nov 07

Artículo: USB Drives Deliver Dangerous Malware to Industrial Facilities – Threat Brief

Origen: USB Drives Deliver Dangerous Malware to Industrial Facilities – Threat Brief

Según un informe de Honeywell, aún se está enviando malware a las instalaciones industriales a través de dispositivos de almacenamiento extraíbles USB y algunas amenazas pueden causar interrupciones significativas. El año pasado, el gigante industrial  lanzó SMX , un producto diseñado para proteger las instalaciones de las amenazas nacidas por USB. La compañía también lo utiliza para determinar el riesgo que representan las unidades USB para dichas organizaciones.

Honeywell ha analizado los datos recopilados de 50 ubicaciones en los EE. UU., América del Sur, Europa y Oriente Medio. Las empresas en el estudio representaron la energía, el petróleo y el gas, la manufactura química, la pulpa y el papel y otros sectores. Honeywell dijo que su producto había bloqueado al menos un archivo sospechoso en el 44% de las ubicaciones analizadas. De las amenazas neutralizadas, el 26% podría haber causado grandes interrupciones en los sistemas de control industrial (ICS).

Nov 07

Artículo: La estricta política de contraseña podría impedir la reutilización en múltiples servicios.

Origen: La estricta política de contraseña podría impedir la reutilización en múltiples servicios

Opinión: Si somos capaces de establecer una política de contraseñas tanto en el ámbito particular como empresarial, podríamos disminuir el riesgo de accesos no autorizados. En el ámbito empresarial es fundamental el establecimiento de unas buenas políticas pero en el ámbito particular. 

Seamos realistas: es complicado el exigir a todos los componentes de la familia que establezcan unas contraseñas robustas, porque eso implicaría que estas contraseñas terminarán estando escritas en algún trozo de papel, por lo que , intrínsecamente, estaríamos de nuevo, vulnerando la misma política que pretendemos establecer. 

En estos casos es mejor una contraseña que sea “fácil” de recordar y que no este escrita en ningún trozo de papel perdido por la mesa, que una contraseña que cada vez que la vayamos a utilizar, miremos en el cajón y esté a la vista de todos.

Los investigadores han encontrado que exigir contraseñas más largas y complejas reduce la probabilidad de que los usuarios las reutilicen en múltiples servicios en línea.

Un equipo de tres académicos de la Universidad de Indiana se dispuso a examinar el impacto de las reglas de prescripción para la creación de contraseñas en la reutilización de contraseñas . Para hacerlo, primero analizaron las políticas de contraseña de 22 universidades en los Estados Unidos. Luego se dividieron en 1.3 mil millones de combinaciones de nombre de usuario / contraseña que están disponibles en línea como resultado de violaciones pasadas. En el proceso, encontraron cerca de 7.4 millones de credenciales de inicio de sesión donde las direcciones de correo electrónico pertenecían al nombre de dominio asociado con las universidades.

“Sobre la base de las direcciones de correo electrónico que pertenecen al dominio de una universidad (verificamos la dirección del dominio .edu), las contraseñas se compilaron y probaron según la política de contraseña prescrita de una universidad”, dijeron los investigadores.

Al final, encontraron que cuanto mayor es la longitud mínima prescrita de una contraseña o frase de contraseña , menor es la probabilidad de que se reutilice en otro sitio.

“Hay una clara tendencia a tener una longitud mínima requerida más alta que reduce la probabilidad de reutilización en varias universidades”, según el hallazgo clave en su estudio, llamado ” Factores que influyen en la reutilización de contraseñas: un estudio de caso “.

Con su requisito de una longitud mínima de 15 caracteres, la Universidad de Indiana (IU) obtuvo el mejor rendimiento. Como resumió L. Jean Camp , quien es uno de los tres investigadores detrás del documento, el requisito de que una contraseña o frase de contraseña tenga al menos 15 caracteres de largo impidió que casi todos los usuarios de IU (99,98 por ciento) lo reciclaran en otros sitios.

“Otras universidades con menos requisitos de contraseña tuvieron tasas de reutilización potencialmente tan altas como 40 por ciento”, dijo. “Menos requisitos de contraseña” aquí significa que la contraseña debe contener solo un mínimo de siete caracteres y que no se requiere más de una combinación de letras y dígitos.

De hecho, casi la misma imagen se pintó cuando se trata de la complejidad de la contraseña. Las universidades que prescribieron contraseñas más complejas tenían una probabilidad mucho menor de reutilizar las contraseñas que las que eran menos estrictas. En este caso, la calificación de mayor complejidad fue equivalente a al menos una letra minúscula, una letra mayúscula, un dígito y un carácter especial.

Sobre la base de sus hallazgos, los investigadores sugirieron cuatro recomendaciones a las organizaciones y al público en general: aumente la longitud mínima de la contraseña más allá de los ocho caracteres, aumente el límite máximo en la longitud de la contraseña, no permita el nombre del usuario ni el nombre de usuario dentro de las contraseñas, y considere la posibilidad de adoptar la autenticación multifactor.

Entradas más antiguas «

» Entradas más recientes