Archivo de la categoría: Seguridad & Internet

Zero Day Initiative: trabajando duro para asegurar el mundo conectado

Zero Day Initiative (ZDI) de Trend Micro lleva 15 años promoviendo la divulgación coordinada de  vulnerabilidades a través de lo que ahora es el mayor programa de recompensas de errores del proveedor independiente más grande del mundo. Gran parte de este trabajo se realiza entre bastidores, con poca promoción. Sin embargo, es un trabajo vital para ayudar a asegurar el mundo conectado, al tiempo que se proporciona una protección temprana a los clientes de Trend Micro/TippingPoint.

Un ejemplo de ello fue el parche silencioso de Microsoft de dos errores descubiertos por ZDI esta semana.

Entre bastidores

Descubierto por Abdul-Aziz Hariri de ZDI, las dos vulnerabilidades existen en la forma en que la Biblioteca de Codecs de Microsoft Windows maneja los objetos en la memoria. Si se explota, CVE-2020-1425 permitiría a un atacante obtener información para comprometer aún más un sistema, mientras que CVE-2020-1457 podría permitir que un atacante ejecute código arbitrario.

Es raro que los parches sean desplegados silenciosamente por Microsoft de esta manera a sus clientes, pero eso no debe restarle mérito al duro trabajo de los investigadores de ZDI aquí. De hecho, ZDI fue el proveedor externo número uno de vulnerabilidades de Microsoft el año pasado, representando el 38% de los fallos de Microsoft descubiertos públicamente.

¿Por qué ZDI?

¿Por qué es importante? Porque sin programas como ZDI, que abogan por una divulgación responsable, el comercio de vulnerabilidades en el mercado gris y negro proliferaría, resultando en productos menos seguros y clientes más expuestos.

Los exploits de vulnerabilidad son un prerrequisito vital de muchos ciberataques hoy en día. Al impulsar la comunidad de investigación e incentivar la divulgación responsable, ZDI puede ayudar a hacer del mundo digital un lugar más seguro. No solo eso, sino que también podemos proporcionar una protección temprana para los clientes de Trend Micro y TippingPoint. En este caso, nuestros clientes estuvieron seguros durante más de tres meses, antes de que se emitieran los parches del  proveedor.

Trend Micro descubre que el 64% de los trabajadores remotos en España ha ganado concienciación sobre la ciberseguridad durante el confinamiento

El porcentaje aumenta hasta el 72% de los trabajadores remotos a nivel global, según el estudio Heads in the Clouds, realizado por Trend Micro

La encuesta revela que los usuarios se toman en serio la formación en seguridad, pero aun así pueden tener un comportamiento arriesgado

Trend Micro ha publicado hoy los resultados de una encuesta global que muestra cómo los trabajadores remotos abordan la ciberseguridad. Casi tres cuartas partes (72%) (64% en España) de los trabajadores remotos dice que son más conscientes de las políticas de ciberseguridad de su organización desde que comenzó el confinamiento, pero muchos reconocen que están rompiendo las reglas de todos modos debido al conocimiento limitado o a las restricciones de recursos.  

El estudio «Head in the Clouds« de Trend Micro se basa en entrevistas con 13.200 trabajadores remotos de 27 países, incluido España, sobre sus actitudes hacia la ciberseguridad corporativa y las políticas de TI. La investigación revela que nunca antes ha habido un mejor momento para que las organizaciones aprovechen la mayor concienciación de los empleados en materia de ciberseguridad. La encuesta pone de manifiesto que el enfoque que las empresas adoptan en materia de capacitación y formación es fundamental para garantizar que se sigan prácticas seguras.

Los resultados indican un alto nivel de concienciación sobre la seguridad, con un 85% (89% en España) de los encuestados que afirma que se toma en serio las instrucciones de su equipo TI, y un 81% está de acuerdo en que la ciberseguridad dentro de su organización es en parte su responsabilidad, porcentaje que en España llega al 87%. Además, el 64% (66% en España) reconoce que el uso de aplicaciones que no son de trabajo en un dispositivo corporativo es un riesgo de seguridad.

Sin embargo, el hecho de que la mayoría de las personas entienda los riesgos no significa que se sigan a las reglas.

Por ejemplo:

  • El 56% (50% en España) de los empleados admite haber utilizado una aplicación que no es de trabajo en un dispositivo corporativo, y el 66% (26% en España) de ellos ha cargado datos corporativos en esa aplicación.
  • El 80% (85% en España) de los encuestados confiesa que usa su portátil de trabajo para la navegación personal, y solo el 36% (33% en España) de ellos restringe totalmente los sitios que visitan.
  • 39% (37% en España) de los encuestados dice que a menudo o siempre acceden a los datos corporativos desde un dispositivo personal – casi con la certeza de que están rompiendo la política de seguridad corporativa.
  • 8% (7% en España) de los encuestados admite ver/acceder a contenido pornográfico en su portátil de trabajo, y el 7% (8% en España) accede a la dark web.

La productividad sigue prevaleciendo sobre la protección para muchos usuarios. Un tercio de los encuestados (34%) (casi un cuarto en España, 23%) está de acuerdo en que no piensa mucho en si las aplicaciones que utilizan están autorizadas por TI o no, ya que solo quieren que se haga el trabajo. Además, el 29% (26% en España) piensa que puede salirse con la suya usando una aplicación que no sea de trabajo, ya que las soluciones proporcionadas por su empresa son un «sin sentido” y no sirven. Por otro lado, el 12% de los encuestados en España haría lo que fuera más rápido en el momento de enviar un archivo a un cliente, aunque sea menos seguro.

La Dra. Linda K. Kaye, académica de ciberpsicología de la Universidad de Edge Hill, explica: «Hay una gran cantidad de diferencias individuales entre la fuerza laboral. Esto puede incluir los valores de cada empleado, la responsabilidad dentro de su organización, así como aspectos de su personalidad, todos los cuales son factores importantes que impulsan el comportamiento de las personas. Para desarrollar una capacitación y prácticas más eficaces en materia de ciberseguridad, se debe prestar más atención a estos factores. Esto, a su vez, puede ayudar a las organizaciones a adoptar una formación en materia de ciberseguridad más adaptada o personalizada con sus empleados, lo que puede ser más efectivo“.  

«En el mundo interconectado actual, ignorar descaradamente la orientación de la ciberseguridad ya no es una opción viable para los empleados”, señala José de la Cruz, director técnico de Trend Micro Iberia. “Es alentador ver que tantos se toman en serio los consejos de los equipos de TI corporativos. Dicho esto, hay personas que son felizmente ignorantes o peor aún, que piensan que la ciberseguridad es algo que no les aplica y que ignoran las reglas con regularidad. Por lo tanto, tener un programa único de concienciación de seguridad para todos es un fracaso, ya que los empleados diligentes a menudo terminan siendo penalizados. Un programa de formación a medida y personalizado diseñado para atender a los empleados puede ser más efectivo». 

El estudio «Head in the Clouds»examina la psicología del comportamiento de las personas en materia de ciberseguridad, incluidas sus actitudes hacia el riesgo. Presenta varios perfiles de «personas» comunes en seguridad de la información con el objetivo de ayudar a las organizaciones a adaptar su estrategia de ciberseguridad de la manera correcta para el empleado adecuado.  

Para conocer la clasificación de cuatro perfiles de «personas» más comunes, echa un vistazo a infografía a continuación:

Únase a Trend Micro para obtener una nueva perspectiva sobre la seguridad cloud

La pandemia actual ha hecho poco para reducir la carga de trabajo diaria de la mayoría de los CISO. De hecho, con los ciberdelincuentes han aumentado los esfuerzos de ingeniería social contra los trabajadores domésticos y los ataques a la infraestructura de acceso remoto, su tiempo libre puede ser más valioso que nunca. Por eso Trend Micro ha creado Perspectives, un evento virtual de dos horas de duración repleto de actividades y que girará en torno al tema de asegurar la transformación digital.

Expertos de AWS, Azure, Trend Micro, IDC y algunos de nuestros mayores clientes se reunirán para compartir su visión el jueves 25 de junio.

La información es poder

La transformación digital estaba en marcha mucho antes de que la COVID-19 llegara. Pero, en todo caso, la crisis ha hecho que los proyectos sean aún más esenciales, para impulsar la eficiencia y el ahorro de costes y mejorar la agilidad empresarial. La seguridad sigue siendo un gran obstáculo para muchas organizaciones, por lo que es vital obtener nuevas perspectivas sobre cómo la protección debe ser diseñada en los planes desde el principio.

¿Dónde están las lagunas de visibilidad y control cuando se trata de proteger las cargas de trabajo de la nube híbrida? ¿La escasez de habilidades ha hecho que los errores de configuración en la nube sean más probables? ¿Y cómo se ve la seguridad en la nube cuando las empresas entran en una nueva normalidad? En una era emergente acosada por la incertidumbre, trataremos de dar las respuestas que necesitan los CIO para tomar decisiones estratégicas mejor informadas.

La nueva visión de la industria

Trend Micro Perspectives contará con algunos de los oradores más convincentes de la industria, entre ellos: la CEO de Trend Micro, Eva Chen, y el vicepresidente de Investigación de Seguridad, Rik Ferguson; el Arquitecto Principal de Seguridad de AWS, Merritt Baer; la Vicepresidenta Corporativa de Microsoft Azure, Charlotte Yarkoni; el Vicepresidente de IDC, Frank Dickson; David Leybourne, Jefe de Transformación Global en el gigante de la contratación Randstad; y Mario Mendoza, Líder de Arquitectura y Compromiso de Seguridad Cibernética en el proveedor de nube Blackbaud.

Únete a nosotros para obtener una fascinante visión de:

  • La estrategia de Trend Micro para una transformación digital segura
  • Puntos de vista de los expertos de los líderes del sector en el suministro cloud
  • Experiencias reales con la transformación digital y la seguridad en la nube
  • Demos y noticias de las nuevas capacidades de los productos de Trend Micro

Esperamos veros allí. Regístrate ahora para asegurar tu plaza.

Qué: Trend Micro Perspectives
Cuándo: Jueves, 25 de junio de 17:00 a 19:00h.

Dónde: Online

No solo buenos productos de seguridad, sino también un buen partner

Por: Greg Young, Vicepresidente de Ciberseguridad de Trend Micro

La firma de analistas Canalys publica anualmente su Matriz de Liderazgo en Ciberseguridad. Mientras que muchas evaluaciones de terceros solo consideran el producto de seguridad, esta se centra en el valor para los partners del canal.

¿Qué es el canal?

Si no está comprando o vendiendo activamente ciberseguridad y no está familiarizado con el término, la respuesta breve es que el canal es la forma en que los productos pasan del fabricante al comprador. Los distribuidores son el ejemplo más comentado, sin embargo el canal está  también formado por mayoristas, integradores de sistemas y otras figuras. La mayoría de los fabricantes de ciberseguridad establecidos no tienen una gran fuerza de ventas que comercialice directamente, por buenas razones. Los partners de canal no suelen ser vendedores de un solo producto, y son los que mejor conocen una región, un cliente vertical o específico, y son idealmente socio de facto o el asesor de confianza de los usuarios finales. El canal dedicado a las empresas más pequeñas comercializa más soluciones y no solo ciberseguridad y puede ser una extensión del equipo del CIO. Los partners de canal seleccionan los productos con cuidado: suelen tener un período de tiempo mucho más largo y un mayor compromiso que un comprador específico.

Los partners tienen que formar al personal, realizar inversiones importantes, familiarizarse con el producto y respaldarlo con su reputación. Las funcionalidades por sí solas no son suficientes. Incluso el mejor producto que no esté respaldado por un proveedor que sea amigable y cercado con el canal es una pesadilla para el canal. Por supuesto, los productos malos o defectuosos no son un buen comienzo, no importa cuán amigable para el canal sea una compañía, ya que el distribuidor tiene que vivir con cualquier consecuencia. Obviamente, evaluar el éxito del canal es importante para el canal, pero también lo es para los compradores. El éxito del partner de canal al final del día es una métrica simple: una experiencia positiva para el cliente durante todo el ciclo de vida del producto. Desde mi experiencia, un partner de canal realizará una evaluación más completa y exhaustiva del producto que cualquier comprador empresarial.

Canalys hace un buen trabajo al capturar los aspectos del canal de un proveedor de ciberseguridad exitoso con la matriz de liderazgo, y lo hace no únicamente teniendo en cuenta solo el producto o el canal, sino que combina los dos. Por lo tanto, es una buena noticia que Trend Micro aparezca en el cuadrante superior derecho de los » Champions» en 2020.  Para mí, es significativo que Trend Micro sea una de las únicas siete entradas en ese cuadrante cuando, según Richard Stiennon, hay más de 2.300 proveedores de ciberseguridad en el mundo[1]. En mi opinión, lo que es particularmente significativo es que el movimiento sobre la ubicación de Trend desde el pasado 2019 ha sido muy importante, ya que refleja el esfuerzo y el enfoque que hemos puesto en nuestras actividades de canal.

Como cualquier evaluación realizada por un tercero, es importante conocer el contexto, así que consulta la Matriz aquí, y nuestro propio anuncio aquí.

[1] https://www.techcentury.com/2020/02/14/cybersecurity-guru-stiennon-publishes-2020-yearbook/

Mensaje de Eva Chen… como persona, no como CEO: Tenemos que hablar y actuar contra el racismo

Quisiera expresar mi indignación por los brutales asesinatos de George Floyd, Breonna Taylor y Ahmaud Arbery, no como CEO de una multinacional, sino como ser humano y ciudadana del mundo. Me entristece mucho, pero también me frustra y enoja intensamente el hecho de que se esté haciendo tan poco en todo el mundo para superar la desigualdad y el racismo flagrantes que persisten. Los inquietantes y destacados incidentes de las últimas semanas exponen de manera cruel cómo vivimos en un mundo en el que el miedo, la incertidumbre y la discriminación continúan afectando la vida de personas negras todos los días.

En Trend Micro, nos comprometemos a proporcionar un entorno seguro, empático y respetuoso en el que rechazamos cualquier forma de racismo y discriminación, con tolerancia cero. No solo acogemos con satisfacción la diversidad en nuestra familia de Trend Micro, sino que la fomentamos, ya sea la diversidad de raza, etnia, nacionalidad, género, identificación de género, orientación sexual, capacidad física, edad, religión, experiencia, situación socioeconómica e ideología política. Creemos que son nuestros diferentes antecedentes y experiencias los que nos hacen ser quienes somos y nos hacen tan fuertes como somos. Pero seguimos escuchando y aprendiendo cómo crear igualdad para todos.  

Creo firmemente que todos debemos hacer algo y convertirnos en una fuerza del cambio. Tenemos la obligación con nuestras comunidades y nuestros hijos de dejar este mundo en un lugar mejor. Como CEO, tengo la suerte de poder usar mi voz para denunciar cualquier tipo de discriminación, contra el racismo en cualquier forma. Pido que todos busquemos ampliar nuestras perspectivas y aumentar nuestra conciencia y sensibilidad hacia los demás. ¡Debemos abrir nuestros ojos a la cruel y desagradable verdad actual y desafiar cualquier tendencia subconsciente para evitar esta dolorosa realidad de desigualdad!

Hoy me inspiro para levantar la voz de un joven empleado de Trend Micro que publicó en nuestra web interna:

«El progreso es un proceso. La unidad es parte del proceso.

La unidad impulsa la concienciación…

La concienciación impulsa la educación…

La educación impulsa la acción…

La acción impulsa el cambio…

¡Hagamos un cambio!»

Estos son tiempos muy difíciles para nosotros como individuos, comunidades y naciones. Les pido que se unan a mí para hacer nuestra parte para luchar contra el racismo: no podemos permitirnos perder más vidas, más niños que crecen privados de sus oportunidades. En primer lugar, necesitamos escuchar a nuestras comunidades negras y educarnos. Y debemos reconocer que este es un problema continuo, y seguir luchando contra la desigualdad todos los días, incluso cuando las protestas ya no sean noticia. Todos podemos marcar la diferencia. Hablar en contra de la injusticia, escuchar las historias de desigualdad, actuar, votar y hacer un cambio.

¡Juntos, podemos hacer de este mundo un lugar mejor!

Eva Chen