Posts

Otros beneficios, en la realización de un proyecto de Hardening de Usuarios

Si estás realizando un proyecto de Hardening de Usuario y buscas mejorar el sistema de seguridad de la información, a través de él, es bueno que conozcas otros de sus beneficios.

La Concientización es un requisito y un medio para el cumplimiento de diversas normativas de Seguridad de la Información, como por ejemplo; ISO/IEC 27001, CobiT, Leyes de protección de datos personales y Estándares específicos de la industria, y para poder dar cumplimiento a dichas normas, el proceso de Concientización y Entrenamiento deberá contar con tópicos ya mencionados en otros artículos (ver aquí) para ser asimilados por los usuarios, pero también poseer las pistas de auditoría que permitan demostrar con registros precisos que los usuarios han sido debidamente formados y concientizados.

Beneficios en:

Privacidad

Un proceso de Concientización y Entrenamiento puede incluir la concientización de los usuarios de la organización acerca de su expectativa de privacidad. Contar con registros de auditoría que demuestren que un usuario ha sido debidamente informado respecto a su expectativa de privacidad puede marcar la diferencia dentro de un proceso legal en que la privacidad de un usuario esté en tela de juicio.

Imagen del Área de Seguridad

Incluir a los usuarios en la estrategia de seguridad de la organización, hará que el área sea vista con mejores ojos por parte de ellos. Esto es así ya que, en lugar de llenar a los usuarios de trabas y controles, se les está demostrando su importancia y se les está dando conocimiento útil para cuidar la información que utilizan tanto en su ámbito laboral como personal.

Mejora en la Ejecución de Procesos

El proceso de Concientización y Entrenamiento puede redundar en la mejora en la ejecución de otros procesos de la organización. Por ejemplo, puede concientizarse y entrenarse a los usuarios de la organización acerca del Plan de Recuperación ante desastres de la misma. De esta manera, la organización no sólo da a conocer dicho plan ante todos sus usuarios, sino que se asegura de que, al momento de llevar dicho plan a la práctica, cada uno sepa cómo comportarse, y el plan tenga un mayor nivel de éxito.

Agradecemos a Smartfense, partners de VHGroup

VHGroup afianza relaciones con sus partner de Panamá

Durante los últimos años VHGroup se ha enfocado en obtener certificaciones y partnerships internacionales. Es por esta razón, que parte del equipo viajó la semana del 18 de septiembre a Panamá para visitar a clientes y partner exclusivos de Panamá.

Hoy, VHGRoup es una empresa con exclusivos acuerdos con soluciones y servicios del mundo IT, por lo que fue invitado a realizar conferencias en la Cámara de Comercio de Panamá, el Club Unión, Colegio de Abogados y otros clientes.

La visita de VHGroup y su equipo a Panamá fue una gran oportunidad para ampliar la visión y campo estratégico; además, de dar la posibilidad de conocer las realidades de las empresas de ese país respecto de la seguridad informática.

Entrevista en Radio Nacional

Entrevista realizada a nuestro CEO Emiliano Piscitelli en el marco del seminario de concientización en el uso seguro de la tecnología, el cual va a ser dictado el día 30 de Junio en la ciudad de Ushuaia – Tierra del Fuego, mas precisamente dentro de las instalaciones de la Universidad Nacional de Tierra del Fuego quien junto al Banco Tierra del Fuego impulsaron esta propuesta.

WordCamp Buenos Aires 2015

El pasado 30 de Mayo se llevo a cabo el WordCamp Buenos Aires 2015, el mismo tuvo lugar en el Centro General San Martín (CABA) y reunió en una jornada llena de charlas y actividades a programadores, diseñadores y personas interesadas en el mundo WordPress.

En el mismo estuvimos presentes a través de nuestro CEO Emiliano Piscitelli, quien dicto la charla (in) Seguridad Informática.

 

Desde VHGroup agradecemos a todo el equipo organizador, los cuales nos trataron realmente muy bien e hicieron una labor increíble notándose en cada detalle del evento.

P1140918

Observen la cara de la asistente al escuchar sobre una vulnerabilidad.

P1140876

Desarrollando un juego de Misdirection a ver cuan atentos estaban los asistentes.

P1140910

Dime tu password y te dire ….. No No deja ya la tengo 🙂

P1140909

Metadatos, metadatos y mas metadatos.

Grave Vulnerabilidad en SSL 3.0

Una seria vulnerabilidad en SSL 3.0  fue recientemente descubierta por Ingenieros de Google, a la cual se le asigno el CVE-2014-3566 (actualmente esta bajo analisis y no posee muchos detalles).  Poodle (Padding Oracle On Downloaded Legacy Encryption) es el ataque que explota esta vulnerabilidad, el cual basicamente permite a un atacante robar información mediante la alteración de las comunicaciones entre el cliente y el servidor SSL (también conocido como ataque Man in the Middle o MITM). Una explotación exitosa de esta vulnerabilidad puede dar lugar a que un atacante pueda exponer datos cifrados entre un cliente y un servidor compatible SSL 3.0.

Desde Rapid7 nos han informado que se espera que para el día de hoy podamos contar con los módulos necesarios para poder chequear esta vulnerabilidad con Nexpose, como así también en breve estará disponible el modulo necesarios para poder realizar una PoC desde Metasploit.

Recomendaciones: Si bien varios vendors ya se encuentran trabajando en la solución de esta vulnerabilidad, se aconseja en la medida de ser posible deshabilitar SSL 3.0 en todos los clientes y servidores (VPNs, sitios webs, servidores de correo, etc). Tambien es aconsejable activar TLS_FALLBACK_SCSV para evitar el downgrade.

 

Referencias:

https://www.openssl.org/~bodo/ssl-poodle.pdf

https://community.rapid7.com/community/infosec/blog/2014/10/14/poodle-unleashed-understanding-the-ssl-30-vulnerability

VHGroup en la V Conferencia Internacional de Software Libre

Emiliano Piscitelli (CEO VHGroup), disertando sobre “Pentest con Herramientas Open Source”

image

image

 

 

Descripción de la charla:

La seguridad informática se encuentra en todos los dispositivos y momentos de tu día, desde tu sesión de Facebook, tu smartphone o tablet  hasta tu cuenta de banco y datos personales. Vamos a transitar un camino profundo en la seguridad informática detallando las herramientas Open Source mas utilizadas para realizar Penetration Tests. También veremos como mitigar estos ataques y las mejores prácticas para evitarlos.

 

 

Sitio Oficial CISL

Finalizó con éxito el Training de Seguridad IT para entornos Corporativos dictado en la ciudad de Santiago de Chile

En el día de ayer finalizó con éxito el training de Seguridad IT para entornos corporativos, el mismo fue dictado en conjunto a Metacom en su Centro de Entrenamiento Tecnológico (CET)  y la duración fue de 3 días intensivos. En esta oportunidad contamos con la presencia de diferentes empresas Chilenas.

Para finalizar realizamos en conjunto el montaje de los clásicos Laboratorios “Vulnerables”, donde los alumnos aplican todo lo aprendido durante el entrenamiento para tratar de tomar control de los diferentes recursos.

1920311_878261745527036_6084663301998920128_n

 

10689614_878261822193695_7944565646467147735_n

10710694_878261938860350_3159098892298462928_n

10704049_878261972193680_9052449211906483760_n

Capacitación en Seguridad Informática en IPChile

Se está desarrollando en IPChile la Jornada por el Dia Mundial de las Telecomunicaciones y de la Sociedad de la Información:  LA BANDA ANCHA PARA EL DESARROLLO SOSTENIBLE.

La misma contará con las siguientes charlas que ya se realizaron en la mañana y se repetirán por la tarde:

  • Actualidad sobre el diseño informatico en Chile
  • Redes de Fibra Optima para aplicaciones mineras
  • OpenSource Penetration Test Tools

La última, es desarrollada por Emiliano Piscitelli y Federico Nan, CEOs de VHGroup y especialistas en la temática.

Charla-IPChile

Charla sobre Seguridad Informatica en IPChile

Hoy Emiliano Piscitelli y Federico Nan estarán brindando una capacitación sobre Seguridad Informática a los alumnos de IPChile, reconocido Instituto de Educación Superior de Chile, con Sedes  en La Serena, Santiago, Rancagua y Temuco.

Entre los temas que se desarrollarán.. compartimos algunos Cyber Security Tips:

[gview file=”http://www.vhgroup.net/wp-content/uploads/2014/05/SECURITY-TIPS-copy.pdf”]