Los NO rotundos de seguridad informática corporativa

• No enviar por medios digitales, tus Pasaporte DNI etc
• Si tienes un Backups que no has probado , No tienes nada.
• WPA-2 , wifi contraseña fuerte Solo permitir el acceso a los que tienen la MAC
• Cero wifi ,solo Ethernet.
• Tapa la webcam y el micrófono
• No confieso lo en pentesting interno sino contrata a externo
• No usar Whatsaap para comunicación corportativa
• No usar email para comunicación interna (Slack o Microsoft Team)
• Documentacion interna : Notion
• Comunicación real-time : Slack
• No usar USB para transmisión de archivos
• No usar la misma clave
• Claves largas
• Asume que te van a hackear

Los NO rotundos de seguridad informática corporativa

• Nunca enviar por medios digitales tu identificación, o sea:
  • Pasaporte
  • Cédula
  • Entre otros
• Nunca tengas un backups que no has probado, pero ten cuidado con las copias de seguridad, puedes usar:
  • Box
  • DropBox
• No tener un wifi normal, la contraseña tiene que ser fuerte y poner los mac address de los dispositivos de la empresa
• También tapar la webcam y el microphone
• Hacer pruebas hackeo con un equipo de seguridad (pentesting)
• No uses whatsapp para comunicación corporativa, puedes usar:
  • Signal
  • Telegram
• No uses email corporativo para comunicaciones internas. Si lo puedes usar para comunicarte con otros que sean externos a la compañía
• Para documentación interna usar Notion
• Comunicación en real-time usar Slack
• No uses memorias USB para compartir archivos internamente, usar la red de wifi
• No usar claves cortas, ni tener la misma clave en diferentes servicios
• Deja de creer que tienes una buena seguridad, asume que te van a hackear
• Contrata Hackers, pregúntales cosas y ten curiosidad

¿Como se contrata un hacker?

En el sentido de que no me imagino buscarlos por boomerang o linkedin. Seguramente este equivocado, pero cual sería una forma de buscar ese perfil? siempre lo vi más como un devop para buscar vulnerabilidades.

🐱‍💻 Los hackers son buenas personas si los respetas y dejas en paz. Pregúntales, no te quedes con la duda que pondría en riesgo tu organización.

Me da mucha risa Whatsapp 🤣🤣

La seguridad debe ser un proceso alineado a la estrategia del negocio y funciona como una cadena; es tan fuerte como su eslabón más débil.

Es vital realizar pruebas internas de hackeo con el equipo de seguridad (pentesting) y contratar pruebas externas de Hacking ético y otras como:

• Hacking Ético Externo (Caja Blanca)
  Hacking Ético Externo (Caja Negra)
  Auditoría Informática Intrusiva
  Hacking Ético Interno
  Hacking de Aplicaciones Web
  Pruebas de ingeniería Social
  Pruebas de ataques del tipo (D.O.S)
  Análisis y tratamiento de Vulnerabilidades

Yo he trabajado con Aligo Defensores Informáticos y se convierten en un aliado estratégico para apoyar a la empresa con la experticia que tienen sobre la gestión de la seguridad informática corporativa.

Los recomiendo, porque la seguridad no puede estar en manos de cualquiera y encontrarlos me ayudó mucho durante mi gestión.

Estoy a punto de lanzar un nuevo ecommerce.
Somos dos personas en esta compañia, ninguno sabe a profundidad sobre seguridad informatica, como busco alguien que haga un pentesting, que no me cobre como accenture a hertz. alguien me ayuda?

Qué curioso que en este video de hace 7 meses Freddy mencione a Signal, y ahora en enero de 2021 muchos se están pasando a esta app de mensajería (y también a Telegram) luego del anuncio de WhatsApp sobre la actualización de sus políticas de datos.

no claves cortas, no memorias, no whatsap , no email, no internet normal,no, no, no.

XD

NO usar el e-mail para comunicaciones internas = USA sistemas de comunicación real time

• Agrego Google chat a la lista de @freddier, porque es una excelente herramienta que seguirá creciendo para facilitar las comunicaciones internas en la compañía con la ventaja de tener todo integrado nativamente con las otras herramientas de Google Suite.

• El e-mail corporativo se usa para comunicaciones con otras empresas y/o otras personas hacia afuera de tu empresa. Hacia adentro no usar e-mail para absolutamente nada.

JAJAJAJAJA Me van a odiar por este comentario tan fuera de la conversacion

pero si habia oido de frredie, que en Japon le robaron la identidad
pero jajajajaja pense que su identidad humana latinoamericana, pense que se habia convertido en algo tipo “Christian Senpai Van Der Kawaii Hens” jajajaja sigamos con la clase…

WhatsApp es donde están las tías jajajaja

Dar un paso importante en tecnología y avanzar hacia la transformación digital, es no usar el email como herramienta de comunicación interna.

Nosotros en la empresa usamos:
Jira: Gestion de tareas y seguimiento
Jira service desk: soporte a clientes
Slack: comunicación interna
Confluence: Documentación
Bitbucket: Repositorio de código
Drive: Repositorio de archivos (imágenes, diseños etc)

al tener falta de información se cometen varios errores, en mi caso abrí una cuenta en un broker de opciones binarias para hacer trading, se llama IQ OPTION, para abrir mi cuenta me pidieron foto de mi documento, yo lo envié , sin embargo hay millones de personas alrededor del mundo que usan este broker para operar y no lo podrian hacer si no mandan su documento, quede bastante preocupado despues de ver a freddy diciendo que eso NO se hace. falle en una regla muy importante de seguridad informática, ME GUSTARIA SABER QUE OPINA FREDDY FRENTE A LOS BROKER QUE TIENEN NUESTROS DOCUMENTOS, Y LOS EXIGEN PARA VERIFICAR NUESTRA IDENTIDAD, y ahora como hago para corregir mi error??

ahora casi todo lo piden digitalizado, entonces cómo hacer? hasta los bancos piden así la información, cómo manejarlo?

Mis notas:
• Nunca envies ID’s por medios digitales. Pasaporte, cédula, etc
• No des por sentado los backups, revísalos. Usa apps como BOX o Dropbox. Cuidado con los ramsonware. Genera backups periódicamente
• No uses wifi normal. Usa contraseñas fuertes
• No confíes sólo en pentestings internos, haz externos también
• No uses Whatsapp para comunicaciones corporativas. Usa Signal > Telegram
• No uses email corporativo para comunicaciones internas. Usa Slack o MS Teams
• No uses memorias USB para compartir archivos, usa la red

Documentación interna: Notion
Comunicación Real Time: Slack

No enviar por medios digitales, tus Pasaporte DNI , en el caso de Argentina, país donde vivo, actualente el DNI es tanto físico como digital.

• No enviar por medios digitales, tus Pasaporte DNI

• Si tienes un Backups que no has probado , No tienes nada

• WPA-2 , wifi contraseña fuerte Solo permitir el acceso a los que tienen la MAC

• Cero wifi ,solo Ethernet.

• Tapa la webcam y el micrófono

• No usar Whatsaap para comunicación corportativa usar signal o telegram

• No usar email para comunicación interna (Slack o Microsoft Team)

• Documentacion interna : Notion

• Comunicación real-time : Slack

• No usar USB para transmisión de archivos

• No usar la misma clave

• Claves largas

• Asume que te van a hackear

Una vez estaba en el banco y había un técnico arreglando el sistema de pantalla, reiniciaba constantemente, se ve que no encontraba la solución lo grave del asunto es que se veía la MAC cada vez que iniciaba . Bueno no se que tan grave será, ustedes me dirán…

Lo que dice Mauricio es cierto, en general los sistemas que nos vemos obligados a usar son esos medios inseguros que se recomiendan, pero como evitarlos si son tan comunes y a veces obligatorios.

Uuuu que radical la comunicación interna solo por aplicaciones real time, en mi organización es pan de cada día el correo y plantear algo así debe estar bien fundamentado, qué argumentos sólidos darían aparte de los Freddy para hacer algo así?

freddy pero ya a esta altura ya lo hemos hecho varias veces enviar ese tipo de información, como hacemos para revertirlo, digame paypal q te pide q envies tu pasaporte y todo por email, y asi otras empresas,

Creo que lo más importante es entender que te van a hackear y no sólo tratar de prevenirlo sino que también implantar procesos que permitan estructurar un plan de acción en cuanto uno se entere del hackeo.

Siempre es bueno tener una solcion de backup y otra de servicio colaborativo “Drive Corporativo”
**Herramientas de backup robustas con las que trabajado: **

• Vembu
• Nakivo
• CTERA
• Acronis

Herramientas de Drive colaborativo:

• CTERA

Personalmente usamos CTERA CLOUD para ambos fines Backup y Global file system y ha sido excelente.

Aqui dejo un enlace para que descarguen Vembu y usen la version FREE.
https://arkticstm.cteraportal.com/invitations?share=c18428d97ee76996bf75
Si quieren conocerlas mas a fondo escribanme estamos para apoyarnos!.
Email: [email protected]

Que dificil es hacer entender que no hay que usar whatsapp para documentos confidenciales, pero ya hasta los bancos te piden que lo utilices.

Los hackers son buenas personas

jajaja donde estan las tias

Creo que es muy difícil cumplir con el primer NO, ya que hoy en día es muy común que las empresas soliciten documentos de identidad digitalizados, en los hoteles solicitan una identificación que posteriormente escanean, al abrir una cuenta en muchas aplicaciones fintech también se debe escanear la identificación con la cámara del teléfono y en prácticamente cualquier acuerdo o contrato que se hace vía remota suele ser necesario anexar una copia o foto de una identificación.

Los NO rotundos en la seguridad informática corporativa

• No tener backups que no has probado. Verificar que estén al día.
• Tener cuidado con iCloud/nube de fotos del celular
• Nunca pagar hackeo. Borrar el computador y recuperar archivos de tu backup
• No tener wifi normal. Tener un intranet corporativo no wifi normal. WPA-2
• Tener una lista MAC adress whitelist
• No confíes solo en pentesting interno.
• No usar whatsapp para comunicación corporativa. Es trivial que te hackeen whatsapp. Signal es una gran opción y Telegram también.
• No uses email corporativo para comunicaciones internas. Es mejor Slack y Teams.
• Documentación interna: Notion
• Comunicación real-time: Slack
• No uses memorias USB para compartir archivos. Usar la red para esas cosas. Son maneras faciles de que le metas virus.
• Asumir que sos vulnerable y no tener el sesgo de seguridad.
• Hacker: bueno, darles espacio, curiosidad; ciberdelincuente: malo
• La seguridad es una carrera armamentistica

Excelente 👌

Las empresas almacenan información como cuentas bancarias, datos de clientes y proveedores, documentos legales, etc. que son su principal activo y pilar esencial. Así, la pérdida, alteración o robo de esta información podría perjudicar seriamente a la organización ocasionando incluso daños millonarios.

La protección de los equipos informáticos es primordial para evitar riesgos que puedan hacer peligrar la estabilidad de la organización. Es necesario mencionar que la ciberseguridad está directamente ligada la gestión de riesgos empresariales. Invertir en protección informática es una forma de mejorar la rentabilidad y hacer una apuesta en firme para el futuro de la compañía.

…es una carrera armamentística.
A tomar los consejos en serio entonces.

hj

No tener un wifi normal, la contraseña tiene que ser fuerte y poner los mac address de los dispositivos de la empresa

Esto ocurre por que las personas que se contratan poseen pocos conocimientos.
Para backup en linea de archivos esta OneDrive (Microsoft) y Drive (Google), son muy eficientes y seguros.
Creación de políticas de acceso
A nivel de mensajería corporativo Teams (Microsoft)

Identity theft is not a joke, Jim!

1. Nunca enviar tu identificación por medios digitales.

1. No utilize backups que no has probado.
2. No utilizes wifi normal (contraseña fuerte, listas blancas, solo ethernet).
3. Tapar la web, micrófono y hacer pentesting.
4. No confíes solo en pentesting interno.
5. Signal > Telegram > Whatsapp.
6. No usar email inteno (Documentacion interna: Notion, Comunicación real-time: slack).
7. No usar memorias USB para compartir archivos.

Es curioso que le pase eso a Christian Van en Japón el país que presume de ser de criminalidad bajísima. Cada día que paso mi tarjeta me pregunto si no le han fotografiado por ambas caras con una cámara integrada debajo de su escritorio. No desconfío del cajero enfrente pero pienso que es posible.

Se me ocurrió poner una etiqueta al número de tres caracteres del respaldo de la tarjeta de crédito, con la promesa de que no lo olvide o que le pueda quitar el sticker de ser necesario recordarlo…

los hackers no? sera motivo para buscar uno y comenzar a ser su amigo.

wow que buenos apuntes de la manera de hacer diferente comunicacion corporativa interna y muy buena recomendacion la de los hackers

Los motivos que pueden dar lugar a que un ciberatacante realice este tipo de ciberdelito son principalmente monetarios. Aunque existen otras razones, como puede ser el espionaje corporativo y propósitos de inteligencia de negocios, por venganza o por la simple mentalidad de encontrar identidad u objetos de valor para venderlos en la darknet.

Para mantener la privacidad intacta y evitar posibles fugas de datos a nivel lógico, existe una serie de medidas para protegerse frente a estos ataques. Entre ellas destacan dos:

Tener una política de retención de datos y realizar de manera segura la destrucción de datos de carácter sensible, ya sea por cuenta propia o ajena.
Formatear todos los dispositivos electrónicos (ordenadores, portátiles, móviles, tablets…) antes de deshacerse de ellos.
Y a nivel físico, en materia de protección de datos también se recomienda convertir todos los documentos a formato digital o electrónico siempre que sea posible y asegurarlos correctamente. Así como concienciar y educar a los empleados, impidiendo en la medida de lo posible que se lleven dispositivos o documentos impresos a casa e implementando las medidas de seguridad impuestas por la organización.

Los ciberdelincuentes obtienen información sensible a través de nuestra «basura» para infiltrarse en la red o copiar la identidad de un empleado. Entre los datos que los ciberdelincuentes pueden obtener al buscar en ella están:

Códigos de acceso y contraseñas.
Números de teléfono, correos electrónicos y direcciones domiciliarias de clientes, socios comerciales, proveedores y familiares.
Diseños de productos, planos y borradores de planes de negocio.
Números de tarjetas de crédito y cuentas bancarias del personal y clientes comerciales.
CD, DVD, USB y otros dispositivos de almacenamiento portátiles.

jaajajaja esta clase en especifico es la que necesita mi empresa, la amo!

Gracias

ASUMEMOS QUE ESTAMOS JODIDOS CON LOS HACKERS 😦

Viendo esto en Enero de 2021, me doy cuenta que Freddy ya nos había advertido de Whatsapp! 😮

todo parece exagerado hasta que te pasa.

Considero que si digitalizas identificaciones y los encriptas con AES 256 no hay tanto lio no?

Ransomware.

Pentesting.

NO USES Whatsapp para comunicación corporativa.

No uses email para comunicaciones internas.

Recomendaciones: Notion, Slack.

Todas las entidades inclusive las publicas, piden subir documentos y demás al Internet o envíalos por email. De lo contrario no se pueden enviar o atender a tus solicitudes o servicios.

Yo les recomiendo Telegram, ya que el CEO de Telegram apela por la privacidad de sus usuarios y el cifrado de las conversaciones, ademàs muchas personas expuestas pùblicamente se comunican por este medio.

mucha clase 🍿

veo este video la misma semana que se comprometieron las contraseñas de las cuentas verificadas de twitter… oops

¿Es correcto decir suplantación de identidad en lugar de robo de identidad?

Whatsapp es donde están las tias… Y ahora con pagos por Whatsapp, ¿Será un desastre?

Uno no para de aprender

Muchas empresas en Colombia trabajan con WhatsApp con sus empleados

Descrubrí slack de pura suerte, y realmente es ágil (me gusta que no tenga el visto de whatsapp)

Invita a los hackers a beber …

A mejorar nuestra seguridad corporativa!!

Es fundamental no usar el correo electrónico corporativo para comunicaciones internas, en lugar de ello se utiliza Slack o Microsoft Teams.

Hay que tener mucho cuidado con toda la información, cuidado con lo que autorizamos en las apps

el e mail interno es un hueco de seguridad enorme

Sobre las dudas que tiene Freddy de los pins, que sucede con los 3 intentos que las empresas dan para tener acceso (por ejemplo, los bancos)?

Los hackers de sombrero blanco son buenas personas.

En el vídeo de la filtración a Uber dije que yo contrataba al hacker.
me siento graduada en seguridad informática jaja

mas importante no tengamos miedo ni al futuro ni al desarrollo web

Comunidad, ¿Qué me pueden decir acerca de compartir documentos por WeTransfer?

Despues de esto me voy directo al curso de seguridad informatica :ok_

Es algo que debemos ejecutar en este mismo momento.

Voy a seguir sus recomendaciones!!

Excelentes recomendaciones!!

Asume que te van a hackear, de lo contrario la sobre confianza va a hacer que te hackeen mas fácil

Ni Jeff Bezos la libró de los hacks.