Seguridad en dispositivos USB y similares

Of late, cyber-criminal activities across the globe have assumed such grave proportions that all enterprises - big and small, are exposed to security breaches and identity thefts of various kinds. Many sabotage were found to have been caused by the insiders of the enterprises - either disgruntled staff or greedy techies or sacked employees. As stolen identities seem to have served as the ‘hacking channel’ for many cyber-crimes, improper management of the administrative passwords is believed to be at the root of a good number of security threats. This paper discusses the causes of security incidents in detail and suggests ways to effectively tackle the challenge.

La mayoría de las organizaciones almacenan e intercambian su información digital en un ambiente no estructurado de diferentes servidores y computadoras, repartidas en sus redes, donde los datos son replicados en dispositivos móviles como laptops, PDAs, smartphones, dispositivos USB, etc.
La información fluye "como el agua" y los usuarios esperan tener acceso a toda la información corporativa y personal, las 24 horas al día, los 7 días a la semana. Los requisitos de accesibilidad ejercen una gran presión sobre los directores de TI que deben proporcionar acceso seguro a los datos, y además...

El robo de información y la filtración de datos de propiedad exclusiva son noticia frecuente hoy en día debido al aumento de los ataques, los cuales ahora son más sofisticados y atacan a las organizaciones con fines lucrativos. Importantes organizaciones se han visto obligadas a informar al público respecto a documentación privada de clientes que ha sido comprometida. La mayoría de los casos de filtración y robo de datos son atribuidos a personal interno, y uno de los medios más fáciles de vulnerar la seguridad de las organizaciones obteniendo información valiosa, y de realizar estos ataques es a través de los Endpoints...

La tecnología proporciona una gran diversidad de nuevos dispositivos y medios extraíbles para el acceso a la información, la cual constituye cada vez más un activo estratégico importante de las organizaciones. Toda esta nueva tecnología abre una vía muy fácil para que personas no autorizadas accedan información relevante, y además los sistemas operativos tradicionales no detectan ni administran los ingresos y egresos a las redes, estaciones de trabajo y laptops a través de estas interfaces denominados Endpoints...

La “Ingeniería social” es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas tales como investigadores privados, criminales, o inclusive delincuentes computacionales. Estos últimos tienen como fin obtener información, acceso o privilegios en sistemas de información para realizar algún acto que perjudique o exponga la persona u el organismo a riesgos y/o abusos...

Los dispositivos móviles, principalmente los de tecnología USB, son de costos bajos y sencilla utilización. Información sensible puede ser descargada o códigos maliciosos introducidos, sin conocimiento de los responsables de sistemas, ya que no pasan a través de los firewalls y otras protecciones perimetrales. A ello debemos agregar la pérdida de productividad producida por la descarga o transferencia de MP3, videos, fotos, etc...

La natural evolución de la tecnología fue alimentando el crecimiento de las técnicas y metodologías de infección utilizadas por los desarrolladores de malware a través de sus creaciones maliciosas. Los avances tecnológicos posibilitaron nuevos canales y medios de infección y propagación, constituyendo una de las tendencias de este y los próximos años. Los dispositivos de almacenamiento siempre constituyeron una de las vías más comunes de infección, desde los viejos discos magnéticos de 5 1/4, pasando por los ya casi olvidados disquetes de 3 1/2 hasta llegar a los dispositivos de almacenamiento que permiten guardar información a través del puerto USB...