Kaspersky lanza su portafolio 2020

con Midori
Andrea Fernández, gerente general, región Sur de América Latina en Kaspersky.

[19/08/2019] Recientemente, Kaspersky lanzó su portafolio de productos para

consumidor para el año 2020. En el lanzamiento también se presentó un cambio de
imagen -un rebranding- que se basa en la aparición de un personaje (Midori Kuma) un
oso verde que ahora acompañará a la marca en las cajas en las que se venderán los
productos de Kaspersky -en el Perú se prefiere aún comprar el producto en cajas.

El anuncio lo realizó Andrea Fernández, gerente general, región Sur de América Latina
en Kaspersky.
"Estamos lanzando la línea 2020, con mejoras y un nuevo producto, y a diferencia de
años anteriores estamos realizando un cambio de imagen. Estamos cambiando la marca,
estamos en una etapa de rebranding, y hemos incluido para el usuario final el concepto
de Midori, que es un osito verde”, indicó la ejecutiva.

De hecho, Fernández indicó que el Perú es el primer país en el que se realizaba el

lanzamiento en todo el ámbito de América Latina.
Midori Kuma, dicho sea de paso, significa "oso verde” en japonés y es, de acuerdo a la
exposición de la ejecutiva "el defensor, mentor y vigilante de la ciberseguridad”.
El lanzamiento
Dentro del lanzamiento se incluye la mejora de Kaspersky Security Cloud, con lo cual
ha mejorado su función Anti-Phishing para proteger mejor la información personal de
los usuarios. El servicio analiza las URL cortas y advierte si ocultan un enlace
de phishing. Como parte de este proceso, Kaspersky Security Cloud envía una
alerta antiphishing al usuario y garantiza que los enlaces y sitios web a los que acceden
estén seguros.
Kaspersky Security Cloud está disponible en dos versiones: Familiar y Personal. Cada
versión ofrece un número diferente de aplicaciones, herramientas y tecnologías. Todos
los suscritores de Kaspersky Security Cloud pueden instalar la solución en su PC, Mac y
dispositivos móviles.
Kaspersky también ha perfeccionado la interfaz y las capacidades esenciales en
Kaspersky Total Security, Kaspersky Internet Security y Kaspersky Anti-Virus. "Las
últimas actualizaciones han mejorado el rendimiento, optimizado la forma en que los
consumidores reciben notificaciones y realzado la experiencia general del usuario”,
comentó la ejecutiva.
Señaló, además que, para acelerar los largos análisis del sistema de archivos al buscar
malware en dispositivos Windows, se ha eliminado la restricción de los recursos
consumidos de la PC. Además, las versiones más recientes se pueden instalar en solo la
mitad del tiempo y son un 15% "más ligeras”, por lo que hay menos carga para la PC
del usuario.

Asimismo, las soluciones de seguridad ahora solo alertan a los usuarios sobre eventos
importantes y garantizan una experiencia sin inconvenientes. Finalmente, Kaspersky
también ha simplificado cómo se intercambian las credenciales y la información de la
cuenta entre los productos de la compañía. De esta manera, los consumidores que ya
usan algún software de Kaspersky, no tienen que volver a ingresar sus credenciales cada
vez que instalan un nuevo producto. Por el contrario, pueden manejarlos todos en una
sola cuenta de My Kaspersky.

En Perú, las nuevas soluciones para el consumidor incluyen un nuevo modelo de

empaque que muestra al personaje original de Kaspersky Midori Kuma, el oso verde
encargado de recordar a los usuarios cómo mantener sus datos a salvo de los
cibercriminales. Además, la nueva versión de Kaspersky Internet Security para uno o
tres usuarios viene con licencias de 18 meses, es decir, incluye seis meses gratis.
Jose Antonio Trujillo, CIO Perú
4 consejos para construir una cultura
de seguridad sólida
[14/08/2019] Los equipos de seguridad no pueden proteger lo que no pueden ver. Si
bien las herramientas de monitoreo están mejorando, los usuarios finales y los gerentes
empresariales deben informar a los equipos de TI y de seguridad lo que están haciendo
con los datos en diferentes aplicaciones y, lo más importante, cuando algo sale mal.

Una cultura de culpa y temor cuando se trata de seguridad significa que los usuarios
finales no dirán si están utilizando una aplicación no autorizada, si han hecho clic en un
enlace malicioso o han visto actividad inusual, hasta que sea demasiado tarde. Los
equipos de seguridad deben empoderar a los usuarios con una cultura de
responsabilidad personal, para que traten la seguridad de los datos de la misma manera
que abordan otras políticas de la compañía como la salud y la seguridad.

Una cultura de culpa fomenta la falta de seguridad

Ver a los humanos como un eslabón débil y crear un entorno donde los empleados
temen represalias por fallas de seguridad, no es una buena manera de dirigir una
empresa. Sin embargo, algunas organizaciones han tomado medidas extremas para
castigar a las víctimas de estafas. Una empresa de medios en Escocia despidió y
demandó a uno de sus empleados después de que cayó en una estafa de phishing y
entregó casi 200 mil libras [250 mil dólares] a estafadores que se hacían pasar por el
director ejecutivo de la compañía y solicitaban que se realice un pago. Brian
Krebs publicó sobre instancias de empleados que fueron despedidos por fallar las
pruebas de simulación de phishing.
Este tipo de cultura de culpa solo hace que sea menos probable que los empleados
hablen cuando algo sale mal... y pone los datos en riesgo. "Las personas que manejan la
información no pueden ser el eslabón débil”, señala Mark Parr, CISO de KPMG UK.
"Quiero que la gente se sienta cómoda y que, si han cometido un error, me lo puedan
decir. Se trata de generar confianza y que mis colegas sientan que realmente estoy ahí
para apoyarlos, y no con un palo para golpearlos si algo sale mal”.
Para ayudar a construir esta confianza entre la seguridad y el personal, KPMG ha
iniciado un programa que reconoce al personal por destacar los problemas de seguridad
dentro de la empresa. "Quiero desarrollar esa cultura donde la gente está feliz de
contarme o informar a nuestro servicio de asistencia si hay un problema o algo ha
sucedido”, comenta Parr. "Tenemos un sistema interno donde podemos reconocer al
personal, y otros miembros del personal pueden verlo. Si alguien viene a mí y me dice:
'Me di cuenta de esto y es un problema', le haré saber a su gerente de línea que tal
persona dio un paso adelante”.
Dado el vínculo entre los sistemas, aplicaciones y dispositivos empresariales y
personales -ya sea a través de BYOD, personas que acceden a correos electrónicos
personales desde computadoras de trabajo o viceversa, o que usan cuentas SaaS
personales para fines empresariales- la mala seguridad personal es otro factor de ataque
en una organización, advierte Graeme Park, jefe de operaciones de seguridad global del
minorista de comercio electrónico británico The Hut Group (THG). Depende de la
empresa combinar el nivel correcto de controles con educación, sin recurrir a tácticas de
temor. "Se trata de reeducación y de hacer que la seguridad sea accesible, en lugar de
recurrir al atacar”, indica Park.
Como ejemplo, Park describe los proxies web como "usar un martillo para abrir una
nuez”, y señala que un mejor enfoque sería registrar todo, incluir advertencias si los
usuarios visitan sitios que infringen la política, y requerir que el usuario proporcione
una justificación sobre el motivo por el que necesita visitar esa página. "Los está
educando sobre seguridad, mientras que aplica control al mismo tiempo, haciéndolos
pensar y justificar sus acciones”, señala. "Si las personas lo logran, tomarán decisiones
conscientes de si lo que están haciendo es correcto, seguro y se alinea con la política”.

Cómo se ve una buena cultura de seguridad

Si una cultura de culpa es mala, ¿cómo es una buena cultura de seguridad? "Es aquella
en donde las personas entienden intuitivamente los riesgos asociados con sus
actividades diarias, y conocen y tienen la confianza para poder mitigar o manejar ese
riesgo”, señala Parr de KPMG. "Tenemos que alejarnos totalmente de la idea de 'todo
está bien, el CISO se ocupa de eso por nosotros'”.

Estas son las cuatro áreas clave en las que Parr y Park creen que los CISOs deberían
concentrarse para proporcionar una cultura de seguridad sólida.
1. Hacer accesible la seguridad: Desde que Parr se volvió CISO hace poco más de un
año, KPMG UK ha pasado por una travesía para cambiar su enfoque de educación y
cultura de seguridad para garantizar que los 16 mil empleados de la empresa en 27
ubicaciones se encuentren al mismo nivel en cuanto a conciencia de seguridad. "Una
buena [cultura] se logra cuando las personas se sienten seguras y cómodas con la
seguridad de la información, y no sienten que es una ciencia o un arte oscuro”, asegura
Parr.
Un aspecto clave en la creación de una cultura orientada hacia la seguridad es hacer que
sea fácil que la audiencia se relacione con ésta, por lo que el contenido de educación de
seguridad de KPMG se ha puesto en un lenguaje simple y fácil de entender con
escenarios diseñados para que sean aplicables al personal. "Quiero que la gente piense
lo mismo acerca de la seguridad de la información en el hogar como lo harían en el
trabajo; y establecer escenarios de la vida real y proporcionarles a las personas una
dirección clara ha sido clave para lograrlo”, indica Parr.
"Si una persona es parte del personal de atención al público que está ayudando a los
clientes a mudarse a una de nuestras suites de presentación de clientes, o está realizando
una auditoría, o se encuentra en el equipo técnico que está ayudando a los clientes con
un problema técnico, el idioma es el mismo, y todos pueden absorberlo de la misma
manera”.
Brindarles a las personas esa base hace que sea más fácil de entender para el usuario
final y, a su vez, significa que se toman la seguridad de la información de la empresa
más en serio, ya que pueden visualizar las consecuencias de equivocarse. "La rendición
de cuentas es una verdadera clave del éxito para mí”, señala Parr. "Si las personas
sienten que entienden por qué son responsables del manejo y la gestión de los datos,
entonces estoy en lo correcto”.
2. Proporcionar capacitación continua de concientización: Como parte de este cambio
cultural, KPMG ha pasado de las presentaciones y evaluaciones en un momento dado, a
lo que Parr describe como "un ritmo constante de concientización” a través de eventos,
capacitación, videos y podcasts. "Mirar una presentación de PowerPoint, hacer clic lo
más rápido posible y responder 20 preguntas al final esperando aprobar realmente no
demuestra nada. Solo muestra la capacidad para retener cierta información de las
diapositivas. Lo que quiero es que la gente entienda que están disponibles algunas
reglas y guías, que sepan lo que pueden y no pueden hacer, y el rol que deben
desempeñar”.
"Comienza con el lanzamiento de un documento de políticas muy simple y fácil de leer,
que se ha condensado en una página solo para llamar la atención de las personas cuando
tienen un momento para leerlo”, comenta Parr. "Luego [siguen] pequeños videos de
viñeta de tres minutos que pueden ver cuando están en el metro camino al trabajo. Se
trata de mantener en marcha el ritmo continuo de actividad, para que las personas
siempre estén conscientes”.
Si bien medir la cultura puede ser difícil, Parr ha trabajado con el equipo de aprendizaje
y desarrollo de la compañía para crear métricas de compromiso sobre la cantidad de
personal de la empresa que escucha podcasts, ve los videos e interactúa con el
contenido de seguridad que el equipo está produciendo. Esto puede ayudar a
proporcionar un indicador de si el material está cumpliendo su propósito entre el
personal.
"También tengo que seguir pensando en nuevas formas de interactuar con nuestro
personal”, agrega, "no solo tratar de golpearlos en la cabeza con seguridad, sino
realmente involucrarlos en lo que estoy tratando de lograr”.
Para ayudar a impulsar el compromiso, los mensajes regulares por parte de los líderes
de la organización alientan a las personas a mirar, leer y escuchar los materiales de
seguridad. Los "oficiales de seguridad de la información empresarial” se encuentran en
áreas operativas de la empresa como expertos en la materia de seguridad de la
información. Ellos animan al personal de manera más directa a participar.
3. Asociarse con empleados en Shadow IT: Reprobar a los empleados por usar
aplicaciones no autorizadas, conocidas como Shadow IT, es igualmente desaconsejable
como despedirlos por fallas de seguridad. "Shadow IT viene siendo un problema desde
hace mucho tiempo”, comenta Park. "Los drivers detrás de esto representan la
omnipresencia de los sistemas de TI; ya sea software o hardware, en el hogar y en
cualquier otro lugar”.
"La gente no es mala; no están tratando de usar Shadow IT para eludir deliberadamente
la política o la seguridad de la compañía. Por lo general, solo quieren hacer su trabajo
mejor, más rápido, de manera más fácil”, señala Park. "Es una falla de TI y seguridad;
podemos pasar de ser un bloqueador a ser un facilitador para asegurarnos de que las
personas tengan las herramientas que necesitan para hacer su trabajo”.
Park dice que Shadow IT puede abarcar desde servicios SaaS o aplicaciones de
escritorio no autorizadas, hasta lo que él describe como "sombras más pequeñas, pero
igual de impactantes” como integraciones en Slack o JIRA, extensiones de navegador, o
incluso dispositivos similares a Amazon Alexa en redes corporativas. Cualquiera sea la
forma, TI y seguridad deben estar más abiertos a aceptarla, porque el temor a represalias
por eludir la política de la empresa resultará en que los usuarios nunca le dirán a TI lo
que están haciendo.
"Necesitamos ser más inteligentes al respecto. Va a suceder de todos modos. Si existe
un riesgo limitado al usar algunas de estas herramientas externas -digamos, una
herramienta de diseño que alguien quiere usar para branding y gráficos que no está
particularmente clasificada- hay un riesgo potencialmente limitado en un escenario
como ese. Debe poder otorgarles a las personas un cierto grado de flexibilidad”, asegura
Park.
4. Demostrar cómo se ve lo correcto: Cambiar la cultura de seguridad dentro de una
empresa también significa un cambio de mentalidad del equipo de seguridad. De la
misma manera que el personal quiere que un CSO sea un buen comunicador y líder, el
equipo de seguridad debe hacer lo mismo y ser visible y accesible.
"La seguridad no ha hecho un buen trabajo en los últimos diez años para ser un
concepto accesible y comprensible”, comenta Park. "Luchamos por hablar en términos
claros, luchamos por articular el riesgo sin articular problemas técnicos fundamentales”.
En cambio, él asegura que la seguridad necesita transmitir sus mensajes de una manera
más similar a las advertencias de salud y seguridad. "Es muy fácil explicarle a alguien
por qué no debe subir una escalera sin equipo de protección personal (PPE), pues el
impacto es muy visible y obvio. Explicarle a alguien por qué no puede usar Dropbox
cuando debería usar SharePoint, es un poco más difícil de entender porque no parece
que tenga el mismo impacto”.
"Realmente necesitamos involucrarnos, educarnos y asegurarnos de que las personas
entiendan lo que están haciendo, entiendan lo que sucede si pierden ciertos documentos
o propiedad intelectual, y al mismo tiempo empoderarlos”, señala Park. "Existe un valor
enorme en plantear el problema a través de un contexto personal”.
Parr ha estado trabajando con los equipos de seguridad para cambiar su mentalidad y
convertirse en embajadores y campeones del tipo de cultura de seguridad que está
tratando de inculcar en el resto de la empresa. "Están demostrando cómo se ve lo
correcto”, asegura. "Durante mucho, mucho tiempo, la seguridad de la información era
vista como la parte del negocio que apagaba la maravillosa y brillante idea que alguien
tenía. No es así. Estoy ahí para ayudar a la empresa a comprender de manera integral
cómo podemos operar y avanzar, pero de manera segura”.
Dan Swinhoe, CSO (EE.UU.)