INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012"

Transcripción

1 INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012 Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.

2 INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012 Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.

3 Informe sobre investigaciones de brechas en los datos de 2012 Contenido Resumen ejecutivo...2 Metodología...5 Clasificación de incidentes con la ayuda de VERIS...6 La parcialidad de la muestra...8 Recopilación y análisis...9 Grupos demográficos DBIR de 2011: los eventos de amenaza Acciones de amenaza Malware (69% de las brechas, 95% de los registros) Hacking (81% de las brechas, 99% de los registros) Social (7% de las brechas, 37% de los registros) Uso indebido (5% de los brechas, <1% de los registros) Física (10% de las brechas, <1% de los registros) Error (<1% de las brechas, <1% de los registros) Medioambiental (0% de las brechas, 0% de los registros) Los activos comprometidos Los datos comprometidos Dificultad del ataque Selección en los ataques Intervalo de los eventos Métodos de descubrimiento de brechas Técnicas antiforenses PCI DSS El impacto de las brechas en los datos DBIR de 2012: Conclusiones y recomendaciones Apéndice A: Examen de las relaciones entre acciones de amenaza Apéndice B: Un caso de éxito del USSS DE ciberdelincuencia industrializada a gran escala Los contribuidores del DBIR de Equipo RISK de Verizon Policía Federal Australiana Unidad de Delitos de Alta Tecnología de los Países Bajos Servicio de Seguridad de la Información e Informes de Irlanda Unidad Central de Delitos Informáticos Servicio Secreto de Estados Unidos Para más noticias y comentarios en inglés, visite verizon.com/enterprise/securityblog.

4 Resumen ejecutivo El año 2011 pasará a la historia como un año de agitación civil y cultural. Los ciudadanos se rebelaron contra sus gobiernos, los retaron y llegaron incluso a derrocarlos en el efecto dominó que se conoce como la primavera árabe, aunque se prolongó más allá de esta estación. Muchos, indignados con la acumulación de riqueza del 1%, ocuparon Wall Street y otras muchas ciudades del mundo. Existen multitud de ejemplos de este fenómeno. Esta inestabilidad que ha caracterizado al año 2011 no se ha limitado al mundo físico. El mundo de Internet también reflejó un enfrentamiento de ideales en forma de activismo, protestas, represalias y ataques por pura diversión. Aunque estas actividades abarcan mucho más que brechas en los datos, por ejemplo, ataques DDoS, el robo de información corporativa y personal fue sin duda una de las tácticas más empleadas. El espectro del hacktivismo reimaginado y revigorizado supuso una amenaza para organizaciones de todo el mundo. Muchos, preocupados por el carácter clandestino de sus orígenes y su tendencia a avergonzar a sus víctimas, consideraban esta amenaza más temible que cualquier otra, tanto real como imaginaria. Más preocupante para muchas organizaciones y ejecutivos fue el hecho de que estos grupos no seguían un patrón lógico en sus ataques, atacando a quién tenía más dinero o información valiosa. Los enemigos son aún más peligrosos cuando no puede predecirse su comportamiento. No obstante no todo fueron protestas y bromas. Los ciberdelincuentes habituales siguieron automatizando y simplificando su método favorito de emplear ataques de gran volumen y bajo riesgo contra objetivos débiles. Menos frecuentes, pero posiblemente más perjudiciales, fueron los ataques continuados contra secretos comerciales, información clasificada y otra propiedad intelectual. Durante el año pasado, hemos observado multitud de facetas, tácticas y motivos, y en muchos aspectos, el Informe sobre investigaciones de brechas en los datos, o DBIR, de 2012 recapitula las muchas caras del hurto de datos corporativos. 855 incidentes, 174 millones de registros comprometidos. El DBIR de este año incluye más incidentes, derivados de más contribuidores, y abarca un espectro más amplio y diverso desde el punto de vista geográfico. El volumen de registros comprometidos volvió a subir hasta los 174 millones después de haber alcanzado su mejor nivel o peor, según como se vea con los cuatro millones del informe del año pasado. De hecho, en 2011 se registró la segunda pérdida más alta de datos desde que se empezó a recopilar información en el año Un año más, es un placer anunciar que el Servicio Secreto de Estados Unidos (USSS) y la Unidad de Delitos de Alta Tecnología de los Países Bajos (NHTCU) han colaborado con nosotros en la elaboración del informe. Este año damos la bienvenida a la Policía Federal Australiana (AFP), el Servicio de Seguridad de la Información e Informes de Irlanda (IRISSCERT) y la Unidad Central de Delitos Informáticos (PCeU) de la Policía Metropolitana de Londres. Estas organizaciones han ampliado tremendamente el alcance del DBIR en lo que respecta a brechas ocurridas en todo el mundo. Queremos hacerles llegar a todos ellos nuestro agradecimiento por su cooperación y esperamos que este informe sirva para aumentar la concienciación sobre el cibercrimen y nuestra capacidad colectiva para combatirlo. No obstante no todo fueron protestas y bromas. Los ciberdelincuentes habituales siguieron automatizando y simplificando su método favorito de emplear ataques de alto volumen y bajo riesgo contra objetivos débiles. El espectro del hacktivismo reimaginado y revigorizado supuso una amenaza para organizaciones de todo el mundo. Gracias a la combinación de los casos de Verizon de 2011 y los datos que han aportado las organizaciones mencionadas anteriormente, la serie de informes DBIR abarca ahora ocho años, más de 2000 brechas y más de mil millones de registros comprometidos. Ha sido una experiencia fascinante e informativa y queremos darles las gracias a todos los que han decidido compartirla con nosotros. Como siempre, nuestra meta es que los datos y el análisis que ofrece el informe sean de utilidad en las labores de planificación y seguridad de nuestros lectores. Comencemos mencionando algunos de los datos más destacados. 2

5 Quiénes son los responsables de las brechas en los datos? 98 % agentes externos (+6%) 4 % empleados (-13%) 1 % partners del negocio(<>) % de todos los robos de datos vinculados a grupos 58 activistas Este dato era de esperar; los agentes externos siguen dominando la escena de los robos de datos corporativos. La delincuencia organizada siguió con sus fechorías típicas, siendo responsable de la mayoría de las brechas de Los grupos activistas también han sembrado el caos y la confusión, y robaron más datos que ningún otro grupo. Su irrupción en escena ha servido para transformar el abanico de motivaciones. Aunque la codicia y la avaricia siguen siendo los móviles principales, la disidencia ideológica y el deseo de perjudicar a otros han ido adquiriendo un papel más protagonista. Como se podría esperar de este ascenso en los atacantes externos, la proporción de incidentes internos ha vuelto a disminuir hasta un 4%. Los incidentes de hacking y malware experimentaron un marcado ascenso, con el hacking como responsable de la mayoría de los recursos comprometidos. Esto tiene sentido, ya que estas herramientas siguen siendo las favoritas de los agentes externos que, como ya se mencionó, están detrás de la mayoría de las brechas. Muchos ataques combinan credenciales robadas o adivinadas (para obtener acceso) con puertas traseras (para retenerlo) con el fin de eludir la autenticación. Se produjeron menos casos de skimming en cajeros automáticos y gasolineras, lo que sirvió para reducir la proporción de ataques físicos. Dada la caída de los agentes internos, lo mismo ha ocurrido con la categoría de uso indebido. Las tácticas sociales disminuyeron ligeramente, pero fueron responsables de grandes pérdidas de datos. Cómo se producen las brechas? 81 % utilizó alguna modalidad de hacking (+31%) 69 % incorporó malware (+20%) 10 % involucró ataques físicos (-19%) 7 % empleó tácticas sociales (-4%) 5 % resultó del uso indebido de privilegios (-12%) Cuáles son los puntos en común? % de las víctimas resultaron ser blancos de 79 oportunidad (-4%) 96 % de los ataques no eran complicados (+4%) % de todos los datos comprometidos estaban en 94 servidores (+18%) % de las brechas se tardó semanas o meses en 85 descubrir (+6%) 92 % de los incidentes los descubrió un tercero (+6%) % de las brechas podrían haberse evitado con 97 controles sencillos o intermedios (+1%) % de las víctimas sujetas a la norma PCI DSS no la 96 cumplían (+7%) Los datos del año pasado confirman que la elección de objetivos se basa más en la oportunidad que en una decisión previa. La mayoría de las víctimas lo son porque se les descubrió un punto débil fácil de explotar, a menudo con facilidad, más que porque se les eligiera para el ataque. Ya se trate de ataques preconcebidos o no, la gran mayoría de las víctimas sucumben a ataques que no son complicados en absoluto. Los más sofisticados solo lo fueron en las etapas más avanzadas después de haber ganado acceso. Esto sugiere que la mayoría de las brechas podrían haberse evitado por lo menos en retrospectiva sin contramedidas complicadas ni costosas. Los bajos niveles de adherencia a la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS) ponen de relieve problemas muy variados para las organizaciones afectadas. Aunque suelen existir indicios de las brechas, la mayoría de las víctimas no descubren sus propios incidentes. El descubridor suele ser un tercero y por desgracia esto suele ocurrir semanas o meses después del ataque. Se ha dado cuenta de que muchos de estos incidentes han empeorado en 2011? 3

6 De nuevo, este estudio nos recuerda que nuestra profesión ya cuenta con las herramientas que necesita para hacer su trabajo. Ahora, el desafío consiste en elegir las más apropiadas para cada tarea y no dejar que se queden anticuadas y se oxiden. La experiencia demuestra que cuando esto ocurre, nuestros adversarios están listos para aprovechar cualquier descuido. Como verá, a lo largo de este informe contrastamos los datos de organizaciones grandes y pequeñas. Es una forma de poner de manifiesto lo distintos, y a veces lo similares, que son sus problemas. Por eso es lógico que las soluciones a los problemas sean también diferentes. La mayoría de las recomendaciones que se ofrecen al final de este informe están relacionadas con las organizaciones de mayor tamaño. No es que queramos ignorar a las pequeñas, sino que aunque el cibercrimen moderno es una plaga para ambas, el antídoto es bastante sencillo y casi universal. Las organizaciones grandes exhiben problemas más diversos que deben abordarse mediante acciones correctoras igualmente diversas. Esperamos que los resultados de este informe ayuden a priorizar estos esfuerzos, pero crear una estrategia adaptada a las necesidades de cada organización exige una evaluación documentada e interna de su panorama de amenazas. Dónde deben concentrarse los esfuerzos de mitigación? Las organizaciones más pequeñas Implementar un cortafuegos o una lista de control de acceso en servicios de acceso remoto Cambiar las credenciales automáticas de los sistemas POS y otros sistemas de Internet Si un proveedor se encarga de los dos puntos anteriores, comprobar que los haya implementado Organizaciones de mayor tamaño Eliminar datos innecesarios; vigilar los que quedan Asegurar que se cumplan los controles esenciales; verificar periódicamente que siguen activos Supervisar y extraer información de los registros de eventos Evaluar el panorama de amenazas para priorizar la estrategia de tratamiento Las conclusiones de este informe detallan los indicadores y mitigantes de las amenazas más frecuentes. Tiene alguna pregunta o comentario sobre el DBIR? Escríbanos a búsquenos en Facebook, o publique en Twitter con hashtag #dbir. 4

7 Metodología Los comentarios que hemos recibido nos dicen que una de las cosas que más valoran los lectores es el rigor y la honestidad con que recopilamos, analizamos y presentamos los datos. Esto es importante para nosotros y agradecemos su aprecio. Elaborar el informe no es tarea fácil (examinar 855 incidentes no es lo que se dice una carga ligera). Si nadie lo conociera o a nadie le importara, nos podríamos ver tentados a tomar atajos para ahorrarnos tiempo y esfuerzo, pero sabemos que usted lo conoce y que le importa. De eso trata esta sección. En gran medida, Verizon ha empleado la misma metodología que en años anteriores. Todos los resultados se basan en evidencia de primera mano recopilada durante investigaciones forenses externas. Metodología de Verizon para la recopilación de datos En gran medida, Verizon ha empleado la misma metodología que en años anteriores. Todos los resultados se basan en evidencia de primera mano recopilada durante investigaciones forenses externas que Verizon ha llevado a cabo entre 2004 y Los casos de 2011 son el foco analítico del informe, pero con frecuencia se hace referencia al resto de los datos. Aunque el equipo RISK trabaja en diversos proyectos, más de 250 el año pasado, solo se consideran para el informe los casos confirmados de brechas en los datos. En 2011, hubo 90 de estos proyectos que se completaron en el marco del informe. Para garantizar que los resultados fueran fiables y sistemáticos, todos los investigadores han trabajado dentro del marco de trabajo Verizon Enterprise Risk and Incident Sharing (VERIS) para registrar datos y otros detalles relevantes de los casos. Los analista recopilan puntos de datos de VERIS durante toda la investigación y los completan al cerrar el caso. A continuación, otros miembros del equipo RISK los analizan y validan. Durante el proceso de agregación, se elimina del depósito de datos la información de identidad de los afectados. Metodología de recopilación de datos de otros contribuidores Aunque las organizaciones contribuyentes USSS, NHTCU, AFP, IRISSCERT, y PCeU emplean métodos diferentes para aportar datos al informe, comparten el mismo enfoque básico. Todas tienen VERIS como denominador común pero utilizan varios mecanismos para introducir los datos. Por ejemplo, los agentes del USSS utilizaron una aplicación interna basada en VERIS para registrar los detalles de los casos. Con la AFP, entrevistamos a los agentes a cargo de cada caso, registramos los puntos de datos y solicitamos información de seguimiento. El mecanismo de recopilación de datos que se emplea no es tan importante como que todos los datos se basan en incidentes reales y, lo que es más importante, en hechos reales sobre dichos incidentes. Estas organizaciones utilizan notas tomadas durante la investigación, informes facilitados por los afectados u otras firmas forenses, y su propia experiencia adquirida durante el caso. Los datos recopilados se limpian de cualquier información que pudiera identificar a las organizaciones o personas involucradas en cada caso y se transfieren al equipo RISK de Verizon para su análisis. De entre las numerosas investigaciones emprendidas por estas agencias en 2011, se eligieron solo aquellas que involucraron brechas confirmadas en los datos de organizaciones, en consonancia con el enfoque del DBIR. 1 Después se eliminaron los casos investigados por el equipo forense de Verizon. 2 En total, nuestros colaboradores contribuyeron al informe un total de 765 brechas. Algunos pueden sorprenderse de que los casos de Verizon representen una proporción relativamente pequeña del informe, pero para nosotros es un dato muy positivo. Pensamos que más información da una idea más precisa y completa del problema al que todos nos enfrentamos. Si eso exige que nuestros datos sean secundarios en una publicación de Verizon, no nos importa compartir el crédito si al mismo tiempo podemos compartir los datos. En esa misma vena, si su organización investiga o gestiona brechas de datos y tiene interés en contribuir a futuros DBIR, díganoslo. La familia DBIR sigue creciendo y admitimos nuevos miembros. 1 Brecha de datos de organizaciones se refiere a incidentes (acceso no autorizado, robo, divulgación, etc.) en los que se ve comprometida información no pública mientras una organización la almacena, procesa, utiliza o transmite. 2 Con frecuencia trabajamos de un modo u otro con estas agencias durante la investigación. Para evitar la redundancia, se utilizan los datos que contribuye Verizon cuando tanto Verizon como otra de las agencias trabajan en el mismo caso. 5

8 Introducción a VERIS VERIS es un marco de trabajo diseñado para proporcionar un lenguaje común para describir incidentes de seguridad de forma estructurada y repetible. El sistema parte de la narrativa de quién ha hecho qué a qué (o a quién) y cuál ha sido el resultado para transformarla en el tipo de datos que aparecen en el informe. En respuesta a la solicitud por parte de muchos de nuestros lectores de información sobre la metodología del DBIR y para fomentar el intercambio de datos de incidentes de seguridad, a principios de este año pusimos VERIS a disposición del público general de forma gratuita. En nuestro sitio web 3 se explica brevemente VERIS, mientras que en el wiki de la comunidad VERIS se encuentra todo el marco de trabajo. 4 Ambos son excelentes referencias a la hora de leer este informe y entender la terminología y el contexto. Clasificación de incidentes con la ayuda de VERIS La sección de clasificación de incidentes del marco de trabajo VERIS traduce la narrativa de quién ha hecho qué a qué (o a quién) y cuál ha sido el resultado a un formato más adecuado para las labores de tendencias y análisis. Para conseguirlo, VERIS emplea el modelo de amenazas A 4 creado por el equipo RISK de Verizon. En el modelo A 4, un incidente de seguridad se ve como una serie de acontecimientos que afecta de forma negativa a los activos de información de una organización. Todos los eventos están compuestos de los siguientes elementos (las cuatro As): Agente: los actos de quién afectaron el activo Acción: qué actos afectaron el activo Activo: qué activos se vieron afectados Atributo: cómo se ven afectados los activos Nosotros pensamos que las cuatro As representan la información mínima necesaria para describir un incidente o amenaza. Además, esta estructura proporciona un marco de trabajo óptimo dentro del cual puede medirse la frecuencia, asociar controles, vincular el impacto y muchos otros conceptos necesarios en la gestión del riesgo. Si se calculan todas las combinaciones de los elementos de alto nivel del modelo A 4, (tres agentes, siete acciones, cinco activos y tres atributos), emergen eventos de amenaza distintos. La tabla de la figura 1 es una representación gráfica que asigna un número de evento de amenaza (de aquí en adelante EA más número) a cada uno. EA1, por ejemplo, coincide con malware externo que compromete la confidencialidad de un servidor. Puede observarse que no todas las 315 combinaciones de A 4 son viables. Hasta donde sabemos, el malware no infecta a las personas aunque siempre puede servir para escribir un argumento de ciencia ficción muy interesante. Nosotros pensamos que las cuatro As representan la información mínima necesaria para describir un incidente o amenaza. La transformación en métrica de la narrativa de incidentes Como ya indicamos anteriormente, los incidentes suelen involucrar varios eventos de amenaza. La forma en que se modela un incidente para generar las estadísticas es identificar los eventos involucrados y emplearlos para reconstruir la cadena. Por ejemplo, a continuación describimos un incidente hipotético simplificado en el que se utiliza un ataque de spear phishing para extraer de una organización datos confidenciales y propiedad intelectual. El organigrama que representa el incidente incluye cuatro eventos de amenaza principales y uno condicional. 6 Se incluye una descripción breve de cada evento junto con el número de EA y las categorías A 4 de la matriz anterior https://verisframework.wiki.zoho.com/ 5 Algunos de ustedes recordarán que esta tabla mostraba 630 intersecciones en el DBIR de La diferencia se debe a la cantidad de atributos de seguridad reflejados. Aunque seguimos reconociendo los seis atributos de la hexade de Parker, hemos decidido, con las recomendaciones de terceros, utilizarlos y presentarlos en pares (por ejemplo, pérdida de confidencialidad y posesión ). Por lo tanto, se conservan los conceptos de confidencialidad frente a posesión, pero se simplifica análisis y visualización de datos (una de las solicitudes más comunes de los usuarios de VERIS). En la sección sobre atributos del wiki de VERIS puede encontrarse más información sobre este cambio. 6 En la sección de errores dentro de acciones de amenaza encontrará una explicación de los eventos condicionales. 6

9 Figura 1. Matriz A 4 de VERIS con los 315 eventos de amenaza de alto nivel Servidores Redes Dispositivos de usuarios Datos offline Personas Malware Hacking Social Uso indebido Físico Error Medioambiental Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Confidencialidad y posesión Integridad y autenticidad Disponibilidad y utilidad Confidencialidad y posesión Integridad y autenticidad Disponibilidad y utilidad Confidencialidad y posesión Integridad y autenticidad Disponibilidad y utilidad Confidencialidad y posesión Integridad y autenticidad Disponibilidad y utilidad Confidencialidad y posesión Integridad y autenticidad Disponibilidad y utilidad Una vez completada la construcción de la cadena de eventos, una clasificación más detallada puede hacer más específicos los elementos que conforman cada evento (es decir, el tipo particular de agente externo, las tácticas sociales empleadas, etc.). El incidente se ha convertido ahora al sistema VERIS y pueden utilizarse medidas para informes y análisis. El proceso descrito anteriormente no solo sirve para describir el incidente mismo, sino que también ayuda a definir lo que se podría haber hecho o no hecho para prevenirlo. El objetivo está claro: romper la cadena de eventos para interrumpir el curso del incidente. Un último comentario antes de concluir con esta subsección. El proceso descrito anteriormente no solo sirve para describir el incidente mismo, sino que también ayuda a definir lo que se podría haber hecho o no hecho para prevenirlo. El objetivo está claro: romper la cadena de eventos para interrumpir el curso del incidente. Por ejemplo, la concienciación sobre la seguridad y un filtro de correo electrónico podría impedir EA1. Si esto no lo consigue, un antivirus y la concesión de menos privilegios en los portátiles podrían evitar EA2. La progresión de EA2 y EA3 puede interrumpirse mediante filtros de salida y análisis de flujos de red para detectar y bloquear accesos por puertas traseras. La implementación de procedimientos de formación y control de cambios podría evitar que el administrador configurara el sistema de forma incorrecta, como ocurre en el evento condicional, e impedir que la propiedad intelectual se vea comprometida en EA4. Estos son solo algunos ejemplos de controles para cada evento, pero son suficientes para demostrar que se crea un enfoque multinivel hacia la detención, prevención y detección de incidentes. 7

10 Figura 2. Ejemplo de incidente de VERIS E1 E2 E3 CE1 E4 Agente externo envía un mensaje de phishing que convence a un ejecutivo de que abra un archivo adjunto. EA280 Externo Social Personas Integridad El malware infecta el portátil del ejecutivo, creando una puerta trasera. EA148 Externo Malware Dispositivos de usuarios Integridad El agente externo accede al portátil del ejecutivo a través de la puerta trasera y lee mensajes electrónicos y otros datos confidenciales. EA130 Externo Hacking Dispositivos de usuarios Confidencialidad El administrador del sistema configura incorrectamente los controles de acceso al crear un nuevo servidor de archivos. EA38 Interno Error Servidores Integridad El agente externo accede al servidor de archivos correlacionado desde el portátil y roba propiedad intelectual. EA4 Externo Hacking Servidores Confidencialidad La parcialidad de la muestra Queremos reiterar que los resultados del informe no tienen por qué ser representativos de todas las brechas que puede sufrir una organización. Aunque en teoría la combinación de todos los grupos de datos es un mejor reflejo de la realidad que cualquiera de ellos por separado, no hay que olvidar que no deja de ser una muestra limitada. Aunque pensamos que muchas de las conclusiones del informe pueden generalizarse, de lo cual estamos cada día más seguros según recopilamos más datos y los comparamos, también hay que admitir que son parciales. El problema es que no puede determinarse exactamente en qué medida existe sesgo, para poder dar un margen de error preciso. Es imposible saber la proporción representada de todas las brechas de datos, ya que no hay forma de saber todas las brechas ocurridas en todas las organizaciones en Muchas de las brechas no se dan a conocer, aunque aún así nuestra muestra contiene muchas de las brechas sin declarar. En muchos casos, el afectado todavía no es consciente de la brecha y por eso a nosotros nos es desconocida. Lo que sí sabemos es que nuestro conocimiento crece con lo que estudiamos y que en 2011 creció más que nunca. Al final, lo único que nosotros los investigadores podemos hacer es transmitirle nuestros resultados para que usted los evalúe y los utilice como crea conveniente. Tiene alguna pregunta o comentario sobre el DBIR? Escríbanos a búsquenos en Facebook, o publique en Twitter con hashtag #dbir. 8

11 Recopilación y análisis El volumen de datos combinados de 2011 es el mayor que hemos analizado nunca en un solo año, con 855 incidentes y más de 174 millones de registros comprometidos (el segundo total más alto). Los párrafos siguientes explican la estructura del informe. En varias partes del texto, hacemos referencia a todos los datos de 2004 a Cuando estudie estos datos, no olvide que los grupos de datos de muestra no son estáticos. La cantidad, la naturaleza y las fuentes de los casos cambian radicalmente con el tiempo. Por este motivo, es sorprendente la estabilidad que presentan algunas de las tendencias, un hecho que a nuestro ver confirma su validez. Por otra parte, es casi seguro que algunas tendencias son resultado de inestabilidad en la muestra misma, más que de cambios importantes en el entorno de amenazas. Como ya ocurrió en informes anteriores, se presentan todos los datos combinados intactos y se destacan algunas diferencias o similitudes interesantes cuando resulta apropiado. Algunos de los puntos de datos solo se recopilan en los casos de Verizon; esto se indica en el texto y en las figuras. Todas las figuras del informe tienen el mismo formato. Los valores en color gris oscuro se refieren a brechas mientras que los valores en rojo indican registros de datos. Una brecha es un incidente que se investiga en un caso y los registros son la cantidad de unidades de datos (archivos, números de tarjeta, etc.) que se ven comprometidas en la brecha. En algunas figuras no se facilita el número específico de registros, sino que se emplea el símbolo # rojo para indicar una alta proporción de pérdida de datos. Si alguno de estos valores supone un cambio importante con respecto a años anteriores, se marca con el signo + o - en color naranja (para denotar incremento o disminución). Las sumas de muchas de las figuras y tablas del informe ascienden a más del 100%. Esto no es un error, sino que simplemente se debe al hecho de que los componentes de la tabla no son siempre mutuamente excluyentes y por lo tanto varios son aplicables al mismo incidente. Tabla 1. Clave para cambiar los porcentajes a números para los datos del DBIR de brechas % # 1% 9 5% 43 10% 86 25% % % 428 Los valores en color gris oscuro se refieren a brechas mientras que los valores en rojo indican registros de datos. Una brecha es un incidente que se investiga en un caso y los registros son la cantidad de unidades de datos (archivos, números de tarjeta, etc.) que se ven comprometidas en la brecha. En algunas figuras no se facilita el número específico de registros, sino que se emplea el símbolo # rojo para indicar una alta proporción de pérdida de datos. Si alguno de estos valores supone un cambio importante con respecto a años anteriores, se marca con el signo + o - en color naranja (para denotar incremento o disminución). Debido a que la cantidad de brechas del informe es muy elevada, el uso de porcentajes es un poco engañoso en ocasiones: el 5 por ciento puede parecer una cifra insignificante, pero representa más de 40 incidentes. Siempre que sea apropiado, mostraremos el número de brechas en lugar o además de los porcentajes. La tabla 1 muestra la conversión de porcentaje a cifra. No todas las figuras y tablas muestran todas las opciones posibles, sino solo aquellas que tienen un valor superior a cero (y algunas truncan incluso más). Para ver las opciones de una figura en particular, consulte el marco de trabajo VERIS. Algunas de las críticas constructivas que hemos recibido sobre el informe de 2011 sugieren que la base de datos está tan llena de empresas pequeñas que no era tan aplicable a las organizaciones de mayor tamaño como lo había sido en años anteriores. Cómo se atreven a criticarnos? Por supuesto que no lo decimos en serio; esta crítica está justificada y al mismo tiempo es útil. Uno de los problemas de evaluar una gran cantidad de datos de organizaciones variadas es que los promedios no son más que eso promedios. Debido a que las cifras representan a todas las organizaciones, no representan a ninguna organización ni grupo demográfico en particular. Esto es inevitable. Se tomó la decisión consciente de estudiar todo tipo de brechas en los datos ya que afectan a todo tipo de organizaciones, y si las pequeñas empresas son las más afectadas, no podemos excluirlas solo porque dominen los datos. Lo que sí podemos hacer es presentar los resultados de forma que puedan aplicarse más fácilmente a ciertos grupos. 9

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA Siete mitos de la seguridad de TI corporativa by Yuri Ilyin Los Mitos y prejuicios son compañeros inevitables de cualquier rama del conocimiento, y la seguridad

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Presupuesto de Seguridad de la Información

Presupuesto de Seguridad de la Información PresupuestodeSeguridaddelaInformación Unapautaenqueycuantoinvertir CristianBobadillaC.,CISSP,PCI QSA EXTRACTO Hoycuandosevieneunperiododemayorrestriccióndegastosylosriesgosdelaseguridadseincrementan, las

Más detalles

REPORTE NORTON 2013 Octubre, 2013

REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 QUIÉNES PARTICIPARON? 13,022 ADULTOS DE ENTRE 18 Y 64 AÑOS, CONECTADOS A INTERNET DÓNDE? - 24 PAÍSES AUSTRALIA, BRASIL, CANADÁ, CHINA, COLOMBIA, DINAMARCA,

Más detalles

Información de seguridad en Línea

Información de seguridad en Línea Información de seguridad en Línea Qué es el phishing? El phishing es el nombre dado a la práctica de enviar correos electrónicos al azar que supuestamente afirman ser de una empresa autentica que opera

Más detalles

Ontrack PowerControls El retorno de la inversión en la recuperación de correos electrónicos: Cómo conseguir más con menos

Ontrack PowerControls El retorno de la inversión en la recuperación de correos electrónicos: Cómo conseguir más con menos Ontrack PowerControls El retorno de la inversión en la recuperación de correos electrónicos: Cómo conseguir más con menos Ahorre tiempo y dinero en sus recuperaciones de correos electrónicos An Altegrity

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Manual de formulación de proyectos de cooperación internacional Redes Chaco Abril 2015

Manual de formulación de proyectos de cooperación internacional Redes Chaco Abril 2015 Manual de formulación de proyectos de cooperación internacional Redes Chaco Abril 2015 1. Introducción Organizaciones locales, como organizaciones no gubernamentales, asociaciones, organizaciones de base

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

Guía del agente de pruebas de Cúram

Guía del agente de pruebas de Cúram IBM Cúram Social Program Management Guía del agente de pruebas de Cúram Versión 6.0.5 IBM Cúram Social Program Management Guía del agente de pruebas de Cúram Versión 6.0.5 Nota Antes de utilizar esta

Más detalles

NORMA INTERNACIONAL DE AUDITORÍA 530 MUESTREO DE AUDITORÍA

NORMA INTERNACIONAL DE AUDITORÍA 530 MUESTREO DE AUDITORÍA NORMA INTERNACIONAL DE AUDITORÍA 530 MUESTREO DE AUDITORÍA (NIA-ES 530) (adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, de 15 de octubre

Más detalles

Introducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas

Más detalles

Servicios de consultoría de Gemalto

Servicios de consultoría de Gemalto Servicios de consultoría de Gemalto Tome el control en la implementación de tarjetas inteligentes SERVICIOS FINANCIEROS & RETAIL > SERVICIO EMPRESAS PROVEEDORES DE CONTENIDO DE INTERNET SECTOR PÚBLICO

Más detalles

Introducción. Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de

Introducción. Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de Guía de Backup Introducción Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de texto, planillas, presentaciones, entre

Más detalles

E-PROCUREMENT PARA FACILITAR LA INTEGRACIÓN EN LA SUPPLY CHAIN

E-PROCUREMENT PARA FACILITAR LA INTEGRACIÓN EN LA SUPPLY CHAIN E-PROCUREMENT PARA FACILITAR LA INTEGRACIÓN EN LA SUPPLY CHAIN Con cada vez mayores presiones de la competencia, cada vez más las empresas utilizan las adquisiciones electrónicas (eprocurement) en un intento

Más detalles

Política de Privacidad LEVEL UP! GAMES

Política de Privacidad LEVEL UP! GAMES Política de Privacidad LEVEL UP! GAMES Level Up! Interactive S.A.S se compromete a proteger la privacidad de la información de los visitantes de nuestros entornos virtuales en línea. Esta política se aplica

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Perspectiva de Tech-Clarity: consolidación CAD. Ventajas de una estrategia CAD unificada

Perspectiva de Tech-Clarity: consolidación CAD. Ventajas de una estrategia CAD unificada Perspectiva de Tech-Clarity: consolidación CAD Ventajas de una estrategia CAD unificada Tech-Clarity, Inc. 2013 Tabla de contenido Resumen general... 3 Optimización de los gastos de TI... 4 Reutilización...

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

Qué son y cómo combatirlas

Qué son y cómo combatirlas Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas Respuesta al Reto de Análisis Forense Resumen ejecutivo Marzo de 2006 Germán Martín Boizas Introducción Este documento es el resumen ejecutivo en respuesta al reto de análisis forense lanzado por UNAM-CERT

Más detalles

Dudas y certezas sobre las redes sociales en la empresa

Dudas y certezas sobre las redes sociales en la empresa Dudas y certezas sobre las redes sociales en la empresa Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: lunes 2 de agosto de 2010 ESET Latinoamérica, Av. Del Libertador

Más detalles

PDF created with pdffactory Pro trial version www.pdffactory.com

PDF created with pdffactory Pro trial version www.pdffactory.com Universidad de Los Andes Facultad de Humanidades y Educación Escuela de Educación Departamento de Educación Física Cátedra Didáctica de la Educación Física RESUMEN DE LA TAXONOMIA DE LOS OBJETIVOS DE LA

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Barómetro Internacional de Seguridad en PYMEs

Barómetro Internacional de Seguridad en PYMEs 2009 Barómetro Internacional de Seguridad en PYMEs Estudio anual sobre hábitos de seguridad Panda Security Mayo 2009 PANDA SECURITY Barómetro Internacional Seguridad en PYMEs 1 Índice General 1. Introducción..

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Resumen Ejecutivo DGICO-CA-PO-018-04

Resumen Ejecutivo DGICO-CA-PO-018-04 Resumen Ejecutivo I. Nombre y antecedentes de la práctica 1. Anote el nombre de la práctica (tal y como se nombró en la solicitud de registro) SISTEMA DE REGISTRO Y CONTROL DE ACCESO AL PLANTEL 2. Describa

Más detalles

MANUAL DE UTILIZACIÓN DEL CRM

MANUAL DE UTILIZACIÓN DEL CRM MANUAL DE UTILIZACIÓN DEL CRM ÍNDICE Qué es un CRM 1. Acceso al CRM 2. Organización del CRM 3. Portada 4. Prospectos 5. Clientes 6. Créditos 7. Emails 8. Documentos 9. Calendario 10. Ejemplos de Utilización

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Top Secret Recomendaciones de seguridad

Top Secret Recomendaciones de seguridad Top Secret Recomendaciones de seguridad La importancia de la seguridad La sensibilidad de la información La información es uno de los principales activos de la empresa. Por ello es vital la colaboración

Más detalles

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- Resumen: Las empresas se enfrentan a multitud de amenazas, como desastres naturales o espionaje industrial Sin embargo, hoy por hoy son las amenazas informáticas las que aumentan a mayor ritmo Este artículo

Más detalles

Política de cookies. Introducción Acerca de las cookies

Política de cookies. Introducción Acerca de las cookies Introducción Acerca de las s Política de s La mayoría de sitios web que usted visita utiliza s para mejorar la experiencia del usuario, permitiendo que el sitio web le recuerde, ya sea durante su visita

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

SEGURIDAD INFORMATICA PHISHING: Definición:

SEGURIDAD INFORMATICA PHISHING: Definición: SEGURIDAD INFORMATICA PHISHING: Definición: El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números

Más detalles

MÉTRICAS DE SEGURIDAD DE LA INFORMACION Y GESTION DEL DESEMPEÑO CON EL BALANCED SCORECARD Ing. Carlos Ormella Meyer

MÉTRICAS DE SEGURIDAD DE LA INFORMACION Y GESTION DEL DESEMPEÑO CON EL BALANCED SCORECARD Ing. Carlos Ormella Meyer MÉTRICAS DE SEGURIDAD DE LA INFORMACION Y GESTION DEL DESEMPEÑO CON EL BALANCED SCORECARD Ing. Carlos Ormella Meyer Hay dos temas en seguridad de la información que pese a su limitada difusión se proyectan

Más detalles

Informe de inteligencia sobre seguridad

Informe de inteligencia sobre seguridad Informe de inteligencia sobre seguridad De enero a junio de 2007 Resumen de resultados clave Informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) Resumen de resultados clave El informe

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Pequeñas charlas para gestión del mantenimiento Fernando Espinosa Fuentes

Pequeñas charlas para gestión del mantenimiento Fernando Espinosa Fuentes Pequeñas charlas para gestión del mantenimiento Fernando Espinosa Fuentes Es un método de resolución de problemas dirigido a identificar sus causas o acontecimientos. La práctica de la RCA se basa en el

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Insurance Banana Skins 2015

Insurance Banana Skins 2015 Resumen ejecutivo Insurance Banana Skins 2015 Cuáles son los principales riesgos del sector asegurador? www.pwc.es El informe Insurance Banana Skins 2015, elaborado por The Centre for the Study of Financial

Más detalles

Robos a través de móviles

Robos a través de móviles 1 Robos a través de móviles Android es el sistema más usado entre los usuarios de dispositivos móviles y el segundo más usado después de Windows para los creadores de virus. Los primeros programas malintencionados

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Política de cookies. Introducción Acerca de las cookies

Política de cookies. Introducción Acerca de las cookies Introducción Acerca de las cookies Política de cookies La mayoría de sitios web que usted visita utiliza cookies para mejorar la experiencia del usuario, permitiendo que el sitio web le recuerde, ya sea

Más detalles

Móvil Seguro. Guía de Usuario Terminales Android

Móvil Seguro. Guía de Usuario Terminales Android Móvil Seguro Guía de Usuario Terminales Android Índice 1 Introducción...2 2 Descarga e instalación de Móvil Seguro...3 3 Registro del producto...5 4 Funciones de Móvil Seguro...7 4.1 Antivirus... 7 4.1

Más detalles

CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL

CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL Al hablar del balance scorecard, no deberíamos referirnos al mismo como Proyecto, sino más bien como Programa. Esto solamente para dar al balanced scorecard

Más detalles

Repsol YPF elige Windows Desktop Search como buscador personal corporativo

Repsol YPF elige Windows Desktop Search como buscador personal corporativo Casos de Éxito Microsoft Sector Industria Repsol YPF elige Windows Desktop Search como buscador personal corporativo Resumen País: España. Sector: Industria. Perfil del Cliente Repsol YPF es una empresa

Más detalles

El líder del cambio John P. Kotter

El líder del cambio John P. Kotter El líder del cambio John P. Kotter John Kotter es considerado como uno de los autores más importantes e influyentes del pensamiento gerencial contemporáneo. Sus aportes a los temas del liderazgo y el cambio

Más detalles

CASO DE ESTUDIO. Junio 2011. Implantación del Cuadro de Mando de Indicadores del Departamento de Educación

CASO DE ESTUDIO. Junio 2011. Implantación del Cuadro de Mando de Indicadores del Departamento de Educación DEPARTAMENTO DE EDUCACIÓN GENERALITAT DE CATALUÑA CASO DE ESTUDIO Junio 2011 Implantación del Cuadro de Mando de Indicadores del Departamento de Educación El Departamento de Educación de la Generalitat

Más detalles

Resultados de la Autoevaluación de: John Doe Abril 09, 2015. 2015 by Gary Chapman & Paul E. White

Resultados de la Autoevaluación de: John Doe Abril 09, 2015. 2015 by Gary Chapman & Paul E. White Resultados de la Autoevaluación de: John Doe Abril 09, 2015 BASE CONCEPTUAL Investigaciones han demostrado que los individuos son motivados y animados de distintas maneras. En las relaciones interpersonales,

Más detalles

La compañía NEC Europe líder en tecnología ha confiado en Cezanne Software para consolidar los

La compañía NEC Europe líder en tecnología ha confiado en Cezanne Software para consolidar los La compañía NEC Europe líder en tecnología ha confiado en Cezanne Software para consolidar los datos de su departamento de RR.HH. y crear un enfoque consistente para gestionar a sus profesionales. NEC

Más detalles

Promoción a través de Internet

Promoción a través de Internet Promoción a través de Internet Ramón Montero Todos sabemos que las editoriales hacen sus propias campañas de promoción de sus/nuestros libros por diversos medios, como son los catálogos, los anuncios,

Más detalles

Informe de Verizon sobre Cumplimiento PCI de 2014

Informe de Verizon sobre Cumplimiento PCI de 2014 Resumen ejecutivo Informe de Verizon sobre Cumplimiento PCI de 2014 Algunos datos destacados de nuestro estudio sobre la situación actual del cumplimiento de la seguridad PCI. En 2013, el 64,4% de las

Más detalles

IBM Cognos Insight. Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI. Características principales

IBM Cognos Insight. Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI. Características principales Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI Características principales Explore, analice, visualice y comparta su información de forma independiente, sin

Más detalles

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM Security Information and Event Management (SIEM) está diseñado para brindar monitoreo de TI continuo, inteligencia

Más detalles

3. CÁLCULOS Y FORMATOS CONDICIONALES

3. CÁLCULOS Y FORMATOS CONDICIONALES colores, tendremos las opciones Mínima y Máxima, con tres campos cada una: Tipo, Valor y Color. Con este formato podemos crear una regla que le asigne un color al menor valor y otro al mayor, y dé a los

Más detalles

Guía de importación de datos

Guía de importación de datos Guía de importación de datos Contenido Introducción... 2 Paso 1. Preparación de datos... 2 Paso 2. Control de importación de datos... 5 Paso 3. Validación del archivo de datos... 6 Paso 4. Asignación de

Más detalles

Guía del Usuario de IDT Connect Latin America

Guía del Usuario de IDT Connect Latin America Guía del Usuario de IDT Connect Latin America Para empezar Bienvenido a IDT Connect Latin America, la manera más simple de realizar conferencias telefónicas. Con IDT Connect ya no tendrá que hacer reservas

Más detalles

SPAM: Hoy, ahora y siempre?

SPAM: Hoy, ahora y siempre? SPAM: Hoy, ahora y siempre? Autor: Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica Fecha: Martes 21 de agosto del 2007 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619)

Más detalles

Análisis del entorno de ventas: la respuesta de B2B a una economía en proceso de cambio

Análisis del entorno de ventas: la respuesta de B2B a una economía en proceso de cambio Análisis del entorno de ventas: la respuesta de B2B a una economía en proceso de cambio Cinco estrategias para ayudar a las compañías de ventas B2B a sobrevivir o prosperar durante las crisis económicas

Más detalles

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted:

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted: POLÍTICA DE PRIVACIDAD Última actualización 29 de abril de 2014 Smartkidi permite a sus usuarios, a través del Sitio web Smartkidi (http://smartkidi.com), o el Sitio web, poder encontrar, ver y enviar

Más detalles

Guía para implementar mejores prácticas ambientales en organizaciones

Guía para implementar mejores prácticas ambientales en organizaciones Guía para implementar en organizaciones Contenido Presentación... 2 Qué son las Mejores Prácticas Ambientales... 3 Características principales de las MPA... 4 Dimensiones de las Mejores Prácticas Ambientales...

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.

Más detalles

Naciones Unidas Pacto Mundial COMUNICACIÓN de PROGRESO (COP) Barrancabermeja, 27 de Mayo de 2015

Naciones Unidas Pacto Mundial COMUNICACIÓN de PROGRESO (COP) Barrancabermeja, 27 de Mayo de 2015 Naciones Unidas Pacto Mundial COMUNICACIÓN de PROGRESO (COP) Barrancabermeja, 27 de Mayo de 2015 DESCRIPCION DE LA NATURALEZA DE LA EMPRESA MISION: Somos una organización comprometida con el desarrollo

Más detalles

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image Proteger sus servidores virtuales con Acronis True Image Copyright Acronis, Inc., 2000 2008 Las organizaciones dedicadas a la TI han descubierto que la tecnología de virtualización puede simplificar la

Más detalles

PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB

PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB Su privacidad es importante para MAPEI S.p.A. y sus subsidiarias y filiales en todo el mundo (en conjunto, "MAPEI"). Esta declaración de prácticas

Más detalles

TACTICAS APLICADAS DE MARKETING

TACTICAS APLICADAS DE MARKETING TACTICAS APLICADAS DE MARKETING INTRODUCCIÓN Toda empresa desea alcanzar un nivel optimo de éxito sea cual sea el medio utilizado y para ello es necesario aplicar una serie de tácticas de marketing expuestas

Más detalles

ANEXO A de la. propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

ANEXO A de la. propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO ES ES ES COMISIÓN EUROPEA Bruselas, 20.12.2010 COM(2010) 774 final Anexo A / Capítulo 21 ANEXO A de la propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo al Sistema Europeo de Cuentas

Más detalles

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

El Modelo de Cambio de 8 Pasos de Kotter

El Modelo de Cambio de 8 Pasos de Kotter El Modelo de Cambio de 8 Pasos de Kotter "El cambio es la única constante." (Heráclito). Lo que era cierto hace más de 2.000 años es tan cierto hoy en día. Vivimos en un mundo donde el "business as usual",

Más detalles

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146 Potenciando el valor de la auditoría Dynamic Audit DYNAMIC AUDIT LA OPORTUNIDAD QUE OFRECE LA AUDITORÍA 0.253 La auditoría de los estados financieros lleva tiempo garantizando el cumplimiento normativo

Más detalles

1. COMPRENDE LOS VERDADEROS BENEFICIOS Y COMPÁRTELOS

1. COMPRENDE LOS VERDADEROS BENEFICIOS Y COMPÁRTELOS C omo todo nuevo proyecto, emprender la digitalización o captura de los documentos en papel de tu empresa requiere una estrategia a seguir que garantice un buen resultado. Si bien, el manejo masivo de

Más detalles

www.fundibeq.org Se aplica a todas aquellas situaciones en las que es necesario planificar productos, servicios o procesos.

www.fundibeq.org Se aplica a todas aquellas situaciones en las que es necesario planificar productos, servicios o procesos. EMULACIÓN 1.- INTRODUCCIÓN Este documento introduce la Emulación (Benchmarking) como una herramienta de gestión que profundiza y completa los análisis estratégicos necesarios para aumentar la efectividad

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Introducción. Situación económica de las empresas

Introducción. Situación económica de las empresas EVOLUCIÓN RECIENTE DEL ACCESO DE LAS PYMES ESPAÑOLAS A LA FINANCIACIÓN EXTERNA SEGÚN LA ENCUESTA SEMESTRAL DEL BCE Este artículo ha sido elaborado por Álvaro Menéndez y Maristela Mulino, de la Dirección

Más detalles

Cómo defenderse de los ataques actuales de phishing dirigidos

Cómo defenderse de los ataques actuales de phishing dirigidos Cómo defenderse de los ataques actuales de phishing dirigidos Introducción Este mensaje es un engaño o es legítimo? Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial,

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

ORGANIZACIÓN MUNDIAL DE LA PROPIEDAD INTELECTUAL GINEBRA COMITÉ PERMANENTE DE TECNOLOGÍAS DE LA INFORMACIÓN

ORGANIZACIÓN MUNDIAL DE LA PROPIEDAD INTELECTUAL GINEBRA COMITÉ PERMANENTE DE TECNOLOGÍAS DE LA INFORMACIÓN OMPI S SCIT/5/6 ORIGINAL: Inglés FECHA: 18 de mayo de 2000 ORGANIZACIÓN MUNDIAL DE LA PROPIEDAD INTELECTUAL GINEBRA COMITÉ PERMANENTE DE TECNOLOGÍAS DE LA INFORMACIÓN PLENARIO Quinta sesión Ginebra, 10

Más detalles

Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados. Operación del Sistema PIN Pass en Tarjetas de Crédito

Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados. Operación del Sistema PIN Pass en Tarjetas de Crédito Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados Operación del Sistema PIN Pass en Tarjetas de Crédito Presentación del Superintendente de Bancos e Instituciones Financieras,

Más detalles

Monitoreo y Control de la Eficiencia Energética para la Reducción de Costes

Monitoreo y Control de la Eficiencia Energética para la Reducción de Costes Monitoreo y Control de la Eficiencia Energética para la Reducción de Costes Introducción.- Las industrias se encuentra cada vez más bajo presión en medir el costo de los servicios que consumen, tales como:

Más detalles

Los puntos de contacto en el proceso de compra. Pepe Tomé. www.pepetome.com

Los puntos de contacto en el proceso de compra. Pepe Tomé. www.pepetome.com Los puntos de contacto en el proceso de compra Pepe Tomé Mayo 2013 Introducción En Junio del 2009, McKinsey realizó el estudio The consumer decision journey, en él que a través de 20.000 encuestas entre

Más detalles

Data Mining o Minería de Datos

Data Mining o Minería de Datos Data Mining o Minería de Datos A quién se le ocurriría basar una de las estrategias comerciales para incrementar las ventas de una compañía de retail, en una correlación de consumo nada obvia entre pañales

Más detalles

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en:

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Rabobank Chile Qué es Rabopass? Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Algo que usted sabe + Algo que usted tiene Usted sabe su clave

Más detalles

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volumen 12 JULIO DICIEMBRE DE 2011 PRINCIPALES CONCLUSIONES www.microsoft.com/sir Microsoft Security Intelligence Report Este documento se publica exclusivamente

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

BBVA supervisa y mejora de forma transparente su reputación online

BBVA supervisa y mejora de forma transparente su reputación online BBVA supervisa y mejora de forma transparente su reputación online Utilizando las soluciones IBM Business Analytics para controlar y responder a los comentarios online Inteligente es... Obtener información

Más detalles

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO CyberSource Fraud Management DO PTA ACE IDO PED TADO ACEP UN ÚNICO PUNTO DE CONTACTO LE AYUDA A ACEPTAR MAYOR CANTIDAD DE PEDIDOS IDO PED PREVENCIÓN DE FRAUDE Fraud Management GESTIONAR EL FRAUDE ES UN

Más detalles

Potencia tu talento y el de los que te rodean MÉTODO SIDECAR. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer.

Potencia tu talento y el de los que te rodean MÉTODO SIDECAR. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer. Johan Wolfgang Goethe INDICE 1. 2. OBJETIVO PROCESO Evaluación ANTES: Perfil de partida. Evaluación DESPUÉS: Perfil

Más detalles

Este documento describe el proceso completo a seguir para analizar la existencia de una relación lógica entre dos variables. www.fundibeq.

Este documento describe el proceso completo a seguir para analizar la existencia de una relación lógica entre dos variables. www.fundibeq. DIAGRAMA DE DISPERSIÓN 1.- INTRODUCCIÓN Este documento describe el proceso completo a seguir para analizar la existencia de una relación lógica entre dos variables. Describe la construcción de los Diagramas

Más detalles

Registro Documental Automático (RDA). Integración Mensajería y Outlook

Registro Documental Automático (RDA). Integración Mensajería y Outlook El módulo de Registro Documental Automático (RDA) para Dynamics AX, permite la simplificación y Registro Documental Automático (RDA). Integración Mensajería y Outlook automatización de las acciones relacionadas

Más detalles