contenido » editorial » opinión

Tamaño: px
Comenzar la demostración a partir de la página:

Download "contenido » editorial » opinión"

Transcripción

1

2

3 contenido 16 AÑO 5, NÚMERO 3, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Sara Bursztein Mª José de la Calle Milthon J. Chavez Fabián Descalzo Ana Ledesma Cristina Ledesma Maricarmen Pascale Marcos Polanco Velasco Franco Rigante Germán Vargas Pedroza Marketing y Producción Karla Trejo Cerrillo Sofía Méndez Aguilar Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 3, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/ Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P , México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a » editorial» opinión» conexiones 4 Editorial Héctor Acevedo Juárez 6 Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein 16 Ingeniería social: El hackeo al ser humano Un enfoque holístico Cristina Ledesma, Ana Ledesma y Maricarmen Pascale 28 La gestión de la seguridad en gobierno electrónico Milthon J. Chavez 10 Tips Consejos básicos sobre clasificación de información Introducción Fabián Descalzo 12 Conexiones Gestión de Riesgos de TI - En busca de la optimización Franco Rigante 20 Desde la trinchera Estableciendo un lenguaje común en ciberseguridad Título Marcos Polanco Velasco 24 Conexiones Recuperación de desastres tecnológicos como servicio (DRaaS) Germán Vargas Pedroza 26 Conexiones Internet de las cosas o la peligrosa transformación del mundo real en virtual Mª José de la Calle Julio - Septiembre

4 editorial Más participación hispanoamericana, nuevos temas Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE En línea con la evolución de los temas relacionados con la seguridad de la información, presentamos en este número una mezcla de temas que van desde la ingeniería social hasta la ciberseguridad, tan de moda últimamente, pasando por la evolución de la evolución de mejores prácticas y el gobierno electrónico. Espero sean de interés para todos ustedes. En lo que respecta a nuestros colaboradores, con mucho gusto informo a nuestros amables lectores que seguimos avanzando en la construcción de una visión hispanoamericana de la seguridad de la información. Al día de hoy podemos presumir que tenemos colaboradores de Argentina, Colombia, Ecuador, España, Venezuela y Uruguay Muchas gracias a nuestros invaluables colaboradores que nos honran con su participación! Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4

5

6 opinión Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein En la actualidad podemos vislumbrar un paralelismo entre el mito de Aquiles - a quien su madre Tetis sumergió en las aguas de la laguna Estigia para hacerlo inmortal, dejando fuera el talón que se mantuvo vulnerable -, con la vulnerabilidad que genera el ser humano en el manejo de la información que gestiona. Reflexionaremos en este artículo acerca del papel de las personas en la seguridad de la información y sobre la causa por la que se han transformado en el talón de Aquiles de la seguridad. Las estadísticas nos muestran el incremento de incidentes originados por el factor humano. Los ciberdelincuentes han encontrado en las personas un elemento muy vulnerable y no cesan de generar nuevas estrategias de ataque, en gran medida con éxito. La seguridad de la información corre detrás de las brechas que se abren día a día, ya que los cambios en las telecomunicaciones, Internet, redes sociales, cómputo en la nube, etcétera, han modificado el contexto del manejo de información con una velocidad y dinámica que requiere que los usuarios tomen conciencia de la importancia de su rol. Para ello, deben salir del lugar de víctimas y adueñarse de la problemática de la seguridad de la información como propia. Ya no es una cuestión que atañe solo al área de sistemas o de seguridad informática, es un tema que atraviesa transversalmente a toda organización y por ende a todas las personas que la conforman. Para dimensionar el problema, veamos la tendencia y algunos números de estudios realizados desde 2012 que nos permitirán observar la evolución de la problemática: De acuerdo al estudio realizado por Ponemon Institute - The Human Factor in Data Protection (2012), 78% de las organizaciones han sufrido incidentes de seguridad a causa de empleados negligentes o maliciosos. El informe fue realizado sobre 709 encuestados en EE.UU. en el área de TI que tiene responsabilidad sobre la protección de la información. Empleados negligentes o maliciosos Has your organization ever experienced a data breach as a result of negligent or malicious employees or other insiders? Yes No Unsure 6

7 El Verizon Data Breach Investigations Report (DBIR) de 2013 muestra que los ciberdelincuentes han tomado nota de la vulnerabilidad del factor humano y hoy los ataques no tienen como objetivo la tecnología, sino los empleados de las empresas. Los ataques de ingeniería social y de phishing diseñados para robar credenciales, son las técnicas más usadas para acceder a los sistemas que contienen información sensitiva. El estudio analiza 621 brechas de seguridad sobre la información y cientos de incidentes, concluyendo que se usaron credenciales robadas en 4 de cada 5 incidentes. La estrategia de los atacantes no es crear nuevas cuentas, sino utilizar las existentes, quebrando las claves y escondiéndose dentro del tráfico regular de la red, donde es cada vez más difícil detectarlos. El porqué el ser humano se ha transformado en el principal factor de vulnerabilidad no depende de una sola causa. Veamos algunos de los múltiples orígenes que se conjugan para que esto ocurra: 1. La percepción del valor de la información. 2. Los mitos de seguridad. 3. El contexto. 4. La conciencia. 5. La sensibilización y motivación. 6. Las actitudes y comportamientos. En esta entrega analizaremos el primero de los ítems que implica la distorsión que percibe el ser humano sobre el valor de la información que gestiona. La percepción del valor de la Información Es evidente que las organizaciones de todo tipo tienen claro que no pueden operar sin información disponible, exacta, íntegra, actualizada, confidencial y confiable. Pero las organizaciones están conformadas por personas, que, a pesar de necesitar la información para su operación cotidiana, y de acuerdo a las estadísticas, no se comportan utilizando las mejores prácticas de seguridad. El ser humano no toma conciencia de las brechas de seguridad que habilita. Comenzando por la dirección y abarcando todos los niveles jerárquicos, evaluaremos cuáles son las causas que alteran el valor de la información. Visión comercial Revisaremos primero la percepción del negocio. Para la gran mayoría de las organizaciones, la concepción histórica trata a la información como una herramienta que soporta la operación: es un medio y no un fin en sí mismo. El valor económico está asociado a los productos y servicios comercializados. Para los ciberdelincuentes, la información es el producto final a comercializar. Así como en las empresas los empleados trabajan en pos de generar ventas del objeto comercial que ofrece la organización, aquellos dedican su esfuerzo laboral a obtener información en forma fraudulenta, en pos de conseguir réditos económicos. No hemos incorporado el valor que tiene para un tercero la información que gestionamos. Visión de valoración Pasemos ahora a la valoración. En nuestra sociedad fácilmente podemos darle valor a los objetos tangibles, por ejemplo nuestra cartera, la tarjeta de crédito o nuestra documentación, sobre los cuales fijamos especial atención para asegurarnos de que no se pierdan o queden expuestos. Julio - Septiembre

8 Pero, qué valor le damos a nuestra información personal? La percepción del valor es diferente frente a un ente inmaterial. No se distingue el peligro de pérdida. Mientras los documentos tangibles importantes los guardamos en un lugar seguro, no detectamos que los ponemos en riesgo al ingresar información de los mismos en un sitio Web, en un correo electrónico o través de una red social, sin tomar los suficientes resguardos para su protección. Firmaríamos un cheque en blanco? Seguramente la respuesta es un NO rotundo. Pero al momento de hacernos la misma pregunta sobre si evaluamos la información que compartimos o exponemos, damos la misma respuesta? Se desprende de este análisis que frente a la intangibilidad de la información se dificulta la percepción de riesgo. Visión de gestión En la actualidad las organizaciones sostienen su gestión en la información que brinda TI, que pasa a ser un área de soporte para el proceso productivo de la empresa. El éxito depende del correcto funcionamiento de los elementos que sostienen la infraestructura. Las áreas que no están vinculadas con la tecnología no terminan de comprender la complejidad que subyace para proveer diariamente información con los atributos de confidencialidad, disponibilidad e integridad. Consideran como natural el correcto funcionamiento del correo, sistemas, aplicaciones e infraestructura, sin percibir el valor presente tras las tareas de soporte. Los integrantes de las instituciones encuentran dificultad en valorar la complejidad asociada a los elementos que se integran para sostener el manejo de la información. Visión del peligro El miedo Cómo funciona nuestra mente frente al miedo? A qué le tememos y cómo se genera el miedo? Trataremos de comprender cómo se activa esta sensación y cómo nos ayudaría en relación a la seguridad de la información. En primer lugar, pensemos en el miedo como una emoción de protección, basada en la intuición, que nos permite evitar situaciones de peligro, nos alerta e inhibe de realizar acciones que ponen en juego nuestra supervivencia y es un elemento esencial al momento de tomar decisiones. Pero el móvil que despierta naturalmente el miedo es la amenaza física. Por ejemplo, no nos acercamos al borde de un precipicio porque se activa el miedo de caernos; preservamos nuestra vida. O tenemos alarmas y puertas blindadas por miedo a perder nuestros bienes o que nos ataquen. Qué pasa con la información? Es difícil que la pérdida de datos sensibles genere temor. La única manera de originar esa sensación es tener conciencia del valor económico o el perjuicio personal que nos puede causar un incidente de seguridad; esta sería la forma de activar el miedo. Las dificultad para internalizar las consecuencias negativas implicadas en un incidente sobre nuestra información impiden generar la sensación de temor. El riesgo A diferencia del miedo, que es un mecanismo puramente emocional, la percepción del riesgo funciona en forma racional, basada generalmente en la experiencia. El ser humano mide el riesgo si puede elaborar fríamente una situación peligrosa, sin sucumbir a la emoción. La ingeniería social se basa en la manipulación inteligente de las emociones y toma ventaja sobre las reacciones propias de la naturaleza humana. Racionalizar el riesgo implica hacer uso de las probabilidades de ocurrencia de incidentes al tomar una decisión, es una gimnasia mental que propicia un cambio en la apreciación del valor de la información que se gestiona. En general nuestra mente tiende a ignorar aquellos riesgos que le son difíciles de comprender o percibir. Para mitigar el riesgo es necesario conocer y elaborar internamente las posibles amenazas involucradas en el entorno. Así pues, concluimos el presente artículo sosteniendo que "para la gestión segura de la información es necesario promover un cambio cultural que genere conciencia sobre la percepción del real valor de la información". 8

9

10 c o n e x i o n e s Tips Fabián Descalzo Director certificado en Seguridad de la Información (Universidad CAECE), ITIL v y auditor ISO Consejos básicos sobre clasificación de información Introducción Todos usamos innumerables tipos de información en nuestras actividades diarias, que almacenamos básicamente en dos formatos principales: 1.Físico, también conocido como formato hardcopy. Por ejemplo: documentos en papel, incluyendo faxes y copias fotostáticas. 2.Electrónico ( softcopy ). Por ejemplo: documentos electrónicos en procesador de textos, hojas de cálculo, etcétera. De este modo, la información hardcopy puede ser almacenada en archivos físicos, carpetas o gabinetes, mientras que la información softcopy puede ser almacenada en medios electrónicos, incluyendo CD ROM, cintas de audio, memorias USB, discos duros, asistentes digitales personales y otros dispositivos similares. El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDA (asistente digital personal, personal digital assistant) son ejemplos de ello. Es importante destacar que, en el caso de la información electrónica, todos los controles que comentaré en próximas entregas, aplican de la misma forma cuando empleados o contratistas de una organización hacen uso de la tecnología inalámbrica. Por otro lado, la información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión; oralmente, por teléfono o en persona, por escrito vía fax, correo postal o correo electrónico. Cuando comuniquen información, siempre consideren el principio fundamental que indica que la información debe ser compartida únicamente con quienes tengan una necesidad legítima de conocerla. No debe compartirse con quienes no lo necesiten (de igual manera que nuestra vida cotidiana). Si tiene duda al recibir información particular de personas dentro o fuera de la organización, siempre pregúntese Realmente necesito conocer esta información? Y antes de compartir información con los demás, plantéense si esta persona necesita conocerla para llevar a cabo sus actividades en la empresa. En caso necesario hagan la misma pregunta a la persona que les haya solicitado compartir la información. Esta primera publicación es una introducción sobre el concepto básico de "conocer y dar a conocer", para así abrir una serie de consejos sobre mi forma de ver la información, su entorno de procesamiento, riesgos asociados, y cómo clasificarla, para que con base en esta óptica establezcamos los controles adecuados para cumplir con alguna regulación, norma o estándar implementado en la organización. 10

11 Proteja el activo más importante de su empresa: SU INFORMACIÓN SPA SEGURIDAD PERIMETRAL ADMINISTRADA Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información. Servicio que le ofrece: Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA. Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad). Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido y VPN. Para mayor información, por favor contacte a su ejecutivo de cuenta o llame al SPA (772)

12 c o n e x i o n e s Conexiones Franco Rigante CISA, CRISC y Gestión de riesgos de TI - En busca de la optimización Con la publicación de la nueva versión 5 de COBIT, la ISACA se focalizó en la "maximización de la creación de valor a partir de TI para el negocio" mediante el cumplimiento simultáneo de tres objetivos de gobierno: Maximización de beneficios. Optimización de recursos. Optimización de riesgos. La introducción del concepto de optimización de riesgos como objetivo de gobierno, muestra una clara evolución frente al enfoque tradicional de mitigación de riesgos, más basada en la visión clásica de la auditoría. Antes: MITIGAR! Ahora: OPTIMIZAR! La justificación de este cambio de visión se puede encontrar en que hoy las organizaciones se desempeñan en entornos cada vez más dinámicos y competitivos, expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del modelo de negocio, donde la búsqueda constante de la maximización sustentable de beneficios exige que se eviten los costos innecesarios de aquellos controles mitigantes que alejan a la organización del nivel óptimo aceptable de exposición al riesgo establecido por la dirección. Concretamente, COBIT 5 define la optimización de riesgos como "garantizar que los riesgos para el negocio relacionados con TI no exceden el nivel aceptable establecido por la dirección y que el impacto de los riesgos inherentes a TI que podrían afectar al negocio son gestionados y que la probabilidad de potenciales incumplimientos a leyes es minimizada". En ese sentido, en este artículo veremos ejemplos de cómo aplicar los lineamientos de gestión que surgen del reciente documento COBIT 5 for Risk, de próxima aparición en castellano, para la optimización de los riesgos de TI mediante la aplicación de los siete facilitadores (enablers) incluidos en COBIT 5. 12

13 Según señala la guía COBIT 5 for Risk, se deben aplicar en forma coordinada los siete facilitadores empresariales para gestionar los distintos escenarios de riesgo tecnológico al nivel óptimo establecido por la dirección. COBIT 5 - Facilitadores empresariales 2. Procesos 3. Estructura organizacional 4. Cultura, ética y comportamientos 1. Principios, políticas y frameworks 5. Información 6. Servicios, infraestructura y aplicaciones 7. Personas, habilidades y competencias Recursos En términos del riesgo tecnológico existe consenso generalizado en definirlo como la posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la organización, al comprometer o degradar las dimensiones críticas de la información (Ej. confidencialidad, integridad, disponibilidad). Así pues, COBIT 5 for Risk define el riesgo de TI como un riesgo para el negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una empresa. Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio creando pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas oportunidades. Con ese objetivo, COBIT 5 for Risk incluye 20 categorías de escenarios de riesgo con potenciales respuestas basadas en los facilitadores de COBIT 5 como acciones de optimización. Algunas de las categorías mencionadas son las siguientes: 1. Establecimiento y mantenimiento de portafolio. 2. Gestión del ciclo de vida de proyectos y programas. 3. Toma de decisiones de inversión en TI. 4. Conocimientos y habilidades de TI. 5. Operaciones del staff (errores humanos/maliciosos). 6. Información (violación de datos: daño, fuga y acceso). 7. Arquitectura (visión y diseño). 8. Infraestructura (hardware, sistemas operativos y tecnología de control). 9. Software. 10. Propiedad del negocio de TI inefectiva. Si tomamos un ejemplo de la 2ª categoría encontraremos los siguientes escenarios de riesgo: Ref. Categorías de escenario de riesgo Tipo de riesgo Beneficio de TI / generación de valor Ejecución del proyecto / Programa de TI Operaciones de TI y entrega de servicio Escenarios negativos Escenario de ejemplo Escenarios positivos 0201 P P P Gestión del ciclo de vida de proyectos / programas (iniciación, economía, ejecución, calidad y terminación) P P P P P P Proyectos que faltan (debido al costo, cambio de prioridades del negocio, corrupción del alcance) no son terminados. El proyecto de TI excede el presupuesto. Se presenta una demora en la ejecución del proyecto por parte de un departamento interno de desarrollo. Proyectos con fallas o irrelevantes son detenidos a tiempo. El proyecto de TI se completa dentro de los presupuestos acordados. La ejecución del proyecto se realiza a tiempo. Julio - Septiembre

14 c o n e x i o n e s Para optimizar dichos escenarios podemos aplicar los siete facilitadores de COBIT 5 de la siguiente forma: 1. Políticas, principios y marcos. a. Política de gestión de proyectos. b. Implementación de PMBOK 5 para la gestión de proyectos. 2. Procesos. a. Proceso BAI01 de COBIT 5: "Gestionar programas y proyectos" 3. Estructura organizacional. a. Implementar formalmente una Oficina de Gestión de Proyectos (PMO). 4. Cultura, ética y comportamientos. a. Fomentar la comunicación efectiva. b. Incentivar la transparencia sobre desvíos. 5. Información. a. Reportes de gestión del valor ganado (EVM). 6. Servicios, infraestructura y aplicaciones. a. Servicio de consultoría sobre administración de proyectos. b. Software de gestión de proyectos. c. Bases de datos de conocimiento. 7. Personas, habilidades y competencias. a. Rol del administrador de proyectos. b. Certificación PMP (Project Management Professional). c. Habilidades interpersonales, soft skills, etcétera. Finalmente, para lograr el objetivo de la optimización de riesgos, es fundamental tener presente los siguientes conceptos clave: Apetito: la cantidad de riesgo, en un amplio nivel, que la organización está dispuesta a aceptar para alcanzar su misión. Tolerancia: el nivel de variación aceptable que la dirección está dispuesta a permitir para cualquier riesgo en particular con el propósito de alcanzar sus objetivos. Capacidad: la cantidad objetiva de pérdida que una empresa puede tolerar sin poner en riesgo su sustentabilidad y su propia existencia. Difiere del concepto de "apetito", el cual refleja una decisión de la dirección acerca de hasta cuánto nivel de riesgo es deseable aceptar. C M Y CM MY CY CMY K Riesgo Actual Apetito por el Riesgo Capacidad de Riesgo Ejemplo del nivel de riesgo actual en dos organizaciones Como se aprecia claramente en la imagen, el nivel de riesgo actual (línea azul) en la primera organización es temporalmente superior al nivel de apetito establecido (línea roja) pero nunca supera la capacidad (línea verde) que puede tolerar, mientras que en la segunda organización una incorrecta definición del apetito por encima de la capacidad tolerable, puede significar un nivel de riesgo actual que comprometa seriamente la sustentabilidad. 14

15 Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F Informes: Tel: Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

16 opinión Ingeniería social El hackeo al ser humano Un enfoque holístico Cristina Ledesma (CISA, CISM, CRISC y Auditor Sr. ISO 27001), Ana Ledesma y Maricarmen Pascale Introducción Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera. Albert Einstein Antecedentes La primera vez, hace muchos años, cuando escuché el término ingeniería social, en la acepción que lo usamos en seguridad de la información, me pareció un poco contradictorio debido a mi concepción de la ingeniería como algo sistémico, estructurado y procedural, en contra de lo social que es tan dinámico, variado y en muchos casos no estructurado si consideramos lo diverso y multifacético de las personas, dada su educación, su formación, el contexto en el que viven y las experiencias que desarrollan o las condiciones de vida que enfrentan, disfrutan o padecen. Luego de una investigación somera de los antecedentes, me di cuenta de lo limitado de mi visión y de mi conocimiento acerca de los diversos ámbitos en que este término se ha aplicado en la historia, mucho antes de que la seguridad de la información lo adoptara. Ingeniería social es un término empleado en ciencias políticas en un doble sentido, uno refiere a esfuerzos para influir actitudes, relaciones o acciones sociales en la población de un país o región, y el otro una manera de implementar programas de modificaciones sociales. A pesar de las connotaciones negativas que el término tiene hoy, hay que notar que todo esfuerzo de una organización social o civil con el objetivo de cambiar el comportamiento puede calificarse como ingeniería social. Si pensamos en el ámbito de la política veremos que el término es definitivamente aplicable; en EE.UU. los políticos conservadores han acusado a sus oponentes de realizar ingeniería social debido a su promoción de la corrección política, dado que esta intenta definir los lenguajes aceptables o inaceptables. Ambos, el conservadurismo y la derecha, han sido acusados de ingeniería social, en tanto que promocionan conductas sociales de orden derivadas de consideraciones morales o religiosas. Origen y evolución del término El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social), pero recibió su mayor impulso en EE.UU. a través del libro Social Engineering del reformista social W.H. Tolman, conocido en aquella época por ayudar a los pobres. La idea central es que no había en las empresas una función social (algo así como los departamentos de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de

17 Se sugiere que el origen del término está en el concepto filantrópico de los pensadores liberales de la segunda mitad del siglo XIX como los intermediarios racionales entre el capital y el trabajo. Para las décadas 30 y 40 del siglo XX el término había caído en desuso 2. A partir de esta especialización, se generaliza el concepto de que la ingeniería social puede ser una técnica o método para lograr una variedad de resultados, es decir, deja de ser un instrumento para resolver problemas sociales y se transforma en uno para manipular a la población. Es evidente en este punto que la propaganda puede ser considerada ingeniería social, así como las campañas políticas y la religión, dado que buscan lograr un comportamiento específico en las masas. En 1945 Karl Popper reintroduce el término con la acepción de implementación de métodos críticos y racionales de la ingeniería y ciencia a los problemas sociales 3. Presentación del problema ingeniería social y seguridad marco legal Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Uno de los fines más comunes para lo que se usa la ingeniería social es para el robo de dinero, ya sea a través de la página de un banco, de un cajero automático (ATM) o por teléfono, dependiendo de las funcionalidades de estos servicios en los bancos o empresas financieras. El delito que se constituye en este caso es robo de identidad y no en todos los países existe legislación específica o está legislado como delito informático. Esta circunstancia es complicada, pero a mi entender es más complicado y angustiante para la víctima poder demostrar que efectivamente sufrió un robo de identidad y que todo el dinero que le falta en su cuenta no lo tomó, o que los varios préstamos que tramitaron en su nombre no los realizó. Este tipo de crímenes han sido posibles dada la característica de anonimato que brinda Internet y porque, en términos generales y a mi entender, las páginas Web que las entidades financieras ponen a disposición de las personas físicas no brindan las suficientes medidas de seguridad, como podrían ser las técnicas de autenticación de varios factores (MFA multi factor authentication), así como medidas de concientización explícitas y presenciales, más allá de los simples tips de seguridad que encontramos en las páginas Web a las cuales por supuesto el usuario promedio no ingresa. Desde el punto de vista del banco o institución financiera es también todo un desafío las investigaciones y diligencias que deben seguir para llegar a concluir que efectivamente la persona fue víctima de un delito y que no está mintiendo, considerando que en estas situaciones hay aspectos psicológicos a analizar como el comportamiento financiero de la persona, el perfil de relacionamiento o vinculación con el banco además de los temas de correlaciones en el comportamiento, es decir, de cuántas extracciones se trata, qué frecuencia tienen, de qué monto, dónde estaba la persona cuando las extracciones se produjeron, si hizo gastos importantes al mismo tiempo que las extracciones y que no coinciden con su perfil, etcétera. En algunas situaciones los clientes que fueron víctimas pueden llegar a sentir que son culpables hasta que demuestren lo contrario, aunque en términos generales los bancos se hacen cargo y devuelven el dinero a los clientes luego de las debidas investigaciones. Otro aspecto también importante y que agrega complejidad es si las autoridades policiales de los diferentes países están capacitadas en conocimientos específicos (computación forense y otros) como para gestionar los delitos informáticos. Por qué el promedio de las personas puede caer ante estos ataques, es una explicación que dejaremos para la sección psicológica de este artículo. El proceso es gradual y consta de varios pasos con una estrategia bien definida; lo siguiente a la obtención de información es conocer el perfil de la víctima y definir cuál es el medio más eficiente para apoderarse de sus datos sensitivos, para hacerse pasar por ella. El aspecto psicológico Siguiendo con el tema, investigamos qué aportes puede hacer la psicología. Son varios los perfiles que encuadran bien con el de la víctima, pero para no extendernos nos referiremos al más común y el que más aparece: el complejo de superhéroe Quién al ver que alguien pide ayuda no ha estado tentado a ayudar? Estadísticamente sería 70% de la población mundial, porque el ser humano originariamente nace bueno, el 30% restante son los sociópatas o psicopáticos. (EE.UU. - DSM4 Manual diagnóstico y estadísticas de trastornos mentales). Julio - Septiembre

18 Qué se siente cuando se ayuda?, primero el agradecimiento de la persona, con frases como Dios lo bendiga, me salvó el día, no hay gente como usted en estos tiempos, etcétera. Esto actúa como un fuerte reforzador para que la conducta de ayudar se repita Por qué un bombero entra a un gran incendio a salvar a alguien? Por el sueldo? No, porque al salvarlo además del agradecimiento de la víctima y la familia recibe aplausos y reconocimiento social, humano y de sus superiores. El que más lo gratifica es el social y humano y lo refuerzan los titulares de la prensa ( Bombero héroe salva anciana! ). Desde niños aprendemos que ayudar es bueno, y lo es a veces. Cuando estamos frente a delitos informáticos, es diferente. El victimario sabe que si pide ayuda y hay tres personas, por lo menos dos se ofrecerán. Y dicho victimario sí es un sociópata. Sus características son parecer inofensivo, indefenso, preocupado, deprimido. En realidad es frío, calculador, mitómano y siempre sabe lo que hace: sabe diferenciar el bien del mal, pero no le importa (España-CTIO, Clasificación estadística internacional de enfermedades y problemas de salud). Si de alguna manera lo detienen, cosa improbable ya que siempre tiene un plan b, c, d, etcétera, es capaz de engañar al mejor juez o psiquiatra y psicólogo, ya que es un gran simulador. No le importa el daño que inflige o si hace sentir mal al otro, es más, se siente bien, y si son internados, lamentablemente no suelen ser curables. No existe aún fármaco para esta disfunción y no es considerado por DSMV (Manual diagnóstico y estadístico de los trastornos mentales) como una patología. Así que empecemos a enseñar a nuestros niños que ayudar es bueno, pero no en una situación en la que haya que mostrar documentación o información sensible. Y ya que el sociópata puede ser muy violento si no logra su fin, es recomendable analizar todo pedido de ayuda cuando viene de un extraño muy amigable. Lamentablemente nuestra sociedad ha evolucionado mucho en algunos aspectos, pero hay 30% de seres humanos que, creo, INVOLUCIONAN, ya que se despiertan y se duermen pensando cómo hacer el mal, para su propio beneficio 4. Para no ser tan pesimistas, nos quedamos con 70% de la población que sí es buena pero deben saber que LOS HÉROES NO EXISTEN. El aspecto legal Diversos estudios internacionales han demostrado que el robo de identidad se ha convertido en el delito del milenio y es una de las actividades ilícitas de mayor crecimiento en los últimos años. En lo que respecta a la regulación jurídica en materia de robo de identidad, distintos organismos internacionales han tomado la iniciativa de actuar sobre este tema. A continuación presentamos una breve reseña de documentos que fueron elaborados por diferentes organismos: Organización para la Cooperación y el Desarrollo Económicos (OCDE). En el año 1999 aprobó un conjunto de directrices tendentes a proteger el comercio electrónico, con medidas para la elaboración de estrategias de prevención del hurto de identidad. En 2008 publicó un estudio sobre el hurto de identidad en línea, el scoping paper on online identity theft, en el cual se analizaron las diferentes estafas relacionadas con el hurto de identidad a través de Internet, las cuestiones relacionadas con las víctimas y los ámbitos de aplicación de la ley. En el mismo 2008 publicó el documento Policy Guidance on Online Identity Theft, que establecía una perspectiva general de las diferentes estrategias para responder al hurto de identidad relacionado con Internet. Unión Europea. En mayo de 2007 indicó que la cooperación policial y judicial en el seno de la Unión Europea se vería facilitada si el hurto de identidad se tipificara como delito en todos los estados miembros. En julio de 2007 inició un estudio comparativo sobre las definiciones de la expresión hurto de identidad utilizadas en los estados miembros de la Unión Europea y sus consecuencias penales. Naciones Unidas. La convención de las Naciones Unidas contra la delincuencia organizada trasnacional constituye la base jurídica aplicable en materia de cooperación en los casos de fraude trasnacional vinculados en materia de robo de identidad. El Consejo Económico y Social de las Naciones Unidas, por Resolución 2004/26 estableció directrices sobre la variedad de delitos que suponen la falsificación de identidad. En el informe de 2007 de la oficina de Naciones Unidas contra la droga y el delito se dedicó un apartado al análisis del robo de identidad. Además en su informe de 2010 The globalization of crime, a transnational organized crime threat assessment, un apartado del mismo se vincula al robo de identidad. 18

19 En el derecho comparado entre los países que han tipificado el delito de robo de identidad, se encuentran Canadá, Estados Unidos y Reino Unido. La ley federal de Canadá define el robo de identidad como la obtención y posesión de información de la identidad de una persona con la intención de engañarla o realizar actos deshonestos o fraudulentos en su nombre. A nivel federal, Estados Unidos define el robo de identidad como el que a sabiendas, posea, transfiera o use, sin autoridad legal, un medio de identificación de otra persona con la intención de cometer, ayudar o instigar, cualquier tipo de actividad ilegal. En el Reino Unido, el robo de identidad se encuentra definido por el Home Office Identity Fraud Steering Committee, como el acto por el cual alguien obtiene información suficiente acerca de la identidad de otro para facilitar el fraude de identidad, con independencia de que la víctima esté viva o muerta. Si bien en Uruguay no se encuentra tipificado en el código penal el delito de robo de identidad, ante un hecho de ingeniería social, en el cual se engaña y manipula psicológicamente a la víctima para que revele datos personales que no brindaría en circunstancias normales, se debería aplicar el artículo 347 que tipifica la estafa: el que con estratagemas o engaños artificiosos, indujere en error a alguna persona, para procurarse a sí mismo o a un tercero, un provecho injusto, será castigado con seis meses de prisión a cuatro años de penitenciaría. Conclusiones Desde el punto de vista psicológico ya fue expresado anteriormente que no existe una cura para esta patología, por lo que de nuevo hay que educar y prevenir a la posible víctima. Desde el punto de vista legal es clave una mejor legislación del delito informático y en especial del robo de identidad, fundamentalmente en los países latinoamericanos. También debe mejorarse la cooperación internacional para lograr acuerdos que permitan intercambiar conocimientos, prácticas y leyes que, una vez validada su efectividad, puedan ser tomadas como base por otros países que aún no tengan la legislación. Esto es vital, sobre todo teniendo en cuenta que estos delitos cruzan las fronteras ya que en muchos casos se valen de Internet. Desde el punto de vista técnico lo que podemos decir de la ingeniería social es que es cada vez más complejo ya que no se utiliza sola sino en combinación con phishing y spoofing de sitios Web, spam y malware en general, lo que hace más difícil aún para un usuario medio detectar ciertos comportamientos que lo prevengan de caer en la trampa. Lamentablemente también se usa en actos tan terribles como la trata de personas, la pornografía infantil y el secuestro, lo que nos lleva a pensar una vez más que en ambas acepciones (la positiva y la negativa), algo que puede generar resultados tan extremadamente opuestos sólo puede ser mitigado con educación y concientización en principios, valores y seguridad, con fuertes castigos una vez que los delitos se constatan. Finalmente, hay que indicar que lo anterior es una responsabilidad de todos, no sólo de los bancos y empresas, sino también de las autoridades, si es que realmente queremos avanzar hacia una sociedad de la información donde los servicios ciudadanos sean digitales, así como de los profesionales en seguridad e instituciones como ISACA que tienen una misión de compromiso con la sociedad. Referencias Bill S-4: An Act to amend the Criminal Code (identity theft and related misconduct), en 18 U.S. Code Fraud and Related Activity in Connection with Identification Documents, Authentication Features, and Information, en ISACA: Control Journal, ediciones 2012 y DSMV (Manual diagnóstico y estadístico de los trastornos mentales). CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al Publicación Semanal sobre psicología 1 Wikipedia, definición de ingeniería social. 2 Wikipedia, definición de ingeniería social. 3 Wikipedia, definición de ingeniería social. 4 CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al Publicación semanal sobre psicología. Julio - Septiembre

20 c o n e x i o n e s Desde la trinchera Marcos Polanco Velasco CISSP, CISM y CISA Estableciendo un lenguaje común en ciberseguridad Actualmente se habla mucho sobre ciberseguridad y los nuevos riesgos a los que estamos expuestos pero, entendemos todos lo mismo sobre ciberseguridad?, sabemos cuáles son esos nuevos riesgos?, tenemos claridad en cómo enfrentar los nuevos tipos de ataques? Dada la importancia de estos temas, a partir de este número empezaremos a dedicar un espacio para tratar diversos temas relacionados con ciberseguridad y ciberinteligencia. En esta ocasión iniciaremos con una serie de definiciones elementales, pretendiendo establecer un lenguaje común que nos permita crear un marco de referencia y contexto general para futuros artículos. Las definiciones están basadas en diversas fuentes 1 y en algunos casos llevan un poco de mi cosecha. Antes de entrar en materia, quisiera comentar algunas premisas que hay que tener presentes como parte de este contexto común y que hacen que los conceptos a describir más adelante sean relevantes: Los atacantes han cambiado, ahora son grupos organizados con las capacidades y los recursos para concretar sus metas además de contar con una motivación y una clara definición del objetivo que persiguen. Las estrategias de ataque son más complejas y de largo plazo, utilizan múltiples pasos para llegar a su objetivo, combinan diversas técnicas de explotación (exploits) y de evasión, emplean malware avanzado así como diversos mecanismos para pasar desapercibidos. Los ataques ahora son dirigidos, es decir, se planean, articulan y ejecutan pensando en el perfil particular de la víctima, de tal forma que sea mucho más factible el éxito. Lo anterior, aunado al valor de la información que los atacantes buscan extraer, provoca que su impacto sea muy alto. En otras palabras, la probabilidad de ocurrencia y el impacto de estos riegos se han incrementado significativamente. Por último, si bien puede sonar pesimista o un tanto catastrófico, en este momento la mayoría de los expertos coinciden en que debemos pensar que es casi un hecho que seremos atacados y que la probabilidad de éxito de dichos ataques es alta, por lo que se vuelve prioritario trabajar en fortalecer, entre otras, la capacidad de detectar que estamos siendo víctimas de un ataque avanzado; de analizar su estructura y comportamiento para poder contenerlo y remediarlo; así como de analizar los efectos o el impacto que se haya tenido. A continuación menciono algunas de las definiciones que considero básicas para entender el contexto y establecer ese lenguaje común: APT (advanced persistent threat, ataque persistente avanzado). Ciberataque en contra de una entidad específica realizado por un ciberactor para robar, por un tiempo prolongado, información valiosa. Los atacantes buscan pasar inadvertidos y utilizan múltiples métodos para vulnerar a la organización objetivo, estos normalmente son difíciles de detectar y remover sobre todo para las tecnologías de seguridad tradicionales. Una vez que el blanco es vulnerado se crean puertas traseras que permiten al atacante tener acceso continuo (esto se conoce como comando y control) sobre los sistemas comprometidos. El atacante busca expandir su alcance tomando control de más equipos y así afianzar su permanencia (lograr la persistencia), para mantener el acceso por largos periodos de tiempo con el fin de recolectar más información sobre el blanco, realizar más ataques (movimientos laterales) hasta que se logre el acceso y extraer la información objetivo. 20

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

CyberSOC Seguridad 24/7

CyberSOC Seguridad 24/7 CyberSOC Seguridad 24/7 Una nueva realidad Escenario actual Las organizaciones se enfrentan hoy en día a un amplio catálogo de amenazas de seguridad que pueden materializarse tanto dentro como fuera del

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Movilidad del usuario: seguridad en la era de la conectividad

Movilidad del usuario: seguridad en la era de la conectividad Movilidad del usuario: seguridad en la era de la conectividad Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: viernes 27 de agosto de 2010 ESET Latinoamérica, Av. Del

Más detalles

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Junio, 2013 Por qué estamos aquí? Entender los factores que están impulsando a cambiar la Auditoría

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad.

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El presente estudio tiene por objeto analizar qué se entiende

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS A 3-Step Plan for Mobile Security Facilitando respuestas rápidas a los incidentes Resumen ejecutivo A medida que

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer En los últimos años, el interés por la Computación en la Nube (Cloud Computing), tanto para uso personal como para negocios,

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

Nuestra capacidad de respuesta ante estas amenazas todavía presenta debilidades.

Nuestra capacidad de respuesta ante estas amenazas todavía presenta debilidades. PALABRAS DE ADAM BLACKWELL, SECRETARIO DE SEGURIDAD MULTIDIMENSIONAL DE LA OEA, EN LA INAUGURACIÓN DEL TALLER REGIONAL SOBRE CIBERSEGURIDAD Y CIBERDELITO En nombre de la Organización de los Estados Americanos

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

ESET Security Report. México. protegemos su mundo digital

ESET Security Report. México. protegemos su mundo digital ESET Security Report México protegemos su mundo digital El presente informe es un análisis del estado de la seguridad de la información en México. El mismo fue realizado esencialmente a partir del resultado

Más detalles

Seguridad Convergente

Seguridad Convergente Seguridad Convergente Prevención y atención a incidentes desde la perspectiva de las IES REUNIÓN GENERAL DE REDES Consejo Regional Sur-Sureste de la ANUIES 15 de febrero de 2012 Cancún, Quintana Roo, México

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

Políticas de Seguridad de la Información en las organizaciones de los Poderes Judiciales

Políticas de Seguridad de la Información en las organizaciones de los Poderes Judiciales XVIII CONGRESO NACIONAL DE CAPACITACIÓN JUDICIAL Políticas de Seguridad de la Información en las organizaciones de los Poderes Judiciales Marcia Maggiore Esp. en Seguridad Informática, CISA, CRISC, Cert.

Más detalles

agility made possible

agility made possible RESUMEN DE LA SOLUCIÓN Administración de activos de software con CA IT Asset Manager cómo puedo administrar mejor mis activos de software y mitigar el riesgo de las auditorías de cumplimiento? agility

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

Nuestra Organización

Nuestra Organización 1 Nuestra Organización «Especialistas en proveer Servicios y Soluciones Tech en marca blanca, aportando las soluciones tecnológicas más adecuadas a las necesidades de los proyectos de nuestros clientes»

Más detalles

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 Información de Producto EMSISOFT ANTI-MALWARE Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 www.emsisoft.com Estimado usuario, Hemos preparado esta información

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. * COMPROMETIDOS CON LA SEGURIDAD* *Comprometidos con tu vida digital, comprometidos con tu tranquilidad, comprometidos con tu negocio. [ 3 ]

Más detalles

De qué SecaaS estamos hablando al decir Cloud Security?

De qué SecaaS estamos hablando al decir Cloud Security? De qué SecaaS estamos hablando al decir Cloud Security? Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com.mx Modelos de Servicio Los tres modelos

Más detalles

Aplicaciones Potencialmente Indeseables (PUA)

Aplicaciones Potencialmente Indeseables (PUA) Aplicaciones Potencialmente Indeseables (PUA) Autor: André Goujon, Especialista de Awareness & Research Fecha: julio 2012 Retos de seguridad para las empresas a partir de BYOD 2 2 Retos de seguridad para

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

no exponga a su empresa, tome las precauciones necesarias

no exponga a su empresa, tome las precauciones necesarias TECnOLOGÍA Fausto Escobar Sánchez seguridad de las TI Panorama actual en las Pymes no exponga a su empresa, tome las precauciones necesarias para evitar un ataque informático que dejaría inutilizadas las

Más detalles

10 RAZONES PARA HACER OUTSOURCING DE LA COPIA DE SEGURIDAD REMOTA

10 RAZONES PARA HACER OUTSOURCING DE LA COPIA DE SEGURIDAD REMOTA 10 RAZONES PARA HACER OUTSOURCING DE LA COPIA DE SEGURIDAD REMOTA Las organizaciones dependen hoy en día de la disponibilidad de sus datos. El porcentaje de dependencia puede variar según el tipo de actividad.

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE Resumen Ejecutivo de Websense MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE WEBSENSE TRITON VERSIÓN 7.7 Introducción Recientemente anunciamos varias capacidades nuevas de protección contra el malware avanzado y el

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Una plataforma integral de detección de fraudes y autenticación RESUMEN Mide el riesgo de las actividades de inicio de sesión o las posteriores al inicio de sesión evaluando

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Del hacking a la delincuencia informática actual

Del hacking a la delincuencia informática actual Del hacking a la delincuencia informática actual Marta Villén Sotomayor Directora de Seguridad Lógica y Prevención del Fraude en la Red 1. Evolución del Hacking 2. Delincuencia informática actual 2.1.

Más detalles

Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados.

Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados. Paraguay: el Plan Estratégico Nacional y sus posibles impactos sobre los Sujetos Obligados. El Gobierno de Paraguay, en un importante paso hacia la adopción de estándares mundiales, acaba de aprobar el

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible.

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible. Informáticas I 2.4 Protegiendo un equipo cuando en la Web Existen un muchas vulnerabilidades cuando navegando por la web y probablemente has escuchado a todos pero qué significan realmente y cómo funcionan?

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

LA EXPECTATIVA DE RECUPERACION DE ACTIVOS EN CASOS DE PHISHING

LA EXPECTATIVA DE RECUPERACION DE ACTIVOS EN CASOS DE PHISHING LA EXPECTATIVA DE RECUPERACION DE ACTIVOS EN CASOS DE PHISHING Sobre el presentador. Licenciado en Derecho; Especialista en Fraudes Bancarios. Se desempeño como Instructor de la Asociación Bancaria Costarricense

Más detalles

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014 Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Herramientas para evitar ataques informáticos

Herramientas para evitar ataques informáticos Herramientas para evitar ataques informáticos Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica Jueves 30 de abril del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400,

Más detalles

Aviso Legal de Condiciones y términos de Uso de la página web de CM2..

Aviso Legal de Condiciones y términos de Uso de la página web de CM2.. Aviso Legal de Condiciones y términos de Uso de la página web de CM2.. El titular de los derechos de propiedad intelectual del web así como el responsable del tratamiento de los datos de identificación

Más detalles

RESUMEN DE LA SOLUCIÓN

RESUMEN DE LA SOLUCIÓN RESUMEN DE LA SOLUCIÓN Mejora de la planificación de la capacidad con Application Performance Management Cómo puedo garantizar una experiencia de usuario final excepcional para aplicaciones críticas para

Más detalles

Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia

Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia CAPITULO I ASPECTOS GENERALES Artículo 1. Definiciones:

Más detalles

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Descripción general de la solución Cisco Advanced Malware Protection Prevención y detección de violaciones, respuesta y corrección para el mundo real El malware avanzado de la actualidad es sigiloso, persistente

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Tips para no ser víctima de ataques informáticos Guillermo Saad L Hoeste

Tips para no ser víctima de ataques informáticos Guillermo Saad L Hoeste Tips para no ser víctima de ataques informáticos Guillermo Saad L Hoeste Ingeniero de Sistemas U. Andes. Más de 25 años de Experiencia Auditor Líder ISO 27001, Interno ISO 22301, ISO 20000 e ISO 9000 ITIL

Más detalles

Ciber-ataques en la Industria y sus Oportunidades

Ciber-ataques en la Industria y sus Oportunidades Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de

Más detalles

Glosario alfabético de términos tic

Glosario alfabético de términos tic Glosario alfabético ADSL: Línea de Suscripción Asimétrica Digital. Es utilizada para obtener conexión a Internet. Respecto a otras tecnologías, mejora el ancho de banda de la conexión analógica tradicional.

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense OWASP LatamTour Chile 2011 The OWASP Foundation http://www.owasp.org OWASP Chile Delitos Informáticos Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

Más detalles

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA Página: 1 de 12 INFORME TÉCNICO ADQUISICION DE SOFTWARE DE SOLUCIÓN ANTIVIRUS Página: 2 de 12 CONTENIDO I. NOMBRE DEL ÁREA 3 II. RESPONSABLE DE LA EVALUACIÓN 3 III. CARGO 3 IV. FECHA 3 V. JUSTIFICACIÓN

Más detalles

Monitorización de red como elemento esencial en el concepto de seguridad de TI

Monitorización de red como elemento esencial en el concepto de seguridad de TI Monitorización de red como elemento esencial en el concepto de seguridad de TI White Paper Autor: Daniel Zobel, Head of Software Development, Paessler AG Publicación: julio 2013 PÁGINA 1 DE 8 Contenido

Más detalles

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015 DOCUMENTO DE SEGURIDAD INFORMÁTICA 2015. Esta Política de Seguridad para sistemas informáticos está diseñada para proteger el CA UNED-Les Illes Balears, nuestros empleados, colaboradores y clientes de

Más detalles

McAfee Total Protection for Secure Business

McAfee Total Protection for Secure Business McAfee Total Protection for Secure Business Seguridad amplia en una suite fácil de administrar McAfee Total Protection for Secure Business Seguridad amplia en una suite fácil de administrar Todos los días,

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI - guía de la continuidad empresarial para pymes. Copyright Acronis, Inc.,

Más detalles

Aviso de Privacidad de Extend Solutions, S. A. De C. V.

Aviso de Privacidad de Extend Solutions, S. A. De C. V. Aviso de Privacidad de Extend Solutions, S. A. De C. V. Extend Solutions, S. A. de C. V., con domicilio en Paseo de la Reforma 107, Interior 102 en México, Distrito Federal, C. P. 06030 es el responsable

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria La

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria

Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria Ing. Giovanni Bautista Pichling Zolezzi gpichling@asbanc.com.pe www.giovannipichling.blogspot.com

Más detalles

Tipos de ciberataques. y claves para prevenirlos

Tipos de ciberataques. y claves para prevenirlos Tipos de ciberataques y claves para prevenirlos Introducción Los ciberdelincuentes actuales emplean diversas técnicas complejas para evitar ser detectados mientras tratan de colarse en las redes corporativas

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles