contenido » editorial » opinión

Tamaño: px
Comenzar la demostración a partir de la página:

Download "contenido » editorial » opinión"

Transcripción

1

2

3 contenido 16 AÑO 5, NÚMERO 3, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Sara Bursztein Mª José de la Calle Milthon J. Chavez Fabián Descalzo Ana Ledesma Cristina Ledesma Maricarmen Pascale Marcos Polanco Velasco Franco Rigante Germán Vargas Pedroza Marketing y Producción Karla Trejo Cerrillo Sofía Méndez Aguilar Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 3, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/ Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P , México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a » editorial» opinión» conexiones 4 Editorial Héctor Acevedo Juárez 6 Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein 16 Ingeniería social: El hackeo al ser humano Un enfoque holístico Cristina Ledesma, Ana Ledesma y Maricarmen Pascale 28 La gestión de la seguridad en gobierno electrónico Milthon J. Chavez 10 Tips Consejos básicos sobre clasificación de información Introducción Fabián Descalzo 12 Conexiones Gestión de Riesgos de TI - En busca de la optimización Franco Rigante 20 Desde la trinchera Estableciendo un lenguaje común en ciberseguridad Título Marcos Polanco Velasco 24 Conexiones Recuperación de desastres tecnológicos como servicio (DRaaS) Germán Vargas Pedroza 26 Conexiones Internet de las cosas o la peligrosa transformación del mundo real en virtual Mª José de la Calle Julio - Septiembre

4 editorial Más participación hispanoamericana, nuevos temas Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE En línea con la evolución de los temas relacionados con la seguridad de la información, presentamos en este número una mezcla de temas que van desde la ingeniería social hasta la ciberseguridad, tan de moda últimamente, pasando por la evolución de la evolución de mejores prácticas y el gobierno electrónico. Espero sean de interés para todos ustedes. En lo que respecta a nuestros colaboradores, con mucho gusto informo a nuestros amables lectores que seguimos avanzando en la construcción de una visión hispanoamericana de la seguridad de la información. Al día de hoy podemos presumir que tenemos colaboradores de Argentina, Colombia, Ecuador, España, Venezuela y Uruguay Muchas gracias a nuestros invaluables colaboradores que nos honran con su participación! Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4

5

6 opinión Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein En la actualidad podemos vislumbrar un paralelismo entre el mito de Aquiles - a quien su madre Tetis sumergió en las aguas de la laguna Estigia para hacerlo inmortal, dejando fuera el talón que se mantuvo vulnerable -, con la vulnerabilidad que genera el ser humano en el manejo de la información que gestiona. Reflexionaremos en este artículo acerca del papel de las personas en la seguridad de la información y sobre la causa por la que se han transformado en el talón de Aquiles de la seguridad. Las estadísticas nos muestran el incremento de incidentes originados por el factor humano. Los ciberdelincuentes han encontrado en las personas un elemento muy vulnerable y no cesan de generar nuevas estrategias de ataque, en gran medida con éxito. La seguridad de la información corre detrás de las brechas que se abren día a día, ya que los cambios en las telecomunicaciones, Internet, redes sociales, cómputo en la nube, etcétera, han modificado el contexto del manejo de información con una velocidad y dinámica que requiere que los usuarios tomen conciencia de la importancia de su rol. Para ello, deben salir del lugar de víctimas y adueñarse de la problemática de la seguridad de la información como propia. Ya no es una cuestión que atañe solo al área de sistemas o de seguridad informática, es un tema que atraviesa transversalmente a toda organización y por ende a todas las personas que la conforman. Para dimensionar el problema, veamos la tendencia y algunos números de estudios realizados desde 2012 que nos permitirán observar la evolución de la problemática: De acuerdo al estudio realizado por Ponemon Institute - The Human Factor in Data Protection (2012), 78% de las organizaciones han sufrido incidentes de seguridad a causa de empleados negligentes o maliciosos. El informe fue realizado sobre 709 encuestados en EE.UU. en el área de TI que tiene responsabilidad sobre la protección de la información. Empleados negligentes o maliciosos Has your organization ever experienced a data breach as a result of negligent or malicious employees or other insiders? Yes No Unsure 6

7 El Verizon Data Breach Investigations Report (DBIR) de 2013 muestra que los ciberdelincuentes han tomado nota de la vulnerabilidad del factor humano y hoy los ataques no tienen como objetivo la tecnología, sino los empleados de las empresas. Los ataques de ingeniería social y de phishing diseñados para robar credenciales, son las técnicas más usadas para acceder a los sistemas que contienen información sensitiva. El estudio analiza 621 brechas de seguridad sobre la información y cientos de incidentes, concluyendo que se usaron credenciales robadas en 4 de cada 5 incidentes. La estrategia de los atacantes no es crear nuevas cuentas, sino utilizar las existentes, quebrando las claves y escondiéndose dentro del tráfico regular de la red, donde es cada vez más difícil detectarlos. El porqué el ser humano se ha transformado en el principal factor de vulnerabilidad no depende de una sola causa. Veamos algunos de los múltiples orígenes que se conjugan para que esto ocurra: 1. La percepción del valor de la información. 2. Los mitos de seguridad. 3. El contexto. 4. La conciencia. 5. La sensibilización y motivación. 6. Las actitudes y comportamientos. En esta entrega analizaremos el primero de los ítems que implica la distorsión que percibe el ser humano sobre el valor de la información que gestiona. La percepción del valor de la Información Es evidente que las organizaciones de todo tipo tienen claro que no pueden operar sin información disponible, exacta, íntegra, actualizada, confidencial y confiable. Pero las organizaciones están conformadas por personas, que, a pesar de necesitar la información para su operación cotidiana, y de acuerdo a las estadísticas, no se comportan utilizando las mejores prácticas de seguridad. El ser humano no toma conciencia de las brechas de seguridad que habilita. Comenzando por la dirección y abarcando todos los niveles jerárquicos, evaluaremos cuáles son las causas que alteran el valor de la información. Visión comercial Revisaremos primero la percepción del negocio. Para la gran mayoría de las organizaciones, la concepción histórica trata a la información como una herramienta que soporta la operación: es un medio y no un fin en sí mismo. El valor económico está asociado a los productos y servicios comercializados. Para los ciberdelincuentes, la información es el producto final a comercializar. Así como en las empresas los empleados trabajan en pos de generar ventas del objeto comercial que ofrece la organización, aquellos dedican su esfuerzo laboral a obtener información en forma fraudulenta, en pos de conseguir réditos económicos. No hemos incorporado el valor que tiene para un tercero la información que gestionamos. Visión de valoración Pasemos ahora a la valoración. En nuestra sociedad fácilmente podemos darle valor a los objetos tangibles, por ejemplo nuestra cartera, la tarjeta de crédito o nuestra documentación, sobre los cuales fijamos especial atención para asegurarnos de que no se pierdan o queden expuestos. Julio - Septiembre

8 Pero, qué valor le damos a nuestra información personal? La percepción del valor es diferente frente a un ente inmaterial. No se distingue el peligro de pérdida. Mientras los documentos tangibles importantes los guardamos en un lugar seguro, no detectamos que los ponemos en riesgo al ingresar información de los mismos en un sitio Web, en un correo electrónico o través de una red social, sin tomar los suficientes resguardos para su protección. Firmaríamos un cheque en blanco? Seguramente la respuesta es un NO rotundo. Pero al momento de hacernos la misma pregunta sobre si evaluamos la información que compartimos o exponemos, damos la misma respuesta? Se desprende de este análisis que frente a la intangibilidad de la información se dificulta la percepción de riesgo. Visión de gestión En la actualidad las organizaciones sostienen su gestión en la información que brinda TI, que pasa a ser un área de soporte para el proceso productivo de la empresa. El éxito depende del correcto funcionamiento de los elementos que sostienen la infraestructura. Las áreas que no están vinculadas con la tecnología no terminan de comprender la complejidad que subyace para proveer diariamente información con los atributos de confidencialidad, disponibilidad e integridad. Consideran como natural el correcto funcionamiento del correo, sistemas, aplicaciones e infraestructura, sin percibir el valor presente tras las tareas de soporte. Los integrantes de las instituciones encuentran dificultad en valorar la complejidad asociada a los elementos que se integran para sostener el manejo de la información. Visión del peligro El miedo Cómo funciona nuestra mente frente al miedo? A qué le tememos y cómo se genera el miedo? Trataremos de comprender cómo se activa esta sensación y cómo nos ayudaría en relación a la seguridad de la información. En primer lugar, pensemos en el miedo como una emoción de protección, basada en la intuición, que nos permite evitar situaciones de peligro, nos alerta e inhibe de realizar acciones que ponen en juego nuestra supervivencia y es un elemento esencial al momento de tomar decisiones. Pero el móvil que despierta naturalmente el miedo es la amenaza física. Por ejemplo, no nos acercamos al borde de un precipicio porque se activa el miedo de caernos; preservamos nuestra vida. O tenemos alarmas y puertas blindadas por miedo a perder nuestros bienes o que nos ataquen. Qué pasa con la información? Es difícil que la pérdida de datos sensibles genere temor. La única manera de originar esa sensación es tener conciencia del valor económico o el perjuicio personal que nos puede causar un incidente de seguridad; esta sería la forma de activar el miedo. Las dificultad para internalizar las consecuencias negativas implicadas en un incidente sobre nuestra información impiden generar la sensación de temor. El riesgo A diferencia del miedo, que es un mecanismo puramente emocional, la percepción del riesgo funciona en forma racional, basada generalmente en la experiencia. El ser humano mide el riesgo si puede elaborar fríamente una situación peligrosa, sin sucumbir a la emoción. La ingeniería social se basa en la manipulación inteligente de las emociones y toma ventaja sobre las reacciones propias de la naturaleza humana. Racionalizar el riesgo implica hacer uso de las probabilidades de ocurrencia de incidentes al tomar una decisión, es una gimnasia mental que propicia un cambio en la apreciación del valor de la información que se gestiona. En general nuestra mente tiende a ignorar aquellos riesgos que le son difíciles de comprender o percibir. Para mitigar el riesgo es necesario conocer y elaborar internamente las posibles amenazas involucradas en el entorno. Así pues, concluimos el presente artículo sosteniendo que "para la gestión segura de la información es necesario promover un cambio cultural que genere conciencia sobre la percepción del real valor de la información". 8

9

10 c o n e x i o n e s Tips Fabián Descalzo Director certificado en Seguridad de la Información (Universidad CAECE), ITIL v y auditor ISO Consejos básicos sobre clasificación de información Introducción Todos usamos innumerables tipos de información en nuestras actividades diarias, que almacenamos básicamente en dos formatos principales: 1.Físico, también conocido como formato hardcopy. Por ejemplo: documentos en papel, incluyendo faxes y copias fotostáticas. 2.Electrónico ( softcopy ). Por ejemplo: documentos electrónicos en procesador de textos, hojas de cálculo, etcétera. De este modo, la información hardcopy puede ser almacenada en archivos físicos, carpetas o gabinetes, mientras que la información softcopy puede ser almacenada en medios electrónicos, incluyendo CD ROM, cintas de audio, memorias USB, discos duros, asistentes digitales personales y otros dispositivos similares. El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDA (asistente digital personal, personal digital assistant) son ejemplos de ello. Es importante destacar que, en el caso de la información electrónica, todos los controles que comentaré en próximas entregas, aplican de la misma forma cuando empleados o contratistas de una organización hacen uso de la tecnología inalámbrica. Por otro lado, la información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión; oralmente, por teléfono o en persona, por escrito vía fax, correo postal o correo electrónico. Cuando comuniquen información, siempre consideren el principio fundamental que indica que la información debe ser compartida únicamente con quienes tengan una necesidad legítima de conocerla. No debe compartirse con quienes no lo necesiten (de igual manera que nuestra vida cotidiana). Si tiene duda al recibir información particular de personas dentro o fuera de la organización, siempre pregúntese Realmente necesito conocer esta información? Y antes de compartir información con los demás, plantéense si esta persona necesita conocerla para llevar a cabo sus actividades en la empresa. En caso necesario hagan la misma pregunta a la persona que les haya solicitado compartir la información. Esta primera publicación es una introducción sobre el concepto básico de "conocer y dar a conocer", para así abrir una serie de consejos sobre mi forma de ver la información, su entorno de procesamiento, riesgos asociados, y cómo clasificarla, para que con base en esta óptica establezcamos los controles adecuados para cumplir con alguna regulación, norma o estándar implementado en la organización. 10

11 Proteja el activo más importante de su empresa: SU INFORMACIÓN SPA SEGURIDAD PERIMETRAL ADMINISTRADA Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información. Servicio que le ofrece: Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA. Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad). Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido y VPN. Para mayor información, por favor contacte a su ejecutivo de cuenta o llame al SPA (772)

12 c o n e x i o n e s Conexiones Franco Rigante CISA, CRISC y Gestión de riesgos de TI - En busca de la optimización Con la publicación de la nueva versión 5 de COBIT, la ISACA se focalizó en la "maximización de la creación de valor a partir de TI para el negocio" mediante el cumplimiento simultáneo de tres objetivos de gobierno: Maximización de beneficios. Optimización de recursos. Optimización de riesgos. La introducción del concepto de optimización de riesgos como objetivo de gobierno, muestra una clara evolución frente al enfoque tradicional de mitigación de riesgos, más basada en la visión clásica de la auditoría. Antes: MITIGAR! Ahora: OPTIMIZAR! La justificación de este cambio de visión se puede encontrar en que hoy las organizaciones se desempeñan en entornos cada vez más dinámicos y competitivos, expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del modelo de negocio, donde la búsqueda constante de la maximización sustentable de beneficios exige que se eviten los costos innecesarios de aquellos controles mitigantes que alejan a la organización del nivel óptimo aceptable de exposición al riesgo establecido por la dirección. Concretamente, COBIT 5 define la optimización de riesgos como "garantizar que los riesgos para el negocio relacionados con TI no exceden el nivel aceptable establecido por la dirección y que el impacto de los riesgos inherentes a TI que podrían afectar al negocio son gestionados y que la probabilidad de potenciales incumplimientos a leyes es minimizada". En ese sentido, en este artículo veremos ejemplos de cómo aplicar los lineamientos de gestión que surgen del reciente documento COBIT 5 for Risk, de próxima aparición en castellano, para la optimización de los riesgos de TI mediante la aplicación de los siete facilitadores (enablers) incluidos en COBIT 5. 12

13 Según señala la guía COBIT 5 for Risk, se deben aplicar en forma coordinada los siete facilitadores empresariales para gestionar los distintos escenarios de riesgo tecnológico al nivel óptimo establecido por la dirección. COBIT 5 - Facilitadores empresariales 2. Procesos 3. Estructura organizacional 4. Cultura, ética y comportamientos 1. Principios, políticas y frameworks 5. Información 6. Servicios, infraestructura y aplicaciones 7. Personas, habilidades y competencias Recursos En términos del riesgo tecnológico existe consenso generalizado en definirlo como la posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la organización, al comprometer o degradar las dimensiones críticas de la información (Ej. confidencialidad, integridad, disponibilidad). Así pues, COBIT 5 for Risk define el riesgo de TI como un riesgo para el negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una empresa. Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio creando pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas oportunidades. Con ese objetivo, COBIT 5 for Risk incluye 20 categorías de escenarios de riesgo con potenciales respuestas basadas en los facilitadores de COBIT 5 como acciones de optimización. Algunas de las categorías mencionadas son las siguientes: 1. Establecimiento y mantenimiento de portafolio. 2. Gestión del ciclo de vida de proyectos y programas. 3. Toma de decisiones de inversión en TI. 4. Conocimientos y habilidades de TI. 5. Operaciones del staff (errores humanos/maliciosos). 6. Información (violación de datos: daño, fuga y acceso). 7. Arquitectura (visión y diseño). 8. Infraestructura (hardware, sistemas operativos y tecnología de control). 9. Software. 10. Propiedad del negocio de TI inefectiva. Si tomamos un ejemplo de la 2ª categoría encontraremos los siguientes escenarios de riesgo: Ref. Categorías de escenario de riesgo Tipo de riesgo Beneficio de TI / generación de valor Ejecución del proyecto / Programa de TI Operaciones de TI y entrega de servicio Escenarios negativos Escenario de ejemplo Escenarios positivos 0201 P P P Gestión del ciclo de vida de proyectos / programas (iniciación, economía, ejecución, calidad y terminación) P P P P P P Proyectos que faltan (debido al costo, cambio de prioridades del negocio, corrupción del alcance) no son terminados. El proyecto de TI excede el presupuesto. Se presenta una demora en la ejecución del proyecto por parte de un departamento interno de desarrollo. Proyectos con fallas o irrelevantes son detenidos a tiempo. El proyecto de TI se completa dentro de los presupuestos acordados. La ejecución del proyecto se realiza a tiempo. Julio - Septiembre

14 c o n e x i o n e s Para optimizar dichos escenarios podemos aplicar los siete facilitadores de COBIT 5 de la siguiente forma: 1. Políticas, principios y marcos. a. Política de gestión de proyectos. b. Implementación de PMBOK 5 para la gestión de proyectos. 2. Procesos. a. Proceso BAI01 de COBIT 5: "Gestionar programas y proyectos" 3. Estructura organizacional. a. Implementar formalmente una Oficina de Gestión de Proyectos (PMO). 4. Cultura, ética y comportamientos. a. Fomentar la comunicación efectiva. b. Incentivar la transparencia sobre desvíos. 5. Información. a. Reportes de gestión del valor ganado (EVM). 6. Servicios, infraestructura y aplicaciones. a. Servicio de consultoría sobre administración de proyectos. b. Software de gestión de proyectos. c. Bases de datos de conocimiento. 7. Personas, habilidades y competencias. a. Rol del administrador de proyectos. b. Certificación PMP (Project Management Professional). c. Habilidades interpersonales, soft skills, etcétera. Finalmente, para lograr el objetivo de la optimización de riesgos, es fundamental tener presente los siguientes conceptos clave: Apetito: la cantidad de riesgo, en un amplio nivel, que la organización está dispuesta a aceptar para alcanzar su misión. Tolerancia: el nivel de variación aceptable que la dirección está dispuesta a permitir para cualquier riesgo en particular con el propósito de alcanzar sus objetivos. Capacidad: la cantidad objetiva de pérdida que una empresa puede tolerar sin poner en riesgo su sustentabilidad y su propia existencia. Difiere del concepto de "apetito", el cual refleja una decisión de la dirección acerca de hasta cuánto nivel de riesgo es deseable aceptar. C M Y CM MY CY CMY K Riesgo Actual Apetito por el Riesgo Capacidad de Riesgo Ejemplo del nivel de riesgo actual en dos organizaciones Como se aprecia claramente en la imagen, el nivel de riesgo actual (línea azul) en la primera organización es temporalmente superior al nivel de apetito establecido (línea roja) pero nunca supera la capacidad (línea verde) que puede tolerar, mientras que en la segunda organización una incorrecta definición del apetito por encima de la capacidad tolerable, puede significar un nivel de riesgo actual que comprometa seriamente la sustentabilidad. 14

15 Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F Informes: Tel: Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

16 opinión Ingeniería social El hackeo al ser humano Un enfoque holístico Cristina Ledesma (CISA, CISM, CRISC y Auditor Sr. ISO 27001), Ana Ledesma y Maricarmen Pascale Introducción Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera. Albert Einstein Antecedentes La primera vez, hace muchos años, cuando escuché el término ingeniería social, en la acepción que lo usamos en seguridad de la información, me pareció un poco contradictorio debido a mi concepción de la ingeniería como algo sistémico, estructurado y procedural, en contra de lo social que es tan dinámico, variado y en muchos casos no estructurado si consideramos lo diverso y multifacético de las personas, dada su educación, su formación, el contexto en el que viven y las experiencias que desarrollan o las condiciones de vida que enfrentan, disfrutan o padecen. Luego de una investigación somera de los antecedentes, me di cuenta de lo limitado de mi visión y de mi conocimiento acerca de los diversos ámbitos en que este término se ha aplicado en la historia, mucho antes de que la seguridad de la información lo adoptara. Ingeniería social es un término empleado en ciencias políticas en un doble sentido, uno refiere a esfuerzos para influir actitudes, relaciones o acciones sociales en la población de un país o región, y el otro una manera de implementar programas de modificaciones sociales. A pesar de las connotaciones negativas que el término tiene hoy, hay que notar que todo esfuerzo de una organización social o civil con el objetivo de cambiar el comportamiento puede calificarse como ingeniería social. Si pensamos en el ámbito de la política veremos que el término es definitivamente aplicable; en EE.UU. los políticos conservadores han acusado a sus oponentes de realizar ingeniería social debido a su promoción de la corrección política, dado que esta intenta definir los lenguajes aceptables o inaceptables. Ambos, el conservadurismo y la derecha, han sido acusados de ingeniería social, en tanto que promocionan conductas sociales de orden derivadas de consideraciones morales o religiosas. Origen y evolución del término El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social), pero recibió su mayor impulso en EE.UU. a través del libro Social Engineering del reformista social W.H. Tolman, conocido en aquella época por ayudar a los pobres. La idea central es que no había en las empresas una función social (algo así como los departamentos de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de

17 Se sugiere que el origen del término está en el concepto filantrópico de los pensadores liberales de la segunda mitad del siglo XIX como los intermediarios racionales entre el capital y el trabajo. Para las décadas 30 y 40 del siglo XX el término había caído en desuso 2. A partir de esta especialización, se generaliza el concepto de que la ingeniería social puede ser una técnica o método para lograr una variedad de resultados, es decir, deja de ser un instrumento para resolver problemas sociales y se transforma en uno para manipular a la población. Es evidente en este punto que la propaganda puede ser considerada ingeniería social, así como las campañas políticas y la religión, dado que buscan lograr un comportamiento específico en las masas. En 1945 Karl Popper reintroduce el término con la acepción de implementación de métodos críticos y racionales de la ingeniería y ciencia a los problemas sociales 3. Presentación del problema ingeniería social y seguridad marco legal Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Uno de los fines más comunes para lo que se usa la ingeniería social es para el robo de dinero, ya sea a través de la página de un banco, de un cajero automático (ATM) o por teléfono, dependiendo de las funcionalidades de estos servicios en los bancos o empresas financieras. El delito que se constituye en este caso es robo de identidad y no en todos los países existe legislación específica o está legislado como delito informático. Esta circunstancia es complicada, pero a mi entender es más complicado y angustiante para la víctima poder demostrar que efectivamente sufrió un robo de identidad y que todo el dinero que le falta en su cuenta no lo tomó, o que los varios préstamos que tramitaron en su nombre no los realizó. Este tipo de crímenes han sido posibles dada la característica de anonimato que brinda Internet y porque, en términos generales y a mi entender, las páginas Web que las entidades financieras ponen a disposición de las personas físicas no brindan las suficientes medidas de seguridad, como podrían ser las técnicas de autenticación de varios factores (MFA multi factor authentication), así como medidas de concientización explícitas y presenciales, más allá de los simples tips de seguridad que encontramos en las páginas Web a las cuales por supuesto el usuario promedio no ingresa. Desde el punto de vista del banco o institución financiera es también todo un desafío las investigaciones y diligencias que deben seguir para llegar a concluir que efectivamente la persona fue víctima de un delito y que no está mintiendo, considerando que en estas situaciones hay aspectos psicológicos a analizar como el comportamiento financiero de la persona, el perfil de relacionamiento o vinculación con el banco además de los temas de correlaciones en el comportamiento, es decir, de cuántas extracciones se trata, qué frecuencia tienen, de qué monto, dónde estaba la persona cuando las extracciones se produjeron, si hizo gastos importantes al mismo tiempo que las extracciones y que no coinciden con su perfil, etcétera. En algunas situaciones los clientes que fueron víctimas pueden llegar a sentir que son culpables hasta que demuestren lo contrario, aunque en términos generales los bancos se hacen cargo y devuelven el dinero a los clientes luego de las debidas investigaciones. Otro aspecto también importante y que agrega complejidad es si las autoridades policiales de los diferentes países están capacitadas en conocimientos específicos (computación forense y otros) como para gestionar los delitos informáticos. Por qué el promedio de las personas puede caer ante estos ataques, es una explicación que dejaremos para la sección psicológica de este artículo. El proceso es gradual y consta de varios pasos con una estrategia bien definida; lo siguiente a la obtención de información es conocer el perfil de la víctima y definir cuál es el medio más eficiente para apoderarse de sus datos sensitivos, para hacerse pasar por ella. El aspecto psicológico Siguiendo con el tema, investigamos qué aportes puede hacer la psicología. Son varios los perfiles que encuadran bien con el de la víctima, pero para no extendernos nos referiremos al más común y el que más aparece: el complejo de superhéroe Quién al ver que alguien pide ayuda no ha estado tentado a ayudar? Estadísticamente sería 70% de la población mundial, porque el ser humano originariamente nace bueno, el 30% restante son los sociópatas o psicopáticos. (EE.UU. - DSM4 Manual diagnóstico y estadísticas de trastornos mentales). Julio - Septiembre

18 Qué se siente cuando se ayuda?, primero el agradecimiento de la persona, con frases como Dios lo bendiga, me salvó el día, no hay gente como usted en estos tiempos, etcétera. Esto actúa como un fuerte reforzador para que la conducta de ayudar se repita Por qué un bombero entra a un gran incendio a salvar a alguien? Por el sueldo? No, porque al salvarlo además del agradecimiento de la víctima y la familia recibe aplausos y reconocimiento social, humano y de sus superiores. El que más lo gratifica es el social y humano y lo refuerzan los titulares de la prensa ( Bombero héroe salva anciana! ). Desde niños aprendemos que ayudar es bueno, y lo es a veces. Cuando estamos frente a delitos informáticos, es diferente. El victimario sabe que si pide ayuda y hay tres personas, por lo menos dos se ofrecerán. Y dicho victimario sí es un sociópata. Sus características son parecer inofensivo, indefenso, preocupado, deprimido. En realidad es frío, calculador, mitómano y siempre sabe lo que hace: sabe diferenciar el bien del mal, pero no le importa (España-CTIO, Clasificación estadística internacional de enfermedades y problemas de salud). Si de alguna manera lo detienen, cosa improbable ya que siempre tiene un plan b, c, d, etcétera, es capaz de engañar al mejor juez o psiquiatra y psicólogo, ya que es un gran simulador. No le importa el daño que inflige o si hace sentir mal al otro, es más, se siente bien, y si son internados, lamentablemente no suelen ser curables. No existe aún fármaco para esta disfunción y no es considerado por DSMV (Manual diagnóstico y estadístico de los trastornos mentales) como una patología. Así que empecemos a enseñar a nuestros niños que ayudar es bueno, pero no en una situación en la que haya que mostrar documentación o información sensible. Y ya que el sociópata puede ser muy violento si no logra su fin, es recomendable analizar todo pedido de ayuda cuando viene de un extraño muy amigable. Lamentablemente nuestra sociedad ha evolucionado mucho en algunos aspectos, pero hay 30% de seres humanos que, creo, INVOLUCIONAN, ya que se despiertan y se duermen pensando cómo hacer el mal, para su propio beneficio 4. Para no ser tan pesimistas, nos quedamos con 70% de la población que sí es buena pero deben saber que LOS HÉROES NO EXISTEN. El aspecto legal Diversos estudios internacionales han demostrado que el robo de identidad se ha convertido en el delito del milenio y es una de las actividades ilícitas de mayor crecimiento en los últimos años. En lo que respecta a la regulación jurídica en materia de robo de identidad, distintos organismos internacionales han tomado la iniciativa de actuar sobre este tema. A continuación presentamos una breve reseña de documentos que fueron elaborados por diferentes organismos: Organización para la Cooperación y el Desarrollo Económicos (OCDE). En el año 1999 aprobó un conjunto de directrices tendentes a proteger el comercio electrónico, con medidas para la elaboración de estrategias de prevención del hurto de identidad. En 2008 publicó un estudio sobre el hurto de identidad en línea, el scoping paper on online identity theft, en el cual se analizaron las diferentes estafas relacionadas con el hurto de identidad a través de Internet, las cuestiones relacionadas con las víctimas y los ámbitos de aplicación de la ley. En el mismo 2008 publicó el documento Policy Guidance on Online Identity Theft, que establecía una perspectiva general de las diferentes estrategias para responder al hurto de identidad relacionado con Internet. Unión Europea. En mayo de 2007 indicó que la cooperación policial y judicial en el seno de la Unión Europea se vería facilitada si el hurto de identidad se tipificara como delito en todos los estados miembros. En julio de 2007 inició un estudio comparativo sobre las definiciones de la expresión hurto de identidad utilizadas en los estados miembros de la Unión Europea y sus consecuencias penales. Naciones Unidas. La convención de las Naciones Unidas contra la delincuencia organizada trasnacional constituye la base jurídica aplicable en materia de cooperación en los casos de fraude trasnacional vinculados en materia de robo de identidad. El Consejo Económico y Social de las Naciones Unidas, por Resolución 2004/26 estableció directrices sobre la variedad de delitos que suponen la falsificación de identidad. En el informe de 2007 de la oficina de Naciones Unidas contra la droga y el delito se dedicó un apartado al análisis del robo de identidad. Además en su informe de 2010 The globalization of crime, a transnational organized crime threat assessment, un apartado del mismo se vincula al robo de identidad. 18

19 En el derecho comparado entre los países que han tipificado el delito de robo de identidad, se encuentran Canadá, Estados Unidos y Reino Unido. La ley federal de Canadá define el robo de identidad como la obtención y posesión de información de la identidad de una persona con la intención de engañarla o realizar actos deshonestos o fraudulentos en su nombre. A nivel federal, Estados Unidos define el robo de identidad como el que a sabiendas, posea, transfiera o use, sin autoridad legal, un medio de identificación de otra persona con la intención de cometer, ayudar o instigar, cualquier tipo de actividad ilegal. En el Reino Unido, el robo de identidad se encuentra definido por el Home Office Identity Fraud Steering Committee, como el acto por el cual alguien obtiene información suficiente acerca de la identidad de otro para facilitar el fraude de identidad, con independencia de que la víctima esté viva o muerta. Si bien en Uruguay no se encuentra tipificado en el código penal el delito de robo de identidad, ante un hecho de ingeniería social, en el cual se engaña y manipula psicológicamente a la víctima para que revele datos personales que no brindaría en circunstancias normales, se debería aplicar el artículo 347 que tipifica la estafa: el que con estratagemas o engaños artificiosos, indujere en error a alguna persona, para procurarse a sí mismo o a un tercero, un provecho injusto, será castigado con seis meses de prisión a cuatro años de penitenciaría. Conclusiones Desde el punto de vista psicológico ya fue expresado anteriormente que no existe una cura para esta patología, por lo que de nuevo hay que educar y prevenir a la posible víctima. Desde el punto de vista legal es clave una mejor legislación del delito informático y en especial del robo de identidad, fundamentalmente en los países latinoamericanos. También debe mejorarse la cooperación internacional para lograr acuerdos que permitan intercambiar conocimientos, prácticas y leyes que, una vez validada su efectividad, puedan ser tomadas como base por otros países que aún no tengan la legislación. Esto es vital, sobre todo teniendo en cuenta que estos delitos cruzan las fronteras ya que en muchos casos se valen de Internet. Desde el punto de vista técnico lo que podemos decir de la ingeniería social es que es cada vez más complejo ya que no se utiliza sola sino en combinación con phishing y spoofing de sitios Web, spam y malware en general, lo que hace más difícil aún para un usuario medio detectar ciertos comportamientos que lo prevengan de caer en la trampa. Lamentablemente también se usa en actos tan terribles como la trata de personas, la pornografía infantil y el secuestro, lo que nos lleva a pensar una vez más que en ambas acepciones (la positiva y la negativa), algo que puede generar resultados tan extremadamente opuestos sólo puede ser mitigado con educación y concientización en principios, valores y seguridad, con fuertes castigos una vez que los delitos se constatan. Finalmente, hay que indicar que lo anterior es una responsabilidad de todos, no sólo de los bancos y empresas, sino también de las autoridades, si es que realmente queremos avanzar hacia una sociedad de la información donde los servicios ciudadanos sean digitales, así como de los profesionales en seguridad e instituciones como ISACA que tienen una misión de compromiso con la sociedad. Referencias Bill S-4: An Act to amend the Criminal Code (identity theft and related misconduct), en 18 U.S. Code Fraud and Related Activity in Connection with Identification Documents, Authentication Features, and Information, en ISACA: Control Journal, ediciones 2012 y DSMV (Manual diagnóstico y estadístico de los trastornos mentales). CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al Publicación Semanal sobre psicología 1 Wikipedia, definición de ingeniería social. 2 Wikipedia, definición de ingeniería social. 3 Wikipedia, definición de ingeniería social. 4 CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al Publicación semanal sobre psicología. Julio - Septiembre

20 c o n e x i o n e s Desde la trinchera Marcos Polanco Velasco CISSP, CISM y CISA Estableciendo un lenguaje común en ciberseguridad Actualmente se habla mucho sobre ciberseguridad y los nuevos riesgos a los que estamos expuestos pero, entendemos todos lo mismo sobre ciberseguridad?, sabemos cuáles son esos nuevos riesgos?, tenemos claridad en cómo enfrentar los nuevos tipos de ataques? Dada la importancia de estos temas, a partir de este número empezaremos a dedicar un espacio para tratar diversos temas relacionados con ciberseguridad y ciberinteligencia. En esta ocasión iniciaremos con una serie de definiciones elementales, pretendiendo establecer un lenguaje común que nos permita crear un marco de referencia y contexto general para futuros artículos. Las definiciones están basadas en diversas fuentes 1 y en algunos casos llevan un poco de mi cosecha. Antes de entrar en materia, quisiera comentar algunas premisas que hay que tener presentes como parte de este contexto común y que hacen que los conceptos a describir más adelante sean relevantes: Los atacantes han cambiado, ahora son grupos organizados con las capacidades y los recursos para concretar sus metas además de contar con una motivación y una clara definición del objetivo que persiguen. Las estrategias de ataque son más complejas y de largo plazo, utilizan múltiples pasos para llegar a su objetivo, combinan diversas técnicas de explotación (exploits) y de evasión, emplean malware avanzado así como diversos mecanismos para pasar desapercibidos. Los ataques ahora son dirigidos, es decir, se planean, articulan y ejecutan pensando en el perfil particular de la víctima, de tal forma que sea mucho más factible el éxito. Lo anterior, aunado al valor de la información que los atacantes buscan extraer, provoca que su impacto sea muy alto. En otras palabras, la probabilidad de ocurrencia y el impacto de estos riegos se han incrementado significativamente. Por último, si bien puede sonar pesimista o un tanto catastrófico, en este momento la mayoría de los expertos coinciden en que debemos pensar que es casi un hecho que seremos atacados y que la probabilidad de éxito de dichos ataques es alta, por lo que se vuelve prioritario trabajar en fortalecer, entre otras, la capacidad de detectar que estamos siendo víctimas de un ataque avanzado; de analizar su estructura y comportamiento para poder contenerlo y remediarlo; así como de analizar los efectos o el impacto que se haya tenido. A continuación menciono algunas de las definiciones que considero básicas para entender el contexto y establecer ese lenguaje común: APT (advanced persistent threat, ataque persistente avanzado). Ciberataque en contra de una entidad específica realizado por un ciberactor para robar, por un tiempo prolongado, información valiosa. Los atacantes buscan pasar inadvertidos y utilizan múltiples métodos para vulnerar a la organización objetivo, estos normalmente son difíciles de detectar y remover sobre todo para las tecnologías de seguridad tradicionales. Una vez que el blanco es vulnerado se crean puertas traseras que permiten al atacante tener acceso continuo (esto se conoce como comando y control) sobre los sistemas comprometidos. El atacante busca expandir su alcance tomando control de más equipos y así afianzar su permanencia (lograr la persistencia), para mantener el acceso por largos periodos de tiempo con el fin de recolectar más información sobre el blanco, realizar más ataques (movimientos laterales) hasta que se logre el acceso y extraer la información objetivo. 20

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer En los últimos años, el interés por la Computación en la Nube (Cloud Computing), tanto para uso personal como para negocios,

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

GUÍA DE ORIENTACIÓN. Módulo de Información y control contable Saber Pro 2015-2

GUÍA DE ORIENTACIÓN. Módulo de Información y control contable Saber Pro 2015-2 GUÍA DE ORIENTACIÓN Módulo de Información y control contable Saber Pro 2015-2 TÉRMINOS Y CONDICIONES DE USO PARA PUBLICACIONES Y OBRAS DE PROPIEDAD DEL ICFES El Instituto Colombiano para la Evaluación

Más detalles

Minimice los riesgos para la migración de red del centro de datos

Minimice los riesgos para la migración de red del centro de datos Minimice los riesgos para la migración de red del centro de datos Optimice su arquitectura e inversión de TI y, al mismo tiempo, reduzca la complejidad y los riesgos Los Servicios de migración de centros

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

Presentación de las soluciones: Protección de datos

Presentación de las soluciones: Protección de datos Archivado, copia de seguridad y recuperación para alcanzar la promesa de la virtualización Gestión unificada de la información para entornos empresariales Windows La explosión de la información no estructurada

Más detalles

Movilidad del usuario: seguridad en la era de la conectividad

Movilidad del usuario: seguridad en la era de la conectividad Movilidad del usuario: seguridad en la era de la conectividad Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: viernes 27 de agosto de 2010 ESET Latinoamérica, Av. Del

Más detalles

CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC. Validez y seguridad jurídica electrónica. Confianza en medios electrónicos!

CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC. Validez y seguridad jurídica electrónica. Confianza en medios electrónicos! Certicámara. Validez y seguridad jurídica electrónica CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC 15 de Agosto de 2012 Confianza en medios electrónicos! INTRODUCCIÓN Por qué necesito

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Ciber-ataques en la Industria y sus Oportunidades

Ciber-ataques en la Industria y sus Oportunidades Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Dudas y certezas sobre las redes sociales en la empresa

Dudas y certezas sobre las redes sociales en la empresa Dudas y certezas sobre las redes sociales en la empresa Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: lunes 2 de agosto de 2010 ESET Latinoamérica, Av. Del Libertador

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

OWASP Chile. Delitos Informáticos. Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense OWASP LatamTour Chile 2011 The OWASP Foundation http://www.owasp.org OWASP Chile Delitos Informáticos Felipe Sánchez Fabre Perito Informático Especialista en Delitos Informáticos e Informática Forense

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

PUA o Aplicaciones potencialmente peligrosas

PUA o Aplicaciones potencialmente peligrosas Protege tu PC Qué son los PUA? PUA o Aplicaciones potencialmente peligrosas Las siglas PUA son el acrónimo de Potentially Unwanted Application, es decir, aplicaciones potencialmente indeseables. Se trata

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Prevención y detección de fraude en un mundo automatizado

Prevención y detección de fraude en un mundo automatizado Prevención y detección de fraude en un mundo automatizado Global Technology Audit Guide N 13 Carlos Lobos Medina Mayo 2010 Agenda Introducción Fraude y las TI Detección de fraudes usando análisis de datos

Más detalles

Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria

Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria Que hay de nuevo en Seguridad de Información y que podemos hacer para prevenir los riesgos en la industria bancaria Ing. Giovanni Bautista Pichling Zolezzi gpichling@asbanc.com.pe www.giovannipichling.blogspot.com

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI - guía de la continuidad empresarial para pymes. Copyright Acronis, Inc.,

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

CyberSOC Seguridad 24/7

CyberSOC Seguridad 24/7 CyberSOC Seguridad 24/7 Una nueva realidad Escenario actual Las organizaciones se enfrentan hoy en día a un amplio catálogo de amenazas de seguridad que pueden materializarse tanto dentro como fuera del

Más detalles

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Uso del BSC en la Gestión de Riesgos TI

Uso del BSC en la Gestión de Riesgos TI Traducción Isaca Journal Volume 5, 2010 Uso del BSC en la Gestión de Riesgos TI La gestión de riesgos es -en su esencia- subjetiva. Aunque se trata de un enfoque estructurado para determinar si acepta,

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

1. CONDICIONES GENERALES Y SU ACEPTACIÓN

1. CONDICIONES GENERALES Y SU ACEPTACIÓN 1. CONDICIONES GENERALES Y SU ACEPTACIÓN Estas condiciones generales (en adelante Condiciones Generales ) regulan el uso del servicio VerifactGasto (en adelante Servicio ) que la sociedad mercantil EASYFAC,

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

Nuestra capacidad de respuesta ante estas amenazas todavía presenta debilidades.

Nuestra capacidad de respuesta ante estas amenazas todavía presenta debilidades. PALABRAS DE ADAM BLACKWELL, SECRETARIO DE SEGURIDAD MULTIDIMENSIONAL DE LA OEA, EN LA INAUGURACIÓN DEL TALLER REGIONAL SOBRE CIBERSEGURIDAD Y CIBERDELITO En nombre de la Organización de los Estados Americanos

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. * COMPROMETIDOS CON LA SEGURIDAD* *Comprometidos con tu vida digital, comprometidos con tu tranquilidad, comprometidos con tu negocio. [ 3 ]

Más detalles

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS 22 CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT 23 1 Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar

Más detalles

Cloud computing: Recurso o problema?

Cloud computing: Recurso o problema? Facultad de Periodismo y Comunicación Social Universisdad Nacional de La Plata Cátedra Tecnologías en Comunicación Social Reflexión teórica- Aspectos tecnológicos vinculados a los aspectos globales Tema

Más detalles

Seguridad y Privacidad en el Cloud. Deepak Daswani Daswani Responsable de Investigación en Ciberseguridad de INTECO

Seguridad y Privacidad en el Cloud. Deepak Daswani Daswani Responsable de Investigación en Ciberseguridad de INTECO Seguridad y Privacidad en el Cloud Deepak Daswani Daswani Responsable de Investigación en Ciberseguridad de INTECO Madrid, 11 de Junio de 2014 Sociedad digital Vivimos en un entorno digital big data blogs

Más detalles

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad.

El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El Anuario Estadístico del Ministerio del Interior, que será publicado próximamente, introduce un apartado dedicado a la cibercriminalidad. El presente estudio tiene por objeto analizar qué se entiende

Más detalles

ACUERDO No. 147. (Noviembre 27 de 2015)

ACUERDO No. 147. (Noviembre 27 de 2015) ACUERDO No. 147 (Noviembre 27 de 2015) Por medio del cual se compilan los lineamientos de la Empresa con relación al riesgo de fraude y corrupción, entre otros, y complementan las responsabilidades del

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Derechos Reservados 10/01/2014-1

Derechos Reservados 10/01/2014-1 2014 10/01/2014-1 Quien es y Que le ofrece STRATLYNK STRATLYNK es una organización de profesionales expertos en distintas disciplinas de la Seguridad, y quienes cuentan con una formación Académica extensa

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

Prevención y Reducción de Pérdidas a través de un Programa de Integridad

Prevención y Reducción de Pérdidas a través de un Programa de Integridad Prevención y Reducción de Pérdidas a través de un Programa de Integridad Presentado Por The Integrity Profiler Experts 1 All rights reserved Vulnerabilidad en Integridad Una condición empresarial en la

Más detalles

Ciberdefensa en el marco de Inteligencia

Ciberdefensa en el marco de Inteligencia Ciberdefensa en el marco de Inteligencia AGENDA 1. PREAMBULO 2. INTRODUCCION 3. CIBERDEFENSA Y CIBERINTELIGENCIA 4. CONCLUSIONES DESAFIOS TECNOLOGICOS EN LA CIBERDEFENSA PREAMBULO - Este espacio debe cubrir

Más detalles

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA Siete mitos de la seguridad de TI corporativa by Yuri Ilyin Los Mitos y prejuicios son compañeros inevitables de cualquier rama del conocimiento, y la seguridad

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Introducción Mayo de 2012. Presentación realizada por Carlos Francavilla http://cafrancavilla.wordpress.com

Introducción Mayo de 2012. Presentación realizada por Carlos Francavilla http://cafrancavilla.wordpress.com Introducción Mayo de 2012 Presentación realizada por http://cafrancavilla.wordpress.com Contenido Resumen Ejecutivo Introducción Procesos Facilitadores Implantación Productos Futuros Resumen Ejecutivo

Más detalles

Agenda. Seguridad y Control en las Organizaciones Electrónicas (e-business)

Agenda. Seguridad y Control en las Organizaciones Electrónicas (e-business) Seguridad y Control en las Organizaciones Electrónicas (e-business) IMAI- XX Encuentro Nacional de Auditores Internos Agosto 12, 2005 Ing. Director del Programa en Comercio Electrónico ITESM Campus Monterrey

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia

Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia Comisión de Seguridad Ciudadana, Combate y Prevención al Narcotráfico, Terrorismo y Crimen Organizado Proyecto de Ley Marco de Ciberdelincuencia CAPITULO I ASPECTOS GENERALES Artículo 1. Definiciones:

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking ITIL como apoyo a la Seguridad de la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking AGENDA 1. Antecedentes 2. Conceptos de ITIL 3. Etapas de ITIL 4. Soporte de ITIL a la seguridad

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

Principales desafíos de Seguridad Informática asociados a la implementación de la Agenda Digital Peruana

Principales desafíos de Seguridad Informática asociados a la implementación de la Agenda Digital Peruana Principales desafíos de Seguridad Informática asociados a la implementación de la Agenda Digital Peruana Presentada por: Graciela Ricci, CISA, CGEIT, CRISC Socia PwC Aclaración: Todos los derechos reservados.

Más detalles

Evaluaciones Psicométricas

Evaluaciones Psicométricas Evaluaciones Psicométricas Candidato: DEMOSTRATIVO ILUSTRATIVO PRUEBAS APLICADAS: TERMAN GORDON CLEAVER LIFO COMPETENCIAS 1 Inteligencia Terman Nombre: Demostrativo Eficiencia: 86.49 Ilustrativo Edad:

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS

SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS FRAUDE: CONSIDERACIONES A TENER PRESENTE EN LAS AUDITORAS SAS 99 (2002) 2 FRAUDES, ERRORES Y ACTOS ILEGALES SON DIFERENTES? 3 El

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Aviso de privacidad Calimeria Business Intelligence, S.A. de C.V.

Aviso de privacidad Calimeria Business Intelligence, S.A. de C.V. Aviso de privacidad Calimeria Business Intelligence, S.A. de C.V. Conforme a la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES aprobada el día 13 de abril de 2010 hacemos

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas TRITON AP-EMAIL Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas Desde señuelos diseñados para las redes sociales, hasta

Más detalles

PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB

PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB PRÁCTICAS DE PRIVACIDAD EN RELACIÓN CON ESTE SITIO WEB Su privacidad es importante para MAPEI S.p.A. y sus subsidiarias y filiales en todo el mundo (en conjunto, "MAPEI"). Esta declaración de prácticas

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Comunicación Social - UNLP. Los derechos digitales en la comunicación social

Comunicación Social - UNLP. Los derechos digitales en la comunicación social Cátedra Tecnologías en comunicación Social.- Facultad de Periodismo y Comunicación Social - UNLP Los derechos digitales en la comunicación social Web 1 Navegación en páginas: plataformas de manejo de contenidos.

Más detalles

Monitoreo de Plataformas TI. de Servicios

Monitoreo de Plataformas TI. de Servicios Por qué Provectis Infraestructura de Monitoreo de Plataformas TI Administrados de Servidores Administrados de Almacenamiento Administrados de Respaldo y Recuperación Administrados de Plataformas de Escritorio

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles