La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability & Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191, que modifica el código del Internal Revenue Service de 1986. También conocida como la Ley de Kennedy-Kassebaum.
El Título II incluye una sección, Simplificación administrativa, que exige:
1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio electrónico de datos, y
2. La protección de la confidencialidad y seguridad de los datos médicos, a través del establecimiento y cumplimiento de estándares.
Más específicamente, la HIPAA pide:
1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los pacientes
2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de cuidados médicos
3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información médica identificable a nivel personal" pasada, presente o futura.
En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y de transacciones médicas.
¿A QUIÉN AFECTA? A todas las organizaciones de salud. Esto incluye a todos los proveedores de asistencia médica, contando a los consultorios de un solo médico, a los planes de salud, empresas, autoridades de salud, compañías de seguros, cámaras de compensación, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios y universidades.
¿HAY SANCIONES? La HIPAA pide sanciones civiles y penales graves en caso de incumplimiento, como multas de hasta 25,000 dólares por violaciones reiteradas del mismo estándar en un solo año, multas de hasta 250,000 dólares o hasta 10 años de prisión por el mal uso consciente de la información de salud identificable a nivel personal.
PLAZOS DE APLICACIÓN La mayoría de las entidades disponen de 24 meses desde la fecha de entrada en vigor de la regla final, para cumplirla en su totalidad. Normalmente, la fecha de entrada en vigor es 60 días después de la publicación de una regla. La Regla sobre transacciones se publicó el 17 de agosto de 2000. Por lo tanto, la fecha de cumplimiento de esa regla es el 16 de octubre de 2002. La Regla sobre confidencialidad se publicó el 28 de diciembre de 2000, pero debido a pequeños problemas técnicos, no entró en vigor hasta el 14 de abril de 2001. El cumplimiento de la regla sobre confidencialidad se exige a partir del 14 de abril de 2003.
¿CÓMO SE APLICARÁ? De manera amplia y profunda. Las respuestas de cumplimiento exigidas no son estándar, ya que las organizaciones tampoco lo son. Por ejemplo, una organización con una red de cómputo deberá poner en funcionamiento uno o más mecanismos de acceso con autenticación de seguridad, basados en los usuarios, las funciones o el contexto, dependiendo del entorno de red.
Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos incluirán:
Fomentar el conocimiento inicial de la HIPAA en toda la organización.
Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los procedimientos de la organización.
Desarrollar un plan de acción con plazos y fechas límite.
Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento.
Poner en marcha un plan de acción completo que incluya
el desarrollo de nuevos reglamentos, procesos y procedimientos
Crear acuerdos de "cadena de confianza" con la organización de servicios.
Rediseñar una infraestructura de información técnica que cumpla los requisitos.
Adaptar o adquirir nuevos sistemas de información
Desarrollar nuevas comunicaciones internas
Capacitación y aplicación
Ahora, exploraremos el siguiente nivel de particularidades de la HIPAA que, para muchos de nosotros, son más fuente de confusión que de entendimiento. Intentemos simplificar la "Simplificación administrativa".
La disposición sobre "Simplificación administrativa" de la HIPAA consta de cuatro partes, cada una de las cuáles genera varias "reglas" y "estándares". Muchas de las reglas y estándares están aún en la fase de "propuesta" (por el DHHS); sin embargo, está previsto que la mayoría de ellas se conviertan en reglas "finales" en el año 2000. Para complicar el asunto aún más, cuando las reglas sean finales, la mayoría de ellas tendrá diferentes fechas de aplicación.
Las cuatro partes de la simplificación administrativa son:
ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD
IDENTIFICADORES ÚNICOS
ESTÁNDARES DE SEGURIDAD Y FIRMAS ELECTRÓNICAS
ESTÁNDARES DE PRIVACIDAD Y CONFIDENCIALIDAD
I. ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD
El término "transacciones electrónicas relacionadas con la salud" incluye las reivindicaciones médicas, la elegibilidad para los planes de salud, la inclusión y exclusión, los pagos de primas de los planes de salud y asistencia, el estado de las reclamaciones, los primeros informes de lesiones, la coordinación de prestaciones y las transacciones relacionadas.
En la actualidad, los proveedores de cuidados y los planes de salud usan un gran número de formatos electrónicos distintos. La aplicación de un estándar nacional significa que todos usaremos un solo formato, lo que "simplificará" y mejorará la eficiencia de las transacciones en todo el país. La regla propuesta exige el uso de formatos electrónicos específicos desarrollados por el ANSI (American National Standards Institute) para la mayoría de las transacciones, con excepción de las reclamaciones y los primeros informes de lesión. La reglamentación propuesta para estas excepciones aún no se conoce.
Prácticamente todos los planes de salud tendrán que adoptar estos estándares, aunque la transacción se realice en papel, por teléfono o por fax. Los proveedores que usan transacciones no electrónicas no tendrán que adoptar los estándares, pero si no lo hacen, deberán contratar a un centro de cambio y compensación que proporcione los servicios de conversión.
Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS ESTÁNDAR para utilizarlos en todas las transacciones médicas. Por ejemplo, los sistemas de codificación que describen las enfermedades, las lesiones y otros problemas de salud, así como sus causas, síntomas y medidas adoptadas deberán ser uniformes. Todas las partes de una transacción deberán usar y aceptar los mismos códigos. Una vez más, esto tiene como fin reducir, a la larga, los errores, la duplicación de esfuerzos y los costos. Afortunadamente, muchos planes de salud, centros de compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición.
II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE SALUD y PACIENTES
El sistema actual nos permite tener varios números de Id. para distintas relaciones entre nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los identificadores estándar reduzcan estos problemas.
III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA ELECTRÓNICA
El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la información médica que se aloje o se transmita electrónicamente, y pertenezca a una persona. Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo.
El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y mantenimiento físicos, para la transmisión y el acceso a la información de salud de una persona. Esto es válido no sólo para las transacciones que se lleven a cabo después de la entrada en vigor de la HIPAA, sino para toda la información de salud de una persona que se conserve o se transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las transacciones realizadas después de la entrada en vigor de la HIPAA.
El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar. Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones realizadas según la HIPAA.
IV. PRIVACIDAD Y CONFIDENCIALIDAD
La regla final de confidencialidad se publicó cuando terminaba el mandato del presidente Clinton, el 28 de diciembre de 2001. Ciertos problemas de papeleo retrasaron la comunicación al Congreso, por lo que la revisión del Congreso no comenzó hasta febrero, lo que retrasó la fecha de entrada en vigor de la regla hasta el 14 de abril de 2001. El Secretario del DHHS, Tommy Thompson, utilizó ese tiempo para solicitar comentarios adicionales durante el mes de marzo. El DHHS recibió más de 11,000 comentarios y como respuesta, tiene previsto emitir lineamientos y aclaraciones sobre la regla final. A partir del 14 de abril de 2003, se exigirá su cumplimiento por parte de la mayoría de las entidades.
En general, la privacidad se refiere a quién puede tener acceso a la información de salud que permite identificar a una persona. La regla abarca toda la información de salud con datos de identificación personal en manos de las entidades afectadas, independientemente de si dicha información está o estuvo en formato electrónico.
Los estándares de confidencialidad:
limitan el uso no consensuado y la divulgación de la información de salud privada;
dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido acceso a ellos;
restringen la divulgación de la información médica a lo mínimo necesario para los fines deseados;
establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos;
establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y otras personas.
La nueva regla refleja los cinco principios básicos planteados en ese momento:
Control del consumidor: la regla proporciona a los consumidores nuevos derechos críticos de control sobre la divulgación de su información médica
Límites: con pocas excepciones, la información de asistencia médica de una persona debe utilizarse exclusivamente para fines de salud legítimos, incluidos el tratamiento y el pago.
Contabilidad: con la HIPAA, por primera vez, habrá sanciones federales específicas si se viola el derecho a la confidencialidad de un paciente.
Responsabilidad pública: los nuevos estándares reflejan la necesidad de equilibrar la protección privada y la responsabilidad pública de apoyar prioridades nacionales, como la protección de la salud pública, el desarrollo de investigaciones médicas, la mejora de la calidad de la atención, y la lucha contra el fraude y el abuso en los servicios de salud.
Seguridad: es responsabilidad de las organizaciones a las que se confía la información médica protegerla contra el mal uso o la divulgación deliberada o accidental.
Fuente: www.hchdonline.com
martes, 6 de diciembre de 2011
sábado, 5 de noviembre de 2011
MÉTODOS Y TÉCNICAS ANTIFORENSES
Según [Cano, 2007] Son métodos que limitan la identificación, adquisición, análisis y validación de la evidencia digital en cuanto a cantidad y calidad.
Cano, también da un concepto más amplio “Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.”
Los objetivos de los métodos antiforenses son [Cano, 2007]:
• Limitar la detección de un evento que haya ocurrido.
• Distorsionar la información residente en el sitio.
• Incrementar el tiempo requerido para la investigación del caso.
• Generar dudas en el informe forense o en el testimonio que se presente.
• Engañar y limitar la operación de las herramientas forenses informáticas.
• Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
• Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.
COMENTARIO:
Entre los métodos antiforenses tenemos desde los más simples e ingeniosos hasta los más tecnificados por ejemplo:
- Uso de programas de freezado de sistema operativo, por ejemplo DeepFreezer
- Uso de CDs booteables que no escriben en el disco rígido y por tanto no dejan rastros.
- Uso de USB con tecnología U3 con propio sistema operativo y programas portables. Una variante en USB que no cuentan con tecnología U3 es el uso de programas portables almacenados en dispositivos USB (Ej. FireFox portable, Emule portable, etc).
- Uso de máquinas virtuales.
- Borrado de históricos del navegador de Internet.
- Ocultamiento de IPs con proxys anónimos.
- Uso de PCs en cibercafes para realizar actividades ilícitas
- Borrar los datos del archivo desde la aplicación. Ejemplo un documento de Word borrar los datos y guardar con el mismo nombre.
- Programas que cambian metadatos. Ej. Fecha de creación, modificación, etc.
- Cambio del dispositivo de almacenamiento (disco rígido utilizado para actividades ilícitas) por uno nuevo de paquete y con los programas que tenía el antiguo.
- Formateo de disco, solo borra el índice que indica donde están los archivos.
- Destrucción de datos (wipeado) mediante la sobreescritura de archivos.
- Ocultar particiones.
- Ocultar archivos mediante cambio de atributo a oculto, cambio de extensión o lo más tecnificado ocultar mediante estenografía en imágenes o audio.
- Encripción de discos y de datos mediante software o mediante hardware.
- Destrucción física es decir romper el disco, imantar, quemar, etc.
Sin embargo de todos los métodos y técnicas mencionados, cabe resaltar que si bien dificultan el trabajo del profesional forense, siempre se podrá recurrir a procedimientos alternativos que encuentren o den indicios de las actividades ilícitas. Por ejemplo: Si se encuentra que un disco rígido fue sometido a técnicas de wipeado se puede presumir que realizaba actividades de las cuales no quería ser descubierto. Si se conectó a Internet se podrá realizar la búsqueda de correos electrónicos, pedir datos a la ISP y es muy posible en algún momento utilizó dispositivos de almacenamiento USB, haber guardado nombres de usuario y contraseña en papeles.
No existe el crimen perfecto pues "siempre" se deja rastros y si existiera algún crimen perfecto, todovía no nos enteramos porque fuen tan perfecto que ocultó o borró bastante bien sus rastros.
También cabe mencionar una frase que me gusta bastante:
"No existe la verdad absoluta y esta frase es una verdad absoluta".
[Cano, 2007], Jeimy Cano. “Estrategias anti-forenses en informática: Repensando la computación forense”, Revista de Derecho Informático, No. 110 - Septiembre del 2007. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 Consultado 16/10/2010
Cano, también da un concepto más amplio “Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.”
Los objetivos de los métodos antiforenses son [Cano, 2007]:
• Limitar la detección de un evento que haya ocurrido.
• Distorsionar la información residente en el sitio.
• Incrementar el tiempo requerido para la investigación del caso.
• Generar dudas en el informe forense o en el testimonio que se presente.
• Engañar y limitar la operación de las herramientas forenses informáticas.
• Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
• Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.
COMENTARIO:
Entre los métodos antiforenses tenemos desde los más simples e ingeniosos hasta los más tecnificados por ejemplo:
- Uso de programas de freezado de sistema operativo, por ejemplo DeepFreezer
- Uso de CDs booteables que no escriben en el disco rígido y por tanto no dejan rastros.
- Uso de USB con tecnología U3 con propio sistema operativo y programas portables. Una variante en USB que no cuentan con tecnología U3 es el uso de programas portables almacenados en dispositivos USB (Ej. FireFox portable, Emule portable, etc).
- Uso de máquinas virtuales.
- Borrado de históricos del navegador de Internet.
- Ocultamiento de IPs con proxys anónimos.
- Uso de PCs en cibercafes para realizar actividades ilícitas
- Borrar los datos del archivo desde la aplicación. Ejemplo un documento de Word borrar los datos y guardar con el mismo nombre.
- Programas que cambian metadatos. Ej. Fecha de creación, modificación, etc.
- Cambio del dispositivo de almacenamiento (disco rígido utilizado para actividades ilícitas) por uno nuevo de paquete y con los programas que tenía el antiguo.
- Formateo de disco, solo borra el índice que indica donde están los archivos.
- Destrucción de datos (wipeado) mediante la sobreescritura de archivos.
- Ocultar particiones.
- Ocultar archivos mediante cambio de atributo a oculto, cambio de extensión o lo más tecnificado ocultar mediante estenografía en imágenes o audio.
- Encripción de discos y de datos mediante software o mediante hardware.
- Destrucción física es decir romper el disco, imantar, quemar, etc.
Sin embargo de todos los métodos y técnicas mencionados, cabe resaltar que si bien dificultan el trabajo del profesional forense, siempre se podrá recurrir a procedimientos alternativos que encuentren o den indicios de las actividades ilícitas. Por ejemplo: Si se encuentra que un disco rígido fue sometido a técnicas de wipeado se puede presumir que realizaba actividades de las cuales no quería ser descubierto. Si se conectó a Internet se podrá realizar la búsqueda de correos electrónicos, pedir datos a la ISP y es muy posible en algún momento utilizó dispositivos de almacenamiento USB, haber guardado nombres de usuario y contraseña en papeles.
No existe el crimen perfecto pues "siempre" se deja rastros y si existiera algún crimen perfecto, todovía no nos enteramos porque fuen tan perfecto que ocultó o borró bastante bien sus rastros.
También cabe mencionar una frase que me gusta bastante:
"No existe la verdad absoluta y esta frase es una verdad absoluta".
[Cano, 2007], Jeimy Cano. “Estrategias anti-forenses en informática: Repensando la computación forense”, Revista de Derecho Informático, No. 110 - Septiembre del 2007. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 Consultado 16/10/2010
viernes, 21 de octubre de 2011
Contralor interno de La Polar revela misterioso “local 70”, entrega a culpables y cuenta cómo se destruirían documentos
Alejandro Aedo, que entregó su testimonio ante la autoridad reguladora el pasado 7 de septiembre durante 3 horas y 41 minutos, explicó cómo se le entregaba información parcial a la cuestionada consultora Price Waterhouse, aunque ésta no podía menos que detectar las anomalías. Asimismo acusa el intento de inducir a posibles testigos en sus declaraciones.
Por primera vez desde que se inició la investigación contra La Polar en la Superintendencia de Valores y Seguros (SVS), uno de los funcionarios que aún se mantiene en la empresa, decidió contar toda la verdad. Y lo hizo con ventilador.
El contralor interno Alejandro Aedo, en su declaración ante la SVS la semana pasada -que publica The Clinic Online- reveló una serie de episodios internos hasta ahora desconocidos y la existencia del misterioso “local 70”. Además cómo se le entregaba información incompleta a la auditora externa Price Waterhouse, el intento de destruir documentos y los -a su juicio- responsables de toda la maquinaria de las renegociaciones unilaterales que investiga el Ministerio Público. Y como si fuera poco, la inducción a otros posibles testigos de parte de un ex empleado de la firma del retail.
El testimonio de Aedo comenzó el pasado 7 de octubre a las 9.00 frente a los investigadores María Luz Schachtebeck y don Hernán Hidalgo Gómez. Duró 3 horas y 41 minutos y quedó plasmado en 11 páginas.
El “local 70”
Este profesional ingresó a La Polar en 2007. A poco andar, les contó a los fiscalizadores de la SVS del llamado “local 70”. Este último no era otro que la sede donde operaba toda la maquinaria para hacer las renegociaciones unilaterales a los clientes sin autorización de estos últimos.
A partir de ese momento, Aedo aseguró que Price Waterhouse, la cuestionada consultora que nunca advirtió las anomalías, tomaba muestras para establecer si se cumplían las políticas de crédito. Los jefes directos de Aedo eran el jefe de Auditoría Héctor Quezada, el subgerente de la misma área Mario Oliva y la gerenta contralora Fabiola Maldonado. En la cúspide estaba la ex ejecutiva María Isabel Farah, hasta ahora una de las principales imputadas de la caída junto al ex gerente general y ex presidente del directorio, Pablo Alcalde, y el ex gerente Julián Moreno.
El recorrido de nombres es relevante en el relato de Aedo, porque asegura que PW, recibió en un correo electrónico una página Excel, del período enero a octubre de 2010., donde se daba cuenta de 70 mil a 80 mil transacciones.
“…Me pareció extraño porque muchas veces en tres o cuatro días se cursaban esa cantidad de transacciones. Al identificar cada celda de transacciones al ver el local 70, que era el de Panamericana visualicé que no había ninguna transacción de dicho local. Solamente contaba con transacciones realizadas en sucursales”, explicó Aedo a la SVS. Esa información, según el profesional, fue canalizada por los ejecutivos mencionados más arriba.
En otras palabras, Price Waterhouse no observó que tenía sólo un 4% de la información para realizar su auditoría y el otro 96% dice Aedo, quedaba en el “local 70”, para que la consultora no lo analizara.
Hasta ahí podría parecer que PW pudo haber sido engañada, sin embargo, Aedo admite que con la información disponible daba al menos para sospechar, porque incluso se hizo un estudio interno en 2009 en La Polar, que daba cuenta de las repactaciones unilaterales que alcanzaban ya a las 300 mil, es decir, dos años antes. Cabe recordar al respecto, que luego que la firma del retail informara al mercado de su verdadera situación patrimonial en junio pasado, se estableció que eran cerca de un millón de chilenos los afectados.
Who is who
En las contrapreguntas a Aedo de parte de la SVS, le consultaron quiénes eran los responsables de saber de la entrega de información a PW -y por extensión al mercado- y cómo le constaba. Aedo contestó:
“Bajo mi criterio, serían los gerentes corporativos, María Isabel Farah, de productos financiero Julián Moreno, gerente de informática Pablo Fuenzalida, ellos eran los representantes y los dueños de las áreas afectadas por la materialización de las renegociaciones. No me consta que se hubieran reunidos pero ellos eran los responsables, administración controlar, informática operar y productos financieros definir las reglas. Al menos una de las tres debería haber señalado que algo extraño ocurría”, aseveró.
Al referirse al caso de Pablo Alcalde, aseguró desconocer si este estaba enterado o no. Sin embargo, tanto en el Ministerio Público como en una presentación hecha en la SVS, Julián Moreno asegura lo contrario.
“Tienen que resetearse”
Aedo no escatimó detalles. También contó cómo Farah les ordenó deshacerse de la información relevante y que pudiera afectarlos, pero asegura que no aceptó.
“Mario Oliva solicita que a petición de María Isabel, había que borrar información sobre el caso, entonces le señalo que claramente al hacer eso nos convierte en participe y ya tenemos la evidencia necesaria que esto es fraude. A lo que responde “¿tú crees que esto era un fraude”? Entonces le contesté que esto era el indicador… En la tarde del mismo día aproximadamente a las 14:30 entra a la oficina Fabiola Maldonado, gerente de contraloría, habla con Mario y cuando se va retirando, nos dice “ya hablaron con uds. Que tienen que resetearse” y sale de la oficina… ”
Por último, indicó que Oliva, trató de inducir a otros posibles testigos del caso en sus declaraciones: “… le solicitó al jefe de auditoría que no me hablara ni se contaminara conmigo y lo empezó a inducir cuales eran las versiones”.
Lee la declaración de Alejandro Aedo
http://issuu.com/theclinic/docs/aedo_svs/1#print
http://issuu.com/theclinic/docs/alcalde_y_moreno_sin_sello_de_agua?mode=window&backgroundColor=%23222222
Fuente: http://www.theclinic.cl
Por primera vez desde que se inició la investigación contra La Polar en la Superintendencia de Valores y Seguros (SVS), uno de los funcionarios que aún se mantiene en la empresa, decidió contar toda la verdad. Y lo hizo con ventilador.
El contralor interno Alejandro Aedo, en su declaración ante la SVS la semana pasada -que publica The Clinic Online- reveló una serie de episodios internos hasta ahora desconocidos y la existencia del misterioso “local 70”. Además cómo se le entregaba información incompleta a la auditora externa Price Waterhouse, el intento de destruir documentos y los -a su juicio- responsables de toda la maquinaria de las renegociaciones unilaterales que investiga el Ministerio Público. Y como si fuera poco, la inducción a otros posibles testigos de parte de un ex empleado de la firma del retail.
El testimonio de Aedo comenzó el pasado 7 de octubre a las 9.00 frente a los investigadores María Luz Schachtebeck y don Hernán Hidalgo Gómez. Duró 3 horas y 41 minutos y quedó plasmado en 11 páginas.
El “local 70”
Este profesional ingresó a La Polar en 2007. A poco andar, les contó a los fiscalizadores de la SVS del llamado “local 70”. Este último no era otro que la sede donde operaba toda la maquinaria para hacer las renegociaciones unilaterales a los clientes sin autorización de estos últimos.
A partir de ese momento, Aedo aseguró que Price Waterhouse, la cuestionada consultora que nunca advirtió las anomalías, tomaba muestras para establecer si se cumplían las políticas de crédito. Los jefes directos de Aedo eran el jefe de Auditoría Héctor Quezada, el subgerente de la misma área Mario Oliva y la gerenta contralora Fabiola Maldonado. En la cúspide estaba la ex ejecutiva María Isabel Farah, hasta ahora una de las principales imputadas de la caída junto al ex gerente general y ex presidente del directorio, Pablo Alcalde, y el ex gerente Julián Moreno.
El recorrido de nombres es relevante en el relato de Aedo, porque asegura que PW, recibió en un correo electrónico una página Excel, del período enero a octubre de 2010., donde se daba cuenta de 70 mil a 80 mil transacciones.
“…Me pareció extraño porque muchas veces en tres o cuatro días se cursaban esa cantidad de transacciones. Al identificar cada celda de transacciones al ver el local 70, que era el de Panamericana visualicé que no había ninguna transacción de dicho local. Solamente contaba con transacciones realizadas en sucursales”, explicó Aedo a la SVS. Esa información, según el profesional, fue canalizada por los ejecutivos mencionados más arriba.
En otras palabras, Price Waterhouse no observó que tenía sólo un 4% de la información para realizar su auditoría y el otro 96% dice Aedo, quedaba en el “local 70”, para que la consultora no lo analizara.
Hasta ahí podría parecer que PW pudo haber sido engañada, sin embargo, Aedo admite que con la información disponible daba al menos para sospechar, porque incluso se hizo un estudio interno en 2009 en La Polar, que daba cuenta de las repactaciones unilaterales que alcanzaban ya a las 300 mil, es decir, dos años antes. Cabe recordar al respecto, que luego que la firma del retail informara al mercado de su verdadera situación patrimonial en junio pasado, se estableció que eran cerca de un millón de chilenos los afectados.
Who is who
En las contrapreguntas a Aedo de parte de la SVS, le consultaron quiénes eran los responsables de saber de la entrega de información a PW -y por extensión al mercado- y cómo le constaba. Aedo contestó:
“Bajo mi criterio, serían los gerentes corporativos, María Isabel Farah, de productos financiero Julián Moreno, gerente de informática Pablo Fuenzalida, ellos eran los representantes y los dueños de las áreas afectadas por la materialización de las renegociaciones. No me consta que se hubieran reunidos pero ellos eran los responsables, administración controlar, informática operar y productos financieros definir las reglas. Al menos una de las tres debería haber señalado que algo extraño ocurría”, aseveró.
Al referirse al caso de Pablo Alcalde, aseguró desconocer si este estaba enterado o no. Sin embargo, tanto en el Ministerio Público como en una presentación hecha en la SVS, Julián Moreno asegura lo contrario.
“Tienen que resetearse”
Aedo no escatimó detalles. También contó cómo Farah les ordenó deshacerse de la información relevante y que pudiera afectarlos, pero asegura que no aceptó.
“Mario Oliva solicita que a petición de María Isabel, había que borrar información sobre el caso, entonces le señalo que claramente al hacer eso nos convierte en participe y ya tenemos la evidencia necesaria que esto es fraude. A lo que responde “¿tú crees que esto era un fraude”? Entonces le contesté que esto era el indicador… En la tarde del mismo día aproximadamente a las 14:30 entra a la oficina Fabiola Maldonado, gerente de contraloría, habla con Mario y cuando se va retirando, nos dice “ya hablaron con uds. Que tienen que resetearse” y sale de la oficina… ”
Por último, indicó que Oliva, trató de inducir a otros posibles testigos del caso en sus declaraciones: “… le solicitó al jefe de auditoría que no me hablara ni se contaminara conmigo y lo empezó a inducir cuales eran las versiones”.
Lee la declaración de Alejandro Aedo
http://issuu.com/theclinic/docs/aedo_svs/1#print
http://issuu.com/theclinic/docs/alcalde_y_moreno_sin_sello_de_agua?mode=window&backgroundColor=%23222222
Fuente: http://www.theclinic.cl
Superintendencia formula cargo contra PwC por deficiencias al auditar a filial de La Polar
La autoridad hizo seis reparos y dijo que en su propia revisión detectó cosas que no vio Price.
Después de más de tres meses de investigación en relación a la emisora de tarjetas de crédito de La Polar, Inversiones SCG, la Superintendencia de Bancos e Instituciones Financieras (Sbif) hizo una inédita formulación de cargo contra una auditora: PriceWaterHouseCopper (PwC). La medida obedece a que detectó deficiencias en su labor de auditora externa, al analizar la gestión de riesgo de la filial de Empresas La Polar, que en junio reveló graves irregularidades en el manejo de la cartera de créditos.
Fuentes cercanas al proceso indicaron que el ente regulador y fiscalizador, dirigido por Carlos Budnevich, hizo seis reparos a la labor de Price, los cuales dieron origen a la formulación de un cargo. Este se refiere a "diversos reparos u observaciones respecto del referido Informe de Procedimientos Acordados" -que se exige a este tipo de emisores de tarjetas-, por cuanto éste no se habría fundado en "técnicas y procedimientos de auditoría que otorguen un grado razonable de confiabilidad, proporcionen elementos de juicio suficientes y su contenido sea veraz, completo y objetivo", como lo exige el artículo 248 inciso 1° de la Ley N° 18.045.
"Las deficiencias observadas consisten, en lo fundamental, en que la auditora omitió aspectos relevantes (no formuló excepciones) relativos a riesgos de créditos, renegociaciones, provisiones e independencia de la auditoría interna, que sí fueron detectados en la revisión de la Sbif, demostrando falencias en el trabajo realizado por PwC", dijo la superintendencia. La Sbif, cuestionada en la comisión investigadora de la Cámara de Diputados por su labor fiscalizadora en este caso, justificó el cargo, indicando que para los emisores de tarjetas de crédito no bancarios existe un régimen de fiscalización delegado en auditores externos, basado en la entrega anual del Informe de Procedimientos Acordados.
Reparos
Fuentes cercanas revelaron que fueron seis los reparos a labor desempeñada por Price. Uno de ellos se refiere a que la auditora no identificó que la auditoría interna de la filial de La Polar dependía de la contraloría, lo que evidenciaría poca independencia de juicio y un limitado nivel jerárquico.
Otro punto sería el que los procedimientos de gestión de crédito no eran visados por el directorio de la compañía, ni por la gerencia de la empresa. La Sbif indicó que la auditora tampoco advirtió que la función contralora estaba radicada en una subgerencia de la multitienda, otro factor revelador de la débil fiscalización.
Cuestionó que la política de provisiones no fuera la indicada, pues la auditora no observó que se estaban vulnerando las políticas de crédito en materia de renegociaciones de créditos. También detectó ausencia de documentación relativa a metodología de provisiones. Price confirmó que realizará sus descargos en el plazo legal de 10 días hábiles. Tras eso la Sbif definirá sanciones.
El cargo contra la firma auditora
La Sbif acusa a Price de vulnerar el artículo 248 de la ley del Mercado de Valores, que le obliga a fundar sus informes en procedimientos confiables y entregar un contenido veraz, completo y objetivo. Además, asegura que en su propia revisión detectó faltas de SCG que Price debió ver.
Las sanciones a las que se expone Price
La línea de sanciones para la auditora considera multas, que pueden llegar hasta UF 5.000 ($ 110 millones), pero también abre la posibilidad de suspenderle la licencia. Sin embargo, fuentes cercanas indicaron que existen pocas posibilidades de que la Sbif cancele a una transnacional.
La defensa de la empresa auditora.
Price también recibió formulación de cargos por parte de la Superintendencia de Valores y Seguros, incluyendo al socio encargado de La Polar. La auditora replicó con una demanda contra quien resulte responsable, acusando que recibió información falsa y que existía contabilidad paralela.
Fuente: http://diario.latercera.com
Después de más de tres meses de investigación en relación a la emisora de tarjetas de crédito de La Polar, Inversiones SCG, la Superintendencia de Bancos e Instituciones Financieras (Sbif) hizo una inédita formulación de cargo contra una auditora: PriceWaterHouseCopper (PwC). La medida obedece a que detectó deficiencias en su labor de auditora externa, al analizar la gestión de riesgo de la filial de Empresas La Polar, que en junio reveló graves irregularidades en el manejo de la cartera de créditos.
Fuentes cercanas al proceso indicaron que el ente regulador y fiscalizador, dirigido por Carlos Budnevich, hizo seis reparos a la labor de Price, los cuales dieron origen a la formulación de un cargo. Este se refiere a "diversos reparos u observaciones respecto del referido Informe de Procedimientos Acordados" -que se exige a este tipo de emisores de tarjetas-, por cuanto éste no se habría fundado en "técnicas y procedimientos de auditoría que otorguen un grado razonable de confiabilidad, proporcionen elementos de juicio suficientes y su contenido sea veraz, completo y objetivo", como lo exige el artículo 248 inciso 1° de la Ley N° 18.045.
"Las deficiencias observadas consisten, en lo fundamental, en que la auditora omitió aspectos relevantes (no formuló excepciones) relativos a riesgos de créditos, renegociaciones, provisiones e independencia de la auditoría interna, que sí fueron detectados en la revisión de la Sbif, demostrando falencias en el trabajo realizado por PwC", dijo la superintendencia. La Sbif, cuestionada en la comisión investigadora de la Cámara de Diputados por su labor fiscalizadora en este caso, justificó el cargo, indicando que para los emisores de tarjetas de crédito no bancarios existe un régimen de fiscalización delegado en auditores externos, basado en la entrega anual del Informe de Procedimientos Acordados.
Reparos
Fuentes cercanas revelaron que fueron seis los reparos a labor desempeñada por Price. Uno de ellos se refiere a que la auditora no identificó que la auditoría interna de la filial de La Polar dependía de la contraloría, lo que evidenciaría poca independencia de juicio y un limitado nivel jerárquico.
Otro punto sería el que los procedimientos de gestión de crédito no eran visados por el directorio de la compañía, ni por la gerencia de la empresa. La Sbif indicó que la auditora tampoco advirtió que la función contralora estaba radicada en una subgerencia de la multitienda, otro factor revelador de la débil fiscalización.
Cuestionó que la política de provisiones no fuera la indicada, pues la auditora no observó que se estaban vulnerando las políticas de crédito en materia de renegociaciones de créditos. También detectó ausencia de documentación relativa a metodología de provisiones. Price confirmó que realizará sus descargos en el plazo legal de 10 días hábiles. Tras eso la Sbif definirá sanciones.
El cargo contra la firma auditora
La Sbif acusa a Price de vulnerar el artículo 248 de la ley del Mercado de Valores, que le obliga a fundar sus informes en procedimientos confiables y entregar un contenido veraz, completo y objetivo. Además, asegura que en su propia revisión detectó faltas de SCG que Price debió ver.
Las sanciones a las que se expone Price
La línea de sanciones para la auditora considera multas, que pueden llegar hasta UF 5.000 ($ 110 millones), pero también abre la posibilidad de suspenderle la licencia. Sin embargo, fuentes cercanas indicaron que existen pocas posibilidades de que la Sbif cancele a una transnacional.
La defensa de la empresa auditora.
Price también recibió formulación de cargos por parte de la Superintendencia de Valores y Seguros, incluyendo al socio encargado de La Polar. La auditora replicó con una demanda contra quien resulte responsable, acusando que recibió información falsa y que existía contabilidad paralela.
Fuente: http://diario.latercera.com
La Polar, o cómo nos contagiamos del Síndrome Arthur Andersen
Uno de los asuntos polémicos del caso Enron que fue largamente descrito en el libro Final Accounting sobre el rol de Arthur Andersen en esa crisis, es la dualidad que tenían las empresas auditoras como vendedoras de servicios de consultorías a la vez auditaban los estados financieros. En el libro se describe con lujo de detalles, como el área de consultoría presionaba al área de auditoría para que no fuera tan estricta en sus revisiones, cosa de no perder un cliente, ya que los ingresos por otros servicios eran más atractivos para las auditoras.
Las fiestas en la empresa prometían ser cada vez mejores. Los ejecutivos, excelentemente pagados tenían mucho que mostrar a los accionistas. Años recientes de buen desempeño accionario, una expansión internacional en ciernes, además finalmente un buen gobierno de derecha que parara en seco las regulaciones de la industria, hacían que el sueño siguiera vivo. Pero de repente ocurrió la debacle: datos sobre las utilidades reales de la compañía no eran correctos, pese a que habían sido auditados por una de las empresas más reconocidas de la plaza.
Esta historia que suena igual a lo vivido ayer en la crisis de La Polar, corresponde en realidad a la vieja historia de Enron de hace 10 años y su socia en el fraude: la auditora Arthur Andersen. Suena historia conocida la publicación de un hecho esencial en la página de la Superintendencia de Valores y Seguros que indicaba que la empresa detectó que se realizaron prácticas de crédito que no fueron autorizadas por el directorio y que implicarían provisiones adicionales en montos que oscilan entre 150 y 200 mil millones de pesos, según la estimaciones preliminares.
Y al igual que la gigante de Texas, las acciones se desplomaran en un 44,8% en el día negro de La Polar. Más aún: el año anterior para La Polar había sido excelente, pues sus acciones habían subido un 20,2 % en el 2010. Los estados financieros mostraban una envidiable utilidad de casi 30 mil millones de pesos. Una empresa sólida, al igual que lo era Enron.
La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra.
Debido al alto nivel de créditos que otorga la Polar a sus clientes, ésta debe hacer provisiones en sus estados de resultados, con el objeto de prever situaciones de no pago y de morosidad. El objeto de ello es sincerar el real riesgo que tienen los ingresos de la empresa. En el caso de las instituciones financieras operan reglas de la Superintendencia de Bancos, pero que no necesariamente deben ser adoptados en el mundo del retail. Una política de previsiones que haga el supuesto de una cartera más sólida y con mejor comportamiento de pago, implica mejores utilidades para la compañía. Estas son claramente riesgosas, pues un sinceramiento de la situación crediticia, y con bajas provisiones puede implicar un desplome de la empresa.
Las solas estimaciones que ha hecho la empresa implican montos de más de cinco veces las utilidades del año anterior, y es razonable que la duda respecto a que las provisiones sean aún mayores. Ante esa incerteza cundió el pánico en el mercado. La lectura de la bolsa fue una sola: la Polar tiene una cartera mucho más morosa que la que ha declarado en los estados financieros y en vez de utilidades tiene pérdidas por montos desconocidos.
La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra. Pero el problema no es la empresa auditora, sino una lección del caso Enron que no ha sido corregida en Chile.
Uno de los asuntos polémicos del caso Enron que fue largamente descrito en el libro Final Accounting sobre el rol de Arthur Andersen en esa crisis, es la dualidad que tenían las empresas auditoras como vendedoras de servicios de consultorías a la vez auditaban los estados financieros. En el libro se describe con lujo de detalles, como el área de consultoría presionaba al área de auditoría para que no fuera tan estricta en sus revisiones, cosa de no perder un cliente, ya que los ingresos por otros servicios eran más atractivos para las auditoras. Y al igual que ocurre hoy en Chile, las empresas auditoras tienen mejores ingresos a través de sus áreas de consultoría que dando fe de la certeza de los estados financieros. Una revisión de la web de la empresa auditora de La Polar muestra la importancia que le asignan a estos negocios anexos, convertidos en el rubro principal.
Esta historia se ha convertido en un caso de estudio largamente debatido en escuelas de negocios, incluyendo varios MBA en Chile, a los que sospecho que deben haber asistido muchos profesionales de La Polar y de PwC. La venta de estos negocios a un mismo cliente, que son claramente incompatibles entre sí, es llamada en muchas escuelas de negocios como el Síndrome Arthur Andersen.
En el código de conducta de Pwc en Chile y que está publicado en su web no se menciona nada respecto a qué hacer ante un cliente que tiene contratado los servicios de consultoría y al que se le deben auditar sus balances encontrándole errores. Tampoco es posible ver cuál es la política de PwC respecto a sus criterios para vender conjuntamente la auditoría con otros servicios. En realidad ninguna empresa auditora transparenta esa, y queda mucha tarea para la Superintendencia de Valores y Seguros en esta área. Que debiera partir, por cierto, con volver a leer el caso Enron.
Fuente: http://www.elmostrador.cl
Las fiestas en la empresa prometían ser cada vez mejores. Los ejecutivos, excelentemente pagados tenían mucho que mostrar a los accionistas. Años recientes de buen desempeño accionario, una expansión internacional en ciernes, además finalmente un buen gobierno de derecha que parara en seco las regulaciones de la industria, hacían que el sueño siguiera vivo. Pero de repente ocurrió la debacle: datos sobre las utilidades reales de la compañía no eran correctos, pese a que habían sido auditados por una de las empresas más reconocidas de la plaza.
Esta historia que suena igual a lo vivido ayer en la crisis de La Polar, corresponde en realidad a la vieja historia de Enron de hace 10 años y su socia en el fraude: la auditora Arthur Andersen. Suena historia conocida la publicación de un hecho esencial en la página de la Superintendencia de Valores y Seguros que indicaba que la empresa detectó que se realizaron prácticas de crédito que no fueron autorizadas por el directorio y que implicarían provisiones adicionales en montos que oscilan entre 150 y 200 mil millones de pesos, según la estimaciones preliminares.
Y al igual que la gigante de Texas, las acciones se desplomaran en un 44,8% en el día negro de La Polar. Más aún: el año anterior para La Polar había sido excelente, pues sus acciones habían subido un 20,2 % en el 2010. Los estados financieros mostraban una envidiable utilidad de casi 30 mil millones de pesos. Una empresa sólida, al igual que lo era Enron.
La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra.
Debido al alto nivel de créditos que otorga la Polar a sus clientes, ésta debe hacer provisiones en sus estados de resultados, con el objeto de prever situaciones de no pago y de morosidad. El objeto de ello es sincerar el real riesgo que tienen los ingresos de la empresa. En el caso de las instituciones financieras operan reglas de la Superintendencia de Bancos, pero que no necesariamente deben ser adoptados en el mundo del retail. Una política de previsiones que haga el supuesto de una cartera más sólida y con mejor comportamiento de pago, implica mejores utilidades para la compañía. Estas son claramente riesgosas, pues un sinceramiento de la situación crediticia, y con bajas provisiones puede implicar un desplome de la empresa.
Las solas estimaciones que ha hecho la empresa implican montos de más de cinco veces las utilidades del año anterior, y es razonable que la duda respecto a que las provisiones sean aún mayores. Ante esa incerteza cundió el pánico en el mercado. La lectura de la bolsa fue una sola: la Polar tiene una cartera mucho más morosa que la que ha declarado en los estados financieros y en vez de utilidades tiene pérdidas por montos desconocidos.
La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra. Pero el problema no es la empresa auditora, sino una lección del caso Enron que no ha sido corregida en Chile.
Uno de los asuntos polémicos del caso Enron que fue largamente descrito en el libro Final Accounting sobre el rol de Arthur Andersen en esa crisis, es la dualidad que tenían las empresas auditoras como vendedoras de servicios de consultorías a la vez auditaban los estados financieros. En el libro se describe con lujo de detalles, como el área de consultoría presionaba al área de auditoría para que no fuera tan estricta en sus revisiones, cosa de no perder un cliente, ya que los ingresos por otros servicios eran más atractivos para las auditoras. Y al igual que ocurre hoy en Chile, las empresas auditoras tienen mejores ingresos a través de sus áreas de consultoría que dando fe de la certeza de los estados financieros. Una revisión de la web de la empresa auditora de La Polar muestra la importancia que le asignan a estos negocios anexos, convertidos en el rubro principal.
Esta historia se ha convertido en un caso de estudio largamente debatido en escuelas de negocios, incluyendo varios MBA en Chile, a los que sospecho que deben haber asistido muchos profesionales de La Polar y de PwC. La venta de estos negocios a un mismo cliente, que son claramente incompatibles entre sí, es llamada en muchas escuelas de negocios como el Síndrome Arthur Andersen.
En el código de conducta de Pwc en Chile y que está publicado en su web no se menciona nada respecto a qué hacer ante un cliente que tiene contratado los servicios de consultoría y al que se le deben auditar sus balances encontrándole errores. Tampoco es posible ver cuál es la política de PwC respecto a sus criterios para vender conjuntamente la auditoría con otros servicios. En realidad ninguna empresa auditora transparenta esa, y queda mucha tarea para la Superintendencia de Valores y Seguros en esta área. Que debiera partir, por cierto, con volver a leer el caso Enron.
Fuente: http://www.elmostrador.cl
“Price Waterhouse es cómplice de la situación de La Polar”
Tomás Fabres, Director de Fundación Chile Ciudadano:
“Price Waterhouse es cómplice de la situación de La Polar”
El director ejecutivo de la Fundación Chile Ciudadano, Tomás Fabres, aseguró que la empresa Price Waterhouse, que realizó una auditoría externa a La Polar, es cómplice de la situación.
“El gran escándalo aquí tiene relación con la empresa Price Waterhouse que sin duda debe haber conocido esta situación y negoció con el directorio o con algún ejecutivo alto de la compañía para no revelar los estados financieros”, sostuvo en entrevista con Radio Bío Bío.
En ese sentido, el abogado señaló que ha sido testigo en reiteradas ocasiones de cómo las firmas de auditores negocian las notas de los estados financieros con los directorios.
“Si una auditoría interna o externa no es capaz de detectar que uno de cada cinco clientes está siendo ‘bicicletiado’ es porque, simplemente, está bien ‘mojadito’ o le dicen mira para el norte en vez de hacer su pega”, insistió Fabres.
Asimismo, explicó que “a partir del año 2007 La Polar inició una política muy agresiva de ampliación de su cartera de clientes, y por medio de sus filiales que están encargadas de evaluar a los clientes, otorgaron créditos por montos muy pequeños a personas que no tenían ninguna capacidad de pago”.
“Las principales afectadas son dueñas de casas que simplemente no tienen ingresos para cancelar las deudas ya que generalmente administran un presupuesto familiar. A ese nicho apostó La Polar en el año 2007”, acotó.
“Como era de esperarse muchas de esas señoras contrajo las deudas sin que supieran sus maridos y lloran hoy día porque no saben cómo explicarle hoy a sus maridos que tienen una deuda de dos millones. Ellas no fueron capaces de responder a sus compromisos y La Polar, en vez de aplicar la ley que obliga a castigar cuando no se paga la cuota, decidió interpretar por su cuenta el contrato detectando cláusulas que le permiten repactar las deudas con el cliente, situación que es ilegal”, afirmó el director ejecutivo de la Fundación Chile Ciudadano.
De igual modo, hizo hincapié en que la Fundación está estudiando interponer una querella criminal, por cuanto existe información falsa en los balances de La Polar, lo que a su juicio es un delito.
Fuente: http://www.elmostrador.cl
martes, 18 de octubre de 2011
Sincronismo de tiempo, un elemento para la "Duda Razonable"
Lamentablemente la definición de hora oficial no ha pasado de ser un tema legalmente definido a técnicamente implementado. Si bien por ley del año 1992 se ha definido que el Observatorio de Santa Ana de Tarija, en virtud de contar con un reloj atómico, generosamente donado por la entonces Unión Soviética y luego mediante ley del año 1993 donde se definió que era la Academia Nacional de Ciencias encargada de la difusión de la misma, ninguna de las disposiciones legales ha sido cumplida. Los motivos son desconocidos, pero el efecto de no contar con ello es una bomba de tiempo en el plano de la fiabilidad de la evidencia digital que tiene como factor su asociación a un hecho en tiempo además del espacio.
Si bien hablamos mucho de la “Hora Boliviana” como la explicación a la impuntualidad de las personas y autoridades, pues en materia forense esto puede ser lapidario para la fiabilidad de evidencia digital. La inexistencia por un lado de fuente oficial de consulta y referencia de la hora nacional hace que todos sincronicen sus relojes como mejor les parece. Si pensáramos en singular quizá unos minutos mas o unos menos no serian significativos, pero cuando entendemos que debe haber un intercambio de datos o diferentes acciones deben ser realizadas en relativo o absoluto sincronismo encontramos dificultades que si bien parecen irrelevantes, serán de vital importancia cuando queramos usar estos registros de tiempo para fines legales.
Donde podemos observar este problema de mayor manera? Pues en el intercambio de datos utilizando operadores diferentes como ENTEL, VIVA, TIGO, AXS y el resto de las empresas. También es notoria la falta de sincronismo entre los Bancos, cuando cada uno de ellos tiene su propia hora, pero cuando uno hace transacciones interbancarias por ejemplo solo retirar dinero de un cajero automático de otro banco diferente al titular de las tarjetas. Es importante destacar que ninguna de las entidades que regulan estos sectores ha definido la obligatoriedad de sincronizar tiempo. Tanto la ASFI como la ATT no han definido ahora con su nueva denominación o en su calidad anterior de superintendencias. Un sector que tiene este tema controlado y puede servir de ejemplo es el eléctrico, donde el CNDC (Centro Nacional de Despacho y Carga) ubicado en Cochabamba, facultado legalmente es generador de la Hora oficial para ese sector, estando todos los participantes (generación, transporte y distribución) en la obligatoriedad de sincronizar.
Decimos una bomba de tiempo por cuanto cada vez se hace más frecuente el uso de la evidencia digital para probar la ocurrencia de un hecho en un determinado momento de tiempo, pero con la falta de sincronización de tiempo, puede darse que el registro del tiempo o es anterior al mismo hecho o es posterior pero no de manera razonable. Ahora si se cuentan con 2 o más registros del mismo hecho en diferentes fuentes, puede darse el caso de no coincidencia entre ellos. En esa situación se complica explicar en términos forenses estas diferencias dando lugar al uso de la figura legal de “duda razonable” en afectación de la fiabilidad de la evidencia digital. En términos más claros y directos, se puede pedir la exclusión de determinada evidencia que presente esta duda respecto al tiempo real entre lo ocurrido y lo registrado.
Para demostrar este hecho se han realizado pruebas contra medios de telecomunicación pro televisión, sitios web de diferentes instituciones entre bancos, operadores de telefonía, sector eléctrico, teniendo diferencias de más de 30 minutos en el registro de tiempos. Al interior de las empresas durante actividades de consultoría se ha podido evidenciar la falta de sincronización en algunos casos TOTAL y en otros de aquellos dispositivos que no están integrados mediante una red de datos. Como solucionar esto? Pues operativizando las leyes ya formuladas hace 19 años. Tanto las entidades de regulación sectorial como ministerios deben retomar esta necesidad que afecta significativamente.
Instrumentando la difusión por medio oficiales de la Hora Oficial y obligando a que TODOS sincronicemos sin justificativo alguno el tiempo de nuestros registros y en general de cada reloj en el territorio nacional
*******
El contenido de esta nota ha sido expuesto por ya mas de 2 años en diferentes instancias con la finalidad de que pueda ser solucionado, pero ante la negativa de hacerlo vemos conveniente colocarlo como tema de discusión abierta. Esperamos que ahora o en un futuro cercano sea tomado en cuenta.
Autor: Guido Rosales Uriona
Fuente: www.rosalesuriona.com
jueves, 6 de octubre de 2011
Programas de Capacitación "CISO - FCA" 2011
YanapTI Corp. tiene el agrado de invitar a los profesionales de la ciudad de Cochabamba a formar parte del ciclo de capacitación de los programas: CISO y FCA "Modalidad Presencial" que se inician el Sabado 08 de octubre, bajo el siguiente detalle:
CISO - CERTIFIED INFORMATION SECURITY OFFICER
Formación y especialización de Oficiales de Seguridad de la Información.
- Inicio: 08 de Octubre
- Horarios: Sábados de 08:00 a 13:00
- Inversión: 750 $us
- Duración: 10 semanas
- Contenido:
1. Gobierno de Seguridad de la Información
2. Gestión de Riesgos
3. Derecho Informático
4. Seguridad en el Desarrollo de Aplicaciones
5. Seguridad en Telecomunicaciones y Redes
6. Seguridad de Infraestructura
7. Criptografía
8. Auditoria de Sistemas
9. Incidentes e Informática Forense
10. Continuidad del Negocio
FCA - FORENSIC COMPUTER ADVISOR
Formación y especialización de Investigadores Forenses y/o Peritos Informáticos.
- Inicio: 08 de Octubre
- Horarios: Sábados de 14:00 a 19:00
- Inversión: 750 $us
- Duración: 10 semanas
- Contenido:
1. Gestión de Riesgos
2. Laboratorio 1: Software Forense
3. Laboratorio 2: Forense en Celulares - Rastreo en Internet
4. Seguridad de la Información
5. Auditoria Forense
6. Derecho Informático Penal
7. Anatomía de los Delitos Informáticos
8. Escena Electrónica del Hecho: Hardware Forense
9. Informática Forense: Electrónica, software y hardware forense
10. Práctica Forense: Litigio Oral
Bajo la Campaña "BOLIVIA CIBERSEGURA" y con la intención de apoyar el desarrollo uniforme en todo el país YanapTI Corp. ha conseguido apoyo de las marcas internacionales que representa para ofrecer “Becas” del 50% de descuento.
Inversion por programa por la campaña: 375 $us
INFORMES E INSCRIPCIONES
- Dirección: Edif. “Aly” 5to piso, Dpto. 5B. c/ Jordán Nro. 672 entre Lanza y Antezana
- Teléfono: 4661155
- E mail: capacitacion@yanapti.com
- Mayores detalles: www.yanapti.com/penta - www.segurynfo.com
viernes, 16 de septiembre de 2011
GFI Ayuda a cumplir requerimientos PCI
GFI proporciona herramientas software que le permiten monitorizar la adhesión al estándar PCI y le avisan cuando tienen lugar sucesos no autorizados relativos a información de titulares de tarjetas.
GFI EventsManager, GFI LANguard Network Security Scanner (N.S.S.) y GFI EndPointSecurity son tres galardonados productos de seguridad de red de GFI. Mediante la auditoría, monitorización, generación de informes y alerta estos productos pueden ayudarle a dirigir varias secciones de nueve de los 12 requerimientos PCI, como se ilustra en la siguiente Tabla:
GFI EventsManager
El análisis de la información de sucesos está directamente especificada en el requerimiento 10 (Tabla ) pero monitorizar los sucesos es una buena práctica para cualquier organización.
En un entorno de red típico, la información de sucesos está distribuida y es voluminosa y crítica. Las herramientas de análisis de sucesos suministradas junto con la mayoría de sistemas operativos ofrecen sólo las más básicas características. Como resultado, los administradores no tienen forma de ser avisados cuando se registran sucesos concretos importantes o problemáticos, tales como el acceso no autorizado a información de titulares de tarjetas. Las utilidades de revisión y filtrado de sucesos proporcionadas por estas herramientas tienen muy limitadas capacidades de búsqueda y filtrado.
GFI EventsManager es una completa solución de administración de registros que vence todos estos obstáculos, permitiéndole centralizar los sucesos, automatizar la recogida de sucesos, recibir alertas y emitir informes de investigación. Cuando se recogen sucesos, los conjuntos de reglas incluidos en GFI EventsManager procesan los sucesos para clasificarlos y activar alertas/acciones en consecuencia. Uno de los conjuntos predefinidos proporcionado está específicamente orientado hacia la clasificación de los sucesos en base a los requerimientos PCI. El análisis de sucesos puede llevarse a cabo mediante el examinador de sucesos incluido; también se pueden crear y ejecutar consultas para recuperar y analizar sucesos concretos.
Mediante GFI EventsManager los negocios pueden asegurar que todos los sucesos relacionados con la información de titulares de tarjetas están siendo constantemente monitorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/eventsmanager/
GFI LANguard Network Security Scanner
La administración de vulnerabilidad es central para los requerimientos 5 y 6 (Tabla). Sin embargo, ser capaz de detectar vulnerabilidades en varias áreas cubiertas por otros requerimientos es de extrema importancia.
GFI LANguard Network Security Scanner (N.S.S.) dirige los tres pilares de la administración de vulnerabilidad: análisis de seguridad, administración de parches y auditoría de red en una solución integrada. GFI LANguard N.S.S. escanea toda la red buscando más de 15.000 vulnerabilidades, identifica todos los posibles problemas de seguridad y proporciona a los administradores las herramientas que necesitan para detectar, evaluar, informar y remediar cualquier amenaza antes de que lo hagan los hackers.
Manejar separadamente problemas relacionados con la vulnerabilidad, la administración de parches y la auditoría de red, a veces utilizando varios productos, es una importante preocupación para los administradores. No solo tienen que instalar, aprender a manejar y administrar varias soluciones, sino que gastan la mayor parte de su tiempo intentando comprender dónde están los problemas en lugar de tratar realmente las amenazas que puedan estar presentes. Utilizando una única consola con amplias funcionalidades de generación de informes, la solución integrada GFI LANguard N.S.S. ayuda a los administradores a dirigir estos asuntos más rápida y eficazmente.
Mediante GFI LANguard N.S.S. los negocios pueden asegurar que la información de titulares de tarjetas se mantiene en un entorno seguro. Para más información y descargar el producto, visite http://www.gfihispana.com/es/lannetscan/.
GFI EndPointSecurity
Proteger la información almacenada de titulares de tarjetas, requerimiento 3 (Tabla), es un requerimiento clave del estándar de seguridad de datos PCI. Asegurar que estos datos no caen en malas manos es crucial.
Es un hecho bien conocido que los dispositivos de almacenamiento masivo, tales como las unidades USB, han crecido en popularidad en los últimos años. Son sencillos y fáciles de instalar, capaces de almacenar enormes cantidades de información, y suficientemente pequeños para llevarlos en un bolsillo. Sin mecanismos de seguridad, copiar toda la información de titulares de tarjetas en dichos dispositivos puede ser fácil y rápidamente realizado.
GFI EndPointSecurity es la solución de seguridad que le ayuda a mantener la integridad de la información evitando la transferencia no autorizada de contenido a y desde los dispositivos portátiles de almacenamiento. Mediante su tecnología, GFI EndPointSecurity le habilita para permitir o denegar el acceso a un dispositivo así como asignar (en caso de ser aplicable) privilegios 'control total' o 'sólo lectura' sobre un dispositivo particular o a un usuario/grupo local o del Directorio Activo. Con GFI EndPointSecurity puede registrar la actividad de todos los dispositivos portátiles que estén siendo utilizados en sus equipos de red, incluyendo le fecha/hora de uso y por quien fue utilizado el dispositivo.
Mediante GFI EndPointSecurity los negocios pueden asegurar que la información de titulares de tarjetas no está siendo copiada en dispositivos de almacenamiento no autorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/endpointsecurity/.
Fuente: White Paper “PCI DSS Sencillo” - www.gfihispana.com
miércoles, 14 de septiembre de 2011
¡Lanzamiento de ESET NOD32 Antivirus y ESET Smart Security Versión 5!
ESET se complace en anunciar el lanzamiento de la nueva versión 5 de sus productos estrella: ESET NOD32 Antivirus 5 y ESET Smart Security 5, los cuales cuentan con nuevas funciones y mejoras tecnologicas combinadas con características avanzadas para proteger el equipo ante todo tipo de amenazas.
A continuación las características de estas nuevas versiones:
Analisis automaticos de dispositivos removibles: Bloquea las amenazas que intentan ingresar al equipo a través de medios removibles. ESET Smart Security 5 y ESET NOD32 Antivirus 5 llevan adelante una exploración automática del contenido de todos los USBs, CDs y DVDs.
Control avanazado de medios removibles: Los usuarios pueden bloquear medios específicos en base a una serie de párametros como el ID del dispositivo, el tipo de medio y el número de serie.
Procedimiento de inicio optimizado: ESET Smart Security 5 y ESET NOD32 Antivirus 5 permiten al usuario comenzar a trabajar en la computadora inmediatamente luego del inicio sin comprometer la seguridad.
Modo Gamer: Cuando se encuentra en Modo Pantalla Completa, ESET Smart Security 5 y ESET NOD 32 Antivirus 5 cambian automáticamente a modo silencioso para ahorrar recursos del sistema y que los usuarios puedan disfrutar de sus juegos o concentrarse en importantes tareas laborales sin distracciones de ventanas emergentes.
Característica avanzada para el sistema de prevención de intrusiones basado en el host (HIPS): Esta característica es para los verdaderos expertos en informática: ahora es posible personalizar la conducta del sistema con más detalle; por ejemplo, especificar reglas para el registro del sistema, los procesos activos y los programas así como ajustar la postura en seguridad.
Minimo Impacto en el Sistema: La compilación exclusiva de ESET NOD32 Antivirus se ha ido optimizando con el transcurso de los años para adaptarse a la perfección al entorno del sistema. ESET diseñó una solución inteligente con el mínimo impacto en el sistema, comparado a los productos de la competencia, que asegura una carga rápida y un funcionamiento sin inconvenientes.
Protección exhaustiva de su identidad en línea: Mediante el uso de varias capas de detección, ESET NOD32 Antivirus bloquea todos los vectores de ataque utilizados por las amenazas informáticas que intentan exponer la información confidencial del usuario. La exploración basada en la nube incrementa aún más el nivel de seguridad.
ESET Live Grid: Es un avanzado sistema de alerta temprana contra amenazas emergentes que se basa en la reputación. Mediante el uso de la transmisión por secuencias en tiempo real de información relacionada con amenazas desde la nube, el laboratorio de virus de ESET mantiene las defensas al día para brindar un nivel constante de protección.
Ademas en ESET Smart Security 5 se agregan las siguientes funcionalidades:
Control Parental: Bloquea sitios que pueden contener material potencialmente ofensivo. Además, los padres puede prohibir el acceso de hasta 20 categorías de páginas web predeterminadas.
Antispam mejorado: El módulo antispam integrado a ESET Smart Security ha sido sometido a un proceso de optimización para lograr incluso un nivel más alto de precisión en la detección.
Firewall inteligente: ESET Smart Security 5 ayuda a controlar el tráfico de la red y a prevenir que usuarios no autorizados accedan al equipo en forma remota.
Seguridad en Linea: Debido a la creciente exposición al riesgo en Internet, la nueva versión de ESET Smart Security detecta todos los tipos de amenazas provenientes de la Web. Entre ellas se incluyen los fraudes a través de los medios sociales y la ingeniería social, a los que los miembros de su familia y los niños están expuestos diariamente.
Ambos productos se rediseñaron para mejorar la usabilidad de los mismos con el propósito de enriquecer la experiencia general del usuario, de forma que el usuario esté al mando.
La multipremiada solución de seguridad de ESET, sigue sumando nuevas funcionalidades y mejoras en su última versión que como bien se mencionaron abarcan otros aspectos que lo hacen hoy en dia una solución robusta, liviana ya que cuenta con la tecnología más rápida y eficaz del mercado para la protección contra todo tipo de malware.
Fuente: ESET Bolivia
martes, 13 de septiembre de 2011
SCALA Lanza la Guía para la Migración a EMV en América Latina y el Caribe
Princeton Junction, N.J., Agosto 22, 2011–Smart Card Alliance Latino América (SCALA) lanza hoy el documento que provee las opciones de hoja de ruta para los países de América Latina y el Caribe, en cuanto a la migración a EMV. Este documento es una herramienta imparcial para todas las partes interesadas en los pagos, incluyendo a los emisores, adquirentes, comerciantes, procesadores y proveedores de hardware, software y servicios de apoyo, para que se eduquen sobre las medidas que deben considerar al emitir, aceptar y procesar transacciones EMV .
El documento, “Guía De Tarjetas De Pago En América Latina: ¿Cómo Impacta La Migración EMV A La Infraestructura De Pagos?” está disponible para su descarga gratuita aquí: http://latinamerica.smartcardalliance.org/pages/publications-card-payments-roadmap-in-latin-america-how-does-emv-impact-the-payments-infrastructure. Los temas tratados son:
* Impacto de las implementaciones regionales y globales de EMV, sus posibles opciones de según la guía migratoria para América Latina y el Caribe
* Estreno sobre las especificaciones de seguridad en EMV para los métodos de autenticación de la tarjeta, verificación del titular de la tarjeta, enfoques de autorización de transacciones y opciones de implementación para cada uno.
* Relación entre EMV, pagos sin contacto y Comunicación de Corto Alcance (NFC, por sus siglas en inglés).
* Resumen de los cambios requeridos en la emisión, adquisición / procesamiento, los comercios y la infraestructura de pagos ATM para apoyar a las diferentes opciones EMV según la guía migratoria.
“Si bien la prevención del fraude y las regulaciones de cambio de responsabilidad proporcionan los incentivos para migrar a EMV, ha habido una falta de recursos e información imparcial sobre los pasos necesarios y las opciones para la migración”, dijo Edgar Betts, director asociado de Smart Card Alliance Latino América (SCALA). “Este documento satisface esa necesidad al proporcionar a los interesados, a lo largo de la cadena de valor de medios de pagos financieros, la información objetiva sobre los aspectos críticos de la implementación de una solución EMV en su entorno empresarial.”
La creación de este documento es parte de los esfuerzos generales de SCALA para proveer material educativo sobre las consideraciones para la migración a EMV. Durante la última década, los beneficios de la migración se han incrementado, mientras que los costos y las dificultades de implementación han disminuido. Muchos de los proveedores de terminales y algunos adquirentes/procesadores ya han puesto en marcha las características e infraestructura EMV necesaria para atender a los clientes en más de 18 países de América Latina y el Caribe.
Si bien la aplicación EMV en América Latina y el Caribe ha sido impulsada por muchos factores, uno de los mayores incentivos es la regulación de “Cambio De Responsabilidad” promovida por las marcas (MasterCard Worldwide y Visa Inc). De acuerdo a esta regulación, la parte que haya mejorado las tarjetas o sus terminales de pago a la tecnología EMV está protegida, en caso de fraude.
Los participantes involucrados en el desarrollo y la revisión de este documento incluyen a: Gemalto, GET Group, MasterCard Worldwide, Morpho Inc. y VISA
Kim Hangoc, vicepresidente de métodos de pagos emergentes - soluciones de chip de MasterCard América Latina y el Caribe, dijo: “La migración de chip EMV es una de las prioridades de MasterCard en América Latina y el Caribe. A lo largo de los años hemos estado trabajando en la implementación de soluciones EMV en América Latina ya que entendemos los beneficios que esta tecnología aporta a todos los actores de la cadena de valor. EMV no sólo ayuda a reducir el fraude con tarjetas, sino también es una puerta de innovación para los mercados. Estamos muy satisfechos de haber contribuido a la creación de este documento, una herramienta que sin duda ayudará a los diferentes actores a prepararse mejor para su migración a EMV. ”
Fernando Méndez, director de productos emergentes de VISA Inc., América Latina y el Caribe, por su parte indicó: “La migración a tarjetas EMV es una prioridad para VISA en América Latina, no sólo por el aumento de la seguridad que proporciona, sino también por las oportunidades de mejorar la experiencia del consumidor a través de múltiples aplicaciones. VISA considera a este esfuerzo de la industria, impulsado por SCALA, como un paso crucial para el avance de esta tecnología en la región y se enorgullece de ser parte de ello. ”
El Consejo de Pagos Financieros de SCALA está constituido por: G&D Burti, Oberthur Technologies, Assenda, Banred, S.A., Banco do Estado do Rio Grande do Sul - Banrisul, First Data CAC, Redeban Multicolor, S.A., y Telered S.A. Para más información sobre SCALA, visite nuestra página web: http://latinamerica.smartcardalliance.org/.
Acerca de la Smart Card Alliance América Latina (SCALA)
La misión principal del capítulo Smart Card Alliance Latino América se basa en los objetivos generales de la Alianza: estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes en América Latina y el Caribe. SCALA trabaja a través de proyectos específicos, como programas de educación trilingüe, investigación de mercados, promoción, relaciones industriales y foros abiertos para mantener a los miembros de la organización en América Latina conectados con los líderes de la industria y el pensamiento innovador.
Acerca de la Smart Card Alliance
Smart Card Alliance es una organización sin fines de lucro, asociación multi–industrial que trabaja para estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes.
A través de proyectos específicos, tales como programas de educación, investigación de mercados, promoción, relaciones con la industria y foros abiertos, la Alianza mantiene a sus miembros conectados con los líderes de la industria y el pensamiento innovador. La Alianza es la voz unificada del sector para las tarjetas inteligentes, liderando el debate en la industria sobre el impacto y el valor de las tarjetas inteligentes en los EE.UU., América Latina y el Caribe. Para más información, visite http://www.smartcardalliance.org.
Fuente: www.latinamerica.smartcardalliance.org
El documento, “Guía De Tarjetas De Pago En América Latina: ¿Cómo Impacta La Migración EMV A La Infraestructura De Pagos?” está disponible para su descarga gratuita aquí: http://latinamerica.smartcardalliance.org/pages/publications-card-payments-roadmap-in-latin-america-how-does-emv-impact-the-payments-infrastructure. Los temas tratados son:
* Impacto de las implementaciones regionales y globales de EMV, sus posibles opciones de según la guía migratoria para América Latina y el Caribe
* Estreno sobre las especificaciones de seguridad en EMV para los métodos de autenticación de la tarjeta, verificación del titular de la tarjeta, enfoques de autorización de transacciones y opciones de implementación para cada uno.
* Relación entre EMV, pagos sin contacto y Comunicación de Corto Alcance (NFC, por sus siglas en inglés).
* Resumen de los cambios requeridos en la emisión, adquisición / procesamiento, los comercios y la infraestructura de pagos ATM para apoyar a las diferentes opciones EMV según la guía migratoria.
“Si bien la prevención del fraude y las regulaciones de cambio de responsabilidad proporcionan los incentivos para migrar a EMV, ha habido una falta de recursos e información imparcial sobre los pasos necesarios y las opciones para la migración”, dijo Edgar Betts, director asociado de Smart Card Alliance Latino América (SCALA). “Este documento satisface esa necesidad al proporcionar a los interesados, a lo largo de la cadena de valor de medios de pagos financieros, la información objetiva sobre los aspectos críticos de la implementación de una solución EMV en su entorno empresarial.”
La creación de este documento es parte de los esfuerzos generales de SCALA para proveer material educativo sobre las consideraciones para la migración a EMV. Durante la última década, los beneficios de la migración se han incrementado, mientras que los costos y las dificultades de implementación han disminuido. Muchos de los proveedores de terminales y algunos adquirentes/procesadores ya han puesto en marcha las características e infraestructura EMV necesaria para atender a los clientes en más de 18 países de América Latina y el Caribe.
Si bien la aplicación EMV en América Latina y el Caribe ha sido impulsada por muchos factores, uno de los mayores incentivos es la regulación de “Cambio De Responsabilidad” promovida por las marcas (MasterCard Worldwide y Visa Inc). De acuerdo a esta regulación, la parte que haya mejorado las tarjetas o sus terminales de pago a la tecnología EMV está protegida, en caso de fraude.
Los participantes involucrados en el desarrollo y la revisión de este documento incluyen a: Gemalto, GET Group, MasterCard Worldwide, Morpho Inc. y VISA
Kim Hangoc, vicepresidente de métodos de pagos emergentes - soluciones de chip de MasterCard América Latina y el Caribe, dijo: “La migración de chip EMV es una de las prioridades de MasterCard en América Latina y el Caribe. A lo largo de los años hemos estado trabajando en la implementación de soluciones EMV en América Latina ya que entendemos los beneficios que esta tecnología aporta a todos los actores de la cadena de valor. EMV no sólo ayuda a reducir el fraude con tarjetas, sino también es una puerta de innovación para los mercados. Estamos muy satisfechos de haber contribuido a la creación de este documento, una herramienta que sin duda ayudará a los diferentes actores a prepararse mejor para su migración a EMV. ”
Fernando Méndez, director de productos emergentes de VISA Inc., América Latina y el Caribe, por su parte indicó: “La migración a tarjetas EMV es una prioridad para VISA en América Latina, no sólo por el aumento de la seguridad que proporciona, sino también por las oportunidades de mejorar la experiencia del consumidor a través de múltiples aplicaciones. VISA considera a este esfuerzo de la industria, impulsado por SCALA, como un paso crucial para el avance de esta tecnología en la región y se enorgullece de ser parte de ello. ”
El Consejo de Pagos Financieros de SCALA está constituido por: G&D Burti, Oberthur Technologies, Assenda, Banred, S.A., Banco do Estado do Rio Grande do Sul - Banrisul, First Data CAC, Redeban Multicolor, S.A., y Telered S.A. Para más información sobre SCALA, visite nuestra página web: http://latinamerica.smartcardalliance.org/.
Acerca de la Smart Card Alliance América Latina (SCALA)
La misión principal del capítulo Smart Card Alliance Latino América se basa en los objetivos generales de la Alianza: estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes en América Latina y el Caribe. SCALA trabaja a través de proyectos específicos, como programas de educación trilingüe, investigación de mercados, promoción, relaciones industriales y foros abiertos para mantener a los miembros de la organización en América Latina conectados con los líderes de la industria y el pensamiento innovador.
Acerca de la Smart Card Alliance
Smart Card Alliance es una organización sin fines de lucro, asociación multi–industrial que trabaja para estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes.
A través de proyectos específicos, tales como programas de educación, investigación de mercados, promoción, relaciones con la industria y foros abiertos, la Alianza mantiene a sus miembros conectados con los líderes de la industria y el pensamiento innovador. La Alianza es la voz unificada del sector para las tarjetas inteligentes, liderando el debate en la industria sobre el impacto y el valor de las tarjetas inteligentes en los EE.UU., América Latina y el Caribe. Para más información, visite http://www.smartcardalliance.org.
Fuente: www.latinamerica.smartcardalliance.org
domingo, 11 de septiembre de 2011
¿Sobre quién recae la responsabilidad de fraude?
La seguridad es una de las razones fundamentales por las cuales cada vez más emisores, adquirentes, establecimientos comerciales y consumidores se están uniendo al proceso de migración hacia las tarjetas con microcircuitos o chip, también llamadas tarjetas inteligentes.
El más reciente estudio de SCALA (Smart Card Alliance for Latin America – Alianza de Tarjetas Inteligentes de America Latina), confirma que instituciones financieras en más de 20 países en la región ya han adoptado la tecnología que respalda las tarjetas inteligentes y su inversión en el proceso de migración se ha visto recompensada en la considerable reducción del fraude y la receptividad de los clientes con respecto a la tecnología y la seguridad que ofrece el chip.
Sin embargo, aún cuando para el consumidor insertar una tarjeta con chip en lugar de deslizarla pareciera ser un cambio sencillo, para los bancos emisores, comercios y adquirentes representa una enorme operación que implica altas inversiones. Así, la migración al chip está más avanzada en algunos países y en etapas más tempranas en otros, mientras se generan acuerdos que beneficien a todas las partes involucradas.
En el transcurso de este proceso, los niveles de fraude por falsificación, clonación, robo o pérdida, siguen siendo una realidad que impulsa el aceleramiento de la transición hacia las tarjetas inteligentes.
Por tal motivo, Visa, líder en la industria en la lucha contra el fraude y el robo de identidad durante más de una década, ha decidido revisar y actualizar sus normas de responsabilidad de fraude dando lugar a un incentivo financiero adicional para dicha transición: quedar libre de la responsabilidad por el fraude, la cual a partir de este año comienza a quedar en manos de aquellas partes que no hayan migrado al chip.
Para explicar de manera más clara cómo se aplican estas normas de transferencia de la responsabilidad por fraude, imaginemos dos escenarios. En caso de un fraude con tarjetas inteligentes en un terminal que no es para chip (sino sólo para banda magnética), la responsabilidad recae sobre el establecimiento comercial y su adquirente que no han actualizado sus terminales. En un segundo escenario, si ocurre un fraude con tarjetas convencionales de banda magnética en un terminal para chip, la responsabilidad recae sobre el banco emisor que no ha invertido en tarjetas con chip. De esta manera, se entiende que para determinar sobre quién recae la responsabilidad de fraude, es necesario identificar las partes involucradas que no hayan invertido en la tecnología EMV – el estándar de interoperabilidad de tarjetas con chip.
Estas normas interregionales de Visa se conocen como Transferencia de Responsabilidad EMV (EMV Liability Shift) y comenzarán a aplicarse en la región de America Latina y El Caribe de manera gradual, proporcional a los niveles de adopción del chip.
En los casos de Brasil y México que son los países que están alcanzando niveles críticos en la adopción masiva del chip, las normas de Transferencia de Responsabilidad EMV de Visa entrarán en vigencia durante la primera mitad de este año, abarcando específicamente las transacciones en el punto de venta. En cuanto a las transacciones llevadas a cabo en cajeros automáticos, las normas se harán efectivas a partir del último trimestre de 2012.
Con respecto al resto de los países de América Latina y el Caribe, en los que la migración al chip se encuentra aún en sus etapas más tempranas, las normas de Visa que abarcan las transacciones en el punto de venta entrarán en vigencia a partir del año 2012. La implementación de estas normas aplicables a las transacciones fraudulentas en cajeros automáticos y pérdida o robo de las tarjetas, se dará hacia finales del 2014.
Con la aplicación de estas normas, si se siguen correctamente los procedimientos de aceptación y se presenta la tarjeta con chip y el terminal apropiado para leerla en el momento de un fraude, las pérdidas para el banco, los comercios y el consumidor final serán mucho menores si no mínimas.
SCALA continúa trabajando con miembros de la industria para acelerar la amplia aceptación de las múltiples aplicaciones de la tecnología de tarjetas inteligentes. A través de proyectos específicos como programas educativos, investigaciones de mercado, relaciones industriales y foros abiertos, la alianza sigue liderando la discusión de la industria sobre el impacto y el valor de las tarjetas inteligentes en la región.
Fernando Méndez es Director Regional de Productos Emergentes para Visa America Latina y el Caribe y Presidente de la Junta Directiva de SCALA (Smart Card Alliance for Latin America -Alianza de Tarjetas Inteligentes de América Latina).
Para más información o para registrarse como miembro, contacte a SCALA a través de info@smartcardalliance.org o visite latinamerica.smartcardalliance.org
Fuente:Strategies/Fernando Mendez
Fuente: www.ebanking.cl
El más reciente estudio de SCALA (Smart Card Alliance for Latin America – Alianza de Tarjetas Inteligentes de America Latina), confirma que instituciones financieras en más de 20 países en la región ya han adoptado la tecnología que respalda las tarjetas inteligentes y su inversión en el proceso de migración se ha visto recompensada en la considerable reducción del fraude y la receptividad de los clientes con respecto a la tecnología y la seguridad que ofrece el chip.
Sin embargo, aún cuando para el consumidor insertar una tarjeta con chip en lugar de deslizarla pareciera ser un cambio sencillo, para los bancos emisores, comercios y adquirentes representa una enorme operación que implica altas inversiones. Así, la migración al chip está más avanzada en algunos países y en etapas más tempranas en otros, mientras se generan acuerdos que beneficien a todas las partes involucradas.
En el transcurso de este proceso, los niveles de fraude por falsificación, clonación, robo o pérdida, siguen siendo una realidad que impulsa el aceleramiento de la transición hacia las tarjetas inteligentes.
Por tal motivo, Visa, líder en la industria en la lucha contra el fraude y el robo de identidad durante más de una década, ha decidido revisar y actualizar sus normas de responsabilidad de fraude dando lugar a un incentivo financiero adicional para dicha transición: quedar libre de la responsabilidad por el fraude, la cual a partir de este año comienza a quedar en manos de aquellas partes que no hayan migrado al chip.
Para explicar de manera más clara cómo se aplican estas normas de transferencia de la responsabilidad por fraude, imaginemos dos escenarios. En caso de un fraude con tarjetas inteligentes en un terminal que no es para chip (sino sólo para banda magnética), la responsabilidad recae sobre el establecimiento comercial y su adquirente que no han actualizado sus terminales. En un segundo escenario, si ocurre un fraude con tarjetas convencionales de banda magnética en un terminal para chip, la responsabilidad recae sobre el banco emisor que no ha invertido en tarjetas con chip. De esta manera, se entiende que para determinar sobre quién recae la responsabilidad de fraude, es necesario identificar las partes involucradas que no hayan invertido en la tecnología EMV – el estándar de interoperabilidad de tarjetas con chip.
Estas normas interregionales de Visa se conocen como Transferencia de Responsabilidad EMV (EMV Liability Shift) y comenzarán a aplicarse en la región de America Latina y El Caribe de manera gradual, proporcional a los niveles de adopción del chip.
En los casos de Brasil y México que son los países que están alcanzando niveles críticos en la adopción masiva del chip, las normas de Transferencia de Responsabilidad EMV de Visa entrarán en vigencia durante la primera mitad de este año, abarcando específicamente las transacciones en el punto de venta. En cuanto a las transacciones llevadas a cabo en cajeros automáticos, las normas se harán efectivas a partir del último trimestre de 2012.
Con respecto al resto de los países de América Latina y el Caribe, en los que la migración al chip se encuentra aún en sus etapas más tempranas, las normas de Visa que abarcan las transacciones en el punto de venta entrarán en vigencia a partir del año 2012. La implementación de estas normas aplicables a las transacciones fraudulentas en cajeros automáticos y pérdida o robo de las tarjetas, se dará hacia finales del 2014.
Con la aplicación de estas normas, si se siguen correctamente los procedimientos de aceptación y se presenta la tarjeta con chip y el terminal apropiado para leerla en el momento de un fraude, las pérdidas para el banco, los comercios y el consumidor final serán mucho menores si no mínimas.
SCALA continúa trabajando con miembros de la industria para acelerar la amplia aceptación de las múltiples aplicaciones de la tecnología de tarjetas inteligentes. A través de proyectos específicos como programas educativos, investigaciones de mercado, relaciones industriales y foros abiertos, la alianza sigue liderando la discusión de la industria sobre el impacto y el valor de las tarjetas inteligentes en la región.
Fernando Méndez es Director Regional de Productos Emergentes para Visa America Latina y el Caribe y Presidente de la Junta Directiva de SCALA (Smart Card Alliance for Latin America -Alianza de Tarjetas Inteligentes de América Latina).
Para más información o para registrarse como miembro, contacte a SCALA a través de info@smartcardalliance.org o visite latinamerica.smartcardalliance.org
Fuente:Strategies/Fernando Mendez
Fuente: www.ebanking.cl
sábado, 10 de septiembre de 2011
Retorno de Inversión de PCI DSS
En el último número de la revista SIC (nº 95), correspondiente al mes de Junio de 2011, se publicó un artículo elaborado por miembros del equipo comercial de Internet Security Auditors. El artículo lleva por título "Retorno de Inversión de PCI DSS".
A lo largo del artículo se describe como calcular el Retorno de Inversión de una implantación de la normativa PCI DSS utilizando para ello el concepto de ROSI (return on security investment). El cálculo de este indicador puede servir de argumentario a la hora de defender la implantación de esta normativa de seguridad en tarjetas de pago. Se realiza un análisis económico de cómo la disminución del riesgo que aporta la adecuación a la normativa PCI DSS supera ampliamente, en términos económicos, a los costes asociados a un potencial incidente relacionado con tarjetas de pago.
Descargar artículo: SIC95_ISecAuditors_ROI_PCI_DSS.pdf
Fuente: http://isecauditors.com/es/noticias.html
A lo largo del artículo se describe como calcular el Retorno de Inversión de una implantación de la normativa PCI DSS utilizando para ello el concepto de ROSI (return on security investment). El cálculo de este indicador puede servir de argumentario a la hora de defender la implantación de esta normativa de seguridad en tarjetas de pago. Se realiza un análisis económico de cómo la disminución del riesgo que aporta la adecuación a la normativa PCI DSS supera ampliamente, en términos económicos, a los costes asociados a un potencial incidente relacionado con tarjetas de pago.
Descargar artículo: SIC95_ISecAuditors_ROI_PCI_DSS.pdf
Fuente: http://isecauditors.com/es/noticias.html
Payment Card Industry (PCI) - Las Leyes de Seguridad
Stephen Fallas
CISM – CISS - LA7799 – GIAC PCI – ISS-CA
Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.
Una falla de seguridad, clave en el robo de datos
La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.
CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.
Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.
¿Quiénes tienen que someterse a esta norma de seguridad?
Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.
Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:
Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.
Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.
El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:
Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.
Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.
El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:
En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.
Estos incluyen:
* Procesadores
* Proveedores de servicios de pago por Internet (IPSPs)
* Proveedores de servicios de Internet (ISPs)
* Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones
La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:
Aspectos de evaluación de la Norma de Seguridad de Datos
La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.
Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).
Como poder reducir los requisitos de validación de cumplimiento
Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece.
Sumario: Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.
Fuente: www.gbm.net
CISM – CISS - LA7799 – GIAC PCI – ISS-CA
Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.
Una falla de seguridad, clave en el robo de datos
La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.
CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.
Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.
¿Quiénes tienen que someterse a esta norma de seguridad?
Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.
Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:
Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.
Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.
El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:
Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.
Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.
El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:
En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.
Estos incluyen:
* Procesadores
* Proveedores de servicios de pago por Internet (IPSPs)
* Proveedores de servicios de Internet (ISPs)
* Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones
La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:
Aspectos de evaluación de la Norma de Seguridad de Datos
La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.
Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).
Como poder reducir los requisitos de validación de cumplimiento
Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece.
Sumario: Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.
Fuente: www.gbm.net
Las empresas que cumplen con los requerimientos PCI DSS sufren menos violaciones de datos
Imperva, compañía con foco en la protección de datos y sitios web, y distribuido en el mercado ibérico por Exclusive Networks, junto al Instituto Ponemon, ha dado a conocer los resultados de su segundo estudio relativo al impacto del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS -Payment Card Industry’s Data Security Standards-).
El informe sobre Tendencias de Cumplimento PCI DSS -realizado en 2011 a 670 profesionales de multinacionales norteamericanas especializadas en seguridad TI- revela cómo el cumplimiento con PCI-DSS tiene un impacto positivo en la seguridad y protección de datos de las empresas.
En este sentido, y como principal conclusión se desprende que si bien una buena parte de las organizaciones que cumplen con el estándar PCI sufren menores violaciones, o no las padecen, la mayoría de los profesionales no percibe aún que PCI-DSS pueda suponer un elemento favorable en lo concerniente a la seguridad de la información.
Cumplimiento del estándar: una buena medida para reducir violaciones Así las cosas, según el estudio, el 64% de las empresas que reconoce acatar el estándar PCI-DSS confirma no haber sufrido transgresiones relativas a los datos asociados a sus tarjetas de crédito en los últimos dos años, mientras que sólo el 38 % de las compañías que no cumplen pudieron afirmar lo mismo.
Cuando se trata de violaciones de datos globales (incidentes generales o relativos a la información contenida en la tarjeta de crédito), el 63% de las organizaciones que se encuentran en conformidad con el estándar no padeció más que una única violación de sus datos, en comparación con el 22% de las compañías que no lo acogen. Cabe destacar también que el 26% de las empresas que no lo ejecutan fueron víctimas de más de cinco delitos en el mismo período de tiempo.
Una percepción cínica sobre PCI-DSS A pesar de que la evidencia indica lo contrario, el 88% de los encuestados confirma no estar de acuerdo con que el cumplimiento de PCI-DSS pueda encerrar un efecto positivo en lo relativo al número de transgresiones experimentadas, y sólo el 39% cita la mejora en la seguridad de los datos como una de las propuestas de valor -contenida en PCI DSS- para los negocios.
De hecho, únicamente el 33% cree que el gasto destinado a cumplir con PCI-DSS queda cubierto por el beneficio que supone para la organización. El cumplimiento aumenta, a pesar de todo.
El informe también recoge que dos tercios de los encuestados han logrado el cumplimiento sustancial con PCI-DSS. Esta cifra contrasta con la obtenida en el Estudio sobre Tendencias de Cumplimiento PCI DSS de 2009, cuando el número de participantes que confirmaba este hecho correspondía únicamente a la mitad de los profesionales preguntados, mientras que aproximadamente el 25% de los encuestados afirmaba que no había alcanzado nivel de cumplimiento alguno. En 2011, únicamente el 16% de las organizaciones sondeadas testifica no haberlo hecho.
Fuente: http://seguridad-informacion.blogspot.com
Descargar el informe: PCI DSS Compliance Trends Study, 2011
El informe sobre Tendencias de Cumplimento PCI DSS -realizado en 2011 a 670 profesionales de multinacionales norteamericanas especializadas en seguridad TI- revela cómo el cumplimiento con PCI-DSS tiene un impacto positivo en la seguridad y protección de datos de las empresas.
En este sentido, y como principal conclusión se desprende que si bien una buena parte de las organizaciones que cumplen con el estándar PCI sufren menores violaciones, o no las padecen, la mayoría de los profesionales no percibe aún que PCI-DSS pueda suponer un elemento favorable en lo concerniente a la seguridad de la información.
Cumplimiento del estándar: una buena medida para reducir violaciones Así las cosas, según el estudio, el 64% de las empresas que reconoce acatar el estándar PCI-DSS confirma no haber sufrido transgresiones relativas a los datos asociados a sus tarjetas de crédito en los últimos dos años, mientras que sólo el 38 % de las compañías que no cumplen pudieron afirmar lo mismo.
Cuando se trata de violaciones de datos globales (incidentes generales o relativos a la información contenida en la tarjeta de crédito), el 63% de las organizaciones que se encuentran en conformidad con el estándar no padeció más que una única violación de sus datos, en comparación con el 22% de las compañías que no lo acogen. Cabe destacar también que el 26% de las empresas que no lo ejecutan fueron víctimas de más de cinco delitos en el mismo período de tiempo.
Una percepción cínica sobre PCI-DSS A pesar de que la evidencia indica lo contrario, el 88% de los encuestados confirma no estar de acuerdo con que el cumplimiento de PCI-DSS pueda encerrar un efecto positivo en lo relativo al número de transgresiones experimentadas, y sólo el 39% cita la mejora en la seguridad de los datos como una de las propuestas de valor -contenida en PCI DSS- para los negocios.
De hecho, únicamente el 33% cree que el gasto destinado a cumplir con PCI-DSS queda cubierto por el beneficio que supone para la organización. El cumplimiento aumenta, a pesar de todo.
El informe también recoge que dos tercios de los encuestados han logrado el cumplimiento sustancial con PCI-DSS. Esta cifra contrasta con la obtenida en el Estudio sobre Tendencias de Cumplimiento PCI DSS de 2009, cuando el número de participantes que confirmaba este hecho correspondía únicamente a la mitad de los profesionales preguntados, mientras que aproximadamente el 25% de los encuestados afirmaba que no había alcanzado nivel de cumplimiento alguno. En 2011, únicamente el 16% de las organizaciones sondeadas testifica no haberlo hecho.
Fuente: http://seguridad-informacion.blogspot.com
Descargar el informe: PCI DSS Compliance Trends Study, 2011
TD1: Duplicador Forense, una herramienta infaltable!!
Este dispositivo se ha convertido en uno de los mejores instrumentos no solo para casos forenses sino para temas de Data Recovery, su posibilidad de copia en modo imagen o clonacion bit a bit hace que se pueda determinar si la falla de un dispositivo es solo logica o física. Evidentemente si es falla a nivel de firmware también tendrá problemas.
En el Laboratorio de Yanapti fue uno de los primeros dispositivos forenses adquieridos, a la fecha contamos con varias unidades y como representantes hemos vendido tanto en Bolivia como en el exterior varias unidades.
Este dispositivo es también utilizado para procesos de desvinculación laboral, cuando se debe retener datos o copiar el contenido del PC del empleado saliente para garantizar la integridad de la evidencia si llegase a surgir algo posterior al retiro.
Este año en mayo, estuve en la reunion de reseller en Orlando USA, donde vimos todas las novedades para los siguientes meses. La union con Guidance Software sin duda le dio mucho impulso al mercado.
El Duplicador forense TD1 de Tableau brinda un rendimiento y una funcionalidad líderes en el sector en un paquete compacto, de larga duración y fácil de usar. Diseñado específicamente para las adquisiciones forenses, el TD1 admite los discos duros SATA e IDE y proporciona tasas de transferencia de datos de hasta 6 GB/minuto mientras calcula al mismo tiempo los hash MD5 y SHA-1.
TD1 ofrece funciones necesarias en la adquisición de datos de laboratorio y de campo. Las funciones estándar incluyen duplicación de disco a disco y de disco a archivo, formateo de disco, borrado de disco, operaciones hash en disco, (MD5 y SHA-1), detección y extracción de HPA/DCO y comprobación de disco en blanco.
Tableau vende el TD1 en un completo kit que incluye una fuente de alimentación TP3 de salida alta, cables de alimentación y unidad IDE, cable FireWire para actualizaciones de firmware, tres adaptadores de unidad portátiles distintos y una tarjeta de inicio rápido. El kit también incluye una espuma hecha a medida que protege los contenidos del kit durante el envío y que puede utilizarse en cualquiera de las cajas de tapa dura estándar. Póngase en contacto con YANAPTI SRL para solicitar una demostracion y mayor informacion.
Fuente: www.rosalesuriona.com
DISPOSITIVO UNIVERSAL DE EXTRACCIÓN FORENSE DE CELLEBRITE (UFED)
La tecnología existe. Ahora como es usada y por quienes, eso ya no es parte técnica. Querer decir que la tecnología en este caso para celulares permitiría invadir la privacidad de las personas es como querer quitar los automóviles de la vida humana por que son utilizados para provocar muertes. Que un ebrio conduzca y cause muertes o accidentes no es culpa del automóvil y no podríamos culpar al fabricante o al vendedor de automóviles por ello.
En ese mismo sentido es que existe tecnología para investigar datos en dispositivos móviles. No contar con la ayuda de la tecnologia es estar varios pasos por detras de la delincuencia organizada, aquella que no es ocasiona o impulsiva sino planifica y actua.
Lastimosamente solo tenemos unidades de muestra que si bien han sido demostradas en su potencial a diferentes Generales de la Policía Nacional, aun la barrera generacional no les permite entender que con balas, laques y puñetes ya no se puede combatir el crimen de alta tecnología.
Rápida y segura extracción y análisis de datos de teléfonos móviles y GPS Gracias a la especialización de Cellebrite en la tecnología de extracción de datos, los productos de análisis forense de móviles realizan una extracción de datos lógicos y físicos, incluso la recuperación de mensajes y contenidos eliminados.
Con más de una década de experiencia en tecnología de datos de teléfonos móviles, Cellebrite ofrece la mayor cobertura existente en el mercado actualmente. La familia de productos UFED permite extraer y analizar los datos de más de 3000 teléfonos, incluso de smartphones y dispositivos GPS.
Diseñada para ser portátil, la solución UFED de Cellebrite consta de un dispositivo autónomo que puede utilizarse sobre el terreno o en el laboratorio.
UFED de Cellebrite ofrece la máxima experiencia en análisis forense de móviles y es utilizado por organismos militares, fuerzas de seguridad y administraciones públicas de todo el mundo.
El sistema de datos forenses UFED de Cellebrite es un avanzado dispositivo autónomo que se puede usar tanto en el terreno como en el laboratorio forense. El UFED de Cellebrite puede extraer datos vitales como contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI de más de 1600 modelos de microteléfonos vendidos en todo el mundo. El UFED admite las tecnologías CDMA, GSM, IDEN y TDMA, y es compatible con cualquier portadora inalámbrica. El sistema UFED de Cellebrite admite el 95% de los microteléfonos disponibles actualmente, incluidos teléfonos inteligentes y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian). No requiere PC para el uso en el terreno, y puede almacenar fácilmente cientos de contactos y de elementos de contenido en una tarjeta SD o en una unidad Flash USB. El UFED de Cellebrite es compatible con todas las interfaces conocidas de dispositivos celulares, incluidos serial, USB, infrarrojo y Bluetooth. De regreso en el laboratorio forense, se puede realizar la revisión y verificación mediante la herramienta de reporte y análisis. La extracción de datos en el terreno garantiza la inspección del teléfono de un sospechoso antes de que el individuo tenga la oportunidad de destruir o de borrar los datos. Al trabajar de manera exclusiva con la mayoría de las principales operadoras del mundo, como Verizon Wireless, AT&T, Sprint/Nextel, T–Mobile UK, Orange France y Telstra Australia, así como con otras 50 operadoras en EE. UU. solamente, Cellebrite garantiza la compatibilidad con los dispositivos futuros antes de su lanzamiento al mercado.
UFED de Cellebrite – En pocas palabras * Permite extraer datos de la mayoría de los teléfonos celulares o PDA: contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI * Portátil y fácil de usar, en el terreno y en el laboratorio forense * Kit independiente, no requiere una PC para la extracción * Permite generar completos reportes de evidencias verificados MD5 * Es compatible con más de 2000 modelos de microteléfonos, y ofrece actualizaciones automáticas de software para los dispositivos de lanzamiento reciente Fuente: Cellebritte Llamo la atencion de colegas investigadores forenses que hace poco en un evento de derecho informatico confundieron a los presentes mostrando tecnicas de analisis forense mediante fotografia. Por supuesto que les debe estar fallando el google por cuanto estos dispositivos especializados ya tienen sus buenos años ysu desconocimiento ya raya en lo risorio. Por suerte y esfuerzo propio contamos en Yanapti a la fecha con un neutrino completo y desde hace un tiempo con el UFED de cellebrite. Amen de las varias versiones por software que suponen la existencia de los cables apropiados.
Fuente: www.rosalesuriona.com
Suscribirse a:
Entradas (Atom)
