viernes, 16 de septiembre de 2011

GFI Ayuda a cumplir requerimientos PCI




GFI proporciona herramientas software que le permiten monitorizar la adhesión al estándar PCI y le avisan cuando tienen lugar sucesos no autorizados relativos a información de titulares de tarjetas.

GFI EventsManager, GFI LANguard Network Security Scanner (N.S.S.) y GFI EndPointSecurity son tres galardonados productos de seguridad de red de GFI. Mediante la auditoría, monitorización, generación de informes y alerta estos productos pueden ayudarle a dirigir varias secciones de nueve de los 12 requerimientos PCI, como se ilustra en la siguiente Tabla:







GFI EventsManager

El análisis de la información de sucesos está directamente especificada en el requerimiento 10 (Tabla ) pero monitorizar los sucesos es una buena práctica para cualquier organización.
En un entorno de red típico, la información de sucesos está distribuida y es voluminosa y crítica. Las herramientas de análisis de sucesos suministradas junto con la mayoría de sistemas operativos ofrecen sólo las más básicas características. Como resultado, los administradores no tienen forma de ser avisados cuando se registran sucesos concretos importantes o problemáticos, tales como el acceso no autorizado a información de titulares de tarjetas. Las utilidades de revisión y filtrado de sucesos proporcionadas por estas herramientas tienen muy limitadas capacidades de búsqueda y filtrado.

GFI EventsManager es una completa solución de administración de registros que vence todos estos obstáculos, permitiéndole centralizar los sucesos, automatizar la recogida de sucesos, recibir alertas y emitir informes de investigación. Cuando se recogen sucesos, los conjuntos de reglas incluidos en GFI EventsManager procesan los sucesos para clasificarlos y activar alertas/acciones en consecuencia. Uno de los conjuntos predefinidos proporcionado está específicamente orientado hacia la clasificación de los sucesos en base a los requerimientos PCI. El análisis de sucesos puede llevarse a cabo mediante el examinador de sucesos incluido; también se pueden crear y ejecutar consultas para recuperar y analizar sucesos concretos.
Mediante GFI EventsManager los negocios pueden asegurar que todos los sucesos relacionados con la información de titulares de tarjetas están siendo constantemente monitorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/eventsmanager/

GFI LANguard Network Security Scanner

La administración de vulnerabilidad es central para los requerimientos 5 y 6 (Tabla). Sin embargo, ser capaz de detectar vulnerabilidades en varias áreas cubiertas por otros requerimientos es de extrema importancia.
GFI LANguard Network Security Scanner (N.S.S.) dirige los tres pilares de la administración de vulnerabilidad: análisis de seguridad, administración de parches y auditoría de red en una solución integrada. GFI LANguard N.S.S. escanea toda la red buscando más de 15.000 vulnerabilidades, identifica todos los posibles problemas de seguridad y proporciona a los administradores las herramientas que necesitan para detectar, evaluar, informar y remediar cualquier amenaza antes de que lo hagan los hackers.

Manejar separadamente problemas relacionados con la vulnerabilidad, la administración de parches y la auditoría de red, a veces utilizando varios productos, es una importante preocupación para los administradores. No solo tienen que instalar, aprender a manejar y administrar varias soluciones, sino que gastan la mayor parte de su tiempo intentando comprender dónde están los problemas en lugar de tratar realmente las amenazas que puedan estar presentes. Utilizando una única consola con amplias funcionalidades de generación de informes, la solución integrada GFI LANguard N.S.S. ayuda a los administradores a dirigir estos asuntos más rápida y eficazmente.

Mediante GFI LANguard N.S.S. los negocios pueden asegurar que la información de titulares de tarjetas se mantiene en un entorno seguro. Para más información y descargar el producto, visite http://www.gfihispana.com/es/lannetscan/.


GFI EndPointSecurity

Proteger la información almacenada de titulares de tarjetas, requerimiento 3 (Tabla), es un requerimiento clave del estándar de seguridad de datos PCI. Asegurar que estos datos no caen en malas manos es crucial.
Es un hecho bien conocido que los dispositivos de almacenamiento masivo, tales como las unidades USB, han crecido en popularidad en los últimos años. Son sencillos y fáciles de instalar, capaces de almacenar enormes cantidades de información, y suficientemente pequeños para llevarlos en un bolsillo. Sin mecanismos de seguridad, copiar toda la información de titulares de tarjetas en dichos dispositivos puede ser fácil y rápidamente realizado.

GFI EndPointSecurity es la solución de seguridad que le ayuda a mantener la integridad de la información evitando la transferencia no autorizada de contenido a y desde los dispositivos portátiles de almacenamiento. Mediante su tecnología, GFI EndPointSecurity le habilita para permitir o denegar el acceso a un dispositivo así como asignar (en caso de ser aplicable) privilegios 'control total' o 'sólo lectura' sobre un dispositivo particular o a un usuario/grupo local o del Directorio Activo. Con GFI EndPointSecurity puede registrar la actividad de todos los dispositivos portátiles que estén siendo utilizados en sus equipos de red, incluyendo le fecha/hora de uso y por quien fue utilizado el dispositivo.

Mediante GFI EndPointSecurity los negocios pueden asegurar que la información de titulares de tarjetas no está siendo copiada en dispositivos de almacenamiento no autorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/endpointsecurity/.


Fuente: White Paper “PCI DSS Sencillo” - www.gfihispana.com

miércoles, 14 de septiembre de 2011

¡Lanzamiento de ESET NOD32 Antivirus y ESET Smart Security Versión 5!


ESET se complace en anunciar el lanzamiento de la nueva versión 5 de sus productos estrella: ESET NOD32 Antivirus 5 y ESET Smart Security 5, los cuales cuentan con nuevas funciones y mejoras tecnologicas combinadas con características avanzadas para proteger el equipo ante todo tipo de amenazas.

A continuación las características de estas nuevas versiones:

Analisis automaticos de dispositivos removibles: Bloquea las amenazas que intentan ingresar al equipo a través de medios removibles. ESET Smart Security 5 y ESET NOD32 Antivirus 5 llevan adelante una exploración automática del contenido de todos los USBs, CDs y DVDs.

Control avanazado de medios removibles: Los usuarios pueden bloquear medios específicos en base a una serie de párametros como el ID del dispositivo, el tipo de medio y el número de serie.

Procedimiento de inicio optimizado: ESET Smart Security 5 y ESET NOD32 Antivirus 5 permiten al usuario comenzar a trabajar en la computadora inmediatamente luego del inicio sin comprometer la seguridad.

Modo Gamer: Cuando se encuentra en Modo Pantalla Completa, ESET Smart Security 5 y ESET NOD 32 Antivirus 5 cambian automáticamente a modo silencioso para ahorrar recursos del sistema y que los usuarios puedan disfrutar de sus juegos o concentrarse en importantes tareas laborales sin distracciones de ventanas emergentes.

Característica avanzada para el sistema de prevención de intrusiones basado en el host (HIPS): Esta característica es para los verdaderos expertos en informática: ahora es posible personalizar la conducta del sistema con más detalle; por ejemplo, especificar reglas para el registro del sistema, los procesos activos y los programas así como ajustar la postura en seguridad.

Minimo Impacto en el Sistema: La compilación exclusiva de ESET NOD32 Antivirus se ha ido optimizando con el transcurso de los años para adaptarse a la perfección al entorno del sistema. ESET diseñó una solución inteligente con el mínimo impacto en el sistema, comparado a los productos de la competencia, que asegura una carga rápida y un funcionamiento sin inconvenientes.

Protección exhaustiva de su identidad en línea: Mediante el uso de varias capas de detección, ESET NOD32 Antivirus bloquea todos los vectores de ataque utilizados por las amenazas informáticas que intentan exponer la información confidencial del usuario. La exploración basada en la nube incrementa aún más el nivel de seguridad.

ESET Live Grid: Es un avanzado sistema de alerta temprana contra amenazas emergentes que se basa en la reputación. Mediante el uso de la transmisión por secuencias en tiempo real de información relacionada con amenazas desde la nube, el laboratorio de virus de ESET mantiene las defensas al día para brindar un nivel constante de protección.


Ademas en ESET Smart Security 5 se agregan las siguientes funcionalidades:

Control Parental: Bloquea sitios que pueden contener material potencialmente ofensivo. Además, los padres puede prohibir el acceso de hasta 20 categorías de páginas web predeterminadas.

Antispam mejorado: El módulo antispam integrado a ESET Smart Security ha sido sometido a un proceso de optimización para lograr incluso un nivel más alto de precisión en la detección.

Firewall inteligente: ESET Smart Security 5 ayuda a controlar el tráfico de la red y a prevenir que usuarios no autorizados accedan al equipo en forma remota.

Seguridad en Linea: Debido a la creciente exposición al riesgo en Internet, la nueva versión de ESET Smart Security detecta todos los tipos de amenazas provenientes de la Web. Entre ellas se incluyen los fraudes a través de los medios sociales y la ingeniería social, a los que los miembros de su familia y los niños están expuestos diariamente.

Ambos productos se rediseñaron para mejorar la usabilidad de los mismos con el propósito de enriquecer la experiencia general del usuario, de forma que el usuario esté al mando.

La multipremiada solución de seguridad de ESET, sigue sumando nuevas funcionalidades y mejoras en su última versión que como bien se mencionaron abarcan otros aspectos que lo hacen hoy en dia una solución robusta, liviana ya que cuenta con la tecnología más rápida y eficaz del mercado para la protección contra todo tipo de malware.

Fuente: ESET Bolivia

martes, 13 de septiembre de 2011

SCALA Lanza la Guía para la Migración a EMV en América Latina y el Caribe

Princeton Junction, N.J., Agosto 22, 2011–Smart Card Alliance Latino América (SCALA) lanza hoy el documento que provee las opciones de hoja de ruta para los países de América Latina y el Caribe, en cuanto a la migración a EMV. Este documento es una herramienta imparcial para todas las partes interesadas en los pagos, incluyendo a los emisores, adquirentes, comerciantes, procesadores y proveedores de hardware, software y servicios de apoyo, para que se eduquen sobre las medidas que deben considerar al emitir, aceptar y procesar transacciones EMV .

El documento, “Guía De Tarjetas De Pago En América Latina: ¿Cómo Impacta La Migración EMV A La Infraestructura De Pagos?” está disponible para su descarga gratuita aquí: http://latinamerica.smartcardalliance.org/pages/publications-card-payments-roadmap-in-latin-america-how-does-emv-impact-the-payments-infrastructure. Los temas tratados son:

* Impacto de las implementaciones regionales y globales de EMV, sus posibles opciones de según la guía migratoria para América Latina y el Caribe
* Estreno sobre las especificaciones de seguridad en EMV para los métodos de autenticación de la tarjeta, verificación del titular de la tarjeta, enfoques de autorización de transacciones y opciones de implementación para cada uno.
* Relación entre EMV, pagos sin contacto y Comunicación de Corto Alcance (NFC, por sus siglas en inglés).
* Resumen de los cambios requeridos en la emisión, adquisición / procesamiento, los comercios y la infraestructura de pagos ATM para apoyar a las diferentes opciones EMV según la guía migratoria.

“Si bien la prevención del fraude y las regulaciones de cambio de responsabilidad proporcionan los incentivos para migrar a EMV, ha habido una falta de recursos e información imparcial sobre los pasos necesarios y las opciones para la migración”, dijo Edgar Betts, director asociado de Smart Card Alliance Latino América (SCALA). “Este documento satisface esa necesidad al proporcionar a los interesados, a lo largo de la cadena de valor de medios de pagos financieros, la información objetiva sobre los aspectos críticos de la implementación de una solución EMV en su entorno empresarial.”

La creación de este documento es parte de los esfuerzos generales de SCALA para proveer material educativo sobre las consideraciones para la migración a EMV. Durante la última década, los beneficios de la migración se han incrementado, mientras que los costos y las dificultades de implementación han disminuido. Muchos de los proveedores de terminales y algunos adquirentes/procesadores ya han puesto en marcha las características e infraestructura EMV necesaria para atender a los clientes en más de 18 países de América Latina y el Caribe.

Si bien la aplicación EMV en América Latina y el Caribe ha sido impulsada por muchos factores, uno de los mayores incentivos es la regulación de “Cambio De Responsabilidad” promovida por las marcas (MasterCard Worldwide y Visa Inc). De acuerdo a esta regulación, la parte que haya mejorado las tarjetas o sus terminales de pago a la tecnología EMV está protegida, en caso de fraude.

Los participantes involucrados en el desarrollo y la revisión de este documento incluyen a: Gemalto, GET Group, MasterCard Worldwide, Morpho Inc. y VISA

Kim Hangoc, vicepresidente de métodos de pagos emergentes - soluciones de chip de MasterCard América Latina y el Caribe, dijo: “La migración de chip EMV es una de las prioridades de MasterCard en América Latina y el Caribe. A lo largo de los años hemos estado trabajando en la implementación de soluciones EMV en América Latina ya que entendemos los beneficios que esta tecnología aporta a todos los actores de la cadena de valor. EMV no sólo ayuda a reducir el fraude con tarjetas, sino también es una puerta de innovación para los mercados. Estamos muy satisfechos de haber contribuido a la creación de este documento, una herramienta que sin duda ayudará a los diferentes actores a prepararse mejor para su migración a EMV. ”

Fernando Méndez, director de productos emergentes de VISA Inc., América Latina y el Caribe, por su parte indicó: “La migración a tarjetas EMV es una prioridad para VISA en América Latina, no sólo por el aumento de la seguridad que proporciona, sino también por las oportunidades de mejorar la experiencia del consumidor a través de múltiples aplicaciones. VISA considera a este esfuerzo de la industria, impulsado por SCALA, como un paso crucial para el avance de esta tecnología en la región y se enorgullece de ser parte de ello. ”

El Consejo de Pagos Financieros de SCALA está constituido por: G&D Burti, Oberthur Technologies, Assenda, Banred, S.A., Banco do Estado do Rio Grande do Sul - Banrisul, First Data CAC, Redeban Multicolor, S.A., y Telered S.A. Para más información sobre SCALA, visite nuestra página web: http://latinamerica.smartcardalliance.org/.


Acerca de la Smart Card Alliance América Latina (SCALA)

La misión principal del capítulo Smart Card Alliance Latino América se basa en los objetivos generales de la Alianza: estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes en América Latina y el Caribe. SCALA trabaja a través de proyectos específicos, como programas de educación trilingüe, investigación de mercados, promoción, relaciones industriales y foros abiertos para mantener a los miembros de la organización en América Latina conectados con los líderes de la industria y el pensamiento innovador.
Acerca de la Smart Card Alliance

Smart Card Alliance es una organización sin fines de lucro, asociación multi–industrial que trabaja para estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes.

A través de proyectos específicos, tales como programas de educación, investigación de mercados, promoción, relaciones con la industria y foros abiertos, la Alianza mantiene a sus miembros conectados con los líderes de la industria y el pensamiento innovador. La Alianza es la voz unificada del sector para las tarjetas inteligentes, liderando el debate en la industria sobre el impacto y el valor de las tarjetas inteligentes en los EE.UU., América Latina y el Caribe. Para más información, visite http://www.smartcardalliance.org.



Fuente: www.latinamerica.smartcardalliance.org

domingo, 11 de septiembre de 2011

¿Sobre quién recae la responsabilidad de fraude?

La seguridad es una de las razones fundamentales por las cuales cada vez más emisores, adquirentes, establecimientos comerciales y consumidores se están uniendo al proceso de migración hacia las tarjetas con microcircuitos o chip, también llamadas tarjetas inteligentes.

El más reciente estudio de SCALA (Smart Card Alliance for Latin America – Alianza de Tarjetas Inteligentes de America Latina), confirma que instituciones financieras en más de 20 países en la región ya han adoptado la tecnología que respalda las tarjetas inteligentes y su inversión en el proceso de migración se ha visto recompensada en la considerable reducción del fraude y la receptividad de los clientes con respecto a la tecnología y la seguridad que ofrece el chip.

Sin embargo, aún cuando para el consumidor insertar una tarjeta con chip en lugar de deslizarla pareciera ser un cambio sencillo, para los bancos emisores, comercios y adquirentes representa una enorme operación que implica altas inversiones. Así, la migración al chip está más avanzada en algunos países y en etapas más tempranas en otros, mientras se generan acuerdos que beneficien a todas las partes involucradas.

En el transcurso de este proceso, los niveles de fraude por falsificación, clonación, robo o pérdida, siguen siendo una realidad que impulsa el aceleramiento de la transición hacia las tarjetas inteligentes.

Por tal motivo, Visa, líder en la industria en la lucha contra el fraude y el robo de identidad durante más de una década, ha decidido revisar y actualizar sus normas de responsabilidad de fraude dando lugar a un incentivo financiero adicional para dicha transición: quedar libre de la responsabilidad por el fraude, la cual a partir de este año comienza a quedar en manos de aquellas partes que no hayan migrado al chip.

Para explicar de manera más clara cómo se aplican estas normas de transferencia de la responsabilidad por fraude, imaginemos dos escenarios. En caso de un fraude con tarjetas inteligentes en un terminal que no es para chip (sino sólo para banda magnética), la responsabilidad recae sobre el establecimiento comercial y su adquirente que no han actualizado sus terminales. En un segundo escenario, si ocurre un fraude con tarjetas convencionales de banda magnética en un terminal para chip, la responsabilidad recae sobre el banco emisor que no ha invertido en tarjetas con chip. De esta manera, se entiende que para determinar sobre quién recae la responsabilidad de fraude, es necesario identificar las partes involucradas que no hayan invertido en la tecnología EMV – el estándar de interoperabilidad de tarjetas con chip.

Estas normas interregionales de Visa se conocen como Transferencia de Responsabilidad EMV (EMV Liability Shift) y comenzarán a aplicarse en la región de America Latina y El Caribe de manera gradual, proporcional a los niveles de adopción del chip.

En los casos de Brasil y México que son los países que están alcanzando niveles críticos en la adopción masiva del chip, las normas de Transferencia de Responsabilidad EMV de Visa entrarán en vigencia durante la primera mitad de este año, abarcando específicamente las transacciones en el punto de venta. En cuanto a las transacciones llevadas a cabo en cajeros automáticos, las normas se harán efectivas a partir del último trimestre de 2012.

Con respecto al resto de los países de América Latina y el Caribe, en los que la migración al chip se encuentra aún en sus etapas más tempranas, las normas de Visa que abarcan las transacciones en el punto de venta entrarán en vigencia a partir del año 2012. La implementación de estas normas aplicables a las transacciones fraudulentas en cajeros automáticos y pérdida o robo de las tarjetas, se dará hacia finales del 2014.

Con la aplicación de estas normas, si se siguen correctamente los procedimientos de aceptación y se presenta la tarjeta con chip y el terminal apropiado para leerla en el momento de un fraude, las pérdidas para el banco, los comercios y el consumidor final serán mucho menores si no mínimas.

SCALA continúa trabajando con miembros de la industria para acelerar la amplia aceptación de las múltiples aplicaciones de la tecnología de tarjetas inteligentes. A través de proyectos específicos como programas educativos, investigaciones de mercado, relaciones industriales y foros abiertos, la alianza sigue liderando la discusión de la industria sobre el impacto y el valor de las tarjetas inteligentes en la región.

Fernando Méndez es Director Regional de Productos Emergentes para Visa America Latina y el Caribe y Presidente de la Junta Directiva de SCALA (Smart Card Alliance for Latin America -Alianza de Tarjetas Inteligentes de América Latina).

Para más información o para registrarse como miembro, contacte a SCALA a través de info@smartcardalliance.org o visite latinamerica.smartcardalliance.org

Fuente:Strategies/Fernando Mendez

Fuente: www.ebanking.cl

sábado, 10 de septiembre de 2011

Retorno de Inversión de PCI DSS

En el último número de la revista SIC (nº 95), correspondiente al mes de Junio de 2011, se publicó un artículo elaborado por miembros del equipo comercial de Internet Security Auditors. El artículo lleva por título "Retorno de Inversión de PCI DSS".

A lo largo del artículo se describe como calcular el Retorno de Inversión de una implantación de la normativa PCI DSS utilizando para ello el concepto de ROSI (return on security investment). El cálculo de este indicador puede servir de argumentario a la hora de defender la implantación de esta normativa de seguridad en tarjetas de pago. Se realiza un análisis económico de cómo la disminución del riesgo que aporta la adecuación a la normativa PCI DSS supera ampliamente, en términos económicos, a los costes asociados a un potencial incidente relacionado con tarjetas de pago.









Descargar artículo: SIC95_ISecAuditors_ROI_PCI_DSS.pdf

Fuente: http://isecauditors.com/es/noticias.html

Payment Card Industry (PCI) - Las Leyes de Seguridad

Stephen Fallas
CISM – CISS - LA7799 – GIAC PCI – ISS-CA


Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.

Una falla de seguridad, clave en el robo de datos

La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.

CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.

Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.

¿Quiénes tienen que someterse a esta norma de seguridad?

Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.

Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:

Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.

Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.

El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:

Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.

Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.

El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:




En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.

Estos incluyen:

* Procesadores
* Proveedores de servicios de pago por Internet (IPSPs)
* Proveedores de servicios de Internet (ISPs)
* Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones

La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:




Aspectos de evaluación de la Norma de Seguridad de Datos

La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.



Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).

Como poder reducir los requisitos de validación de cumplimiento

Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece.





Sumario: Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.

Fuente: www.gbm.net

Las empresas que cumplen con los requerimientos PCI DSS sufren menos violaciones de datos

Imperva, compañía con foco en la protección de datos y sitios web, y distribuido en el mercado ibérico por Exclusive Networks, junto al Instituto Ponemon, ha dado a conocer los resultados de su segundo estudio relativo al impacto del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS -Payment Card Industry’s Data Security Standards-).

El informe sobre Tendencias de Cumplimento PCI DSS -realizado en 2011 a 670 profesionales de multinacionales norteamericanas especializadas en seguridad TI- revela cómo el cumplimiento con PCI-DSS tiene un impacto positivo en la seguridad y protección de datos de las empresas.

En este sentido, y como principal conclusión se desprende que si bien una buena parte de las organizaciones que cumplen con el estándar PCI sufren menores violaciones, o no las padecen, la mayoría de los profesionales no percibe aún que PCI-DSS pueda suponer un elemento favorable en lo concerniente a la seguridad de la información.

Cumplimiento del estándar: una buena medida para reducir violaciones Así las cosas, según el estudio, el 64% de las empresas que reconoce acatar el estándar PCI-DSS confirma no haber sufrido transgresiones relativas a los datos asociados a sus tarjetas de crédito en los últimos dos años, mientras que sólo el 38 % de las compañías que no cumplen pudieron afirmar lo mismo.

Cuando se trata de violaciones de datos globales (incidentes generales o relativos a la información contenida en la tarjeta de crédito), el 63% de las organizaciones que se encuentran en conformidad con el estándar no padeció más que una única violación de sus datos, en comparación con el 22% de las compañías que no lo acogen. Cabe destacar también que el 26% de las empresas que no lo ejecutan fueron víctimas de más de cinco delitos en el mismo período de tiempo.

Una percepción cínica sobre PCI-DSS A pesar de que la evidencia indica lo contrario, el 88% de los encuestados confirma no estar de acuerdo con que el cumplimiento de PCI-DSS pueda encerrar un efecto positivo en lo relativo al número de transgresiones experimentadas, y sólo el 39% cita la mejora en la seguridad de los datos como una de las propuestas de valor -contenida en PCI DSS- para los negocios.

De hecho, únicamente el 33% cree que el gasto destinado a cumplir con PCI-DSS queda cubierto por el beneficio que supone para la organización. El cumplimiento aumenta, a pesar de todo.

El informe también recoge que dos tercios de los encuestados han logrado el cumplimiento sustancial con PCI-DSS. Esta cifra contrasta con la obtenida en el Estudio sobre Tendencias de Cumplimiento PCI DSS de 2009, cuando el número de participantes que confirmaba este hecho correspondía únicamente a la mitad de los profesionales preguntados, mientras que aproximadamente el 25% de los encuestados afirmaba que no había alcanzado nivel de cumplimiento alguno. En 2011, únicamente el 16% de las organizaciones sondeadas testifica no haberlo hecho.

Fuente: http://seguridad-informacion.blogspot.com

Descargar el informe: PCI DSS Compliance Trends Study, 2011

TD1: Duplicador Forense, una herramienta infaltable!!



Este dispositivo se ha convertido en uno de los mejores instrumentos no solo para casos forenses sino para temas de Data Recovery, su posibilidad de copia en modo imagen o clonacion bit a bit hace que se pueda determinar si la falla de un dispositivo es solo logica o física. Evidentemente si es falla a nivel de firmware también tendrá problemas.

En el Laboratorio de Yanapti fue uno de los primeros dispositivos forenses adquieridos, a la fecha contamos con varias unidades y como representantes hemos vendido tanto en Bolivia como en el exterior varias unidades.



Este dispositivo es también utilizado para procesos de desvinculación laboral, cuando se debe retener datos o copiar el contenido del PC del empleado saliente para garantizar la integridad de la evidencia si llegase a surgir algo posterior al retiro.

Este año en mayo, estuve en la reunion de reseller en Orlando USA, donde vimos todas las novedades para los siguientes meses. La union con Guidance Software sin duda le dio mucho impulso al mercado.



El Duplicador forense TD1 de Tableau brinda un rendimiento y una funcionalidad líderes en el sector en un paquete compacto, de larga duración y fácil de usar. Diseñado específicamente para las adquisiciones forenses, el TD1 admite los discos duros SATA e IDE y proporciona tasas de transferencia de datos de hasta 6 GB/minuto mientras calcula al mismo tiempo los hash MD5 y SHA-1.




TD1 ofrece funciones necesarias en la adquisición de datos de laboratorio y de campo. Las funciones estándar incluyen duplicación de disco a disco y de disco a archivo, formateo de disco, borrado de disco, operaciones hash en disco, (MD5 y SHA-1), detección y extracción de HPA/DCO y comprobación de disco en blanco.



Tableau vende el TD1 en un completo kit que incluye una fuente de alimentación TP3 de salida alta, cables de alimentación y unidad IDE, cable FireWire para actualizaciones de firmware, tres adaptadores de unidad portátiles distintos y una tarjeta de inicio rápido. El kit también incluye una espuma hecha a medida que protege los contenidos del kit durante el envío y que puede utilizarse en cualquiera de las cajas de tapa dura estándar. Póngase en contacto con YANAPTI SRL para solicitar una demostracion y mayor informacion.

Fuente: www.rosalesuriona.com

DISPOSITIVO UNIVERSAL DE EXTRACCIÓN FORENSE DE CELLEBRITE (UFED)




La tecnología existe. Ahora como es usada y por quienes, eso ya no es parte técnica. Querer decir que la tecnología en este caso para celulares permitiría invadir la privacidad de las personas es como querer quitar los automóviles de la vida humana por que son utilizados para provocar muertes. Que un ebrio conduzca y cause muertes o accidentes no es culpa del automóvil y no podríamos culpar al fabricante o al vendedor de automóviles por ello.

En ese mismo sentido es que existe tecnología para investigar datos en dispositivos móviles. No contar con la ayuda de la tecnologia es estar varios pasos por detras de la delincuencia organizada, aquella que no es ocasiona o impulsiva sino planifica y actua.

Lastimosamente solo tenemos unidades de muestra que si bien han sido demostradas en su potencial a diferentes Generales de la Policía Nacional, aun la barrera generacional no les permite entender que con balas, laques y puñetes ya no se puede combatir el crimen de alta tecnología.



Rápida y segura extracción y análisis de datos de teléfonos móviles y GPS Gracias a la especialización de Cellebrite en la tecnología de extracción de datos, los productos de análisis forense de móviles realizan una extracción de datos lógicos y físicos, incluso la recuperación de mensajes y contenidos eliminados.

Con más de una década de experiencia en tecnología de datos de teléfonos móviles, Cellebrite ofrece la mayor cobertura existente en el mercado actualmente. La familia de productos UFED permite extraer y analizar los datos de más de 3000 teléfonos, incluso de smartphones y dispositivos GPS.

Diseñada para ser portátil, la solución UFED de Cellebrite consta de un dispositivo autónomo que puede utilizarse sobre el terreno o en el laboratorio.

UFED de Cellebrite ofrece la máxima experiencia en análisis forense de móviles y es utilizado por organismos militares, fuerzas de seguridad y administraciones públicas de todo el mundo.

El sistema de datos forenses UFED de Cellebrite es un avanzado dispositivo autónomo que se puede usar tanto en el terreno como en el laboratorio forense. El UFED de Cellebrite puede extraer datos vitales como contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI de más de 1600 modelos de microteléfonos vendidos en todo el mundo. El UFED admite las tecnologías CDMA, GSM, IDEN y TDMA, y es compatible con cualquier portadora inalámbrica. El sistema UFED de Cellebrite admite el 95% de los microteléfonos disponibles actualmente, incluidos teléfonos inteligentes y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian). No requiere PC para el uso en el terreno, y puede almacenar fácilmente cientos de contactos y de elementos de contenido en una tarjeta SD o en una unidad Flash USB. El UFED de Cellebrite es compatible con todas las interfaces conocidas de dispositivos celulares, incluidos serial, USB, infrarrojo y Bluetooth. De regreso en el laboratorio forense, se puede realizar la revisión y verificación mediante la herramienta de reporte y análisis. La extracción de datos en el terreno garantiza la inspección del teléfono de un sospechoso antes de que el individuo tenga la oportunidad de destruir o de borrar los datos. Al trabajar de manera exclusiva con la mayoría de las principales operadoras del mundo, como Verizon Wireless, AT&T, Sprint/Nextel, T–Mobile UK, Orange France y Telstra Australia, así como con otras 50 operadoras en EE. UU. solamente, Cellebrite garantiza la compatibilidad con los dispositivos futuros antes de su lanzamiento al mercado.




UFED de Cellebrite – En pocas palabras * Permite extraer datos de la mayoría de los teléfonos celulares o PDA: contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI * Portátil y fácil de usar, en el terreno y en el laboratorio forense * Kit independiente, no requiere una PC para la extracción * Permite generar completos reportes de evidencias verificados MD5 * Es compatible con más de 2000 modelos de microteléfonos, y ofrece actualizaciones automáticas de software para los dispositivos de lanzamiento reciente Fuente: Cellebritte Llamo la atencion de colegas investigadores forenses que hace poco en un evento de derecho informatico confundieron a los presentes mostrando tecnicas de analisis forense mediante fotografia. Por supuesto que les debe estar fallando el google por cuanto estos dispositivos especializados ya tienen sus buenos años ysu desconocimiento ya raya en lo risorio. Por suerte y esfuerzo propio contamos en Yanapti a la fecha con un neutrino completo y desde hace un tiempo con el UFED de cellebrite. Amen de las varias versiones por software que suponen la existencia de los cables apropiados.

Fuente: www.rosalesuriona.com
web stats