Auditoria, Informática, Fraudes, CAATTs

MITOS Y REALIDADES SOBRE HIPAA

2012-01-08T14:01:00.003-04:00

Health Insurance Portability & Accountability Act - HIPAA

La Ley de responsabilidad y transferibilidad de los seguros médicos.

MITO: Hay que guardar los récords de los pacientes bajo llave.

HIPAA: Sólo asegurar los récords.

REALIDAD: Esto no quiere decir bajo llave. Existen alternativas razonables.

MITO: Hay que hablar en un lugar donde otros no puedan escuchar la conversación entre el profesional y el paciente.

MITO: Hay que construir lugares a prueba de sonido.

MITO: Tengo que construir e instalar barreras de sonido en mis topes o “counters“.

HIPAA: Falso , sólo tomar medidas razonables para mantener la privacidad de la información de salud del paciente.

REALIDAD: Esto quiere decir, bajar el volumen, ir a una esquina a conversar si hay otras personas en el lugar, pedir a los visitantes que le permitan hablar en privado, atender a una persona a la vez, hablar en otro tono de voz, etc.

MITO: Tienes que comprar un programa de computadoras.

HIPAA: Falso, entre otras cosas, hay que elaborar una política de privacidad, la documentación y procedimientos necesarios para cumplir con las reglas y adiestrar todo el pesonal de la entidad.

REALIDAD: Se puede cumplir completamente con HIPAA sin

comprar nada nuevo.

MITO: Existen programas de computadoras certificados y/o que llevan a cumplir con HIPAA automáticamente.

HIPAA: Falso, los únicos que pueden cumplir con HIPAA son planes, proveedores y “clearinghouses”.

REALIDAD: No existe programa en el universo que esté certificado por o para HIPAA, ni que lo haga cumplir con HIPAA automáticamente. Lo más que pudieran es ser “conformes” con HIPAA.

MITO: Puedes ir a la cárcel si no cumples con HIPAA

HIPAA: Se establecen multas y cárcel como sanciones por la violación de la ley.

REALIDAD: El que cometa actos delictivos en violación de una ley se arriesga a ser sancionado. El DHHS dará todas las oportunidades de cumplir con la ley y llevará a cabo todas las orientaciones necesarias antes de proceder a imponer las sanciones.

MITO: El Departamento de Salud Federal y/o Medicare certifican personas, programas de computadoras y/o sistemas como especialialistas o como que logran el cumplimiento con HIPAA.

HIPAA: Falso, ni Medicare ni el Departamento de Salud Federal certifican personas, ni programas, ni sistemas como especialistas que logran cumplimiento con HIPAA

MITO: No se pueden llamar los pacientes por nombre.

HIPAA: Falso, se puede seguir llamando pacientes por su nombre. (Ver situaciones discutidas en el Federal Register).

REALIDAD: Esta medida númerica es práctica para algunos escenarios, pero no es requerida.

MITO: Los expedientes no se pueden guardar por número de seguro social o por orden alfabético.

HIPAA: Sólo se requiere asegurar la confidencialidad de los récords.

REALIDAD: Falso, quisiéramos saber de dónde sale ésta premisa.

Fuente: http://www.salud.gov.pr

Las cinco leyes que espera la comunidad informática argentina en 2012

2012-01-08T13:49:00.001-04:00

En el año 2011 la República Argentina fue testigo de distintos casos, hechos y situaciones que se han manifestado en la sociedad de la información local y que reclaman soluciones legislativas concretas ante un derecho que llega tarde.

Las razones para legislar son muy sencillas: (1) Necesitamos proteger a nuestros hijos y a los adolescentes en particular con normas claras en materia penal y civil y (2) dar señales y soluciones sensatas a los actores del negocio de la red, en todas sus variantes, que mueve millones de dólares diarios y contrata miles de puestos de trabajo en nuestro país.

A continuación las 5 leyes que espera la comunidad informática argentina en 2012:

1.- El Senado de la Nación aprobó el 2 de noviembre de 2011 un proyecto de ley que incorpora al Código Penal el delito de "grooming" que consiste en la utilización de medios informáticos para tomar contacto con un menor de edad, creando un ámbito de confianza, que tiene por objeto alguna acción de pedofilia (como un abuso sexual o la violación).

La senadora Sonia Escudero presentó el dictamen en su calidad de presidenta de la Comisión de Justicia y Asuntos Penales. El proyecto aprobado tiene como antecedentes los proyectos presentados por la senadora del Frente para la Victoria (FPV) María José Bongiorno y los senadores María Higonet y Carlos Verna.

Los expertos convocados al debate (el que escribe este artículo; el fiscal general Dr. Ricardo Saenz y el Dr. Daniel Monastersky, abogado especialista en nuevas tecnologías) coincidimos en la necesidad de actualizar en forma integral la última reforma del Código Penal con una descripción de casos concretos de grooming y otras situaciones vinculadas tanto a nivel nacional como internacional.

En conclusión se espera que la Cámara de Diputados convierta en ley el proyecto en cuestión y que se debatan en forma integral otros delitos informáticos no incorporados al Código Penal como el sexting o figuras similares que ponen en juego la integridad sexual y psicológica de los menores.

2.- La usurpación de identidad on line es moneda corriente. La creación de perfiles falsos en Facebook u otras redes sociales para ejecutar acciones de defraudación bancaria o pedofilia se replica en Internet. Muchos "famosos" como Luciana Lopilato o Marcelo Tinelli en Argentina o George Clooney y Lady Gaga en los EE.UU. son usurpados en su identidad digital para cometer delitos.

Es necesario poner coto a este tipo de acciones que ponen en peligro el patrimonio individual y la integridad de los menores con una adecuada legislación a medida.

3.- El ciberacoso escolar o ciberbullyng es otra problemática que se expande en la Argentina como reguero de pólvora y requiere de una modificación legal. Recientemente Chile ha incorporado esta figura a su ley de educación superior y otros países de la región lo están debatiendo. Estados Unidos y Europa han superado la cuestión en materia legislativa. Nuestro país necesita su debate y prevención legal.

4.- Los Proveedores de Servicios de Internet (ISP) y en especial los buscadores de Internet y las redes sociales requieren de soluciones concretas y señales claras, con tratamiento legislativo.

Por ejemplo Facebook (radicado en Argentina en octubre de 2011) tiene más de 850 millones de habitantes (usuarios) y se consolida como el tercer país del mundo luego de China y la India. Su valuación patrimonial es incalculable y ha prometido que en el 2012 saldrá a cotizar en el Nasdaq.

La privacidad a través de esta red social tiene sus cuestionamientos como el uso indebido de imágenes personales o los "etiquetamientos" y el concepto de intimidad digital está en crisis. Los casos de Juana Viale, Silvina Luna y Silvina Escudero, que se exteriorizaron en el 2011, dan cuenta de ello. Pero las normas siguen siendo las mismas.

Nuestro país espera respuestas legales que eviten recargar a nuestros tribunales con expedientes que guardan idéntica línea de discusión.

5.- Los derechos de autor en Internet están en plena crisis. Los casos "Cuevana y Taringa" que explotaron en la comunidad de la propiedad intelectual local dan cuenta de ello. Pero el fenómeno es global. La cuestionada ley SINDE en España y los proyectos de ley SOPA (Stop Online Piracy Act) y PIPA (Protect IP Act) que se debaten en los Estados Unidos generan ardientes disputas entre los defensores de la libertad de expresión e intercambio de contenidos on line y aquellos que defienden los derechos de autor. Nuestra ley de propiedad intelectual data del año 1933 y requiere ajustes y actualizaciones. El Congreso Nacional también deberá tomar cartas en el asunto.

Estas dos últimas problemáticas están directamente vinculadas a una (no menos importante) que se conoce como "neutralidad en Internet" que como principio propone dar a todos los datos que circulan por la Red un tratamiento igual, independientemente de su contenido u origen, garantizando a los consumidores-usuarios el ejercicio de su derecho de libre acceso a la información y a los diversos servicios que ofrece la industria de la web y de las telecomunicaciones.

La neutralidad pretende evitar que se distorsionen las condiciones de acceso a la información; asegura que los usuarios puedan acceder de igual manera a cualquier contenido desde cualquier dispositivo o aplicativo sin privilegiar a un tipo de dato o contenido sobre otro y garantiza que todos los sitios web tienen los mismos derechos y merecen acceder al mismo ancho de banda por parte de los ISP.

Este tema es crítico porque conlleva el debate sobre el "control del tráfico de información en Internet" que se ha consolidado como el vehículo de comunicación por excelencia.

Y como todos sabemos, en la actualidad, la información almacenada en un servidor local o vía cloud computing (concepto que merece especial atención también) es un bien preciado como el mismísimo oro.

Nada de lo que era será igual y el fenómeno social avanza como un correcaminos ante un derecho que nunca lo alcanza.

Nuestra legislación deberá adecuarse con paso sensato, serio y técnico porque están en juego bienes jurídicos de neto corte social como la salud e integridad de niños y adolescentes e intereses de una industria que, en sus distintas variantes, impacta con decisión en la vida de los ciudadanos y consumidores en particular.

Esperemos que estos temas integren la abultada agenda legislativa para un 2012 que promete muchas sorpresas en el maravilloso mundo de la sociedad de la información..

Fuente: http://www.lanacion.com.ar

Pávlov el zombie - Un caso de extorsión (I)

2012-01-08T13:36:00.002-04:00

de Pedro Sánchez

Hola lectores,

Arturo y Eli son socios y jóvenes emprendedores dedicados en cuerpo y alma a un proyecto que idearon en la universidad hace cinco años. Se dedican en exclusiva a desarrollar aplicaciones en modo SaaS para empresas en el ámbito de medio ambiente y desde que comenzó el proyecto hoy cuentan con setenta empleados que no es poco en la crisis que vivimos.

El único problema digno de mención surgió hace dos años con un empleado que resaltaba por su brillantez a la hora de programar. Tenia un hueco y futuro en la empresa pero dado su carácter y forma de ser no acepto tener una mujer como responsable de equipo. Con el tiempo las relaciones entre los componentes fueron a peor y Arturo y Eli decidieron tras una gran discusión con este que debería de irse aún perdiendo un estupendo programador. La cosa se hizo de mutuo acuerdo y se despidió.

El tiempo pasa y la vida continua y esta magnífica empresa empieza a dar muy buenos resultados abriendo delegación en Brasil. Arturo y Eli mientras tanto son premiados por la Cámara de Comercio por su buena trayectoria. Deciros que hoy en día esta empresa tiene novios con objeto de ser comprada.

UN ZOMBI EN MI BUZON DE CORREO

El pasado mes de Noviembre Eli recibe un correo con una mala traducción al Español indicando que debe de pagar 90.000€ a una mafia ubicada en Rusia. En caso contrario "Pávlov el Zombie" que es como se hace llamar, le comunica que tras el plazo de siete días procederá a apagar los servidores de la empresa.

Por su puesto Eli, ve en el correo una broma y decide olvidar el asunto hasta que efectivamente al séptimo día y como bien dice ella "se forjo la maldición" y uno de los servidores de Active Directory se apago ordenadamente en plena ebullición de trabajo a las 12:00h.

En estos casos ya sabéis lo que ocurre. El responsable de sistemas empezó a recibir alertas, llamadas de sus compañeros y llamadas desde Brasil. Arturo que es alertado por el móvil no le da importancia y Eli la mínima (estas cosas pasan en todos los días en las empresas, pensó).

Pero la sorpresa fue mayúscula, cuando el administrador inicio sesión en el servidor y apareció el escritorio, se encontró con una fotografía de Eli con su familia de fondo de pantalla. Algo raro está pasando.

Esa misma mañana deciden reunirse y ver lo ocurrido Eli comenta que fue advertida por un tal "Pávlov" llegando a la conclusión de lo que pensó que era una mal broma la cosa empezaba a convertirse en cruda realidad. Paralelamente en la tarde del suceso Eli recibe más correos de 'Pávlov el Zombie' reclamando el dinero.

Para no hacer muy extenso el post os diré que hasta ahora esto es lo que ocurrió en la empresa y que esto ocurre en Septiembre y que por 'motu' propio de la empresa y tras hablar con sus abogados deciden realizar las siguientes acciones hasta primeros de noviembre:

Poner una denuncia. La operativa por parte de las fuerzas de seguridad y tras orden judicial se solicita a Google que de información de esa cuenta de correo. Esto además de ser un proceso arduo y duro viene a costar entres uno y tres meses dependiendo del tipo de maldad o fraude cometido.
Analizar las cabeceras de los correos recibidos (que por cierto son de Gmail)
Revisar el servidor y puestos de trabajo en busca de troyanos
Cambiar las contraseñas de todos los dispositivos, servidor y puestos de trabajo

Pero lo peor estaba por venir en Noviembre "Pávlov" alias "El zombie" reaparece y anunciaba que si no recibía el pago en cinco días antes de las 12:00h del Viernes, procedería a borrar información aleatoriamente del servidor.

Lo que antes fue una advertencia ahora se convertía en un reto dado que se supone que el control lo tiene la empresa.

ESTORNUDAR ES SIMBOLO DE INFECCION ZOMBIE

Bueno, pues lo dicho aquí es donde entramos a colaborar y allí estamos desde el Miércoles. El escenario que nos encontramos es el siguiente:

Cortafuegos Juniper en alta disponibilidad con balanceador de carga y dos servidores Windows 2008 con Active Directory, IIS publicando varias aplicaciones que se gestionan desde ayuntamientos y otras empresas por medio de una VPN. SQL Server 2008 como base de datos y replicadas en Barcelona en sendos servidores Windows Server 2008.

Una sospecha por parte de Eli y Arturo, del antiguo empleado que se marcho de la empresa de forma 'poco ejemplar'

y tres días solo para la hora 'H'

MIERCOLES

Con objeto de monitorizar se realizó (a la puta carrera) lo siguiente (no recuerdo muy bien el orden):

Se puso el Switch en modo 'port mirroring' en dos 'bocas'. En una de ellas se puso un detector de intrusos paralelamente con Wireshark a saco para capturar tráfico. En la otra se puso Spectrum de NetWitness

Se aplico una regla en los Juniper con un 'trigger' en log que vigilase todo el tráfico de entrada y salida de los dos servidores y del servidor de OpenVPN.

Se aplico una regla en los cortafuegos de Windows que comprobase todo el tráfico de salida con objeto de comparar con los Juniper

Se aplico la última actualización de los servidores (solo había una crítica del navegador)

Se desinstalo el antivirus actual y se instalo otro más agresivo y que fuera diferente a los de la red corporativa. Es posible que 'Pávlov' pudiera saltarse la detección del antivirus si había realizado un malware 'a medida' y mas si sospechamos del antiguo empleado.

Se hizo pasar la navegación de los servidores por un proxy con autenticación. De esta forma si el atacante utiliza un malware de upsss 'conexión inversa' con algún puerto no estándar quedaría registrado en el proxy y no tendría efecto.

Se deshabilito el servicio de terminal server (empleado solo por los administradores) y se instalo Wireshark en los servidores (si , ya se que fue un poco bruto). Esto se debe a que si el malware utiliza algún tipo de cifrado, nos sería mas sencillo de ver en la capa de red y usuario que es lo que envía y recibe. Por ultimo instalamos varias utilidades para monitorizar los procesos (decidimos no utilizar los propios del sistema operativo por si este estuviera comprometido) entre ellos Restarter y LogLady. También instalamos un syslog para que nos mandara los eventos de Windows a un pc de la instalación.

Con el monitor de actividad de SQL Server se comprobó el uso y funcionamiento.

Un compañero se dedico 'a saco' a revisar posibles vulnerabilidades en los aplicativos web

Tras diversas discusiones y aun sabiendo que no resultaría muy efectivo se virtualizo en VMware los servidores y sin seguir las recomendaciones de Microsoft (ver) (cosas del modo paranoico)

Y así pasamos un bonito Miércoles...

JUEVES

Vuelta a revisar todo de arriba abajo y de abajo arriba, reuniones y modo paranoico en 'ON'.

VIERNES 8:10h

Me llama Arturo y Eli casi simultáneamente indicando que han vuelto ha recibir un email avisando de que se va a proceder al borrado de datos a la hora indicada. Se informa y adjunta el email a la denuncia que se realizó a las fuerzas de seguridad. Vuelta a re-e-e-e actualizar el antivirus y revisar las actualizaciones de Windows

10:00h

Vuelta a revisar todo. Se estudia la posibilidad de avisar a los clientes, se diseña un protocolo y correo que nunca se llega a enviar. Volvemos a cambiar las contraseñas. La locura se hace evidente. La dirección de la empresa piensa en apagar los sistemas para que no se produzca el borrado. Es decir hacer un 'haraquiri' o auto-denegación de servicio. Cosa por mi parte inadmisible dado que mueves el problema a otra fecha y no lo resuelves, además de perder datos de investigación muy relevantes. Vuelta hacer Backups por si acaso.

11:00h

Todo el mundo atento. Todo el mundo firmes y en posición de batalla, sensores, Log's y nuestra atención al filtrado de los cortafuegos, proxy's e IDS's

11:28h

Silencio total. Todos mirando el monitor. El 'acojone' y los apretones de tripa 'se huelen'

12:00h

Silencio. Todo funciona con normalidad. No se oye nada de vez en cuando un teléfono. La tecla F5 (actualizar) va 'a toda hostia'

12:05h

Revisión de log's, revisión de controles y vuelta a monitorizar

12:30h

Caras de alegría. El tipo no puede entrar. No tiene control. Todo va normal

13:00h

Alegría tensa. Primera reunión después de DEFCON 1. Pensamos que todo ha sido una 'mala pasada' y que si antes tenia el control ahora es evidente que no lo tiene. Pasamos a DEFCON 2. (Perdón por la jerga militar). Esperamos hasta la hora de comer ya hacemos hasta bromas pero no dejamos de mirar las pantallas

14:30h.

Eli y Arturo nos hacen pedir para todos unas Pizzas y coca colas. Hoy todos comemos en la sala de reuniones. La invitación a una comilona se hace palpable, pero hoy no y como dijo José Mota: mañaaaaaaaana. (NOTA: La comida se produjo pero no tan pronto como nos hubiera gustado)

16:00h.

Todos nos relajamos, el Tsunami no llego a serlo. Mas y mas bromas, somos los mejores

16:22h

LOS ZOMBIES NO DISCRIMINAN, TE COMEN SI VAS LENTO

El administrador de dominio en una copia de datos rutinaria le da error la carpeta de origen. Comprueba alertado que los datos no están. Han desaparecido delante de nuestra cara y estupefacto me quedo al comprobarlo.

También faltan las carpetas de "Archivos de Programa" aunque algunos ficheros no se han borrado debido a que están en uso. Entre los desaparecidos están los ficheros raíz y muchos archivos de la carpeta Windows. Aquí el único que se ha enterado es el visor de eventos de Windows que nos ha enviado el evento a una máquina remota.

FAIL!!!

¿Pero que cojones ha ocurrido?, ¿Como es posible?.

Ninguna alerta, ninguna alarma, el IDS's ni se entera. Los logs's de lo Juniper a cero bytes, ningún proceso ha sido creado, nadie ha tocado nada, las conexiones de red las normales con acceso y peticiones http y https. Ningún tráfico de salida desde los dos servidores y aún así este tipo ha conseguido acceso y borrado datos tal y como predijo.

Las preguntas vuelan y la perplejidad de Eli y Arturo que con la mirada lo dicen todo, hacen ver que la derrota es muy amarga. Aunque los datos se han podido recuperar y realmente ha sido lo de menos, lo que verdaderamente mas me ha dolido en mi orgullo es que he perdido la apuesta (moral) con esta empresa con un 0-2 para 'Pávlov'. La verdad es que me senti derrotado.

Las dudas y mareos

¿Me estaré enfrentando realmente a un hacker contratado por la mafia?, ¿Se me ha pasado por alto algún control?, ¿dispone 'Pávlov el zombie' de algún 0Day? o he subestimado el potencial de un ex-empleado...

Es momento de volcar la memoria de los servidores, analizar lo poco que tenemos,volver a recapacitar y revisar con mas profundidad los controles. Cuando se toca fondo solo hay un camino y es tirar hacia arriba.

************

Bueno el resultado técnico final y con pantallas lo tendréis para la semana que viene... no os lo perdáis por que la cosa va por SQL SERVER y no es un ataque web, ni de SQL-Injection ni por asomo un 0day, ni malware que se le parezca. También es la historia de un empeño por descubrir que ha pasado

¿Que será?...

En este mundo de Zombies veremos quien caza a quien...

Fuente: http://conexioninversa.blogspot.com

¿QUÉ ES LA HIPAA?

2011-12-06T14:23:00.002-04:00

La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability & Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191, que modifica el código del Internal Revenue Service de 1986. También conocida como la Ley de Kennedy-Kassebaum.

El Título II incluye una sección, Simplificación administrativa, que exige:

1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio electrónico de datos, y
2. La protección de la confidencialidad y seguridad de los datos médicos, a través del establecimiento y cumplimiento de estándares.

Más específicamente, la HIPAA pide:

1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los pacientes
2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de cuidados médicos
3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información médica identificable a nivel personal" pasada, presente o futura.

En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y de transacciones médicas.

¿A QUIÉN AFECTA? A todas las organizaciones de salud. Esto incluye a todos los proveedores de asistencia médica, contando a los consultorios de un solo médico, a los planes de salud, empresas, autoridades de salud, compañías de seguros, cámaras de compensación, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios y universidades.

¿HAY SANCIONES? La HIPAA pide sanciones civiles y penales graves en caso de incumplimiento, como multas de hasta 25,000 dólares por violaciones reiteradas del mismo estándar en un solo año, multas de hasta 250,000 dólares o hasta 10 años de prisión por el mal uso consciente de la información de salud identificable a nivel personal.

PLAZOS DE APLICACIÓN La mayoría de las entidades disponen de 24 meses desde la fecha de entrada en vigor de la regla final, para cumplirla en su totalidad. Normalmente, la fecha de entrada en vigor es 60 días después de la publicación de una regla. La Regla sobre transacciones se publicó el 17 de agosto de 2000. Por lo tanto, la fecha de cumplimiento de esa regla es el 16 de octubre de 2002. La Regla sobre confidencialidad se publicó el 28 de diciembre de 2000, pero debido a pequeños problemas técnicos, no entró en vigor hasta el 14 de abril de 2001. El cumplimiento de la regla sobre confidencialidad se exige a partir del 14 de abril de 2003.

¿CÓMO SE APLICARÁ? De manera amplia y profunda. Las respuestas de cumplimiento exigidas no son estándar, ya que las organizaciones tampoco lo son. Por ejemplo, una organización con una red de cómputo deberá poner en funcionamiento uno o más mecanismos de acceso con autenticación de seguridad, basados en los usuarios, las funciones o el contexto, dependiendo del entorno de red.

Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos incluirán:

Fomentar el conocimiento inicial de la HIPAA en toda la organización.
Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los procedimientos de la organización.
Desarrollar un plan de acción con plazos y fechas límite.
Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento.
Poner en marcha un plan de acción completo que incluya
el desarrollo de nuevos reglamentos, procesos y procedimientos
Crear acuerdos de "cadena de confianza" con la organización de servicios.
Rediseñar una infraestructura de información técnica que cumpla los requisitos.
Adaptar o adquirir nuevos sistemas de información
Desarrollar nuevas comunicaciones internas
Capacitación y aplicación
Ahora, exploraremos el siguiente nivel de particularidades de la HIPAA que, para muchos de nosotros, son más fuente de confusión que de entendimiento. Intentemos simplificar la "Simplificación administrativa".

La disposición sobre "Simplificación administrativa" de la HIPAA consta de cuatro partes, cada una de las cuáles genera varias "reglas" y "estándares". Muchas de las reglas y estándares están aún en la fase de "propuesta" (por el DHHS); sin embargo, está previsto que la mayoría de ellas se conviertan en reglas "finales" en el año 2000. Para complicar el asunto aún más, cuando las reglas sean finales, la mayoría de ellas tendrá diferentes fechas de aplicación.

Las cuatro partes de la simplificación administrativa son:
ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD
IDENTIFICADORES ÚNICOS
ESTÁNDARES DE SEGURIDAD Y FIRMAS ELECTRÓNICAS
ESTÁNDARES DE PRIVACIDAD Y CONFIDENCIALIDAD

I. ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD
El término "transacciones electrónicas relacionadas con la salud" incluye las reivindicaciones médicas, la elegibilidad para los planes de salud, la inclusión y exclusión, los pagos de primas de los planes de salud y asistencia, el estado de las reclamaciones, los primeros informes de lesiones, la coordinación de prestaciones y las transacciones relacionadas.

En la actualidad, los proveedores de cuidados y los planes de salud usan un gran número de formatos electrónicos distintos. La aplicación de un estándar nacional significa que todos usaremos un solo formato, lo que "simplificará" y mejorará la eficiencia de las transacciones en todo el país. La regla propuesta exige el uso de formatos electrónicos específicos desarrollados por el ANSI (American National Standards Institute) para la mayoría de las transacciones, con excepción de las reclamaciones y los primeros informes de lesión. La reglamentación propuesta para estas excepciones aún no se conoce.

Prácticamente todos los planes de salud tendrán que adoptar estos estándares, aunque la transacción se realice en papel, por teléfono o por fax. Los proveedores que usan transacciones no electrónicas no tendrán que adoptar los estándares, pero si no lo hacen, deberán contratar a un centro de cambio y compensación que proporcione los servicios de conversión.

Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS ESTÁNDAR para utilizarlos en todas las transacciones médicas. Por ejemplo, los sistemas de codificación que describen las enfermedades, las lesiones y otros problemas de salud, así como sus causas, síntomas y medidas adoptadas deberán ser uniformes. Todas las partes de una transacción deberán usar y aceptar los mismos códigos. Una vez más, esto tiene como fin reducir, a la larga, los errores, la duplicación de esfuerzos y los costos. Afortunadamente, muchos planes de salud, centros de compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición.

II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE SALUD y PACIENTES
El sistema actual nos permite tener varios números de Id. para distintas relaciones entre nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los identificadores estándar reduzcan estos problemas.

III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA ELECTRÓNICA
El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la información médica que se aloje o se transmita electrónicamente, y pertenezca a una persona. Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo.

El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y mantenimiento físicos, para la transmisión y el acceso a la información de salud de una persona. Esto es válido no sólo para las transacciones que se lleven a cabo después de la entrada en vigor de la HIPAA, sino para toda la información de salud de una persona que se conserve o se transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las transacciones realizadas después de la entrada en vigor de la HIPAA.

El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar. Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones realizadas según la HIPAA.

IV. PRIVACIDAD Y CONFIDENCIALIDAD
La regla final de confidencialidad se publicó cuando terminaba el mandato del presidente Clinton, el 28 de diciembre de 2001. Ciertos problemas de papeleo retrasaron la comunicación al Congreso, por lo que la revisión del Congreso no comenzó hasta febrero, lo que retrasó la fecha de entrada en vigor de la regla hasta el 14 de abril de 2001. El Secretario del DHHS, Tommy Thompson, utilizó ese tiempo para solicitar comentarios adicionales durante el mes de marzo. El DHHS recibió más de 11,000 comentarios y como respuesta, tiene previsto emitir lineamientos y aclaraciones sobre la regla final. A partir del 14 de abril de 2003, se exigirá su cumplimiento por parte de la mayoría de las entidades.

En general, la privacidad se refiere a quién puede tener acceso a la información de salud que permite identificar a una persona. La regla abarca toda la información de salud con datos de identificación personal en manos de las entidades afectadas, independientemente de si dicha información está o estuvo en formato electrónico.

Los estándares de confidencialidad:

limitan el uso no consensuado y la divulgación de la información de salud privada;
dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido acceso a ellos;
restringen la divulgación de la información médica a lo mínimo necesario para los fines deseados;
establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos;
establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y otras personas.
La nueva regla refleja los cinco principios básicos planteados en ese momento:

Control del consumidor: la regla proporciona a los consumidores nuevos derechos críticos de control sobre la divulgación de su información médica
Límites: con pocas excepciones, la información de asistencia médica de una persona debe utilizarse exclusivamente para fines de salud legítimos, incluidos el tratamiento y el pago.
Contabilidad: con la HIPAA, por primera vez, habrá sanciones federales específicas si se viola el derecho a la confidencialidad de un paciente.
Responsabilidad pública: los nuevos estándares reflejan la necesidad de equilibrar la protección privada y la responsabilidad pública de apoyar prioridades nacionales, como la protección de la salud pública, el desarrollo de investigaciones médicas, la mejora de la calidad de la atención, y la lucha contra el fraude y el abuso en los servicios de salud.
Seguridad: es responsabilidad de las organizaciones a las que se confía la información médica protegerla contra el mal uso o la divulgación deliberada o accidental.

Fuente: www.hchdonline.com

MÉTODOS Y TÉCNICAS ANTIFORENSES

2011-11-05T08:35:00.000-04:00

Según [Cano, 2007] Son métodos que limitan la identificación, adquisición, análisis y validación de la evidencia digital en cuanto a cantidad y calidad.

Cano, también da un concepto más amplio “Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.”

Los objetivos de los métodos antiforenses son [Cano, 2007]:

• Limitar la detección de un evento que haya ocurrido.
• Distorsionar la información residente en el sitio.
• Incrementar el tiempo requerido para la investigación del caso.
• Generar dudas en el informe forense o en el testimonio que se presente.
• Engañar y limitar la operación de las herramientas forenses informáticas.
• Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
• Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.

COMENTARIO:

Entre los métodos antiforenses tenemos desde los más simples e ingeniosos hasta los más tecnificados por ejemplo:
- Uso de programas de freezado de sistema operativo, por ejemplo DeepFreezer
- Uso de CDs booteables que no escriben en el disco rígido y por tanto no dejan rastros.
- Uso de USB con tecnología U3 con propio sistema operativo y programas portables. Una variante en USB que no cuentan con tecnología U3 es el uso de programas portables almacenados en dispositivos USB (Ej. FireFox portable, Emule portable, etc).
- Uso de máquinas virtuales.
- Borrado de históricos del navegador de Internet.
- Ocultamiento de IPs con proxys anónimos.
- Uso de PCs en cibercafes para realizar actividades ilícitas
- Borrar los datos del archivo desde la aplicación. Ejemplo un documento de Word borrar los datos y guardar con el mismo nombre.
- Programas que cambian metadatos. Ej. Fecha de creación, modificación, etc.
- Cambio del dispositivo de almacenamiento (disco rígido utilizado para actividades ilícitas) por uno nuevo de paquete y con los programas que tenía el antiguo.
- Formateo de disco, solo borra el índice que indica donde están los archivos.
- Destrucción de datos (wipeado) mediante la sobreescritura de archivos.
- Ocultar particiones.
- Ocultar archivos mediante cambio de atributo a oculto, cambio de extensión o lo más tecnificado ocultar mediante estenografía en imágenes o audio.
- Encripción de discos y de datos mediante software o mediante hardware.
- Destrucción física es decir romper el disco, imantar, quemar, etc.

Sin embargo de todos los métodos y técnicas mencionados, cabe resaltar que si bien dificultan el trabajo del profesional forense, siempre se podrá recurrir a procedimientos alternativos que encuentren o den indicios de las actividades ilícitas. Por ejemplo: Si se encuentra que un disco rígido fue sometido a técnicas de wipeado se puede presumir que realizaba actividades de las cuales no quería ser descubierto. Si se conectó a Internet se podrá realizar la búsqueda de correos electrónicos, pedir datos a la ISP y es muy posible en algún momento utilizó dispositivos de almacenamiento USB, haber guardado nombres de usuario y contraseña en papeles.

No existe el crimen perfecto pues "siempre" se deja rastros y si existiera algún crimen perfecto, todovía no nos enteramos porque fuen tan perfecto que ocultó o borró bastante bien sus rastros.

También cabe mencionar una frase que me gusta bastante:
"No existe la verdad absoluta y esta frase es una verdad absoluta".

[Cano, 2007], Jeimy Cano. “Estrategias anti-forenses en informática: Repensando la computación forense”, Revista de Derecho Informático, No. 110 - Septiembre del 2007. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 Consultado 16/10/2010

Contralor interno de La Polar revela misterioso “local 70”, entrega a culpables y cuenta cómo se destruirían documentos

2011-10-21T23:29:00.003-04:00

Alejandro Aedo, que entregó su testimonio ante la autoridad reguladora el pasado 7 de septiembre durante 3 horas y 41 minutos, explicó cómo se le entregaba información parcial a la cuestionada consultora Price Waterhouse, aunque ésta no podía menos que detectar las anomalías. Asimismo acusa el intento de inducir a posibles testigos en sus declaraciones.

Por primera vez desde que se inició la investigación contra La Polar en la Superintendencia de Valores y Seguros (SVS), uno de los funcionarios que aún se mantiene en la empresa, decidió contar toda la verdad. Y lo hizo con ventilador.
El contralor interno Alejandro Aedo, en su declaración ante la SVS la semana pasada -que publica The Clinic Online- reveló una serie de episodios internos hasta ahora desconocidos y la existencia del misterioso “local 70”. Además cómo se le entregaba información incompleta a la auditora externa Price Waterhouse, el intento de destruir documentos y los -a su juicio- responsables de toda la maquinaria de las renegociaciones unilaterales que investiga el Ministerio Público. Y como si fuera poco, la inducción a otros posibles testigos de parte de un ex empleado de la firma del retail.

El testimonio de Aedo comenzó el pasado 7 de octubre a las 9.00 frente a los investigadores María Luz Schachtebeck y don Hernán Hidalgo Gómez. Duró 3 horas y 41 minutos y quedó plasmado en 11 páginas.

El “local 70”
Este profesional ingresó a La Polar en 2007. A poco andar, les contó a los fiscalizadores de la SVS del llamado “local 70”. Este último no era otro que la sede donde operaba toda la maquinaria para hacer las renegociaciones unilaterales a los clientes sin autorización de estos últimos.

A partir de ese momento, Aedo aseguró que Price Waterhouse, la cuestionada consultora que nunca advirtió las anomalías, tomaba muestras para establecer si se cumplían las políticas de crédito. Los jefes directos de Aedo eran el jefe de Auditoría Héctor Quezada, el subgerente de la misma área Mario Oliva y la gerenta contralora Fabiola Maldonado. En la cúspide estaba la ex ejecutiva María Isabel Farah, hasta ahora una de las principales imputadas de la caída junto al ex gerente general y ex presidente del directorio, Pablo Alcalde, y el ex gerente Julián Moreno.

El recorrido de nombres es relevante en el relato de Aedo, porque asegura que PW, recibió en un correo electrónico una página Excel, del período enero a octubre de 2010., donde se daba cuenta de 70 mil a 80 mil transacciones.

“…Me pareció extraño porque muchas veces en tres o cuatro días se cursaban esa cantidad de transacciones. Al identificar cada celda de transacciones al ver el local 70, que era el de Panamericana visualicé que no había ninguna transacción de dicho local. Solamente contaba con transacciones realizadas en sucursales”, explicó Aedo a la SVS. Esa información, según el profesional, fue canalizada por los ejecutivos mencionados más arriba.

En otras palabras, Price Waterhouse no observó que tenía sólo un 4% de la información para realizar su auditoría y el otro 96% dice Aedo, quedaba en el “local 70”, para que la consultora no lo analizara.

Hasta ahí podría parecer que PW pudo haber sido engañada, sin embargo, Aedo admite que con la información disponible daba al menos para sospechar, porque incluso se hizo un estudio interno en 2009 en La Polar, que daba cuenta de las repactaciones unilaterales que alcanzaban ya a las 300 mil, es decir, dos años antes. Cabe recordar al respecto, que luego que la firma del retail informara al mercado de su verdadera situación patrimonial en junio pasado, se estableció que eran cerca de un millón de chilenos los afectados.

Who is who

En las contrapreguntas a Aedo de parte de la SVS, le consultaron quiénes eran los responsables de saber de la entrega de información a PW -y por extensión al mercado- y cómo le constaba. Aedo contestó:

“Bajo mi criterio, serían los gerentes corporativos, María Isabel Farah, de productos financiero Julián Moreno, gerente de informática Pablo Fuenzalida, ellos eran los representantes y los dueños de las áreas afectadas por la materialización de las renegociaciones. No me consta que se hubieran reunidos pero ellos eran los responsables, administración controlar, informática operar y productos financieros definir las reglas. Al menos una de las tres debería haber señalado que algo extraño ocurría”, aseveró.

Al referirse al caso de Pablo Alcalde, aseguró desconocer si este estaba enterado o no. Sin embargo, tanto en el Ministerio Público como en una presentación hecha en la SVS, Julián Moreno asegura lo contrario.

“Tienen que resetearse”

Aedo no escatimó detalles. También contó cómo Farah les ordenó deshacerse de la información relevante y que pudiera afectarlos, pero asegura que no aceptó.
“Mario Oliva solicita que a petición de María Isabel, había que borrar información sobre el caso, entonces le señalo que claramente al hacer eso nos convierte en participe y ya tenemos la evidencia necesaria que esto es fraude. A lo que responde “¿tú crees que esto era un fraude”? Entonces le contesté que esto era el indicador… En la tarde del mismo día aproximadamente a las 14:30 entra a la oficina Fabiola Maldonado, gerente de contraloría, habla con Mario y cuando se va retirando, nos dice “ya hablaron con uds. Que tienen que resetearse” y sale de la oficina… ”
Por último, indicó que Oliva, trató de inducir a otros posibles testigos del caso en sus declaraciones: “… le solicitó al jefe de auditoría que no me hablara ni se contaminara conmigo y lo empezó a inducir cuales eran las versiones”.

Lee la declaración de Alejandro Aedo
http://issuu.com/theclinic/docs/aedo_svs/1#print

http://issuu.com/theclinic/docs/alcalde_y_moreno_sin_sello_de_agua?mode=window&backgroundColor=%23222222

Fuente: http://www.theclinic.cl

Superintendencia formula cargo contra PwC por deficiencias al auditar a filial de La Polar

2011-10-21T23:24:00.002-04:00

La autoridad hizo seis reparos y dijo que en su propia revisión detectó cosas que no vio Price.

Después de más de tres meses de investigación en relación a la emisora de tarjetas de crédito de La Polar, Inversiones SCG, la Superintendencia de Bancos e Instituciones Financieras (Sbif) hizo una inédita formulación de cargo contra una auditora: PriceWaterHouseCopper (PwC). La medida obedece a que detectó deficiencias en su labor de auditora externa, al analizar la gestión de riesgo de la filial de Empresas La Polar, que en junio reveló graves irregularidades en el manejo de la cartera de créditos.

Fuentes cercanas al proceso indicaron que el ente regulador y fiscalizador, dirigido por Carlos Budnevich, hizo seis reparos a la labor de Price, los cuales dieron origen a la formulación de un cargo. Este se refiere a "diversos reparos u observaciones respecto del referido Informe de Procedimientos Acordados" -que se exige a este tipo de emisores de tarjetas-, por cuanto éste no se habría fundado en "técnicas y procedimientos de auditoría que otorguen un grado razonable de confiabilidad, proporcionen elementos de juicio suficientes y su contenido sea veraz, completo y objetivo", como lo exige el artículo 248 inciso 1° de la Ley N° 18.045.

"Las deficiencias observadas consisten, en lo fundamental, en que la auditora omitió aspectos relevantes (no formuló excepciones) relativos a riesgos de créditos, renegociaciones, provisiones e independencia de la auditoría interna, que sí fueron detectados en la revisión de la Sbif, demostrando falencias en el trabajo realizado por PwC", dijo la superintendencia. La Sbif, cuestionada en la comisión investigadora de la Cámara de Diputados por su labor fiscalizadora en este caso, justificó el cargo, indicando que para los emisores de tarjetas de crédito no bancarios existe un régimen de fiscalización delegado en auditores externos, basado en la entrega anual del Informe de Procedimientos Acordados.

Reparos

Fuentes cercanas revelaron que fueron seis los reparos a labor desempeñada por Price. Uno de ellos se refiere a que la auditora no identificó que la auditoría interna de la filial de La Polar dependía de la contraloría, lo que evidenciaría poca independencia de juicio y un limitado nivel jerárquico.

Otro punto sería el que los procedimientos de gestión de crédito no eran visados por el directorio de la compañía, ni por la gerencia de la empresa. La Sbif indicó que la auditora tampoco advirtió que la función contralora estaba radicada en una subgerencia de la multitienda, otro factor revelador de la débil fiscalización.

Cuestionó que la política de provisiones no fuera la indicada, pues la auditora no observó que se estaban vulnerando las políticas de crédito en materia de renegociaciones de créditos. También detectó ausencia de documentación relativa a metodología de provisiones. Price confirmó que realizará sus descargos en el plazo legal de 10 días hábiles. Tras eso la Sbif definirá sanciones.

El cargo contra la firma auditora

La Sbif acusa a Price de vulnerar el artículo 248 de la ley del Mercado de Valores, que le obliga a fundar sus informes en procedimientos confiables y entregar un contenido veraz, completo y objetivo. Además, asegura que en su propia revisión detectó faltas de SCG que Price debió ver.

Las sanciones a las que se expone Price

La línea de sanciones para la auditora considera multas, que pueden llegar hasta UF 5.000 ($ 110 millones), pero también abre la posibilidad de suspenderle la licencia. Sin embargo, fuentes cercanas indicaron que existen pocas posibilidades de que la Sbif cancele a una transnacional.

La defensa de la empresa auditora.

Price también recibió formulación de cargos por parte de la Superintendencia de Valores y Seguros, incluyendo al socio encargado de La Polar. La auditora replicó con una demanda contra quien resulte responsable, acusando que recibió información falsa y que existía contabilidad paralela.

Fuente: http://diario.latercera.com

La Polar, o cómo nos contagiamos del Síndrome Arthur Andersen

2011-10-21T23:17:00.004-04:00

Uno de los asuntos polémicos del caso Enron que fue largamente descrito en el libro Final Accounting sobre el rol de Arthur Andersen en esa crisis, es la dualidad que tenían las empresas auditoras como vendedoras de servicios de consultorías a la vez auditaban los estados financieros. En el libro se describe con lujo de detalles, como el área de consultoría presionaba al área de auditoría para que no fuera tan estricta en sus revisiones, cosa de no perder un cliente, ya que los ingresos por otros servicios eran más atractivos para las auditoras.

Las fiestas en la empresa prometían ser cada vez mejores. Los ejecutivos, excelentemente pagados tenían mucho que mostrar a los accionistas. Años recientes de buen desempeño accionario, una expansión internacional en ciernes, además finalmente un buen gobierno de derecha que parara en seco las regulaciones de la industria, hacían que el sueño siguiera vivo. Pero de repente ocurrió la debacle: datos sobre las utilidades reales de la compañía no eran correctos, pese a que habían sido auditados por una de las empresas más reconocidas de la plaza.

Esta historia que suena igual a lo vivido ayer en la crisis de La Polar, corresponde en realidad a la vieja historia de Enron de hace 10 años y su socia en el fraude: la auditora Arthur Andersen. Suena historia conocida la publicación de un hecho esencial en la página de la Superintendencia de Valores y Seguros que indicaba que la empresa detectó que se realizaron prácticas de crédito que no fueron autorizadas por el directorio y que implicarían provisiones adicionales en montos que oscilan entre 150 y 200 mil millones de pesos, según la estimaciones preliminares.

Y al igual que la gigante de Texas, las acciones se desplomaran en un 44,8% en el día negro de La Polar. Más aún: el año anterior para La Polar había sido excelente, pues sus acciones habían subido un 20,2 % en el 2010. Los estados financieros mostraban una envidiable utilidad de casi 30 mil millones de pesos. Una empresa sólida, al igual que lo era Enron.

La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra.

Debido al alto nivel de créditos que otorga la Polar a sus clientes, ésta debe hacer provisiones en sus estados de resultados, con el objeto de prever situaciones de no pago y de morosidad. El objeto de ello es sincerar el real riesgo que tienen los ingresos de la empresa. En el caso de las instituciones financieras operan reglas de la Superintendencia de Bancos, pero que no necesariamente deben ser adoptados en el mundo del retail. Una política de previsiones que haga el supuesto de una cartera más sólida y con mejor comportamiento de pago, implica mejores utilidades para la compañía. Estas son claramente riesgosas, pues un sinceramiento de la situación crediticia, y con bajas provisiones puede implicar un desplome de la empresa.

Las solas estimaciones que ha hecho la empresa implican montos de más de cinco veces las utilidades del año anterior, y es razonable que la duda respecto a que las provisiones sean aún mayores. Ante esa incerteza cundió el pánico en el mercado. La lectura de la bolsa fue una sola: la Polar tiene una cartera mucho más morosa que la que ha declarado en los estados financieros y en vez de utilidades tiene pérdidas por montos desconocidos.

La Polar, al igual que Enron tenía sus estados financieros auditados por una de las más respetadas de la Plaza: Price Waterhouse Coopers conocida cariñosamente como PwC. La auditoría firmada el día 15 de marzo de 2011 aprobaba los estados financieros y por tanto, las provisiones tomadas y las jugosas utilidades. No es casualidad que en el hecho esencial se saque a Price, reemplazándola por otra. Pero el problema no es la empresa auditora, sino una lección del caso Enron que no ha sido corregida en Chile.

Uno de los asuntos polémicos del caso Enron que fue largamente descrito en el libro Final Accounting sobre el rol de Arthur Andersen en esa crisis, es la dualidad que tenían las empresas auditoras como vendedoras de servicios de consultorías a la vez auditaban los estados financieros. En el libro se describe con lujo de detalles, como el área de consultoría presionaba al área de auditoría para que no fuera tan estricta en sus revisiones, cosa de no perder un cliente, ya que los ingresos por otros servicios eran más atractivos para las auditoras. Y al igual que ocurre hoy en Chile, las empresas auditoras tienen mejores ingresos a través de sus áreas de consultoría que dando fe de la certeza de los estados financieros. Una revisión de la web de la empresa auditora de La Polar muestra la importancia que le asignan a estos negocios anexos, convertidos en el rubro principal.

Esta historia se ha convertido en un caso de estudio largamente debatido en escuelas de negocios, incluyendo varios MBA en Chile, a los que sospecho que deben haber asistido muchos profesionales de La Polar y de PwC. La venta de estos negocios a un mismo cliente, que son claramente incompatibles entre sí, es llamada en muchas escuelas de negocios como el Síndrome Arthur Andersen.

En el código de conducta de Pwc en Chile y que está publicado en su web no se menciona nada respecto a qué hacer ante un cliente que tiene contratado los servicios de consultoría y al que se le deben auditar sus balances encontrándole errores. Tampoco es posible ver cuál es la política de PwC respecto a sus criterios para vender conjuntamente la auditoría con otros servicios. En realidad ninguna empresa auditora transparenta esa, y queda mucha tarea para la Superintendencia de Valores y Seguros en esta área. Que debiera partir, por cierto, con volver a leer el caso Enron.

Fuente: http://www.elmostrador.cl

“Price Waterhouse es cómplice de la situación de La Polar”

2011-10-21T23:07:00.002-04:00

Tomás Fabres, Director de Fundación Chile Ciudadano:
“Price Waterhouse es cómplice de la situación de La Polar”

El director ejecutivo de la Fundación Chile Ciudadano, Tomás Fabres, aseguró que la empresa Price Waterhouse, que realizó una auditoría externa a La Polar, es cómplice de la situación.

“El gran escándalo aquí tiene relación con la empresa Price Waterhouse que sin duda debe haber conocido esta situación y negoció con el directorio o con algún ejecutivo alto de la compañía para no revelar los estados financieros”, sostuvo en entrevista con Radio Bío Bío.

En ese sentido, el abogado señaló que ha sido testigo en reiteradas ocasiones de cómo las firmas de auditores negocian las notas de los estados financieros con los directorios.

“Si una auditoría interna o externa no es capaz de detectar que uno de cada cinco clientes está siendo ‘bicicletiado’ es porque, simplemente, está bien ‘mojadito’ o le dicen mira para el norte en vez de hacer su pega”, insistió Fabres.

Asimismo, explicó que “a partir del año 2007 La Polar inició una política muy agresiva de ampliación de su cartera de clientes, y por medio de sus filiales que están encargadas de evaluar a los clientes, otorgaron créditos por montos muy pequeños a personas que no tenían ninguna capacidad de pago”.

“Las principales afectadas son dueñas de casas que simplemente no tienen ingresos para cancelar las deudas ya que generalmente administran un presupuesto familiar. A ese nicho apostó La Polar en el año 2007”, acotó.

“Como era de esperarse muchas de esas señoras contrajo las deudas sin que supieran sus maridos y lloran hoy día porque no saben cómo explicarle hoy a sus maridos que tienen una deuda de dos millones. Ellas no fueron capaces de responder a sus compromisos y La Polar, en vez de aplicar la ley que obliga a castigar cuando no se paga la cuota, decidió interpretar por su cuenta el contrato detectando cláusulas que le permiten repactar las deudas con el cliente, situación que es ilegal”, afirmó el director ejecutivo de la Fundación Chile Ciudadano.

De igual modo, hizo hincapié en que la Fundación está estudiando interponer una querella criminal, por cuanto existe información falsa en los balances de La Polar, lo que a su juicio es un delito.

Fuente: http://www.elmostrador.cl

Sincronismo de tiempo, un elemento para la "Duda Razonable"

2011-10-18T21:47:00.003-04:00

Lamentablemente la definición de hora oficial no ha pasado de ser un tema legalmente definido a técnicamente implementado. Si bien por ley del año 1992 se ha definido que el Observatorio de Santa Ana de Tarija, en virtud de contar con un reloj atómico, generosamente donado por la entonces Unión Soviética y luego mediante ley del año 1993 donde se definió que era la Academia Nacional de Ciencias encargada de la difusión de la misma, ninguna de las disposiciones legales ha sido cumplida. Los motivos son desconocidos, pero el efecto de no contar con ello es una bomba de tiempo en el plano de la fiabilidad de la evidencia digital que tiene como factor su asociación a un hecho en tiempo además del espacio.

Si bien hablamos mucho de la “Hora Boliviana” como la explicación a la impuntualidad de las personas y autoridades, pues en materia forense esto puede ser lapidario para la fiabilidad de evidencia digital. La inexistencia por un lado de fuente oficial de consulta y referencia de la hora nacional hace que todos sincronicen sus relojes como mejor les parece. Si pensáramos en singular quizá unos minutos mas o unos menos no serian significativos, pero cuando entendemos que debe haber un intercambio de datos o diferentes acciones deben ser realizadas en relativo o absoluto sincronismo encontramos dificultades que si bien parecen irrelevantes, serán de vital importancia cuando queramos usar estos registros de tiempo para fines legales.

Donde podemos observar este problema de mayor manera? Pues en el intercambio de datos utilizando operadores diferentes como ENTEL, VIVA, TIGO, AXS y el resto de las empresas. También es notoria la falta de sincronismo entre los Bancos, cuando cada uno de ellos tiene su propia hora, pero cuando uno hace transacciones interbancarias por ejemplo solo retirar dinero de un cajero automático de otro banco diferente al titular de las tarjetas. Es importante destacar que ninguna de las entidades que regulan estos sectores ha definido la obligatoriedad de sincronizar tiempo. Tanto la ASFI como la ATT no han definido ahora con su nueva denominación o en su calidad anterior de superintendencias. Un sector que tiene este tema controlado y puede servir de ejemplo es el eléctrico, donde el CNDC (Centro Nacional de Despacho y Carga) ubicado en Cochabamba, facultado legalmente es generador de la Hora oficial para ese sector, estando todos los participantes (generación, transporte y distribución) en la obligatoriedad de sincronizar.

Decimos una bomba de tiempo por cuanto cada vez se hace más frecuente el uso de la evidencia digital para probar la ocurrencia de un hecho en un determinado momento de tiempo, pero con la falta de sincronización de tiempo, puede darse que el registro del tiempo o es anterior al mismo hecho o es posterior pero no de manera razonable. Ahora si se cuentan con 2 o más registros del mismo hecho en diferentes fuentes, puede darse el caso de no coincidencia entre ellos. En esa situación se complica explicar en términos forenses estas diferencias dando lugar al uso de la figura legal de “duda razonable” en afectación de la fiabilidad de la evidencia digital. En términos más claros y directos, se puede pedir la exclusión de determinada evidencia que presente esta duda respecto al tiempo real entre lo ocurrido y lo registrado.

Para demostrar este hecho se han realizado pruebas contra medios de telecomunicación pro televisión, sitios web de diferentes instituciones entre bancos, operadores de telefonía, sector eléctrico, teniendo diferencias de más de 30 minutos en el registro de tiempos. Al interior de las empresas durante actividades de consultoría se ha podido evidenciar la falta de sincronización en algunos casos TOTAL y en otros de aquellos dispositivos que no están integrados mediante una red de datos. Como solucionar esto? Pues operativizando las leyes ya formuladas hace 19 años. Tanto las entidades de regulación sectorial como ministerios deben retomar esta necesidad que afecta significativamente.

Instrumentando la difusión por medio oficiales de la Hora Oficial y obligando a que TODOS sincronicemos sin justificativo alguno el tiempo de nuestros registros y en general de cada reloj en el territorio nacional

*******

El contenido de esta nota ha sido expuesto por ya mas de 2 años en diferentes instancias con la finalidad de que pueda ser solucionado, pero ante la negativa de hacerlo vemos conveniente colocarlo como tema de discusión abierta. Esperamos que ahora o en un futuro cercano sea tomado en cuenta.

Autor: Guido Rosales Uriona

Fuente: www.rosalesuriona.com

Programas de Capacitación "CISO - FCA" 2011

2011-10-06T14:58:00.004-04:00

YanapTI Corp. tiene el agrado de invitar a los profesionales de la ciudad de Cochabamba a formar parte del ciclo de capacitación de los programas: CISO y FCA "Modalidad Presencial" que se inician el Sabado 08 de octubre, bajo el siguiente detalle:

CISO - CERTIFIED INFORMATION SECURITY OFFICER

Formación y especialización de Oficiales de Seguridad de la Información.

- Inicio: 08 de Octubre
- Horarios: Sábados de 08:00 a 13:00
- Inversión: 750 $us
- Duración: 10 semanas
- Contenido:
1. Gobierno de Seguridad de la Información
2. Gestión de Riesgos
3. Derecho Informático
4. Seguridad en el Desarrollo de Aplicaciones
5. Seguridad en Telecomunicaciones y Redes
6. Seguridad de Infraestructura
7. Criptografía
8. Auditoria de Sistemas
9. Incidentes e Informática Forense
10. Continuidad del Negocio

FCA - FORENSIC COMPUTER ADVISOR

Formación y especialización de Investigadores Forenses y/o Peritos Informáticos.

- Inicio: 08 de Octubre
- Horarios: Sábados de 14:00 a 19:00
- Inversión: 750 $us
- Duración: 10 semanas
- Contenido:
1. Gestión de Riesgos
2. Laboratorio 1: Software Forense
3. Laboratorio 2: Forense en Celulares - Rastreo en Internet
4. Seguridad de la Información
5. Auditoria Forense
6. Derecho Informático Penal
7. Anatomía de los Delitos Informáticos
8. Escena Electrónica del Hecho: Hardware Forense
9. Informática Forense: Electrónica, software y hardware forense
10. Práctica Forense: Litigio Oral

Bajo la Campaña "BOLIVIA CIBERSEGURA" y con la intención de apoyar el desarrollo uniforme en todo el país YanapTI Corp. ha conseguido apoyo de las marcas internacionales que representa para ofrecer “Becas” del 50% de descuento.

Inversion por programa por la campaña: 375 $us

INFORMES E INSCRIPCIONES

- Dirección: Edif. “Aly” 5to piso, Dpto. 5B. c/ Jordán Nro. 672 entre Lanza y Antezana
- Teléfono: 4661155
- E mail: capacitacion@yanapti.com
- Mayores detalles: www.yanapti.com/penta - www.segurynfo.com

II Jornada de Cloud Computing - CXO Community

2011-09-24T09:55:00.005-04:00

Buenos Aires, 4 de octubre de 2011

Creíble, segura, madura, híbrida, despejada o tormentosa, es el nuevo reto que nos obliga a adentrarnos aun mas en esta, la era de la información, caracterizada por el uso de la tecnología al instante, una era donde las telecomunicaciones y el mundo virtual, son piezas fundamentales en el rompecabezas tecnológico.

Una evaluación profunda de riesgos y beneficios, la consideración de los niveles de seguridad, el control sobre la confidencialidad de la información, y cómo asegurar los acuerdos legales de prestación de servicio (SLA) son algunos de los aspectos que se colocan bajo la lupa en el momento de hablar de este nuevo paradigma.

Los temas que tratará el encuentro serán:
- El Rol del CISO en la Nube.
- Service Level Agreements.
- Visibilidad en la Nube.
- Evolución del Cloud Computing.
- Cloud Computing: Es el modelo para mi empresa?
- Hoja de Ruta.
- Arquitectura, Infraestructura, Procesos y Personas en la Nube.

Orientado a:

CIOs, CSOs y otros responsables de Tecnología y Seguridad de la Información en grandes organizaciones. Gerentes de sistemas, comunicaciones, aplicaciones y servicios tecnológicos. Responsables de área Legales.

Valor de la Inscripción:

Inscripciones realizadas hasta el 26/09/2011
$480 + IVA.

Miembros de ONGs, Sector Público, Fuerzas Armadas y de Seguridad: $360 + IVA.
Estudiantes y Docentes Universitarios: $240 + IVA.

Desde el 27/09/2011
$600 + IVA.

Miembros de ONGs, Sector Público, Fuerzas Armadas y de Seguridad: $450 + IVA.
Estudiantes y Docentes Universitarios: $300 + IVA.

*** Consultar entradas con descuentos especiales a disposición de los organizadores, sponsor y organismos convocantes. Cupos Limitados.

Informes e Inscripción:

info@dixitcomunicaciones.com.ar

jornadas@cxo-community.com

+54 (011) 4313-5345
Av. Córdoba 456 piso 10 C (C1054AAQ)

Buenos Aires, Argentina

Fuente: www.cxo-community.com

GFI Ayuda a cumplir requerimientos PCI

2011-09-16T09:10:00.005-04:00

GFI proporciona herramientas software que le permiten monitorizar la adhesión al estándar PCI y le avisan cuando tienen lugar sucesos no autorizados relativos a información de titulares de tarjetas.

GFI EventsManager, GFI LANguard Network Security Scanner (N.S.S.) y GFI EndPointSecurity son tres galardonados productos de seguridad de red de GFI. Mediante la auditoría, monitorización, generación de informes y alerta estos productos pueden ayudarle a dirigir varias secciones de nueve de los 12 requerimientos PCI, como se ilustra en la siguiente Tabla:

GFI EventsManager

El análisis de la información de sucesos está directamente especificada en el requerimiento 10 (Tabla ) pero monitorizar los sucesos es una buena práctica para cualquier organización.
En un entorno de red típico, la información de sucesos está distribuida y es voluminosa y crítica. Las herramientas de análisis de sucesos suministradas junto con la mayoría de sistemas operativos ofrecen sólo las más básicas características. Como resultado, los administradores no tienen forma de ser avisados cuando se registran sucesos concretos importantes o problemáticos, tales como el acceso no autorizado a información de titulares de tarjetas. Las utilidades de revisión y filtrado de sucesos proporcionadas por estas herramientas tienen muy limitadas capacidades de búsqueda y filtrado.

GFI EventsManager es una completa solución de administración de registros que vence todos estos obstáculos, permitiéndole centralizar los sucesos, automatizar la recogida de sucesos, recibir alertas y emitir informes de investigación. Cuando se recogen sucesos, los conjuntos de reglas incluidos en GFI EventsManager procesan los sucesos para clasificarlos y activar alertas/acciones en consecuencia. Uno de los conjuntos predefinidos proporcionado está específicamente orientado hacia la clasificación de los sucesos en base a los requerimientos PCI. El análisis de sucesos puede llevarse a cabo mediante el examinador de sucesos incluido; también se pueden crear y ejecutar consultas para recuperar y analizar sucesos concretos.
Mediante GFI EventsManager los negocios pueden asegurar que todos los sucesos relacionados con la información de titulares de tarjetas están siendo constantemente monitorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/eventsmanager/

GFI LANguard Network Security Scanner

La administración de vulnerabilidad es central para los requerimientos 5 y 6 (Tabla). Sin embargo, ser capaz de detectar vulnerabilidades en varias áreas cubiertas por otros requerimientos es de extrema importancia.
GFI LANguard Network Security Scanner (N.S.S.) dirige los tres pilares de la administración de vulnerabilidad: análisis de seguridad, administración de parches y auditoría de red en una solución integrada. GFI LANguard N.S.S. escanea toda la red buscando más de 15.000 vulnerabilidades, identifica todos los posibles problemas de seguridad y proporciona a los administradores las herramientas que necesitan para detectar, evaluar, informar y remediar cualquier amenaza antes de que lo hagan los hackers.

Manejar separadamente problemas relacionados con la vulnerabilidad, la administración de parches y la auditoría de red, a veces utilizando varios productos, es una importante preocupación para los administradores. No solo tienen que instalar, aprender a manejar y administrar varias soluciones, sino que gastan la mayor parte de su tiempo intentando comprender dónde están los problemas en lugar de tratar realmente las amenazas que puedan estar presentes. Utilizando una única consola con amplias funcionalidades de generación de informes, la solución integrada GFI LANguard N.S.S. ayuda a los administradores a dirigir estos asuntos más rápida y eficazmente.

Mediante GFI LANguard N.S.S. los negocios pueden asegurar que la información de titulares de tarjetas se mantiene en un entorno seguro. Para más información y descargar el producto, visite http://www.gfihispana.com/es/lannetscan/.

GFI EndPointSecurity

Proteger la información almacenada de titulares de tarjetas, requerimiento 3 (Tabla), es un requerimiento clave del estándar de seguridad de datos PCI. Asegurar que estos datos no caen en malas manos es crucial.
Es un hecho bien conocido que los dispositivos de almacenamiento masivo, tales como las unidades USB, han crecido en popularidad en los últimos años. Son sencillos y fáciles de instalar, capaces de almacenar enormes cantidades de información, y suficientemente pequeños para llevarlos en un bolsillo. Sin mecanismos de seguridad, copiar toda la información de titulares de tarjetas en dichos dispositivos puede ser fácil y rápidamente realizado.

GFI EndPointSecurity es la solución de seguridad que le ayuda a mantener la integridad de la información evitando la transferencia no autorizada de contenido a y desde los dispositivos portátiles de almacenamiento. Mediante su tecnología, GFI EndPointSecurity le habilita para permitir o denegar el acceso a un dispositivo así como asignar (en caso de ser aplicable) privilegios 'control total' o 'sólo lectura' sobre un dispositivo particular o a un usuario/grupo local o del Directorio Activo. Con GFI EndPointSecurity puede registrar la actividad de todos los dispositivos portátiles que estén siendo utilizados en sus equipos de red, incluyendo le fecha/hora de uso y por quien fue utilizado el dispositivo.

Mediante GFI EndPointSecurity los negocios pueden asegurar que la información de titulares de tarjetas no está siendo copiada en dispositivos de almacenamiento no autorizados. Para más información y descargar el producto, visite http://www.gfihispana.com/es/endpointsecurity/.

Fuente: White Paper “PCI DSS Sencillo” - www.gfihispana.com

¡Lanzamiento de ESET NOD32 Antivirus y ESET Smart Security Versión 5!

2011-09-14T20:19:00.002-04:00

ESET se complace en anunciar el lanzamiento de la nueva versión 5 de sus productos estrella: ESET NOD32 Antivirus 5 y ESET Smart Security 5, los cuales cuentan con nuevas funciones y mejoras tecnologicas combinadas con características avanzadas para proteger el equipo ante todo tipo de amenazas.

A continuación las características de estas nuevas versiones:

Analisis automaticos de dispositivos removibles: Bloquea las amenazas que intentan ingresar al equipo a través de medios removibles. ESET Smart Security 5 y ESET NOD32 Antivirus 5 llevan adelante una exploración automática del contenido de todos los USBs, CDs y DVDs.

Control avanazado de medios removibles: Los usuarios pueden bloquear medios específicos en base a una serie de párametros como el ID del dispositivo, el tipo de medio y el número de serie.

Procedimiento de inicio optimizado: ESET Smart Security 5 y ESET NOD32 Antivirus 5 permiten al usuario comenzar a trabajar en la computadora inmediatamente luego del inicio sin comprometer la seguridad.

Modo Gamer: Cuando se encuentra en Modo Pantalla Completa, ESET Smart Security 5 y ESET NOD 32 Antivirus 5 cambian automáticamente a modo silencioso para ahorrar recursos del sistema y que los usuarios puedan disfrutar de sus juegos o concentrarse en importantes tareas laborales sin distracciones de ventanas emergentes.

Característica avanzada para el sistema de prevención de intrusiones basado en el host (HIPS): Esta característica es para los verdaderos expertos en informática: ahora es posible personalizar la conducta del sistema con más detalle; por ejemplo, especificar reglas para el registro del sistema, los procesos activos y los programas así como ajustar la postura en seguridad.

Minimo Impacto en el Sistema: La compilación exclusiva de ESET NOD32 Antivirus se ha ido optimizando con el transcurso de los años para adaptarse a la perfección al entorno del sistema. ESET diseñó una solución inteligente con el mínimo impacto en el sistema, comparado a los productos de la competencia, que asegura una carga rápida y un funcionamiento sin inconvenientes.

Protección exhaustiva de su identidad en línea: Mediante el uso de varias capas de detección, ESET NOD32 Antivirus bloquea todos los vectores de ataque utilizados por las amenazas informáticas que intentan exponer la información confidencial del usuario. La exploración basada en la nube incrementa aún más el nivel de seguridad.

ESET Live Grid: Es un avanzado sistema de alerta temprana contra amenazas emergentes que se basa en la reputación. Mediante el uso de la transmisión por secuencias en tiempo real de información relacionada con amenazas desde la nube, el laboratorio de virus de ESET mantiene las defensas al día para brindar un nivel constante de protección.

Ademas en ESET Smart Security 5 se agregan las siguientes funcionalidades:

Control Parental: Bloquea sitios que pueden contener material potencialmente ofensivo. Además, los padres puede prohibir el acceso de hasta 20 categorías de páginas web predeterminadas.

Antispam mejorado: El módulo antispam integrado a ESET Smart Security ha sido sometido a un proceso de optimización para lograr incluso un nivel más alto de precisión en la detección.

Firewall inteligente: ESET Smart Security 5 ayuda a controlar el tráfico de la red y a prevenir que usuarios no autorizados accedan al equipo en forma remota.

Seguridad en Linea: Debido a la creciente exposición al riesgo en Internet, la nueva versión de ESET Smart Security detecta todos los tipos de amenazas provenientes de la Web. Entre ellas se incluyen los fraudes a través de los medios sociales y la ingeniería social, a los que los miembros de su familia y los niños están expuestos diariamente.

Ambos productos se rediseñaron para mejorar la usabilidad de los mismos con el propósito de enriquecer la experiencia general del usuario, de forma que el usuario esté al mando.

La multipremiada solución de seguridad de ESET, sigue sumando nuevas funcionalidades y mejoras en su última versión que como bien se mencionaron abarcan otros aspectos que lo hacen hoy en dia una solución robusta, liviana ya que cuenta con la tecnología más rápida y eficaz del mercado para la protección contra todo tipo de malware.

Fuente: ESET Bolivia

SCALA Lanza la Guía para la Migración a EMV en América Latina y el Caribe

2011-09-13T12:00:00.003-04:00

Princeton Junction, N.J., Agosto 22, 2011–Smart Card Alliance Latino América (SCALA) lanza hoy el documento que provee las opciones de hoja de ruta para los países de América Latina y el Caribe, en cuanto a la migración a EMV. Este documento es una herramienta imparcial para todas las partes interesadas en los pagos, incluyendo a los emisores, adquirentes, comerciantes, procesadores y proveedores de hardware, software y servicios de apoyo, para que se eduquen sobre las medidas que deben considerar al emitir, aceptar y procesar transacciones EMV .

El documento, “Guía De Tarjetas De Pago En América Latina: ¿Cómo Impacta La Migración EMV A La Infraestructura De Pagos?” está disponible para su descarga gratuita aquí: http://latinamerica.smartcardalliance.org/pages/publications-card-payments-roadmap-in-latin-america-how-does-emv-impact-the-payments-infrastructure. Los temas tratados son:

* Impacto de las implementaciones regionales y globales de EMV, sus posibles opciones de según la guía migratoria para América Latina y el Caribe
* Estreno sobre las especificaciones de seguridad en EMV para los métodos de autenticación de la tarjeta, verificación del titular de la tarjeta, enfoques de autorización de transacciones y opciones de implementación para cada uno.
* Relación entre EMV, pagos sin contacto y Comunicación de Corto Alcance (NFC, por sus siglas en inglés).
* Resumen de los cambios requeridos en la emisión, adquisición / procesamiento, los comercios y la infraestructura de pagos ATM para apoyar a las diferentes opciones EMV según la guía migratoria.

“Si bien la prevención del fraude y las regulaciones de cambio de responsabilidad proporcionan los incentivos para migrar a EMV, ha habido una falta de recursos e información imparcial sobre los pasos necesarios y las opciones para la migración”, dijo Edgar Betts, director asociado de Smart Card Alliance Latino América (SCALA). “Este documento satisface esa necesidad al proporcionar a los interesados, a lo largo de la cadena de valor de medios de pagos financieros, la información objetiva sobre los aspectos críticos de la implementación de una solución EMV en su entorno empresarial.”

La creación de este documento es parte de los esfuerzos generales de SCALA para proveer material educativo sobre las consideraciones para la migración a EMV. Durante la última década, los beneficios de la migración se han incrementado, mientras que los costos y las dificultades de implementación han disminuido. Muchos de los proveedores de terminales y algunos adquirentes/procesadores ya han puesto en marcha las características e infraestructura EMV necesaria para atender a los clientes en más de 18 países de América Latina y el Caribe.

Si bien la aplicación EMV en América Latina y el Caribe ha sido impulsada por muchos factores, uno de los mayores incentivos es la regulación de “Cambio De Responsabilidad” promovida por las marcas (MasterCard Worldwide y Visa Inc). De acuerdo a esta regulación, la parte que haya mejorado las tarjetas o sus terminales de pago a la tecnología EMV está protegida, en caso de fraude.

Los participantes involucrados en el desarrollo y la revisión de este documento incluyen a: Gemalto, GET Group, MasterCard Worldwide, Morpho Inc. y VISA

Kim Hangoc, vicepresidente de métodos de pagos emergentes - soluciones de chip de MasterCard América Latina y el Caribe, dijo: “La migración de chip EMV es una de las prioridades de MasterCard en América Latina y el Caribe. A lo largo de los años hemos estado trabajando en la implementación de soluciones EMV en América Latina ya que entendemos los beneficios que esta tecnología aporta a todos los actores de la cadena de valor. EMV no sólo ayuda a reducir el fraude con tarjetas, sino también es una puerta de innovación para los mercados. Estamos muy satisfechos de haber contribuido a la creación de este documento, una herramienta que sin duda ayudará a los diferentes actores a prepararse mejor para su migración a EMV. ”

Fernando Méndez, director de productos emergentes de VISA Inc., América Latina y el Caribe, por su parte indicó: “La migración a tarjetas EMV es una prioridad para VISA en América Latina, no sólo por el aumento de la seguridad que proporciona, sino también por las oportunidades de mejorar la experiencia del consumidor a través de múltiples aplicaciones. VISA considera a este esfuerzo de la industria, impulsado por SCALA, como un paso crucial para el avance de esta tecnología en la región y se enorgullece de ser parte de ello. ”

El Consejo de Pagos Financieros de SCALA está constituido por: G&D Burti, Oberthur Technologies, Assenda, Banred, S.A., Banco do Estado do Rio Grande do Sul - Banrisul, First Data CAC, Redeban Multicolor, S.A., y Telered S.A. Para más información sobre SCALA, visite nuestra página web: http://latinamerica.smartcardalliance.org/.

Acerca de la Smart Card Alliance América Latina (SCALA)

La misión principal del capítulo Smart Card Alliance Latino América se basa en los objetivos generales de la Alianza: estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes en América Latina y el Caribe. SCALA trabaja a través de proyectos específicos, como programas de educación trilingüe, investigación de mercados, promoción, relaciones industriales y foros abiertos para mantener a los miembros de la organización en América Latina conectados con los líderes de la industria y el pensamiento innovador.
Acerca de la Smart Card Alliance

Smart Card Alliance es una organización sin fines de lucro, asociación multi–industrial que trabaja para estimular la comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes.

A través de proyectos específicos, tales como programas de educación, investigación de mercados, promoción, relaciones con la industria y foros abiertos, la Alianza mantiene a sus miembros conectados con los líderes de la industria y el pensamiento innovador. La Alianza es la voz unificada del sector para las tarjetas inteligentes, liderando el debate en la industria sobre el impacto y el valor de las tarjetas inteligentes en los EE.UU., América Latina y el Caribe. Para más información, visite http://www.smartcardalliance.org.

Fuente: www.latinamerica.smartcardalliance.org

¿Sobre quién recae la responsabilidad de fraude?

2011-09-11T23:59:00.001-04:00

La seguridad es una de las razones fundamentales por las cuales cada vez más emisores, adquirentes, establecimientos comerciales y consumidores se están uniendo al proceso de migración hacia las tarjetas con microcircuitos o chip, también llamadas tarjetas inteligentes.

El más reciente estudio de SCALA (Smart Card Alliance for Latin America – Alianza de Tarjetas Inteligentes de America Latina), confirma que instituciones financieras en más de 20 países en la región ya han adoptado la tecnología que respalda las tarjetas inteligentes y su inversión en el proceso de migración se ha visto recompensada en la considerable reducción del fraude y la receptividad de los clientes con respecto a la tecnología y la seguridad que ofrece el chip.

Sin embargo, aún cuando para el consumidor insertar una tarjeta con chip en lugar de deslizarla pareciera ser un cambio sencillo, para los bancos emisores, comercios y adquirentes representa una enorme operación que implica altas inversiones. Así, la migración al chip está más avanzada en algunos países y en etapas más tempranas en otros, mientras se generan acuerdos que beneficien a todas las partes involucradas.

En el transcurso de este proceso, los niveles de fraude por falsificación, clonación, robo o pérdida, siguen siendo una realidad que impulsa el aceleramiento de la transición hacia las tarjetas inteligentes.

Por tal motivo, Visa, líder en la industria en la lucha contra el fraude y el robo de identidad durante más de una década, ha decidido revisar y actualizar sus normas de responsabilidad de fraude dando lugar a un incentivo financiero adicional para dicha transición: quedar libre de la responsabilidad por el fraude, la cual a partir de este año comienza a quedar en manos de aquellas partes que no hayan migrado al chip.

Para explicar de manera más clara cómo se aplican estas normas de transferencia de la responsabilidad por fraude, imaginemos dos escenarios. En caso de un fraude con tarjetas inteligentes en un terminal que no es para chip (sino sólo para banda magnética), la responsabilidad recae sobre el establecimiento comercial y su adquirente que no han actualizado sus terminales. En un segundo escenario, si ocurre un fraude con tarjetas convencionales de banda magnética en un terminal para chip, la responsabilidad recae sobre el banco emisor que no ha invertido en tarjetas con chip. De esta manera, se entiende que para determinar sobre quién recae la responsabilidad de fraude, es necesario identificar las partes involucradas que no hayan invertido en la tecnología EMV – el estándar de interoperabilidad de tarjetas con chip.

Estas normas interregionales de Visa se conocen como Transferencia de Responsabilidad EMV (EMV Liability Shift) y comenzarán a aplicarse en la región de America Latina y El Caribe de manera gradual, proporcional a los niveles de adopción del chip.

En los casos de Brasil y México que son los países que están alcanzando niveles críticos en la adopción masiva del chip, las normas de Transferencia de Responsabilidad EMV de Visa entrarán en vigencia durante la primera mitad de este año, abarcando específicamente las transacciones en el punto de venta. En cuanto a las transacciones llevadas a cabo en cajeros automáticos, las normas se harán efectivas a partir del último trimestre de 2012.

Con respecto al resto de los países de América Latina y el Caribe, en los que la migración al chip se encuentra aún en sus etapas más tempranas, las normas de Visa que abarcan las transacciones en el punto de venta entrarán en vigencia a partir del año 2012. La implementación de estas normas aplicables a las transacciones fraudulentas en cajeros automáticos y pérdida o robo de las tarjetas, se dará hacia finales del 2014.

Con la aplicación de estas normas, si se siguen correctamente los procedimientos de aceptación y se presenta la tarjeta con chip y el terminal apropiado para leerla en el momento de un fraude, las pérdidas para el banco, los comercios y el consumidor final serán mucho menores si no mínimas.

SCALA continúa trabajando con miembros de la industria para acelerar la amplia aceptación de las múltiples aplicaciones de la tecnología de tarjetas inteligentes. A través de proyectos específicos como programas educativos, investigaciones de mercado, relaciones industriales y foros abiertos, la alianza sigue liderando la discusión de la industria sobre el impacto y el valor de las tarjetas inteligentes en la región.

Fernando Méndez es Director Regional de Productos Emergentes para Visa America Latina y el Caribe y Presidente de la Junta Directiva de SCALA (Smart Card Alliance for Latin America -Alianza de Tarjetas Inteligentes de América Latina).

Para más información o para registrarse como miembro, contacte a SCALA a través de info@smartcardalliance.org o visite latinamerica.smartcardalliance.org

Fuente:Strategies/Fernando Mendez

Fuente: www.ebanking.cl

Retorno de Inversión de PCI DSS

2011-09-10T12:14:00.003-04:00

En el último número de la revista SIC (nº 95), correspondiente al mes de Junio de 2011, se publicó un artículo elaborado por miembros del equipo comercial de Internet Security Auditors. El artículo lleva por título "Retorno de Inversión de PCI DSS".

A lo largo del artículo se describe como calcular el Retorno de Inversión de una implantación de la normativa PCI DSS utilizando para ello el concepto de ROSI (return on security investment). El cálculo de este indicador puede servir de argumentario a la hora de defender la implantación de esta normativa de seguridad en tarjetas de pago. Se realiza un análisis económico de cómo la disminución del riesgo que aporta la adecuación a la normativa PCI DSS supera ampliamente, en términos económicos, a los costes asociados a un potencial incidente relacionado con tarjetas de pago.

Descargar artículo: SIC95_ISecAuditors_ROI_PCI_DSS.pdf

Fuente: http://isecauditors.com/es/noticias.html

Payment Card Industry (PCI) - Las Leyes de Seguridad

2011-09-10T11:33:00.006-04:00

Stephen Fallas
CISM – CISS - LA7799 – GIAC PCI – ISS-CA

Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.

Una falla de seguridad, clave en el robo de datos

La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.

CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.

Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.

¿Quiénes tienen que someterse a esta norma de seguridad?

Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.

Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:

Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.

Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.

El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:

Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.

Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.

El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:

En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.

Estos incluyen:

* Procesadores
* Proveedores de servicios de pago por Internet (IPSPs)
* Proveedores de servicios de Internet (ISPs)
* Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones

La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:

Aspectos de evaluación de la Norma de Seguridad de Datos

La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.

Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).

Como poder reducir los requisitos de validación de cumplimiento

Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece.

Sumario: Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.

Fuente: www.gbm.net

Las empresas que cumplen con los requerimientos PCI DSS sufren menos violaciones de datos

2011-09-10T11:28:00.000-04:00

Imperva, compañía con foco en la protección de datos y sitios web, y distribuido en el mercado ibérico por Exclusive Networks, junto al Instituto Ponemon, ha dado a conocer los resultados de su segundo estudio relativo al impacto del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS -Payment Card Industry’s Data Security Standards-).

El informe sobre Tendencias de Cumplimento PCI DSS -realizado en 2011 a 670 profesionales de multinacionales norteamericanas especializadas en seguridad TI- revela cómo el cumplimiento con PCI-DSS tiene un impacto positivo en la seguridad y protección de datos de las empresas.

En este sentido, y como principal conclusión se desprende que si bien una buena parte de las organizaciones que cumplen con el estándar PCI sufren menores violaciones, o no las padecen, la mayoría de los profesionales no percibe aún que PCI-DSS pueda suponer un elemento favorable en lo concerniente a la seguridad de la información.

Cumplimiento del estándar: una buena medida para reducir violaciones Así las cosas, según el estudio, el 64% de las empresas que reconoce acatar el estándar PCI-DSS confirma no haber sufrido transgresiones relativas a los datos asociados a sus tarjetas de crédito en los últimos dos años, mientras que sólo el 38 % de las compañías que no cumplen pudieron afirmar lo mismo.

Cuando se trata de violaciones de datos globales (incidentes generales o relativos a la información contenida en la tarjeta de crédito), el 63% de las organizaciones que se encuentran en conformidad con el estándar no padeció más que una única violación de sus datos, en comparación con el 22% de las compañías que no lo acogen. Cabe destacar también que el 26% de las empresas que no lo ejecutan fueron víctimas de más de cinco delitos en el mismo período de tiempo.

Una percepción cínica sobre PCI-DSS A pesar de que la evidencia indica lo contrario, el 88% de los encuestados confirma no estar de acuerdo con que el cumplimiento de PCI-DSS pueda encerrar un efecto positivo en lo relativo al número de transgresiones experimentadas, y sólo el 39% cita la mejora en la seguridad de los datos como una de las propuestas de valor -contenida en PCI DSS- para los negocios.

De hecho, únicamente el 33% cree que el gasto destinado a cumplir con PCI-DSS queda cubierto por el beneficio que supone para la organización. El cumplimiento aumenta, a pesar de todo.

El informe también recoge que dos tercios de los encuestados han logrado el cumplimiento sustancial con PCI-DSS. Esta cifra contrasta con la obtenida en el Estudio sobre Tendencias de Cumplimiento PCI DSS de 2009, cuando el número de participantes que confirmaba este hecho correspondía únicamente a la mitad de los profesionales preguntados, mientras que aproximadamente el 25% de los encuestados afirmaba que no había alcanzado nivel de cumplimiento alguno. En 2011, únicamente el 16% de las organizaciones sondeadas testifica no haberlo hecho.

Fuente: http://seguridad-informacion.blogspot.com

Descargar el informe: PCI DSS Compliance Trends Study, 2011

TD1: Duplicador Forense, una herramienta infaltable!!

2011-09-10T09:20:00.005-04:00

Este dispositivo se ha convertido en uno de los mejores instrumentos no solo para casos forenses sino para temas de Data Recovery, su posibilidad de copia en modo imagen o clonacion bit a bit hace que se pueda determinar si la falla de un dispositivo es solo logica o física. Evidentemente si es falla a nivel de firmware también tendrá problemas.

En el Laboratorio de Yanapti fue uno de los primeros dispositivos forenses adquieridos, a la fecha contamos con varias unidades y como representantes hemos vendido tanto en Bolivia como en el exterior varias unidades.

Este dispositivo es también utilizado para procesos de desvinculación laboral, cuando se debe retener datos o copiar el contenido del PC del empleado saliente para garantizar la integridad de la evidencia si llegase a surgir algo posterior al retiro.

Este año en mayo, estuve en la reunion de reseller en Orlando USA, donde vimos todas las novedades para los siguientes meses. La union con Guidance Software sin duda le dio mucho impulso al mercado.

El Duplicador forense TD1 de Tableau brinda un rendimiento y una funcionalidad líderes en el sector en un paquete compacto, de larga duración y fácil de usar. Diseñado específicamente para las adquisiciones forenses, el TD1 admite los discos duros SATA e IDE y proporciona tasas de transferencia de datos de hasta 6 GB/minuto mientras calcula al mismo tiempo los hash MD5 y SHA-1.

TD1 ofrece funciones necesarias en la adquisición de datos de laboratorio y de campo. Las funciones estándar incluyen duplicación de disco a disco y de disco a archivo, formateo de disco, borrado de disco, operaciones hash en disco, (MD5 y SHA-1), detección y extracción de HPA/DCO y comprobación de disco en blanco.

Tableau vende el TD1 en un completo kit que incluye una fuente de alimentación TP3 de salida alta, cables de alimentación y unidad IDE, cable FireWire para actualizaciones de firmware, tres adaptadores de unidad portátiles distintos y una tarjeta de inicio rápido. El kit también incluye una espuma hecha a medida que protege los contenidos del kit durante el envío y que puede utilizarse en cualquiera de las cajas de tapa dura estándar. Póngase en contacto con YANAPTI SRL para solicitar una demostracion y mayor informacion.

Fuente: www.rosalesuriona.com

DISPOSITIVO UNIVERSAL DE EXTRACCIÓN FORENSE DE CELLEBRITE (UFED)

2011-09-10T09:16:00.003-04:00

La tecnología existe. Ahora como es usada y por quienes, eso ya no es parte técnica. Querer decir que la tecnología en este caso para celulares permitiría invadir la privacidad de las personas es como querer quitar los automóviles de la vida humana por que son utilizados para provocar muertes. Que un ebrio conduzca y cause muertes o accidentes no es culpa del automóvil y no podríamos culpar al fabricante o al vendedor de automóviles por ello.

En ese mismo sentido es que existe tecnología para investigar datos en dispositivos móviles. No contar con la ayuda de la tecnologia es estar varios pasos por detras de la delincuencia organizada, aquella que no es ocasiona o impulsiva sino planifica y actua.

Lastimosamente solo tenemos unidades de muestra que si bien han sido demostradas en su potencial a diferentes Generales de la Policía Nacional, aun la barrera generacional no les permite entender que con balas, laques y puñetes ya no se puede combatir el crimen de alta tecnología.

Rápida y segura extracción y análisis de datos de teléfonos móviles y GPS Gracias a la especialización de Cellebrite en la tecnología de extracción de datos, los productos de análisis forense de móviles realizan una extracción de datos lógicos y físicos, incluso la recuperación de mensajes y contenidos eliminados.

Con más de una década de experiencia en tecnología de datos de teléfonos móviles, Cellebrite ofrece la mayor cobertura existente en el mercado actualmente. La familia de productos UFED permite extraer y analizar los datos de más de 3000 teléfonos, incluso de smartphones y dispositivos GPS.

Diseñada para ser portátil, la solución UFED de Cellebrite consta de un dispositivo autónomo que puede utilizarse sobre el terreno o en el laboratorio.

UFED de Cellebrite ofrece la máxima experiencia en análisis forense de móviles y es utilizado por organismos militares, fuerzas de seguridad y administraciones públicas de todo el mundo.

El sistema de datos forenses UFED de Cellebrite es un avanzado dispositivo autónomo que se puede usar tanto en el terreno como en el laboratorio forense. El UFED de Cellebrite puede extraer datos vitales como contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI de más de 1600 modelos de microteléfonos vendidos en todo el mundo. El UFED admite las tecnologías CDMA, GSM, IDEN y TDMA, y es compatible con cualquier portadora inalámbrica. El sistema UFED de Cellebrite admite el 95% de los microteléfonos disponibles actualmente, incluidos teléfonos inteligentes y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian). No requiere PC para el uso en el terreno, y puede almacenar fácilmente cientos de contactos y de elementos de contenido en una tarjeta SD o en una unidad Flash USB. El UFED de Cellebrite es compatible con todas las interfaces conocidas de dispositivos celulares, incluidos serial, USB, infrarrojo y Bluetooth. De regreso en el laboratorio forense, se puede realizar la revisión y verificación mediante la herramienta de reporte y análisis. La extracción de datos en el terreno garantiza la inspección del teléfono de un sospechoso antes de que el individuo tenga la oportunidad de destruir o de borrar los datos. Al trabajar de manera exclusiva con la mayoría de las principales operadoras del mundo, como Verizon Wireless, AT&T, Sprint/Nextel, T–Mobile UK, Orange France y Telstra Australia, así como con otras 50 operadoras en EE. UU. solamente, Cellebrite garantiza la compatibilidad con los dispositivos futuros antes de su lanzamiento al mercado.

UFED de Cellebrite – En pocas palabras * Permite extraer datos de la mayoría de los teléfonos celulares o PDA: contactos, fotografías, vídeos, mensajes de texto, registros de llamadas e información de ESN e IMEI * Portátil y fácil de usar, en el terreno y en el laboratorio forense * Kit independiente, no requiere una PC para la extracción * Permite generar completos reportes de evidencias verificados MD5 * Es compatible con más de 2000 modelos de microteléfonos, y ofrece actualizaciones automáticas de software para los dispositivos de lanzamiento reciente Fuente: Cellebritte Llamo la atencion de colegas investigadores forenses que hace poco en un evento de derecho informatico confundieron a los presentes mostrando tecnicas de analisis forense mediante fotografia. Por supuesto que les debe estar fallando el google por cuanto estos dispositivos especializados ya tienen sus buenos años ysu desconocimiento ya raya en lo risorio. Por suerte y esfuerzo propio contamos en Yanapti a la fecha con un neutrino completo y desde hace un tiempo con el UFED de cellebrite. Amen de las varias versiones por software que suponen la existencia de los cables apropiados.

Fuente: www.rosalesuriona.com

Curso de Capacitacion FTK - Viernes 16 de Septiembre

2011-09-09T09:34:00.003-04:00

YanapTI CORP. e INFOFOR tienen al agrado de invitar a los profesionales del medio a formar parte del Curso de Capacitación: "FTK" a realizarse el proximo viernes 16 de septiembre en la ciudad de La Paz, bajo el siguiente detalle:

CONTENIDO

- FORENSIC TOOLKIT IMAGER
Herramienta que le permite evaluar rápidamente la evidencia digital, creacion de copias perfectas (imágenes forenses) de datos de la computadora sin realizar cambios en la evidencia original. Vista previa de archivos y carpetas, de imágenes forenses almacenados en la máquina local o en una unidad de red. Exportación de archivos y carpetas de imágenes forenses. Generación de informes de hash para los archivos normales e imágenes de disco.

- FORENSIC TOOLKIT
Herramienta que ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. Archivos y formatos de adquisicion admitidos. Opciones de busqueda avanzada. Analisis de correo electronico.

- REGISTRY VIEWER
Visualizacion de archivos independientes del registro de Windows. Acceso a información del “proveedor del sistema de almacenamiento protegido”, que contiene contraseñas, configuraciones y términos de búsqueda de correo electrónico e Internet.

- PASSWORD RECOVERY TOOLKIT
Herramienta que brinda la posibilidad de recuperar contraseñas de aplicaciones conocidas y obtener acceso a archivos y unidades de disco codificados, como el sistema de codificación de archivos (Encrypting File System, EFS) de Microsoft. Analisis del disco duro para encontrar archivos codificados y archivos con contraseñas.

- DATA CARVING
Identificación y recuperación de archivos basados en las características de formato de los archivos sin el conocimiento de las estructuras del sistema de archivos.

DETALLES:

- Fecha: Viernes 16 de septiembre
- Horario: 09:00 a 19:00
- Lugar: Sala de Capacitación YanapTI (La Paz - Bolivia)

DESCUENTOS:
- Profesionales que hayan cursaron las certificaciones CISO, FCA, CSSH, ISSA O CBSA : 25% de descuento
- Profesionales acreditados con alguna certificación ( CISO, FCA, CSSH, ISSA o CBSA ) : 50% de descuento

MAYORES INFORMES:
- Dirección: Calle Cervantes Nº2860 entre Vincenti y Ricardo Mujía. Sopocachi
- Teléfonos: (591)(2) 2152273 - 2115299
- Email: capacitacion@yanapti.com

Fuente: www.nobosti.com

Hallazgos de Auditoria de Sistemas – Sector Público Nacional

2011-08-31T13:50:00.002-04:00

De la evaluación/relevamiento realizada por el SIGEN (Sindicatura General de la Nación – Argentina) al sector Público Nacional el año 2005 previo a emitir las “Normas de Control Interno para Tecnología de Información” (Res. 48/2005 SIGEN), surgieron riesgos detectados que expresan la situación del Sector Público Nacional hasta el año 2005. A continuación se presentan la Condición y el Efecto de dichos Hallazgos de Auditoria de Sistemas:

1. La institución posee más de un sector responsable de los servicios de procesamiento de la información. (37%)
Riesgos:
Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI
Posible duplicación de esfuerzos y tareas

2. Las áreas informáticas identificadas dependen de una de las áreas usuarias. (63%)
Riesgos:
Falta de independencia
Incorrecta gestión de prioridades en la prestación de servicios

3. Las áreas informáticas identificadas carecen de estructura interna formalmente definida. (61%)
Riesgos:
Falta de separación de funciones
Desconocimiento, por parte del personal, de sus responsabilidades
Dificultades ante eventuales necesidades de rendición de cuentas

4. Las áreas informáticas identificadas no disponen de planificación documentada (37%) y no dispone de planificación aprobada (51%)
Riesgos:
Falta de dirección y control de las actividades y proyectos informáticos encarados
Ineficiencia de los proyectos informáticos
“Malas” inversiones en TI
Disparidad entre los objetivos de la organización y de la TI

5. Las áreas informáticas identificadas carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas (69%)
Riesgos:
Modificaciones no autorizadas sobre los Sistemas
Incorrecta administración de prioridades
Falta de aplicación de estándares de programación y documentación
Implementación de Sistemas no probados

6. Las áreas informáticas identificadas carecen de procedimientos aprobados para la administración de la seguridad (69%)
Riesgos:
Accesos no autorizados a la información o los recursos del Organismo
Inexactitud o falta de confiabilidad de los datos o Sistemas
Falta de disponibilidad de la información o recursos necesarios

7. Las áreas informáticas identificadas carecen de plan de contingencias (74%)
Riesgos:
Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada

8. Las áreas informáticas identificadas carecen de procedimientos documentados de back up (59%)
Riesgos:
Pérdidas de información
Interrupciones a la continuidad operativa del Organismo
Dependencia del personal que se encarga de la tarea

9. Las áreas informáticas identificadas carecen de procedimientos documentados para las actividades de soporte técnico (77%). Asimismo carecen de procedimientos documentados para la gestión de licencias de software (80 %)
Riesgos:
Administración deficiente de prioridades, disconformidad de los usuarios, etc.
Incumplimiento de la normativa aplicable.

10. La institución no realiza auditorías internas de sistemas de información
Riesgos:
Desequilibrio entre la informatización del organismo y la realización de auditorías.

Del producto de la evaluación que detectó los Hallazgos de Auditoria de Sistemas, el SIGEN redactó y aprobó un Modelo de Política de Seguridad basado en la ISO 17799, los puntos abarcados en el modelo son:

1. Organización Informática.
2. Plan Estratégico de TI
3. Arquitectura de la Información
4. Políticas y Procedimientos
5. Cumplimiento de Regulaciones Externas
6. Administración de Proyectos
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación
8. Adquisición y Mantenimiento de la Infraestructura Tecnológica
9 Seguridad
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros
11. Servicios de Internet / Extranet / Intranet
12. Monitoreo de los Procesos
13. Auditoría Interna de Sistemas

Fuente: www.arcert.org.ar

Comentario:

En el caso boliviano para el sector público se cuenta con un marco para la Gestión del sector público como es la Ley 1178 y sus decretos reglamentarios para los diferentes subsistemas (Sistema Organización Administrativa, Sistema de Presupuesto, Sistema de Control, etc.), al realizar una auditoría el marco Legal mínimo es el señalado anteriormente y para realizar una auditoría se deben seguir las Normas de Auditoría Gubernamental. Al redactar la normativa boliviana respecto a Gestión de Tecnologías de Información se procedió al revés, primero se aprobó la norma de auditoría (NAG 270 Normas de Auditoría de Tecnologías de la Información y la Comunicación), pero no se cuenta con una normativa de control interno para TI, más aún la NAG 270 indica que ante vacíos técnicos se debe considerar COBIT. Si un auditor aplica COBIT como marco normativo para realizar una auditoria de sistemas en el Sector Público Nacional, seguramente nos encontraremos no solamente con los 10 hallazgos mencionados anteriormente para el caso Argentino, más bien nos sorprenderían los resultados.

Los hallazgos mencionados en el caso Argentino son del 2005, esto demuestra que en otros países se preocuparon varios años atrás en temas de Tecnologías de la Información y Seguridad de la Información, lo que no sucedió en Bolivia, quizá los eventos recientes (amenaza de Anonymos al Presidente Morales, hackeo a la página de YPFB) sirvan para movilizar al gobierno y específicamente a los legisladores a considerar estos aspectos en la legislación y en las políticas de Estado.

¿Mínimamente qué necesitamos del Gobierno Nacional?

- Un Decreto Supremo que establezca el Sistema o Subsistema de Control Interno para Tecnologías de Información para el Sector Público, a partir de este, cada organismo del sector público elaboraría su Reglamento Específico. Se podría adoptar (o adaptar) la ISO 27002, tal como lo hizo el gobierno peruano recientemente.

- Una Ley Específica de Delitos Informáticos o una Ley que modifique el Código Penal y que incluya delitos informáticos.
Este punto no es tan difícil de cumplirlo, se podía haber avanzado algo con la Ley 164 (Ley de Telecomunicaciones y TICs) que en su anteproyecto aprobado por los Diputados incluía delitos como: Manipulación Informática; Alteración, Acceso y uso Indebido; Propiedad Intelectual; Falsedad Material; Falsedad Ideológica; Falsificación de documentos; Violación de Correspondencia; Secretos de correspondencia; Suplantación de Identidad; Sabotaje Informático; Delitos Telecom. Estos delitos fueron excluídos de forma inexplicable de la Ley Promulgada.
Ahora me pregunto ¿Cómo y bajo que marco legal se perseguirá a los autores de la amenaza de Anonymos al Presidente Morales y del hackeo a la página web de YPFB?:
Respuesta 1: Nuestro actual Código Penal Establece por ejemplo para el delito de “Alteración, acceso y uso indebido de datos informáticos” la sanción de “prestación de trabajo hasta un año o multa hasta doscientos días”, ya me imagino a los culpables (hackers) dictando clases de Word, Excel, Internet durante un año, ¡Qué castigo más ejemplar NO????!
Respuesta 2: Bajo que marco legal se perseguirá a los hackers?, bueno pues, bajo el marco legal actual, no hay de otra. Cuando se imputa penalmente a una persona por ejemplo por el delito de “Manipulación Informática (3 a 5 años)”, se le imputa también por otros delitos como abuso de confianza, falsedad material, falsedad ideológica, uso de instrumento falsificado.

- Un organismo gubernamental como el ArCERT (Coordinación de Emergencias en Redes Teleinformáticas - Argentina) que sería una unidad de respuesta ante incidentes en redes, que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten a los recursos informáticos de la Administración Pública Nacional (APN), es decir, cualquier ataque o intento de penetración a través de sus redes de información.

Riesgos Tecnologicos en Entidades de Intermediación Financieras

2011-08-25T19:23:00.003-04:00

YanapTI CORP. tiene al agrado de invitar a los profesionales del medio a formar parte del Curso de Capacitación: "Riesgos Tecnológicos en Entidades de Intermediación Financiera" a realizarse el 08 y 09 de septiembre, bajo el siguiente detalle:

OBJETIVO
Diferentes hechos están produciendo proyectos legales, regulatorios y acciones orientadas a minimizar los riesgos tenologicos. El evento esta orientado a puntualizar algunos aspectos de estos hechos y de las mismas acciones orientadas a minimizarlos. Se busca presentar tendencias en el riesgo tecnológico

ORIENTADO A:
Personal del área de sistemas, seguridad, auditoria o riesgos, principalmente de entidades financieras aunque muchos de los aspectos pueden ser generales a otro giro de negocio.

CONTENIDO PROGRAMADO

- Riesgos en la migración de banda magnética a chip EMV
a. Riesgo de tecnología, de proveedor, de acreditación
b. Riesgo del entorno
c. Riesgo legal y regulatorio
d. Riesgo del tarjetahabiente

- Riesgo de sincronización de tiempos
a. Estado actual
b. Riesgo forense
c. Riesgo mercado

- Riesgo CCTV
a. Riesgo de configuración
b. Riesgo de custodio
c. Riesgo Forense

- Riesgo Legal y Regulatorio
a. Ley 164. Riesgos presentes en la ley
b. Circulares ASFI 3272/2011
c. Ediscovery y madurez forense
d. Tendencias Regulatorias

- Tendencias en el riesgo tecnológico
a. Predicciones para el 2011 y 2012
b. Ataques dirigidos
c. Hacktivismo. Anonymos directo o indirecto

FACILITADOR:
MSc. Ing. Guido Rosales Uriona. Especialista en gestión de seguridad, auditoria de sistemas, informática forense. Profesional con 15 años de experiencia dedicados exclusivamente a la seguridad de la información. Mas detalles www.rosalesuriona.com

DETALLES

- Fechas: 8 y 9 de septiembre. Dos sesiones de 3 horas cada una.
- Carga horaria: 6 horas

MAYORES INFORMES:

- Dirección: Calle Cervantes Nº2860 entre Vincenti y Ricardo Mujía. Sopocachi
- Teléfonos: (591)(2) 2152273 - 2115299
- Email: capacitacion@yanapti.com

Fuente: www.nobosti.com

SAS lidera el mercado de software para la lucha contra el blanqueo de dinero

2011-08-25T09:11:00.001-04:00

El Estudio Global Anti-Money Laundering Vendor Evaluation: A Reinvigorated Market de Aite Group clasifica a SAS Anti-Money Laundering, como el mejor proveedor de software para la lucha contra el blanqueo de dinero.

Diario Ti: Aite Group entrevistó a 36 instituciones financieras y a 18 importantes vendedores dentro del entorno de la lucha contra el blanqueo de dinero a nivel global entre enero y abril de 2011. Las organizaciones financieras venían de los cinco continentes con entre 800 millones y más de 1 billón (trillion) de dólares en activos.

El informe citó el análisis, la integración de datos visuales, escenas preempaquetadas y la escalabilidad como los puntos fuertes de la oferta, dando notas altas tanto en rendimiento como en la capacidad de respuesta del servicio al cliente. SAS Anti-Money Laundering aprovecha el análisis para proporcionar un procesamiento de alertas más efectivo y ofrece enormes ahorros de costes para bancos al reducir los falsos resultados positivos y al liberar recursos de investigación.

"SAS aporta una cantidad importante de poder analítico al entorno, dadas sus raíces en las soluciones estadísticas", dijo Julie Conroy McNelley, Senior Analyst en Retail Banking Practice de Aite Group. "SAS tiene una amplia gama de escenarios preempaquetados que están disponibles con la solución, permitiendo así un ajuste fácil para las instituciones financieras, según la necesidad. La arquitectura de la solución es un punto positivo para las pequeñas instituciones que no tienen un almacén de datos establecido, ya que proporciona el esquema de datos para crear un data mart y puede dar soporte a varias diferentes bases de datos relacionales".

Aite Group apuntó que "SAS proporciona una solución Teradata para grandes [instituciones] que es capaz de procesar una enorme cantidad de datos en un período relativamente corto de tiempo. En una prueba del concepto con un cliente grande, SAS demostró la capacidad de procesar 2.500 millones de transacciones dentro de la ventana de procesamiento adjudicada".

El informe pronostica que el mercado global de software de lucha contra el blanqueo de dinero, valorado actualmente en 450 millones de dólares, “crecerá a un tasa de crecimiento anual compuesto (CAGR) de un 9 por ciento durante los próximos años, llegando a 690 millones de dólares en 2015". Entre los motores del mercado están “el rápido crecimiento en Asia Pacífico, Oriente Medio y África; instituciones financieras en EE. UU. y Europa reemplazando soluciones anticuadas; e instituciones financieras más pequeñas que sustituyen los procesos manuales por soluciones automatizadas". El informe especifica que las soluciones para la lucha contra el blanqueo de dinero deben incluir due diligence, el control de actividades sospechosas, la gestión de casos y el filtrado de listas de observación - todos incluidos dentro de SAS Anti-Money Laundering.

SAS Anti-Money Laundering es parte de SAS Enterprise Financial Crimes Framework for Banking, una infraestructura tecnológica para prevenir, detectar y gestionar crímenes financieros en diferentes líneas de negocio dentro de los bancos de hoy en día.

Entre las más de 114 instituciones que utilizan SAS para la lucha contra el blanqueo de dinero están: Bank of Queensland (Australia), China Construction Bank (Hong Kong), Coastal Federal Credit Union (EE. UU.), Commonwealth Bank of Australia (Australia), Development Bank Philippines (Filipinas), EON Bank (Malasia), Fubon Bank (Hong Kong), Hana Bank (Corea), Industrial Bank of Korea (Corea), Samsung Securities Co. (Corea) y Sovereign Bank (EE. UU.).

Fuente: www.diarioti.com

Proyecto: Bolivia CIBERSEGURA

2011-08-25T08:46:00.003-04:00

Esta actividad esta siguiendo la corriente que muchos países alrededor del mundo están marcando. Encierra básicamente dos conceptos, “Ciberseguridad y Ciberdefensa”. La primera, de carácter proactivo esta orientada a establecer un estado de protección a toda la infraestructura critica del país para ir con el tiempo subiendo las capas protegidas. La segunda es mas reactiva y tratara de establecer los procedimientos de emergencia a aplicar en caso de ataques informáticos contra la infraestructura crítica del país. Si vemos la urgencia de las cosas veremos que la ciberdefensa debe ser implementada antes y de forma urgente para bajo este techo de protección básica se pueda ir consolidando actividades de ciberseguridad. Entre ciberdefensa y ciberseguridad son inversamente proporcionales, al principio las actividades de ciberdefensa serán mayores y a medida que implementemos ciberseguridad, la ciberdefensa se hará parte de la primera. El proyecto comenzara con actividades de capacitación a todo nivel. En realidad ya estamos bajo este régimen desde hace algunos años, pero ahora vamos a orientar este esfuerzo para que la ciberseguridad no sea un tema aislado en cada empresa o institución. Algo muy importante será difundir opiniones críticas sobre las actividades que se están realizando en el país. Desde muchas leyes, proyectos que sin duda repercuten en la seguridad pero carecen de este componente de forma clara. También haremos revisión y critica de disposiciones regulatorias, seguridad en entidades financieras, seguridad en el estado.

Esperamos fortalecer la visión crítica de la comunidad para apoyar proyectos serios en temas de seguridad. Esperamos que se sumen más profesionales para hacer de la seguridad algo transversal a las otras disciplinas de la informática. Consideramos aplicar la formula básica: capacitación, entrenamiento y educación para el éxito de este proyecto. En su primera fase tendremos fuerte componente nacional para en una segunda etapa intercambiar experiencias a nivel internacional. No nos sentimos aun con resultados tangibles como para sentarnos en una mesa de experiencias a nivel región. Pero confiamos que máximo en un par de años tendremos mucho que compartir.

Buscamos generar actividades continuas sobre seguridad de la información a nivel país. Hacer que la comunidad de especialistas o interesados en la seguridad de la información sea igual a la cantidad de profesionales en sistemas. Bajo el enfoque de que la seguridad debe ser transversal a todas las otras disciplinas en las ciencias de computación o informática, esperamos que la seguridad sea parte integral del desarrollo profesional independientemente la subespecialidad.

Que necesitamos hacer:

• Necesitamos un marco legal sobre la ciberseguridad y ciberdefensa de la infraestructura computacional critica del país. Necesitamos relevar en diferentes categorías que instituciones deben ser consideradas críticas a nivel país y en función de esto generar recomendaciones de seguridad.

• Necesitamos involucrar como parte activa a entidades como el Ministerio de Defensa, la Policía Nacional, el Ministerio de Gobierno y otras que por su naturaleza tiene también relación con la ciberseguridad.

• Necesitamos conocer y estar seguros que las materias de Seguridad y/o Auditoria de sistemas sean parte integral de la malla curricular en la formación de nuevos profesionales en sistemas, tanto en universidades particulares como estatales.

• Necesitamos que el Estado genere recomendaciones nacionales sobre los estándares internacionales, por ejemplo a modelo del Peru que adopto el estándar ISO 17799 ahora ISO 27000 para las entidades públicas.

• Consideramos necesario incluir cuadros jóvenes de militares, policías, abogados y otros profesionales por cuanto la barrera generacional aun es muy alta y difícil de vencer, pero fortaleciendo la base en unos años veremos que esa barrera deja de ser tal y se convierte más bien en un trampolín para lanzar iniciativas.

• Consideramos que lo básico es hacer un análisis retrospectivo para vernos desnudos y analizar nuestras fortalezas y debilidades que sin duda al principio serán mas cosas negativas q positivas, pero aceptar plenamente nuestras limitaciones nos permitirá definir acciones correctivas.

• Queremos impactar en las futuras generaciones de profesionales con actividades para universidades, incluyendo a docentes para q estos puedan reciclarse e incorporarse al proyecto. Esperamos en unos años impactar en las mallas de formación universitaria y tener materias no solo de seguridad sino de criptografía por ejemplo.

• También queremos asegurar mas allá nuestro futuro, por ello en este proyecto la actividad sobre colegios y escuelas será igual de importante. No podemos cambiar con leyes y represión, debemos impactar en educación y cultura de seguridad.

Ambicioso? Si pero una meta tal nos dará el rumbo de actividades en un plazo de 10 años.
• Año 1 y 2 – Capacitacion interna y cruzada
• Año 3 al 5 – Políticas país, leyes y regulación sectorial. Capacitacion internacional. Queremos exportar resultados.
• Año 5 al 10 – Ser un país ciberseguro.

Esta actividad ha estado gestándose poco a poco y consideramos un momento propicio el impulsarla. Entendemos que las ocupaciones nos quitan tiempo pero sin duda la cantidad de participantes hará que muchos podamos participar y sin necesitar que estemos permanentemente inmersos en algo el todo seguirá avanzando. Personalmente estoy comprometido con esta idea y dado el perfil de Yanapti y mi persona vamos impulsar, apoyar y fomentar toda idea. De alguna manera estos años hemos estado haciendo actividades, participando en otras donde la seguridad es un complemento, ahora queremos tener actividades donde la seguridad sea la figura central sin necesidad de entrar en competencia con otras. Considero que nuestro país aun tiene espacio para mucho.

Atentamente:
MSC. Ing. Guido Rosales Uriona Entusiasta por la Ciberseguridad y profesional especializado en esta materia.

Fuente: www.rosalesuriona.com

Evento: TinkuyHack - Jueves 01 de Septiembre

2011-08-12T19:46:00.003-04:00

YanapTI CORP. tiene al agrado de invitar a los universitarios y profesionales del medio a formar parte del Evento: "Tinkuy Hack" a realizarse el jueves 01 de septiembre en el Auditorio de la Cámara Nacional de Comercio, bajo el siguiente detalle:

PONENCIAS

- Client Side Attacks: Atacando al eslabón más débil
Mientras todas las compañías se esfuerzan en mejorar la seguridad de sus firewalls y otros dispositivos, los hackers han encontrado al mejor compañero para el ataque: el empleado de la compañía, en esta ponencia se realizará una combinación mortal: Ingeniería Social + Explotación de Vulnerabilidades, bajo distintos entornos.

- Port Scanning And Countermeasures
Se analizará una de las herramientas de escaneo de puertos más importante, el “NMAP”; se verán sus mejoras, nuevas versiones y alcances. También se hará énfasis en denotar los riesgos a los que nos exponemos al dejar nuestros puertos abiertos; además de las medidas que podemos tomar para prevenir posibles ataques.

- Arp-Poisoning and Man in the Middle Attacks
Se analizarán diferentes tipos de ataques de red como: Envenenamiento de direcciones MAC, Man in the Middle Attacks, DNS Spoofing y las medidas de seguridad que se deberían tomar para detectar y prevenir estos ataques.

- Ataques DOS (Denial of Service) en Aplicaciones Web
Se realizara una introducción a los ataques DoS y DDoS, ataques DoS contra aplicaciones Web, Tips (ejemplos) y las Medidas de Protección.

- Bolivia Cibersegura: Ciberdefensa y Ciberataques
La ponencia presentará una recopilación histórica del concepto de Seguridad Nacional, ataques y defensa a nivel de estado. Posicionará los tipos de guerra y sus características hasta nuestros días, recapitulando los principales incidentes bélicos de cuarta generación. Durante la ponencia se presentará la necesidad que tenemos como País de asegurar la infraestructura crítica, económica, social y tecnológica. Se hará la presentación oficial del proyecto “Bolivia Cibersegura”

DETALLES:

- Fecha: Jueves 01 de septiembre
- Horario: 09:00 a 19:00
- Lugar: Auditorio de la Cámara Nacional de Comercio (Av. Mariscal Santa Cruz Nº 1392)
- Inversión: 150 Bs. para universitarios y 250 Bs. para profesionales

DESCUENTOS:

- Inscripción temprana (hasta el 25 de agosto): - 25% de descuento.

MAYORES INFORMES:
La Paz - Bolivia
- Dirección: Calle Cervantes Nº2860 entre Vincenti y Ricardo Mujía. Sopocachi
- Teléfonos: (591)(2) 2152273 - 2115299
- Email: capacitacion@yanapti.com

Fuente: www.nobosti.com

ECTEL UTILIZA LA SOLUCIÓN DATA MINING DE SPSS PARA LA DETECCIÓN DEL FRAUDE EN TIEMPO REAL

2011-08-04T19:41:00.002-04:00

SPSS Inc. (Nasdaq: SPSS), proveedor global de tecnologías y servicios de análisis predictivo, anuncia que ECtel Ltd. (Nasdaq: ECTX) ha integrado el programa Clementine ® data mining de SPSS Inc. en su aplicación de detección del fraude llamado FraudViewTM.

ECtel, un proveedor global de soluciones de seguimiento y aplicaciones de garantía de ingresos para redes inalámbricas, fijas y de nueva generación, ha incorporado el programa Clementine para ofrecer soluciones de detección del fraude en tiempo real a más de 150 empresas de telecomunicaciones en todo el mundo.

Clementine, la solución de data mining de SPSS, maximiza el retorno de la inversión en datos transformándolos en información de utilidad.

Los fraudes provocan la pérdida de ingresos de más de 12 billones de dólares cada año en el sector de las telecomunicaciones, según la Asociación de Control de Fraudes de las Comunicaciones (CFCA – Communications Fraud Control Association), una de las organizaciones líderes en el mundo en la formación e información del control de fraudes. Utilizando conjuntamente y de forma eficaz Clementine y FraudView, el sistema de gestión del fraude en tiempo real, los clientes de ECtel pueden frenar y detectar en tiempo real fraudes de telecomunicaciones – que se traducen en un inmediato y significativo ahorro.

Más de 150 proveedores de servicios de telecomunicaciones de las mayores empresas de este sector en todo el mundo utilizan la solución de FraudView de Ectel con resultados muy satisfactorios.

Utilizando Clementine como motor de detección del fraude en tiempo real, FraudView recoge toda la información de llamadas en tiempo real y compara los datos con simulaciones de fraude producidos por su componente MineView.

MineView utiliza Clementine para evaluar ejemplos de registro de datos de una llamadas de un cliente de ECtel y genera una simulación que predice de la forma más exacta posible un fraude.

Si MineView identifica al abonado como fraudulento, se genera automáticamente una alerta y se archiva en una carpeta para que el investigador de telecomunicaciones pueda examinarlo.

“Vender un producto de data mining a un proveedor de telecomunicaciones siempre ha sido difícil porque no cuenta con expertos en data mining que puedan trabajar con las herramientas de data mining tradicionales,” explica Eric Kaplan, director del equipo de FraudView en ECtel Ltd. “Por su funcionamiento independiente, todas aquellas personas que no tienen experiencia pueden utilizar FraudView con Clementine.”

ACERCA DE ECTEL LTD.:

ECtel el un proveeder líder de soluciones en el monitoring de redes convergentes de telecomunicaciones, ECtel desarrolla y vende aplicaciones de seguridad de ingresos principalmente para proveedores de servicios de telecomunicaciones. ECtel tecnologías y productos innovadoras posibilitan:

- Detección de fraude y prevención en redes convencionales, inalámbricas y de la nueva generación
- Superior calidad de servicio en manejo
- Soporte para cuentas de servicio y tráfico entre carriers o portadores
- Reunión y vigilancia de inteligencia para la aplicación de ley y agencias de gobierno

ECtel es una sociedad anónima cotizada en NASDAQ bajo el símbolo ECTX.

Más información en la página web: www.ectel.com

ACERCA DE SPSS:

SPSS ayuda a resolver los problemas empresariales mediante técnicas estadísticas y extracción de datos.

Esta tecnología de tipo predictivo permite a los clientes de los sectores público y privado tomar mejores decisiones y mejorar los resultados.

La mayoría de las aplicaciones de análisis predictivo existentes hoy en día en el mercado están configuradas para su uso por analistas de negocio con experiencia en data mining y estadística.

El software y los servicios de SPSS se pueden utilizar en una amplia gama de aplicaciones, incluidos la captación y fidelización de clientes, venta cruzada (cross-selling), venta mejorada, estudio de encuestas, detección del fraude, rendimiento de páginas Web, predicciones y estudio científico.

Entre los productos de SPSS, líderes en el mercado, nos encontramos con SPSS, AnswerTree, DecisionTime, Amos y Clementine.

Clementine ayuda a los negocios a mejorar la rentabilidad de las relaciones con el cliente a través de la comprensión de datos.

Las organizaciones utilizan las previsiones de Clementine para fidelizar a los clientes, para identificar las oportunidades de venta cruzada y mejorada, para atraer nuevos clientes, para detectar fraude, para reducir el riesgo y mejorar el reparto de tareas.

Clementine ha establecido una posición de liderazgo en el mercado de data mining y se utiliza en sectores de industrias de comercio electrónico, telecomunicaciones, finanzas, distribución, sanidad, administración y educación.

Más de 500 organizaciones en todo el mundo usan Clementine, entre ellas AMENA, Telefónica Móviles, Winterthur, La Caixa, etc.

SPSS Ibérica, S.L.U. Plaza de Colón, 2, Torres de Colón – Torre II – Planta 16 28046 Madrid Tfno: 902 123 606 Fax: 913 083 521

Fuente: www.marketingdirecto.com

El otro lado de la Ley de Telecomunicaciones y TICs

2011-08-03T18:45:00.001-04:00

Los artículos más comentados de la Nueva Ley de Telecomunicaciones son los referidos al espectro electromagnético, es decir las licencias tanto para radio como para televisión y también la obligatoriedad que tienen los medios de comunicación (incluidos los canales de cable) de transmitir sin costo los mensajes presidenciales oficiales.

Estos últimos días se está comentando sobre las atribuciones que otorga esta Ley para que en situaciones de emergencia nacional, se pueda realizar pinchazos telefónicos e inclusive revisar correos electrónicos.

Al respecto cabe mencionar que esta Ley tiene otros aspectos poco o nada comentados que son bastante positivos: tiene artículos que protegen al usuario, define políticas para la ampliación de la fibra óptica a nivel nacional, norma el uso de los certificados digitales, define nuevos tipos de delítos informáticos, a continuación algunos aspectos positivos de la Ley que fueron tomados del anteproyecto de Ley aprobado en Diputados:

Artículo 47: Define la obligación de instalar fibra óptica en coordinación del Gobierno Nacional con Gobiernos Departamentales y Municipales.

Artículo 73: Establece los derechos de los usuarios, entre los más interesantes tenemos:

Solicitar la exclusión de datos de las guías de abonados sin costo alguno.

No ser facturado por un servicio que no ha solicitado.

Identificación de llamadas en forma gratuita.

Artículo 75: Inviolabilidad y secreto de las comunicaciones
Ni la autoridad pública, ni persona u organismo alguno podrán interceptar conversaciones o comunicaciones privadas mediante instalación que las controle o centralice.

Artículo 85 y 86: Administración y registro de los nombres del dominio "bo"

Artículos 87 al 104: Firmas, documentos digitales y comercio electrónico.
Establece entre otros la fuerza probatoria de documentos digitales, más aún si cuentan con certificados o firmas digitales.

Artículo 105: Define el correo electrónico y lo equipara a la correspondencia postal.

Artículo 106: Establece que la propiedad del correo electrónico corporativo (proporcionado por el empleador), le pertenece al empleador, por tanto puede legalmente "acceder y controlar toda la información que circule por el mismo".

Artículo 112: Establece la promoción para el uso de "Software Libre"

Artículo 116: DELITOS INFORMÁTICOS

La Ley establece modificaciones al Código Penal mediante la inclusión de nuevos delitos al artículo 363:

Manipulación Informática (3 a 5 años)

Alteración acceso y uso indebido de datos informáticos (2 a 4 años)

Falsificación y suplantación de identidad electrónica (1 a 6 años)

Sabotaje Informático (1 a 3 años)

Delitos contra las telecomunicaciones (2 a 5 años)

Asimismo se modifican los artículos 198, 199, 200, 300, 301 del Código Penal, indicando que los delitos se aplicarán también a "los documentos digitales":

Artículo 198: Falsedad Material (1 a 6 años)

Artículo 199: Falsedad Ideológica (1 a 6 años)

Artículo 200: Falsificación de documento Privado (6 meses a 2 años)

Artículo 300: Violación de la correspondencia y comunicaciones privadas (3 a 5 años)

Como podemos apreciar la Ley de Telecomunicaciones tiene más aspectos de los comentados en los medios de comunicación, al parecer solamente hicieron la lectura de alrededor de 86 artículos abarcan hasta el Título III y recién estos días se están dando cuenta que esta Ley comprende más aspectos y tiene en realidad 130 artículos que comprende hasta el Título VIII

Phishing - Banco BISA

2011-07-28T14:35:00.000-04:00

El Banco BISA defiende su sistemas de seguridad

El Banco BISA informó ayer que sus servicios electrónicos de banca por Internet cuentan con sistemas de alta seguridad y no han sido vulnerados en ningún momento, luego de que la Policía detuvo a los responsables de clonar la página web de la entidad bancaria.

“La seguridad en todos los sistemas, red y canales de servicios que ofrece el Banco BISA son totalmente seguros”, indicó la institución y agregó que “la red y la web del banco en ninguna circunstancia han sido vulneradas y se cuenta con certificación internacional”.

Explicó que el Banco BISA, dentro de sus procedimientos regulares de protección de acceso a sus sistemas informáticos, realiza pruebas periódicas y recurrentes de intrusión controlada (Ethical Hacking), con la finalidad de garantizar que sus sistemas no puedan ser vulnerados por atacantes, habiendo logrado resultados altamente satisfactorios.

“Nuestros sistemas no permiten ingresos no autorizados. Los sistemas y red del banco cuentan con los controles y mecanismos necesarios para garantizar que las operaciones que se realizan sean seguras y confiables”, señaló.

Con relación al caso denominado “phishing”, la entidad dijo que “de forma fraudulenta, los delincuentes a través de correos electrónicos lograron obtener información confidencial de algunos clientes, quienes proporcionaron datos personales”.

Fuente: www.lostiempos.com

Ya son cuatro los detenidos por clonar una página del Banco Bisa

Ya son cuatro las personas detenidas acusadas de haber clonado una página digital del Banco Bisa a través de Internet, para retirar fuertes sumas de dinero, como si fueran clientes de la financiera, informó ayer el vocero de la Fuerza Especial de Lucha Contra el Crimen (Felcc), Juan Carlos Corrales.

A través de esta página, los estafadores obtenían datos confidenciales de los clientes, quienes proporcionaban sus datos personales por internet a pesar de que el Banco Bisa informa regularmente que ningún servicio virtual puede solicitarles datos reservados, según la misma fuente.

Uno de los sospechosos, Eduardo Ramírez (39), fue detenido el pasado 15 de julio cuando trataba de retirar 4 mil dólares de una de las agencias. Posteriormente, la Policía detuvo a su hermano Luis César (34), mientras que otros dos posibles cómplices, David Octavio Alanoca Mollo y Juan Román Apaza Cori, fueron aprehendidos en La Paz.

Fuente: www.lostiempos.com

Hacker del Banco Bisa va a prisión

David Alanoca, experto en informática, fue encontrado culpable de haber clonado la página web del banco Bisa para robar más de 20.000 dólares y fue enviado ayer a la cárcel de San Pedro. "La juez de la causa, Julia Parra, ha dispuesto su detención preventiva porque el mismo ha sido detenido en forma flagrante e intentando cobrar el monto de 8.000 dólares de un titular que nunca había girado dicha suma", informó el fiscal Róger Velásquez. El grupo se dedicaba a hacer transferencias electrónicas de dinero". / ANF

Fuente: www.eldia.com.bo

INFOFOR 2011 - RECONOCIMIENTO PENTA EMPRESARIAL

2011-07-28T14:30:00.004-04:00

El día 12 de julio del presente, YANAPTI SRL hizo el reconocimiento a empresas bolivianas "Por su destacable contribución al desarrollo de la seguridad de la información en Bolivia", este reconocimiento se denomina "PENTA EMPRESARIAL" y se realizó al concluir el evento denominado "INFOFOR 2011", en el cual participaron profesionales de diversas empresas privadas y públicas y se contó con expositores renombrados a nivel nacional y también expositores internacionales como Marcos Ferrari y Corey Johnson, ambos de Access Data y Leandro Gonzales de ESET.

El reconocimiento "PENTA EMPRESARIAL" se otorga a aquellas empresas que hayan contribuido a la seguridad de sus empresas, clientes o usuarios en cuanto a uno de los cinco criterios de seguridad como son: Confidencialidad, Integridad, Disponibilidad, Autenticidad, No Repudio.

El "PENTA EMPRESARIAL", ya está consolidado a nivel Bolivia y se lo considera como un referente en materia de seguridad, una muestra de ello lo dan:

- El BANCO LOS ANDES PROCREDIT que realizó la publicación de este reconocimiento en el diario "La Razón" del día domingo 17 de julio.

- El SERVICIO DE IMPUESTOS NACIONALES que mediante su página web publica el 15 de julio en Nota de prensa Nº 53 la noticia sobre el galardón otorgado por YANAPTI SRL.

Las empresas que fueron reconocidas con esta distinción son las siguientes:

BANCO LOS ANDES PROCREDIT
Entidad Financiera Pionera en el uso de las tarjetas de crédito y debito con chip electrónico, esta tecnología es sin duda una de las más seguras compartiendo el lugar con la tecnología biométrica. Este esfuerzo y cambio protege a sus clientes de clonación en tarjetas de banda magnética.

SERVICIO DE IMPUESTOS NACIONALES
Entidad Pública El cambio tecnológico del padrón tributatrio biométrico, la inclusión de mas de 80000 contribuyentes a las plataformas en línea para la declaración de impuestos han significado proyectos de gran alcance como país en temas de seguridad.

SOBOCE S.A.
Empresa Industrial líder en temas de Seguridad. Ha implementado una unidad de seguridad de la información, algo muy destacable en empresas de este rubro que no sean multinacionales. Su tecnología tanto a nivel de TI como de seguridad privilegia la protección de la información.

EDV BOLIVIA S.A.
Entidad responsable del custodio de títulos, valores desmaterializados. Desde el año 2003 se ha encargado de la desmaterialización de las acciones tanto de capitalización individual como colectiva. Las medidas de seguridad implementadas obedecen a estándares internacionales. Cuenta con un responsable de seguridad desde el año 2004, el cual ha logrado la certificación internacional CISA – Certified Information System Auditor y certificaciones nacionales como CISO – Certified Information Security Officer y FCA – Forensic Computer Advisor.

INFOCRED BIC S.A.
Entidad encargada de la Información Crediticia tanto de entidades financieras como de telecomunicación y otras. Su negocio es brindar información veraz de manera inmediata. Ha implementado medidas de seguridad con responsables dedicados desde el año 2004. Actualmente está encaminada en procesos de preparación para lograr certificaciones internacionales.

ENTEL S.A.
Empresa Nacionalizada. Su unidad de Seguridad Corporativa es una de las más grandes del país, cuenta con más de 4 personas dedicadas a tiempo completo para velar por la seguridad de la información que circula por sus redes. A la fecha es la única empresa en Bolivia que ha implementado recursos de informática forense tanto de software como de hardware. Su personal ha logrado importantes certificaciones tanto en seguridad como temas forenses.

NUEVATEL PCs DE BOLIVIA S.A.
Empresa de Telecomunicaciones A la fecha es la única empresa en Bolivia certificada a nivel internacional con la ISO 27001 (Estándar Internacional de Seguridad de la Información) Cuenta con funcionarios dedicados a tiempo completo a la seguridad de la información, quienes han cursado programas de certificación en Seguridad.

PRODEM FFP S.A.
Fondo Financiero Privado Entre las entidades financieras fue la pionera en implementar la identificación de cajeros automáticos con reconocimiento biométrico, desde hace varios años. Su visión de seguridad ha permitido proteger a sus clientes ante la ola de clonación en tarjetas de banda magnética. Cuenta con personal dedicado de manera exclusiva a la seguridad de la información tanto oficiales de seguridad como auditores de sistemas.

COOPERATIVA DE ELECTRIFICACIÓN RURAL
Empresa de Electricidad Entre las empresas del sector eléctrico la CRE (Cooperativa Rural de Electrificación) ha implementado seguridad en software de desarrollo propio, data centers con muchas medidas de seguridad tanto de carácter lógico como físico, cuenta con instrumentos de seguridad de tecnología de punta.

ORGANO ELECTORAL PLURINACIONAL
El proyecto del padrón biométrico ha colocado al país entre lso países con tecnología avanzada. Este proyecto ha significado gran esfuerzo a nivel de data centers, servidores de alta disponibilidad, bases de datos con millones de registros y tecnología biométrica de punta.

Fuente: www.infoforense.com

Ciclo de Webinarios: "Seguridad de Miercoles"

2011-07-28T13:53:00.002-04:00

YanapTI CORP. tiene al agrado de invitar a los profesionales del INTERIOR (Todas las ciudades excepto La Paz) a formar parte del Ciclo de Webinarios a realizarse los meses de agosto y septiembre con el objetivo de acortar la "Brecha Digital", bajo el siguiente programa:

- Investigación de Fraudes: La Ley de Benford
Se realizará una descripción sobre técnicas utilizadas para la investigación de fraudes, se profundizará los aspectos teóricos sobre la Ley de Benford y se dará ejemplos de aplicación con la misma.
Miercoles 3 de agosto

- FTK: Forensic Tool Kit
Se realizara una descripcion de las principales funcionalidades de FTK v3.3 para el tratamiento de la evidencia digital.
Miercoles 10 de agosto

- Identidad Digital
Analisis del marco legal entorno a la identidad digital en la web 2.0
Miercoles 17 de agosto

- PRTK: Password Recovery Tool Kit
Se realizara la descripcion de la herramienta Password Recovery Tool Kit para el tratamiento de archivos cifrados.
Miercoles 24 de agosto

- Register Viewer
Se realizara una descripcion de las principales funcionalidades de la herramienta Register Viewer y las funciones que brinda a FTK como complemento en el analisis de la evidencia digital.
Miercoles 31 de agosto

- Malware en Latinoamerica
Analisis del Estado del Malware a nivel Latinoamericano.
Miercoles 7 de septiembre

- Cobit 5.0
Actualizacion de la Metodologia Cobit en su version 5.0
Miercoles 14 de septiembre

- PMBOK
Metodologia de gestion de proyectos.
Miercoles 21 de septiembre

- FTK Imager
Se realizara una descripcion de las principales funcionalidades de FTK Imager v2.9 para el tratamiento de la evidencia digital.
Miercoles 28 de septiembre

- Auditoria de Sistemas
Tecnicas, metodos y recomendaciones de Auditoria de Sistemas
Miercoles 5 de octubre

DETALLES:

Si desea participar de los webinarios favor reserve una plaza via correo electronico adjuntando los siguientes datos: Nombres y apellidos, el cargo e institucion, Correo Electrónico (Necesariamente Institucional) y telefono/s. Con la intención de brindarles una atención especial las plazas son limitadas a 20 personas.

- Capacidad: 20 asistentes
- Horarios: Todos los miercoles de 19:00 a 21:00
- NOTA: Webinarios sin Costo

MAYORES INFORMES:

- Teléfonos: La Paz - Bolivia 2152273 - 2115299
- Email: arojas@yanapti.com

Fuente: www.nobosti.com

INFOFOR 2011

2011-06-15T14:01:00.004-04:00

El mayor evento de Informática Forense con la presencia de Facilitadores Nacionales e Internacionales:

PONENCIAS

Ciberprofiling: Determinación del Perfil Psicológico del Usuario.
Identidad Digital: Seguimiento a un Criminal en la Era Digital.
Ediscovery: Rumbo a la Madurez Forense.
Cibersecurity: Soluciones en Tiempo Real.
El Marco Legal de la Identidad Digital.
Ley TIC's: Impacto en el Negocio.
El Lado Forense del Malware.
Fraudes en Base de Datos.
Forensic DataRecovery.

ACTIVIDADES ADICIONALES:
Presentación de la Línea FoCoS - Forensic Computer Station
Reconocimiento PENTA (Empresarial y Profesional)

Organiza:
YANAPTI Corp.

Detalles:
Lugar: Hotel Europa
Fecha: 12 de Julio de 2011
Inversión 150 $us por participante
Descuentos:
- 25% inscripción temprana antes del 1ro de julio
- 10% Grupos y Clientes YanapTI

Mayores Informes
Calle Cervantes Nº2860 - La Paz - Bolivia
Teléfonos: 591-2-2152273 - 2115299
email:

www.infoforense.com

Fraude Informático: Detienen a supuesta corresponsable de corrupción de impuestos

2011-06-13T22:53:00.000-04:00

A mediados de abril del año en curso, el SIN detectó de manera preliminar un daño económico superior a Bs 6 millones, luego de revisar 100 casos por el pago de tributos y comprobó el fraude informático con la publicación de boleta de pago.

El Servicio de Impuestos Nacionales (SIN) informó este martes que se logró la detención preventiva de Marianela Bozo Reyes, gerente propietaria de la consultora FENIX, empresa corresponsable del daño económico ocasionado a la Oficina Distrital Santa Cruz, por más de Bs 6 millones, conjuntamente con el ex funcionario Mario Vaca Tapia, actualmente prófugo de la justicia boliviana.

En el mes de marzo se detectó un fraude informático en la oficina regional de Santa Cruz, donde se duplicaban los formularios de pagos en el área de recaudaciones de impuestos. Por tal motivo se procedió a la detención preventiva de Bozo Reyes considerando el riesgo de fuga y por interponerse a la investigación del caso, toda vez que asesoró a decenas de contribuyentes y que fue parte del fraude realizado por Vaca Tapia.

"La Administración Tributaria está extremando esfuerzos y aportando las pruebas necesarias para el esclarecimiento de este caso. Ahora le toca a la justicia cumplir con el pueblo boliviano y con Santa Cruz, en particular, administrando correctamente la ley" resaltó el Presidente Ejecutivo del SIN, Roberto Ugarte.

La autoridad tributaria pidió al órgano judicial de Santa Cruz coadyuve en este caso de corrupción, administrando justicia con todo el rigor de la ley y generado así un precedente para que ningún mal funcionario desvíe recursos destinados a la construcción de escuelas, hospitales, carreteras, entre otros.

A mediados de abril del año en curso, el SIN detectó de manera preliminar un daño económico superior a Bs 6 millones, luego de revisar 100 casos por el pago de tributos y se identificó un desvío de fondos mediante el direccionamiento de boleta.

La comisión consideró la información que cursa en las diferentes Bases de Datos de los Sistemas del SIN, con el propósito de detectar las boletas de pago que hubieren sido objeto de modificación y/o sustitución de datos, para que un pago efectuado por un contribuyente sea orientado a obligaciones tributarias de otros contribuyentes.

Fuente: www.eldeber.com.bo

Se impone la ‘virtualización’ - Banco Ganadero

2011-06-13T22:38:00.002-04:00

La ‘virtualización’ (que permite correr de forma simultánea múltiples sistemas operativos y aplicaciones desde un mismo servidor reduciendo gastos operativos, espacio físico y consumo de energía) atrae a más empresas. Consultoras internacionales del sector coinciden en que es una de las tendencias tecnológicas que terminará imponiéndose en centros de cómputo o ‘data center’ de compañías de todo tipo. En Bolivia, el banco Ganadero es una de las empresas que ya trabaja con esa tecnología bajo la plataforma de Microsoft desde fines de 2010, la misma que fue implementada por Ingenium (partner de Microsoft desde hace 15 años).

Marco Antonio Callao, supervisor de Servicios y Comunicaciones del banco Ganadero; Luis Phillips y Roberto Infanta, en representación de Ingenium, y Said Mityu, personero de Microsoft Bolivia, destacaron las ventajas de ese tipo de tecnología.

Indicaron que el banco antes contaba con 19 servidores y con la ‘virtualización’ los redujeron a seis, lo que le ha permitido ahorrar energía eléctrica y espacio físico así como reducir costos en soportes y licenciamiento. Calculan que un 53% bajó el consumo eléctrico del ‘data center’ de ese banco. Enfatizaron en que la ‘virtualización’ ha permitido a esa entidad garantizar alta disponibilidad de sus servicios ante caídas de sistema.

Datos

- Uso. Empresas de telecomunicaciones, banca, petroleras, entidades públicas y otras ya han ‘virtualizado’ sus servidores. Las pymes también pueden aprovecharlo.

- Opción. Una empresa puede optar por la ‘virtualización’ si tiene más de cinco servidores por la relación costo-beneficio en licenciamiento y hardware, indicaron expertos.

Axxon

Con la mirada en la nube

Computación en la nube o ‘Cloud computing’ es un nuevo paradigma tecnológico que permite acceder a programas que se pueden ejecutar en la Internet sin necesidad de un disco duro o de cargar un software, lo que permite un ahorro de costos en infraestructura tecnológica. Axxon, una empresa boliviana de soluciones tecnológicas trabaja bajo ese nuevo modelo desde el año pasado.

“Empezamos con una oficina en Santa Cruz y en un año ya abrimos oficinas en La Paz y Chile. Ese crecimiento rápido nos obligó a realizar inversiones fuertes en infraestructura tecnológica. Era nuestra aspiración optar por computación en la nube, pero Bolivia no estaba preparada para ese modelo y aún no lo está. Ese paradigma ya estaba habilitado para Chile, entonces creamos una locación en ese país y así habilitamos el servicio para la empresa”, informó Claudia Moreno, gerente comercial de Axxon IT Bolivia

Destacó que en cuanto a infraestructura tecnológica hoy lo único que tienen son ‘notebooks’ y un servidor pequeño. “El resto de los servicios de TI los tenemos ‘hosteados’ en la nube a través del servicio Bipos (Business Productivity On line Suite), una suite de productividad de Microsoft que incluye varios servicios (solución de comunicaciones unificadas, correo electrónico que funciona con el Outlook, Share Point, y otros)”, indicó Moreno.

Detalles

- Ahorro. Con la computación en la nube, las empresas no necesitan gastar en la instalación de centros de datos, servidores, licenciamiento de software ni equipamiento físico, sino que pueden acceder a través de la Internet a servicios de grandes ‘data centers’ del mundo también ‘virtualizados.

- Modelos. Hay varios modelos de ‘Cloud computing’: híbrida, privada, pública, etc. y todas son opciones que permiten ahorrar costos y reducir las complejidades de gerencia de infraestructura.

- Cifras. Para Microsoft, la tendencia que encabezará 2011 y los siguientes años será la Computación en la nube. Según IDC, los servicios de la nube pueden agregar más que $us 57.000 millones de nuevos negocios e ingresos a la economía de la región entre 2009 y 2013. Según Gartner, para 2012, el 80% de los Fortune 1000 usará algún servicio en la nube.

Fuente: www.eldeber.com.bo

Programas de TV "Templarios de la Seguridad" - Ciclo 2011

2011-06-10T00:18:00.002-04:00

Desde esta semana es posible ver los programas de TV de "Templarios de la seguridad", conducido por Lic. Carlos Tomassino, Lic. Roberto Langdon, Ing. Oscar Schmitz y quien escribe Lic. Cristian Borghello en el sitio de Segu-Info.

Todos los jueves se realiza un nuevo programa semanal con importantes invitados de empresas privadas, organismos de gobierno, PyMES, proveedores de tecnologías, universidades, abogados, periodistas especializados y representantes de empresas de servicios de los ramos de seguridad física e informática. Los temas tratados corresponden a seguridad de la información, aspectos legales, soluciones y tecnologías de seguridad informática y seguridad física, normas y estándares a cumplimentar. Si desea ser invitado no dude en ponerse en contacto con nosotros.

Ya han sido subidos y pueden verse en línea los primeros programas correspondientes al ciclo 2011. Por otro lado, todos los viernes a las 16 hs (Argentina: -03:00) también se puede escuchar en vivo el programa de radio de "Templarios de la seguridad".

Fuente: http://blog.segu-info.com.ar

10 mandamientos de la seguridad de la información

2011-06-10T00:13:00.002-04:00

Diario Ti: La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controvertidos de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

“La existencia misma del caso Wikileaks determinó un antes y un después en cuanto a lo que a fuga de información se refiere. No es que antes no ocurriera, sino que- en la mayoría de las ocasiones- las fugas no se hacen públicas para salvaguardar la imagen de las empresas e instituciones. Además, el incidente permitió entender que si este tipo de incidentes puede sucederle a organizaciones tan grandes y preparadas, podría ocurrirle también a empresas y organizaciones más pequeñas", aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.

Con el primordial objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las empresas:

Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

“Todas las empresas están preparadas para afrontar el desafío de proteger su información. Para comenzar con ello, consideramos que conocer e implementar estos principios es un muy buen primer paso que ayudará con la implementación de correctas metodologías para cuidar información de su compañía. Es fundamental entender que cuidar la información es, sencillamente, cuidar el negocio", agregó Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Fuente: www.diarioti.com

Asoban: Nuevas tecnologías en tarjetas no son una garantía

2011-06-10T00:10:00.000-04:00

El secretario ejecutivo de la Asociación de Bancos Privados de Bolivia (Asoban), Marcelo Montero informó este miércoles que la introducción de un chip en las tarjeteas de debito no representan una garantía para evitar más clonaciones porque los delincuentes siempre encuentran la forma de vulnerar las nuevas tecnologías, que se introducen como medidas de seguridad.

La Asociación de Bancos informó que se registraron 665 casos de clonación y la sustracción ilegal de los cuentas de ahorro producto de los delitos de clonación que se registraron el mes pasado principalmente en Santa Cruz, y se logró sustraer ilegalmente 382 mil dólares.

"La adopción de nuevas tecnologías no es una garantía de que no se vayan a producir más clonaciones, sobre todo por los avances tecnológicos que tiene los delincuentes y también por el descuido que tiene el usuario", explicó Montero.

El ejecutivo dijo que los clientes que fueron perjudicados por la clonación de las tarjetas de debito tendrán que negociar con cada entidad financiera para la posible restitución de dinero sustraído de manera ilegal.

Según Montero, la principal medida de seguridad para las tarjetas de debito y crédito es el "cuidado personal" que cada usuario debe tener al momento de realizar las transacciones financieras. Recomendó que no descuiden sus tarjetas y que se cambie de manera periódica su contraseña.

La Autoridad de Supervisión del Sistema Financiero (ASFI) sugirió, semanas atrás, la incorporación de un chip en las tarjetas de débito como una medida de seguridad para evitar más clonaciones de tarjetas.

Montero reveló una encuesta realizada en el eje troncal y señaló que el 27% de los encuestados tenía tarjeta de crédito y un 67% está dispuesto a comprar un seguro para sus tarjetas.

Fuente: www.eldeber.com.bo

Internet Banking

2011-05-14T08:00:00.001-04:00

Asfi exigirá a la banca chips para las tarjetas

2011-05-14T07:43:00.000-04:00

Tarjetas. La entidad alista un plan de implementación de uso de chips en el servicio

La Asfi instruyó a las entidades financieras mejorar los mecanismos de seguridad en tarjetas de crédito y débito, mientras se instaura el nuevo sistema de control con el uso de chips y exigió a la banca no “deslindar responsabilidades” en la pérdida de fondos.

Desde el 25 de abril, unos 150 clientes de la banca cruceña fueron víctimas de robos en sus cuentas a través de débitos que se realizaron en La Paz, Cochabamba y Santa Cruz. El viernes, el vocero de la banca privada, Marcelo Montero, pidió tranquilidad a los clientes del sector, porque el hecho es “mínimo en comparación con lo que sucede en otros países”.

La Autoridad de Supervisión del Sistema Financiero (Asfi) emitió ese mismo día una resolución que instruye a las entidades del sistema financiero el reforzar las medidas de seguridad, denunciar ante autoridad competente este tipo de hechos, coadyuvar en los posibles procesos de investigación e informar sobre el desarrollo de las denuncias tratadas, informó a La Razón la directora de la entidad reguladora, Lenny Valdivia.

“Estamos trabajando en un plan de adecuación para mejorar la seguridad del sistema financiero. Esto implica pasar de un sistema de banda informática a un sistema de chip”, anunció Valdivia, a tiempo de agregar que el plan se implementará “en el corto plazo”.

Este medio intentó comunicarse con Montero para conocer la posición del sector al respecto, pero el ejecutivo rehusó emitir cualquier declaración. Sin embargo, el viernes dijo que tal sistema requería de una gran inversión.

Según Asoban, el robo a las cuentas (entre Bs 100 y 1.500) no se hizo desde los cajeros automáticos, sino a través de los lectores POS (aparatos donde se registra la tarjeta para debitar compras y consumo) instalados en negocios y servicios. En Bolivia, las firmas extranjeras Linser y ATC administran el servicio de POS, y consolidan los registros entre el cliente y la banca, en función de los requerimientos contractuales que tienen con las entidades financieras.

Según Valdivia, aunque el servicio es terciarizado, la “posible vulnerabilidad” de esos aparatos también “es responsabilidad” de las entidades bancarias. “Asoban quiere deslindar responsabilidades. Si ellos detectan alguna vulnerabilidad en los mecanismos de seguridad, tienen que pedir el cambio del mismo”, enfatizó.

Este tipo de hechos, dijo, “no es nuevo”. En el primer trimestre de esta gestión, la Asfi registró 234 reclamos de clientes del sistema que aseguran no haber realizado una determinada transacción.

Por su parte, el ministro de Gobierno, Sacha Llorenti, instruyó a las entidades competentes iniciar una investigación “exhaustiva” para dar con los responsables.

Periodista(s): Wálter Vásquez - La Paz

Fuente: www.la-razon.com

Debilidad del sistema alienta la clonación de tarjetas de crédito

2011-05-14T01:06:00.002-04:00

El sistema de tarjetas de ... la banda magnética, fue patentado a comienzos de los años 70; es una tecnología obsoleta que ya está siendo reemplazada a nivel mundial por las tarjetas inteligentes. Las mismas contienen un chip como el de las tarjetas SIM de telefonía celular, que comenzaron a expandirse durante la década pasada por sus mejoras de seguridad y en servicios.

...La facilidad de obtener lectores de tarjetas a través de tiendas especializadas en la web hace que con unos pocos dólares se puedan obtener, desde la comodidad del hogar, los aparatos denominados "skimmers" y tarjetas blancas listas para efectuar operaciones bancarias con los datos de otro usuario.

...El MSR400, uno de los modelos de "skimmer" de bolsillo utilizados para duplicar los datos, puede almacenar información de 3.000 tarjetas de crédito/débito, tiene batería recargable y conexión USB. Se consiguen en tiendas especializadas por unos 400 dólares. Las ofertas incluyen 100 tarjetas blancas listas para ser grabadas.

Pero esto no funciona sin el software apropiado que también es descargable en la web. El mismo lee los datos de las tarjetas clonadas y copia a la tarjeta nueva en sencillos pasos.

...la implementación de tarjetas inteligentes de crédito o de débito depende de la iniciativa por parte de alguno de los emisores para cambiar todo el sistema vigente (cajeros, POS, capacitación a los clientes, operadores, etc).

Fuente: www.paraguay.com

10 recomendaciones para usar el cajero electrónico

2011-05-14T00:58:00.001-04:00

Las siguientes recomendaciones son aplicables al uso de cajeros electrónicos (ATM) en el ámbito de la República Argentina, de acuerdo a la legislación vigente aplicable en la materia y son efectuadas por el Banco Central:

1.Debería averiguar en su banco qué cantidad de operaciones puede realizar por cajero automático sin costo. Tenga en cuenta que si realiza operaciones en cajeros de otro banco, eso tiene un costo, y varía según sea de la misma red o de otra. Las operaciones no son solo extracciones de dinero, también incluyen averiguar el saldo de su cuenta o pagar un servicio, entre otras.

2.Para evitar agotar el cupo de operaciones sin costo, puede consultar sus saldos a través de la banca telefónica o por e-banking.

3.Si va a necesitar una suma de dinero considerable, tenga en cuenta que los cajeros automáticos tienen topes de retiro por día, que suelen ser de $ 1.000 pero pueden ser diferentes si el cliente acuerda otra cosa con el banco. Son aplicables los siete días de la semana.

4.Usted puede modificar el tope de retiro de efectivo, subiéndolo si el volumen que maneja a diario es elevado, o bajándolo por razones de seguridad u otros motivos. En algunos bancos, este cambio en el tope implica un cambio en sentido opuesto en el límite de compra de la tarjeta de débito.

5.Si extrae dinero y hay diferencias entre el comprobante emitido por el cajero y el importe efectivamente retirado, debería comunicar esa circunstancia al banco emisor de su tarjeta, para que solucionen el problema. De la misma manera, en caso de pérdida o robo de su tarjeta, denuncie de inmediato esta situación al banco que se la otorgó.

6.Al hacer un depósito, asegúrese de introducir en la ranura correspondiente el sobre conteniendo el efectivo o los cheques y el primer comprobante emitido por el cajero durante el proceso de esa transacción. Se aconseja conservar el comprobante que la máquina entrega al finalizar la operación; le servirá para un eventual reclamo posterior.

7.Evite utilizar los cajeros automáticos cuando se encuentre con mensajes o situaciones de operación anormales.

8.Es aconsejable cambiar el código de acceso o clave o contraseña personal ("password", "PIN") asignada por el banco por uno que usted seleccione, y memorícela en lugar de escribirla. Modifíquela periódicamente para mayor seguridad. Esa clave no debería ser su dirección personal, ni su fecha de nacimiento u otro número que pueda obtenerse fácilmente de documentos que se guarden en el mismo lugar que su tarjeta.

9.Al operar en un cajero automático, piense en su seguridad personal. Evite digitar la clave personal en presencia de personas desconocidas, aun cuando pretendan ayudarlo, ni facilite la tarjeta a terceros, ya que ella es de uso personal.

10.Aunque parezca una obviedad, recuerde retirar la tarjeta magnética al finalizar las operaciones.

Leer más: Noticias de Seguridad Informática - Segu-Info: cajeros http://blog.segu-info.com.ar/search/label/cajeros#ixzz1MIeJxcmf
Under Creative Commons License: Attribution Non-Commercial Share Alike

Fuente: ClienteBancario

EVENTO DE SEGURIDAD EN LA INFORMACION

2011-05-14T00:29:00.001-04:00

"EVENTO DE SEGURIDAD EN LA INFORMACION" en la ciudad El Alto - Bolivia

YANAPTI SRL. Empresa especializada en Seguridad de la Información con una vasta experiencia en el mercado, tiene el agrado de invitarlos al Primer Evento “Especializado en Seguridad de la Información”, auspiciado por “ESET NOD32”, que se llevará a cabo el día miércoles 18 de mayo del año en curso, en las instalaciones del Hotel Alexander ubicado en calle Jorge Carrasco Nro. 61 (12 de Octubre), de hrs. 8:30 a 10:30, completamente gratuito!.

El evento se realizará por primera vez en la ciudad de El Alto, con profesionales especializados en Seguridad Informática, quienes compartirán contenidos especializados y de actualidad, de mucha utilidad para Ud. y su Empresa.

De esta manera YanapTI continúa con el compromiso que tiene de brindar conocimiento a los bolivianos en Seguridad de la Información.

Fuente: www.nobosti.com

Enlace relacionado: www.eset.com.bo

ANALISIS PERICIAL DE VIDEOS - CCTV

2011-04-26T00:34:00.005-04:00

Contenido:

• INTRODUCCION

• AUDITORIA Y SEGURIDAD DE CCTV

• POLITICAS, NORMAS Y PROCEDIMIENTOS RELACIONADOS

• FORENSIC VIDEO ANALISYS - FVA:

• Adquisicion - Fase Fisica

• Preservacion - Fase Digital

• Analisis Fase Funcional - Identificacion, comparacion,
tratamiento, medicion y presentacion

• Fase Logica - Tratamiento de Imagenes

INFORMES E INSCRIPCIONES
E-mail:
La Paz - Bolivia

Fuente: www.yanapti.com

Banco dispone de un Centro de Respaldo

2011-04-26T00:25:00.001-04:00

BMSC dispone de un Centro de Respaldo
Implica que la atención no se inhabilitará por desastres naturales

El Banco Mercantil Santa Cruz S.A. (BMSC), como parte de su plan de Continuidad de Negocio y Recuperación ante Desastres, invirtió en su nuevo “Centro de Respaldo” con tecnología de punta, eficiente en el consumo de energía, que minimiza el impacto ambiental, y único en su tipo dentro del sistema financiero boliviano.

Este nuevo Centro de Respaldo, ubicado estratégicamente en una ciudad distinta al Centro de Cómputo Principal de Procesamiento de Datos, se constituye en un sitio alterno de procesamiento de datos que almacena en línea todas las transacciones realizadas en el banco, señala en un boletín de prensa. Y ante una contingencia, permitirá la disponibilidad e integridad de la información para atender las operaciones comerciales y administrativas de sus clientes y usuarios.

Fabiola Cerveró Ardaya, vicepresidenta de Calidad y Tecnología, explica que cuando el Centro de Cómputo Principal de Procesamiento de Datos se inhabilite por motivos de desastres naturales o fortuitos, convulsión social u otros, el Centro de Respaldo podrá restablecer el Sistema Informático Financiero del Banco, así como también el sistema de Cajeros Automáticos, con lo cual se garantizará la debida atención a los clientes del BMSC al nivel de empresas y bancos internacionales, acotó la ejecutiva.

La disponibilidad de información con la que cuenta este centro se logra mediante una serie de medidas adoptadas en la infraestructura tecnológica que permite, por su flexible arquitectura paramétrica, ofrecer una solución ante contingencia disponible las 24 horas, todo el año.

Fuente: www.la-razon.com

Software de Auditoria: Arbutus Analyzer 5

2011-04-25T23:59:00.003-04:00

Analyzer es un software de tipo GAS - Software Generalizado de Auditoría, entre las opciones que presenta se tienen las siguientes:

Trabajar con Datos

Relacionar Bases de Datos
Extraer
Exportar
Resumir
Indexar
Ordenar
Unir Bases de Datos
Combinar Bases de Datos
Comparar Bases de DAtos
Trabajar con datos del Servidor
Trabajar con datos en PC local

Analizar

Verificar
Contar
Totalizar
Generar Estadísticas
Estratificar
Clasificar
Antiguedad
Tablas Cruzadas
Ley de Benfors
Análisis de Secuencias
Análisis de faltantes y Duplicados

Muestreo

Tamaño de la muestra
Selección de la muestra
Evaluación de la muestra

Herramientas

Historial (logs) de tablas
Genera Procedimientos en función a los logs
Grabador de Procedimiento
Escribir Scripts Personalizados
Compatibilidad con scripts ACL

Fuente: Ayuda del Software

Descargar Trial de Arbutus Analyzer
www.arbutussoftware.es

ANALYZER

2011-04-25T23:48:00.002-04:00

Analyzer ha sido diseñado para ofrecer a los usuarios finales la distancia más corta entre sus preguntas y los datos que contienen las respuestas.

Esto se consigue mediante una interfaz que incluye un gran número de analíticas que permiten realizar análisis sofisticados con independencia del personal de IT. Según sean las necesidades, los análisis se pueden realizarse de forma interactiva o configurarse para funcionar en un entorno automatizado.

A diferencia de las herramientas tradicionales de manipulación de datos como Access o Excel, la interfaz de usuario de Analyzer está específicamente diseñada para hacer frente a la realidad del acceso directo a datos heredados. Analyzer utiliza una interfaz con un formato familiar de hoja de cálculo para navegar, analizar o crear informes, haciendo que parezca como si ya estuvieran en un data warehouse.

Beneficios clave en cuanto al acceso a datos

* Panel de control de acceso a prácticamente todos los datos de la organización, desde las modernas bases de datos relacionales hasta complejos sistemas heredados de mainframe sin ETL, datos disponibilizados o infraestructura adicional
* Las fuentes de datos heredados pueden combinarse fácilmente con otras bases de datos para crear una visión unificada de datos que necesita
* Los archivos DB2, IMS, VSAM, ISAM, archivos planos secuenciales (QSAM) y datos de AS/400 se pueden integrar en Arbutus Analyzer
* Una gama completa de herramientas que permiten implementar reglas de negocio en las definiciones de los datos

Beneficios clave en cuanto al análisis de datos

* Una interfaz del aspecto familiar de hoja de cálculo facilita la sencillez del análisis de datos, incluso de aquellos procedentes del mainframe
* Sin limitación en cuanto al tamaño de los archivos
* Las columnas virtuales permiten que cualquier cálculo o reglas de negocio aparezcan como columnas, incluso cuando se accede a fuentes de datos heredados
* Potentes comandos para la manipulación y análisis de datos que permiten realizar las tareas más avanzadas
* Avanzadas funcionalidades para la definición y procesado de datos que amplían el valor que puede obtenerse de fuentes de datos heredados

Beneficios clave para IT o el administrador

* Permite un control centralizado de la instalación y administración de las definiciones de datos y el acceso de los usuarios finales
* Los datos se encuentran protegidos, ya que Analyzer sólo permite la lectura de datos (“read-only” access)
* No se requiere programación para realizar muchos tipos de informes y análisis
* El asistente para la definición de datos le guía a través de la creación de metadatos
* La conversión automatizada de metadatos facilita una rápida definición de datos en la mayoría de los casos
* Una capa semántica completa permite la personalización de los nombres de tablas y columnas
* El lenguaje opcional de Arbutus está específicamente diseñado para el análisis de datos. Esto significa que se pueden desarrollar sofisticadas aplicaciones en un corto período de tiempo y un mínimo de líneas de código

Quiénes forman parte de la Compañía:

Grant Brodie, CA, Presidente
Grant tiene más de 30 años de experiencia en el desarrollo y gestión en los sectores de acceso y análisis de datos. Los conocimientos de Grant se centran en la tecnología de auditoría, primero con Deloitte y más tarde como fundador de ACL Services Ltd, uno de los líderes en software de auditoría. Grant fue el arquitecto del ACL para Windows, el software insignia y líder en el mercado de ACL. Su pasión por el desarrollo de productos orientado a las necesidades de los clientes ha permitido a Arbutus continuar proporcionando potentes funcinalidades de análisis para un amplio espectro de profesionales.

Connie Showell, vicepresidente de Desarrollo
Connie tiene más de 25 años de experiencia en el desarrollo de tecnología de análisis de datos de mainframes y otros servidores. Pasó muchos años como directora de software para el producto de ACL para mainframes. Desde 2003 y bajo el liderazgo de Connie, Arbutus ha continuado ampliando sus funcionalidades y mejorando el rendimiento de la tecnología de mainframe heredada de ACL. Bajo su dirección, los productos de Arbutus para otros servidores, especialmente AS/400 y Windows, se han convertido en componentes esenciales de la oferta de Arbutus.

Fuente: www.arbutussoftware.es

Caso Jaime: cómo recuperaron los mails de los discos rígidos

2011-04-25T23:36:00.003-04:00

Los peritos usaron EnCase Forensic Tool, un software muy poderoso y reconocido internacionalmente. Cómo fueron los pasos.

Por Ricardo Braginski

Cuando Ricardo Jaime y sus asesores borraron los mails de sus computadoras lo que menos habrán pensado es que la información iba a quedar guardada, de todos modos, en los discos rígidos de esas máquinas.

Esto es así porque los e-mails, así como otros archivos digitales, están compuestos básicamente por dos partes: un encabezado (muestra datos del documento), más el contenido en sí del archivo.

Cada vez que el usuario “vacía la papelera” del programa de mail o del sistema operativo, lo que en realidad está haciendo es colocarle una serie de números ceros al encabezado. El resto de la información queda guardada, sin modificación, en el disco. Estos ceros funcionan como un semáforo verde que le indican al sistema que allí pueden reemplazar esa información por nueva. Pero hasta tanto el usuario no cree nuevos archivos la información queda almacenada, y se puede recuperar con las herramientas adecuadas.

Para lograrlo, los peritos propuestos por la Universidad de Buenos Aires –a pedido del juez– usaron el software EnCase Forensic Tool , una herramienta reconocida a nivel internacional y muy poderosa para estas tareas. Con el soft, lograron recuperar el contenido de los archivos, reconstruir los mails y otros documentos y rastrear cierto material a partir de palabras claves. Un primer peritaje, hecho por la Policía Federal, no había encontrado material significativo .

Antes, los peritos debieron hacer una copia del contenido “bit a bit” , un procedimiento que garantiza el copiado exacto de los datos. Y para evitar posibles contaminaciones de la muestra, le aplicaron “bloqueadores de escritura de hardware” , dispositivos que “sellan” el disco y evitan el ingreso de nuevos datos.

Según consta en el informe pericial, los especialistas debieron buscar “ciertos patrones” relacionados a “la compraventa, traslado, viajes, encomiendas, alquiler y/o otra operación comercial o particular” respecto del avión Lear Jet 31A matrícula N786YA, el barco “Altamar”, modelo 64 o Sixty Four y la embarcación “Capricornio”, matrícula DL2153AC.

Para eso rastrearon veinte palabras claves , entre las que se destacan Julián Vazquez, Manuel Vazquez, Ricardo Jaime, Pegasus Equity Investments S.A., Elkrest Investments Limited, Banco of Utah o Bank of Utah, Sailing Barcos, Dalia Ventures LLC, Altamar Yacht S.A. y Atenea Services S.A.

El software entregó una enorme cantidad de datos. El procesamiento se hizo con el soft Analyzer de la empresa Arbutus Software. Si algún archivo tenía contraseñas , abrieron el candado con el Password Recovery Toolkit .

Jaime podría haber evitado el descubrimiento de este material, si hubiera aplicado sobre esos datos el procedimiento conocido como “borrado de bajo nivel” . No lo hizo y ahora los mails salieron a la luz, con unos simples pases de tecnología informática.

Fuente: www.peritajeinformatica.com.ar

Cursos CAATTs Modalidad Virtual

2011-04-17T19:16:00.005-04:00

Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.

Las ventajas que ofrecemos son:

* Capacitación sin necesidad de desplazarte de tu lugar de residencia.

* Se puede realizar desde cualquier parte del mundo.

* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.

* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.

* Fechas y Horarios Flexibles

CURSOS CAATTs MODALIDAD VIRTUAL

Los cursos que ofertamos tienen una carga horaria de 10 Horas

* Curso IDEA

* Curso ACL

* Muestreo para Auditoria y Control

* Auditoria Contínua

* CAATTs con Software Libre

* Software Generalizado de Auditoria

* Auditoria de Sistemas TI

Contacto:

Fuente: www.caatts.com.ar

IDEA 8.5

2011-04-16T22:37:00.005-04:00

Entre las mejoras más importantes se tienen:

* Se ha reescrito la ayuda completa del editor de lenguaje de IDEAScript que ahora permite búsquedas y puede accederse desde el menú de Ayuda de IDEA.
* Se mejoró el conversor de PDF que ahora integra y accede a muchos PDF no estándares
* Las hojas de Excel 2010 ahora pueden importarse en IDEA.
* La importación de archivos delimitados permite ahora dos caracteres como delimitador de campos.
* Las funcionalidades de "Exportación a Microsoft Access 2007-2010" y de "Importación directa de Bases de Datos Microsoft Access 2007-2010" han sido eliminadas de IDEA.
* Se incluyó el SmartExporter que es un componente opcional de IDEA se utiliza para exportar y preparar automáticamente sus datos de SAP.
* IDEA V 8.4 se certificó para Windows 7
* Se han aumentado los límites máximos a 2,000 columnas por 50,000 filas para las Tablas Pivot.
* Se ha mejorado el rendimiento de la Tabla Pivot.
* Control y ajuste del rendimiento del Panorama del proyecto.
* Todas las @Funciones comienzan con letra mayúscula en el editor de ecuaciones
* Nuevos cálculos para los límites mínimos y máximos en la Ley de Benford.
* Mejoras en la importación de Excel 2007.
* Mejoras en múltiples funciones.
* IDEA Modo Servidor Único - (basado en el cliente de IDEA 8.4) permite a los usuarios ejecutar tareas exclusivamente en la plataforma IDEA Server. Esta versión está especialmente orientada a usuarios utilizando Citrix u otros software de acceso remoto. Limita la apertura y ejecución de tareas únicamente para las bases de datos de IDEA Server. No permite abrir bases de datos, ya sea desde el Explorador de Archivos o desde el Explorador de Windows, o ejecutar tareas sobre bases de datos locales. Requiere IDEA Server: dado que no se permite el trabajo en modo local en el PC cliente, se requiere tener instalado IDEA Server.

Fuente: www.safecg.com

Link para descargar IDEA 8.5 versión DEMO
Demo IDEA 8.5

Esta versión demo del software posee todas las funcionalidades de la versión full, aunque está restringida a acceder sólo a los primeros 1,000 (un mil) registros de la base de datos qque esté usted analizando.

Link para descargar SmartAnalyzer:
Demo Smart Analyzer
Smart Analyzer es una suite de macros preparada especialmente para trabajar con IDEA a partir de su versión 8.x, y que les ayudará a incrementar el alcance de sus pruebas a través de scripts especialmente desarrollados para ser ejecutados sobre la información contable.

Fuente: http://sams2000.com

Cronograma de Capacitacion - Abril 2011

2011-04-15T22:47:00.001-04:00

YANAPTI SRL, tiene el agrado de invitar a su persona a participar en sus Cursos de Capacitacion a realizarse el mes de abril, en los cuales se desarrollara temas de actualización respecto a la Seguridad de la Información. A continuacion el detalle respectivo:

Cobit 4.1

Capacitación y actualización de la Metodologia COBIT en su version 4.1 y orientada a su implementacion en una Auditoria de Sistemas de Información.

Carga Horaria: 9 horas
Fechas: 13 al 15 de abril
Horarios: 19:00 a 22:00

Desarrollo Seguro de Aplicaciones

La Inseguridad de las aplicaciones tienen su base en la formación de los profesionales de sistemas e informática. La calidad y funcionalidad se anteponen a la seguridad, ocasionando la producción de aplicaciones inseguras desde su concepción. Este curso pretende mostrar aspectos fundamentales al momento de desarrollar o evaluar una aplicación (web, cliente servidor o monousuario) desde el punto de vista de la Seguridad.

Carga Horaria: 12 horas
Fechas: 18 al 21 de abril
Horarios: 19:00 a 22:00

Gestión de Incidentes y Problemas

Carga Horaria: 9 horas
Fechas: 25 al 27 de abril
Horarios: 19:00 a 22:00

Help Desk

Carga Horaria: 9 horas
Fechas: 27 al 29 de abril
Horarios: 19:00 a 22:00

Misiones de Intrusión Controladas

Desarrollo de pruebas y ataques bajo medios controlados para lograr una correcta detección de vulnerabilidades en un sistema. Configuracion de sistemas operativos, servidores, terminales y dispositivos de redes para otorgar máxima seguridad. Aplicación de mecanismos de seguridad en diferentes tipos de lenguajes de programación. Analisis y aseguramiento de plataformas Windows y Linux bajo Redes Inalámbricas y Cableadas.

Carga Horaria: 15 horas
Fechas: 25 al 29 de abril
Horarios: 19:00 a 22:00

INFORMES E INSCRIPCIONES
Calle Cervantes No.2860, entre Vincenti y Ricardo Mujia - Sopocachi
La Paz - Bolivia
Teléfonos: 2152273 - 2115299
E-mail: arojas@yanapti.com

Fuente: www.nobosti.com

La Fuga de datos de la PyME

2011-04-15T22:35:00.002-04:00

Sus documentos privados pueden ser revelados si no los gestiona adecuadamente.Infotrends pone de manifiesto este error reiterado de las empresas, de las cuales sólo el 24 por ciento usan aplicaciones de seguridad en sus sistemas de datos.

Un documento enviado por error a la impresora equivocada, o no contar con un plan que evite y regule qué empleados pueden tener acceso a los datos e informes estratégicos de la empresa son algunos de los errores que pueden provocar un mal uso de la información interna, o una fuga de datos hacia posibles competidores de la pyme. Sin embargo, son pocas las compañías que se preocupan por gestionar su documentación de manera adecuada.

De hecho, un estudio reciente de Infotrends pone de manifiesto que sólo el 24 por ciento de las empresas cuenta con planes para implantar y usar aplicaciones de seguridad en sus sistemas de impresión y gestión documental, lo que significa que tres de cada cuatro están poniendo seriamente en riesgo la seguridad de su información crítica y confidencial.

El informe de Infotrends pone el énfasis en uno de los errores más comunes: "No contar con aplicaciones de seguridad en los equipos multifuncionales, que están conectados directamente en la red corporativa, es una invitación al robo de información", afirman desde esta compañía, para la que existen "aplicaciones sencillas para que las empresas establezcan un protocolo sobre quién, cómo, cuánto, dónde y cuándo puede imprimir cada persona de la organización". Sin embargo, más allá de las soluciones tecnológicas, "en el 75 por ciento de los casos lo que faltan son sistemas de gestión documental de tipo organizativo", explica desde EBLA Rosa Lloveras.

Esta compañía, especializada en el área de la gestión documental, coincide con el diagnóstico de Infotrends en que, especialmente en el ámbito de las pymes, "hay mucho desconocimiento y despreocupación sobre el riesgo potencial de que su información no esté corectamente gestionada. Sólo se dan cuenta cuando surge un problema". Para Lloveras, "como ven que la empresa funciona igualmente sin estos planes de gestión, y además no ven que sea un área estratégica, deciden no invertir su dinero en ella, a pesar de que es fundamental".

Fuente: www.eleconomista.es

SEGURIDAD DE INFORMACION PARA PyMES

2011-04-15T22:31:00.001-04:00

Después de muchos años de estándares de seguridad (o buenas prácticas) dirigidos a corporaciones se está girando la mirada a las PyMES debido a su aporte económico (En Argentina representan cerca del 60% del PIB).

Otro caso en el que se le está dando la importancia debida a las PyMES es la "Mejora de procesos de Software para pequeñas empresas" como es COMPETISOFT y también el "Modelo de ciclo de vida de software para pequeñas empresas" ISO/IEC 29110.

Ya hablando de la NISTIR 7621, a muchos les parecerán recomendaciones muy obvias pero las PyMES seguramente valorarán en alto grado este documento si lo aplican. En 20 páginas incluidos los 3 anexos se presenta los fundementos básicos de seguridad de información para una PyME.

A continuación una traducción del índice del documento:

SEGURIDAD DE INFORMACION PARA PyMES(*): LOS FUNDAMENTOS
NISTIR 7621
Richard Kissel
Octubre 2009

Acciones "absolutamente necesarias" que las PyMES deberían tomar para proteger su información, sistemas y redes.
1. Proteger información/sistemas/redes del daño de virus, spyware y otros códigos maliciosos.
2. Proveer seguridad a las conexiones de Internet.
3. Instalar y activar programas firewalls en todos los sistemas del negocio.
4. Parchar los sistemas operativos y las aplicaciones.
5. Realizar copias de seguridad de los datos/información importantes.
6. Controlar el acceso físico a las computadoras y a los componentes de la red.
7. Securizar/asegurar los puntos de acceso de la red inalámbrica y de las redes.
8. Entrenar a los empleados en principios básicos de seguridad.
9. Requerir cuentas de usuario individual para cada empleado en las computadoras del negocio y para las aplicaciones de negocio.
10. Limitar el acceso de empleados a datos e información y limitar la autorización para instalar software.

Prácticas altamente recomendadas
1. Preocuparse acerca de la seguridad de los adjuntos de email y petición de emails con información sensible.
2. Preocuparse acerca de los enlaces web en los emails, mensajería instantánea, redes sociales y otros.
3. Preocuparse acerca de ventanas emergentes y otros trucos de hackers.
4. Hacer los negocios en linea o banca más segura.
5. Prácticas de personal recomendadas al contratar empleados.
6. Consideraciones de seguridad para la navegación web.
7. Problemas en descargas de software de Internet.
8. Como conseguir ayuda con la seguridad de información cuando lo necesites.
9. Como deshacerse de computadoras y medios de almacenamientos viejos
10. Como protegerse contra la Ingenieria Social

Otras consideraciones para información, computación y seguridad en redes.
1. Consideraciones de Planes de Contingencia y Recuperación de Desastres.
2. Consideraciones de anulación de costos en seguridad de información.
3. Políticas de negocio relacionadas a seguridad de información y otros tópicos.

Apéndice A: Identificando y priorizando los tipos de información de tu organización
Apéndice B: Identificando la protección necesaria para las prioridades por tipos de información de tu organización
Apéndice C: Estimando los costos de que sucedan cosas malas a la información importante del negocio.

(*) La traducción literal de "Samll business" es "pequeños negocios" sin embargo se optó en vez de esta por PyMES.

Descargar el documento completo (pdf)

Continuidad del Negocio para PyMES

2011-04-07T14:42:00.002-04:00

Como prepararse:

* Backup de datos electrónicos
Las PyMES pueden utilizar algunas herramientas para respaldar sus datos de las PCs en forma casi instantánea en la "nube". Pero claro deben tomarse las medidas necesarias de seguridad si la información es sensible o estratégica.

* Backup de documentos basados en papel
Las PyMES con las actuales tecnologías tienen la posibilidad de eliminar casi completamente la utilización del papel (paperless) en sus operaciones diarias y transferir todo a formatos digitales, para los casos en que la documentación en papel "debe" mantenerse, esta puede ser escaneada para propósitos de continuidad del negocio.

* Sistio alternativo para las oficinas
En muchos de los casos será suficiente con que los trabajadores puedan realizar su trabajo desde sus hogares, pero el requisito será que estos tengan acceso computadoras/laptos/smarthpones e Internet con la debida seguridad implementada (Ej. las 2 semanas de alerta el año 2009 por la gripe H1N1 en la Argentina). Si el trabajo desde el hogar no es posible, siempre se puede optar por opciones rentadas (Ej. habitaciones de hotel u oficinas alquiladas por horas)

* Hardware
Si no es el caso de computadoas especiales para el uso en el negocio, será muy fácil encontrar una alternativa, (computadoras de casa o alquiler de las mismas).

* Equipo de trabajo ó Humanware backup
Quizá el elemento más importante y difícil de implementar.
Supongamos que un empleado clave no está disponibles, y por tanto es el la única persona que conoce ciertos aspectos (ej. contraseñas administrativas, los pasos necesarios para arrancar un proyecto, etc). Para estos casos dicha información deberá estar documentada, de tal manera que se puede utilizar sin que el empleado en cuestión esté presente.
Otro caso podría ser la pérdida de un empleado clave y ningún otro tiene el tiempo o las habilidades necesarias, en estos casos la preparación necesaria debe ser identificada para afrontar y asignar o contratar a otra persona en un corto tiempo. La clave en este punto es identificar a alguien con las habilidades y conocimientos necesarios.

Para concluir: no existe diferencia sustancial entre empresas grandes y pequeñas cuando se habla de continuidad del negocio, ambos tipos de empresas deberían pensar en forma detallada las necesidades para desarrollar la recuperación ante desastres. La diferencia está en el nivel de preparación, las PyMES lo deberán hacier con mucho menos inversión.

Fuente: Traducción parcial de: http://blog.iso27001standard.com/

Cabe mencionar que existen estándares para PyMES, por ejemplo se tiene
ISSA 5173: estándar para la seguridad de la información dirigido a PyMES información dirigido a Pymes

Digital Pen ó Lapiceras electrónicas

2011-04-07T14:17:00.001-04:00

eLapiceras, Digital Pen ó simplemente "lapiceras electrónicas". En el evento denominado "De la Recolección de Datos al Procesamiento Avanzado de Información" El día 29 de marzo se realizó dicha presentación en el Hotel Radison, uno de los expositores el Ing. Gonzalo Landaeta.

Es una tecnología que utiliza lapiceras con dispositivos electrónicos integrados que está dirigido principalmente a la captura de información sin realizar trabajos extras a la hora de llenar formularios.

Como funciona:
Se necesita un formulario en papel (puede ser el mismo que se usa en las labores cotidianas de una empresa) que esté impreso con un tramado especial que lo hace único (tipo código de barras).
El llenado del formulario se la hace mediante una lapicera electrónica que escribe como cualquier lapicera común y corriente. La información rellenada en el formulario se transmite via Bluetooth o puede permanecer en la lapicera para luego descargarla mediante el dispositivo docking station.
La información alamacenada se transfiere de la lapicera al servidor, puede ser mediante celular, computadora, router.
El servidor puede ser propio (las empresas grandes se pueden permitir esta opción) o los datos se almacenan en la "nube", por ejemplo en los servidores de la empresa que provee el servicio.
A partir de la información ingresada se puede realizar el procesamiento de la información.

Las ventajas:
Permite desarrollar soluciones basadas en papel, manteniendo las copias físicas archivadas.
Se tiene autonomía de desplazamiento, la batería de la lapicera dura mínimo un mes.
Exelente portabilidad, es más fácil manejar una lapicera que un celular/smarthphone.
Acompañado de la portabilidad se tiene la baja inversión en comparación a celulares/smarthphones o PCs/notebooks.
Se puede trabajar con una sola lapicera o se puede individualizar para cada usuario.
Los formularios pueden servir de entrada de datos para sistemas que ya estén en funcionamiento (legacy), ERP, CRM.

Los peros:
La vulnerabilidad que presenta la tecnología Bluetooth, ante la interceptación de información. Sin embargo de esto y a pesar de la molestia del expositor (Ing. Landaeta) ante este cuestionamiento por uno de los asistentes, el expositor consideró este riesgo alejado de la realidad. Cabe mencionar que si la información es sensible, es suceptible de interceptación. A pesar de ello aclaró (el representante de la empresa en Dinamarca) y estuvo muy acerto, que para eliminar ese riesgo se puede transmitir la información vía docking station, además aclaró que la transmisión de información no es en texto plano sino que simplemente se transmiten las coordenadas con respecto al formulario.

El almacenamiento de los datos en la "nube", en Bolivia todavía no tenemos normado este aspecto y si se trata de información confidencial y estratégica se tendría que optar por implementar servidores propios, lo que encarecería el proyecto.

Quienes lo podrían usar: En la charla se menciónó que podría ser bastante útil para:
El relevamiento de información que hace el INE, en especial podría ser útil para el tema del CENSO.
Las instituciones públicas de salud que requieren recabar información de lugares alejados y disponen de recursos económicos para equipar a sus dependencias de PCs/notebooks, smarthphones.
Además mencionaron casos de éxito a nivel mundial.

La demo Se hizo una demostración en vivo, se proporcionó a los asistentes una encuesta para elegir entre tres opciones el personaje más relevante para las próximas elecciones presidenciales, se contestó la encuesta con las lapiceras electrónicas y por suerte la Ley de Murphy no se hizo presente. Casi en forma instantáne pudimos ver los resultados de la encuesta sin necesidad de que se nos pidan las encuestas y las vuelvan a transcribir.

Algunos consejos: Ante el cuestionamiento de un participante que indicó que manejaba su sistema de pedidos via celular el Ing Landaeta le dió un buen consejo que decía más o menos así: Si la solución que estás utilizando te sirve y funciona bien, entonces no la cambies. También mencionó otros aspectos: Que la implementación de las lapiceras no tiene mucho sentido si no es parte de un proyecto serio. La implementación de lapiceras electrónicas y diseño de formularios es una parte del proyecto, lo que viene detrás del formulario es quizás lo más importante, qué se hará con los datos, cómo se los procesará.

CORREO ELECTRONICO - CONFIDENCIALIDAD Y USO EN EL AMBITO LABORAL

2011-01-31T16:08:00.003-04:00

Correo electrónico. Confidencialidad y uso en el ámbito laboral.
Disertante: Dr. Eduardo Molina Quiroga (Abogado, Doctor en Derecho Civil UBA, Subdirector del Programa de Actualización en Derecho Informático UBA).
El correo electrónico ha sido equiparado desde sus orígenes a la correspondencia epistolar y por lo tanto tiene carácter confidencial. La doctrina y jurisprudencia civil lo ampararon como parte de la intimidad o vida privada. La reforma al Código Penal (ley 26.388) incluyó el acceso y difusión "indebidas" como delitos. En los casos en que el correo es provisto por el empleador se discute si este puede acceder a su contenido, como debe proceder y si la prueba obtenida es válida para justificar un despido u otra sanción.
Están en tensión el derecho a la correspondencia privada y el derecho de propiedad, ambos garantizados constitucionalmente. Cómo resolver este dilema es el propósito de la exposición.

La Jornada "Aspectos Legales de las Tecnologías de Información" organizada por USUARIA y llevada a cabo en la UADE el 30 de noviembre de 2010 tuvo entre los disertantes al Dr. Eduardo Molina Quiroga quien expuso la temática "Correo electrónico. Confidencialidad y uso en el ámbito laboral". A continuación se presenta la desgrabación de su disertación:

Es un tema polémico, de hecho no resuelto y en el cual, las opiniones no son neutras, el emplazamiento de cada uno va ha determinar una visión y en algunos casos será conciliable y en otros no.

Se tratará de conciliar ambas posiciones.

El código penal de 1920 e incluso nuestra constitución tenemos una idea de la confidencialidad basada en la carta típica, es decir la carta tiene un escudo que es el sobre, es una correspondencia, un texto, un mensaje que está de alguna manera resguardada por una cubierta, más allá de alguna película en la que la gente en Alemania oriental destapaba sobres con vapor, pero en principio era más fácil imaginar la confidencialidad de la correspondencia en el soporte de papel porque tenía esta cubierta material-física, más allá de que la carta no volaba, la recibía una persona o una organización y la trasladaba a su destinatario.

En el caso del correo electrónico a través de los protocolos más conocidos el ICMP, POP3, IMAP, más allá de los celulares, BlackBerry, etc, pasa inevitablemente por equipos-servidores que no son propios, con lo cual este secreto que imaginábamos con relación a las cartas en soporte de papel, técnicamente es imposible o en todo caso bastante costoso si nosotros hubiéramos desarrollado para el acceso público y cotidiano tecnologías de encriptación confiables, quizás podríamos llegar a eso, para que tengan una idea el grupo más famoso de derechos civiles de Estados Unidos en materia de sociedad de información y conocimiento el "ETIC" brega porque el Pentágono brinde la tecnología de encriptamiento que usa el Pentágono para todos los ciudadanos porque sería la única manera de garantizar la privacidad en la sociedad de la información y el conocimiento, es decir en realidad si no hacemos esta aclaración, varias de las cuestiones que vamos a plantear me parece que no se van ha entender, no es técnicamente fácil (por no decir imposible) mantener la confidencialidad que si era más verosímil en el caso de la correspondencia en soporte papel. Cuando yo estoy enviando un correo electrónico o chateo o interactúo con un formulario electrónico o cualquier otro tipo de intercomunicación personal a través de un sistema hard-soft, inevitablemente paso por un agente de transmisión de mensajes que tiene la posibilidad, lo haga o no de conocerlo y que sin ninguna duda dependerá el tiempo que tenga.
Las víctimas de muchos ataques en la red no tienen a donde recurrir o tienen que pagar para que las empresas les brinden y no tienen ninguna obligación, en la Comunidad Europea, las empresas tienen de acuerdo a la última directiva un promedio entre 6 meses y 2 años de un registro.

Cuando se utiliza el correo corporativo en una empresa, organización estatal o privada y se presenta un dilema entre dos posiciones muy encontradas:

1. Ley de Contrato de Trabajo (en el caso argentino) establece que el empleador tiene derecho a controlar la utilización que se le de a todos los instrumentos que le proporcione a sus dependientes y que tiene que estar orientado al cumplimiento de los fines de la organización, en definitiva todo esto está amparado en un derecho protegido constitucionalmente como es el derecho de propiedad.

2. La correspondencia epistolar está protegida por la Constitución, el artículo 1071 bis del Código Penal y la Ley de Protección de Datos 25326, de esta manera se trata de garantizar que el ciudadano de la sociedad de la información tiene derecho a que ciertos aspectos de su vida queden fuera del conocimiento de otras personas y además poder controlar el uso desleal incluso aquella información que no es privada o confidencial

Estos dos elementos entran en conflicto cuando el empleador utiliza el correo electrónico, la mensajería instantánea o el acceso a Internet cuya infraestructura física y lógica es provista por un ajeno que es su empleador. El aspecto principal no es si el trabajador puede hacer el uso indebido o no de esta infraestructura que fue puesta a su disposición, sino cuales fueron las pautas que la jurisprudencia ha estado estableciendo en relación a como resolver este tema.

De lo anteriormente señalado surgen cuestionamientos como los siguientes:
• ¿El hecho de utilizar herramientas informáticas puestas al servicio de la organización y utilizadas en beneficio personal o simplemente para entretenimiento (teniendo en cuenta los fines previstos por el empleador) constituye una falta tan grave que justifique la disolución del vínculo laboral?
• ¿Cuál es la eficacia de la advertencia previa al trabajador sobre el uso de herramientas informáticas para los fines de la organización del empleador?
• ¿Cómo se acredita la conducta invocada como impropia?
• ¿Es necesario o no que la falta del trabajador haya ocasionado un perjuicio a la empresa?
• ¿Hasta donde llega la facultad del empleador de controlar la utilización de los elementos que se ponen a disposición del trabajador para conocer el contenido de la correspondencia electrónica o de la navegación por Internet?
• ¿Cómo debería proceder un empleador para no vulnerar la Ley, los derechos fundamentales? e incluso cabe preguntarse si no estaría vulnerando artículos del código penal (sin embargo no se ha visto todavía casos resueltos a este respecto).

La confidencialidad del Correo electrónico no es solamente un tema argentino,
• Hay un famoso caso francés que se cita siempre donde la cámara de casación condenó a un empleador por una injerencia en el correo electrónico de su trabajador, quien consideró darse por despedido porque se había violentado su privacidad.
• En España hubo fallos contradictorios, algunos tribunales como los de Barcelona protegieron en algún caso la confidencialidad del correo electrónico y en otros casos no, en Madrid sucedió lo mismo.
• En Chile la Dirección de Relaciones Laborales dispuso una normativa específica sobre como tenía que ser las instrucciones y reglamentos sobre el uso de elementos informáticos
Con esto lo que se quiere señalar es que no es un problema que nació para Argentina desde ahora, sino que es un problema que viene con el uso de las nuevas tecnologías.

Entonces nos vamos a encontrar muy esquemáticamente con dos grandes posiciones:
1. Los que entienden que el valor que prima y debe primar siempre es el respeto a la propiedad ya que el empleador ha colocado esos medios e hizo una inversión (muchas veces inversiones muy importantes) y eso es para que sirva a los fines de la empresa
2. Otro sector que señala que lo que está en juego son principios fundamentales consagrados en los tratados de derechos humanos que tienen rango supraconstitucional y además los derechos de los trabajadores son de orden público y son irrenunciables.

Entre estas dos posiciones extremas entre las cuales encontramos pronunciamientos de la jurisprudencia argentina, hay que ver como se encontrar alguna solución intermedia.

Haciendo un resumen de la jurisprudencia argentina:

En primer lugar yendo de lo más sencillo a lo más complejo, hoy nadie discute que es necesario una advertencia previa a los trabajadores (aunque la infraestructura sea propiedad del empleador) para poder considerar que la utilización del correo electrónico o de Internet constituye una injuria (falta) laboral, existe una casuística que en muchas situaciones se dice, bueno en este caso se resolvió porque estas eran las características, la situación y en otros casos se resolvió de otra manera, por ejemplo: Si a alguien lo despiden porque utilizaba el mail de la empresa para mandar correos personales y a ese mail solo podía acceder con su clave y no se acredita un perjuicio a la empresa y no hubo antecedente que lo justificara, la jurisprudencia esquemáticamente ha entendido que ese despido era arbitrario y que por tanto había que indemnizar al trabajador, aún cuando hubo una advertencia, y acá se abre un segundo conflicto, se dice bueno, violó el reglamento sobre el uso de herramientas informáticas, pero su conducta en relación con su historial laboral no justificaba una medida tan severa como el despido, se ha violado el principio de proporcionalidad que es básico en cualquier régimen sancionatorio y más en el ámbito laboral, por lo tanto también el despido se considera injustificado.

En otros casos también se ha analizado si el acto realmente le ocasionó un daño o perjuicio a la empresa, si la empresa no lo pudo probar, entonces tampoco procede, por supuesto, el caso cero es cuando no pude acreditar que el sujeto hombre o mujer que fue motivo de la sanción había sido el autor de la utilización indebida del correo o del acceso a Internet o de la mensajería instantánea. Pero quizás el tema más delicado es que el empleador suponiendo que elaboró un reglamento absolutamente meticuloso que fue notificado personalmente a cada uno de los trabajadores sobre cuales eran los usos permitidos de esas herramientas informáticas que se pusieron a su disposición frente a la sospecha de que el empleado no cumplió esto, lo despide.

La reflexión:
Si yo quiero mandar una carta a mi madre y el único papel disponible y los únicos sobres son de propiedad de la empresa y mando eso, no hay ninguna duda de que ese papel y sobre le corresponden a la empresa. ¿Está autorizado el empleador a abrir mi carta para enterarse del contenido?
Este ejemplo puede sonar forzado, pero si se ha equiparado en el Código Penal a las comunicaciones electrónicas a al correspondencia epistolar, hoy ya no hay ninguna discusión sobre la protección equivalente que tiene, si en el artículo 77 se ha equiparado el documento sin importar el soporte en el que esté y uno tiene que interpretar la Constitución Nacional, todos los tratados de derechos humanos con el criterio de la Comisión Interamericana y todos los especialistas han dicho a favor del derecho, se tendría que concluir que en principio:
Ningún empleador por más que haya firmado un reglamento, podría intervenir la comunicación electrónica por su propia decisión.

¿Qué debería hacer?
Lo que se hace con las comunicaciones telefónicas, el juez basado en una sospecha (no en una certeza), basado en elementos objetivos tiene la vía libre para ordenar la suspensión de garantías constitucionales como son la inviolabilidad del domicilio, la confidencialidad de las comunicaciones, cuando esto se basa en una sospecha meramente subjetiva, la corte (por citar el último caso Poveda) permanentemente ha declarado la nulidad no solo del procedimiento sino de todo lo que se obtuvo a partir de este procedimiento por la teoría "del fruto del arbol envenenado", entonces existe la posibilidad de obtener un congelamiento de los datos del tráfico, de tal manera que esto se convierte en un elemento objetivo de sospecha para decirle al juez, yo tengo la sospecha de que este empleado está haciendo un uso indebido de las herramientas proporcionadas, pero como no se quiere viciar el procedimiento y después no digan que afecté su intimidad, su vida privada, confidencialidad, etc., yo le pido a usted con un funcionario judicial o un tercero ajeno a la causa que obtenga una copia bit a bit o secuestre la computadora o como acabo de leer en un diario digital (www.elabogado.com) en un conflicto laboral donde fue el propio empleado el que pidió el depósito judicial de la BlackBerry y una Notebook que tenía porque el empleador lo acusaba de un uso indebido y el empleado decía aquí están las pruebas de que yo trabajaba para él, lo pongo en manos de un tercer imparcial que es el órgano judicial. Aunque es mucho más fácil (por supuesto que esto no es un proceder adecuado) el procedimiento de decirle al administrador del servidor que lo haga sin que se de cuenta el trabajador en cuestión, es decir no es que no se puede hacer, desde el punto de vista tecnológico se puede hacer perfectamente y si alguien tuviera tiempo se enteraría absolutamente hasta del mail más insignificante de una persona, no hay tiempo por el volumen, por la cantidad.

Si nosotros siguiéremos ese procedimiento (mediante orden judicial), yo creo que respetaríamos ambas posiciones, es decir el respeto al derecho de propiedad que tiene el empleador sobre los elementos que puso al servicio de los fines de la empresa y los derechos fundamentales a la confidencialidad de la correspondencia y al manejo de sus propios datos que tiene el trabajador, por supuesto que esta es una vía mucho más complicada y seguramente muchos dirán, si el trabajador firmó, el aceptó. En uno de los casos más citados, en realidad se lo convocó al trabajador, quien prestó su consentimiento y estuvo presente cuando se obtenía la información de los mails, con lo cual participó en el tema, no es que se enteró cuando le llegó el telegrama o cuando lo citaron a declarar.

Este tema de bilateralidad del control de la información es fundamental así como la cadena de custodia. Si yo fuera abogado del trabajador, lo primero que cuestionaría sería la obtención de la evidencia y si no se ha seguido una custodia adecuada, porque en general lo que se suele hacer es imprimir los mails y llevárselos al juez y decirle mire acá está la prueba.

Hubieron casos que rompen la regla, porque fueron muy groseros, cuando por ejemplo se comprobó por testigos y numerosas pruebas que el trabajador hacía un abuso permanente, mandaba comunicaciones de tipo sexista a directivos, etc., entonces en este caso ya no se trata de que el empleador interceptó los mails, la evidencia se construyó con otras fuentes y lo de la intercepción de los mails en este caso pasó a un segundo plano, no era la fuente principal de prueba en la cual se basó el dictamen.

En algunos países se han inclinado más hacia proteger el derecho de propiedad de la empresa, en otros casos a proteger la intimidad y la confidencialidad de la correspondencia de los trabajadores y yo creo que un punto de equilibrio es:
Técnicamente es posible hacerlo, congelar los datos de tráfico, pedir una intervención judicial como se pide en la intervención de comunicaciones telefónicas y con esto obtener evidencia eficaz y determinar si efectivamente la persona ha incurrido en una falta, se debe respetar el principio de proporcionalidad, es decir si la medida que se va ha tomar reconoce una gradualidad y quedará en todo caso de acuerdo al tribunal que nos toque el criterio de si se justificaba o no, porque algunos exigirán que haya habido un perjuicio y no solamente que sea el mero incumplimiento de las órdenes de la organización y para otros dirá, incumplió, falto a la buena fé y lealtad que le debe a su empleador.

CONCLUSIONES:

Si bien existen diferencias tecnológicas entre la correspondencia epistolar clásica y las comunicaciones telefónicas y el correo electrónico, todas estas se engloban en lo que las comunicaciones interpersonales que por lo tanto deben ser protegidas en su confidencialidad condenando la intercepción de las mismas.

El legislador evidentemente en esto no pudo llegar a un consenso y salió por la tangente, puso indebidamente, ¿qué significa indebidamente?, es algo que todavía no tengo referencia judicial como para decir como han interpretado los jueces que constituye una intromisión indebida en las comunicaciones electrónicas, algunos sostienen que indebidamente no es cuando ha habido un compromiso firmado, un reglamento aceptado, frente a eso mi argumento es, en materia penal rige el principio de interpretación a favor del reo con lo cual a lo mejor si el que está involucrado es un gerente de personal o un administrador de red, podrá decir yo creí que con esto estaba autorizado y en realidad no se demostró que lo hice a propósito para violentar el secreto. Habrá otros que dirán, si hay una protección constitucional para la confidencialidad del correo electrónico y precisamente se modificó.

Lo que se incorporó a la Ley de Delitos Informáticos es exactamente lo que el Convenio de Budapest acepta, son las 4 grandes figuras que preocupan mundialmente y no se siguió exactamente la misma redacción de Budapest, esto del indebidamente generó y sigue generando bastantes dudas, ¿qué significa indebidamente?, cada uno dará su opinión.

Después fíjense alguien podría decir, en un caso se habla de comunicación electrónica y en otro se habla de un pliego cerrado, claro es imposible que la comunicación electrónica esté cerrada, esta es una figura mucho más sofisticada si alguien hackeara la encriptación que no es una modalidad que nosotros estemos usando.

Hay algunas situaciones, por ejemplo el caso que alguien hace público el contenido de una comunicación electrónica (el caso La Natta) donde el interés público, algunos sostienen que sería aplicable una doctrina de la Corte Suprema (el caso Campigae) que de alguna manera introdujo la teoría de la real malicia americana, es decir cuando una persona es pública, es necesario acreditar el deseo de perjudicar, porque sino lo que prima es la transparencia en la información, que no creo que sea aplicable a este caso y tenemos el 155 que es el que tiene una correspondencia que no está destinada a la publicidad y la hace pública. Hoy todas las noticias de los diarios nos llevan a este tipo de situaciones.

Como no es posible distinguir la etapa de almacenamiento, ya que inevitablemente por lo menos en el actual estado del arte todo mensaje pasa por uno o más servidores que actúan como agentes de transmisión de mensajes y a veces como agente de envío o ubicación de los mismos, cuando el email pasa por estos sistemas, sufre proceso de almacenamiento transitorio al menos en sus datos de tráfico, en consecuencia el acceso a estos mensajes debe ser el imprescindible por necesidad de su operación, en el caso mencionado además de estar presente la persona, se buscaron sólo los mails que habían sido remitidos a una empresa competidora a través de los datos de tráfico y no se analizó el resto de la correspondencia de esta persona, por tanto la divulgación sin autorización de los contenidos constituye una clara violación a la privacidad y esto lo tenía resuelto la jurisprudencia civil desde hace mucho antes de la reforma del Código Penal, en el caso del correo electrónico puesto a disposición del trabajador

Creemos que para monitorear los mensajes (el empleador) debe contar con una autorización judicial como establece la Ley, el empleador debe notificar claramente su política en relación al uso permitido o prohibido de los recursos informáticos dispuestos y en caso de sospechar uso indebido, debe solicitar la intervención de las comunicaciones al juez o fiscal competente y de este modo se concilian el respeto a los derechos personalísimos con la propiedad privada en un marco de estricta observancia de las garantías constitucionales.

Boqueteros de Bancos

2011-01-04T15:50:00.002-04:00

Banco Provincia - Argentina
Asalto al Banco Provincia, boqueteros se llevaron mas de 100 cajas de seguridad. El túnel tiene ventilación, luces y alfombra. Una obra de más de 6 meses de trabajo.

Reventaron 97 cajas de seguridad del banco Provincia de la sucursal Belgrano, ubicada en Cabildo y Echeverría. Los ladrones entraron a la bóveda el fin de semana por un boquete en el piso que viene de un túnel que todavía no se informó en dónde se inicia. Los investigadores están ante un nuevo trabajo de alta ingeniería. Los clientes se empujan en la puerta de la sucursal por información. Emitido por Visión Siete, noticiero de la TV Pública argentina, el lunes 3 de enero de 2011. http://www.tvpublica.com.ar

Banco Macro - Argentina
Un robo planeado a dos cuadras del Congreso de la Nación. Saquearon 218 cajas de seguridad de una Sucursal del Banco Macro.

Banco Unión - Bolivia
Túnel para robar el Banco Unión

La NASA vendió PCs sin borrado seguro de datos sensibles

2010-12-11T10:13:00.002-04:00

La NASA reveló que 10 computadoras usadas en el programa de transbordadores se vendieron al público sin haber borrado en forma segura los datos sensibles.

Una otra computadora que fue confiscada antes que fuera vendida, contenía información relacionada a tecnología del programa de transbordadores, que está sujeta a control de exportación por Regulaciones Internacionales de Tráfico de Armas.

Además, computadoras que se preparaban para la venta fueron encontradas en el Centro Espacial Kennedy en su depósito de desechos conteniendo información de Protocolos de Internet de la NASA, la cual según dijeron los investigadores podría proporcionar a los hackers detalles necesarios para explotar las vulnerabilidades de la red de la NASA.

La NASA estaba vendiendo las computadoras al prepararse para retirar el programa de transbordadores después de 38 años con el lanzamiento del transbordador espacial progrmado para Junio 2011.

En una revisión interna, la agencia espacial encontró que los Centros Espaciales Kennedy y Johnson y el Centro de Investigación Ames utilizan software para borrado seguro (wipe) del equipamiento antes de disponer de ellos. El Centro de investigación Langley no requiere esta tecnología debido a que remueve los discos duros (hard drives) en forma previa a su disposición final. Aunque el centro Kenedy era el único que tenía un procedimiento de prueba implementado para verificar que los discos fueron realmente sometidos al proceso de borrado seguro (wiped) tal como los requieren las políticas de la NASA.

No obstante se identificaron debilidades en los cuatro centros sobre políticas de "sanitización".

Por ejemplo, Kennedy, Johnson y Ames utilizaban software de borrado seguro no aprobado, Langley no registraba o dejaba pista sobre los discos duros removidos, y en Kennedy no se notificaba a los administradores cuando la prueba de verificación de sanitización de las computadoras fallaba.

Se encontraron fallas en el proceso de verificación del centro Kennedy que resultó en la venta (y casi venta) de computadoras que contenían todavía datos sensibles.

"Esto ocurre porque los administradores de la NASA no supervisan adecuadamente el proceso de sanitización y disposición," dijo en su informe el inspector general de la oficina de la agencia espacial, el informe se denomina 'Preparación para el retiro del programa espacial de transbordadores: Una revisión de la disposición de equipos de tecnología de información de la NASA'

"Las políticas de sanitización de la NASA están incompletos y el personal responsable no sigue consistentemente las políticas aplicables o no eran conscientes de ellas"

Los investigadores independientes recomendaron al CIO (Chief Information Officer) de la NASA llevar a cabo futuras revisiones, tomar acciones correctivas y seguir la mejores prácticas.

Traducción por: frauditor
Fuente: www.networkworld.com

Hacking de ATMs

2010-12-11T09:15:00.003-04:00

Barnaby Jack en el Black Hat 2010 hizo una demostración de como insertar código no autorizado en un cajero automático (ATM) y luego sacar el efectivo del mismo.

Fuente: http://www.youtube.com/user/SecurityWeek

Entrevista a Barnaby Jack respondiendo a preguntas sobre cómo atacó el ATM.

Fuente: http://www.youtube.com/user/SCMagazineUS

Ahora "Infectan todos los cajeros automáticos de la ciudad":
"...los delincuentes infectaban directamente el cajero automático, y no solo uno, sino todos los de la ciudad rusa de Yakutsk, de 250.000 habitantes aproximadamente. Esta banda estaba bien organizada y cada componente de la misma conocía bien su función. Según informaron las autoridades rusas mientras uno de los componentes de la banda conseguía el acceso a los caeros automáticos, otro se encargaba de infectarlos mientras que el tercero se encargaba de recoger el dinero. También se identificó una cuarta persona que sería la que programó el código malicioso por encargo."
Fuente: http://blogs.protegerse.com/laboratorio

CURSO IDEA 8

2010-12-07T18:54:00.000-04:00

CURSO IDEA 8

Buenos Aires - Argentina

(Curso de 8 horas)

Objetivo: El participante aplicará los conceptos, componentes y estructura del software IDEA, así como la definición de sus funciones para poder aplicarlos en condiciones reales dentro de su organización.

Dirigido a: Contadores Públicos, Auditores de Sistemas, profesionales encargados de realizar actividades de control posterior, y otros profesionales que utilizan el análisis de datos para el desarrollo de su trabajo.

Tipo de curso: In Company

Es un curso de aplicación práctica de las funcionalidades del software.

Nivel: Introductorio - Intermedio

Precio y Duración:

Precio Consultar a

El precio incluye: Tutorial Interactivo, Texto, Presentaciones y Material adicional en formato digital.

- Curso 8 horas

Fechas disponibles: Del 20/12/2010 al 30/12/2010

CONTENIDO DEL CURSO

PLANIFICACIÓN DE LA DESCARGA DE DATOS

OBTENCIÓN DE DATOS

Definir la carpeta de trabajo
Importación de Datos a IDEA
Navegar a través de la Base de Datos

CRITERIOS DE BÚSQUEDA / EXTRACCIÓN

Editor de ecuaciones
Operadores y Funciones
Extracciones Top, Clave, Directa

RESUMIR DATOS

Sumarización
Estratificación Numérica y por Fecha
Antigüedad de Fechas
Tablas Pivot

ORDENAMIENTO Y DUPLICADOS

Índices: ordenamiento de registros
Detección de claves duplicadas
Detección de Omisiones

CAMPOS Y FUNCIONES AVANZADAS

Manejo de campos virtuales
Funciones condicionales
Funciones fecha/hora – conversiones

CRUCE DE DATOS

Totales de Control
Agregar, unir
Conector Visual
Campos de Acción
Comparar BD
Días Feriados y Vacaciones

ESTADÍSTICA Y MUESTREO

Estadísticas de Campos
Muestreo por Atributos
Selección de muestra: Aleatorio, Sistemático

LA LEY DE BENFORD Y DETECCIÓN DE FRAUDES

Aspectos Teóricos
Análisis Digital
Interpretación de Resultados

EXPORTACIÓN DATOS Y REPORTES

Exportar datos
Reportes
Gráficos
Impresión
Revisión del Historial

PRÁCTICAS DE APLICACIÓN:

Asientos de Diario
Logs de Auditoria
Transacciones de Caja
Tamaño y Selección de la Muestra

TEXTO del CURSO IDEA

2010-10-29T10:41:00.002-04:00

TEXTO CURSO IDEA

Cursos CAATTs:
Curso IDEA 8 Caseware
Curso ACL 8 (Audit Command Language)

VIDEO TUTORIAL IDEA 7.3

2010-10-29T10:40:00.002-04:00

1. Se establece la carpeta de trabajo y se importa el archivo.

Cursos CAATTs:
Curso IDEA 8 Caseware
Curso ACL 8 (Audit Command Language)

Tecnologías Antiforense

2010-10-06T09:24:00.001-04:00

DISI 2008: Tecnologías Antiforense

D. Fernando Fernández, Cuerpo Nacional de Policía. Tecnologías Antiforense Ponencia invitada al Tercer Día Internacional de la Seguridad de la Información, celebrada el 1 de diciembre de 2008 en la EUITT de la UPM y organizada por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.

Fuente: http://www.youtube.com/user/UPM

CÓMPUTO FORENSE

2010-10-05T09:17:00.004-04:00

Seguridad y Redes - Analisis forense: la CSI de la informática

Tambien conocido como análisis forense digital, su objetivo es explicar el estado actual de un aparato digital. Esto incluye computadoras, dispositivos de almacenamiento como discos duros y cd-roms, un documento electrónico (correo electrónico o una imagen en jpg) incluso una secuencia de paquetes moviéndose dentro de una red computacional.

Andrés Velásquez realiza la presentación, algunos aspectos aspectos interesantes del video son:

¿Qué es el cómputo forense?
08:33
Es la aplicación de técnicas científicas y analíticas a infraestructuras tecnologícas para poder identificar, preservar, analizar y presentar datos que sean válidos en procedimiento legal.

Etapas del Cómputo Forense
12:40
1. Identificación
2. Preservación
3. Análisis
4. Presentación

¿A qué se pude aplicar el cómputo forense?
14:15
Computadoras, PDAs, Cámaras digitales, Discos Duros, Memory Sticks, Impresoras, Celulares, .... y cualquier dispositivo que tenga "memoria".

¿Qué cable desconectar al identificar un servidor hackeado?
19:25
Al desconectar un cable se genera un daño, entonces se debe estar consciente hasta donde se puede generar el daño y por supuesto se debe documentar y elegir de acuerdo a las circunstancias el evento que genere menor daño.

¿Qué es el $MFT?
33:27
Si una máquina con Windows y sistema de archivos NTFS y uno borra archivos, el disco duro sigue creciendo.
Cada archivo que uno crea en una máquina crea a su vez una entrada en el archivo $MFT de 1024 Bytes con el nombre del archivo, fecha de creación y parte de la cabecera, todo archivo creado en la computadora queda en ese archivo, si se borra, se corrompe el sistema. Es el log (bitácora) que revisan los especialistas en cómputo forense.

Otra explicación de lo que es MFT: Detectando 'timestamp'

Fuente: http://www.youtube.com/user/campusparty

Libros Relacionados:

Computer Forensics & Privacy
By Michael Caloyannides
Hardcover / September 2001 / 1580532837

Windows Forensic Analysis Including DVD Toolkit
Harlan Carvey (Author), Dave Kleiman (Technical Editor)
Paperback

File System Forensic Analysis
By Brian Carrier
Paperback / March 2005 / 0321268172

Más libros: http://www.e-evidence.info/books.html

Cursos CAATTs Modalidad Virtual

2010-10-02T09:52:00.005-04:00

Los cursos que ofertamos tienen una carga horaria de 10 Horas

* Software Generalizado de Auditoria
Prácticas con software IDEA-ACL o software libre

* Muestreo para Auditoria y Control

* Auditoria Contínua

* Auditoria de Sistemas TI

Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.

Las ventajas que ofrecemos son:

* Capacitación sin necesidad de desplazarte de tu lugar de residencia.

* Se puede realizar desde cualquier parte del mundo.

* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.

* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.

* Fechas y Horarios Flexibles

Contacto:

Fuente: www.caatts.com.ar

MUESTREO ESTADÍSTICO PARA AUDITORIA Y CONTROL - Modalidad Virtual

2010-10-02T09:51:00.004-04:00

Contenido:
1. Introducción y Conceptos
2. Normas Relacionadas
3. NIA 530
4. Planes de Muestreo
- Aplicación práctica: Muestreo estadístico para Pruebas de cumplimiento
- Aplicación práctica: Muestreo estadístico para Pruebas Sustantivas
5. Técnicas de Selección de Muestras
- Aplicación práctica: Selección Aleataria
- Aplicación práctica: Selección Periódica
6. Aplicación práctica

Detalles del Curso:

Dirigido a: Auditores Financieros, Auditores de Sistemas, y profesionales encargados de realizar actividades de control posterior.

Tipo de curso: CAPACITACIÓN PERSONALIZADA MODALIDAD VIRTUAL

Nivel: Introductorio - Intermedio

PRECIO: Consultar via email
Los pagos se recepcionan via Western Union y la comisión corre a cargo del participante.

Duración: 8 horas reloj
Los horarios se establecen previo acuerdo y disponibilidad.

IMPORTANTE: EL CURSO INCLUYE LA DOTACIÓN DE UN PROGRAMA UTILITARIO PARA MUESTREO Y DOCUMENTACIÓN DEL TRABAJO REALIZADO.

Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.

Las ventajas que ofrecemos son:

* Capacitación sin necesidad de desplazarte de tu lugar de residencia.

* Se puede realizar desde cualquier parte del mundo.

* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.

* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.

* Fechas y Horarios Flexibles

Contacto:

Fuente: www.caatts.com.ar

OTROS CURSOS:
CURSOS CAATTs MODALIDAD VIRTUAL

Fuente: www.caatts.com.ar

History of Hacking

2010-10-02T09:50:00.001-04:00

Serie de videos sobre hackers del blog de StreetLegendHackers, desde los primeros hasta uno de los más actuales: STEVE MOZNIAK (Co-Founder Apple Computers); JOHN DRAPER (a.k.a. Captain Crunch); DENNY TERESI (Phone Phreak); MIKE GORMAN (Phone Phreak); LEE FELSENSTEIN (Hacker); JIM WARREN (Hacker); KEVIN MITNICK (Hacker Wanted by FBI 1992-95)

1/5

2/5

3/5

4/5

5/5

Ciberguerrilla

2010-09-17T12:31:00.001-04:00

"Este es un docuemental en el que se nos enseña acerca de las futuras guerras de la informática, también enseña como prevenirnos sobre viruses, troyanos, etc., y a concienciar sobre el peligro de la internet, también habla sobre los hackers, los terroristas informáticos, sobre las primeras computadoras, y sus diferentes tipos, software, personas relacionadas con la política, todo aspecto relacionado con la informática."

Fuente: http://www.youtube.com/user/MlK6000

1/6

2/6

3/6

4/6

5/6

6/6

Echelon: The Most Secret Spy System

2010-09-16T17:18:00.003-04:00

Echelon es un sistema mundial de interceptación de comunicaciones privadas y económicas en el que participan los Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda en el marco del Acuerdo UKUSA. El sistema desarrollado durante la guerra fría, no se utiliza para interceptar comunicaciones militares, sino privadas y económicas (gobiernos, organizaciones y empresas en prácticamente todos los países). El sistema Echelon permite interceptar comunicaciones de teléfono, radio o de Internet.

Propiedades del Sistema Echelon
- Todo mensaje enviado por teléfono, telefax, Internet o correo electrónico, sea cual sea su remitente, puede captarse mediante estaciones de interceptación de comunicaciones por satélite y satélites espía, lo que permite conocer su contenido.
- funciona a escala mundial gracias a la cooperación de distintos Estados (el Reino Unido, los Estados Unidos, el Canadá, Australia y Nueva Zelanda), lo que significa un valor añadido en comparación con los sistemas nacionales.

Los satélites de Echelon no son los únicos elementos de este sistema de espionaje, además de ellos, podemos encontrarnos con sistemas “capturadores“ de señales de radio, Escaneres y sistemas informáticos.

Echelon vigila a todo el mundo, desde Diana, Princesa de Gales hasta los mensajes que el Papa mandó a la Madre Teresa de Calcuta, pasando por ciudadanos de a pie.

El sistema [Echelon] fue descubierto por primera vez en la década de los 70 por un grupo de investigadores del Reino Unido.
Desde el 3 de julio de 2001 Echelon existe de forma oficial. Esa fue la fecha en la que la comisión de Investigación del Parlamento Europeo despejó cualquier posible duda sobre su existencia.

El Parlamento Europeo en su PROYECTO DE INFORME sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas, promueve así la defensa contra Echelon y otros sistemas de espionaje con una técnica clara y bien conocida: el cifrado (Cabe mencionar a Phil Zimmerman y Pretty Good Privacy [PGP], así como herramientas similares de cifrado personal como GnuPG, S/MIME...).

En el terreno práctico, los Estados UKUSA sólo tienen acceso a una parte muy reducida de la comunicación por Internet a través de cable, y por comunicación por ondas.

Cada Estado miembro de ECHELON dispone de un ordenador "Diccionario" que analiza por palabras clave las comunicaciones captadas, tiene capacidad para interceptar toda la información transmitida vía satélite (aproximadamente un 1% de todas las llamadas internacionales), siempre que se realice una búsqueda mediante palabras clave, y que sus capacidades en lo relativo a la descodificación son muy superiores a lo indicado por parte de los Estados Unidos.

Dentro de las nuevas formas de control, podemos mencionar a Enfopol (Europa) y Carnivore.

Resumen del “Artículo publicado en Novática, septiembre 2001”. Juan Vte. Oltra Gutiérrez – Universidad Politécnica de Valencia. jvoltra@omp.upv.es

Los siguientes son una serie de videos subidos por:
http://www.youtube.com/user/minimumrage

1/5

2/5

3/5

4/5

5/5

El siguiente enlace nos dirige a un documento del parlamento europeo del año 2004, tiene una extensión de 195 páginas y trata "sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas (sistema de interceptación ECHELON) (2001/2098(INI))"
rapport_echelon_es.pdf

PELIGROS CON LAS TARJETAS DE CREDITO

2010-09-16T13:23:00.002-04:00

ROBO DE DATOS DE TARJETAS DE CREDITO/DEBITO

El siguiente video es una producción de The eLearning Solutions, video educativo que nos enseña 3 métodos de robo de datos de tarjetas de débito/crédito en los cajeros automáticos y recomendaciones de cómo podemos prevenirlos.

* Primer Método: Copia de datos mediante lector falso de tarjetas al ingresar al recinto del cajero y camara escondida

* Segundo Método: Réplica de Cajeros mediante un dispositivo colocado encima del cajero en el cual el usuario ingresa los datos verdaderos

* Tercer Método: Lazo Libanés que consiste en una funda que se mete en la ranura del cajero.

ROBO DE TARJETAS DE CREDITO

Una producción de The REal Hustle una demostración REAL de como pueden robarnos nuestra tarjeta de crédito utilizando el método del Lazo Libanés, todo esto sin que tengamos la más mínima sospecha.

CLONACION DE TARJETAS DE CREDITO
Una producción de The Real Hustle, una demostración REAL de Clonación de Tarjetas de Crédito, esto le puede pasar a cualquiera, en un restaurante y con un(a) meser@. "La regla general es: si algo se fabrica, se puede copiar".

Jornadas Argentinas de Informática - JAIIOs

2010-08-26T17:12:00.004-04:00

Desde 1961 se realizan las JAIIOs, Jornadas Argentinas de Informática, organizada por la SADIO, donde en sesiones paralelas se presentan trabajos que se publican en Anales, se discuten resultados de investigaciones y actividades sobre diferentes topicos, desarrollandose también conferencias y reuniones con la asistencia de profesionales argentinos y extranjeros.
Las JAIIOs se organizan como un conjunto de simposios separados, cada uno dedicado a un tema específico, de uno o dos días de duración, de tal forma de permitir la interacción de sus participantes.

Las 39JAIIO son co-organizadas por SADIO, la UNLP y la UADE y tendrán lugar del 30 de Agosto al 3 de Septiembre de 2010, en la UADE, Lima 717, Ciudad Autónoma de Buenos Aires.

Los simposios a realizarse son:

ASAI 2010 - Simposio Argentino de Inteligencia Artificial
ASSE 2010 - Simposio Argentino de Ingeniería de Software
AST 2010 - Simposio Argentino de Tecnología
CAI 2010 - Congreso Argentino de Agroinformática
CAIS 2010 - Congreso Argentino de Informática y Salud
HPC 2010 - High-Performance Computing
JII 2010 - Jornadas de Informática Industrial
JSL 2009 - Jornadas Argentinas de Software Libre
JUI 2010 - Jornadas de Vinculación Universidad - Industria
SID 2010 - Simposio Argentino de Informática y Derecho
SIE 2010 - Simposio de Informática en el Estado
SSI 2010 - Simposio sobre la Sociedad de la Información
WSegI 2010 - Workshop de Seguridad Informática
EST 2010 - Concurso de Trabajos Estudiantiles
Sesión Informativa & Mesa Redonda PRO-IDEAL

Fuente: www.39jaiio.org.ar

ekoparty Security Conference - 6° edición

2010-08-24T17:42:00.004-04:00

Que la sigan ROOTEANDO

ekoparty - Electronic Knock Out Party - Security Conference, es el evento anual de seguridad informática que, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.

El evento en cuestión se realiza en Buenos Aires - Argentina.

Fechas: 16 y 17 de Septiembre de 2010

CONFERENCIAS
Wargames
Lockpick Village
Wardriving
Aftercon Party
After Hour

TRAININGS
Opensource intelligence gathering for pentesting
Using Network Forensics for Incident Response and Malware Analysis
Modern Malware Reverse Engineering
Breaking Windows
Introduction to cracking and anti-cracking
Lockpicking & Physical Security - from novice to master in two days
SAP Security In-Depth
Web Testing & Exploiting Workshop
Cracking WIFI, for real
Hacking y Seguridad en VOIP
Python for hackers

Fuente: www.ekoparty.org

Continuous Auditing Tool (CAT)

2010-08-10T16:32:00.001-04:00

Continuous Auditing Tool (CAT)
Herramienta de Auditoria Continua

La Auditoría Contínua "es un método usado para ejecutar automáticamente controles y evaluación de riesgos con mayor frecuencia, y la tecnología es clave para el éxito de este enfoque." (David Coderre, Global Technology Audit Guide - GTAG 3).

Coninuous Auditing Tool (CAT) se diseñó como una herramienta tecnológica para implementar el enfoque de "Auditoría Contínua".

CAT permite ejecutar más de 50 procedimientos de auditoría predefinidos agrupados en diferentes módulos entre los cuales se tiene: Libro Diario, Inventario, Cuentas por Pagar/Cobrar, Logs de Seguridad.

Con CAT se podrá implementar un enfoque de "Auditoría Contínua" en el Departamento de Auditoría realizando las evaluaciones casi en tiempo real mediante la ejecución automática de procedimientos y con mayor frecuencia entre una Auditoría y Otra.

CAT es una de las tecnologías necesarias para acceder, manipular y analizar los datos contenidos en sistemas de información diferentes.

Lo único que tendrá que hacer con el software es importar los datos sujetos a análisis y todos los procedimientos de auditoría se realizan en forma automática, optimizando el tiempo del auditor para dedicarlo al análisis de los resultados, ya no tendrá que dedicarse a la tediosa tarea de diseñar sus pruebas.

El software garantiza la integridad de los datos importados ya que estos son de solo lectura.

Los resultados se pueden exportar a formatos como MS Excel.

Entre las funciones que aplicará cada procedimiento de auditoría se tienen:
- Análisis de Frecuencia Digital
- Pruebas redondeo de números
- Análisis de Duplicados
- Identificación de Faltantes
- Identificación de Registros Fantasmas
- Detección de Outliers
- Detección de Patrones Sospechosos
- Localizar Inconsistencias en datos
- Análisis de Registros por Usuario
- Identificación de registros con fechas/horas inusuales
- Localizar Registros con fechas aproximadas
- Cálculo de Antiguedad de fechas
- Cálculo de Índices
- Identificar Tendencias de Performance y Eficiencia
- Recálculo de fórmulas
- Cálculo del Tamaño de la Muestra
- Proyección de Resultados muestrales a la Población
- Selección Aleatoria de muestras

Nota1: Se podrá realizar la "customización" del software y añadirle nuevos módulos o nuevos procedimientos de auditoría de acuerdo a los requerimientos del Auditor.

Nota2: Se realiza la implementación del software CAT para los Programas Generalizados de Auditoria (IDEA, ACL) en los cuales se implementa los procedimientos de auditoría del software CAT mediante Scripts específicos para cada herramienta.

Fuente: www.caatts.com.ar

Barra de Herramientas Excel 2003-2007

2010-08-04T11:52:00.003-04:00

Una de las características de MS Excel 2007 es el cambio de las Barras y Menús de Herramientas por la Cinta de Opciones con la dificultad que todos los cambios generan, en este caso los usuarios de Excel de las versiones 97 a 2003 estábamos acostumbrados a la barra de menús, la barra de herramientas estándar y a la barra de herramientas formato, con el cambio se nos hace difícil encontrar algunos comandos por ejemplo Formulario, el Asistente para Tablas dinámicas y la nueva Cinta de Opciones es difícil de configurarla a pesar de que se pueden agregar botones a la QAT (Quick Access Toolbar).
Para solucionar estos inconvenientes, se pone a disposición el archivo “BarraHerramientas2003-2007.xls”

DESCARGAR ARCHIVO
el cual deberá descargarlo y luego abrirlo con MS Excel 2007, una vez abierto se habilitará la ficha Complementos con 3 barras: la Barra de Menús 2003, la Barra de Herramientas Estándar 2003 y la Barra de Herramientas Formato 2003

Una vez abierto el archivo, y teniendo las barras habilitadas, podrá cerrar Excel y cuando abra la siguiente vez el Excel 2007 tendrá en la ficha Complementos las opciones en las que encontrábamos todo sin ningún problema, así podrá usar el Excel 2007 como si estuviera trabajando con una versión 2003 pero con todas las ventajas que trae el Excel 2007.