martes, 30 de junio de 2009
EL TERMINAL DE BOLSILLO DE DATALOGIC MEMOR AMPLÍA SUS HORIZONTES
La nueva generación del terminal de bolsillo ofrece nuevas características y se erige como paradigma de la industria de las soluciones móviles en el mundo retail.
El terminal de Datalogic Mobile incorpora nuevas características de vanguardia y está especialmente dirigido a usuarios que prefieren un dispositivo pequeño. El nuevo dispositivo incluye sistema operativo Windows Mobile 6.1, un escáner de captura de imágenes, teléfono móvil integrado, memoria ampliada y procesador con mayor velocidad, convirtiéndolo en la solución ideal para entornos retail y automatización de las fuerzas de campo. Su capacidad de captura de imágenes permite un método de captura de información relacionada con la trazabilidad de productos frescos.
La tecnología de escaneo Datalogic Memor posee la capacidad de leer códigos GS1 DataBar, el nuevo código de tamaño reducido. Así, con este terminal portátil las tiendas cuentan con la mayor velocidad posible y fiabilidad para llevar a cabo la comunicación en inventarios y actividades de conteo en el menor tiempo posible. Su certificación CCX v4, de Cisco, garantiza la seguridad de estas transacciones.
Equipado con el Wavelink Communicator, la capacidad talk voice permite al gestor estar más cerca del personal de la tienda para solucionar de manera inmediata los problemas y cuestiones de última hora. De igual manera, el terminal Datalogic Memor ofrece una opción para ser utilizado en aplicaciones de automatización de fuerzas de campo combinando el sistema operativo Windows Mobile 6.1, escáner para capturar imágenes y teléfono móvil integrado. Estas tecnologías conforman una herramienta fácil de utilizar para las actividades de mensajería, servicios y ventas, permitiendo la comunicación con la oficina.
14 detenidos por robar datos bancarios en Internet
Uno de los detenidos se hacía pasar por una entidad financiera para obtener las claves de usuarios de banca en línea
En dos operaciones distintas, la Policía Nacional ha detenido a 14 sospechosos de perpetrar fraudes en Internet -denominados phishing- mediante el empleo de datos bancarios y contraseñas de usuarios del sistema bancario. Como consecuencia del primer operativo policial ha caído un joven que se dedicaba a capturar claves mediante el envío masivo de correos electrónicos en los que simulaba ser una entidad bancaria. Una segunda actuación ha desarticulado al grupo que actuaba como intermediario a cambio de recibir transferencias en sus cuentas y enviar dinero a Ucrania, Moldavia o la República Checa.
La primera investigación comenzó a finales de 2007 y descubrió que un joven de Navarra enviaba correos desde el dominio de un supuesto banco español. El cliente era redirigido a través del hipervínculo a una página web fraudulenta que contaba con un formulario con los logos y signos distintivos de la entidad bancaria y en el que se solicitaban las claves de acceso. El autor de la maniobra recibía esta información y la utilizaba para adquirir productos y servicios en Internet. Para enmascarar el ordenador desde el que enviaba los correos spam, el detenido atacó un servidor alojado en España y logró el acceso a la Red desde una dirección IP gestionada por ese servidor.
La segunda investigación de la Brigada de Investigación Tecnológica (BIT) ha permitido detener a 13 supuestos intermediarios acusados de practicar transferencias electrónicas fraudulentas realizadas con datos obtenidos mediante phishing. Los arrestados colaboraban a cambio de un porcentaje del dinero que era ingresado en sus cuentas y después remitido mediante empresas de envío de dinero a países como Ucrania, Moldavia o la República Checa. Para captar a los intermediarios o 'mulas', los responsables simulaban actuar en nombre de empresas con diferente objeto social, que se dedicaban a la compraventa de maderas y a actividades financieras variadas.
La Policía ha recomendado a la población adoptar una serie de medidas para evitar ser víctimas de phishing. Entre ellas, recordar que los bancos nunca piden por correo electrónico a sus clientes que introduzcan sus contraseñas. Para acceder a los servicios de banca electrónica se debe teclear siempre la dirección directamente en el navegador, sin utilizar enlaces. Además, se aconseja contar con un antivirus actualizado para prevenir el ataque de los 'ciberdelincuentes'. Por último, la Policía ha advertido que colaborar con transferencias al extranjero a cambio de una comisión puede constituir un ilícito.
Fuente: El País
lunes, 22 de junio de 2009
La banda ancha móvil se consolida
Según datos de la GSMA (GSM Association), existen 245 redes móviles HSPA/HSPA+ operativas en el mundo -otras 65 se encuentran en fase de planificación o en fase piloto- y más de 125 millones de líneas activas -con una media de unos 4 millones de altas al mes- en 107 países. Esto pone de manifiesto el éxito de la banda ancha móvil. El catálogo de terminales es muy amplio, con más de 1.380 dispositivos preparados para trabajar con estas tecnologías, que integran HSDPA (High Speed Downlink Packet Access) -para la bajada de información- y HSUPA (High Speed Uplink Packet Access) -para la subida de información-.
HSPA (High Speed Packet Access) permite acceder a Internet de alta velocidad con conexión permanente en cualquier momento y lugar con un portátil -empleando un módem HSDPA externo o integrado- o el propio teléfono HSDPA conectado mediante WiFi o Bluetooth. También permite emplear el móvl para navegar, leer el correo electrónico con anexos, descargar música y vídeos online, ver televisión digital, etc. Esta tecnología está disponible desde hace años, aunque ha ido progresivamente mejorando su cobertura. Ahora es cuando se está produciendo su verdadera aceptación comercial entre los usuarios, gracias a la reducción de precio de terminales y tarifas planas.
La tecnología HSPA trabaja sobre redes 3G (UMTS-WCDMA) elevando considerablemente las tasas básicas de 384 Kbps que ofrecían las redes móviles de tercera generación. En el desarrollo de la red, se utilizan las mismas ubicaciones, infraestructuras, antenas equipos y frecuencias de la red UMTS, es decir, en la mayoría de los casos sólo son necesarios cambios software.
El sistema permite actualmente velocidades de hasta 42 Mbps (versión 8 de HSPA+). después de haber pasado por dos pasos transitorios donde ofrecía hasta 1,8 Mbps, 3,6 Mbps, 7 Mbps, 14 Mbps y 28 Mbps. Ericsson ya ha demostrado velocidades de hasta 56 Mbps, que estarán disponibles comercialmente el próximo año. Los sistemas están desplegados sobre varias bandas de frecuencia: 850, 900, 1.700, 1.800, 1.900 y 2.100 MHz. La reutilización de las bandas GSM de baja frecuencia, permite ofrecer HSDPA de forma más eficiente que con las frecuencias altas, pues son necesarias menos estaciones base.
La comercialización de módems HSPA, en bastantes casos incorporados en ordenadores portátiles y terminales móviles, así como el incremento de las economías de escala, aumentarán considerablemente la adopción de la banda ancha móvil durante los próximos años.
Fuente: e-ciencia
Gobierno y bancos crean el dominio "banco.ar" para evitar estafas virtuales
Se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” y poner un obstáculo a los delincuentes que usan el "phishing".
El Gobierno nacional y los bancos que operan en el país comenzaron a trabajar esta semana en la creación de un dominio de Internet específico para las actividades bancarias en la Argentina, con el objetivo de reducir los casos de estafas virtuales, conocidas en inglés como "phishing".
Según explicó a iProfesional.com una fuente que participa en las negociaciones entre la Cancillería, el área del Poder Ejecutivo encargado de administrar los dominios en la red, y los bancos, el nuevo registro se llamaría "banco.ar" (todavía no disponible).
La idea es replicar la experiencia que comenzó hace casi un año con la actividad turística, con el dominio ".tur.ar". En ese caso, se trató de una iniciativa de la Secretaría de Turismo y de la Cancillería.
A ese registro pueden acceder todas las agencias de viajes habilitadas por el organismo de turismo. El objetivo en ese caso fue proteger los derechos de los turistas, que podrán estar seguros que están contratando por Internet a una agencia habilitada si la página web pertenece al dominio .tur.ar.
Con respecto a los bancos, se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” por Internet, y en especial poner un obstáculo a los delincuentes que arman y difunden estafas virtuales.
El dominio .tur.ar es administrado por NIC Argentina, organismo dependiente del Ministerio de Relaciones Exteriores y Culto. Esta misma repartición participa en las negociaciones con los bancos. La fuente consultada no precisó cuándo estará vigente el “banco.ar”, aunque resaltó la buena predisposición de todas las partes involucradas en las conversaciones.
Ofensiva delictiva
El "phishing" es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando "spam" e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
El usuario recibe así correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.
Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una compañía existente, con el fin de confundir aún más al receptor del mensaje.
Utilizar el nombre de un empleado real como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.
Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al usuario hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar a los reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.
Factor miedo. "La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad".
Un caso local
Esta semana, el Banco Galicia fue víctima de esta práctica. Clientes de esta entidad recibieron un mail con un dominio similar al del banco y su logo con el siguiente texto:
"Estamos realizando tareas de actualizaciones en nuestras bases de datos, en todas las actualizaciones de software de nuestras bases de datos necesitamos su colaboración de reingresar a su cuenta home banking". Luego se informaba de una dirección en la Web donde el usuario debía cargar sus datos personales (nombre de sesión y contraseña).
El mail refleja un caso de esta práctica delictiva, que no cesa de aumentar en los últimos años. Según el último reporte de la empresa Symantec, difundido en abril, las herramientas de esta práctica ilegal continúan profesionalizándose. Incluso, los sitios de phishing en español ocupan el quinto puesto a nivel mundial.
Los delincuentes aprovechan la expansión de la red, conformada por miles de millones de usuarios, donde los blancos nunca se agotan. Sin embargo, los fraudes de phishing se han vuelto más sofisticados y los criminales han desarrollado "una amenaza a la medida de cada usuario": el fraude bancario es el delito informático profesional más habitual. Los criminales atacan al sistema en su eslabón más débil: el cliente o, cada vez más, la computadora personal del mismo.
El número de credenciales, perfiles o informaciones personales que puede robar un criminal depende de la cantidad de tiempo en que permanece activo un sitio de captura. A medida que los bancos se volvieron igualmente eficaces que ellos para desmantelar los sitios de captura, los criminales han desarrollado técnicas para frustrar estos servicios de desmantelamiento, cambiando rápidamente entre cientos de sitios de captura, aplicando una técnica conocida como "fast-flux" (flujo rápido).
"En realidad, los criminales no desean obtener números de tarjetas de crédito; quieren dinero. Actualmente, transformar las credenciales en dinero efectivo es la parte del proceso que más trabajo conlleva y la más riesgosa. Los números de tarjetas de crédito robados generalmente se intercambian en el mundo de la Internet por un dólar o menos, la pérdida promedio por tarjeta es más de cien veces mayor", explicó Phillip Hallam-Baker, científico Jefe de VeriSign, empresa encargada de administrar dominios en Internet (ver más en nota relacionada).
Daniel Monastersky, abogado especialista en nuevas tecnologías, apuntó por su parte a iProfesional.com que "si bien no se conocen datos de personas que hayan sido víctimas de este delito, esta modalidad ha crecido enormemente en nuestro país en los últimos meses".
El letrado, CEO del portal Identidad Robada y socio del estudio de abogados Techlaw, recordó que "al no haber norma que obligue a denunciar estos hechos, los datos son parciales. Se estima que durante el año 2006 las entidades financieras de nuestro país perdieron 500 millones de pesos debido al robo de identidad".
Prevenciones
Monastersky, socio de Hispasec Sistemas Argentina, representantes en la Argentina de una empresa española de seguridad informática, advirtió que “el riesgo que se corre al no tener políticas preventivas sobre los fraudes electrónicos es la pérdida de confianza por parte de los clientes. El consumidor exige que su institución bancaria difunda y eduque sobre estos tópicos. El desconocimiento, lo único que hará es que los canales electrónicos sean utilizados con mayor cautela y, en muchos casos, pasen a mejor vida”.
Del último informe de la consultora Gartner se desprende que hubo un aumento del 40% en el número de afectados por el phishing en los Estados Unidos.
El mismo documento detalla que los damnificados por esta modalidad sufren pérdidas cercanas a los 350 dólares, en promedio. Un 56 % de esos montos es recuperado por los consumidores y el 44 % restante es absorbido por los sitios de Internet y los bancos.
Según el experto en seguridad Dancho Danchev, el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.
"Existe una normativa que impone a los bancos contar con mecanismos de seguridad informática que garanticen la confiabilidad de la operatoria", explicó Monastersky.
Fuente: iProfesional
miércoles, 17 de junio de 2009
Premio Príncipe de Asturias para el inventor del teléfono móvil
La Fundación Príncipe de Asturias ha concedido su premio anual de investigación científica y técnica al ingeniero norteamericano Martin Cooper, creador del primer teléfono móvil. Cooper, nacido en Chicago en 1928, trabajaba en Motorola en abril de 1973, cuando realizó la primera llamada de móvil de la historia desde una calle de Nueva York. Seguir leyendo el arículo
El jurado ha concedido el premio a Cooper a propuesta de Vinton Cerf, galardonado en el año 2002. Cooper comparte el premio Príncipe de Asturias con Ray Tomlinson, inventor del correo electrónico en 1971
El jurado ha concedido el premio a Cooper a propuesta de Vinton Cerf, galardonado en el año 2002. Cooper comparte el premio Príncipe de Asturias con Ray Tomlinson, inventor del correo electrónico en 1971
Apple, nuevo fabricante de armamento
Los espías del gobierno de EE.UU. fueron muy puntillosos con el uso de un teléfono móvil de consumo por parte de Barack Obama al acceder a la presidencia, pero sus colegas del ejército no lo son tanto: los militares norteamericanos están equipando con iPhones e iPod Touch a los soldados destacados en los frentes de Irak, Afganistán y Sudán, que los utilizan para calcular trayectorias de tiro, desactivar explosivos y comunicarse con la población local. La tradicional inclinación de los militares hacia el uso de equipamiento específico, más robusto pero también mucho más caro, ha chocado con las directrices de privatización de la anterior administración Bush, que optó por subcontratar a empresas privadas cada vez más servicios públicos, desde la enseñanza y la sanidad hasta, desde Kosovo, el mismo ejército. Cuando hay empresas de por medio, todo cuenta para mejorar el margen de beneficio, y ya no se hacen ascos al uso de dispositivos de consumo, más baratos y que además ya son familiares para los soldados que han de usarlos, de modo que casi no hay que invertir en formación. Seguir leyendo el arículo
Así ha ocurrido con los terminales táctiles de Apple: tanto el iPhone como, sobre todo, el iPod Touch, están siendo utilizados por el ejército de los EE.UU. para labores antes reservadas a equipos desarrollados a medida. Los militares han comprobado que, protegidos con una funda adecuada, un iPhone puede soportar condiciones de uso bastante duras, y un mando militar norteamericano en Bagdad ha asegurado a Newskweek que todavía no les consta que hayan sido hackeados.
Entre los miles de aplicaciones de la App Store, hace meses que se puede descargar BulletFight, un programa de cálculo balístico avanzado que sirve para ajustar la trayectoria de los disparos según el arma y la munición utilizados, teniendo en cuenta condiciones ambientales como la temperatura y el viento. BulletFight es empleado por los tiradores del ejército americano en Iraq, Afganistán y Sudán, de lo que presume con orgullo en su web el fabricante Knight Arm, que también dispone de monturas para instalar el iPod en el rifle, basadas en las fundas de la marca OtterBox.
Otro de los usos militares de los terminales móviles de Apple le resultará familiar a cualquiera que viaje a menudo: los soldados recurren al iPhone y al iPod Touch para consultar el significado de símbolos, palabras, gestos y expresiones locales que les permiten conocer mejor lo que sucede a su alrededor, como el Vcommunicator de Vcom3D.
Por su parte, la firma NextWave Systems, contratista del Departamento de Defensa trabaja ya en un sistema para identificar personas y lugares a partir de una foto tomada con la cámara del terminal, que suena muy parecido al Point and Find presentado recientemente por Nokia
Otros contratistas militares están desarrollando aplicaciones para iPod Touch que sirvan para controlar a distancia robots desactivadores de explosivos, mediante el detector de movimiento que incorpora el terminal de Apple.
jueves, 11 de junio de 2009
LAS TELECOMUNICACIONES AVANZAN
Hay Espacio para invertir en sector comunicaciones.
Las telecomunicaciones siempre han sido un sector muy interesante para los
inversionistas, tal como lo confirman las cifras proporcionadas por la Agencia
de Promoción de la Inversión Privada (Proinversión).
Fuente: Diario “El Peruano”
Operadores Móviles invertirán US$ 75 millones.
Una inversión de 75 millones de dólares realizarán los tres operadores de
telefonía móvil para implementar la portabilidad numérica a partir de enero de
2010 y que permitirá a los usuarios migrar a otra empresa manteniendo el
mismo número telefónico, informó América Móvil (Claro).
Fuente: Diario “El Peruano”
Telefónica extiende alcance decelulares.
Telefónica del Perú ha firmado un contrato por tres años con la empresa SES
Americom-New Skies para la adquisición de un dispositivo de telecomunicación
satelital que le permitirá extender el alcance de su red de telefonía celular a
áreas remotas del Perú.
Fuente: Diario “El Comercio”.
Celulares recibirán y enviarán e-mails por el costo de un mensaje de texto.
Ahora desde un celular se podrá enviar un e-mail por el costo de un mensaje
de texto. USIL Technologies, área de investigación informática de la
Universidad San Ignacio de Loyola (USIL), ha desarrollado un programa para
que los usuarios de celulares que tengan cuentas de correo electrónico puedan
leerlos y responderlos como un mensaje de texto.
Fuente: Diario “El Comercio”.
lunes, 8 de junio de 2009
Gestión de Identidad en la Era Digital (2da Jornada)
Es la primera actividad de la serie prevista para el año 2009 por CXO Community. Contó con la participación de más de 140 profesionales especializados en tecnología y en seguridad empresarial.
Buenos Aires, 12 de mayo de 2009 - Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo de la Universidad del CEMA, se realizó la II Jornada de Gestión de la Identidad en la Era Digital.
Como primer encuentro del 2009 se inició la serie temática especializada en Seguridad de la Información, generando nuevos cambios de paradigmas frente a las innovaciones planteadas a las redes sociales. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad: aspectos legales de la privacidad en las redes sociales, plataformas Web 2.0 en los ambientes corporativos, la gestión de los usuarios sensitivos, enmascaramiento de la información, endpoint security, capacidades actuales sobre cómo obtener información de las personas en Internet, la ley de protección de datos personales, y el futuro hacia la Web 3.0 y 4.0
El encuentro fue auspiciado por las empresas Global Crossing, Intel, Lightech, Penta Security Solutions e Identidad Robada.
En la sede de la Universidad del CEMA, Av. Córdoba 374 Capital Federal, se realizó la Segunda Jornada de Gestión de la Identidad en la Era Digital. Más de 140 asistentes congregados en el Auditorio Principal, en esta jornada de día completo, pudieron apreciar las ponencias de destacados referentes del mercado de la Seguridad de la Información y Derecho Informático.
Inicialmente Juan Manuel Calvo, profesor de la Carrera de Ingeniería en Sistemas del UCEMA, brindó sus palabras de bienvenida al auditorio presente.
La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando la temática de las “Implicancias legales del uso de las redes sociales”.
El inicio de la exposición se basó en estadísticas y el crecimiento de las redes y los hábitos de los cibernautas usando herramientas Web 2.0. El conocimiento de estas herramientas y la manera de cómo utilizar este tipo de comunicación actualmente es solicitado por empresas, donde ya es considerada como un ítem a evaluar dentro el departamento de recursos humanos. ¿Qué herramientas se encuentran disponibles para la obtención de la información que las personas dejan en Internet? En este sentido se debatieron las distintas acciones que las empresas realizan en virtud de controlar a los empleados por el uso indebido de las Web 2.0. ¿Qué riesgos legales y no legales genera el control de los empleados para la organización? En este tópico se desarrollaron casos internacionales puntuales y problemáticos que presentó discusión entre los presentes.
Como conclusión Daniel resaltó: “La inclusión de plataformas de la Web 2.0 en la empresa también debe ser analizada jurídicamente, haciendo hincapié en las fortalezas y debilidades que eso implica. Habrá un mayor control del empleado, pérdida de privacidad y mayor posibilidad de realizar el tracking de su actividad. El consentimiento expreso del trabajador será necesario para poder realizar un monitoreo de su perfil. La empresa tendrá más herramientas e información para conocer a su empleado, quien será el único responsable de crear su identidad digital y de mantener la buena reputación online.”
Sobre la línea investigativa que ofrecen los servicios de información de Internet y las facilidades del mundo de las redes sociales, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “Puzzle Hacking - The Human Factor".
En un ataque dirigido, el primer paso que los atacantes deben dar, es obtener la mejor información de su objetivo. La habilidad de realizarlo de manera pasiva es lo que lo hará permanecer en el anonimato y ser mas efectivo. Los reconocimientos pasivos comprende la búsqueda de toda la información relacionada con el objetivo y con el personal del objetivo, de manera de no interactuar con los mismos. Entre las modalidades mas conocidas existen están: los espías, agentes secretos, análisis de comunicaciones, señales, inteligencia fotográfica o satelital, entre otras. Pero la mas utilizada para encontrar, seleccionar y adquirir información por fuentes públicas son las relacionadas con OSINT (Open Source Intelligence). Estas brindan un beneficio y valor de la información del 80% con un 5% de costo y esfuerzo, frente a las otras herramientas.
Google, las herramientas de búsquedas y la Web 2.0 conforman el OSINT 2.0: que son repositorios de información relacionada con la administración de identidad más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas. ¿Conocemos que información referente a nuestra organización está disponible de manera pública? En un mundo Web 2.0 ¿Sabemos cuanta de esta información es aparentemente inútil por si misma pero muy útil si se la relaciona con otra información pública? ¿Estamos listos para enfrentarnos a una manipulación más eficiente de datos en al inminente Web 3.0?
Ezequiel concluye con una frase de Albert Einstein: “Todos somos ignorantes, pero no todos ignoramos la mismas cosas”.
El Lic. Pablo Huerta (Socio Fundador) y el Ing. Agustín Zorgno (Consultor de Gestión del Riesgo y Seguridad IT) en Penta Security Solutions (www.pentass.com), desarrollaron de manera teórica-práctica la presentación titulada “Usuarios sensitivos: Problemática y Gestión”.
Los usuarios sensitivos son usuarios con perfiles críticos y de máximos privilegios en los sistemas, aplicaciones e infraestructura tecnológica. Las actividades que con ellos se realizan deben ser controladas y monitoreadas, en base a que su mal uso puede afectar a la continuidad del negocio de la empresa. Las complejidades de los sistemas actuales, las cantidades de plataformas y aplicativos que hoy utilizan las empresas implican que exista al menos uno de estos usuarios privilegiados por cada sistema, lo cual incrementa considerablemente su administración. El alcance del problema abarca a quienes utilizan estas cuentas, quienes controlan esas cuentas, y donde se conservan las credenciales de autenticación. En base a la problemática planteada se efectuó una presentación práctica del sistema Pitbull KeyHolder en referencia a la administración de este tipo de usuarios y contraseñas.
El Lic. Pablo Huerta resumen concluyendo: …“Cuando hablamos de IDENTIDAD, no podemos olvidar que hablamos de un conjunto de rasgos propios de un individuo que los caracterizan frente a los demás. Llevar esta definición en la era digital conlleva a diferentes aspectos a tener en cuenta, como por ejemplo que: A) menos del 50% de la población argentina tiene acceso a Internet; B) el desarrollo de aspectos legales esta en sus primeros pasos (como son La Ley de Protección de Datos Personales y La ley de Delitos Informáticos); C) la conciencia en temas de seguridad y privacidad, necesita de un periodo de madurez; D) la explosión en el uso de redes sociales comienza a mostrar aspectos negativos no contemplados por los usuarios de estos sitios.
Estos y otros aspectos, hacen tener en cuenta desde el ámbito empresarial la necesidad de preservar la "identidad digital" de sus miembros para evitar situaciones no deseadas y permitir continuar con el crecimiento de la tecnología de la información. Es por ello, la importancia en la adecuada gestión de: A) Los usuarios sensitivos: usuarios con elevados privilegios sobre las tecnologías que ante un uso mal intencionado pueden afectar la identidad de las personas en los sistemas de información; B) Los dispositivos móviles como son notebooks y smartphones que posibilitan el traslado de información altamente sensitiva por fuera del ámbito físico de las organizaciones; C) La concientización de los usuarios dentro de la organización sobre los riesgos del uso de las nuevas tecnologías versus sus beneficios para intentar lograr un balance minimizando impactos.
La identidad en la era digital es un tema que necesita ser tratado con seriedad para evitar que los beneficios de la tecnología se conviertan en armas de doble filo”…
Gonzalo Angeleri, Regional PreSales Manager y Dante Wojtiuk Senior Consultant en Focus Business Solutions (www.focusbs.com), abordaron uno de los principales puntos de interés en la protección de la información de las empresas: “Enmascaramiento de datos”.
La exposición se inició con la presentación del cuadro de situación actual del ciclo de vida de los datos en las empresas, la gestión de los ambientes tecnológicos corporativos, la evolución de los preceptos de la seguridad relacionados y las regulaciones internacionales que buscan proteger los datos de personales y corporativos. Luego se abordaron casos concretos actuales, tales como, los datos de las empresas que son utilizados en los diferentes ambientes (Desarrollo, QA, Test, Proveedor, Producción) y el riesgo que conlleva el uso de los anteriores en la seguridad de la información. ¿Cómo se logra la des-identificación de los datos en ambientes no productivos? El enmascaramiento en conjunto con un proceso automático y metodológico de trabajo, es la solución correcta. Gonzalo presentó en detalle los datos que actualmente son de interés de protección en las empresas, dando lugar a Dante en la exposición del Caso Santander sobre la solución abordada en este aspecto. Gonzalo Angeleri a modo de conclusión recomendó: “Hoy es crítico para las empresas proteger los datos que tiene almacenados en ambientes no productivos contra el acceso y uso de información confidencial. Las soluciones de gestión de ambientes de prueba y en particular el enmascaramiento de datos son claves para lograr este objetivo”.
Sergio Bollini, Director de Tecnología de Lightech (www.lightech.biz), inició la segunda parte de la jornada y ahondó uno de los principales riesgos de pérdida y robo de la información: “Endpoint Security. Desafíos y Soluciones”.
La evolución de las tecnologías aplicadas a la seguridad de la periferia mejora cada día y las empresas mayormente están aseguradas frente a ataques externos. Su preocupación actual radica en los ataques desde el interior de la compañía causados por personas de manera intencional o accidental. Sergio complementó esta tendencia, con el incremento del uso de los dispositivos móviles corporativos y el riesgo de pérdida de información confidencial de valor al negocio: “El 60% de los datos corporativos reside en dispositivos móviles desprotegidos. Se espera que en el 2011 estos dispositivos se multipliquen por cinco. Los almacenamientos USB crecen enormemente cada año. ¿Cómo afrontar este riesgo latente? Un plan actualizado de EndpointSecurity que integre AAA+Encripción+Enforcement.
Los componentes de una solución EndpointSecurity, permiten tener un plan de acción completo que focalice en asegurarse la protección del dispositivo como punto terminal de utilización de los activos de información. Los componentes de la categoría AAA, concentran los temas vinculados a la Autenticación fuerte, Autorización y Auditoría/Reportes. Los componentes de Encripción están asociados a los datos en tránsito y datos almacenados en el flujo de comunicaciones entre el endpoint y puntos medios y centrales. Y por último el Enforcement, con gran foco en el control y monitoreo, integra la automatización del cumplimiento de políticas de seguridad, el control de las aplicaciones y dispositivos móviles, y la verificación de los dispositivos. Sobre estas soluciones, se desarrollaron algunas de las tecnologías (RSA Security, CheckPoint y F5) que permiten mitigar la amenaza de pérdida, mal uso o abuso de la información.
En la exposición de Julia Enríquez, Abogada Especialista del Estudio Carranza Torres & Asoc (www.carranzatorres.com.ar), se ahondó puntualmente en los aspectos legales asociados a la protección de datos personales, bajo el título de “Las leyes que nos protegen, ¿cuál es el grado de entendimiento?”
Las definiciones en un marco de Ley siempre prestan al debate y la interacción con el auditorio. Es así que esta presentación no fue ajena a este marco. Julia expuso, dentro de la Ley de Protección de Datos Personales, las definiciones, alcances, derechos y obligaciones. El devenir expositivo sobre los datos de clientes, proveedores y de recursos humanos dentro de las empresas, fue el hito principal de observación, dado que cualquier organización posee estos tipos de bases de datos y no muchos conocen cual es el grado de protección a las cuales ellas deben ser afectadas. Dentro de los deberes de los responsables (empresas) de dichas bases de datos, se explicaron los pasos mínimos necesarios a realizar según la Ley: registro de la base, brindar información a los titulares de los datos, conservar los datos según lo estipulado, secreto de resguardo, implementar medidas de seguridad y permitir el derecho de acceso, rectificación, cancelación, supresión y bloqueo de datos. Dentro de las medidas de seguridad, se expusieron los niveles de seguridad a cumplimentar y las fechas de cumplimiento: Nivel Básico 9/2007, Nivel Medio 9/2009 y Nivel Crítico 9/2010.
El momento más crítico de la exposición sucedió cuando se desarrollaron las responsabilidades del tratamiento de datos personales por cuenta de terceros, en relación no solo a las contrataciones de servicios (outsourcing) generales, sino aquellas donde existe un servicio hosteado en otro país o bajo el esquema de SaaS donde se entremezclan los aspectos legales de los países intervinientes.
Gabriel Marcos, Product Manager Datacenter, Security & Outsourcing en Global Crossing (www.globalcrossing.com), abordó la temática de las redes sociales desde el seno mismo de las empresas corporativas y como estas herramientas iniciadoras de la Web 2.0 pueden generar riesgos de seguridad, es por ello que el título de esta presentación ha sido: “Web 2.0 + Identidad Digital = Riesgos en entornos corporativos”.
El conjunto de actividades que generan valor al negocio conviven con los riesgos que las mismas actividades dejan en un balance de oportunidades y amenazas que la organización afronta. Históricamente, los riesgos existían a través del hecho fílmico donde “hackers” vulneraban la seguridad de las empresas, con altos grados de conocimiento en tecnología e informática. En la actualidad, se suma un nuevo paradigma colaborativo, con herramientas menos tecnológicas y de más “sentido común”, que permiten a los “hackers de hoy” actuar con mayor rapidez, eficacia y con el anonimato que necesitan, aprovechando lo que denominan “vulnerabilidades de los procesos y las personas”. Las herramientas de la Web 2.0, le permiten la combinación perfecta: personas, activos y procesos, para quebrar y alcanzar los activos de información valiosos en el mercado delictivo.
En estos entornos 2.0, los riesgos consisten en la posibilidad de vulnerar los sistemas de protección a través de técnicas de ingeniería social que se basan en el uso habitual que las personas hacen de la tecnología, y de los peligros inherentes a temas intrínsecamente relacionados, como ser la identidad digital. La falta de concientización y capacidades en estas plataformas dejan brechas de seguridad que pueden ser abiertamente utilizadas para generar en una corporación una crisis de continuidad del negocio, desvalorización de marca y pérdida de confianza de clientes y accionistas, entre las más habituales y destacadas
En el cierre de la jornada, la Dra. Graciela Gianoli, Responsable del área de Derecho Informático del Instituto Federal de Estudios Parlamentarios (IFEP) del Honorario Senado de la Nación, Abogada Especialista en Asesoría Jurídica, desarrolló el pasado, presente y futuro de la privacidad en las redes sociales, basado en una investigación realizada recientemente. El desarrollo de esta investigación se expuso con el nombre de “Redes Sociales y Privacidad: Del problema del mundo pequeño a la realidad de un gran mundo”, y complementada el artículo de tapa de la revista impresa #6 de CXO Community.
El tiempo utilizado en redes sociales y blogs es aproximadamente el diez por ciento del utilizado en Internet, más que el usado en el correo electrónico. Ocupan el cuarto puesto, por detrás del tiempo utilizado para las búsquedas online, las páginas de interés general y las páginas de software ¿Cuánto de nosotros dejamos en este diez por ciento?¿Somos plenamente conscientes de lo que dejamos?, iniciando su disertación la Dra. Graciela Gianoli.
El concepto académico de redes sociales se basa en la teoría de grafos, donde cada persona mantiene algún tipo de vínculo con otras tantas, y estas con otras más. En relación a la Teoría de los 6 grados de separación, indica que una determinada persona puede contactarse con cualquier otra que no conoce, no más allá de 6 contactos o instancias de contactos a través de su red social y las de sus relaciones. Este cuadro de conexión y filosófico social, determina un achatamiento de relacionamiento donde el modelo de “mundo” se ve simplificado y reducido a estos canales de comunicaciones social. Dentro de esta red existen actores, donde cada uno de ellos cumple un rol pasivo o activo de acuerdo al contexto que se encuentre cada vez. Basado en los 3 pilares de las redes sociales se establecen las 3 Cs: Comunicación, Comunidad y Cooperación. En este núcleo participativo la identidad digital identifica a las personas “físicas” en esta red digital de vínculos sociales. ¿Pero todos son lo que dicen ser? ¿Conocemos que dejamos público y privado de nuestros perfiles en estas redes? Si a ello le sumamos el cambio de paradigma de cómo la Web se presenta y presentará en el mediano plazo, los conceptos de privacidad digital deberían ser reformulados.
La Dra. Gianoli, abordó el planteo de lo que va a suceder sobre la Web 3.0 y 4.0, desarrollando el concepto de web semánticas, web geo-espacial, redes inteligentes, agentes inteligentes, base de datos distribuida, mundos sintéticos, mundos paralelos y nuevos perfiles de comportamiento. En lo particular al futuro cercano de la Web 4.0, la inteligencia colectiva. Esta inteligencia está basada en la teoría del cerebro global, donde se compara las relaciones activas neuronales, con la actividad activa y pro-activa de las redes digitales en el mundo, donde el conocimiento se enriquece de manera mutua, se coordina en tiempo real, valorada y contrastada de forma continua, omnipresente y de complementariedad entre los participantes.
Para finalizar, Graciela cerró la jornada con las siguientes palabras para reflexionar: “La Web evolucionará y adquirirá conciencia, no será solo una máquina conciente que aprende, sino una red que se auto-organiza y adquiere conciencia de si. ¿Será esto posible? No lo sabemos todavía… Pero siempre, será una Empresa Humana… basada en lazos de colaboración”.
Escrito por Oscar Andres Schmitz
La tercerización de servicios llega a la seguridad informática
El contexto de la crisis propicia esta tendencia que busca satisfacer la necesidad imperiosa de las empresas en reducir y optimizar sus costos operativos.
La tercerización de servicios aplica a múltiples actividades de una organización, incluso a una de las más críticas, como la seguridad de los sistemas informáticos. Los beneficios son concretos: por un lado permite a las empresas ahorrar costos en forma considerable. También evita inversiones en tecnología, software, licencias, contratación de recursos especializados y certificados que son difíciles de conseguir en el mercado, en especialmente por su costo alto. Además, no hace falta invertir en capacitación y en el desarrollo de procesos.
Por otro lado, la tercerización permite a las empresas focalizar sus recursos en tareas estratégicas de seguridad, delegando las tareas operativas en un tercero que posee el conocimiento necesario para gestionar en forma efectiva la seguridad y esto le permite optimizar sus recursos humanos.
El contexto de la crisis actual propicia la tercerización de servicios de seguridad, sobre todo por la necesidad imperiosa de las empresas en reducir y optimizar sus costos operativos.
Sin embargo, en la Argentina esta tendencia enfrenta obstáculos culturales sobre todo en el segmento corporativo, que dudan en tercerizar la seguridad de su negocio. Las siguientes preguntas son comunes en estos casos: “¿Cómo voy a delegar la seguridad de mi compañía a una empresa externa? ¿Como puedo confiar el manejo de la información de mi empresa a un tercero?”
Consultado sobre estos interrogantes, Hernán Veglienzone, Security Product Manager de Telmex Argentina, explicó que en realidad una empresa terceriza sólo la operatoria de su seguridad pero no delega su responsabilidad en un tercero. Por lo tanto, el responsable por definir las políticas de seguridad a aplicar y la estrategia de seguridad a seguir queda bajo la responsabilidad de la propia compañía.
En ese sentido explicó que las empresas que ofrecen servicios administrados de seguridad acompañan a sus clientes operando, monitoreando, gestionando los incidentes y administrando su seguridad a través del aporte de su know-how en seguridad informática, aplicando las mejores prácticas del mercado y experiencia en el tema.
En esta entrevista, el ejecutivo de Telmex habla sobre el panorama de amenazas informáticas que enfrentan hoy las organizaciones, explica qué es la tercerización de la seguridad tecnológica y los beneficios de esta tendencia:
A la hora de elegir un prestador de servicios gestionados de seguridad, el ejecutivo de Telmex recomendó conocer la solidez financiera de la empresa prestadora de servicios y conocer su respaldo económico. También sugirió firmar un contrato que incluya claramente el SLA (Service Level Agreement) por los servicios contratados y un acuerdo de confidencialidad.
Veglienzone aconsejó contratar proveedores de servicios administrados de seguridad con experiencia comprobable no menor a dos años, y que cuenten con un centro de operación de seguridad certificado en la norma ISO 27001 y de gestión de calidad.
Fuente: Infobae Profesional
miércoles, 3 de junio de 2009
Suscribirse a:
Entradas (Atom)