bSecure — Julio, 2012

EMPOWERING BUSINESS CONTINUITYjulio, 2012 · 71 · www.bsecure.com.mx

$80.

00 M

.N.

PreParan un “tecnoejército”

Para mundial en Brasil

Sistemas de videovigilancia, biometría, localización y

redes 4G son las armas que el gobierno brasileño podría

utilizar para la justa deportiva

Fase Final del triatlón18 de octubre

ciudad de México

23 DE AGOSTO

2012

Con apoyo de

Technology Evaluation Centers

Un evento de

www.governmentforum.com.mxInformes: Tel: (55) 26297260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40. [email protected]

Show yourValue!

Reserve su agenda

Ante las exigencias de transparentarlas inversiones en IT, demuestre

el valor de sus decisiones

23 DE AGOSTO

2012

Con apoyo de


Un evento de

www.governmentforum.com.mxInformes: Tel: (55) 26297260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40. [email protected]

Show yourValue!

Reserve su agenda

Ante las exigencias de transparentarlas inversiones en IT, demuestre

el valor de sus decisiones

Julio, 2012 b:Secure 1

jul2012ACCESOEmprEsas han comEnzado a buscar cómo vEngarsE dE los cibErcriminalEsLa escalada en el cibercrimen, el hacktivismo y el espionaje Web están obligando a CSO y empresas a buscar formas para contraatacar, legales e ilegales

ESpECiAl FraudE bancario, un crimEn millonario quE pErmanEcE En lo “oscurito”Mientras los criminales han establecido procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de estos delitos

ESpECiAl dEstruyEn rEnaut En mEdio dE cuEstionamiEntos y rEclamosTras meses discusiones sobre la ubicación y estado de los archivos, la Segob por fin anunció la destrucción de los más 98 millones de registros recabados como parte del programa

murO humAnOintEgración dE la sEguridad En El análisis y disEño dE sistEmas inFormáticosHemos encontrado que muchos analistas y diseñadores conocen muy poco sobre el tema de ciberseguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.

Opinióncómo rEspondEr cuando El iFai llamE a su puErtaHoy, a casi dos años de la publicación de la LFDPPP, el IFAI ha comenzado a tocar puertas y ventanas para pedir explicaciones y atender reclamos, ¿usted ya sabe qué le va a pedir?

04 lOGin 24 SEGurO quE lO quiErES

12prEparan “tEcnoEjército” para mundial En brasil sistemas de videovigilancia, biometría, localización y redes 4g son las armas que el gobierno brasileño podría utilizar para la justa deportiva

2 b:Secure Julio, 2012

enlíneaError En sistEma dE nasdaq costó a UBs $350 millonEs dE dólarEsUna falla técnica de la bolsa de valores Nasdaq generó pérdidas de hasta $350 millones de dólares a la compañía UBS, el día en que las acciones de Facebook se ofrecieron al público por vez primera, de acuerdo con reportes publicados.

CNBC y The Wall Street Journal citaron el viernes a personas familiarizadas con el tema, quienes dieron informa-ción sobre las pérdidas de UBS. Indicaron que el banco analiza la posibilidad de ejercer acciones legales contra Nasdaq.

Karina Byrne, vocera de UBS, confirmó que el banco perdió dinero por las fallas técnicas de Nasdaq pero no pudo revelar la cantidad. Byrne agregó que el banco no ha ejercido acciones legales pero sopesa sus opciones para recupe-rar sus pérdidas.

De confirmarse, las pérdidas de UBS eclipsarían los cálculos previos del impacto de las fallas técnicas durante la ofer-ta pública de las acciones de Facebook. Esta semana, Nasdaq informó que otorgará $40 millones de dólares en efecti-vo y en crédito para reembolsar a las firmas de inversión.

HackEan Email dE candidato rEpUBlicano a la prEsidEncia dE EULas autoridades investigan si la cuenta privada de correo electrónico del virtual candidato presidencial republicano fue violada por un pirata cibernético.

El martes, el sitio de Internet Gawker reportó que un pirata anónimo ingresó a la cuenta personal de Romney en Hotmail.

Gawker señaló que el pirata adivinó la respuesta a una pregunta de seguridad sobre la mascota favorita de Romney para accesar a la cuenta y cambiar la contraseña. El ciberpirata, dijo el sitio Web, que la cuenta de Romney en Drop-Box, un servicio para compartir archivos en la nube, también estaba en riesgo.

La oficina de campaña de Romney dijo que “las autoridades debidas estaban investigando este delito”.

Mónica Mistretta directora general

Carlos Fernández de Laradirector editorial

Elba de Morándirectora comercial

Gabriela Pérez Sabatédirectora de

proyectos especiales

Alejandro Cárdenasdirector de arte

Iaacov Contrerascirculación y sistemas

Gabriela Bernaldirectora

administrativa

José Luis Caballeroasesoría legal

consejo editorialRafael García, Joel Gómez,

Alberto Ramírez Ayón, Roque Juárez, Ivonne Muñoz, Adrián

Palma, Luis Javier Pérez, Salomón Rico, Raúl Gómez,

Mario Velázquez.

columnistasJoel Gómez,

Adrián Palma, Aury Curbelo,

Elihú Hernández,Pablo Corona,

Alberto Ramírez,

editor on lineFrancisco Iglesias

web masterAlejandra Palancares

asistentes deredacción

Cecilia Silva, César Nieto, Oscar Nieto

ventas y publicidadEduardo López

asistente de ventasSamara Barrera

suscripcionesSonco-Sua Castellanos

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[los EditorEs dE nEtmEdia HaBlan soBrE los tEmas dE más actUalidad dE la indUstria]

Fabuolus bloG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

aunque me corranCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

bloGueros invitados: Mónica Mistretta (Netmedia), Otoniel Loaeza (Telefónica), Pablo Corona (NYCE) y David Schekaiban (Código Verde)

Estos y otros artículos en www.bsecure.com.mx

bSecure.com.mx


enlíneaError En sistEma dE nasdaq costó a UBs $350 millonEs dE dólarEsUna falla técnica de la bolsa de valores Nasdaq generó pérdidas de hasta $350 millones de dólares a la compañía UBS, el día en que las acciones de Facebook se ofrecieron al público por vez primera, de acuerdo con reportes publicados.

CNBC y The Wall Street Journal citaron el viernes a personas familiarizadas con el tema, quienes dieron informa-ción sobre las pérdidas de UBS. Indicaron que el banco analiza la posibilidad de ejercer acciones legales contra Nasdaq.

Karina Byrne, vocera de UBS, confirmó que el banco perdió dinero por las fallas técnicas de Nasdaq pero no pudo revelar la cantidad. Byrne agregó que el banco no ha ejercido acciones legales pero sopesa sus opciones para recupe-rar sus pérdidas.

De confirmarse, las pérdidas de UBS eclipsarían los cálculos previos del impacto de las fallas técnicas durante la ofer-ta pública de las acciones de Facebook. Esta semana, Nasdaq informó que otorgará $40 millones de dólares en efecti-vo y en crédito para reembolsar a las firmas de inversión.

HackEan Email dE candidato rEpUBlicano a la prEsidEncia dE EULas autoridades investigan si la cuenta privada de correo electrónico del virtual candidato presidencial republicano fue violada por un pirata cibernético.

El martes, el sitio de Internet Gawker reportó que un pirata anónimo ingresó a la cuenta personal de Romney en Hotmail.

Gawker señaló que el pirata adivinó la respuesta a una pregunta de seguridad sobre la mascota favorita de Romney para accesar a la cuenta y cambiar la contraseña. El ciberpirata, dijo el sitio Web, que la cuenta de Romney en Drop-Box, un servicio para compartir archivos en la nube, también estaba en riesgo.

La oficina de campaña de Romney dijo que “las autoridades debidas estaban investigando este delito”.

Mónica Mistretta directora general

Carlos Fernández de Laradirector editorial

Elba de Morándirectora comercial

Gabriela Pérez Sabatédirectora de

proyectos especiales

Alejandro Cárdenasdirector de arte

Iaacov Contrerascirculación y sistemas

Gabriela Bernaldirectora

administrativa

José Luis Caballeroasesoría legal

consejo editorialRafael García, Joel Gómez,

Alberto Ramírez Ayón, Roque Juárez, Ivonne Muñoz, Adrián

Palma, Luis Javier Pérez, Salomón Rico, Raúl Gómez,

Mario Velázquez.

columnistasJoel Gómez,

Adrián Palma, Aury Curbelo,

Elihú Hernández,Pablo Corona,

Alberto Ramírez,

editor on lineFrancisco Iglesias

web masterAlejandra Palancares

asistentes deredacción

Cecilia Silva, César Nieto, Oscar Nieto

ventas y publicidadEduardo López

asistente de ventasSamara Barrera

suscripcionesSonco-Sua Castellanos

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[los EditorEs dE nEtmEdia HaBlan soBrE los tEmas dE más actUalidad dE la indUstria]

Fabuolus bloG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

aunque me corranCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

bloGueros invitados: Mónica Mistretta (Netmedia), Otoniel Loaeza (Telefónica), Pablo Corona (NYCE) y David Schekaiban (Código Verde)

Estos y otros artículos en www.bsecure.com.mx

bSecure.com.mx

Producido por Con apoyo de


Un evento de

Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > [email protected]

www.bsecureconference.com.mx

18 de octubreHotel Marriott Reforma

5 de julioCrowne Plaza,

Hotel de México

18 de octubre5 de julio

1a. ETAPACONCLUIDA

2a. ETAPAPrivacidad de DatosÚLTIMOS LUGARES

DELITOS INFORMÁTICOSY FORENSIA DIGITAL

RESERVE SU AGENDA


De acuerdo con la firma de consultoría Deloitte 70% de las empresas mexi-canas no cuenta con el control tanto jurídico como tecnológico para llevar a cabo un buen manejo de las bases de datos y así cumplir con los dere-chos de Acceso, Rectificación, Cancelación y Oposición (ARCO) estable-cidos en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

Los derechos ARCO deben ser tomados de manera independiente. El de acceso es el derecho que tiene el titular de la información paras saber cuá-les son los datos que se tienen de él, para qué se están utilizando y cómo se obtuvieron.

En tanto, el derecho de rectificación trata sobre la modificación de los datos que resulten ser inexactos. El de cancelación es el derecho a que se borren los datos a petición del interesado.

Por último el derecho de oposición se refiere a la prohibición del uso de la información así como a la eliminación de la misma de las bases de datos.

El incumplir ante los derechos ARCO repercute en una sanción de hasta 320,000 días de salario mínimo, un aproximado de $18 millones de pesos, de acuerdo con la empresa y la falta que se haya cometido.

La LFDPPP, cuyo objetivo es proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informa-

do, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. Por ello, es vital que las empresas consideren los derechos ARCO como el primero y uno de los procesos fundamentales en el cumplimiento de la regulación.

La ley obliga a las empresas a designar ya sea a una persona o departa-mento que se encargue de dar trámite y respuesta a las posibles solicitudes de derechos ARCO, así como fomentar la protección de los datos personales.

Sin embargo, en México siete de cada 10 empresas no llevan a cabo es-tas medidas de seguridad por lo que no saben cómo actuar ante este tipo de solicitudes, por la falta de metodología y tecnología para responder en el tiempo que indica la ley, máximo 20 días.

La firma CeNeI asegura tener una solución en torno al cumplimiento de la ley de datos personales, que promete que automatizar la recepción, se-guimiento y respuesta a las solicitudes ARCO de forma confiable y expedi-ta y con total apego a los requerimientos de la LFPDPPP.

“CeNeI Datos Personales no sólo es una herramienta diseñada especial-mente para cumplir con los requisitos de esta Ley, sino que permite a los departamentos responsables de la protección de la información ser más efi-cientes aún con menos personal”, comenta María Flores, directora de Ope-raciones de CeNeI.

Siete de cada 10 empreSaS mexicanaS no Saben cómo manejar baSeS de datoS

login

Al parecer los mexicanos no creen en la premisa de que la información di-gital es el activo más valioso de los negocios, usuarios y gobiernos del siglo XXI, pues de acuerdo con un análisis de McAfee, el país de América Latina se coloca como el segundo del mundo con el mayor número de equipos de cómputo totalmente desprotegidos.

México cerró con 21.57% de PC sin ningún tipo de software de seguri-dad instalado, ni siquiera de versiones gratuitas, cifra que sólo es superada por Singapur que lidera el índice global con 21.75%.

“La libertad de navegar por Internet trae consigo la posibilidad de tener un contacto directo o indirecto con grupos cibercriminales que viven del robo de información y fraude”, comentó en el análisis Steve Petracca, SVP de Pymes y Móviles de McAfee.

Sin embargo, México no es la única nación cuyos usuarios navegan por el Web sin programas de seguridad, pues McAfee advierte que 17% de las casi 1,400 millones PC de todo el mundo no cuentan con este tipo de soft-ware y únicamente 83% cuenta con un nivel básico de protección.

El ranking de la firma de seguridad es liderado por Finlandia, donde me-nos del 10% de los equipos de cómputo del país carecen de sistemas de protección de información instalados.

El asunto es más crítico para el creciente mundo móvil, pues McAfee advierte si bien 17% de las PC carecen de protección, más del 96% de los teléfonos inteligentes y tabletas de todo el planeta no cuentan con seguri-dad alguna.

Aunque los expertos confirmaron que es complejo colocar un precio promedio a la información, 27% de los usuarios entrevistados para el aná-

lisis admitieron que si “llegaran a perder, sin posibilidad de recuperarlos, todos sus archivos de su maquina”, sería una pérdida promedio de más de $10,014 dólares por usuario.

LOGIN

méxico, Segundo lugar a nivel global en número de pc deSprotegidaS


De acuerdo con la firma de consultoría Deloitte 70% de las empresas mexi-canas no cuenta con el control tanto jurídico como tecnológico para llevar a cabo un buen manejo de las bases de datos y así cumplir con los dere-chos de Acceso, Rectificación, Cancelación y Oposición (ARCO) estable-cidos en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

Los derechos ARCO deben ser tomados de manera independiente. El de acceso es el derecho que tiene el titular de la información paras saber cuá-les son los datos que se tienen de él, para qué se están utilizando y cómo se obtuvieron.

En tanto, el derecho de rectificación trata sobre la modificación de los datos que resulten ser inexactos. El de cancelación es el derecho a que se borren los datos a petición del interesado.

Por último el derecho de oposición se refiere a la prohibición del uso de la información así como a la eliminación de la misma de las bases de datos.

El incumplir ante los derechos ARCO repercute en una sanción de hasta 320,000 días de salario mínimo, un aproximado de $18 millones de pesos, de acuerdo con la empresa y la falta que se haya cometido.

La LFDPPP, cuyo objetivo es proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informa-

do, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. Por ello, es vital que las empresas consideren los derechos ARCO como el primero y uno de los procesos fundamentales en el cumplimiento de la regulación.

La ley obliga a las empresas a designar ya sea a una persona o departa-mento que se encargue de dar trámite y respuesta a las posibles solicitudes de derechos ARCO, así como fomentar la protección de los datos personales.

Sin embargo, en México siete de cada 10 empresas no llevan a cabo es-tas medidas de seguridad por lo que no saben cómo actuar ante este tipo de solicitudes, por la falta de metodología y tecnología para responder en el tiempo que indica la ley, máximo 20 días.

La firma CeNeI asegura tener una solución en torno al cumplimiento de la ley de datos personales, que promete que automatizar la recepción, se-guimiento y respuesta a las solicitudes ARCO de forma confiable y expedi-ta y con total apego a los requerimientos de la LFPDPPP.

“CeNeI Datos Personales no sólo es una herramienta diseñada especial-mente para cumplir con los requisitos de esta Ley, sino que permite a los departamentos responsables de la protección de la información ser más efi-cientes aún con menos personal”, comenta María Flores, directora de Ope-raciones de CeNeI.

Siete de cada 10 empreSaS mexicanaS no Saben cómo manejar baSeS de datoS

login

Al parecer los mexicanos no creen en la premisa de que la información di-gital es el activo más valioso de los negocios, usuarios y gobiernos del siglo XXI, pues de acuerdo con un análisis de McAfee, el país de América Latina se coloca como el segundo del mundo con el mayor número de equipos de cómputo totalmente desprotegidos.

México cerró con 21.57% de PC sin ningún tipo de software de seguri-dad instalado, ni siquiera de versiones gratuitas, cifra que sólo es superada por Singapur que lidera el índice global con 21.75%.

“La libertad de navegar por Internet trae consigo la posibilidad de tener un contacto directo o indirecto con grupos cibercriminales que viven del robo de información y fraude”, comentó en el análisis Steve Petracca, SVP de Pymes y Móviles de McAfee.

Sin embargo, México no es la única nación cuyos usuarios navegan por el Web sin programas de seguridad, pues McAfee advierte que 17% de las casi 1,400 millones PC de todo el mundo no cuentan con este tipo de soft-ware y únicamente 83% cuenta con un nivel básico de protección.

El ranking de la firma de seguridad es liderado por Finlandia, donde me-nos del 10% de los equipos de cómputo del país carecen de sistemas de protección de información instalados.

El asunto es más crítico para el creciente mundo móvil, pues McAfee advierte si bien 17% de las PC carecen de protección, más del 96% de los teléfonos inteligentes y tabletas de todo el planeta no cuentan con seguri-dad alguna.

Aunque los expertos confirmaron que es complejo colocar un precio promedio a la información, 27% de los usuarios entrevistados para el aná-

lisis admitieron que si “llegaran a perder, sin posibilidad de recuperarlos, todos sus archivos de su maquina”, sería una pérdida promedio de más de $10,014 dólares por usuario.

LOGIN

méxico, Segundo lugar a nivel global en número de pc deSprotegidaS


El Informe Global sobre Fraude de Kroll 2011 reve-ló la mitad de las compañías son vulnerables al robo de datos corporativos, donde los ejecutivos de alto ni-vel de la misma empresa son autores del 29% de es-tas pérdidas, frente a 8% de los ejecutivos menores.

Tanto las empresas financieras como las de tec-nología, medios y telecomunicaciones son las que tienen mayor incidencia de robo de información (29% cada una), seguidas por las compañías de sa-lud, farmacéuticas y de biotecnología (26%) y pos-teriormente las de servicios profesionales.

“El robo de información sensible y secretos corpo-rativos es uno de los deli-tos con mayor incidencia en las empresas no sólo a nivel mundial, sino tam-bién en México.

Muchas veces éste es consecuencia de empleados que se llevan la infor-mación que generaron o con la cual trabajaron en la compañía al momento de cambiarse de trabajo, o al tener algún problema con su jefe inmediato”, dijo Andrés Velázquez, presidente y fundador de MaT-Tica.

Velázquez exhorta a las empresas a tener cuidado con los empleados que se quedan después de sus ho-ras o que de manera muy cotidiana trabajan fines de

semana. Asimismo, aconseja estar al pendiente de tra-bajadores que se oculten para realizar llamadas telefó-nicas o que deseen tener conocimiento de proyectos confidenciales.

Según el estudio de McAfee y Science Applica-tions International Corporation, 25% de las compa-ñías han tenido problemas de fusión, adquisición o implementación de algún producto o solución por culpa de alguna filtración de información.

“En muchos casos, las computadoras y los te-léfonos celulares son los medios que se usan para cometer los fraudes. He-mos tenido casos en los cuales se han coordinado reuniones de entrega de in-formación a través de men-sajes de texto, o en los que usan correos corporativos o personales desde la compu-

tadora de la empresa”, agregó Velázquez.De acuerdo con el ejecutivo, las compañías deben

establecer políticas de uso de tecnologías en el am-biente corporativo.

“Creo que es un tema de educación, entender cómo se puede proteger la información dentro de las empresas, así como, qué se puede llegar a inves-tigar en el caso de que el robo suceda”, explicó An-drés Velázquez.

Roban y publican más de seis millones de contRaseñas de linkedinLa red social profesional, LinkedIn, fue víctima de un ciberataque que como consecuencia significó la pérdida de información de más de seis millones de usuarios.

De acuerdo con la BBC, más de seis millones de nombres de usuario y contraseñas fueron publicadas en un foro de hackers rusos a principios de junio.

Inicialmente la red social mantuvo una posición escéptica frente al robo de información, sin embargo a los pocos días confirmó que en efecto poco más de 6.5 millones cuentas, de los más de 150 millones que admi-nistra, fueron comprometidas.

Tras confirmar el ataque, LinkedIN adivirtió a los usuarios que la cuentas afectadas serían desactivadas has-ta que sus dueños actualizaran sus contraseñas de acceso.

La empresa indicó a través de su blog oficial, que los usuarios afectados por el robo de cuentas ya han sido notificados por medio de un correo electrónico, en el que se les invita urgentemente a modificar su código de acceso.

Las contraseñas que no han sido modificadas a la fecha serán desactivadas y los usuarios tendrán que seguir una se-rie de pasos para reactivarlas y cambiarlas de manera inme-diata, explica el blog de la red social.

LinkedIn aseguró que no hay registro de que se haya pre-sentado algún robo de identidad o que el perfil de algún usuario haya sido comprometido tras el robo y publicación de contraseñas.

breveS

la mitad de las compañías sufRen Robos de infoRmación; 29% a manos de empleados

Blue Coat presentó Cache Flow un software que promete ahorro en ancho de banda de entre 40 y 50% y seguridad en sus servicios de Internet a los cableros. El equipo permite a los proveedores de servicios administrar de forma más eficaz los aumentos excesivos en el tráfico y el crecimiento de usuarios de la red generando un ahorro en el ancho de banda.

Excelerate Systems formalizó el lanzamiento de su solución dirigida a PyMes y usuarios únicos para detectar vulnerabilidades en el sistema sin la necesidad de contratar un agente. PureCloud escanea todos los dispositivos en redes pequeñas —hasta detrás del firewall— sin que se necesite un hardware pues la información es enviada y analizada en la Nube. Una vez que se hizo la evaluación, se le entrega al usuario en un correo electrónico un reporte con las vulnerabilidades encontradas.

Kaspersky anunció una alianza en la que todos los equipos Sony Vaio en América incluirán una suscripción por 30 días a la solución Premium de seguridad de la firma de origen ruso, Kaspersky Internet Security 2012. El software está instalado en todos los equipos desde mayo pasado.


A dos años de su publicación en la Diario Oficial de la Federación, la mayoría de las organizaciones mexicanas aún viven en la in-certidumbre de cómo lidiar y alinear su negocio a la Ley Fede-

ral de Datos Personales en Posesión de Particulares (LFPDPPP), ante esta realidad BuroMC y ELIT Infrastructure Services han desarrolla-do la única oferta efectiva para alcanzar el cumplimiento a través de la implementación de una estrategia interdisciplinaria y de gran alcance.

“Siempre he pensado que una estrategia interdisciplinaria, combi-nando varias ramas del conocimiento, actúa como el elemento central para producir los mejores resultados”, explica Elías Cedillo Hernández, director general de Buro Mexicano de Consultores.

El ejemplo más claro para Cedillo y su equipo de trabajo, es que el marco regulatorio que vela por la integridad de los titulares de los datos personales en relación al tratamiento de los mismos, no se puede cum-plir si no se cuenta con el apoyo de una base tecnológica bien diseña-da, implementada y administrada.

“No existe la menor duda que en la actualidad las Tecnologías de In-formación y los datos digitales por sí solos, se han convertido en un fac-tor estratégico para el desarrollo de las organizaciones del siglo XXI”, apunta.

Basados en este concepto es que Buro Mexicano de Consultores en Seguridad Informática ha trabajado durante los últimos dos años en

sección especial patrocinada

UnA verdAderA visión de 360º en protección de dAtos

BuroMC logró combinar la mejor tecnología en seguridad IT, con un profundo conocimiento jurídico para desarrollar una oferta única en el mercado, que apoya a las organizaciones mexicanas en el cumplimiento de la LFPDPPP

Elías Cedillo Hernandez Director general de Buró Mexicano de Consultores en Seguridad Informática


A dos años de su publicación en la Diario Oficial de la Federación, la mayoría de las organizaciones mexicanas aún viven en la in-certidumbre de cómo lidiar y alinear su negocio a la Ley Fede-

ral de Datos Personales en Posesión de Particulares (LFPDPPP), ante esta realidad BuroMC y ELIT Infrastructure Services han desarrolla-do la única oferta efectiva para alcanzar el cumplimiento a través de la implementación de una estrategia interdisciplinaria y de gran alcance.

“Siempre he pensado que una estrategia interdisciplinaria, combi-nando varias ramas del conocimiento, actúa como el elemento central para producir los mejores resultados”, explica Elías Cedillo Hernández, director general de Buro Mexicano de Consultores.

El ejemplo más claro para Cedillo y su equipo de trabajo, es que el marco regulatorio que vela por la integridad de los titulares de los datos personales en relación al tratamiento de los mismos, no se puede cum-plir si no se cuenta con el apoyo de una base tecnológica bien diseña-da, implementada y administrada.

“No existe la menor duda que en la actualidad las Tecnologías de In-formación y los datos digitales por sí solos, se han convertido en un fac-tor estratégico para el desarrollo de las organizaciones del siglo XXI”, apunta.

Basados en este concepto es que Buro Mexicano de Consultores en Seguridad Informática ha trabajado durante los últimos dos años en


UnA verdAderA visión de 360º en protección de dAtos

BuroMC logró combinar la mejor tecnología en seguridad IT, con un profundo conocimiento jurídico para desarrollar una oferta única en el mercado, que apoya a las organizaciones mexicanas en el cumplimiento de la LFPDPPP

Elías Cedillo Hernandez Director general de Buró Mexicano de Consultores en Seguridad Informática


la construcción de una estrategia que permita a las organizaciones en-tender el cumplimiento de la ley desde una perspectiva jurídica-tec-nológica

“Tenemos una visión única en el mercado, que realmente entrega valor a los negocios porque hemos logrado concebirla de la unión de dos disciplinas, de modo que esté soportada por la integración de un equipo legal, liderado por nuestro gerente Jurídico, Sergio Ba-rranco, y un grupo de tecnólogos y especialistas en protección de datos encabezado por nuestro Product Manager, Miguel Ángel Tru-jillo”, dice Cedillo.

Lo que buscamos, añade, es fortalecer la operación y continuidad del negocio mediante la consolidación de tecnologías de seguridad IT que brinden confidencialidad, integridad y disponibilidad a la información, haciendo uso de herramientas, estándares y conocimiento de vanguar-dia y clase mundial.

Hoy, todavía son muchas las organizaciones mexicanas que carecen o ignoran el impacto, repercusiones e incluso el contenido mismo de ley de protección de datos personales, ¿no le parece una situación preocupante?En efecto, porque las empresas tienen que entender que el no cono-cimiento de cualquier ley no los eximirá de las posibles sanciones o multas, por faltar o desobedecer a ella. Está misma máxima jurídica también es aplicable a la Ley Federal de Protección de Datos persona-les en Posesión de Particulares (LFPDPPP). En este sentido, creo que el mejor camino para comprender el impacto y alcance de una ley es tra-tar de obtener un definición clara y entendible, que permita a los res-ponsables de seguridad del negocio dar los primeros pasos para iniciar en su competencia y ámbito de aplicabilidad.

La LFPDPPP puede definirse, para efectos sencillos, como un mar-co regulatorio mediante el cual se norma el tratamiento lícito, legítimo, controlado e informado de los datos personales, a efecto de garanti-zar la privacidad y el derecho a la autodeterminación informativa de las personas.

Lo estimulante de este sencillo concepto, es la orientación de lici-tud, legitimidad, control de información con la que se deben tratar los datos personales (los cuales se definen como: “cualquier información concerniente a una persona identificada o identificable”), así como el establecimiento del bien tutelado a proteger, la persona misma (en su privacidad y la autodeterminación informativa).

Sin duda el primer aspecto que todo CISO o responsable de priva-

cidad de datos debe dominar es la definición y alcance de los derechos ARCO (Recuadro 1: Un ABC de los derechos ARCO)..

Además es importante destacar que las raíces de la LFPDPPP, se en-cuentran en la Directiva 95/46/CE del Parlamento Europeo y el Conse-jo de la Unión Europea de fecha 24 de Octubre del 1995 (Recuadro 2: La necesidad de dar seguridad a los datos en Europa).

Pero en contraste con el la situación europea, en México la ley no en-tró como respuesta a una necesidad preventiva para el tratamiento, ob-tención, uso, divulgación o almacenamiento de datos personales, través de cualquier medio, sino como un solución “urgentemente correctiva”, porque dentro de los principales motivos de su creación y aprobación están un posible combate al secuestro, las extorciones y a la oferta des-medida de servicios y productos no solicitados.

¿Desde su punto de vista dónde radica la mayor dificultad o comple-jidad que enfrenta las empresas mexicanas en el cumplimiento de la LFPDPPP?El problema con la información en el siglo XXI es que se ha conver-tido en un intangible digital, algo que no podemos ver, ni tocar, pero sabemos que existe. Esta realidad presenta el enorme reto de cómo ma-nejar, identificar y controlar los datos personales dentro de las infraes-tructuras tecnológicas.

Hoy, un dato puede estar en archivos estructurados o no estruc-turados, en formato de texto, presentación, hoja de cálculo, imagen,

• Acceso: Posibilidad del titular de los datos para acceder a su información con la finalidad de saber qué o cuáles están en posesión de una persona física o moral determinada

• Rectificación: Acción de corregir datos erróneos o de actualización

• Cancelación:A petición del titular de los datos, podrá solicitar al responsable cancelar los mismos por así convenir a sus intereses, sin que ello implique eliminar o suprimir los datos

• Oposición: Acto del titular de solicitar el no tratamiento de su información

Recuadro 1: un Abc de loS derechoS Arco

ELConsejoEuropeoviolanecesidaddeprotegerlainformaciónpersonalcomoconsecuenciadecambioseconómicos,políticosysociales.

1. Se recurría cada vez más al tratamiento de datos personales en diferentes sectores de la actividad económica y social. Además el avance de las tecnologías de la información facilitaba considerablemente el tratamiento y el intercambio de dichos datos

2. Se incrementaba cada vez más el flujo transfronterizo de datos personales entre los agentes de la vida económica y social (públicos o privados)

3. La creación de la directiva buscaría el robustecimiento (igual o similar) de la protección de los datos personales en los países que integraban la Unión Europea con la finalidad de que estos pudiesen transferirse de un país a otro

4. Respeto a la intimidad

5. Que el tratamiento de datos personales fuese para fines lícitos y leales, y que los datos recolectados fueran adecuados, pertinentes y no excesivos en relación a los objetivos perseguidos, los cuales debían estar determinados antes de la recolección

6. Que los titulares de los datos personales pudieran prohibir su uso, cuando los objetivos perseguidos atentaran contra su intimidad o libertades fundamentales.

7. Establecer aquellas excepciones al tratamiento de datos personales por causas justificadas y de interés público.

Figura 2: lA neceSidAd de dAr SeguridAd A loS dAtoS en europA


dentro de una base de datos, un correo electrónico y puede ser ma-nipulado en una PC, laptop o servidor, o hasta en una tableta multi-media, smartphone y demás dispositivos tecnológicos que hay en la actualidad.

Esta diversidad de ambientes, formatos y mecanismos de manipula-ción de la información presenta un problema complejo de privacidad

para los negocios, porque quizá conozcan qué datos son los que se tie-nen que proteger —de acuerdo con lo establecido por la LFPDPPP—, sin embargo la dificultada radica en la capacidad de la organización para identificar, clasificar y definir dónde se encuentran esos archivos y cómo protegerlos.

El tema se vuelve más complicado aún, porque la mayor parte del presupuesto asignado al área de seguridad es destinado a infraestructu-ra de seguridad perimetral, debido a que tiene un Retorno sobre la In-versión (ROI, en inglés) mucho más tangible, frente aquellas soluciones que protegen los datos en sí.

Si el firewall de un negocio llega a fallar o la red se cae, el impacto se refleja casi de inmediato. En cambio, si la organización sufre un robo o fuga de información, es posible que éste no se detecte hasta días, se-manas o incluso meses después. Este tipo de elementos hacen que las estrategias de protección de datos carezcan del enfoque y la importan-cia adecuadas.

¿Entonces el problema más complejo de protección de datos es uno de infraestructura?En parte, porque muchas veces el problema en la falta de protección de la información viene desde dentro de la organización.

Pensemos en un escenario operativo de negocio, en donde es común que los empleados accedan a datos de la empresa a través de diversos aplicativos. Sin embargo, no son los únicos que lo hacen, pues el admi-nistrador de servidores, de dominios, de redes, de respaldos y los DBA (Data Base Administrator), generalmente poseen niveles de acceso de “confianza” a bases de datos, recursos de red, información de discos o la SAN (Storage Area Network) e incluso al tráfico de los servidores, dependiendo de su función.

Lo anterior, sin contar el acceso que poseen los servicios de hos-ting, almacenamiento, infraestructura y correo electrónico con terceros o bajo modelos de cómputo en nube, pues aunque estos proveedores garanticen niveles de servicio y seguridad, muchas ve-ces las empresas que los contratan desconocen qué tipo de contro-les tienen implementados para asegurar que únicamente el dueño

de los datos pueda manipularlos.Lamentablemente, los ciberataques,

el robo de bases de datos o la pérdi-da significativa de información o pro-piedad intelectual del negocio son las principales causas que obligan a las em-presas a invertir en programas y pro-yectos de seguridad.

Contrario esperar a que un inciden-te ocurra, las organizaciones deberían preguntarse: ¿Cuál es mi información realmente valiosa? ¿Qué pasa si esa in-formación fuese divulgada? ¿Cuánto vale en manos de mis competidores? ¿Qué pasaría si fallo en protegerla y no cum-plo con regulaciones establecidas (como LFPDPPP)? Gran parte de estas respues-tas se pueden obtener de un Análisis de Riesgos y un BIA, el único inconve-niente es que estos suelen ser largos y demandan muchos recursos humanos y

económicos.En BuroMC tenemos el objetivo de proveer a los altos mandos de

las organizaciones un conocimiento detallado de cada vulnerabilidad, amenaza y riesgo que afecte a cualquier elemento crítico de IT, permi-tiendo así una toma de decisiones rápida y oportuna.

¿Cómo identificar las tecnologías que requiere una organización en busca de una estrategia de protección de datos?Con orgullo te puedo decir que somos una empresa 100% mexicana, altamente especializada en el diseño e implementación de soluciones integrales y servicios de consultoría en seguridad IT, que trabaja con las tecnologías líderes en el ámbito de protección, aseguramiento y res-guardo de información.

Existen tecnologías como DLP (Data Loss Prevention), criptografía y DAM (Database Activity Monitoring), que pueden facilitar y habilitar el cumplimiento y los requerimientos en cuanto a seguridad de datos en entornos corporativos se refiere.

La criptografía, por ejemplo, es considerada como “el estado del arte” en temas de privacidad. Si las bases de datos, de esas historias de terror que todos hemos escuchado, hubieran estado cifradas, te garantizo que el desenlace habría sido muy diferente.

El problema es que muchas empresas rehúyen al uso de este tipo de soluciones porque las consideran complejas, difíciles de administrar (las llaves principalmente) y conllevan un impacto en el rendimiento y tiempos para acceder a la información.

Sin embargo, BuroMC tiene el liderazgo de trabajar con tecnolo-gía para cifrado de bases de datos, discos de almacenamiento, enlaces WAN, sistemas de virtualización y servidores de archivos, que operan de manera efectiva, con un mecanismo de protección robusto y que no


“Nuestra misión es

apoyar a las empresas

en sus necesidades de

protección y seguridad de

datos, para que puedan

adoptar y aprovechar

la tecnología como un

verdadero elemento de

crecimiento, desarrollo e

innovación”, Elías Cedillo


dentro de una base de datos, un correo electrónico y puede ser ma-nipulado en una PC, laptop o servidor, o hasta en una tableta multi-media, smartphone y demás dispositivos tecnológicos que hay en la actualidad.

Esta diversidad de ambientes, formatos y mecanismos de manipula-ción de la información presenta un problema complejo de privacidad

para los negocios, porque quizá conozcan qué datos son los que se tie-nen que proteger —de acuerdo con lo establecido por la LFPDPPP—, sin embargo la dificultada radica en la capacidad de la organización para identificar, clasificar y definir dónde se encuentran esos archivos y cómo protegerlos.

El tema se vuelve más complicado aún, porque la mayor parte del presupuesto asignado al área de seguridad es destinado a infraestructu-ra de seguridad perimetral, debido a que tiene un Retorno sobre la In-versión (ROI, en inglés) mucho más tangible, frente aquellas soluciones que protegen los datos en sí.

Si el firewall de un negocio llega a fallar o la red se cae, el impacto se refleja casi de inmediato. En cambio, si la organización sufre un robo o fuga de información, es posible que éste no se detecte hasta días, se-manas o incluso meses después. Este tipo de elementos hacen que las estrategias de protección de datos carezcan del enfoque y la importan-cia adecuadas.

¿Entonces el problema más complejo de protección de datos es uno de infraestructura?En parte, porque muchas veces el problema en la falta de protección de la información viene desde dentro de la organización.

Pensemos en un escenario operativo de negocio, en donde es común que los empleados accedan a datos de la empresa a través de diversos aplicativos. Sin embargo, no son los únicos que lo hacen, pues el admi-nistrador de servidores, de dominios, de redes, de respaldos y los DBA (Data Base Administrator), generalmente poseen niveles de acceso de “confianza” a bases de datos, recursos de red, información de discos o la SAN (Storage Area Network) e incluso al tráfico de los servidores, dependiendo de su función.

Lo anterior, sin contar el acceso que poseen los servicios de hos-ting, almacenamiento, infraestructura y correo electrónico con terceros o bajo modelos de cómputo en nube, pues aunque estos proveedores garanticen niveles de servicio y seguridad, muchas ve-ces las empresas que los contratan desconocen qué tipo de contro-les tienen implementados para asegurar que únicamente el dueño

de los datos pueda manipularlos.Lamentablemente, los ciberataques,

el robo de bases de datos o la pérdi-da significativa de información o pro-piedad intelectual del negocio son las principales causas que obligan a las em-presas a invertir en programas y pro-yectos de seguridad.

Contrario esperar a que un inciden-te ocurra, las organizaciones deberían preguntarse: ¿Cuál es mi información realmente valiosa? ¿Qué pasa si esa in-formación fuese divulgada? ¿Cuánto vale en manos de mis competidores? ¿Qué pasaría si fallo en protegerla y no cum-plo con regulaciones establecidas (como LFPDPPP)? Gran parte de estas respues-tas se pueden obtener de un Análisis de Riesgos y un BIA, el único inconve-niente es que estos suelen ser largos y demandan muchos recursos humanos y

económicos.En BuroMC tenemos el objetivo de proveer a los altos mandos de

las organizaciones un conocimiento detallado de cada vulnerabilidad, amenaza y riesgo que afecte a cualquier elemento crítico de IT, permi-tiendo así una toma de decisiones rápida y oportuna.

¿Cómo identificar las tecnologías que requiere una organización en busca de una estrategia de protección de datos?Con orgullo te puedo decir que somos una empresa 100% mexicana, altamente especializada en el diseño e implementación de soluciones integrales y servicios de consultoría en seguridad IT, que trabaja con las tecnologías líderes en el ámbito de protección, aseguramiento y res-guardo de información.

Existen tecnologías como DLP (Data Loss Prevention), criptografía y DAM (Database Activity Monitoring), que pueden facilitar y habilitar el cumplimiento y los requerimientos en cuanto a seguridad de datos en entornos corporativos se refiere.

La criptografía, por ejemplo, es considerada como “el estado del arte” en temas de privacidad. Si las bases de datos, de esas historias de terror que todos hemos escuchado, hubieran estado cifradas, te garantizo que el desenlace habría sido muy diferente.

El problema es que muchas empresas rehúyen al uso de este tipo de soluciones porque las consideran complejas, difíciles de administrar (las llaves principalmente) y conllevan un impacto en el rendimiento y tiempos para acceder a la información.

Sin embargo, BuroMC tiene el liderazgo de trabajar con tecnolo-gía para cifrado de bases de datos, discos de almacenamiento, enlaces WAN, sistemas de virtualización y servidores de archivos, que operan de manera efectiva, con un mecanismo de protección robusto y que no


“Nuestra misión es

apoyar a las empresas

en sus necesidades de

protección y seguridad de

datos, para que puedan

adoptar y aprovechar

la tecnología como un

verdadero elemento de

crecimiento, desarrollo e

innovación”, Elías Cedillo


afectan el tiempo de respuesta de las aplicaciones, ni la disponibilidad de los datos.

“De esta manera, se gestiona el acceso a las llaves de cifrado, con base a las necesidades, a las funciones que desempeñen y a los roles que se les asignen. De modo que, un DBA podría tener acceso a las tablas, un administrador de respaldos a la SAN y el responsable de infraestruc-tura a los archivos de los sistemas virtuales, pero al estar los datos ci-frados ninguno tendría la capacidad para visualizar todo el contenido, aun cuando lograra transportar la información a otro sistema de con-diciones similares.

En el caso de las soluciones DLP ¿qué tan vitales son en torno a regu-laciones como la LFPDPPP?Las soluciones DLP contemplan y tiene por objetivo proteger la ma-yor parte de los puntos de acceso a los datos a nivel de red, desde el Endpoint, los dispositivos periféricos (Impresoras, escáneres, etcéte-ra), hasta los equipos móviles, que por el momento son los más difíci-les de controlar.

Una buena implementación de un sistema de DLP contempla cua-tro pasos centrales: clasificación de información, monitoreo, descubri-miento y protección.

La clasificación de la información supone un arduo trabajo que invo-lucrar a todas las áreas de negocio, en donde el uso de consultoría pue-de llegar a ser costoso, por ello la mayoría de las soluciones DLP integran

plantillas personalizadas para el manejo de datos, con base en distintos requerimientos de regulaciones como la ley de protección de datos per-sonales, estándares de industria como PCI o incluso acorde al giro del negocio, con el objetivo de generar una “preclasificación” de los datos.

El siguiente paso, el monitoreo, debe cubrir todos los puntos a ni-vel de red por los cuales podría existir una fuga de datos: Web, correo electrónico, mensajería instantánea y demás servicios. Aquí es impor-tante tomar en cuenta soluciones que contemplen el análisis de tráfico encapsulado en protocolos seguros (como HTTPS).

La fase del descubrimiento, considerada el elemento mágico de toda solución de DLP, consiste en buscar en toda la red, con base a las plan-tillas definidas, la ubicación de los datos de valor sin importar si están almacenados en un servidor de archivos, una base de datos, un archivo de presentación o bajo cualquier otro formato.

Para el cumplimiento de la LFPDPPP este factor es clave, porque permite conocer quién puede tener acceso a los datos y desde ahí co-menzar a protegerlos. Es importante resaltar que estas dos últimas eta-pas son cíclicas y fáciles de implementar, por lo que no es necesario empezar con el monitoreo, sino que es posible ejecutar primero el des-cubrimiento de datos para luego realizar el análisis.

La cuarta etapa es la más compleja, consiste en ubicar los datos a proteger, su uso y nivel de acceso. Realizar este procedimiento nos po-sibilita implementar políticas de protección para evitar la fuga de datos.

Como toda solución, que interviene en procesos de negocio tan im-portantes, es necesario llegar a una fase de maduración, que permita conocer el entorno de acceso a los datos y los alcances de la tecnología DLP, por lo cual resulta indispensable elegir una solución que se adap-te a nuestras necesidades.

Aun así, es evidente que no basta sólo con tecnología bien implemen-tada o el proyecto de protección de datos podría no tener los resulta-dos y alcance deseadosEn efecto, es imprescindible que las organizaciones establezcan a los “datos” como un activo, en donde desarrollen la adopción de discipli-nas y marcos de referencia como “Data Management”, que les permita implementar un Gobierno de datos (Data Governance), con procesos y guías prácticas para la planeación, supervisión y control sobre la ad-ministración de datos y su uso tal como lo define DAMA International (Data Management International ) (Recuadro 3: Nuestro DIMAD para la privacidad de datos).

“En Buro Mexicano de Consultores no solo vendemos tecnología, sino que proveemos soluciones de seguridad informática especializa-das en redes corporativas, y creamos, en conjunto con nuestros clientes, estrategias y controles de seguridad para sus organizaciones. Nuestra misión principal es apoyar a las empresas en el cumplimiento de la ley y de sus necesidades en protección y seguridad de datos, que les per-mitan adoptar y aprovechar la tecnología como un verdadero elemento de crecimiento, desarrollo e innovación”, afirma Elías Cedillo. l

Algunas de las actividades clave en la estrategia de Administración de Seguridad de Datos:

• Definirpolíticasyestándaresparalaconfidencialidadyprivacidaddedatos

• Definireldepartamentoyelperfilencargadodelosdatospersonales

• Clasificacióndelosdatos

• Establecerelavisodeprivacidad

• DefinirlosprocesosyprocedimientosparagestionarlosderechosARCO

• Definirlastecnologíasqueintervienenenelmanejodelosdatos

• Identificarlaubicacióndelosdatos

• Diseñareimplementarcontrolesdeseguridaddedatos

• Administrarpermisosdeaccesoadatos

• Auditarlaseguridaddelosdatos

• Monitoreopermanentealosrequerimientodelaley

Recuadro 3: NueSTrO DIMAD


Lo que comenzó como una investigación por un ataque ciberné-tico a un restaurante de Seattle llegó hasta las cortes federales de Rumania, donde David Benjamin Schrooten, un holandés de 21

años, se declaró inocente de los cargos de hacking global y el robo de datos de al menos 44,000 números de tarjetas de crédito.

Los fiscales federales explicaron que Schrooten es una figura promi-nente en el mundo del cibercrimen, que operaba bajo el seudónimo de “Fortezza” y que logró colocar en el mercado negro del Web miles de números de tarjetas de crédito robados de diversas partes del mundo.

Las autoridades advirtieron que los poco más de 44,000 números de tarjetas de crédito de los que se le acusa, actualmente provienen de una sola venta. Algunos expertos incluso señalaron que el caso de Fortezza podría ser tan sólo la punta del iceberg de una red global de cibercri-minales dedica al robo y venta ilegal de tarjetas bancarias e identida-des en Internet.

Schrooten fue detenido en Rumania y extraditado a Seattle el sába-do pasado, y ya ha sido acusado de 14 delitos, que van desde el frau-de de acceso ilegal a dispositivos, hasta cargos por robo y suplantación de identidad.

“La gente piensa que los criminales cibernéticos no puede ser en-contrados o capturados. Hoy sabemos y demostramos con este tipo de operaciones que eso no es cierto y que, por más que lo crean, no se pueden ocultar en el ciberespacio”, dijo el Procurador estadounidense responsable del caso Jenny A. Durkan en conferencia de prensa. “Va-mos a encontrarlos, los haremos pagar, los vamos a extraditar y los pro-cesaremos”.

Las autoridades de Seattle acreditaron que el caso e investigación en contra Schrooten comenzó gracias al reclamo y denuncia de un propie-tario de un restaurante local italiano.

Corino Bonjrada, dueño del lugar, dijo que se alarmaron después de recibir varias quejas de sus clientes por supuestos cargos sospechosos después de haber cenado en Modello Risorante Italiano.

“Algunos de mis clientes estaban diciendo que no sabían si querían volver”, dijo Bonjrada. “Tenía miedo del futuro de mi negocio”.

Al principio los clientes sospecharon de que los mismos trabajadores del lugar habían tomado la información de las tarjetas de crédito para realizar los fraudes, pero Bonjrada no encontró ninguna evidencia de eso, situación que lo llevó a llamar a expertos en informática y, final-mente, a la policía, dijo.

La investigación condujo a la policía con Christopher A. Schroebel, de 21 años de Maryland, que confesó haber plantado dos códigos mali-ciosos en los sistemas de venta de dos empresas de Seattle, de decenas que habían sido elegidas como blancos.

Schroebel hurtó al menos 4,800 números de tarjetas de crédito en 2011.

Schroebel fue detenido en noviembre de 2011 y se declaró culpable el mes pasado de cargos federales que incluían fraude bancario y acce-so ilegítimo a cientos de equipos de cómputo. Se espera que sea con-denado en agosto.

Los investigadores dijeron que Schrooten trabajó de cerca con Schroebel en la creación de sitios Web para vender los números de tar-jetas de crédito. l

acceso Arresto de hAcker que robó 44,000 números de

tdc, no es ni LA puntA

deL iceberg: AutoridAdes

El caso podría ser tan sólo la superficie de una nueva red global de cibercriminales dedicada al robo y venta ilegal de tarjetas bancarias e identidades en Internet


Lo que comenzó como una investigación por un ataque ciberné-tico a un restaurante de Seattle llegó hasta las cortes federales de Rumania, donde David Benjamin Schrooten, un holandés de 21

años, se declaró inocente de los cargos de hacking global y el robo de datos de al menos 44,000 números de tarjetas de crédito.

Los fiscales federales explicaron que Schrooten es una figura promi-nente en el mundo del cibercrimen, que operaba bajo el seudónimo de “Fortezza” y que logró colocar en el mercado negro del Web miles de números de tarjetas de crédito robados de diversas partes del mundo.

Las autoridades advirtieron que los poco más de 44,000 números de tarjetas de crédito de los que se le acusa, actualmente provienen de una sola venta. Algunos expertos incluso señalaron que el caso de Fortezza podría ser tan sólo la punta del iceberg de una red global de cibercri-minales dedica al robo y venta ilegal de tarjetas bancarias e identida-des en Internet.

Schrooten fue detenido en Rumania y extraditado a Seattle el sába-do pasado, y ya ha sido acusado de 14 delitos, que van desde el frau-de de acceso ilegal a dispositivos, hasta cargos por robo y suplantación de identidad.

“La gente piensa que los criminales cibernéticos no puede ser en-contrados o capturados. Hoy sabemos y demostramos con este tipo de operaciones que eso no es cierto y que, por más que lo crean, no se pueden ocultar en el ciberespacio”, dijo el Procurador estadounidense responsable del caso Jenny A. Durkan en conferencia de prensa. “Va-mos a encontrarlos, los haremos pagar, los vamos a extraditar y los pro-cesaremos”.

Las autoridades de Seattle acreditaron que el caso e investigación en contra Schrooten comenzó gracias al reclamo y denuncia de un propie-tario de un restaurante local italiano.

Corino Bonjrada, dueño del lugar, dijo que se alarmaron después de recibir varias quejas de sus clientes por supuestos cargos sospechosos después de haber cenado en Modello Risorante Italiano.

“Algunos de mis clientes estaban diciendo que no sabían si querían volver”, dijo Bonjrada. “Tenía miedo del futuro de mi negocio”.

Al principio los clientes sospecharon de que los mismos trabajadores del lugar habían tomado la información de las tarjetas de crédito para realizar los fraudes, pero Bonjrada no encontró ninguna evidencia de eso, situación que lo llevó a llamar a expertos en informática y, final-mente, a la policía, dijo.

La investigación condujo a la policía con Christopher A. Schroebel, de 21 años de Maryland, que confesó haber plantado dos códigos mali-ciosos en los sistemas de venta de dos empresas de Seattle, de decenas que habían sido elegidas como blancos.

Schroebel hurtó al menos 4,800 números de tarjetas de crédito en 2011.

Schroebel fue detenido en noviembre de 2011 y se declaró culpable el mes pasado de cargos federales que incluían fraude bancario y acce-so ilegítimo a cientos de equipos de cómputo. Se espera que sea con-denado en agosto.

Los investigadores dijeron que Schrooten trabajó de cerca con Schroebel en la creación de sitios Web para vender los números de tar-jetas de crédito. l

acceso Arresto de hAcker que robó 44,000 números de

tdc, no es ni LA puntA

deL iceberg: AutoridAdes

El caso podría ser tan sólo la superficie de una nueva red global de cibercriminales dedicada al robo y venta ilegal de tarjetas bancarias e identidades en Internet


Anonymous ha perdido el poder y control que tenía sobre los hacktivistas en la red. En los últimos meses surgieron diversos grupos de piratas cibernéticos que han comenzado a librar sus

propias batallas sin el apoyo de grupos externos.Uno de los conjuntos que ha comenzado a pelear de manera inde-

pendiente y lejos de Anonymous es LulzSec. Esta semana los hacktivis-tas publicaron una lista de 10,000 nombres y usuarios de Twitter que consiguieron tras haber hackeado la aplicación TweetGif.

La filtración de dichos documentos fue interpretada por la pren-sa como el regreso de LulzSec, uno de los grupos hacktivistas que en el pasado emprendió junto a Anonymous más de una decena de operaciones, entre las que destacó #AntiSec, un movimiento en contra de los sistemas informáticos de diversos gobiernos del mundo.

Expertos aseguran que la independencia de LulzSec se debe a que los nuevos miembros del grupo hacktivista no son aquellos que trabajaban con Anonymous en el pasado. Cabe recordar que en marzo pasado el FBI atrapó y sentenció a prisión a varios de sus miembros fundadores, entre ellos el joven inglés Ryan Cleary.

El caso de LulzSec no es singular, en mayo surgió The WikiBoat un grupo hacktivista que como meta inicial se planteó atacar a 40 de las principales firmas globales.

Desde su inicio, el grupo marcó su diferencia con Anonymous y pi-dió a la prensa que no se les comparara, al argumentar que ellos no perseguían fines sociales y políticos como lo hace el popular conjun-to hacktivista. Sin embargo, The WikiBoat utiliza la misma imagen de Anonymous en sus comunicados.

Aunque la primera operación de The WikiBoat no fue exitosa, el FBI lanzó una alerta a los sitios amenazados y señaló que se encontraba tra-bajando para atrapar a los miembros del nuevo grupo.

IndependencIa InternaAnonymous no sólo ha visto surgir nuevos grupos. También ha sido testigo de cómo sus propios miembros luchan y lanzan embates en su nombre al argumentar que no existen líderes y cada miembro sigue la línea que desea.

En América Latina, Anonymous hispano ha sido responsable de po-ner en jaque al gobierno mexicano, peruano, argentino y brasileño. Así como firmas transnacionales con base en Sudamérica.

Recientemente Anonymous publicó los datos personales del candi-dato presidencial Enrique Peña Nieto, además de apoyar las moviliza-ciones de los jóvenes #YoSoy132 en México.

Lo mismo sucede en Medio Oriente donde representantes de Anon-ymous han incluso apoyado las manifestaciones y revoluciones sociales como en Egipto y Siria.

De acuerdo con especialistas en seguridad, la apertura y anarquía que domina el grupo es la misma que pone en riesgo su credibilidad, pues cualquiera puede realizar un embate cibernético o un hackeo y es-cudarse en el nombre de Anonymous, sin que éste sea desmentido des-de la base central del grupo.

Frente a este panorama, la médula central de Anonymous, con base en Estados Unidos, únicamente se dedica a emprender sus propias opera-ciones y de vez en cuando mostrar su apoyo a ciertos movimientos tan-to externos como de los propios representantes locales del conjunto. l

acceso

BrotAn nuevos grupos hAcktivistAs A lA somBrA de Anonymous

Las redes sociales, el mercado negro

de Internet y el gusto por las

protestas digitales han permitido

la proliferación de grupos

hacktivistas por todo el planeta

Por Sergio López


Más allá de lo que la ley dice

netmedia events

llegó la hora de dejar atrás la explicación sobre los artículos de la Ley Federal de Protección de Datos Personales en Posesión de Particula-res (LFPDPPP), sus multas, reglamento o de explicar el significado

de los avisos de privacidad. En pocas palabras, es hora de dejar estudiar y comenzar a cumplir con la ley.

¿Cómo responder ante una queja o reclamación de derechos ARCO? ¿Cómo actuar ante una solicitud de información o requerimiento del IFAI?

¿Más allá del aviso de privacidad, está al día mi organización con lo que exi-ge el reglamento de la ley? ¿Cómo debo reaccionar ante una vulnerabilidad o robo de datos? Están los empleados conscientes del impacto de la regula-ción en sus actividades diarias?

Algunos de los expertos en materia de protección de datos más reconoci-dos en México buscarán encontrar respuesta a estas preguntas durante la si-guiente fase del triatlón del b:Secure Conference Ciudad de México.

Hablar de la ley ya quedó atrás, el reto real de las organizaciones frente a LFPDPPP es comenzar a responder a las solicitudes y requerimientos de la autoridad sin contratiempos ni errores

La enfermedad de La era digitaL: La promiscuidad de datos El outsourcing entrega varios beneficios a las em-presas, pues les da la oportunidad de concentrar-se en las actividades ‘core’ del negocio, al delegar funciones o actividades a terceros. Sin embargo, estas ventajas competitivas traen consigo varios retos en torno a la seguridad de la información y la privacidad de datos, principalmente porque es-tos “tercerizadores” de servicios procesan, almacenan o tienen acceso a cientos o miles de datos de clientes, proveedores o empleados de nues-tro organización. La LFPDPPP sirve de marco legal, pero los responsables deberán supervisar de manera exhaustiva a los encargados y a los terceros de los datos de los titulares y así evitar caer en la promiscuidad de datos.

conferencista: alberto ramírez ayón, ciso de Bnp paribas cardif

uso de ontoLogías para organizar eL conocimiento en protección de datosLas ontologías, dentro del campo de las ciencias de la información, son la representación formal del conocimiento a través de conceptos y domi-nios. Esta exposición pretende dar a los involucra-dos en la protección de datos una perspectiva del concepto de ontología como una herramienta que les permita organizar el conocimiento de estándares, leyes y requerimien-tos de las empresas aplicado a sus áreas de interés.

conferencista: armando Becerra, especialista en protección de datos

privacidad de datos personaLes: un reto más para La seguridad de La información de Las compañías en méxicoLas empresas mexicanas libran una compleja y apremiante batalla en el campo de la regulación, que las obliga a buscar la co-rrecta implementación de controles de seguridad, con el fin de alcanzar el preciado objetivo de cumplir con la ley federal de pro-tección de datos personales. Es decir, se trata de aprender a proteger los datos de un tercero, cuando muchas veces ni él mismo es consciente del poder que otorga a las compañías al proporcionar su información. Las dudas, controles innecesarios y un des-conocimiento del tema en México, logran apoderarse de los proyectos de aseguramiento de cumplimiento a la ley, creando aún mayor incertidumbre sobre lo implementado y lo faltante por implementar ¿Cuáles son los retos y los obstáculos a superar en el entendimiento de la ley y su consecuente cumplimiento?

conferencista: clementina chávez, cisa y miembro de auditoria interna de it de telefónica méxico


Más allá de lo que la ley dice

netmedia events

llegó la hora de dejar atrás la explicación sobre los artículos de la Ley Federal de Protección de Datos Personales en Posesión de Particula-res (LFPDPPP), sus multas, reglamento o de explicar el significado

de los avisos de privacidad. En pocas palabras, es hora de dejar estudiar y comenzar a cumplir con la ley.

¿Cómo responder ante una queja o reclamación de derechos ARCO? ¿Cómo actuar ante una solicitud de información o requerimiento del IFAI?

¿Más allá del aviso de privacidad, está al día mi organización con lo que exi-ge el reglamento de la ley? ¿Cómo debo reaccionar ante una vulnerabilidad o robo de datos? Están los empleados conscientes del impacto de la regula-ción en sus actividades diarias?

Algunos de los expertos en materia de protección de datos más reconoci-dos en México buscarán encontrar respuesta a estas preguntas durante la si-guiente fase del triatlón del b:Secure Conference Ciudad de México.

Hablar de la ley ya quedó atrás, el reto real de las organizaciones frente a LFPDPPP es comenzar a responder a las solicitudes y requerimientos de la autoridad sin contratiempos ni errores

La enfermedad de La era digitaL: La promiscuidad de datos El outsourcing entrega varios beneficios a las em-presas, pues les da la oportunidad de concentrar-se en las actividades ‘core’ del negocio, al delegar funciones o actividades a terceros. Sin embargo, estas ventajas competitivas traen consigo varios retos en torno a la seguridad de la información y la privacidad de datos, principalmente porque es-tos “tercerizadores” de servicios procesan, almacenan o tienen acceso a cientos o miles de datos de clientes, proveedores o empleados de nues-tro organización. La LFPDPPP sirve de marco legal, pero los responsables deberán supervisar de manera exhaustiva a los encargados y a los terceros de los datos de los titulares y así evitar caer en la promiscuidad de datos.

conferencista: alberto ramírez ayón, ciso de Bnp paribas cardif

uso de ontoLogías para organizar eL conocimiento en protección de datosLas ontologías, dentro del campo de las ciencias de la información, son la representación formal del conocimiento a través de conceptos y domi-nios. Esta exposición pretende dar a los involucra-dos en la protección de datos una perspectiva del concepto de ontología como una herramienta que les permita organizar el conocimiento de estándares, leyes y requerimien-tos de las empresas aplicado a sus áreas de interés.

conferencista: armando Becerra, especialista en protección de datos

privacidad de datos personaLes: un reto más para La seguridad de La información de Las compañías en méxicoLas empresas mexicanas libran una compleja y apremiante batalla en el campo de la regulación, que las obliga a buscar la co-rrecta implementación de controles de seguridad, con el fin de alcanzar el preciado objetivo de cumplir con la ley federal de pro-tección de datos personales. Es decir, se trata de aprender a proteger los datos de un tercero, cuando muchas veces ni él mismo es consciente del poder que otorga a las compañías al proporcionar su información. Las dudas, controles innecesarios y un des-conocimiento del tema en México, logran apoderarse de los proyectos de aseguramiento de cumplimiento a la ley, creando aún mayor incertidumbre sobre lo implementado y lo faltante por implementar ¿Cuáles son los retos y los obstáculos a superar en el entendimiento de la ley y su consecuente cumplimiento?

conferencista: clementina chávez, cisa y miembro de auditoria interna de it de telefónica méxico


Malware, la gran aMenaza para la seguridad de nuestra infor-Mación La información se ha convertido en uno de los principales blancos de los ataques informáticos. La proliferación de herramientas capaces de extraer información de nuestros equipos personales permite que estos queden a disposición del mejor postor. ¿Estamos preparados para este nuevo reto? ¿De qué manera podemos tomar acción y responder ante esta amenaza?

conferencista: roberto Martínez, analista de malware del equipo global de investigación y análisis de Kaspersky américa latina

reflexiones de seguridad en las organizacionesHoy se ha vuelto esencial identificar e implementar medidas de seguri-dad como partes medulares de cualquier proyecto de IT. A través de esta charla, queremos compartir con los asistentes, experiencias y lecciones de la vida real así como ayudarlos a ponderar la importancia de contar con buenas prácticas de seguridad dentro de su estrategia de tecnología.

conferencista: sinue Botello y francisco gonzález, especialistas de seguridad para oracle México

la protección de los datos inicia desde la conexión a la red Muchas veces nos preocupamos de que los datos no salgan del lugar donde los almacenamos o de las manos de las personas a quien se los confiamos, sin embargo nunca pensamos en la seguridad ligada a la conectividad. Desde hace varios años la conectividad juega un rol im-portante, tanto preventivamente como reactivamente, para controlar el acceso de usuarios y definir dentro de sus atributos o restricciones con qué dispositivos, servidores o aplicaciones se pueden conectar. El objeti-vo de la charla explicará cómo reducir las variables de fuga de informa-ción, al limitar usuarios, aplicaciones, dispositivos, sistemas operativos, lugares de conexión y horas de acceso a la red corporativa del negocio.

conferencista: ricardo argüello ortega, irector regional de enterasys networks para México, centro américa y región andina

Mitos y realidades de los Modelos de protección y privacidad de datos¿Se ha puesto a pensar en dónde y cómo tienen almacenados sus datos? ¿A cuántos recursos tendría que recurrir si su información está disper-sa? ¿Dónde radica la información de terceros? ¿Quién tiene acceso a esa información? ¿Qué deber hacer su empresa para cumplir con la norma-tividad? Acompáñenos a descubrir cómo se relacionan estas preguntas con una estrategia eficiente de protección y privacidad de datos. Explore si existen beneficios reales en el descubrimiento electrónico, y entenda-mos de los expertos la probabilidad de ser requeridos en proporcionar información a las autoridades dentro del marco de la LFPDPPP y cuán preparados estamos.

conferencistas: sylvia Martínez socia de servicios de asesoría corporativa de ernst & young México, geldard valle ingeniero en sistemas large enterprise y rafael garcía, experto en seguridad informática de symantec México

reporte de seguridad weB 2012Las amenazas de malware están creciendo en tamaño y sofisticación. Pro-téjase con conocimiento. Asista a la presentación del Reporte de Seguri-dad 2012 para conocer los últimos lanzamientos de descubrimientos de amenazas y las mejores prácticas de mitigación de malware. Aprenda so-bre: Malnet (redes malware), estrategias y tácticas y el panorama de ame-nazas malnet 2011 y su impacto. Conozca un análisis que le permitirá defender de los riesgos y amenazas digitales del nuevo siglo.

conferencista: eduardo rico, senior systems engineer de Blue coat systems

cassandra, pedrito y el loBo feroz en la lfpdpppRevisar los requerimientos que exige la LFPDPPP y su reglamento, así como los posibles elementos de revisión de parte de la autoridad y las activida-des que hay que realizar para apegarnos a un es-quema de cumplimiento. ¿Qué hacer cuando el IFAI toca a nuestras puertas?

conferencista: pablo corona fraga, iso 20000 e iso 27000 lead auditor itsMs professional

el Maratón del cso en el día a día del negocioLa labor del responsable de seguridad IT va más allá de simplemente proteger fierros y programas, de firewalls y programas antivirus. Un verdadero CSO requiere del desarrollo y uso de habilidades que le permitan dar valor al negocio y fomentar a lo largo de toda la organización el tema de seguri-dad como habilitador para enfrentar los retos de los negocios siglo XXI.

conferencista: rosa María camargo, cso de prosa

Por Paul Lara


Aunque el gobierno brAsileño debe dAr el sí definitivo, el pAís podríA convertirse en el primero en utilizAr tecnologíA de últimA generAción

pArA gArAntizAr lA seguridAd en un evento tAn mAsivo como el mundiAl de fútbol

brasilia (enviado).- La mañana del 12 de junio de 2014 todo está listo para inaugurar la XX edición de la Copa Mundial de Futbol en Brasil. El día pinta para fiesta, el sol calienta las ansias de los fanáticos de todo el mundo que

aguardan impacientes el pitazo inicial.Sin embargo, 30 minutos antes de que inicien los festejos, una alar-

ma llega al Centro de Comunicaciones y Guerra Electrónica del Ejér-cito (CCOMGEX): hay un conato de violencia a la entrada del estadio Corinthians, sede del partido inaugural. Cuatro hombres han des-pojado de sus pertenencias a varios aficionados y los han golpeado.

El general Santos Guerra, líder del CCOMGEX, y su equipo se preparan para evitar que el hecho pase a mayores. El uso de compu-tadoras con tecnología de punta, conectadas a redes de cuarta gene-ración, mejor conocidas como LTE, son su principal herramienta en la toma de decisiones.

Un “tecnoejército”, como les dice bromeando Eduardo Stefano, presidente de Motorola Solutions Brasil, actúa para evitar inciden-tes graves.

Dos vehículos tipo Hummer, que han sido equipados con antenas y computadoras —llamadas oficinas móviles— están en las calles para auxiliar a los soldados.

Diversas cámaras que transmiten desde el interior y las afueras del estadio mandan información en tiempo real a computadoras en el centro de comando, así como a dispositivos móviles, llámen-se laptops, tablets, lentes y radios digitales, que portan los soldados.

En menos de dos minutos se sabe quiénes son los causantes de la trifulca y se detecta que no van armados. Las cámaras han identifica-do sus rostros, y gracias a una base de datos biométricos se sabe sus nombres, dirección, nacionalidad, edad, entre otros datos.

Santos Guerra ha visto con sus lentes especiales, mismos que le permiten conocer las imágenes que captan las cámaras del estadio y mantener comunicación con el centro de comando, y manda a su equipo a actuar.

Al llegar el ejército, los agitadores se mezclan con la gente para ocultarse. A 500 metros a la redonda se sabe qué pasa y se ha hecho un cerco para evitar que se escapen los ahora delincuentes.

prepArAn en brAsil un

“tecnoejército” pArA lA copA

del mundo

Por Paul Lara


Aunque el gobierno brAsileño debe dAr el sí definitivo, el pAís podríA convertirse en el primero en utilizAr tecnologíA de últimA generAción

pArA gArAntizAr lA seguridAd en un evento tAn mAsivo como el mundiAl de fútbol

brasilia (enviado).- La mañana del 12 de junio de 2014 todo está listo para inaugurar la XX edición de la Copa Mundial de Futbol en Brasil. El día pinta para fiesta, el sol calienta las ansias de los fanáticos de todo el mundo que

aguardan impacientes el pitazo inicial.Sin embargo, 30 minutos antes de que inicien los festejos, una alar-

ma llega al Centro de Comunicaciones y Guerra Electrónica del Ejér-cito (CCOMGEX): hay un conato de violencia a la entrada del estadio Corinthians, sede del partido inaugural. Cuatro hombres han des-pojado de sus pertenencias a varios aficionados y los han golpeado.

El general Santos Guerra, líder del CCOMGEX, y su equipo se preparan para evitar que el hecho pase a mayores. El uso de compu-tadoras con tecnología de punta, conectadas a redes de cuarta gene-ración, mejor conocidas como LTE, son su principal herramienta en la toma de decisiones.

Un “tecnoejército”, como les dice bromeando Eduardo Stefano, presidente de Motorola Solutions Brasil, actúa para evitar inciden-tes graves.

Dos vehículos tipo Hummer, que han sido equipados con antenas y computadoras —llamadas oficinas móviles— están en las calles para auxiliar a los soldados.

Diversas cámaras que transmiten desde el interior y las afueras del estadio mandan información en tiempo real a computadoras en el centro de comando, así como a dispositivos móviles, llámen-se laptops, tablets, lentes y radios digitales, que portan los soldados.

En menos de dos minutos se sabe quiénes son los causantes de la trifulca y se detecta que no van armados. Las cámaras han identifica-do sus rostros, y gracias a una base de datos biométricos se sabe sus nombres, dirección, nacionalidad, edad, entre otros datos.

Santos Guerra ha visto con sus lentes especiales, mismos que le permiten conocer las imágenes que captan las cámaras del estadio y mantener comunicación con el centro de comando, y manda a su equipo a actuar.

Al llegar el ejército, los agitadores se mezclan con la gente para ocultarse. A 500 metros a la redonda se sabe qué pasa y se ha hecho un cerco para evitar que se escapen los ahora delincuentes.

prepArAn en brAsil un

“tecnoejército” pArA lA copA

del mundo


Como película de ciencia ficción, los soldados se mezclan con la gente, y con sistema biométrico detectan rostros para dar con los de-lincuentes.

En cinco minutos se encuentra a los cuatro agresores, se les captu-ra, y se les hace una prueba de iris para confirmar que sean son ellos.

Al dar el centro de comando la aprobación de identificación, son llevados ante las autoridades correspondientes. Muy pocos los saben pero gracias a este “tecnoejército” la inauguración del mundial del fútbol se lleva en orden y sin retrasos.

Lo narrado no proviene de un guión de Hollywood, sino que es una simulación hecha en las calles de Brasilia como parte de un programa piloto que Motorola, junto con el ejército brasileño, lleva a cabo para demostrar que tienen la tecnología más óptima para seguridad.

Santos Guerra afirma que 89% de las decisiones en un caso de emergencia se toman dependiendo de la información de voz y datos que se tienen en ese momento.

“Ahora con video y otras tecnologías como GPS, estamos 99% conscientes de que lo que hacemos es lo correcto y sin poner en ries-go a la población”, señala.

Brasil deBe elegir si acepta La nueva tecnología podría ser usada en los próximos encuentros deportivos que se realizarán en Brasil en los próximos años: Copa Confederaciones, Mundial de Futbol y Juegos Olímpicos.

Guerra añade que también puede utilizarse en casos de operativos de emergencia, desastres naturales o accidentes viales.

“El costo de este programa de seis meses lo ha absorbido Motoro-la, y suma poco más de $2 millones de dólares”, dice en entrevista con b:Secure, Eduardo Stefano, de Motorola Solutions Brasil.

Pero el gobierno brasileño tiene la última palabra sobre si acepta la propuesta de Motorola para comprar sus equipos y ca-pacitar a la policía nacional. Además de dar parte del espectro radioeléctrico en la frecuencia de 700 MHz —que pronto licita-rá y que es la más ideal para el uso de LTE—, y colocar cámaras en helicópteros de los medios de comunicación para tener una mejor cobertura.

Según Stéfano, Motorola tiene buena tecnología de encriptación, proporcionada por Ericsson, que garantiza un funcionamiento segu-ro y a prueba de hackers.

“Pero si algo falla, el sistema puede desactivarse de inmediato, im-pidiendo el acceso a los datos recabados”, dice el presidente de Mo-torola Solutions Brasil.

pelea tecnológicaEn la prueba piloto, que inició a finales de mayo pasado, el Ejército usa cinco computadoras de mano, igual número de radios digitales, tablets y lentes especiales. El Centro de Mando debe cumplir con dos o tres personas para ayudar en la operación.

“Se comprobará la eficacia de la tecnología y se ampliará poco a

poco su uso, porque tenemos el desafío de ganar parte de la subasta de 700 Mhz para seguridad”, dice Stefano.

Santos Guerra comentó en entrevista que la milicia ya solicitó la autorización de la Agencia Nacional de Telecomunicaciones de Brasil (Anatel) para utilizar la banda de 700 MHz durante las pruebas, pero que se está cobrando un ancho de banda de 20 MHz en la frecuencia para mejorar la seguridad pública en todo el país.

“Esperamos obtener la autorización en el corto plazo, ya que es una solución fundamental que se utiliza no sólo en los eventos de-portivos”, dice.

En el posible uso de la banda de 2.5 GHz, aclara: “No es nuestro objetivo el usar esta frecuencia comercial.”

Este tipo de tecnología, según el ejecutivo de Motorola Solutions, se prueba además en otras ciudades: San Francisco (California), el Condado de Harris (Texas) y el estado de Mississippi, en Estados Unidos. También hay ensayos similares en Israel, Hong Kong, Aus-tralia y Abu Dhabi.

“Nuestro interés es que este tipo de tecnología pueda ser utiliza-da por los gobiernos. Imagina de que utilidad podría ser México con el tema del crimen organizado. Ya estamos en pláticas con autorida-des de ese país, pero aún no hay nada concreto para iniciar pruebas como en Brasil”, explicó Stefano.

Agrega que en los próximos cuatro años se verán transformacio-nes en los equipos, a una velocidad que anteriormente hubieran durado 40 años, en gran medida como reflejo de la inversión en in-vestigación y desarrollo de cerca de $1,000 millones de dólares al año, que realiza la firma de telecomunicaciones.

Stefano contextualiza la lucha contra el narcotráfico en Brasil: El mercado de las drogas en Brasil equivale a $69,000 millones de dó-lares al año, y se gastan cerca de $20,000 millones de dólares en solucionar problemas relacionados con la venta y consumo de es-tupefacientes.

El gobierno invierte $6,000 millones de dólares en combate a este mal, y sólo tienen una eficiencia de 2.5%. “Te puedo asegurar que con estos equipos y su utilización contra el crimen, se podría subir este porcentaje a 30 puntos porcentuales”, añade Stefano.

pasiones desBordadas sólo en los estadiosA las 18:00 horas de ese 12 de junio de 2014, se han terminado las actividades deportivas, pero los elementos del ejército no pueden aún descansar.

Se ha reportado que los inchas argentinos han comenzado a dis-cutir contra su contraparte brasileña, y se ha iniciado otra trifulca. Afortunadamente, las cámaras detectan que sólo se llegó a palabras y empujones, y los soldados reciben la orden de Santos Guerra de sólo calmar los ánimos y se les permita continuar con el festejo.

Los impulsores de este proyecto confían en que el tecnoejército sea una realidad que garantice seguridad para los ciudadanos del mundo en las competencias internacionales, sin el temor a tener que tomar decisiones equivocadas. l


La sofisticación y frecuencia en los ciberataques y la falta de capacidad de las autoridades para castigar a los criminales han generado una enorme frustración dentro de miles empresas, que los ha llevado a to-

mar la justicia por cuenta propia, de acuerdo a un reporte de Reuters. Conocido en la industria de la seguridad IT como “defensa activa” o “ven-

ganza digital”, estas estrategias tienen como objetivo utilizar la tecnología para desplegar represalias que van desde medidas para distraer y retrasar el hacker, hasta algunas un poco más controvertidas.

Los expertos en seguridad dicen que incluso se ha sabido de varios ca-sos en los que las empresas han tomado medidas que podrían violar leyes de Estados Unidos u otros países, tales como la contratación “hackers” para que vulneren los sistemas de los cibercriminales que los atacaron.

Hecho que contrasta con los procedimientos actuales, que están enfoca-dos a mitigar, controlar y prevenir el ataque, más que a responder o vengar-se por del ataque.

Sin embargo, el informe de la agencia de noticias señala que: a medida que la prevención se ha hecho cada vez más compleja y el software malicio-so más fácil de conseguir en Internet, las compañías son cada vez más agre-sivas en la persecución de los delincuentes cibernéticos.

“Ya no se trata sólo de apagar el fuego, sino que también busca cómo atra-par al pirómano”, dijo a Reuters Shawn Henry, el ex jefe de investigaciones de delitos informáticos del FBI, que en abril se unió a la compañía de segu-ridad Cyber CrowdStrike.

Según Shawn, una vez que una empresa detecta una violación en su red, en lugar de expulsar a los intrusos, es posible retrasar y agotar a los hackers dándoles falsos accesos al sistema y a supuestos datos sensibles.

Dimitri Alperovich cofundador de Cyber CrowdStrike no recomienda que las empresas tratan atacar y destruir el equipo de los cibercriminales, pero reconoce las organizaciones deben luchar con mayor audacia contra el espionaje cibernético.

OjO pOr OjO, datO pOr datOSin embargo para otros expertos, una respuesta más agresiva podría cau-sar más daños de los que corrige, pues al ser tan abierto el ciberespacio una

venganza podría crear daños colaterales y en escalada.“Ningún resultado positivo puede derivar de este tipo de acciones”, dijo

a Reuters John Pescatore, veterano de la Agencia de Seguridad Nacional y del Servicio Secreto.

“No hay nada que puedas hacer” para impedir que los hackers decididos y bien financiados roben la información de una organización, dijo Rodney Joffe, tecnólogo senior de infraestructura de Internet de Neustar.

Joffe explica que recientemente analizó el tráfico de 168 de las 500 em-presas del Fortune 500, de los cuales detectó que las máquinas de 162 de la firmas transmitieron datos a cibercriminales sin saberlo.

A pesar de ellos los profesionales de seguridad IT reconocieron que toda-vía faltan leyes y castigos más estrictos, que no han sido aprobadas.

¿La ciberguerra fría?Pero la propagación del malware y el hacktivismo no son las únicas pro-blemáticas para gobiernos y empresas de todo el mundo en materia de se-guridad IT.

El reciente descubrimiento de Flame levantó señales de alarma sobre posible espionaje industrial en Medio Oriente patrocinado por gobiernos.

Debido a que algunos gobiernos nacionales son sospechosos en los ata-ques a las empresas privadas occidentales, es natural que algunas de las víc-timas quieren unirse a sus propios gobiernos para luchar.

En abril, el Departamento de Seguridad Nacional, Janet Napolitano dijo al diario San Jose Mercury News que el gobierno está contemplando, la creación de medidas “proactivas” frente a los ciberataques.

Pero no sólo los CSO están frustrados frente a la evolución del cibercri-men, en años recientes la mayoría de las firmas de seguridad han cambiado su discurso de ventas y promoción de servicios.

Del “es mejor prevenir que lamentar y hay que estar preparados”, aho-ra siguen el mensaje del Pentágono y del FBI que afirma “que existen dos tipos de empresas las hackeadas y las que están apunto de ser hackeadas”.

Reuters afirma que las organizaciones deben aprender a identificar su propiedad intelectual más preciada y mantenerla fuera de los ordenadores de la red y considerar posibles mecanismos de acción evasiva. l

acceso EmprEsas han comEnzado a buscar cómo

vEngarsE dE Los cibErcriminaLEs

La escalada en el cibercrimen, el hacktivismo y el espionaje Web están obligando a cSO y

empresas a buscar formas para contraatacar, legales e ilegalesPor carlos fernández de Lara


La sofisticación y frecuencia en los ciberataques y la falta de capacidad de las autoridades para castigar a los criminales han generado una enorme frustración dentro de miles empresas, que los ha llevado a to-

mar la justicia por cuenta propia, de acuerdo a un reporte de Reuters. Conocido en la industria de la seguridad IT como “defensa activa” o “ven-

ganza digital”, estas estrategias tienen como objetivo utilizar la tecnología para desplegar represalias que van desde medidas para distraer y retrasar el hacker, hasta algunas un poco más controvertidas.

Los expertos en seguridad dicen que incluso se ha sabido de varios ca-sos en los que las empresas han tomado medidas que podrían violar leyes de Estados Unidos u otros países, tales como la contratación “hackers” para que vulneren los sistemas de los cibercriminales que los atacaron.

Hecho que contrasta con los procedimientos actuales, que están enfoca-dos a mitigar, controlar y prevenir el ataque, más que a responder o vengar-se por del ataque.

Sin embargo, el informe de la agencia de noticias señala que: a medida que la prevención se ha hecho cada vez más compleja y el software malicio-so más fácil de conseguir en Internet, las compañías son cada vez más agre-sivas en la persecución de los delincuentes cibernéticos.

“Ya no se trata sólo de apagar el fuego, sino que también busca cómo atra-par al pirómano”, dijo a Reuters Shawn Henry, el ex jefe de investigaciones de delitos informáticos del FBI, que en abril se unió a la compañía de segu-ridad Cyber CrowdStrike.

Según Shawn, una vez que una empresa detecta una violación en su red, en lugar de expulsar a los intrusos, es posible retrasar y agotar a los hackers dándoles falsos accesos al sistema y a supuestos datos sensibles.

Dimitri Alperovich cofundador de Cyber CrowdStrike no recomienda que las empresas tratan atacar y destruir el equipo de los cibercriminales, pero reconoce las organizaciones deben luchar con mayor audacia contra el espionaje cibernético.

OjO pOr OjO, datO pOr datOSin embargo para otros expertos, una respuesta más agresiva podría cau-sar más daños de los que corrige, pues al ser tan abierto el ciberespacio una

venganza podría crear daños colaterales y en escalada.“Ningún resultado positivo puede derivar de este tipo de acciones”, dijo

a Reuters John Pescatore, veterano de la Agencia de Seguridad Nacional y del Servicio Secreto.

“No hay nada que puedas hacer” para impedir que los hackers decididos y bien financiados roben la información de una organización, dijo Rodney Joffe, tecnólogo senior de infraestructura de Internet de Neustar.

Joffe explica que recientemente analizó el tráfico de 168 de las 500 em-presas del Fortune 500, de los cuales detectó que las máquinas de 162 de la firmas transmitieron datos a cibercriminales sin saberlo.

A pesar de ellos los profesionales de seguridad IT reconocieron que toda-vía faltan leyes y castigos más estrictos, que no han sido aprobadas.

¿La ciberguerra fría?Pero la propagación del malware y el hacktivismo no son las únicas pro-blemáticas para gobiernos y empresas de todo el mundo en materia de se-guridad IT.

El reciente descubrimiento de Flame levantó señales de alarma sobre posible espionaje industrial en Medio Oriente patrocinado por gobiernos.

Debido a que algunos gobiernos nacionales son sospechosos en los ata-ques a las empresas privadas occidentales, es natural que algunas de las víc-timas quieren unirse a sus propios gobiernos para luchar.

En abril, el Departamento de Seguridad Nacional, Janet Napolitano dijo al diario San Jose Mercury News que el gobierno está contemplando, la creación de medidas “proactivas” frente a los ciberataques.

Pero no sólo los CSO están frustrados frente a la evolución del cibercri-men, en años recientes la mayoría de las firmas de seguridad han cambiado su discurso de ventas y promoción de servicios.

Del “es mejor prevenir que lamentar y hay que estar preparados”, aho-ra siguen el mensaje del Pentágono y del FBI que afirma “que existen dos tipos de empresas las hackeadas y las que están apunto de ser hackeadas”.

Reuters afirma que las organizaciones deben aprender a identificar su propiedad intelectual más preciada y mantenerla fuera de los ordenadores de la red y considerar posibles mecanismos de acción evasiva. l

acceso EmprEsas han comEnzado a buscar cómo

vEngarsE dE Los cibErcriminaLEs

La escalada en el cibercrimen, el hacktivismo y el espionaje Web están obligando a cSO y

empresas a buscar formas para contraatacar, legales e ilegalesPor carlos fernández de Lara

Consulte las bases en:

www.innovadorassectorpublico.com

Producido porUn estudio realizado por Con el apoyo

Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, [email protected]


Después de poco más de tres años de que comenzó la recolección de información personal de los usuarios de telefonía móvil por parte de la Cofetel y tras reconocer varias fallas en el programa, el pasado

15 de junio la Secretaría de Gobernación (Segob) anunció la destrucción de la base de datos del tan controversial Renaut (Registro Nacional de Usuarios de Telefonía Móvil) que contaba con 98 millones 455,246 archivos.

La eliminación de los archivos fue el resultado de semanas de fuertes se-ñalamientos a manos de asociaciones civiles y del mismo Instituto Federal de Acceso a la Información (IFAI), organo que solicitó inicialmente a Segob y Cofetel la explicación sobre el estado, cuidado, uso y destrucción de los datos recabados en 2010.

Problemas desde su gestaciónEl Renaut se creó en 2009 a petición de la Cámara de Diputados y era parte de un proyecto que obligaría a los usuarios de teléfonos móviles a entregar, a sus respectivos proveedores de servicios, datos personales como nombre, número telefónico y Clave Única de Registro de Población (CURP).

Al entrar en vigor, el 10 de abril de 2010, los legisladores califcaron al Re-nuat como una medida de prevención del uso indebido de líneas móviles para cometer crímenes como la extorsión, amenazas, secuestros o alguna acción relacionada con la delincuencia organizada.

El programa fue señalado por expertos y medios de comunicación, pues el proceso de registro no contaba con filtros ni con mecanismos de contol y validación del ciudadano.

Sin embargo, el programa nunca paso de la primera fase, la recolección, porque el proceso de validación, en el que el dueño de la líne debía acu-dir directamente a corroborar los datos, resultó ser un fracaso incosteable y, prácticamente, imposible de realizar.

A finales de 2010, la Comisión Federal de Telecomunicaciones (Cofetel) señaló que era necesario hacer un análisis para saber si el programa era fun-cional o si los resultados que se tenían eran negativos.

Ante la ineficiencia descubierta del programa, en el 2011 el Senado de la República decidió aprobar la derogación del mismo, aunque cabe seña-lar, que no especificaron qué pasaría con los millones de datos recaudados.

¿Y los datos?A principios del 2012, junto con la aprobación de la Ley de Geolocaliza-ción, los diputados decidieron derogar el Renaut por considerarlo ineficien-

te y contradictorio con las normas que habían aprobado para rastrear líneas de telefonía móvil utilizadas por criminales.

Días después de la derogación, el Instituto Federal de Acceso a la Infor-mación (IFAI) hizo uso de sus facultades en su condición de órgano garante del derecho a la protección de datos personales y ordenó a las autoridades competentes destruir todos los datos recabados en el Renaut.

El IFAI aseguró que la Cofetel y la Segob debían informar al Congreso de la Unión los mecanismos y procedimientos que tomarían para el correcto resguardo y la eventual destrucción de la base de datos.

La comisionada presidente del IFAI, Jacqueline Peschard, dio a conocer en ese momento que se había creado un grupo de trabajo especial junto con la Segob y la Cofetel con el objetivo de garantizar que la destrucción de los datos del Renaut se hiciera conforme a la ley.

Sin embargo, pasó el tiempo y tanto la Segob como la Cofetel se deslin-daron de la responsabilidad de la información recaudada con el Renaut. Las dependencias “se echaron la bolita entre ellas”, dijo a b:Secure, Irene Levy, presidente de Observatel, asociación encargada de analizar la actualidad y evolución de las telecomunicaciones en el país.

De acuerdo con Mayra Castillo, directora del Registro Nacional de Pobla-ción e Identificación Personal (Renapo), dependiente de la Segob, “la obli-gación de elaborar y actualizar el Renaut es de los concesionarios de redes públicas de telecomunicaciones. El fundamento jurídico que invoca el soli-citante es relativo a una atribución que corresponde a la SCT, que ejerce por conducto de la Cofetel”.

Mientras, la Cofetel respondió que “no es competente para dar res-puesta a la solicitud de referencia, en virtud de que la información relativa al Renaut en ningún momento fue administrada por este ór-gano. Es importante destacar que los datos que son enviados por los usuarios son recibidos por el Renapo, dependiente de la Secretaría de Gobernación”.

Luego de semanas de dimes y diretes de las dependencias y con la pre-sión de diversos grupos ciudadanos la Segob, en una ceremonia protocola-ria, anunció la destrucción de la base de datos del Renaut ante la presencia de representantes del IFAI y de la UNAM.

Gustavo Mohar, subsecretario de población, migración y asuntos re-ligiosos el proceso de eliminación fue sólido, transparente e impecable. Aun así expertos cuestionan si los datos no fueron copiados o duplica-dos en otras bases. l

especial

Destruyen renaut en meDio De

cuestionamientos y reclamos

tras meses discusiones sobre la ubicación y estado de los archivos, la segob por fin

anunció la destrucción de los más 98 millones de registros recabados como parte del

programa

Por Ángel Álvarez


Después de poco más de tres años de que comenzó la recolección de información personal de los usuarios de telefonía móvil por parte de la Cofetel y tras reconocer varias fallas en el programa, el pasado

15 de junio la Secretaría de Gobernación (Segob) anunció la destrucción de la base de datos del tan controversial Renaut (Registro Nacional de Usuarios de Telefonía Móvil) que contaba con 98 millones 455,246 archivos.

La eliminación de los archivos fue el resultado de semanas de fuertes se-ñalamientos a manos de asociaciones civiles y del mismo Instituto Federal de Acceso a la Información (IFAI), organo que solicitó inicialmente a Segob y Cofetel la explicación sobre el estado, cuidado, uso y destrucción de los datos recabados en 2010.

Problemas desde su gestaciónEl Renaut se creó en 2009 a petición de la Cámara de Diputados y era parte de un proyecto que obligaría a los usuarios de teléfonos móviles a entregar, a sus respectivos proveedores de servicios, datos personales como nombre, número telefónico y Clave Única de Registro de Población (CURP).

Al entrar en vigor, el 10 de abril de 2010, los legisladores califcaron al Re-nuat como una medida de prevención del uso indebido de líneas móviles para cometer crímenes como la extorsión, amenazas, secuestros o alguna acción relacionada con la delincuencia organizada.

El programa fue señalado por expertos y medios de comunicación, pues el proceso de registro no contaba con filtros ni con mecanismos de contol y validación del ciudadano.

Sin embargo, el programa nunca paso de la primera fase, la recolección, porque el proceso de validación, en el que el dueño de la líne debía acu-dir directamente a corroborar los datos, resultó ser un fracaso incosteable y, prácticamente, imposible de realizar.

A finales de 2010, la Comisión Federal de Telecomunicaciones (Cofetel) señaló que era necesario hacer un análisis para saber si el programa era fun-cional o si los resultados que se tenían eran negativos.

Ante la ineficiencia descubierta del programa, en el 2011 el Senado de la República decidió aprobar la derogación del mismo, aunque cabe seña-lar, que no especificaron qué pasaría con los millones de datos recaudados.

¿Y los datos?A principios del 2012, junto con la aprobación de la Ley de Geolocaliza-ción, los diputados decidieron derogar el Renaut por considerarlo ineficien-

te y contradictorio con las normas que habían aprobado para rastrear líneas de telefonía móvil utilizadas por criminales.

Días después de la derogación, el Instituto Federal de Acceso a la Infor-mación (IFAI) hizo uso de sus facultades en su condición de órgano garante del derecho a la protección de datos personales y ordenó a las autoridades competentes destruir todos los datos recabados en el Renaut.

El IFAI aseguró que la Cofetel y la Segob debían informar al Congreso de la Unión los mecanismos y procedimientos que tomarían para el correcto resguardo y la eventual destrucción de la base de datos.

La comisionada presidente del IFAI, Jacqueline Peschard, dio a conocer en ese momento que se había creado un grupo de trabajo especial junto con la Segob y la Cofetel con el objetivo de garantizar que la destrucción de los datos del Renaut se hiciera conforme a la ley.

Sin embargo, pasó el tiempo y tanto la Segob como la Cofetel se deslin-daron de la responsabilidad de la información recaudada con el Renaut. Las dependencias “se echaron la bolita entre ellas”, dijo a b:Secure, Irene Levy, presidente de Observatel, asociación encargada de analizar la actualidad y evolución de las telecomunicaciones en el país.

De acuerdo con Mayra Castillo, directora del Registro Nacional de Pobla-ción e Identificación Personal (Renapo), dependiente de la Segob, “la obli-gación de elaborar y actualizar el Renaut es de los concesionarios de redes públicas de telecomunicaciones. El fundamento jurídico que invoca el soli-citante es relativo a una atribución que corresponde a la SCT, que ejerce por conducto de la Cofetel”.

Mientras, la Cofetel respondió que “no es competente para dar res-puesta a la solicitud de referencia, en virtud de que la información relativa al Renaut en ningún momento fue administrada por este ór-gano. Es importante destacar que los datos que son enviados por los usuarios son recibidos por el Renapo, dependiente de la Secretaría de Gobernación”.

Luego de semanas de dimes y diretes de las dependencias y con la pre-sión de diversos grupos ciudadanos la Segob, en una ceremonia protocola-ria, anunció la destrucción de la base de datos del Renaut ante la presencia de representantes del IFAI y de la UNAM.

Gustavo Mohar, subsecretario de población, migración y asuntos re-ligiosos el proceso de eliminación fue sólido, transparente e impecable. Aun así expertos cuestionan si los datos no fueron copiados o duplica-dos en otras bases. l

especial

Destruyen renaut en meDio De

cuestionamientos y reclamos

tras meses discusiones sobre la ubicación y estado de los archivos, la segob por fin

anunció la destrucción de los más 98 millones de registros recabados como parte del

programa

Por Ángel Álvarez


En 2010 los fraudes bancarios provocaron que las entidades financieras del país tuvieran pérdidas por hasta $476 millones de pesos, revelan cifras de la Comisión Nacional para la Defensa de los Usuarios de las

Instituciones Financieras (Condusef). Para 2012 el panorama no es alenta-dor y expertos opinan que lejos de disminuir, dicha cifra se podría mante-ner o incluso incrementar.

De acuerdo con Oscar Camarillo, especialista en Soluciones de Detec-ción y Prevención de Fraude de SAS, la tasa de crímenes relacionados con la banca aumentó debido a la irresponsabilidad de las entidades financieras y de los propios clientes.

El experto asegura que mientras los criminales financieros han estableci-do procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de los delitos.

Mientras tanto, los clientes no tienen conciencia sobre lo que significa un contrato bancario y por lo tanto descuidan sus datos e información finan-ciera, lo que en consecuencia provoca que ésta sea utilizada en su contra.

“Los clientes usualmente compran en sitios Web sin verificar la seguridad del portal, descuidan sus estados de cuenta y en algunos casos comparten sus códigos de seguridad con sus conocidos, acciones que los vuelven vul-nerables frente a un fraude”, sentencia.

Prueba de lo señalado por Camarillo son las cifras que expone la Condu-sef, tan sólo en 2011 el organismo recibió más de 119,000 quejas asociadas a alguna actividad criminal. Cabe destacar que esta situación no es única en México, 30% de los tarjetahabientes en América Latina fueron víctimas de un fraude bancario durante los últimos dos años.

Organización cOmO baseCamarillo explica que los fraudes bancarios son diversos y dependen tan-to de la capacidad del criminal, como de la ambición y capacidad de orga-nización del mismo.

“Entre los delitos bancarios más comunes en México se encuentra la clo-nación de tarjetas, el robo de claves personales y la extracción de informa-ción para obtener créditos a nombre de sus víctimas”, asegura.

El especialista explica que dichos crímenes no suelen ser realizados de manera solitaria y justamente a esta situación deben su éxito.

“Estos delincuentes operan con bandas de criminales financieros a su lado, cada miembro tiene una función específica dentro de la organización y

esto dificulta que sean rastreados y atrapados por las autoridades”, lamenta.Mientras que los criminales financieros son capaces de organizar y defi-

nir funciones, los bancos tienen que combatir el crimen y además lidiar con sus propios empleados, que está involucrados con dichas asociaciones de-lictivas en la mayoría de los fraudes.

La anaLítica para prevenir eL deLitOPese a que los criminales financieros tienen un método de trabajo bien esta-blecido, en el mercado existen herramientas que permiten a los bancos ade-lantarse a los delincuentes y de esta manera evitar su éxito.

Camarillo asegura que las bancos podrían optar por soluciones de inte-ligencia y analítica, que ofrecen una visión única de los clientes, presume.

“El área de mercadotecnia debe de compartir los datos de cada usuario con el departamento de prevención de fraudes y viceversa. Esto ofrecería un perfil único de cada cliente, lo que permitiría conocer los hábitos de consu-mo y así predecir cuál será su comportamiento financiero”, explica.

Lamentablemente en México las instituciones financieras no han optado por este tipo de soluciones y como consecuencia enfretan constantemente cientos de casos relacionados con fraudes sin saber cómo resolverlos.

Contar con soluciones de analítica e inteligencia de negocios en los sis-temas permite a las instituciones financieras detener transacciones fraudu-lentas o conocer en qué momento se está cometiendo un delito, subraya.

cOmpartir infOrmación entre afectadOsOtra de las recomendaciones de Camarillo esta relacionada con el intercam-bio de información entre las entidades financieras. El ejecutivo asegura que ésta práctica permite prevenir conductas fraudulentas y saber cómo reaccio-nar frente a un incidente.

La recomendación de Camarillo esta sustentada en los procedimien-tos que siguen los bancos en Estados Unidos y Canadá, que por ley es-tán obligados a intercambiar información relacionada con fraudes.

En México, los miembros de la Asociación Mexicana de Seguros están obligados a compartir la información en su poder, factor que ha ayudado a su desarrollo y a mejorar el servicio que ofrecen a sus clientes.

Camarillo concluyó que mientras las entidades financieras no opten por el desarrollo e implementación de tecnologías proactivas no podrán enfren-tar a los delincuentes de manera acertada, finalizó. l

especial FraudE bancario, un crimEn

millonario quE pErmanEcE En lo

“oscurito”

mientras los criminales han establecido procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de estos delitos

Por sergio López


Un gran amigo inicia sus presentaciones sobre Protección de da-tos personales hablando de la historia de Casandra, hija de Hé-cuba y Príamo, reyes de Troya, quien tenía el don de la profecía

y la adivinación. Pero era una habilidad maldita, pues como Casandra rechazó el amor del dios Apolo, este en castigo le escupió a la adivina-dora en la boca, permitiendo que conservará su don para predecir el fu-turo, pero quitándole cualquier credibilidad posible. Una simple loca a los ojos de los comunes.

Aunque la metáfora requiere un poco de imaginación, creo que el mito griego puede verse hoy reflejado, si se analiza con detenimiento dentro de los parámetros de la Ley Federal de Protección de Datos Per-sonales en Posesión de Particulares

En innumerables ocasiones he comentado que la ley fue publicada hace ya casi dos años y desde entonces decenas de voces han clama-do a los cielos todo lo que podría pasar si no cumplen con la regulación, pero ha pasado tanto tiempo sin que se sepa de alguna compañía haya enfrentado alguna consecuencia, que muchos nos sentimos como Ca-sandra o el mismo Pedrito, del cuento infantil de Pedro y el lobo: sabe-mos que algo malo va a suceder, pero ya nadie cree que realmente pase.

Pues les tengo buenas y malas noticias. La buena es que aquellos Ca-sandros y Pedros, que tanto predecían y advertían no están del todo lo-cos; la mala es que al parecer el lobo ya está aquí.

Hace una semanas llegaron a mis manos una serie de cartas y docu-mentos en los que el IFAI hace requerimientos a empresas, en los que les solicita varios elementos para corroborar la forma en la que la empre-sa actuó ante peticiones particulares de ejercicios de derechos ARCO.

Para complementar la información el IFAI solicita varios elementos, que trataré de resumir a continuación:• Copiadelosdocumentosdonderecabaelconsentimientoexpreso

cuando se trata de datos sensibles• Lapolíticadeconfidencialidaddelaempresasegúnloqueexpresael

Artículo 21 de la Ley• Elavisodeprivacidadylaformaenlaquesedaaconocer

Hasta aquí suenan todas fáciles, pero la siguiente parte puede ser una golpe para muchas organizaciones:• Laformaenlaquesegarantizalaconfidencialidaddelosdatosper-

sonales (hablando ya de garantizar, por lo que dependiendo del vo-lumen y sensibilidad de los datos, habrá que contar con controles de seguridad que puedan asegurarnos su confidencialidad)

• Informarsihantenidoosufridovulnerabilidadesasussistemasyda-tos. Esto bajo los términos de la Ley y el Reglamento

• Manifestarquépersonaldelaorganizacióntieneaccesoalodatospersonales y de qué manera han sido concientizados sobre la impor-tancia de los datos que manejan. Tratándose de empresas con un buennúmerodeempleados,estoyanoeslabordeunpardedías,elprogramadeconcientizaciónycapacitacióndebehacerseextensivoa prácticamente a todo el personal, desde los que reciben identifica-ciones en la puerta, los vendedores, hasta personal que atiende a los clientes

• Informarsobrelasmedidasfísicas,técnicasoadministrativasquehaimplementado para tratar los datos personalesComo dije al principio, parece es de vital importancia comenzar a to-

mar en serio las medidas de protección de datos y asegurarnos que es-temos en completo cumplimiento. Para ello recalco algunas acciones que mencioné en un artículo anterior:• Clasificar losdatos, señalando losque sean sensibles; recordando

que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular

• Ponerespecialatenciónenlosexpedientesderecursoshumanosdeempleados potenciales, actuales y pasados de la organización. Así como en los de clientes que sean personas físicas, ya sean prospec-tos, actuales o pasados

• Realizarunanálisisdelosriesgosalosqueestánexpuestoslosdatospersonales, considerando las posibles vulneraciones que contempla el Artículo 63 del reglamento.

• Realizarunaanálisisdebrechasobrequécontrolesyatenemosim-plementados y establecer un plan de trabajo para implementar los faltantes. Recordando que tenemos hasta junio de 2013 para tenerlos implementados.

• Asegurarnosquecontamosconunavisodeprivacidadqueestéali-neado a los elementos señalados por el Art. 26 del reglamento y el 16º de la Ley. l

Cómo responder CUando el IFaI llame a sU pUerta

opinión

Por Pablo Corona Fraga

Hoy, a casi dos años de la publicación de la LFDPPP, el IFAI ha comenzado a tocar puertas y ventanas para pedir explicaciones y atender reclamos, ¿usted ya sabe qué le va a pedir?

pablo es ingeniero en Sistemas, certificado como MCSA, ITIL, ISO/IEC20000 Service Manager, RiskAssessment y IT Governance. Gerente de Certificación de Sistemas de Ges-tión de TI en NYCE. Ha participado en el diseño, implementación y mantenimiento de infraestructura de TI, gestión de servicios y administración de sistemas en empresas de dife-rentes ramos, implementando las mejores prácticas de TI. Es auditor en ISO20000 e ISO27000 y desarrolló el Kit de implantación de ISO20000 para PyMES.


Un gran amigo inicia sus presentaciones sobre Protección de da-tos personales hablando de la historia de Casandra, hija de Hé-cuba y Príamo, reyes de Troya, quien tenía el don de la profecía

y la adivinación. Pero era una habilidad maldita, pues como Casandra rechazó el amor del dios Apolo, este en castigo le escupió a la adivina-dora en la boca, permitiendo que conservará su don para predecir el fu-turo, pero quitándole cualquier credibilidad posible. Una simple loca a los ojos de los comunes.

Aunque la metáfora requiere un poco de imaginación, creo que el mito griego puede verse hoy reflejado, si se analiza con detenimiento dentro de los parámetros de la Ley Federal de Protección de Datos Per-sonales en Posesión de Particulares

En innumerables ocasiones he comentado que la ley fue publicada hace ya casi dos años y desde entonces decenas de voces han clama-do a los cielos todo lo que podría pasar si no cumplen con la regulación, pero ha pasado tanto tiempo sin que se sepa de alguna compañía haya enfrentado alguna consecuencia, que muchos nos sentimos como Ca-sandra o el mismo Pedrito, del cuento infantil de Pedro y el lobo: sabe-mos que algo malo va a suceder, pero ya nadie cree que realmente pase.

Pues les tengo buenas y malas noticias. La buena es que aquellos Ca-sandros y Pedros, que tanto predecían y advertían no están del todo lo-cos; la mala es que al parecer el lobo ya está aquí.

Hace una semanas llegaron a mis manos una serie de cartas y docu-mentos en los que el IFAI hace requerimientos a empresas, en los que les solicita varios elementos para corroborar la forma en la que la empre-sa actuó ante peticiones particulares de ejercicios de derechos ARCO.

Para complementar la información el IFAI solicita varios elementos, que trataré de resumir a continuación:• Copiadelosdocumentosdonderecabaelconsentimientoexpreso

cuando se trata de datos sensibles• Lapolíticadeconfidencialidaddelaempresasegúnloqueexpresael

Artículo 21 de la Ley• Elavisodeprivacidadylaformaenlaquesedaaconocer

Hasta aquí suenan todas fáciles, pero la siguiente parte puede ser una golpe para muchas organizaciones:• Laformaenlaquesegarantizalaconfidencialidaddelosdatosper-

sonales (hablando ya de garantizar, por lo que dependiendo del vo-lumen y sensibilidad de los datos, habrá que contar con controles de seguridad que puedan asegurarnos su confidencialidad)

• Informarsihantenidoosufridovulnerabilidadesasussistemasyda-tos. Esto bajo los términos de la Ley y el Reglamento

• Manifestarquépersonaldelaorganizacióntieneaccesoalodatospersonales y de qué manera han sido concientizados sobre la impor-tancia de los datos que manejan. Tratándose de empresas con un buennúmerodeempleados,estoyanoeslabordeunpardedías,elprogramadeconcientizaciónycapacitacióndebehacerseextensivoa prácticamente a todo el personal, desde los que reciben identifica-ciones en la puerta, los vendedores, hasta personal que atiende a los clientes

• Informarsobrelasmedidasfísicas,técnicasoadministrativasquehaimplementado para tratar los datos personalesComo dije al principio, parece es de vital importancia comenzar a to-

mar en serio las medidas de protección de datos y asegurarnos que es-temos en completo cumplimiento. Para ello recalco algunas acciones que mencioné en un artículo anterior:• Clasificar losdatos, señalando losque sean sensibles; recordando

que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular

• Ponerespecialatenciónenlosexpedientesderecursoshumanosdeempleados potenciales, actuales y pasados de la organización. Así como en los de clientes que sean personas físicas, ya sean prospec-tos, actuales o pasados

• Realizarunanálisisdelosriesgosalosqueestánexpuestoslosdatospersonales, considerando las posibles vulneraciones que contempla el Artículo 63 del reglamento.

• Realizarunaanálisisdebrechasobrequécontrolesyatenemosim-plementados y establecer un plan de trabajo para implementar los faltantes. Recordando que tenemos hasta junio de 2013 para tenerlos implementados.

• Asegurarnosquecontamosconunavisodeprivacidadqueestéali-neado a los elementos señalados por el Art. 26 del reglamento y el 16º de la Ley. l

Cómo responder CUando el IFaI llame a sU pUerta

opinión

Por Pablo Corona Fraga

Hoy, a casi dos años de la publicación de la LFDPPP, el IFAI ha comenzado a tocar puertas y ventanas para pedir explicaciones y atender reclamos, ¿usted ya sabe qué le va a pedir?

pablo es ingeniero en Sistemas, certificado como MCSA, ITIL, ISO/IEC20000 Service Manager, RiskAssessment y IT Governance. Gerente de Certificación de Sistemas de Ges-tión de TI en NYCE. Ha participado en el diseño, implementación y mantenimiento de infraestructura de TI, gestión de servicios y administración de sistemas en empresas de dife-rentes ramos, implementando las mejores prácticas de TI. Es auditor en ISO20000 e ISO27000 y desarrolló el Kit de implantación de ISO20000 para PyMES.


Comienzo con un par de noticias que me hacen reflexionar sobre la cantidad de información y datos personales que se compar-ten con terceras partes, ya sea por outsourcing, por “tercerizar”

servicios, o alguna otra razón.A finales de marzo millones de tarjetahabientes fueron robados tras

el hackeo a Global Payments, afectando a clientes de VISA, Master-Card y American Express. Ese mismo mes, en Estados Unidos se re-portó que un empleado robó 228,000 registros de pacientes y los manda a su mail personal.

De acuerdo a Miguel Tijerina Schon de Buró de Crédito, a diario hay alrededor 880 denuncias por robo de identidad y tienen su origen en tres causas principales: la física, la telefónica y la electrónica.

¿A cuántas empresas le has dado tus datos personales, sensibles o información confidencial? ¿No tienes idea? Quizás podríamos empezar por tu banco o bancos, tu escuela o trabajo, médicos y hospitales don-de hayas estado, créditos a los que hayas aplicado, la lista puede ser tan grande como tu memoria te dé.

Promiscuidad de datos en sodoma, Gomorra y outsourcinG Quiero hablar de la “promiscuidad” de datos corporativa. Una que se vive cuando un servicio o actividad es tercerizada y en la que la priva-cidad podría ponerse en duda si no existen los controles adecuados.

Vivimos en mundo globalizado donde el intercambio de información es masivo, rápido y transfronterizo. Las empresas, hoy, subcontratan personal u otras organizaciones para que realicen, usualmente, activi-dades que no son el core del negocio, como limpieza, infraestructura, reclutamiento, etcétera. Son estos procesos los que dan inicio al inter-cambio de datos e información de usuarios, empleados, clientes, socios y anexas. Pensemos por un momento el siguiente caso:

1. Si una persona X, hace un contrato bancario o hipotecario con Banco A

2. Banco A tiene subcontratados algunos servicios como manejo de su infraestructura con empresa B, además procesa y almacena los da-tos con su matriz en otro país C

3. Empresa B, a su vez, subcontrata a D para servicios de personal y tienen su sitio de procesamiento con E

4. Además, Banco A venderá otro tipo de servicios, por lo que sub-contrata a F, quien hará la labor de venta a través de diferentes medios y requiere “outsourcear” servicios con otras compañías, G y H, por los perfiles que manejan

El ejempló podría continuar hasta el infinito, o más bien hasta que us-ted se canse de leer y yo de escribir. Lo que quiero demostrar aquí es: donde parece que la persona X sólo tiene un contrato de crédito ban-cario con A, la realidad es que sus datos están siendo accedidos, alma-cenados, procesados, transferidos por B, C, D, E, F, G, algunos de ellos incluso fuera del país.

No es de extrañar que este escenario sea común actualmente, pero los controles de información entre las empresas mencionadas, posible-mente diverjan en alcance y procesos.

Me parece una tremenda falacia argumentar que para eso fue creada la LFDPPP. Si bien es cierto que la ley normará lo que res-pecta a la privacidad de datos personales en México, aún exis-te un enorme desconocimiento alrededor de estas cadenas de promiscuidad de datos. En particular cuando el intercambio es transfronterizo y donde se involucren una o más empresas de outsourcing.

¿Qué intento transmitir en este texto? Que la responsabilidad de los datos NO se puede endosar a otra empresa. Si la empresa A es con quien el usuario X tiene una relación. Aunque A tenga outsourcing con B, y B lo tenga con C y D, y éstas a su vez creen una relación con E,F,G o Z si quieren, los datos del usuario X son responsabilidad —a los ojos de su dueño— de la empresa A.

Es ésta quien tendrá que asegurarle al usuario y a las autori-dades que los controles de privacidad y seguridad son los mí-nimos requeridos, tanto en la propia empresa, como con en el resto de las organizaciones con quien comparte los datos (B, C, D, E, F, G). Es responsabilidad también de la empresa A asegu-rarse, hacer revisiones y auditar que éstas últimas tengan di-chos controles. O de lo contrario viviremos en una especie de Sodoma y Gomorra del mundo digital. Y por más que eso suene tentador para muchos, les garantizo que es menos atractivo de lo que imaginan. l

Mind the Information Security Gap… always.

El mal dE la Era WEb: la promisCuidad dE los datos

Por alberto ramírez ayón, CISM , CISA, CRISC, CBCP

AlwAys Mind the inforMAtion security GAp

Libres, compartidos y globales son sustantivos que constantemente enaltecemos al hablar de la era digital, al menos hasta que descubrimos que nuestros datos personales también podrían ir acompañados de ellos


En una organización o empresa, el análisis y diseño de sistemas se refiere al proceso de examinar y analizar un problema, con el propósito de que sea solucionado mediante el diseño de una pla-

taforma de información y con la finalidad de mejorar los métodos y pro-cedimientos de dicha organización. Una tarea que reace en el analista de sistemas, el encargado de realizar —valga la redundancia— las ta-reas de análisis y diseño que mejor se ajusten a las necesidades de la organización o firma para la cual trabaja.

Este analista debe conocer, que para comenzar cualquier desarrollo de proyecto es necesario realizar un estudio de sistemas, para detectar todos los detalles del estado actual de la infraestructura IT en la la em-presa y proveer soluciones reales y seguras.

Desde el punto de vista del desarrollo de sistemas, es importante mencionar que el mismo consta de dos partes. La primera parte es el “Análisis”, el cual se define como el proceso de clasificación e interpre-tación de hechos, diagnóstico de problemas y empleo de la información para recomendar mejoras al sistema. La segunda parte es el “Diseño”, el cual especifica las características del producto terminado.

A través de este artículo se propone la revisión del modelo de de-sarrollo de sistemas de información, añadiendo un nuevo componen-te a este modelo el cual es la “seguridad en informática”. Este nuevo modelo propone que se enmarque la seguridad en cada proceso de análisis y diseño, teniendo en mente el desarrollo e implantación de proyectos seguros desde todos las partes de los ciclos y elementos de la infraestructura.

CiClo de vida del desarrollo de sistemasEl análisis y diseño de sistemas es un procedimiento para la resolu-ción de problemas [1]. Cuando se trata del diseño de sistemas de IT, se busca analizar detenidamente la entrada o flujo de datos, su transfor-mación, almacenamiento y salida en el contexto de una organización particular. También es utilizado para analizar, diseñar e implementar mejoras que puedan incorporarse en la organización y puedan ser al-canzadas al usar un sistema de información computarizado. Como se describió anteriormente los diseños de sistemas de información traba-jan con datos, ¿así que por qué no tomarse el tiempo en diseñar proyec-tos seguros desde el principio?

La figura 1 indica el modelo conceptual que proponemos, en donde la función del analista de sistemas o el diseñador de proyectos de infor-mática posee una base sólida en materia de seguridad IT. Aunque es

un modelo general, el objetivo es promover una discusión entre los ana-listas y diseñadores de sistemas sobre la seguridad en todos los ciclos y elementos del desarrollo de soluciones IT. Hemos encontrado que mu-chos analistas y diseñadores conocen muy poco sobre el tema de ciber-seguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.

elementos de un sistema it los fierros o el hardwareDesde la perspectiva de los elementos que componen un sistema de información se pueden mencionar varios, entre ellos el equipo o hard-ware. Este es el elemento en donde se implementará la operación del sistema. Por lo tanto el diseño del hardware es la primera pieza que debe integrar seguridad. De acuerdo a Grand (2004) [2], el diseño del hardware comúnmente se toma a la ligera desde el ciclo de vida del de-sarrollo del producto, dejando fuera importantes consideraciones de di-seño y generando un producto vulnerable a ataques de hackers, que eventualmente ocasiona pérdida de servicios, ganancias, o reputacio-nes de buenas empresas.

IntegracIón de la SegurIdad en el análISIS y dISeño de SIStemaS InformátIcoS

muro humano

Por aury m. Curbelo

mantenimiento del SiStema

inveSitigación preliminar

análiSiS del SiStema

diSeño del SiStema

deSarrollo del SiStema

implementación del SiStema

BaSe de Seguridad

Figura 1. Modelo propuesto del ciclo de vida del desarrollo de sistemas que incluya una base en el tema de seguridad.


En una organización o empresa, el análisis y diseño de sistemas se refiere al proceso de examinar y analizar un problema, con el propósito de que sea solucionado mediante el diseño de una pla-

taforma de información y con la finalidad de mejorar los métodos y pro-cedimientos de dicha organización. Una tarea que reace en el analista de sistemas, el encargado de realizar —valga la redundancia— las ta-reas de análisis y diseño que mejor se ajusten a las necesidades de la organización o firma para la cual trabaja.

Este analista debe conocer, que para comenzar cualquier desarrollo de proyecto es necesario realizar un estudio de sistemas, para detectar todos los detalles del estado actual de la infraestructura IT en la la em-presa y proveer soluciones reales y seguras.

Desde el punto de vista del desarrollo de sistemas, es importante mencionar que el mismo consta de dos partes. La primera parte es el “Análisis”, el cual se define como el proceso de clasificación e interpre-tación de hechos, diagnóstico de problemas y empleo de la información para recomendar mejoras al sistema. La segunda parte es el “Diseño”, el cual especifica las características del producto terminado.

A través de este artículo se propone la revisión del modelo de de-sarrollo de sistemas de información, añadiendo un nuevo componen-te a este modelo el cual es la “seguridad en informática”. Este nuevo modelo propone que se enmarque la seguridad en cada proceso de análisis y diseño, teniendo en mente el desarrollo e implantación de proyectos seguros desde todos las partes de los ciclos y elementos de la infraestructura.

CiClo de vida del desarrollo de sistemasEl análisis y diseño de sistemas es un procedimiento para la resolu-ción de problemas [1]. Cuando se trata del diseño de sistemas de IT, se busca analizar detenidamente la entrada o flujo de datos, su transfor-mación, almacenamiento y salida en el contexto de una organización particular. También es utilizado para analizar, diseñar e implementar mejoras que puedan incorporarse en la organización y puedan ser al-canzadas al usar un sistema de información computarizado. Como se describió anteriormente los diseños de sistemas de información traba-jan con datos, ¿así que por qué no tomarse el tiempo en diseñar proyec-tos seguros desde el principio?

La figura 1 indica el modelo conceptual que proponemos, en donde la función del analista de sistemas o el diseñador de proyectos de infor-mática posee una base sólida en materia de seguridad IT. Aunque es

un modelo general, el objetivo es promover una discusión entre los ana-listas y diseñadores de sistemas sobre la seguridad en todos los ciclos y elementos del desarrollo de soluciones IT. Hemos encontrado que mu-chos analistas y diseñadores conocen muy poco sobre el tema de ciber-seguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.

elementos de un sistema it los fierros o el hardwareDesde la perspectiva de los elementos que componen un sistema de información se pueden mencionar varios, entre ellos el equipo o hard-ware. Este es el elemento en donde se implementará la operación del sistema. Por lo tanto el diseño del hardware es la primera pieza que debe integrar seguridad. De acuerdo a Grand (2004) [2], el diseño del hardware comúnmente se toma a la ligera desde el ciclo de vida del de-sarrollo del producto, dejando fuera importantes consideraciones de di-seño y generando un producto vulnerable a ataques de hackers, que eventualmente ocasiona pérdida de servicios, ganancias, o reputacio-nes de buenas empresas.


muro humano

Por aury m. Curbelo

mantenimiento del SiStema

inveSitigación preliminar

análiSiS del SiStema

diSeño del SiStema

deSarrollo del SiStema

implementación del SiStema

BaSe de Seguridad

Figura 1. Modelo propuesto del ciclo de vida del desarrollo de sistemas que incluya una base en el tema de seguridad.



La Revista ExtremeTech [3] publicó un sin numero de casos en don-de los errores en el diseño del hardware atentan contra la seguridad de los usurarios. De igual forma, el Centro de Aparatos y Salud Radiológi-ca de Estados Unidos o el Center for Devices and Radiological Health (CDRH) [4] reportó que existe una preocupación en la falta de cuidado en el diseño de aparatos médicos, que eventualmente podría afectar a los pacientes e inclusive provocar su muerte. Es claro que todo analista debe tener en mente que no existe ningún sistema 100% infalible. Por lo tanto, es importante que cuando se diseñe hardware se considere que tarde o temprano será atacado.[5]

InformacIón de 1 y 0Los datos son todas aquellas entradas que necesita el sistema diseña-do para generar el resultado que busca la organización. En el análisis y diseño de cómo se va a manejar el flujo de datos o información, resul-ta evidente que el elemento de seguridad esté presente. El triángulo de la seguridad: integridad, disponibilidad y confidencialidad debe ser la norma en este aspecto. Sobra mencionar la cantidad de pérdidas mi-llonarias a causa de brechas o fugas de información, simplemente por que el diseñador de sistemas no consideró la seguridad en las transmi-siones de datos. Varios estudios indican que las tres causas principales detrás de una fuga o robo de archivos son: la pérdida o robo de equi-pos como laptops o dispositivos móviles (35%), accidentes provocados por terceros, es decir los cibercriminales (32%) y la falla de uno o más sistemas (29%). [6]

La herramIentas o eL softwareLos programas o el software son los responsables de hacer que los datos de entrada sean procesados y generen los resultados espera-dos. Sin embargo, la industria del diseño de software es conside-rada una de las más complejas y demandantes. Es bien conocida la prisa y urgencia con la que muchas compañías de desarrollo se ven obligadas a liberar una “solución mágica”, que para la mala fortuna de sus clientes está llena de errores en programación y ho-yos de seguridad.

Esta situación tiene dos puntos de vista. El primero es que ningún “software” es perfecto, por lo tanto los errores y fallas en programación son muy comunes. Segundo, si los errores y fallas se lograrán corregir los parches y el hacking ya que no existirían. El problema es que como la tecnología está en constante cambio el desarrollo de software tam-bién lo está, por lo que se convierte en una industria muy volátil y difí-cil de predecir.

Para medir la efectividad de un programa es importante tomar en consideración ciertos factores dentro de su diseño. Estos factores son: la planificación del diseño, donde se debe considerar quiénes serán sus usuarios finales, que datos procesará, analizará y sensibilidad de los mismos; también es importante considerar el propósito final, lo últi-mo que queremos es que un software venga a traer más problemas de los que resuelve.

Quién podría olvidar el estreno de Microsoft Vista, el cual ha sido considerado como uno de los errores técnicos más grande de la déca-da [7]. La firma de investigación Pigdom [8] presentó hace poco los 10 errores históricos en la industria del software y sus consecuencias. El mayor desastre en diseño de software es el no tomar en cuenta la segu-ridad desde su gestación. ¿Por qué no integrar seguridad en el diseño

y planificación desde el principio? ¿Por qué no analizar las consecuen-cias de malas programaciones antes de que ocurran?

La capa 8 o eL recurso humanoFinalmente, dentro del análisis y diseño de sistemas de información el recurso humano es el más importante de todos, ya que representan to-das las personas que utilizarán el sistema. Muchos autores e investi-gadores coinciden en que el eslabón menos fuerte de toda cadena de seguridad son los humanos. Así que al analizar y diseñar un sistema, la prioridad debe residir en proteger al máximo la información de los mis-mos humanos, ¿irónico verdad?

Pese a los muchos esfuerzos que las empresas realizan a diario para educar y adiestrar al personal no técnico en aspectos de seguridad IT, todavía es mucho lo que hay que hacer para resguardar la información. Varios reportes muestran el rol activo de los empleados en todos los ca-sos de brechas de información [9] [10]. De hecho en la mayoría de las ocasiones es el usuario el culpable de dichas fugas y no los sistemas que las áreas IT han instalado para evitar justo eso.

Ahora bien, si la integración de seguridad en el análisis y diseño de sistemas informáticos son tan importantes y de extrema urgencia, ¿Por qué no se implementan? ¿De quién es la culpa?

razones para La faLta de ImpLementacIón. El Instituto de Sans publicó un estudio llamado Security Scenarios in Analysis and Design [11], en el cual se revisaron seis libros de textos re-lacionados al tema de análisis y diseño de sistemas informáticos a ni-vel universitario. Estos libros son utilizados en diversas universidades en Estados Unidos, en donde se imparten programas relacionados a las ciencias en Computación. De acuerdo al estudio, se encontró que en la mayoría de libros revisados discutían el tema de la seguridad de ma-nera muy general y en algunos casos simplemente no se mencionaba. De hecho, el instituto concluye en que la mayoría de los casos, a nivel universitario. el tema de seguridad en informática no está incluido en la enseñanza del tema de análisis y diseño de sistemas de informática.

Esta investigación representa un reto para los académicos para que incorporen el tema de la seguridad de los sistemas de información como parte de la enseñanza en los módulos de análisis y diseño. Mu-chos analistas están acostumbrados a desarrollar contramedidas una vez terminado los procesos de diseño e implantación de sistemas. En su lugar, este artículo propone la incorporación del tema de seguridad en todos los ciclos y elementos del desarrollo de sistemas. Para lograr esto se requiere un cambio en el paradigma de la enseñanza y entender a profundidad que todo lo que se analice y se diseñe, desde el ojo del analista de sistemas, debe incluir la posibilidad de un ataque. Además significa que la seguridad debe ser una prioridad en la planificación del diseño y no una consecuencia. l

[1] http://www.rena.edu.ve/cuartaEtapa/Informatica/Tema11.html [2] http://www.grandideastudio.com/wp-content/uploads/secure_embed_paper.pdf[3] http://www.extremetech.com/extreme/129764-tech-wrecks-lessons-from-some-of-the-biggest-hardware-screw-ups?print [4] http://www.fda.gov/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm094957.htm [5] http://www.onthemedia.org/blogs/on-the-media/2011/sep/21/hacking-hardware/ [6] http://talentmgt.com/articles/view/study-most-companies-fault-employees-for-data-breaches [7] http://www.time.com/time/specials/packages/article/0,28804,1898610_1898625_1898627,00.html [8] http://royal.pingdom.com/2009/03/19/10-historical-software-bugs-with-extreme-consequences/ [9] http://www.hotelmanagement.net/technology/study-finds-negligent-employees-at-fault-for-data-breaches-14548[10] http://www.itworld.com/security/269570/82-data-breaches-due-staff-errors-4-it-trusts-users-it-still-blame [11] http://www.sans.org/reading_room/whitepapers/application/security-scenarios-analysis-design_29

La doctora Aury M. Curbelo es consultora y conferencista internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Fo-rense. Además es profesora en el área de Sistemas Computadorizados de Información. Síguela en twitter: @acurbelo

seguro… que lo quieres

Luego de casi tres años de vivir entre rumores y comentarios, Microsoft por fin anunció la salida de Surface Tablet, el dispositivo con el que planea desbancar a iPad.

Pronto estaremos en ese mercado, dijo Steve Ballmer, CEO de Microsoft, en su conferencia magistral del Consumer Electronic Show (CES) en 2010. Pero luego de tres generaciones de iPad, dos de Galaxy Tabs y un mercado desbordante de tablets ese “pronto” por fin se ha hecho realidad con el anuncio de la nueva Surface Tablet.Microsoft no sólo busca competir en el mercado de tablets, con Surface también tiene el objetivo de levantar el interés alrededor de su nuevo sistema operativo Windows 8 y su ecosistema de desarrollo. Así, el reto real de Tablet Surface no es uno de hardware, sino de software. ¿Logrará dominar en el ecosistema de desarrollo como con lo hace con Windows OS?

Surface TableT, el nuevo enemigo

de iPad

Seguro que Lo quiereS Porque• TrabajasenMicrosoftoeresfandelafirmayenelfondotegeneraodionopoderpresumirunaTabletdetuempresafavoritafrenteatodoslosiPadoAndroidTabusers

• Suenormepantallade10.6pulgadasMicrosoft’sClearTypeHDDisplayhacerveralasiPadyGalaxyTabdelmercadocomoNetbookssinteclados:pequeñaseinferiores

• NecesitasteneryusarWindows8ytodoslosaplicativosdeOffice,nomásapps“quepretendenhacerloqueOfficehace”

• TienepuertosMicroSD(MicroSDXCenlaversiónPro)MiniDisplayPortoMicroHDVideo,memoriade32GBhasta128GB.TodoesoesgenialperoMicrosoftrealmenteteconvenciónenelmomentoqueBallmerdijo:“cuentaconpuertoUSBoUSB3.0”

• ElhechodequecorranconWindows8oWindowsRTsólosignificaalgo:compatibilidadentreprogramasyaplicaciones

Seguro que no Lo quiereS Porque• Llegaracompetirenunmercadocontresañosderetrasosólosignificaunacosa:productoincompleto.VasaesperaraqueMicrosoftlibere“LanuevaSurfaceTablet”,dentrodeunoodosaños

• Teagradalaideadecompatibilidadentreplataforma(PCyTablet),perotepreocupaqueWindows8seaunaplataformanacienteencuentoadesarrollodeappsserefiere,másquenadateasustapensarquenopodrásjugarAngry BirdsyPlants VS Zombies

• LaversiónconWindows8Propesa903gramos,casidosvecesloquelanuevaiPad,paraesomejortecomprasunaUltrabook

• Podrátenerpantallade11pulgadas,peroesunaburlasisecomparanconlos2048por1536pixelesderesoluciónqueofreceelRetinaDisplay

• ¿Windows8?¿Microsoft?¿Ballmer?Simplementenotienesideadequéteestánhablando.


seguro… que lo quieres

Luego de casi tres años de vivir entre rumores y comentarios, Microsoft por fin anunció la salida de Surface Tablet, el dispositivo con el que planea desbancar a iPad.

Pronto estaremos en ese mercado, dijo Steve Ballmer, CEO de Microsoft, en su conferencia magistral del Consumer Electronic Show (CES) en 2010. Pero luego de tres generaciones de iPad, dos de Galaxy Tabs y un mercado desbordante de tablets ese “pronto” por fin se ha hecho realidad con el anuncio de la nueva Surface Tablet.Microsoft no sólo busca competir en el mercado de tablets, con Surface también tiene el objetivo de levantar el interés alrededor de su nuevo sistema operativo Windows 8 y su ecosistema de desarrollo. Así, el reto real de Tablet Surface no es uno de hardware, sino de software. ¿Logrará dominar en el ecosistema de desarrollo como con lo hace con Windows OS?

Surface TableT, el nuevo enemigo

de iPad

Seguro que Lo quiereS Porque• TrabajasenMicrosoftoeresfandelafirmayenelfondotegeneraodionopoderpresumirunaTabletdetuempresafavoritafrenteatodoslosiPadoAndroidTabusers

• Suenormepantallade10.6pulgadasMicrosoft’sClearTypeHDDisplayhacerveralasiPadyGalaxyTabdelmercadocomoNetbookssinteclados:pequeñaseinferiores

• NecesitasteneryusarWindows8ytodoslosaplicativosdeOffice,nomásapps“quepretendenhacerloqueOfficehace”

• TienepuertosMicroSD(MicroSDXCenlaversiónPro)MiniDisplayPortoMicroHDVideo,memoriade32GBhasta128GB.TodoesoesgenialperoMicrosoftrealmenteteconvenciónenelmomentoqueBallmerdijo:“cuentaconpuertoUSBoUSB3.0”

• ElhechodequecorranconWindows8oWindowsRTsólosignificaalgo:compatibilidadentreprogramasyaplicaciones

Seguro que no Lo quiereS Porque• Llegaracompetirenunmercadocontresañosderetrasosólosignificaunacosa:productoincompleto.VasaesperaraqueMicrosoftlibere“LanuevaSurfaceTablet”,dentrodeunoodosaños

• Teagradalaideadecompatibilidadentreplataforma(PCyTablet),perotepreocupaqueWindows8seaunaplataformanacienteencuentoadesarrollodeappsserefiere,másquenadateasustapensarquenopodrásjugarAngry BirdsyPlants VS Zombies

• LaversiónconWindows8Propesa903gramos,casidosvecesloquelanuevaiPad,paraesomejortecomprasunaUltrabook

• Podrátenerpantallade11pulgadas,peroesunaburlasisecomparanconlos2048por1536pixelesderesoluciónqueofreceelRetinaDisplay

• ¿Windows8?¿Microsoft?¿Ballmer?Simplementenotienesideadequéteestánhablando.


Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > [email protected]: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > [email protected]

www.demoshow.com.mx

Big DataBig DataBig Challenge, Big Innovation, Big Business,

de teléfonos celulares en uso en 20115,900 millones

de contenidos son compartidos a través de Facebook cada mes

30,000 millones

Cada año crece 40% la generación de contenido digital mientras que el gasto global en IT crece 5%

sectores en Estados Unidos tienen más información almacenada por compañía que la Biblioteca del Congreso de EUA

15 de 17

Septiembre 11-12, 2012WTC, Ciudad de México

RESERVE SU AGENDA

Con apoyo de


Un evento de

bSecure — Julio, 2012

Documents

Transcript of bSecure — Julio, 2012