|
|
Seguridad
|
Escrito por Alejandro Torres Dur谩n
|
 Emilio Gonz谩lez M谩rquez, gobernador Constitucional de la entidad arranc贸 el proceso de Firma Electr贸nica Avanzada como parte de un proyecto integral que pretende posicionar a Jalisco a la vanguardia en el uso y aprovechamiento de las tecnolog铆as de la informaci贸n.
鈥淎s铆, los jaliscienses podr谩n agilizar diversos procesos y tr谩mites oficiales, ahorrar tiempo y papel, mencion贸 el Gonz谩lez Marquez, durante la presentaci贸n del Primer Proceso con Firma Electr贸nica del Gobierno de Jalisco, con la firma electr贸nica se beneficia al ciudadano com煤n en sus tr谩mites,鈥 dijo.
El proyecto fue implantado por SeguriData y el pasado viernes 27 de noviembre en conjunto con Secretaria de Administraci贸n y Oficial铆a Mayor de la Secretar铆a General de Gobierno, se realiz贸 la ceremonia de atestiguamiento para la habilitaci贸n de la Autoridad Certificadora Encargada de emitir los Certificados Firmantes que los funcionarios del Gobierno del Estado utilizaran para Firmar en los procesos. Adem谩s, el Gobierno Estatal constituy贸 la Comisi贸n Intersecretarial de Firma Electr贸nica, 贸rgano colegiado que tendr谩 a su cargo la supervisi贸n de este proyecto.
Jalisco es una de las entidades con mayor potencial de crecimiento, basado en el uso de TI, adem谩s de ser sede contar con el cluster tecnol贸gico m谩s importante del pa铆s. Bajo el concepto Jalisco Estado Digital, el gobierno estatal pretende la digitalizaci贸n de la infraestructura industrial y econ贸mica de la entidad que hoy produce 6% Producto Interno Bruto (PIB) nacional.
Firma electr贸nica avanzada (FIEL)
La FIEL permite codificar y encriptar informaci贸n para que se reciba en forma 铆ntegra, autentica y segura. Est谩 basada en la utilizaci贸n de una llave privada y un certificado digital que funcionan como su firma aut贸grafa. FIEL es un conjunto de datos que se adjuntan a un mensaje electr贸nico, cuyo prop贸sito es identificar al emisor del mensaje como autor leg铆timo de 茅ste, tal y como si se tratara de una firma aut贸grafa. La adopci贸n de esta tecnolog铆a permite a los gobiernos, organizaciones y a las personas agilizar sus operaciones.
|
|
|
Escrito por Alejandro Torres Dur谩n
|
 La firma israel铆 lanz贸 el Endpoint Security R72, versi贸n del agente para seguridad de puntos finales de la industria. La nueva versi贸n incorpora tecnolog铆as que prometen mejorar la simplicidad para los usuarios finales y fortalecer la seguridad en terminales. La nueva seguridad para navegadores WebCheck protege las PCs empresariales contra las amenazas Web, mientras que la autenticaci贸n OneCheck abre todos los subsistemas de seguridad de puntos finales y VPN Auto-Connect promete simplificar su uso.
WebCheck ofrece un modo de navegador dual que segrega los datos corporativos de Internet, dando a los usuarios finales la libertad de navegar la Web con protecci贸n contra el c贸digo malicioso que se descarga autom谩ticamente, conocido como descarga drive-by, y los intentos de phishing al tiempo de mantenerlos separados y aislados de los sitios corporativos y otros sitios Web altamente asegurados.
|
|
Escrito por Alejandro Torres Dur谩n
|
 鈥淓n Seguridad de la Informaci贸n, (SegIn) nos dedicamos a las consultor铆as de seguridad en redes y en este 煤ltimo periodo estamos tomando otra direcci贸n enfocada a la seguridad con otro tipo de herramientas que tienen que ver con monitoreo. La empresa tiene enfoque 100% dedicado a la seguridad inform谩tica e implantaci贸n de controles. Antes est谩bamos dirigidos a la seguridad perimetral, raz贸n por la cual estamos dejando un poco los fierros y tratamos la parte suave de la seguridad, la visi贸n de la seguridad como una estrategia de los negocios que permita a nuestros clientes tener ventaja frente a otras empresas鈥, dijo a Standard MX, V铆ctor D铆az, director general de SegInf.
Por su parte, Antonio Casta帽eda, CIO de SegIn dijo que trabajan con Alienvault, cuyas herramientas les permiten la correlaci贸n de eventos de seguridad, 鈥渁ntes s贸lo trabaj谩bamos sobre seguridad perimetral, esta nueva herramienta, adem谩s, contempla y aprovecha todos los eventos que se generan a trav茅s de los controles implantados. Se trata de aprovechar los logs generados y monitoreaos para que se haga una priorizaci贸n de la correlaci贸n y de lo que se desea corregir en la red鈥, explic贸.
A nivel global se est谩n estableciendo reglas de cumplimiento, que me garanticen que las operaciones que se llevan a cabo con tarjeta de cr茅dito est茅n seguras desde que se pasa la tarjeta hasta el almacenamiento de los datos. Si no se cumple con lo anterior, ya no se puede operar, 鈥渆s un punto importante por el que las empresas est谩n acudiendo con nosotros, para ayudarles a cumplir con esos requerimientos鈥, agreg贸 D铆az.
 鈥淓n M茅xico una cadena de autoservicios, reconoci贸 como una ventaja nuestra, la parte de soluci贸n integral, ya que la competencia est谩 vendiendo las cajas. Nosotros siempre quisimos basar nuestras soluciones en el valor de la consultor铆a. Creo que es lo que nos est谩 dando resultados hasta la fecha. La parte de apoyo al cliente, el seguimiento, brindando la capacitaci贸n de alto nivel鈥, revel贸 V铆ctor.
El directivo explic贸 que la idea es que la seguridad no sea un gasto, sino un generador de valor que pueda aportar 鈥攕obre todo鈥 ventajas competitivas. 鈥淓sta ha sido una evoluci贸n natural a trav茅s de los a帽os. La gente ha estado acostumbrada a comprar firewalls, antivirus, se han ido haciendo de equipo, pero 驴qu茅 hacemos con todos los logs generados por esas soluciones? 驴en qu茅 momento se leen?
鈥淗ay una gran cantidad de estad铆sticas que nos indican que la mayor铆a de los ataques son v铆a web y les est谩n pegando a instituciones financieras. Hay un ataque que se dio a mediados de 2008 conocido como hijacking, en el cual, se navega en cualquier caf茅 internet haciendo transacciones y en cuesti贸n de minutos alguien que est茅 espiando todo lo que se hace en el propio navegador, deja fuera al usuario y toma el mando de las transacciones. Ese tipo de ataques dirigidos al web y al usuario m贸vil es lo que est谩 tomando fuerza. Con la facilidad que se hace y la disponibilidad de las herramientas, este a帽o pegar谩 mucho鈥, finaliz贸 Casta帽eda.
|
|
Escrito por Alejandro Torres Dur谩n
|
|
 Leobardo Hern谩ndez Audelo, jefe del Laboratorio de seguridad inform谩tica del centro tecnol贸gico Arag贸n de la UNAM, platic贸 a D铆a Cero los males que aquejan al mundo de la seguridad en M茅xico y el camino que llevan recorrido en el diplomado de seguridad inform谩tica.
聽
鈥淓l laboratorio comenz贸 en el a帽o 2000 y sus objetivos se centran en la investigaci贸n, docencia e informaci贸n de recursos humanos en el 谩rea de seguridad 鈥攍os cuales son muy escasos鈥 ya que falta conciencia en la misma Universidad porque hasta el momento la mayor铆a de carreras relacionadas a comunicaciones, tecnolog铆a o c贸mputo no contemplan asignaturas dedicadas a la seguridad. El primer resultado de la labor que llevamos a cabo desde hace ocho a帽os ha sido la generaci贸n del diplomado en seguridad inform谩tica en Polanco, el cual ha tenido 茅xito continuo. Est谩 dirigido a empresas o profesionales con necesidad de expertise en seguridad y ha representado una contribuci贸n importante a la educaci贸n en seguridad y a la formaci贸n para comprender la seguridad en M茅xico鈥, explic贸 Hern谩ndez Audelo.
El diplomado tiene capacidad para menos de 10 personas por grupo, dos veces por a帽o. Comprende 240 horas en total, las cuales se distribuyen entre viernes de 4 pm a 8 pm y s谩bados de 9 am a1 pm. No hay m谩s grupos, debido a la carencia de instructores. Aunque llegan con certificaciones de empresas, al ser examinados, no dan cumplen con los requerimientos.
De acuerdo con la visi贸n de Leobardo, la seguridad en las empresas mexicanas ha gozado de un boom, ya que 茅sta ha ido cambiando en sus expectativas y punto de vista. Hasta hace algunos a帽os en las empresas pensaban que la seguridad era un problema puramente tecnol贸gico, que bastaba con un antivirus o un firewall para resolver sus problemas, pero en los 煤ltimos a帽os se han sumado al concierto mundial de la seguridad y finalmente han entendido que la seguridad es una ventaja competitiva, pero para ello deben apegarse a est谩ndares internacionales, los cuales deben cumplirse. El problema es que al interior de esas organizaciones no existen los recursos humanos para cumplir con esa tarea.
Las opciones para las empresas son dos: o contratan a alguien extranjero, forman recursos humanos o tapan los hoyos de seguridad con lo que tienen, lo cual ha sido un rotundo fracaso, ya que sus t茅cnicos que se han dedicado a las tecnolog铆as de la informaci贸n, se meten a un 谩rea que no conocen.
鈥淧or otra parte, las principales universidades del pa铆s no tienen carreras espec铆ficas ni posgrados en seguridad, por lo tanto no hay egresados con el perfil en el tema. Con eso en mente, desde el a帽o 2000, aqu铆 en la UNAM hemos llevado a cabo este diplomado. Hemos pugnado porque las carreras de comunicaci贸n y c贸mputo contemplen materias de seguridad y que pr贸ximamente existan posgrados. Pero a煤n hay mucho por trabajar鈥, comparti贸 el catedr谩tico.
Hern谩ndez Audelo agreg贸 que hace apenas algunos a帽os la gente com煤n y corriente pensaba que la seguridad era un asunto del gobierno, de las empresas transnacionales o las autoridades militares y estaban muy felices porque la seguridad nacional, no era cosa nuestra. Ahora resulta que el paradigma del c贸mputo, el cual era que tener en una computadora una herramienta para mejorar el desempe帽o en el trabajo y la productividad. Hoy, el usuario no quiere una computadora por el poder de c贸mputo, sino porque se puede conectar a la red y todas las personas quieren estar conectadas, no s贸lo al seno de la PyME, sino en el hogar, desde los hijos hasta los padres y eso ha cambiado la visi贸n de la seguridad que ha dejado de ser gubernamental, institucional o militar, sino que ahora es familiar.
El entrevistado explic贸: 鈥淟a falta de conciencia en la red o en internet es como entrar con los ojos cerrados a una selva desconocida, llena de peligros. El andar as铆 por la vida, permite que se descarguen c贸digos maliciosos 鈥攏o s贸lo virus 鈥 que permiten robos, secuestros, asesinatos, prostituci贸n, tr谩fico de 贸rganos, cr铆menes que antes para llevarse a cabo se necesitaba de hacer una labor f铆sica y la gente no sabe lidiar con eso. El problema reside que a ning煤n nivel, durante la formaci贸n en las escuelas se ense帽a o se imparte la cultura de la seguridad. Por lo anterior, combinado con el af谩n de algunos usuarios por hacer todo desde casa, oficina o alg煤n medio m贸vil se llevan a cabo robos electr贸nicos, desfalcos y fraudes por varios millones de d贸lares en M茅xico鈥.
Una de las mayores calamidades es que tenemos una entidad regulatoria 鈥攍a Comisi贸n Nacional Bancaria y de Valores鈥 que tampoco cuenta con expertos.
As铆, toman decisiones basadas en ejemplos de otras latitudes, como el token utilizado por algunas instituciones, que a petici贸n de la CNBV fue implantado el a帽o pasado. La seguridad que ofrece el dispositivo es un poco enga帽osa, ya que no permite saber qui茅n est谩 detr谩s de la pantalla. Am茅n que el n煤mero del token puede ser capturado en su transmisi贸n por la red. 鈥淓l a帽o pasado hubieron un par de casos en los que robaron, en uno, mil millones y en otro 20 millones de pesos, pero esa informaci贸n no se hace p煤blica, ya que afecta la imagen y reputaci贸n de las instituciones鈥, agreg贸 Hern谩ndez Audelo.
Sin embargo 鈥攃oment贸 Leobardo鈥 la mayor铆a de los bancos tienen expectativas de llevar su operaci贸n completa a la red, lo que representar铆a prescindir de toda la infraestructura de operaci贸n y administraci贸n. En el mismo tenor, en caso de robo, para el usuario representa un verdadero calvario desde levantar la queja hasta que su problema se resuelva. En muchos casos la gente prefiere dejar la acci贸n dada la enorme cantidad de esfuerzo y tiempo que se le debe invertir.
鈥淟os bancos tienen que garantizar la seguridad de las operaciones de sus clientes. A la fecha hay bancos que ni siquiera han cumplido con la recomendaci贸n de la CNBV. Eso quiere decir que est谩n jugando a la seguridad. No saben su trabajo, no saben lo que hacen porque no cuentan con expertos que les aconsejen. No tienen conciencia del peligro. Dado que no hay publicaci贸n de cifras a los medios, para ellos no pasa nada. Asegurar esas operaciones representa una inversi贸n fuerte, y es l贸gico que un banco prefiera ganar nueve de cada 10 pesos, no siete鈥.
En palabras del catedr谩tico, a nivel empresarial las cosas se hacen un poco mejor, por ejemplo, en Grupo Modelo se est谩n haciendo las cosas bien. Est谩n invirtiendo para cumplir con est谩ndares como ISO:17799 y 27001. 鈥淐on el tiempo tendr谩n resultados positivos. Ellos son el mejor ejemplo de que la seguridad es una ventaja competitiva鈥, se帽al贸.
鈥淧ara lograr un nivel de estandarizaci贸n, se necesita preparaci贸n, ya que existen una serie de cuestionarios que no cualquiera puede responder, as铆 para apegarse al ISO hay que saber qu茅 nos preguntan para poder responder, caso contrario se obtendr谩 un diagn贸stico equivocado y en los resultados puede aparecer que se cumple con todo, cuando en realidad no se cumple nada鈥, expuso.
Hace algunos a帽os uno entend铆a un hacker o cracker, como el llanero solitario: era alguien entendido del tema y hallaba los puntos d茅biles para colarse en alguna instituci贸n, ya fuera por reto intelectual, por demostrar que era bueno o por darse a conocer. 鈥淓so ha cambiado, dijo Leobardo, hoy las herramientas de intrusi贸n y para ataques est谩n en la red, s贸lo hay que saber d贸nde meterse. As铆, ni帽os bajan aplicaciones y las corren. El programa por s铆 solo emite reportes y explota las debilidades de los sistemas que escane贸. Personas como 茅l, hoy funcionan como soldados para el crimen organizado鈥.
Tambi茅n el hampa ha dejado de atacar a las grandes empresas por irse a la masa, donde el volumen de vulnerabilidades es mayor. A cambio necesitan una organizaci贸n jerarquizada por unidades o niveles. Donde un coder escribe la aplicaci贸n, en el siguiente nivel distribuyen la aplicaci贸n, despu茅s se busca la manera de mover el dinero a instituciones offshore donde se lava. Pero lo anterior no se podr铆a llevar a cabo, si no fuera por la corrupci贸n al interior de los bancos donde los empleados venden las bases de datos.
Finalmente, Hern谩ndez Audelo dijo que los esfuerzos deben enfocarse en poner los suficientes obst谩culos al atacante para que desista o escoja otro blanco diferente al nuestro.
La misi贸n
鈥淓ste libro es el resultado de ocho a帽os de trabajo en el diplomado. Resume el material que se ha recabado a lo largo de este tiempo. Escrito por Enrique Daltabuit, Leobardo Hern谩ndez, Guillermo Mall茅n y Jes煤s V谩zquez, esperamos que ayude a la gente interesada a que se entere de la situaci贸n鈥. |
|
|
Escrito por Alejandro Torres Dur谩n
|
|
La firma de soluciones UTM tradujo al espa帽ol y portugu茅s toda la interfaz gr谩fica de su sistema operativo.
|
|
Escrito por Alejandro Torres Dur谩n
|
|
Documento sin t铆tulo
En su m谩s reciente investigaci贸n, McAfee afirma que alrededor de dos tercios de las madres de adolescentes en Estados Unidos les preocupa la seguridad en l铆nea de sus hijos adolescentes, (por ejemplo que reciban amenazas por correo electr贸nico o solicitudes de acosadores sexuales en l铆nea), tanto o m谩s que acciones como conducir en estado de ebriedad (62%) y probar drogas (65%).
|
|
Escrito por Alejandro Torres Dur
|
|
La firma dio a conocer los resultados de estudio realizado durante agosto y septiembre del 2008 en Estados Unidos, Canad谩 y Europa, en el cual se encuest贸 a 199 expertos en seguridad internacional y otros expertos industriales relacionados con la industria de servicios p煤blicos, petr贸leo y gas, servicios financieros, gobierno, telecomunicaciones, transporte y otras industrias de infraestructura cr铆tica. |
|
|
|
|
P谩gina 1 de 2 |
|
|
|
