A

A

Labels

Blogroll

About

22 oct 2012

Por el derecho al buen Nombre.

Si bien es cieto la Internet no olvida, por lo menos en Colombia se está haciendo algo en pro de los derechos de las personas a rescatar su buen nombre, obviamente de la Ley a la Práctica hay mucho trecho, pero ya empeiza a recorrer un camino. Ahora viene lo de siempre la conciencia sobre la información que se comparte, que se publica, que se expone, ya eso si es Responsabilidad Individual y Google entre otros se encargara de encontrarla.

Salió la ley de hábeas data
Por: GUILLERMO SANTOS CALDERóN | 7:15 p.m. | 21 de Octubre del 2012

El pasado jueves se aprobó la Ley 1581, que tiene como propósito principal la protección de la información privada de los colombianos.

9 jul 2012

Seguridad informática estatal

Lo que señala Guillermo Santos es muy cierto sin embargo, será que si iban a penetrar los sistemas lo harían con las mas avanzadas técnicas de ataque? o que mas bien contaban ya con contraseñas de acceso y como se evidenció, gente de adentro que facilitaría las cosas?...27001 muy bien pero la corrupción, avaricia y su hermana la codicia entre otras, amanzas inherentes al ser humano... hay que abordarlo desde otra perspectiva, para eso no hay antivirus. Sin embargo ya la Estrategia GEL tiene mucho por hacerse en el estado, el problema es cuando...cuando los que saben del temas se hagan entender y por supuesto cuando la Alta Dirección se comprometa.

Mentes activas y no una sociedad pasiva, desde hace cuanto la Registraduria o mejor el Registrador, viene echándole la culpa a los hackers y a la tecnología? y desde cuando el pueblo sigue creyendo. Control Social algo para complementar los 130 y pico de la 27000.

25 jun 2012

XII Jornada de Seguridad Informática en Colombia 2012

Bogotá, Colombia. La Asociación Colombiana de Ingenieros de Sistemas –ACIS-, realizará la XII Jornada de Seguridad Informática 2012, los días 19, 20 y 21 de Junio del 2012 en la ciudad de Bogotá, con el tema principal: Seguridad y Privacidad: Una visión conjunta.

La jornada, en su XII versión, se ha posicionado como el evento líder de actualización en seguridad informática para los más reconocidos Gerentes  del sector en Colombia y este año contará con la participación de destacados expertos en el ámbito nacional e internacional.
En esta versión se contará con la participación de reconocidos conferencistas y temas de última generación tecnológica como: Clasificación y prevención de fuga de información sensible. Demo práctico, por: Alexander Rodríguez Parra, CEH. Olimpia. Hacking y aseguramiento de servidores Voip Asterisk con Andrés Mauricio Mujica Zalamea. SEAQ. Volviendo a lo básico. Seguridad a través de la penetración testing quien dará la charla Andrés Ricardo Almanza Junco, M.Sc. – CISO. Seguidamente  con el tema: La evolución de los sistemas SIEM frente a la correlación de eventos de seguridad de la información de Armando Enrique Carvajal Rodríguez, M.Sc. Globaltek Security. Luego será el tema: USB Seguras. Paradigma de almacenamiento confiable del Codirector: Jeimy J. Cano M., Ph.D, CFE. GECTI - Uniandes. Informe sobre investigaciones de casos de seguridad informática 2011 de Luis Carlos Torres Zarate de la compañía Terremark Colombia. Ley estatutaria de protección de datos personales. Retos e implicaciones para la seguridad de la información de Nelson Remolina Angarita. GECTI – Uniandes.

Factor humano, clave en el aseguramiento de la información en el sector público de Ricardo Palacio Castillo y Sandra Ferreira Pérez del Instituto Nacional de Medicina Legal y Ciencias Forenses.  

Medición y alineación estratégica de modelos de seguridad de la información con la participación de Richard Douglas García Rondón. Newnet S.A.Criterios para el diseño de Arquitecturas Web resistentes a ataques de negación de servicio distribuido de Roberto C. Arbeláez Cortés, CISA, CISSP. Microsoft.

Otras de las novedades de la XII Jornada de Seguridad Informática versión 2012, cuyo tema principal es Seguridad y Privacidad: Una Visión Conjunta son los conferencistas extranjeros magistrales que nos acompañarán en este magno evento ellos son: el Ingeniero español Arturo Ribagorda Garnacho y Cilliam Cuadra Chavarria de Costa Rica.
El primero es ingeniero de Telecomunicación de la Universidad Politécnica de Madrid y Doctor en Informática por la misma Universidad. Es catedrático de la Universidad Carlos III de Madrid. Está en posesión de la medalla de mérito de este ente universitario.

Su actividad académica se centra en exclusiva en la Seguridad de las TIC, campo en el que comenzó a trabajar en el año 1988. Ha participado en proyectos de investigación, nacionales y europeos, publicado numerosos artículos en revistas, nacionales e internacionales, y ponencias en congresos de la materia. Así mismo, es autor de cuatro libros versados en la seguridad. Es evaluador de convocatorias nacionales e internacionales de proyectos de investigación. Dirige el grupo de seguridad en las T. I. constituido por cinco profesores titulares, dos ayudantes doctores, cuatro ayudantes y varios becarios.

Ha sido vocal del primer Consejo de Protección de Datos de la Comunidad de Madrid elegido por su Asamblea en calidad de experto en la materia. Perteneció al equipo interministerial que redactó el primer borrador de Reglamento de medidas de seguridad de la Ley 5/1992 Orgánica de tratamiento de datos de carácter personal. Asesoró al Ministerio de Justicia en la redacción del Reglamento de la Ley Orgánica de protección de datos personales. También ha participado en la redacción de los aspectos de seguridad del borrador de Reglamento de desarrollo de la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos.

Y el segundo es Cillian Cuadra Chavarria. CISA, CISM, CRISC de Costa Rica quien participara con la conferencia La Privacidad de la Nube.

“La privacidad como derecho constitucional y referente natural de las condiciones de acceso a la información, establece un reto empresarial y nacional, en la medida que se hace necesario establecer el balance entre las necesidades de protección de la información y el acceso a la misma. En este sentido, la seguridad de la información es una estrategia de aseguramiento y cumplimiento que permite movilizar el cumplimiento de los requisitos legales y normativos frente a la custodia de la privacidad, razón por la cual, ambos mundos requieren una visión conjunta y complementaria, que permita cumplir con las exigencias del constituyente primario y asegurar las condiciones y características de acceso, que sintonicen y entiendan las expectativas de las empresas y sus grupos de interés, frente a las responsabilidades e impactos en el tratamiento de la información corporativa y personal”, comentaron los Co-directores académicos Andrés Almanza, M.Sc. Jeimy J. Cano, Ph.D., de la XII Jornada Nacional de Seguridad Informática 2012.

12 jun 2012

El Trabajo Dignifica al hombre...NO A LOS NIÑOS


Tema de 2012: Derechos humanos y justicia social... erradiquemos el trabajo infantil.

"Un futuro sin trabajo infantil está al fin a nuestro alcance"


24 may 2012

Factor Humano: Una Vez Mas el mas grande Front Door?

CASO POLO ÁVILA en ALCALDÍA DE BOGOTÁ

¿SERÁ QUE SI FALLA LA SEGURIDAD FÍSICA...FALLA LA SEGURIDAD DE LA INFORMACIÓN?

El diario El Tiempo y Caracol Radio entre otros registraron esta noticia... la Procuraduría inició una investigación al alcalde de Bogotá, Gustavo Petro, por supuestas irregularidades en la posesión de Polo Ávila como gerente del Fondo de Seguridad y Vigilancia.


Sin entrar a cuestionar si el señor "Avila" tiene o no las competencias para el cargo, si es claro que faltar a las buenas practicas y procedimientos para la vinculación de profesionales o personal en las compañias se convierte en una gran amenza para las mismas,  si no se extreman medidas o mejor, se hace un poco mas allá de lo básico, esteremos construyendo no puertas traseras para la Inseguridad de la Información sino puertas Delanteras con recepción y sillas para tomar un buen café antes de tomar una buena cantidad de información útil.

23 abr 2012

Presencia Hacker en 25a Feria del Libro

La falta de conocimiento es una de las vulnerabilidades mas explotadas por los enemigos cualquiera que sea el escenario. En el campo Seguridad de la Información, existen aún en la sociedad latinoamericana muchos tabús y falsas concepciones acerca de los Hackers, a pesar de la gran penetración de las TIC's en estos países, se continúa sin tener el cuadro completo y sin preocuparse por tener herramientas que permitan una mejor percepción del mundo "Real y/o Virtual". 


Un interesante ejercicio tuvo lugar en la 25a versión de la Feria Internacional del Libro de Bogotá, el lanzamiento de un libro que pretende mostrar en palabras de su autor "un compendio de información de la era digital contemporánea sobre el mundo de los hackers. Su pasado, su presente en Colombia, Venezuela y Ecuador. Su forma de pensar, sus acciones y muchas cosas más".


A juicio de cada lector se determinará sí el el libro gustó o no, pero quiero enfatizar en lo interesante de hablar del tema, con casuística Colombiana y de países vecinos, pinitos esperanzadores que muestran que vamos avanzando en la construcción de una Cultura en Seguridad de la Información.

9 abr 2012

El ejemplo empieza por casa.


Sin duda esta pregunta invita a la reflexión. Desde que Colombia empezó a buscar el liderato en el área de las Tecnologías de la Información, muchos han sido los logros cosechados, Colombia ha ganado un posicionamiento interesante en Latinoamérica y es líder en muchos escenarios específicos como Gobierno Electrónico, penetración de Internet en áreas rurales, programas de capacitación etc.

Sin embargo lo relacionado a Seguridad de la Información, a pesar de ser un frente de trabajo gubernamental plenamente establecido y soportado con normatividad (GEL,CONPES, LEY 1273), ha sido un talón de aquíles para el Estado; fugas de información, pérdida de memorias USB con información vital de lideres desplazados, computadores portátiles sin copias de respaldo con información crítica de Bogóta, etc, ponen al descubierto que no solo hay que hablar de Teoría, hay que ponerla en Práctica.

El Señor Guillermo Santos, habla del porqué no certificarse como entidades del estado en 27001, prácticamente confirma el propósito de este Blog, NO EXISTE una CULTURA en Seguridad de la Información en la cabeza de quienes lideran las organizaciones, el paradigma de que ese temita lo debe manejar TI, no ha dejado permear la mente y conciencia de los que toman decisiones y por ende desde donde empieza el ejemplo en la implementación de buenas practicas que mitiguen el riesgo en Seguridad de la Información y la obtención de los demás beneficios que por añadidura se gestan, el ejemplo del Señor santos es excelente, con seguridad de la información también es factible que no haya Tumbes. Interoperabilidad + Seguridad + Cultura + Accion = Consolidación de E-Gov

20 mar 2012

Perdidas Millonarias...Sin Robo?

Detienen en España a 2 implicados en ataque informático contra Tous

Dos “hackers” más caen esta semana…, bueno haciendo la revisión a la noticia y tratándose de una importante cadena de almacén de joyas, se inicia una búsqueda para poder comentar dejando una reflexión como en el resto de casos o noticias que se analizan en este espacio, y todo direccionaba a lo mismo, respuesta a incidentes; pero había algo más, y es que en ESPAÑA ya se han tipificado los llamados “Procedimientos para la Protección de las Infraestructuras Críticas”, si bien es interesante, no es de esto de lo que se hablará, sino de algo más curioso, se observa en el contexto de la noticia que “Los análisis de los equipos informáticos constataron que las modificaciones al sistema se estaban produciendo desde dos ordenadores a nombre de esta empresa de servicios, con la cual Tous había puesto fin a su relación contractual en 2010”… BINGO esto sí es de resaltar y las preguntas que se generan son:
¿Qué están haciendo las empresas para protegerse de las entidades con las que han tenido relaciones comerciales o aquellas que hacen tercerización?
¿Será que hacen un estudio de seguridad a estas empresas?
¿A sus empleados?
¿Aparte de las actas o acuerdos de confidencialidad, se toman algunas otras precauciones de protección, se tienen controles para evitar que terceros se vallan al culminar sus contratos con el conocimiento de la información crítica y/o infraestructura de la organización, se hace seguimiento?

Debería poderse contrarrestar o mitigar el riesgo con un procedimiento, si bien es cierto no es fácil estar cambiando direccionamientos en la infraestructura, por lo menos sería bueno revisar los puntos críticos y determinar que se puede renovar… en este caso desde el 2010 fecha en que la firma trabajo, solo  dos años después logran detectarlo... y todo ese tiempo el flujo era aparentemente normal… Entonces ahora tendría que hablarse de “Protocolo para el manejo de Terceros en Tecnología” o algo así, o ¿reestructurar el flujo de información y aseguramiento de la misma periódicamente con las implicaciones que esto tiene? El Rol de Proveedor o Contratista se puede entonces transformar en el de ¿Enemigo? Por cierto no hubo robo solo manipulación de información que genero pérdidas, que beneficio para los Hackers o quien los paga, la competencia quizás?

21 feb 2012

No hay Problema Tenemos el Back Up

Back Up...¿Queeeeeé?

Computadores robados a directora del IDU tienen información de carrusel de contratos



Esa debería ser la Respuesta NO HAY PROBLEMA TENEMOS LOS BACK UP. Esto si que es un ejemplo de Información Insegura. Si existiera la conciencia de hacer copias de respaldo o comúnmente llamados BackUp otra seria la historia, no hablaríamos del ROBO de información CLAVE que compromete el futuro de una ciudad y las pruebas de un ilícito de grandes magnitudes, sino del robo de prácticamente 10 o 12 millones de pesos en bienes. Gobierno En Linea tiene unos cursos muy interesantes sobre buenas Practicas en TI (seguridad, Gobierno, Etc.), que tal si la Gente usará este recurso como mínimo (por ley toca saber de GEL) y los funcionarios del estado estuvieran sintonizados con lo que significa el VALOR DE LA INFORMACIÓN? En fin BackUps uno de las buenas practicas mas antiguas en informática y con tal vigencia que la ISO 27000 aun la recalca. 10.5 Gestión de respaldo y recuperación

6 feb 2012

Amenazas Ambiguas


Este artículo de ISSA Internacional, aborda el factor de ambigüedad en las amenazas y explica cómo las influencias psicológicas, tales como el sesgo, prejuicios, zonas de confort, y actitudes de querer ver sólo una panorámica sin detalle, perjudican la evaluación de las amenazas.  


Una clara exposición "multifactores" en pro de la seguridad y a su vez una clara exposición de que el concepto de Seguridad va mas alla de los fierros.

20 ene 2012

S.O.P.A. Continua el CONTRAPUNTEO

El FBI cierra el sitio de intercambio de archivos Megaupload Artículo de la BBC, entre otros.

Sin duda empieza de nuevo el Contrapunteo, la Puja entre poderes "Legales por un lado y al margen de la Ley por otro" FBI Vs. Anonymous, se advirtió que iba a ver represalias por el cierre de Megaupload...será cierto? Una vez el paradigma de "eso no nos pasa a nosotros" cobra vigencia, los encargados de la seguridad de la Información y/o de la Contuinuidad del Negocio o NO despiertan o NO son escuchados. Ejemplo, a pesar de no oficializarse de manera publica si se observa que un día despues del cierre, paginas como la de Universal Music casualmente está en mantenimiento. Tiempos de Recuperación, Continuidad del Negocio, Imagen Corporativa, ¿será que solo son conceptos que se les puede encontrar en los libros? o esto se reduce a un letrerito de "En Mantenimiento". Éste, un escenario claro en donde TI y la Alta Gerencia deben buscar no solo Disponibilidad y Capacidad de Respuesta y demas cosas, sino sensatez y responsabilidad para con sus clientes y/o usuarios.

19 ene 2012

16 ene 2012

OBAMA "NO TOMA S.O.P.A."

Definitivamente no a todos nos gusta la SOPA, la que no alimenta la libertad de expresión mucho menos.
Es cada vez mayor la presión  en la que se ven sometidos los gobiernos de países como EE.UU. en busca de estrategias que coadyuven a combatir la piratería en el ciber espacio. Pero en este afán, nuevamente se equivocan y dirigen  la lucha sin analizar lo que pueden llegar a generar en el mundo de los negocios, relaciones, desarrollo profesional, social, económicos, entre otros aspectos.

Y me pregunto ¿no hemos entendido el principio básico de la Gobernabilidad de la Seguridad de la Información?, no se trata de bloquear o negar servicios para mitigar los riesgos de espacio inseguro, es diseñar estratégicas y políticas tendientes a educar, acompañar y sobre todo responsabilizar a los usuarios de lo que es correcto, nuevamente nos enfrentamos a un problema cultural... Por esta razón proyectos de ley como S.O.P.A., se quedan sin argumento y no llegan ha ser  aprobadas. Hay que tener el cuadro completo.

2 ene 2012

Investigadores, Hackers o Paparazzi?

Hackers entraron en correo de británico Gordon Brown:
lunes 2 de enero de 2012 11:26 GYT


LONDRES (Reuters) - La policía británica halló pruebas de que investigadores privados que trabajaban para diarios entraron en la cuenta de correo electrónico del ex primer ministro Gordon Brown cuando estaba a cargo del Ministerio de Finanzas, dijo el lunes el periódico The Independent...

El rol de los hackers, no solo se ajusta a las necesidades del Cliente sino que si es necesario cambian de nombre para quedar mejor perfilados ante las autioridades. Dice este artículo que la Policia ha encontrado pruebas de infiltraciones al correo electrónico del alto exfuncionario britanico, pero... ¡un momento! no se habla de Hackers, se habla de Investigadores. Una vez mas se mezclan las TI y el Derecho para preguntarse como deben ser tratados los que hicieron esta penetración? Seran juzgados (si los encuentran) como Hackers, Investigadores, o como se habla de prensa y figuras públicas quizás como Paparazzi? Tan solo se sabrá si la policía logra su captura, por lo pronto queda esa gran duda ¿a quienes están buscando ¿I? ¿H? ¿P??
 
Blogger Templates