Si no puede ver este mail, haga click aquí

Inicio

AÑO 11 - N° 06 - JUN 15

ENTREVISTA

El gobierno de la seguridad de la información necesariamente requiere ir a la ofensiva

Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA
.

 

Presentamos la entrevista realizada  a Jeimy J. Cano M., miembro fundador del Grupo de Estudios de Comercio Electrónico, Telecomunicaciones e Informática (GECTI) perteneciente a la Facultad de Derecho de la Universidad de los Andes (Bogotá), y principalmente amigo de la casa!.


En esta oportunidad y con base a su extensa experiencia en investigación y análisis en referencia a la actualidad en ciberdelitos le preguntamos sobre APT (advanced persistent threats) el más recurrente ciberataque en las noticias sobre delitos informáticos.

1. En el 2011 anunciabas y realizabas un análisis sobre las realidades que beneficiaban a este tipo de ataques, hoy cuatro años después las APTs ya están instaladas en el ecosistema de infosec. Si el ataque parte de una agencia gubernamental no se persigue ni se penaliza, sin embargo si parte de un grupo civil si se alcanzan las condenas entonces a su criterio: ¿El fin justifica los medios para las agencias de gobiernos?

Estamos en un contexto, como lo denomina Johansen (2009) VICA: Volátil, Incierto, Complejo y Ambiguo, y por tanto, inestable frente a la realidad actual. Sin embargo, es claro que es posible advertir lo que Charan (2015) detalla como incertidumbre estructural, que revela las tendencias claves que se perciben en el entorno.

En este escenario, el uso de las APT viene evolucionando con diferentes fines y equipos especializados, algunos motivados, como estrategias de “compromiso y control” de instalaciones y otros como actividades de “seguimiento y espionaje” de naciones. Cualquiera que sea el fin de su uso, no es posible justificar su utilización para provocar confusión, robos o confrontaciones entre personas naturales o jurídicas, como quiera que dichas conductas son abiertamente contrarias a la ley.

Referencias: Charan, R. (2015) Theat tacker’s advantage. Turning uncertainty into break through opportunities. New York, USA: Perseus Books Groups. Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.

2. Diez años atrás la principal herramienta de hacking era el motor de búsqueda de google. Hoy existen ataques tan evolucionados y efectivos como APT, ransonware, drive by pharming: ¿En América Latina son eficientes los sistemas judiciales desde la investigación criminal hasta la finalización del proceso judicial?

Los sistemas judiciales han venido evolucionando, no con la velocidad que se requiere, pero con avances significativos.

Se hace necesario aumentar la capacidad de entendimiento del fenómeno informático entre los jueces y sus auxiliares de la justicia, para indicarles a los delincuentes que se tienen las herramientas, la voluntad y la capacidad para dar respuesta a los retos actuales que exhiben los delitos informáticos.

3. ¿La comunidad de infosec siempre tiene que hacer su mejor esfuerzo para estar a la par de la inseguridad informática y muchas veces “NO ALCANZA”, los sistemas judiciales hacen su mejor esfuerzo frente al ciberdelito en América Latina?, ¿Alcanza?

La doctrina jurídica, generalmente se mantiene un paso atrás frente a la tecnología y sus desarrollos.

Con la invasión de las “cosas digitales”, entre otros los “vestibles”, se hace cada vez más evidente el flujo de información personal a través de tecnologías inalámbricas, aumentado la eficiencia y caracterización de las necesidades de los individuos, y de igual forma acelerando y debilitando su privacidad y control.

Esta tensión deja a las autoridades de justicia en una posición incómoda pero necesaria, para que, en su papel institucional, actúen como garantes del balance de garantías y libertades de individuos y empresas.

4. Es de conocimiento público que existen paraísos fiscales por todo el mundo, ¿Existen paraísos legales en delitos informáticos?

Si este escenario existe o existió en algún momento, creo que cada vez hay menos espacio para que esto ocurra, como quiera que las naciones han venido actuando de manera decidida sobre estas conductas que lesionan las garantías y libertades de una sociedad interconectada.

Las instituciones de policía judicial, cada vez más tienen redes de apoyo y colaboración de alcance internacional y mejores capacidades de respuesta, que permiten operaciones más ágiles, no obstante las limitaciones legales transfronterizas que aún persisten.

5. La mayoría de los ciberdelitos son transnacionales, entonces para poder combatirlos: ¿modificar o “redefinir desde cero” los sistemas judiciales?

Como lo mencionaba en el punto anterior, estamos en un momento de cambios tecnológicos, políticos, económicos y sociales, que nos deben llevar a “repensar” las actividades que tenemos como sociedad. Pasamos de una era industrial, a una donde la información y el conocimiento son la norma para ser protagonistas del desarrollo de las naciones.

La globalización y acceso se convierten en los paradigmas naturales donde operan empresas e individuos, por tanto los sistemas judiciales deben ajustarse con dicha dinámica, con el fin de motivar prácticas de convivencia social con arreglo a los fundamentos jurídicos establecidos y a las posibilidades tecnológicas disponibles.

Los derechos y garantías individuales tienen ahora una lectura en clave de convergencia tecnológica que deben gravitar alrededor de los derechos fundamentales de las personas en un contexto abierto e hiperconectado.

6. Lo bueno, lo malo y lo feo de INFOSEC de hoy

Lo bueno: la incorporación progresiva de nuevas capacidades en la función de infosec para anticiparse a los retos emergentes. La inteligencia y el monitoreo activo, la lectura sistémica de los riesgos con la ventana de AREM (*), el análisis de escenarios de amenazas, los indicadores de compromiso y los centros de excelencia como herramientas claves que motiven una vista más proactiva y de pronóstico (no predictiva) sobre la “inseguridad de la información”.

(*)Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf

Lo malo: la confusión general que se tiene entre la gestión y el gobierno de la seguridad de la información. En este contexto se usa de manera indistinta los estándares y buenas prácticas disponibles como son las normas ISO, las guías del NIST, de ISACA, del ENISA, del SANS, de los Departamentos de Defensa de las naciones, entre otras, cuando éstas son propias de la gestión de la seguridad de la información, de la búsqueda de certezas.

Mientras que, “el gobierno de la seguridad de la información necesariamente requiere ir a la ofensiva, a la lectura permanente del entorno y alcanzar posiciones estratégicas en situaciones inesperadas (…)”, “quedarse a la defensiva (ciclo de regulación basado en estándares) implica retroceder en sus retos y exigencias corporativas para crear escenarios valiosos para la visión empresarial de mediano y largo plazo.” (1)

(1) Tomado de: Cano, J. (2015) Gestión y gobierno de la seguridad de la información. Dos conceptos complementarios para comprender la inevitabilidad de la falla. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/04/gestion-y-gobierno-de-la-seguridad-de.html.

Lo feo, nuestro apego excesivo a las normas y estándares de seguridad de la información, cuando no nos permiten pensar “fuera de la caja”, conectar nuevos puntos y entender la dinámica del entorno VICA.

Esto es, debemos tomar distancia de aquello que conocemos, considerando los retos que tenemos a la fecha y llevarlos a otros dominios de conocimiento y así, imaginar nuevos marcos de acción que promuevan reflexiones renovadas sobre nuestras prácticas.

Fuente: InfosecurityNews


 

_____________| Ediciones Anteriores |__________________________________________________________________

Sistemas de grabación y almacenamiento como punto neurálgico de los sistemas de videovigilancia

En cualquier sistema de videovigilancia es de vital importancia grabar y almacenar información, sin embargo, la tecnología sigue avanzando tanto para los sistemas analógicos como para los basados en IP, incluso es frecuente encontrar sistemas híbridos. Mantenerse actualizado es una tarea fundamental para usted como integrador, esto le permitirá cubrir las necesidades de sus clientes con soluciones de vanguardia e incrementar su rentabilidad en el mercado.


Entrenamiento en Seguridad de la Información

Por Yadira Navarro
COORDINADORA DE MERCADOTECNIA
Concept Two - México


Infosecurity 2015 (* by i-Sec *)

Por Fabián García
CEO de @INFOmail iTV
Repercusiones del inicio de la Infosecurity Tour , Crucero Galileo por el Río de la Plata - ARG.


Los riesgos de un mundo cada vez más conectado

Por Eugene Kaspersky
CEO de Kaspersky Lab
Entrevista realizada por Enfasys Argentina, analiza conceptos como seguridad, privacidad y libertad, habla de los desafíos que representan Big Data y la Internet de las Cosas, y de los peligros de una potencial ciberguerra: “Nuestra infraestructura digital, de la cual dependemos totalmente, sigue siendo vulnerable”, advierte.


Video vigilancia, la vida en vivo conquista nuevos mercados

Por Cristian Giugliano
Gerente Comercial de Conectia
Nació como herramienta para el control urbano pero rápidamente se fue expandiendo hacia nuevos sectores: la video vigilancia hace tiempo dejó de ser una herramienta para la seguridad sino que también adoptó funciones de control de Urbana


El nuevo informe de transparencia de Google muestra un aumento de las peticiones de datos por parte de los gobiernos

Los países de todo el mundo cada vez demandan más cantidades de información sobre los usuarios de Google, según el nuevo informe de transparencia de esta empresa.


TELUS Security Solutions aprovecha HP ArcSight y TippingPointx
El proveedor de servicios de seguridad administrados desarrolla análisis inteligente a partir de la solución HP de gran integración.
A medida que las amenazas cibernéticas se vuelven más complejas, muchas más empresas están eligiendo proveedores de servicios de seguridad administrados (MSSP) que los ayuden en este aspecto crítico. Tiene sentido: los MSSP aprovechan sus herramientas y su experiencia para afrontar con eficacia el mundo cambiante de las amenazas, mientras las empresas se concentran en la innovación comercial de su especialidad.


Bitcoins, imposible de detener
Extracto de la entrevista realizada por la Revista Digital TyN Magazine a Sebastián Serrano, uno de los fundadores de BitPagos, quien se refirió a la situación de esta criptomoneda en América Latina.


Primer Causa Penal en Argentina a meses de aplicada la Ley de grooming
Por Christian Javier Vila Toscano
Responsable de Contenidos InfosecurityNews
ISEC Information Security

A principio de este año una madre de una localidad bonaerense (ARG) "ocupada en preocuparse" por la actividad de sus hijos en las redes sociales observó lo que sería un intento de comunicación con su hija de doce años de carácter sexual. No se quedó de brazos cruzados, fue también gestora de la demanda penal para impulsar la causa que tuvo varios inconvenientes, demanda que se presenta ante una ley que recién esta naciendo


Tendencias en Seguridad de la Información

Por Jorge D. Dávalos Campos Cervera
Banco Central Paraguay
Asunción - PARAGUAY


La amenaza del cibercrimen: articulando una respuesta

Por Jorge Vega-Iracelay
Director de Asuntos Jurídicos, Corporativos y de Ciudadanía
Microsoft México


G Data registra 1,2 millones de programas maliciosos para Android en 2013

Por Eddy Willems

Director Security Industry Relationships

GData - Alemania


Controlar internet: el viejo truco de todo gobierno en apuros
Por Pablo Mancini

Cronista de Infobae - Argentina

Los países que regulan o censuran la red tienen en común dos características: por un lado, lo hacen en beneficio del poder de turno y no de los ciudadanos. Por el otro, están envueltos en crisis sociales profundas.


Entrevista a Chema Alonso, Alfonso Muñoz y Yago Jesús sobre seguridad en Internet y la NSA (Genbeta, España)
Por Guillermo Julián

Genbeta.com - España

Cada nueva filtración sobre la NSA nos hace cuestionarnos más todavía la seguridad de nuestras comunicaciones a través de Internet. Certificados filtrados, ataques criptográficos… ¿Hasta qué punto puede ser cierto todo esto? ¿Cómo pondría todo en marcha la NSA?. Hemos querido dar respuesta a esas y más preguntas, y por eso desde Genbeta hemos querido contar con tres expertos en seguridad que nos expliquen todo con precisión y claridad: Chema Alonso, Alfonso Muñoz y Yago Jesús.


Repercusiones del Megaevento Buenos Aires | Infosecurity Tour 2013
Por Fabian García

Infomail iTV

Argentina

Extracto del envío de Infomail iTV | DIARIO DE NOTICIAS: Internet, Tecnología y Valores = Negocios


ISACA LANZÓ UN NUEVO LIBRO DE SEGURIDAD INFORMÁTICA
Por Salomón Rico

Miembro del comité de Guías

ISACA | México


Las redes sociales como modelos estratégicos técnicos y modelos de negocio
Por Jorge Ramió Aguirre
Coordinador de Criptored
Universidad Politécnica de Madrid - España


INFORME DE SEGURIDAD 2013 DE CHECK POINT


Seguridad & Compliance en Microsoft Cloud

Por Alex Campos Arcos

Techincal Evangelist

Microsoft Chile

Extracto de la Conferencia en Infosecurity Tour 2013


El poder de hacer más con la seguridad conectada de Dell

Por Humberto Anez

MCLA Territory Manager - Dell

Extracto de la Conferencia en Infosecurity Tour 2013


Complete Security

Por Joost de Jong

Director South & Central America,

Caribbean de SOPHOS – ASTARO

Extracto de la Conferencia en Infosecurity Tour 2013 


Deep Web - La internet clandestina

Por RAÚL MARTÍNEZ FAZZALARI

Abogado - Especialista en Telecomunicaciones

Argentina.


LOS SIETE PECADOS CAPITALES EN INTERNET

Por Alan Woodward

Consultor en Ciberseguridad

Gobierno de Reino Unido


CIBERGUERRA SE LIBRA EN INTERNET SIN REGLAS

Convenciones y protocolos internacionales tendrían que ser revisados para incluir a internet como territorio

Una guerra de baja intensidad se libra en internet por medio de hackeos, ciberataques y ciberespionaje sin que existan protocolos internacionales o se requiera intervención de Naciones Unidas.


TYLER vs WIKILEAKS

En entrevista exclusiva con La Voz de Rusia, un representante de Anonymous habla del conflicto en torno a WikiLeaks, relacionado con las tecnologías de recolección forzada de dinero y la falta de transparencia en la contabilidad del portal.


AGILE SECURITY™: Principles for Security for the Real World in Mobile Environments

Por Stephen Fallas
CISM-CISSP-CGEIT-GIAC-CRISC-LA7799-SFCSE-SFCP-SFCSI
Security Architecture – LATAM


Una información segura para asegurar el futuro de estos niños

Dr. Jorge Ramió
Profesor de Seguridad de la Información en la UPM Director de Criptored,
Intypedia y Crypt4you


Es como un partido de ajedrez en el que tienes un plan de ataque...

Entrevista a Joe Sullivan, jefe de seguridad de Facebook


Ataques de Anonymous suben 60% en 2012

Adriana García, directora regional de ventas para México y Centroamérica de Imperva, afirmó en la conferencia “Desnudando a Anonymous: seguridad de aplicaciones”, una de las 12 que se realizaron en el evento, que en 2012 los ataques han aumentado 60% en comparación con el año pasado.


GHOST IN THE WIRES: My Adventures as the World’s Most Wanted Hacker

 


Seguridad en la operación de la infraestructura física en un ambiente de cloud computing y de alta disponibilidad

Por Arturo Maqueo
Business Development Data Centers LAM

APC - MEXICO


Seguridad y Contingencia de ORM en las Redes Sociales

Por Iván Hernández
Asesor en Riesgo Reputacional
Director de CleanPerception


El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información?

Por Jeimy J. Cano
GECTI - Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Intypedia se presenta a los premios Internet 2012

Por Jorge Ramió Aguirre
Coordinador de Criptored
Universidad Politécnica de Madrid - España


FUGA DE INFORMACIÓN - Situación en México

Por Carlos Olvera

ProtektNet México


¿Qué hacemos en CA Technologies?

Vea esta demostración y aprenda más sobre cómo CA ecoSoftware puede ayudar a medir, gestionar y controlar la energía y refrigeración en sus centros de datos, edificios y cloud computing. Conozca cómo CA ecoSoftware puede ayudar a mejorar el uso de la energía y la capacidad de refrigeración, aumentar la disponibilidad y reducir los costos de energía.


PyMEs y Ciber-crimen: Riesgos y consecuencias

Por Abelino Ochoa

Director General para América Latina

Kaspersky Lab

Hoy en día, el verdadero ciber-crimen tiene la única meta de robar información que pueda convertirse fácilmente en dinero.


CUANDO y DONDE INVERTIR EN TECNOLOGÍAS DE INFORMACIÓN

Realidad en Chile
Por Carlos Mondaca Saavedra
Gerente Advisory
PricewaterhouseCoopers Chile.


Concientización, concientización y mas concientización

Por Frano Capeta

Country Manager - Perú

ISec Information Security Inc.


KIDO: 30 MESES DESPUÉS

Por Fabio Assolini

Analista de malware

Kaspersky Lab en América Latina


Departamento de la Defensa otorga $415,000 a la Universidad Politécnica

Dr. Alfredo Cruz

Founder & Director, Center of Information Assurance for Research and Education (CIARE)

UNIVERSIDAD POLITÉCNICA PUERTO RICO


“Hay que conocer al enemigo para estar protegido”

Por Dmitry Bestuzhev

Director de Investigación y Análisis de Kaspersky Lab para América Latina

Kaspersky Lab


¿Cuál es el costo total de protección?

Por Juan Ospina

NOLA Country Manager

Kaspersky Lab - Colombia


“Un niño que aprende a usar internet es más consciente de sus riesgos”
Por María José Cantarino

Jefa de Responsabilidad Corporativa de Telefónica

España


Jornada de Seguridad Informática en la Patagonia Argentina


Entrevistas a Disertantes de los distintos eventos Infosecurity en Latinoamérica durante el 2010

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

 

 

 

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

 

Envíenos su Comentario

 

Conferencias 2014, 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2015 ISEC. Todos los derechos reservados - Política de privacidad