LA PIRATERIA COMO MEDIO DE FINANCIACIÓN

Diofanor Rodríguez CPP


El mundo vive un proceso de globalización, que se ha extendido y que se consolida cada día en casi todos los campos de la actividad humana. Uno de estos campos, lamentablemente, es el de los crímenes y delitos, que pueden pasar de un lugar a otro sin muchas dificultades.
Habitamos en un planeta que experimenta tendencias crecientes hacia la liberalización de normas, fronteras abiertas y movimiento intensificado de personas, dinero, bienes y servicios. En esta “aldea global”, la tecnología de alto nivel salta cada vez con mayor dinamismo las barreras tradicionales de espacio, tiempo y distancia. Ciertamente, junto con los beneficios de la misma, un lado poco deseable de la “aldea global” es un universo que también se ha convertido en un oasis mundial de delincuencia. Esta internacionalización ayuda a que las organizaciones de tráfico de drogas y de piratería tengan una mejor capacidad para operar en un ámbito relativamente libre de normas y, como consecuencia, obtienen formas de conseguir, amasar y legalizar enormes fortunas.
Como parte de este sistema, sin proponérnoslo ó quizás sin saberlo, los ciudadanos contribuimos al fortalecimiento de la delincuencia. Por ejemplo, cada vez que nosotros adquirimos un producto pirata en el mercado callejero, estamos ayudando a financiar a muchos grupos al margen de la ley, ya sea delincuencia común, organizada, guerrillas y paramilitares.
El fenómeno inicia por que muchas de las personas que contribuyen en la venta de productos ilegales y que son los vendedores callejeros no poseen un trabajo estable y ven en este negocio la posibilidad de lograr un dinero para el sustento de sus familias. Sumado a esto, la laxitud de las normas o en muchos casos la falta de ellas, se convierte en incentivo para continuar en un negocio que en cifras mundiales es uno de los más lucrativos, al punto que la compra de armas y explosivos utilizados por muchos grupos terroristas son solventados o financiados a través de esta clase de negocios.
Es importante mencionar que cuando uno adquiere un producto pirata renuncia a muchas de las características del producto original y una de esas características, y quizás la más importante, es la garantía de ese producto, que en múltiples ocasiones se ve afectada, sin que exista la más remota posibilidad de lograr la reparación o devolución del dinero por los daños o perjuicios ocasionados.
Con el Internet se ha facilitado la situación a los piratas de música, software y obras literarias, pues la consecución de estos elementos a través de esta “autopista de la información”, disminuye de forma ostensible los costos de producción de un artículo pirata, que lo hace enormemente atractivo para su compra por parte del público y que permite que muchas personas participen, con el argumento de tener un trabajo, que realmente resulta ser un subempleo de baja calidad.
Lo que no es visible en este mercado, es el impacto colateral sobre la economía, pues la producción, comercialización y compra de productos ilegales perjudica a todas las empresas y personas que hacen posible obtener un producto legal. Ello realmente genera un incremento del desempleo, pues muchas industrias han tenido que declararse en bancarrota dejando sin empleo formal y adecuadamente remunerado a una gran cantidad de personas en el mundo.
Las bandas dedicadas a la creación de mafias en este rubro generalmente están concebidas con los siguientes elementos:
1. El cerebro de la organización: que son los que se ingenian un negocio a partir de la adulteración y falsificación total del artículo o su copia grotesca sin respetar los derechos de autor, las marcas registradas o sus patentes.
2. Un recinto: lugar donde se realiza la fabricación, adulteración o la copia de los elementos en mención.
3. El canal de Comercialización: lo hacen a través de los “rebuscadores” o personas que buscan su sustento mediante el porcentaje que estas mafias ofrecen por la venta de uno de sus artículos. Incluso, algunos ya tienen sus sitios de Internet donde comercializan los artículos y los pagos los realizan mediante el dinero plástico.
Las personas dedicadas a la seguridad en las organizaciones debemos contribuir a evitar la proliferación de los compradores de este tipo de artículos piratas, mediante la consientización de las personas en nuestras empresas, familia y amigos, con información y campañas que expliquen el por que no se deben comprar este tipo de artículos, con el fin de desestimular su adquisición, a través de la educación del consumidor final. De hecho, no sería muy productivo hablar de combatir un delito de talla mundial cuando no hacemos nada por cambiar la percepción de los consumidores finales. Lógicamente para influir en ese consumidor final se necesita poseer razones de ganancia y valores agregados, que conlleven a los compradores a tener una actitud correcta, que muchas veces resulta cuestionada y enfrentada al poder adquisitivo de las personas, que todos los días es menor.
En este contexto, debemos mencionar que muchas de las cosas que hacen atractivo un lugar o país para convertirlo en centro de operaciones de las mafias transnacionales, es quizás la condición de país en vía de desarrollo y su alto grado de pobreza. Estos son espacios en donde muy seguramente se encontrarán nichos de mercado para cuanta cosa se le ocurra al delincuente, teniéndose como ejemplos la venta de auto partes que provienen de la creciente industria del hurto de vehículos y el robo y venta de la propiedad intelectual. Como dicen los expertos, el caldo de cultivo esta dado para que proliferen este tipo de negocios al margen de la ley.
La verdad, en mi opinión, es que cada día se hace más difícil el prevenir los crímenes y delitos en nuestra profesión, pero el reto esta ahí. Se necesita de la participación de los estados en el endurecimiento de las penas por este tipo de delitos, pues en muchos lugares del mundo las penas son irrisorias, lo que contribuye de forma activa a que el delinquir sea un negocio de muchos millones dólares.
Finalizó diciendo que en gran parte el aumento de la piratería se debe a la falta de conciencia ciudadana. Esto se logra a través de campañas que abarquen temas de interés social, educativo, medio ambiente, salud, deportivo y conducta cívica, todos los esfuerzos tendientes a lograr culturizar y hacer participe al factor humano en la solución de un problema de tipo transnacional, siempre serán pocos toda vez que constantemente existirá quienes quieran a tentar contra la estabilidad de las naciones en todo el mundo.

Read More

CUANDO HABLAMOS DE FRAUDE?

Diofanor Rodríguez CPP

Las Organizaciones son hoy, quizás como nunca antes, victimas de fraude. Los casos recientes muestran cómo se han diversificado los “modus operandi” del fraude en las empresas, que muchos de nosotros todavía no conocemos y por ello consideramos que nuestros sistemas son totalmente seguros. Así, el interrogante a realizar y la respuesta a buscar en este momento es sobre que tan eficientes y efectivos son nuestros controles al interior de la Organización.

Pues bien, partiendo de este escenario, las experiencias nos muestran que cuando una organización descubre un fraude, generalmente el dinero o los activos ya han desaparecido y las probabilidades de recuperarlos son mínimas. Lo peor es que esta pérdida no es el único costo financiero, pues la investigación de un fraude es onerosa y lleva tiempo. También hay otros costos ocultos, que tienen relación con la probabilidad de un grave deterioro para la imagen, reputación interna y externa y la credibilidad de la Empresa, que incluso pueden afectar la continuidad del negocio. A ello se suma que en un fraude se puede ver afectados terceros relacionados, como clientes, proveedores, bancos, otros acreedores e incluso el tesoro público, ante quienes la Organización deberá responder.

Todas estas circunstancias nos llevan a concluir que trabajar de forma proactiva genera menos perdidas para una organización cuando de fraude se trata. Por este motivo es de vital importancia contar un programa del tipo preventivo para evitar el fraude. Por supuesto, su desarrollo representa ciertas dificultades, pues no es suficiente con poseer controles y verificar que funcionen correctamente, sino que además es importante conocer a fondo la cultura y particularidades de cada organización, pues nada más cierto que el proceso que no se conoce muy difícilmente será controlado.

Las experiencias obtenidas a lo largo de los casos conocidos nos lleva a realizarnos la pregunta de por que se generan los fraudes en las organizaciones y cuales son los factores críticos que facilitan este evento, para de esta forma poder atacar el problema desde su causa raíz. Un documento que explica de forma acertada este tipo de preguntas es el escrito por el doctor Donald Cressey (Criminólogo de EEUU) que denominó el triangulo del hurto y hace referencia a que existen tres elementos que se deben dar para poder cometer un ilícito y ellos son: El deseo, la racionalización y la oportunidad. Analizados estos elementos se puede iniciar un programa antifraude basado en atacar las oportunidades tanto de nuestros empleados como de agentes externos.

Así, cuando se oficializa en las organizaciones un programa contra fraudes se necesita que cumpla con algunos aspectos, que como mínimo pueden ser:

Un análisis del riesgo fraude: No existe un modelo único para que una empresa realice su evaluación del riesgo de fraude, pero debe fijarse un marco de control aceptado y recibir vigilancia considerable de la gerencia. Debe evaluar en forma sistémica los factores de riesgo, detectar posibles argucias y escenarios de fraude y priorizar los riesgos de fraude identificados.
Crear escenarios para denuncias anónimas: Es de gran importancia generar espacios para que las personas de la organización informen sobre las anomalías observadas sin que se divulgue su nombre. Para ello, no es suficiente con poseer una línea telefónica destinada para tal fin y se necesita de que existan las acciones tendientes a realizar mejoramientos continuos a las irregularidades reportadas.
Creación de un código de ética anti fraude: Con esto se genera la primera barrera ante el fraude en la organización y deja clara las políticas en contra del fraude.
La presentación de informes por parte del control interno o algún miembro del gobierno corporativo, para generar la cultura de control y supervisión y establecer si el programa implementado funciona o no.
No olvidar que se debe generar una política de seguridad de personal, que busca que la organización contrate a los empleados adecuados para los cargos establecidos bajo la perspectiva de la organización



Estos son algunos aspectos a tener en cuenta a la hora de trabajar en procura de la prevención de los fraudes. No dejemos de lado que los delitos los cometen las personas y por tal motivo es importante conocer muy bien al personal de confianza y como política establecida es interesante poder hacer un estudio de estilo de vida par aquellos empleados que bajo la óptica de la alta dirección son considerados de manejo y confianza, también es conveniente recordar que los principios y valores son pilares fundamentales en busca de la salud corporativa que contribuya de forma efectiva a minimizar el fraude

Read More

COMO INFLUYO EN EL EJERCICIO DE LA SEGURIDAD

Diofanor Rodríguez CPP


Cuando se debate el concepto de seguridad en cualquier escenario, los encargados de contribuir a su claridad nos vemos envueltos en múltiples dilemas, debido a que muchas veces la forma de ver el problema es precisamente el problema

Sin duda, todavía en nuestra profesión existen personas que hacen mucho daño, con comentarios desenfocados sobre la profesionalidad de la seguridad, que contribuyen a aumentar la confusión sobre el concepto de seguridad.

Por tal razón, creo que es importante realizar algunas observaciones que apoyen al esclarecimiento de estos temas pues, como profesión, la seguridad está hecha para contribuir al logro de los objetivos que las organizaciones se tracen. Por esta sencilla razón, la complejidad de la seguridad está dada en el sentido de transversalidad, que se debe asumir al aceptar la responsabilidad de administrar la tarea de seguridad.

Podríamos hacer muchísimas cosas para lograr que la alta dirección respalde y apruebe un programa de seguridad, pero seguramente como diría el señor Michael Godet “la diferencia entre una organización perdedora y una ganadora se basa únicamente en las personas y la forman como están organizadas”. Ello se debe a que el plan de seguridad corporativo debe estar encaminado a la consecución de adeptos que contribuyan a que dicho plan sea conocido, aceptado y controlado por todas las partes que participan en el mismo.

La seguridad debe estar basada en la anticipación, eso es en el antes, pues se genera un valor agregado a nuestra actividad cada vez que contribuimos a evitar una perdida. Lógicamente esto debe ser acompañado de la acción que siempre será el reflejo de una estrategia orientada por las luces que deja la anticipación. Sumado a esto se necesita que las personas encargadas de proponer y establecer el plan corporativo de seguridad, se apropien de dicho plan y lo hagan su bandera, por que se necesita de la participación activa de los integrantes del equipo para que a través de la estrategia se logren las metas establecidas por la gerencia de seguridad.

Uno de los últimos filósofos Maurice Blondel acuño una frase muy de mi gusto en los conceptos de seguridad y es “el futuro no se prevé sino se construye”. Cuando se inicia la construcción de un programa de seguridad corporativo se busca ayudar a construir el futuro de la organización para la cual estamos trabajando, pues es de vital importancia para las empresas iniciar con el control de perdidas desde sus bases, entendiendo que no solo los hurtos son perdidas, sino que también lo son los desperdicios, en aspectos tales como luz, agua y servicios de Internet, entre otros.

Como podemos observar, cada día el entorno cambiante de la seguridad nos obliga a ser más dinámicos, proactivos y dedicados a nuestra labor. Pero el reto de ser profesionales en esta actividad esta enmarcado por el poder influir de forma constante y progresiva buscando siempre el mejoramiento continuo en el ejercicio de la tarea.


Siempre estaremos ante retos de construir el futuro de las organizaciones a las que pertenecemos y por consiguiente seremos actores activos en la creación de políticas tendientes a conseguir la misión y la visión de las organizaciones.


Un programa bien fundamentado de seguridad será pues el pilar de las conductas de la organización en procura de ayudar al control que debe mantener todo gobierno corporativo, en busca de la salud corporativa.

Quiero cerrar este documento con otra frase del señor Maurice Blondel que reza de la siguiente forma “Imaginar un porvenir diferente para una organización, es ya cambiar el futuro, por que la utopía de hoy podrá convertirse en la realidad de mañana”

Read More

LA TOMA DE DECISIONES

Diofanor Rodríguez CPP

Las decisiones están presentes y son parte inevitable de todas y cada una de las actividades del ser humano. En especial, las personas que forman una organización toman decisiones, trabajo que es particularmente importante en la gestión de los gerentes, dentro de los cuales se encuentran los gerentes de seguridad, que constantemente tienen que asumir esa responsabilidad sobre temas que muchas veces estarían comprometiendo la continuidad del negocio.

En el proceso de toma de decisiones convergen las cuatro funciones de la administración (planear, organizar, dirigir y controlar) y por eso muchas veces se ha dicho que la toma de decisiones es sinónimo de administrar.

Con este preámbulo podríamos decir que la toma de decisiones es la elección entre dos o más alternativas. Sin embargo es importante señalar que cada vez que nos enfrentamos a este momento de la gerencia estamos afectando de forma positiva o negativa nuestro trabajo y la organización para la cual desarrollamos una tarea.

En seguridad, al igual que en otros campos, muchos gerentes prefieren la evasión de problemas, que también es un estilo de toma de decisiones, que se da cuando se pasa por alto la existencia de los mismos lo cual lo lleva a ser inactivos en la toma de decisiones. Otro estilo de toma de decisiones esta relacionado con el ser reactivo, lo que significa que se enfrenta al problema cuando se presenta en lo que muchos conocemos como “el apaga incendios”. Y por ultimo, otro estilo lo tienen los proactivos, que son quienes están en constante búsqueda de los problemas, para decidir sobre ellos, entendiéndolos como una oportunidad para lograr el mejoramiento continuo.

Pues bien, todos los gerentes pueden utilizar alguno de estos tres enfoques, u otros enfoques adicionales que puedan definirse. No obstante, es claro que, dependiendo de las circunstancias y debido a que los problemas se presentan de forma veloz, las organizaciones son dinámicas y necesitan de los gerentes siempre estén en la búsqueda proactiva de oportunidades y de hacer las cosas con mejoramiento continuo.

Cuando se realiza el proceso de toma de decisiones, están involucrados tres eventos que cada uno de los gerentes debe sopesar o analizar para lograr una sincronización en la toma de la decisión y ellos son el grado de evidencia, el riesgo y el dilema. Como vemos la situación es compleja en el momento de aceptación de responsabilidad en el ejercicio de tener que tomar decisiones.

Existe mucha literatura sobre como debería ser el proceso de la toma de decisiones, pero con el que más me identifico es el concebido en siete pasos específicos ilustrado en el libro “ADMINISTRACIÓN” de Mary Coulter y Stephen Robbins; estos pasos son:

1. Identifique el problema
2. Caracterice los criterios de decisión
3. Realice asignación ponderativa de los criterios
4. Genere las alternativas
5. Realice un análisis de cada una de las alternativas
6. Seleccione la alternativa
7. Implemente la decisión.


Como se observa, la toma de decisiones es uno de los eventos más complejos del día a día del gerente. Es inevitable que en el ejercicio de la labor de toma de decisiones se puedan cometer errores, pero lo importante es aprender de los errores de forma rápida, para que contribuya en el hallazgo de la solución o soluciones pues muchas veces existen varias.

Solo resta decir que muchas veces es importante cometer errores para agilizar el concepto de aprendizaje, pero más aun muchos de estos errores ayudan a encontrar la respuesta correcta y en múltiples ocasiones la única.

Read More

¿CULTURA DE SEGURIDAD?

Diofanor Rodríguez CPP

Mucho se ha hablado de la cultura organizacional y la cultura de seguridad, pero muchas veces ni siquiera tenemos claro este último concepto.

Cuando se habla de cultura organizacional se dice que es el sistema de visión compartida por los miembros de una organización y que distinguen a esta de las demás. Esta definición parece simple. Pero cuando se habla de cultura de seguridad se avanza hacia un “callejón sin salida”, pues realmente no se tiene una definición exacta que sea aceptada en forma genérica. Así, quiero proponer una definición que es muy de mi gusto y es que la cultura de seguridad es una percepción común compartida por los miembros de una organización que nos indica unas pautas a seguir en el comportamiento dentro y fuera de la organización a la cual pertenecemos.

Esta definición implica varias cosas: Una, es que la cultura es parte del sentido sensorial, y dos, es que la seguridad es una percepción, como lo han demostrado muchos estudios de seguridad ciudadana en el mundo. Seguido a estos dos aspectos podríamos decir que las personas perciben la cultura de seguridad en función de lo que ven o escuchan dentro y fuera de las organizaciones.

El dilema sobre si existe o no cultura de seguridad en las organizaciones es el desafió constante de los gerentes de seguridad, pues es imperante lograr la aceptación y el creer en la seguridad en las organizaciones, partiendo de la transversalidad del concepto de seguridad, para ahora si poder afirmar de forma clara, precisa y concisa que la seguridad es tarea de todos.

De esta manera, si se genera una buena cultura de seguridad, se logran condiciones de fraternidad y coherencia en ambientes específicos de bienestar. El cultivar un buen ambiente contribuye de forma efectiva a incorporar el concepto de cultura de seguridad a la cultura organizacional para lograr que todas las unidades de la organización caminen hacia el logro de los fines o metas de la seguridad corporativa.

Es importante plantearse el interrogante de que tanto hacemos por lograr que exista cultura de seguridad en mi organización, o si por el contrario, utilizamos el tema de forma indiscriminada, pero realmente no hacemos los esfuerzos para lograrla.

Alguien define cultura como lo que queda después de que se olvida lo que se aprendió. En consecuencia, nos queda mucho camino por recorrer, ya que el concepto de enseñanza es dinámico y vivirá en constante cambio.

Finalizó con una frase de Lorence Prusak que dice “La cultura es la carta del triunfo sobre todo”

Read More

LA SEGURIDAD INFORMÁTICA: EL NUEVO RETO

Diofanor Rodríguez CPP

La definición de objetivos globales de seguridad nos lleva comúnmente a una encrucijada entre la seguridad física, cuyas funciones conocemos, y la seguridad de la información, que en muchos casos no es visible en las empresas.

Esta dicotomía me ha llevado a buscar puntos de coincidencia, con la concepción de que la seguridad es un eje transversal de todas las actividades organizacionales y personales, que se afecta y se modifica de manera constante gracias a eso que en el mundo se conoce como tecnología.

Con el paso del tiempo los cambios tecnológicos han ayudado a muchas profesiones y ello incluye por supuesto a la seguridad. Los medios tecnológicos, como apoyo a las labores del factor humano, han ido creciendo y mejorando el rendimiento de los sistemas de seguridad. Por esta razón el nuevo capitulo para la seguridad es la informática, tema que para muchos de nosotros es complejo y además desconocido, pero no podríamos decir que apartado del diario transcurrir de nuestra actividad, pues por el contrario todos los días nos vemos enfrentados a temas que afectan la información sensible de nuestras organizaciones.

Antes, el concepto información hacia referencia a lo que los expertos conocen como copias duras (documentos). Hoy, con el vertiginoso avance del chip, los textos son digitales y los documentos físicos son cosa del pasado. Por esta razón, la protección de la información, que viaja en disquetes, CD y en esa gran autopista de información conocida como Internet, por mencionar algunas de las múltiples formas que existen para almacenar y llevar información, se convierte en el reto de todos los profesionales de la seguridad.

Una pregunta que puede resultar lógica es ¿Por qué el reto es para los profesionales de seguridad y no exclusivamente para el profesional de seguridad IT?. Pues bien, la repuesta la dan las situaciones donde además de garantizar la seguridad física de las instalaciones, debemos garantizar la continuidad de un negocio, pues nada es más cierto una empresa que tiene mucha información sensible sin una debida custodia, y sin ni siquiera conocer quien es el usuario final de la misma, tiene unos riesgos enormes para su supervivencia.

Con este preámbulo, quiero recoger algunos temas a los cuales muchos de nosotros preferimos no enfrentar, más por desconocimiento que por capacidad, y es el tema de la seguridad informática y su terminología.

Cuando hablamos del tema, debemos conocer dos aspectos importantes: La seguridad lógica y la seguridad física. Así entonces, empezamos nuestro largo recorrido por muchos de los términos que utilizamos diariamente y de los cuales no se conocen su real significado y riesgo.

Para avanzar, déjenme decir que para mi la seguridad informática es sinónimo de fiabilidad, pues que no es otra cosa que la suma de confidencialidad, integridad, disponibilidad y no repudio. Considero desde mi óptica que muchas de las cosas que ocurren en el ciberespacio tienen su origen en la seguridad tradicional, por llamarla de alguna manera, y es por eso que se hace necesario plantearse estos tres interrogantes para formular el sistema de seguridad y son: ¿Que queremos proteger?, ¿De que lo queremos proteger? y ¿Como lo podemos proteger?.

Tratare de dar respuesta a cada uno de estos interrogantes para poder buscar claridad en un tema que por su complejidad e importancia lo han hecho exclusivo de los responsables de la seguridad IT.

El primer interrogante ¿Qué queremos proteger? hace referencia a todos los recursos que hacen parte del sistema y ellos son: Los fungibles, hardware, software, datos, factor humano y otros.

Nuestro segundo interrogante ¿De qué lo queremos proteger? lleva a la consideración de que todo activo está siempre expuesto a vulnerabilidades que comprometen la seguridad y a amenazas, entendidas como aquellos escenarios donde una acción voluntaria o involuntaria compromete la seguridad; si existe la vulnerabilidad y la amenaza, lo que aparece es el riesgo asociado, y cuando este riesgo se materializa lo que se tiene es el impacto. Todas las medidas tendientes eliminar las vulnerabilidades, amenazas y a minimizar el riesgo, se les conocen como defensas, salvaguardas o controles.

Pero hasta este momento hemos dicho generalidades y no hemos definido amenazas reales para los sistemas informáticos. Pues bien, los datos son el recurso más valioso a proteger y entre las amenazas latentes contra los mismos se encuentran la interceptación, la modificación, la interrupción y la modificación. Quienes materializan este tipo de amenazas y los motivitos que tienen para sus ataques están referidos a tres grandes grupos que son: personas (ex empleados, usuarios, piratas), fauna (gusanos, caballos de Troya y virus) y el medio (catástrofes naturales y los fallos de el fluido eléctrico). Las motivaciones de algunos de los mencionados lo hacen por demostrar poder, otros por inconformidad y algunos por pura diversión y aceptación de un grupo.

Por último el interrogante ¿Cómo lo podemos proteger? no es una respuesta sencilla, pero podemos decir que el primer circulo de protección está dado por las políticas de seguridad informática; el segundo circulo son las normativas para áreas específicas, entre las cuales es importante la implantación o socialización de las mismas para fortalecer la cadena de información; y el ultimo circulo es el de los mecanismos de seguridad (prevención, detección y la recuperación).


Con este recorrido por algunas partes de la seguridad informática, podemos realizar nuestra primera impresión sobre si este capitulo de seguridad es para los expertos de seguridad IT o por el contrario es un tema de todos.


Cuando iniciamos seguridad y el desarrollo de la actividad nos mostraba como un esquema de seguridad solo funciona con la alineación y sincronización entre los procesos y la estrategia de la organización, hicimos celebre la frase “la seguridad es tarea de todos”. No obstante, eso es solo cuando nosotros estamos trabajando por desarrollar un sistema clásico de seguridad, pues puede apreciarse que cuando tenemos que hacer parte de la cadena, preferimos utilizar expresiones como “eso no me corresponde a mi”, sin ni siquiera tomarnos el tiempo para pensar como afecta a la organización el no tener sentido de pertenencia por la información y la informática.

Solo con el simple hecho de estar dentro de entorno, los activos se ven amenazados por terremotos, errores de operación que borran archivos con información sensible, secuestro u extorsión de los administradores y el descuido del usuario que deja derramar su bebida sobre el equipo, solo por mencionar algunas de las múltiples amenazas existentes.

La seguridad del entorno posee dos grandes divisiones, la seguridad física y la seguridad operacional. La primera hace referencia a todas las aplicaciones de barreras físicas y procedimientos de control, como medidas preventivas y contramedidas contra las amenazas de la información sensible. La segunda no es otra cosa que la aplicación de los procedimientos para que se garantice la operación de los sistemas informáticos.

La lista de las amenazas físicas es bastante larga y por esa razón solo mencionare algunas como ilustración al tema. Entre ellas tenemos acceso físico, radiaciones electromagnéticas, desastres naturales y desastres del entorno. En cambio las amenazas operacionales poseen un interés particular en algunas que son de conocimiento público y que se encuentran embebidas en la seguridad clásica, como he llamado hoy en este texto a la seguridad física. Las amenazas operacionales están compuestas por la ingeniería social, la basurologia y los actos delictivos como las más significativas. Me detendré un momento en estas tres con el ánimo de buscar una definición con puntos de coincidencia en la seguridad clásica.

Ingeniería Social: Es la manipulación de las personas para que de forma voluntaria realicen actividades que de forma normal no harían. Lo que hace el atacante es aprovechar la buena fe o el desconocimiento de los implicados. Generalmente estos ataques son de un impacto alto, de un riesgo moderado y sobre todo seguro y fácil para la persona que realiza el ataque. Lo complicado de este ataque es que nunca es fruto de la casualidad.

Basurologia: Es la obtención de información en o alrededor de un sitio donde se efectuó un trabajo con información sensible, muchas veces incluye la búsqueda física en la basura, y el riesgo es bajo pero el impacto es grande.

Actos Delictivos: En este se encuentran las extorsiones y los secuestros a las redes para luego buscar un pago de rescate, que en muchas ocasiones puede ser del tipo pecuniario o búsqueda de información sensible; aquí lo realmente importante es efectuar las denuncias respectivas, pues el riesgo es bajo pero su impacto es alto.

Las contramedidas están referidas a los controles de acceso y presencia entre los que cuentan la biometría, CCTV, sensores activos y pasivos, llaves y cerraduras por hacer mención a las más populares.

Como nos hemos dado cuenta en el desarrollo del tema, todo apunta a que la seguridad es una sola y a que la piedra angular de cualquier seguridad por compleja que ella parezca, posee eslabones débiles que por lo general son en el factor humano.

Ahora, miremos un poco de seguridad en el sistema. En la actualidad, casi cualquier sistema posee la capacidad y las herramientas de prevención, detección y recuperación necesarias para garantizar los niveles básicos de seguridad, pero somos nosotros los que no sabemos, queremos o podemos utilizar estas medidas.

Aquí existen dos divisiones de amenazas de bastante importancia, una referida al usuario, que trata de violar la seguridad a través de escalada de privilegios, accesos no autorizados y usurpación de identidad, entre otras, y las referidas al programa con el mismo objetivo, entre las que se cuentan los virus, gusanos, software espía, caballos de Troya y demás.

Visto este panorama, las preguntas que muchos nos hacemos sobre que tan de la mano esta la seguridad clásica de la informática, queda resuelta en el sentido de que están integradas y en la práctica deben ser una sola. Es cierto que el desarrollo vertiginoso de la tecnología constantemente nos lleva a pensar la seguridad de forma global, pues cada vez más la información es y seguirá siendo uno de los activos más importantes de las organizaciones. Igualmente, está demostrado que toda la información que viaja a través de las computadoras es vulnerable y que además la gran autopista de la información llamada Internet, si bien es una ventaja, también incluye grandes riesgos de seguridad, en una sociedad donde los correos electrónicos abundan y el 60% de lo que recibimos en ellos es basura, Hoax, gusanos y troyanos. Podemos decir entonces que la modernidad esta sujeta al enfrentamiento de la inteligencia vs la inteligencia, pues cada vez que se genera un antivirus existe alguien que encuentra su vulnerabilidad.

Por otro lado, el aumento de los ataques a la banca y entidades financieras hace que el desarrollo de contramedidas este ligado al conocimiento de los sistemas, pero también al conocimiento de modus operandi y los gustos del ciberdelicuente.

La ventaja del ciberdelincuente radica en su capacidad para lograr mejoramientos en sus formas de ataque y la utilización del secuestro de máquinas conocidas como “zombies”, que integran un ejercito para sus fines maquiavélicos. La habilidad de los ciberdelincuentes ha llegado a tal extremo que logran evadir los rastreos a través de enmascarar sus direcciones IP ubicándolas en sitios donde ni siquiera conocen el tema.

La impunidad reinante y la falta de legislación que castigue de forma severa este tipo de delitos incrementan de forma espectacular la utilización de los medios informáticos para fines delictivos y lucrativos.

Como piedra angular de todos los procesos, el factor humano debe estar mas allá de la tecnología, la inversión y el desarrollo de nuevos productos, pues de nada sirve poseer el sistema más robusto en seguridad si los que lo manejan no están capacitados para hacerlo y además no se les educa para protegerlo.


Quiero decir que todo esta relacionado y en seguridad lo más importante es trabajar en equipo con todos los entes de la organización, pues la tarea es dura de cumplir pero si no realizamos un buen trabajo en equipo, con todos los comprometidos e involucrados, terminaremos diciendo siempre que “eso no me toca a mi”.

Finalizo con una frase de Covey: “Mejore sus destrezas, aumente sus capacidades y preserve el mayor bien que usted posee: Usted mismo”

Read More

ALGUNAS TENDENCIAS DEL SPAM

Diofanor Rodríguez CPP

Al iniciar este breve escrito quiero tomar la definición dada por Wikipedia para definir el famoso y conocido correo basura “Spam son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de spam incluyen grupos de noticias, motores de búsqueda, wikis y blogs. El spam también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea. “

Desde el año 2005 el SPAM ha venido creciendo en forma acelerada. Durante los últimos seis meses, el volumen de SPAM ha aumentado de manera alarmante, al punto que de abril a junio de 2006, en sólo dos meses, el volumen de SPAM ha aumentado entre el 40% y 50% a nivel mundial.

De la misma manera, sus creadores están mejorando la intensidad de sus ataques. Cuando los “Spammers” más sofisticados lanzan una nueva avalancha de imágenes spam al azar, generalmente se enfocan en un área geográfica, un ISP o incluso una empresa en específico.
Uno de los motores que usa el Spam son los códigos maliciosos que se consolidan y se mantienen en crecimiento en el 2006. Ese es el caso de troyanos que permitan aumentar el envío de este tipo de correo.
Una estadística publicada en VSAnti-virus.com, en el 2005, hablaba de 10 millones de equipos infectados por troyanos capaces de generar spam. Y esto es una clara muestra de que más del 50 % del correo electrónico que se envía por Internet sea del tipo basura.
El uso de troyanos por parte de los generadores del correo no solicitado se basa en la necesidad de tener más puntos de envío; estos troyanos son creados por programadores financiados por las empresas generadoras del spam, o en algunos casos hay desarrolladores que tienen "su" propia red de equipos zombies, y la alquilan al que mejor pague.
El objetivo de los troyanos es funcionar como un STMP relay, para permitir el reenvío automático de los mensajes de correo basura, y utilizan técnicas sofisticadas para mantenerse activos y dificultar la tarea de los antivirus a la hora de la desinfección. Es por esta razón que se hace necesario un enfoque proactivo de la detección, que evite la instalación de los troyanos y la problemática posterior de su limpieza.
En 2006, mientras no existan un número mayor de soluciones antivirus, con una alta tasa de detección proactiva de códigos maliciosos, se mantendrá un alto número de equipos zombies y se verán muchos más troyanos de este tipo.
El SPAM estará en otras lenguas locales y dialectos, pero se adherirá a las culturas más productivas, con mayor poder de pago. Se hará más frecuente la utilización de una mayor variedad de empaquetadores para comprimir y encriptar el malware y para evitar la detección de las herramientas antivirus.
Los protocolos de mensajería, incluyendo IRC, IM y P2P seguirán creando agujeros en los firewalls como vectores de infección. Los periodos de tiempo de las vulnerabilidades seguirán acortándose, razón por la cual la industria de seguridad deberá garantizar soluciones más preactivas.
Un estudio realizado por IronPort Systems Inc., líder en seguridad de portales de Internet, revela que se esta utilizando una nueva técnica sofisticada conocida como “imágenes Spam”. Con esta herramienta lo que persigue el “Spammer” es pasar desapercibido por las soluciones tradicionales de escaneo de contenido, no presentan ningún tipo de texto que sea analizable y, por el contrario, incluyen archivos .gif o .jpeg. Estas imágenes incluyen los mensajes spam en forma de texto y gráficos como si fueran correos de HTML, lo que complica más el trabajo de la máquina para reconocer el texto. Este tipo de spam ha aumentado de manera sorprendente, de menos de 1 por ciento en junio de 2005 a más de 12 por ciento en junio de 2006.
Por otro lado, el Spam cada vez se vuelve más inteligente, ya que consigue generar algunos cambios imperceptibles para la mayoría de los filtros comerciales, como también para el usuario final. Generalmente las soluciones comerciales de Spam se basan en el análisis de palabras en los textos utilizando unos procedimientos complejos para determinar si son o no correo basura; así, si el mensaje contiene palabras como “sexo”, “free”, herbal” “ventas” entonces se trata de un correo spam. Lo complicado de este tipo de procedimientos es que muchas veces correos genuinos son considerados spam generando incomodidades entre los usuarios de correo. En las soluciones comerciales este aspecto ha ido mejorando, pues los principales filtros antispam se basan en análisis de contenido y utilizan diversidad de métodos.
Otra tendencia es que el spam cada vez es más veloz, pues cuando lanzan un ataque lo hacen a través de máquinas zombies (PC infectados) y el proceso funciona “secuestrando” una red de banda ancha por parte de los spammers. Ellos se mueven a través de máquinas zombies cada determinado tiempo, realizando el cambio de las direcciones IP de donde se origina el ataque. De la misma manera los correos basura enviados poseen URLs que cambian dentro la misma frecuencia. En junio de 2005 la vigencia promedio de un dominio publicado en un mensaje “spam” era de 48 horas, tiempo suficiente para que las “listas negras” estáticas del URL identificaran y bloquearan los mensajes que contenían los Web links falsos. Sólo un año después, la duración promedio de un URL spam ha disminuido a menos de 4 horas. Esto significa que cuando las listas tradicionales de bloqueo identifican y registran un URL peligroso, el mensaje spam ya llegó a sus víctimas y el spammer puede continuar con su actividad.
Como siempre para finalizar quiero dejar algunas recomendaciones dadas por los expertos en el tema y que son del conocimiento público:

1. mantener el filtro anti Spam actualizado
   · Navegue por sitios seguros
   · Cuando baje programas de Internet y tenga que llenar formularios verifique que sea un sitio seguro, por favor no marque casillas donde les pregunte cuales son sus temas de interés a menos que sea estrictamente necesario.
   · No revele su dirección corporativa a cualquier persona (es como dar el teléfono a desconocidos), siempre que tenga la necesidad de registrarse en sitios Web utilice una cuenta externa en cualquiera de los sitios conocidos y gratuitos.
   · No de a conocer su dirección de mail en grupos de noticias o Chat desconocidos.
   · Por ningún motivo conteste mensajes de desconocidos, ni siquiera para pedir que den de baja su nombre pues seguirá recibiéndolos y además confirmara su dirección.
   · Cree una cuenta de correo poco común, pues algunos Spammers utilizan listas aleatorias para infectar cuentas.
   
   
   REFERENCIAS
   www.hispasec.com
   www.cantv.net
   www.seguridaddeinternet.es
   http://www.aladdin.es/news/2006/corp/seguridad_aslan.asp
   www.enter.terra.com.
   www.solucioneswebcr.com
   www.wikipedia.com
   IronPort Systems Inc
   Libro de seguridad en Internet del Dr Gonzalo Asensio Asensio
   CNICE
   
   
   

Read More

APRENDER EL LENGUAJE DEL OFICIO

Diofanor Rodríguez CPP




Las diferentes industrias, empresas y profesiones en el mundo manejan su propia forma de comunicarse. Tienen palabras que ayudan al entendimiento de sus procesos, tecnologías y materiales. Dichas expresiones pueden parecer extrañas para las personas que hasta ahora llegan a una Organización, pero resultan de vital importancia para poder cumplir la labor de las personas vinculadas a las mismas.

Así, en la medida que uno se mueve por las distintas empresas, se hace necesario desaprender muchos conceptos para aprender los propios del nuevo entorno.

Conocer los vocablos en muchas ocasiones es fundamental para sobrevivir en campos como la seguridad ya sea pública o privada. La doctora Lynda M Baker lo explica en un estudio realizado en 2004 sobre oficiales de policía encubiertas como trabajadoras sexuales. Ella hace aseveraciones con respecto a que, para que las fachadas de una operación encubierta sean efectivas, se debe conocer el entorno donde se va a desarrollar la operación y que además es muy necesario sentirse cómodo con la jerga empleada.


Estos procedimientos son igualmente utilizados en la seguridad privada El punto real es que para lograr éxitos, en casos como realizar una investigación, las personas de seguridad deben entender clara y correctamente lo que el cliente necesita.

Visto así, los que trabajamos en seguridad no nos debe dar pena preguntar y solicitar aclaración de palabras o frases desconocidas o mal entendidas, pues en algunos lugares las palabras no siempre indican lo que nosotros pensamos.

Muchas veces aceptamos compromisos bajo el supuesto de que hemos entendido, cuando en realidad no hemos ni siquiera comprendido de que se nos habla, conjugación peligrosa cuando se trata de satisfacer las necesidades del cliente.

Como recomendación se hace importante el realizar investigación de los vocablos que utilizan los diferentes escenarios donde nos desenvolvemos.

Read More

EN TIEMPOS DE LA INFORMACIÓN

Diofanor Rodríguez CPP

Para iniciar esta reflexión, quiero hacer referencia a una aseveración del doctor Giovanni Manunta, Profesor en Seguridad en Cranfield University del Reino Unido, quien hace referencia a que la seguridad es un termino entendido pero no comprendido. Entendido por que toda persona, sociedad y empresa posee una concepción de lo que debiera ser la seguridad, pero incomprendida por que esta percepción esta distorsionada en el momento de verdad en cuanto a su aplicación.

Pues bien, con este escenario podríamos decir que en todas las actividades del ser humano siempre ha estado presente el tema de seguridad de las personas y de las cosas. Hoy en día, además de estos factores se encuentra la información, que no puede ser la excepción, pues en la empresa actual puede ser el valor más importante. Ya pasaron los años en donde los elementos productivos eran la base efectiva del negocio. Hoy, más importante que la máquina es la información que permite saber qué, como y cuando tomar una decisión o no.
Por esta razón, en el presente se ha ido construyendo el concepto de seguridad de la información. La intercomunicación entre edificios y entre servidores informáticos por redes de comunicaciones ha contribuido a la aparición de esta nueva disciplina de seguridad. A su vez, la seguridad que podríamos considerar como tradicional o intrusión CCTV, PCI y demás, se encuentra íntimamente relacionada con el anterior debido que su gestión requiere del concurso de redes de comunicación.

El reto que plantea este tema es la falta de control que normalmente las Organizaciones dan a la información, pues muchas veces no son concientes de su valor o piensan que no les pasará nada. La verdad es que el desconocimiento del tema nos lleva a un momento de displicencia con las medidas que debemos tomar, dejando vulnerable la información sensible.
No podemos ser ajenos a que nuestros competidores o personas interesadas en hacer daño a las empresas o en obtener beneficios para sí, podrían tomar información de manera indebida y hacer un uso inadecuado de la misma. Por este motivo, día a día el hombre de seguridad debe vincularse de manera efectiva en la búsqueda de mecanismos para la protección de la información.
Partiendo del axioma conocido de la seguridad como lo es el hecho de que cualquier ataque para llevarse acabo necesita tres elementos que son: el deseo, la capacidad y la oportunidad, debemos decir que ya se hace más escaso el delincuente que a través de su lenguaje corporal y físico nos de las pautas para desconfiar de el, pues con las tecnologías ya no hace falta exponerse para ingresar a algún sitio y el delito se puede cometer desde la tranquilidad del hogar en compañía de un buen tabaco y sin ni siquiera la utilización de ropa especial.
El interrogante es entonces si, con el cambio de dimensión de la información y los sistemas de control, que pasó de ser real a virtual, se ha cambiado el perfil de la amenaza. La respuesta obviamente es afirmativa y ello hace necesario establecer cual es ese nuevo perfil de tal amenaza.
La moderna tecnología permite llevar a cabo espionaje con una aceptación extraordinaria, de forma transparente y con total impunidad. Basta con señalar que, hoy en día, por menos de 10 millones de pesos se puede adquirir en el mercado un equipo capaz de monitorear todas las conversaciones mantenidas a través de un teléfono móvil GSM, independientemente del lugar donde esté su usuario. Este valor es irrisorio comparado con los gastos realizados por las grandes compañías en estudios de mercado. Nace entonces una pregunta: ¿Será que a alguien le queda la duda de que una persona interesada es capaz de invertir dicha cantidad para conocer nuestros secretos?.
Por lo visto nos encontramos ante un tema de mucha atención y cuidado, pero el cual hay que investigar, analizar y aplicar con el único propósito de que las personas que trabajamos en seguridad día a día podamos garantizar la minimización de fallas en los esquemas de seguridad por perdida de información. Se hace necesario involucrarnos en el lenguaje virtual para que cuando utilicen términos como hackers, crackers y samurais no nos sintamos que estamos en el lugar equivocado y por el contrario logremos definir a que familia de delincuentes pertenecen y cual es su modus operandi mas significativo.

La invitación para hoy es ha reflexionar si no hemos caído en la triste monotonía de decir que ya todo lo sabemos y no hacemos nada por capacitarnos cada día mas.
.

Read More

EL CORREO BASURA O SPAM

Diofanor Rodríguez CPP

El correo electrónico es un invento absolutamente revolucionario. Sus grandes ventajas radican en la forma fácil y gratis de envío de mensajes e información, con gran rapidez y la posibilidad de adjuntar archivos con contenidos de todo tipo, tales como documentos, fotografías, vídeos, música, libros y demás.
En la actualidad, podría decirse que todas las personas que ocupan algún cargo de responsabilidad en las Organizaciones tenemos correo electrónico. Tras muchos años de exclusividad, finalmente hemos llegado a un punto en el que no tener e-mail nos deja fuera del mercado.
Pero asociado a este maravilloso invento esta inmerso el correo basura, que todos recibimos y del cual hablamos frecuentemente. No obstante, el común de las personas no percibe los problemas que genera este tipo de correo. Recientemente en un estudio realizado por Ipswitch (compañía que desarrolla y comercializa soluciones de software) se ha anunciado que en el primer trimestre de 2006 el correo basura representó el 62% de los correos recibidos, lo que indica un aumento de un 5% con respecto al último trimestre de 2005. La tendencia que se aprecia es al alza, las estrategias para su control no han surtido el efecto deseado y es muy probable que pronto la basura llegue más allá del buzón de correo electrónico.El correo basura se ha convertido, por desdicha, en algo consustancial al día a día, pues el manejo de información en un mundo globalizado nos obliga a conectarnos a Internet. Al tratarse de un ataque del tipo masivo, las medidas para el control del correo basura se limitan a seguir unas prácticas saludables sobre procedimiento y publicación de nuestras direcciones de correo y a tener algún tipo de antispam en nuestros PC, que filtren el grueso del correo no deseado; las soluciones sin embargo, se han quedado cortas en la detección de este tipo de correo.
El correo no deseado generalmente persigue alguno de los siguientes objetivos: Fraude económico, diseminación de malware (Acrónimo de Malcious software, con el que se designa cualquier tipo de programa maligno) a gran escala, publicidad fraudulenta, saturación y/o denegación de servicio de un proveedor determinado, recopilación de direcciones de correo y la notoriedad. Pero a nivel de usuarios lo que genera es una perdida en la productividad, ya que según un estudio realizado por “Agencia Española de Protección de Datos”, las personas gastan entre 15 a 20 minutos para deshacerse de estos molestos correos.
Por esta y más razones, al correo no deseado se le debe dar la importancia que merece, no en su contenido, pero si en el problema que representa y su comportamiento al alza.Existe un correo basura del tipo financiero que genera un modelo de negocio del spam financiero orientado a mercados de valores. Es muy sencillo en cuanto a su resultado final, si bien es tremendamente complejo en el terreno analítico. Una vez analizado es fácil comprender las medidas de fragmentación que emplean los atacantes. Es frecuente que estos correos se centren en ofrecer datos y consejos sobre inversiones en mercados con alta inestabilidad, presentando en los mensajes información difícil de obtener, como por ejemplo, cotizaciones, expectativas y rentabilidades. Obviamente, los datos ofrecidos suelen ser datos reales, normalmente obtenidos de servicios gratuitos de trading como Yahoo Finance o Google Finance.
Muchas empresas de IT han tratado de controlar este tipo de correo basura, pero los creadores del spam van un paso adelante y han logrado en muchas ocasiones redireccionar los ataques contra ellos a las páginas de los proveedores que la generan.
Esto indica que no es una brillante idea utilizar las mismas armas contra los spammers y creadores de malware en general; pues al igual que los creadores de los virus es una especialización que día a día incrementa su participación en la gran autopista de la información.
ALGUNAS TENDENCIAS
Se podría precisar que durante este año habrá muchas mutaciones del spam en diferentes medios y modalidades. No es fácil prever cuáles serán los próximos pasos de los spammers, pero podríamos decir que el negocio estratégico se podría dirigir a la búsqueda de software anti-spam que logren identificar efectiva y rápidamente el correo basura para conseguir el resultado esperado que es bloquear nuevos tipos de spam.
En el mercado ya existen los chips de RFID (Radio Frequency Identification) que serán los sustitutos de los actuales códigos de barras, permitiéndole conocer a las grandes superficies cuando un cliente ha comprado X o Y marca.
Al realizar el pago con tarjeta de crédito todo será sistematizado; realizando asociaciones de clientes con determinados productos, luego será fácil realizar publicidad segmentada online si los productos RFID incluyen cláusulas que contemplen el envió de publicidad a sus compradores.
Por otro lado, los VoIP (voz sobre IP) tienen software que pueden realizar llamadas a millones de teléfonos IP en el mundo; cuando el usuario responde, un contestador automático lo invita a realizar compras de X o Y producto.
Finalizaré diciendo que existirán filtros inteligentes que comprenderán el lenguaje nativo, para entender cuando un mensaje contiene spam.

REFERENCIAS
www.hispasec.com
www.seguridad0.com
Agencia española de protección de datos
Ipswitch
Panda labs
www.microsoft.com
www.canalar.com.ar

Read More

CONTINUIDAD DEL NEGOCIO

Diofanor Rodríguez CPP El compromiso de gobernar las tecnologías de la información a nivel corporativo, lleva consigo la aceptación de muchos desafíos particularmente interesantes. Tales desafíos en particular se refieren a estar siempre pendientes de vulnerabilidades, parches, virus, gusanos, troyanos y ese infinito etcétera de amenazas que golpean una y otra vez a los sistemas de la información. En circunstancias normales, los responsables de seguridad actúan proactivamente para prevenir los efectos nocivos de los ataques y, cuando no hay más remedio, porque la prevención ha fallado, se actúa reactivamente. De esta situación real surge un interrogante: ¿Se plantean los responsables, antes de cualquier acción, el riesgo que conllevan estas amenazas? Difícil balanza la que representa colocar en un lado la cantidad de riesgos que estamos dispuestos a aceptar y del otro la cantidad de recursos financieros, técnicos y humanos de los que disponemos para mitigar los riesgos en materia de seguridad de la información. En la gestión de la seguridad hay un episodio de especial importancia. Se trata de la recuperación ante desastres, concepto que tiene que ir asociado con otro de igual interés en la administración de la seguridad como es la continuidad de los negocios. Estos parámetros toman cada vez más cuerpo. Actualmente se ha propuesto un modelo de norma ISO, cuyo nombre será ISO/IEC 27006 "Guidelines for information and communications technology disaster recovery services" (Lineamientos para los servicios de recuperación de desastres en las tecnologías de información y comunicación), instrumento específicamente orientado a la continuidad y a la recuperación, suministrando guías específicas para los servicios de recuperación ante desastres, bien sean propios o externos. Esto no hace más que reafirmar la teoría de que los modelos de gestión están cada vez más orientados a la seguridad de la información, como el mecanismo que garantiza que los procesos que reposan en las tecnologías de la información posean el tratamiento óptimo, en aras del beneficio conjunto de todo el diagrama de procesos de la organización. Se prevé que ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se puede ver en el borrador, se percibe una fuerte impregnación de la norma SS507 - Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. Queda claro entonces que se hace necesario tener un plan empresarial que nos garantice que en el momento de un desastre de tecnología de información y comunicación, la continuidad del negocio no se vea afectada; pues la permanencia en un mercado ganando es la vida de una organización en cualquier parte del planeta. En las tecnologías de la información se deben tomar todas las prevenciones posibles, pues como todos sabemos la información es un activo valioso y como tal hay que protegerlo. Algunas de las cosas que aconsejan los expertos para contribuir con la recuperación ante un desastre hacen referencia a: · Revisar periódicamente las copias de seguridad realizadas toda vez que una copia resulta útil si la podemos restaurar· La escogencia del software de backup requiere el consejo de un experto, se debe reflexionar y aconsejar sobre la disponibilidad de mecanismos y sobre la forma rápida y corta de recuperación de información, que son de vital importancia. Muy seguramente se debe invertir.· Si es posible de forma periódica llevar las copias de seguridad a un lugar externo, para evitar posibles hurtos, accidentes y sabotajes.· Garantizar la seguridad física de las máquinas y evitar que personas por accidente o por actos mal intencionadas les causen daño; no se debe olvidar la instalación de las máquinas en entornos controlados, en donde la instalación de un sistema anti- incendio contribuye de forma activa en la prevención. · En el momento de buscar el lugar donde deben estar las máquinas de cómputo es importante observar que no haya instalaciones hidráulicas cerca, verificar que la red eléctrica sea segura y que cumpla con las especificaciones de la norma internacional.· Realice un buen análisis de riesgos; no descarte ninguno, pues en una oficina puede pasar de todo. Es importante la realización del análisis de riesgos por parte de un experto con el fin de poder determinar con un alto directivo que riesgos son aceptables.· Lograr una buena socialización de las medidas preventivas tomadas garantiza en parte el éxito o fracaso de cualquier plan de continuidad, toda vez que si las medidas que se toman son buenas de nada sirven si son guardadas y nadie la conoce.· Es muy importante realizar simulacros sin previo aviso; eso sí el presupuesto lo permite, pues no podemos olvidar que la información que podemos perder es valiosa.· Para finalizar, es importante la información que poseemos para encontrar los errores, problemas y las posibles soluciones a fin de poder tener un plan de recuperación de desastres que se asemeje a la realidad. Con esta información realice la priorización de los eventos teniendo en cuenta cual de ellos generaría una para o perdida total a la organización; recuerde siempre que lo que primero hay que recuperar es lo más rentable o vital para la organización.


Referencias:
Hispasec
Informe Panda Labs

Read More

TECNICAS COMBINADAS

Diofanor Rodríguez CPP


En los últimos días se ha podido observar que las técnicas de “fraude financiero online” han venido mutando en su forma de llegar al usuario.

La técnica mas usada, conocida como “fishing”, esta utilizando además de la suplantación de las paginas de entidades bancarias reconocidas, la confirmación telefónica, con el propósito de hacer más creíble la situación. Para ello, los delincuentes programan máquinas que responden al usuario y que lo guían durante todo el proceso en el cual va solicitando de forma metodológica información sensible, de manera que no se genere sospecha alguna sobre el método.
Obviamente, esta variante proporciona a los delincuentes buenos resultados, pues regularmente los usuarios facilitamos más y mejor información a través de un medio tan popular como el teléfono. Pero esto no para aquí. En el mercado, como lo muestran las estadísticas de empresas dedicadas a estos estudios, tales como Virus Total e Hispasec, los “fishers” involucran “troyanos” en sus actividades, consiguiendo con esto dos objetivos básicos: El primero hace referencia ha pasar de forma inadvertida, sin generar sospechas, y el segundo hace referencia a su tiempo de vida, pues es mucho mayor y generalmente pueden descubrirse semanas o meses después de haber iniciado su actividad. La utilidad de estos “troyanos” es que no poseen las limitaciones de las páginas Web falsas, pues generalmente burlan los sistemas más habituales de seguridad. Los “troyanos” son capaces de capturar pulsaciones en los teclados, en los cuales por ejemplo se está digitando la clave de una tarjeta débito o de una tarjeta de crédito, o de capturar los datos de un formulario en texto plano antes de que el navegador los pase a un formato seguro, para comentar solo algunas de las múltiples amenazas que encierra un “troyano”. Por esta razón, una vez infectada la máquina por un “fishers”, ninguna transacción hecha desde ella reviste ningún grado de seguridad. Hispasec en los análisis realizados al tipo de “troyano bancario” ha clasificado los generadores de estos en dos escuelas que internamente han llamado Brasilera y Rusa. Según este estudio, existen tres grandes diferencias entre estas dos escuelas y ellas son: estrategia, técnicas utilizadas y la programación. Pero en este mismo estudio, se encontró una coincidencia y es el uso de ingeniería social, disfrazando un “troyano” dentro de temas de contenido sexual. En muchos de los casos reportados, los usuarios reciben fotos de un alto contenido “XXX” o algún enlace para que accedamos a temas calientes y en medio de estos mensajes, de las páginas Web a las que se accede y de la fotos que muestra, van escondidos los “troyanos” que infectan el computador del usuario cuando abre los archivos. Generalmente estos troyanos explotan vulnerabilidades conocidas, que no hemos solucionado y que normalmente pensamos que “eso no tiene nada que ver conmigo”. Para finalizar, es importante recordar algunas normas básicas de higiene computacional como lo son ignorar todos los mensajes de spam, correos con remitente desconocido, no visitar los enlaces que llegan en estos mensajes, mantener nuestro sistema operativo actualizado con los últimos parches de seguridad y el mantener un buen antivirus actualizado. No olvidemos pensar en una solución antispam. Siempre que naveguemos en la autopista de la información debemos pensar de forma desconfiada, pues no todo lo que nos muestran pude ser lo que es.

Referencias: www.hispasec.com

www.virustotal.com

Read More

CONTROL DE PERDIDAS

Diofanor Rodríguez CPP



El Control de Pérdidas fue creado en el año de 1966 por Frank Bird, (autor del libro “Administración del control de perdidas). El concepto de este término es que accidentes de trabajo, enfermedades profesionales, incendios y daños a equipos y a la propiedad, forman parte integral del complejo sistema operacional que pueden controlar las gerencias de las empresas a través de la identificación, investigación y análisis de todos los sucesos que producen pérdidas. Ello por supuesto se aplica tanto en las empresas, como en las organizaciones y en la comunidad.
En 1970, William Haddon, planteó su modelo de causalidad donde hace énfasis en el hecho de que las lesiones a personas y los daños a la propiedad (máquinas, materiales, edificios y demás) son el resultado de la liberación no planeada de fuentes de energía que hacen contacto con seres humanos y cosas vulnerables en general. Igualmente, presenta los conceptos de costos directos e indirectos.

Conocidos estos dos conceptos, podríamos decir que el control de perdidas hace parte de la gestión de los gerentes de seguridad y se encuentra embebido dentro de las funciones de cada una de las personas que conforman las organizaciones.

Así, el control de perdidas sin duda es y seguirá siendo un proceso proactivo, toda vez que siempre estará buscando prevenir en todas las áreas organizacionales.

Las estadísticas empresariales muestran que el hurto externo y el hurto interno son responsables de muchas perdidas en las organizaciones, pero igualmente también lo son los accidentes de trabajo y las enfermedades profesionales. Es importante aclarar que el 85% de los accidentes de trabajo generalmente son causados por actos inseguros o incumplimiento de las políticas de seguridad para el puesto de trabajo. Otro ítem que no podemos desconocer es el hecho de que los errores administrativos causan un 10% de perdidas en las organizaciones.


En todas las actividades que desarrolla el ser humano se corren riesgos; esto es inevitable. No obstante, en épocas anteriores se nos permitía cometer muchos más que los que en este momento las organizaciones son capaces de resistir, pues cada vez que se corre un riesgo no medido incurrimos en perdidas a causa de la irresponsabilidad de los actores.

Uno de los objetivos del control de pérdidas podría ser el lograr que las consecuencias de correr riesgos fueran muy altas, de modo que se hicieran poco atractivas, para que la gente no quiera correrlos.

Muchas de las perdidas en las organizaciones están asociadas a cinco factores básicos o generales:

1. Falta de control.
2. Causas indirectas
3. Errores.
4. Capacitación
5. La gente.


Es de gran importancia para las empresas y departamentos de seguridad mantener datos históricos para realizar un análisis de riesgos lo más preciso posible. La idea es que ellos sirvan de base para iniciar la implementación de un programa de control de perdidas, que nos permita generar indicadores de gestión, con el fin de medir cual es el impacto real de las perdidas en la organización, y además nos indiquen de forma lógica cuales pueden ser los mejoramientos y correctivos al programa, logrando convertir la seguridad en un valor agregado.
“pero todo esto pasa por la capacitación y concientización del capital humano"

Read More

El perfil del hombre de seguridad

Diofanor Rodríguez CPP

En seguridad siempre se esta buscando el hombre idóneo para el desempeño de las actividades inherentes a la tarea. De acuerdo con los conceptos de Stephen R Covey en sus libros “Los 7 hábitos de la gente altamente efectiva” y “El 8 habito”, he querido tratar de esbozar cual podría desde mi percepción ser el perfil de el hombre de seguridad.
1. Hombres proactivos
Deben ser personas responsables del direccionamiento de su propia vida. Son los que determinan la ruta que quieren seguir y desarrollan las habilidades y destrezas de elegir las respuestas a lo que sucede alrededor de ellos. Estas respuestas son más un producto de sus principios y valores que de sus estados de ánimo y condiciones.
2. Hombres que comienzan con el fin en la mente
Tienen una visión clara de sus objetivos estratégicos y de ellos mismos, tienen un conocimiento profundo y arraigado del significado de sus vidas y se guían por principios universales de la existencia. Llevan a cabo sus actividades de manera efectiva y positiva. Son personas que se dan cuenta que las cosas inician en la mente antes de ser creadas físicamente. Son líderes de ellos mismos, por eso se basan en los valores y establecen prioridades antes de seleccionar sus metas y emprender alguna actividad.
3. hombres que saben hacer primero lo primero
Hombres que son sus propios administradores. Ejercitan la disciplina. Planean organizan dirigen y controlan su tiempo según las prioridades. Reflejan en su actuar lo que predican. Dedican más atención a las cosas que son urgentes pero no importantes y dedican también más tiempo a las cosas importantes pero no necesariamente urgentes. Cumplen las actividades como las programan.

4. Hombres que cultivan relaciones ganar-ganar
Estos hombres tienen un alto espíritu de cooperación. Creen que la efectividad se logra a través del trabajo en equipo reconociendo que la cadena es tan fuerte como el eslabón más débil. Tienen una mentalidad de abundancia y una actitud permanente de búsqueda de satisfacción propia y ajena. Generan una comunicación efectiva y una gran confianza en su relación con los demás.
5. Hombres que buscan primero entender y después ser entendidos
Poseen la habilidad de observar mucho, observar con detenimiento y escuchar con atención. No juzgan a los demás y se interesan en conocer la problemática, intereses y preocupaciones de las personas que los rodean. Este es un hábito clave en la vida, para edificar buenas relaciones interpersonales y se convierte en la medula del hombre de seguridad profesional.
6. hombres que creen en la sinergia
Son hombres altamente eficaces practican el apoyo y el trabajo en equipo pero contribuyendo con creación al mejoramiento continúo. Perfeccionan la habilidad de apreciar y aprovechar las diferencias que tienen con los demás y un gran espíritu de respeto mutuo. De esto obtienen planos más amplios y diferentes.
7. Hombres que se afilen permanentemente
Los hombres de seguridad deben practicar la auto-reconstrucción y el auto-enriquecimiento constante en los tres escenarios donde se desenvuelve como lo son la familia, el trabajo y la sociedad. De esta manera pueden ser participes de todos los aspectos de su vida y a su vez pueden conservar los otros 7 hábitos.
8. Hombres que encuentran su voz y ayudan a los demás a encontrar la suya.
Hombres capaces de enfrentar retos basados en su inteligencia, fuertes por naturaleza, consiguiendo estar a la altura de los mayores desafíos. Hombres que disfrutan lo que hacen y logran a través de su profesión encontrar su verdadera vocación, logrando explotar todas esas cualidades, que se convierten en talento puesto al servicio de la familia, la sociedad y el trabajo.

Read More

GENERALIDADES DE TERRORISMO

Diofanor Rodríguez CPP


A pesar del paso de los años, del final de la guerra fría y de los principios de un proceso incierto de paz en el Oriente Medio, el terrorismo continúa siendo una amenaza seria en muchos países.

El derrocamiento de las dictaduras comunistas quitó un gran apoyo a los patrocinadores del terrorismo. Sin embargo, una de las atracciones principales del terrorismo, para quienes lo ejercen, se basa en que es un procedimiento barato, con un elevado impacto potencial, pues es posible tener acceso a armas y lograr con ellas la intimidación y el impacto que el agente agresor quiere causar.


El terrorismo contemporáneo y moderno evoluciona a partir de los problemas políticos y se esconde en la búsqueda de un cambio y en las aspiraciones de la población. Muchas de estas causas, que sin duda resultan legítimas para la comunidad, han sido desviadas de procesos legales y democráticos no-violentos, a acciones de violencia y terrorismo.

En verdad, un ingrediente fundamental para un cambio positivo es la existencia de un líder bien entrenado, dedicado y con carácter para cambiar la situación completamente.. De esto se han dado cuenta ya los pueblos alrededor del mundo. Aquel romanticismo y discurso popular, con que muchos se inspiraron para encontrar causas radicales, guerras de liberación y alianzas políticas, ya no tienen sentido, pues los pueblos, cansados del abuso y del terror generado por su desviada interpretación, ya no los ven como campeones de las causas populares.

Stalin, Lenin, Trotsky, Guevara, Marighella y otros, que dedicaron su vida a generar terror, dejaron solo un legado de violencia en nombre de los pueblos oprimidos, de las causas nobles y de la justicia social, que hoy están estremeciendo al mundo. Una consecuencia histórica de este legado es el crecimiento del terrorismo internacional y transnacional, que ha traído consigo numerosos grupos de venganza y odio a todos los países, con mercenarios ideológicos que han ayudado con su experiencia y conocimientos, bombas y armamentos a sus aliados políticos e ideológicos en cualquier lugar del planeta.


La mayoría de las organizaciones terroristas se diferencian una de otra a través de sus distintos propósitos y sus supuestas ideologías. Existen algunos factores de tipo general que han contribuido al desarrollo del terrorismo:

1. El éxito de una operación genera más terrorismo. La barbarie es frecuentemente ayudada con publicidad y mas prestigio
2. La indiferencia referente de muchas personas hacia el terrorismo y la violencia asociada. La tendencia a olvidar tan pronto como se haya acabado el acto terrorista. Muchos asumimos que la ausencia de indicios significa la ausencia de una amenaza.
3. La simpatía popular con el terrorista. Algunas personas tienden a identificarse con los "combatientes en contra del gobierno opresor". Les otorgan cualidades poéticas a los terroristas como luchadores por la libertad e incluso los consideran héroes cuando en realidad no son más que criminales.
4. El terrorismo como mecanismo de apoyo a la guerra habitual. Muchas revoluciones han iniciado con altos niveles de actividad terrorista. El terror ha sido usado con éxito para apoyar operaciones normales y para golpear y doblegar la moralidad convencional, desconociendo las leyes diplomáticas y las leyes de la guerra.


Una estrategia generalizada de los grupos terroristas, a la cual muchas veces todos apoyamos con nuestra indiferencia o con la publicidad que se les hace, es perpetrar actos de violencia que buscan conseguir la atención de las personas, el gobierno y el del mundo para lograr una demostración de sus metas políticas o en algunos casos conseguir la publicidad que mantenga viva su causa terrorista.

Son muchos los factores que contribuyen a la violencia terrorista. Nombraremos algunos muy del conocimiento global como lo son:


1. Factores políticos: Buscan los terroristas conseguir adeptos basados en que el pueblo crea que la violencia esta dirigida al gobierno considerado como corrupto y autoritario.
2. Factores sociales: La descomposición social y la riqueza en manos de unos pocos, siempre han sido catalizadores de terrorismo.
3. Factores de tipo económico: El mantenimiento de condiciones de pobreza absoluta, sin la más mínima esperanza de cambiar la situación, siempre ha sido un factor determinante en la generación de violencia.
4. Factores ideológicos: Las oposiciones radicales en contra de filosofías políticas conlleva a la violencia.
5. Factores religiosos: El fanatismo religioso ha llevado a que pueblos enteros se enfrenten por esas diferencias, a lo cual se suma que algunas religiones patrocinan y aceptan la violencia como principio, hecho que es aprovechado por los terroristas para lograr la desestabilización de un estado.
6. Factores de influencia extranjera: Nada más cierto es que la existencia de grupos violentos se fortalece con un apoyo en entrenamiento, armas y dinero de países extranjeros. Es aquí donde aparecen los patrocinadores que están dispuestos a solucionar esos problemas en cualquier parte del mundo.


El “modus operandi” terrorista en la mayoría de los casos se ajusta a que operan en bandas pequeñas, de dos a seis individuos bien entrenados. Su misión y su blanco tienen como soporte el armamento y el equipo que llevaran para usar y la habilidad del terrorista para lograr buena comunicación, control de la operación y seguridad general. En esta última reposa en gran parte el éxito de la operación; los terroristas generalmente usaran algún equipo de comunicación para seguir la reacción de la población y las actividades de las autoridades. Vestirán como el común de la gente para poder esconderse fácilmente en su ambiente. El terrorista generalmente incluye un elemento distractor para lanzar un ataque buscando desviar la atención y llevar a las autoridades hacia otra dirección.

Así, como se puede ver, todos los elementos de la organización terrorista están envueltos activamente en el rol de seguridad.

Con el avance de las tecnologías y la llegada de la gran autopista de la información como se le conoce a la Internet, los grupos terroristas han complementado su actuar haciendo públicos videos, formulas de fabricación de bombas y sus principios de lucha utilizando este medio masivo de información. Entonces, ya pueden conseguir adeptos a la causa en cualquier parte del mundo y no necesariamente se estigmatiza a los grupos que por historia siempre han estado participando de este tipo de actos, pues en su afán por hacerse menos visible para conseguir sus fines, utilizan personas de todas las nacionalidades como medio para alcanzar las metas trazadas.

Muy poco pueden hacer las autoridades para determinar desde donde logran sus publicaciones, pues cuando logran llegar a algún servidor ya lo han hecho tarde y ellos lo esta haciendo desde otro lugar; además, existen y seguirán existiendo en el mundo quienes quieran publicar este tipo de aberraciones que lo único que buscan, como lo dirían los expertos en mercadeo, es el posicionamiento de una marca, la del terrorismo fundamentado en principios distorsionados.

Si bien el tema del terrorismo es muy complejo, también es muy valido que la solución está en la sinergia que generen gobiernos, fuerzas militares y de policía, comunidad, empresas y organizaciones de seguridad. Para contribuir activamente frente a este flagelo.

Read More

ES ESTRATEGICA LA SEGURIDAD EN LAS ORGANIZACIONES?

Diofanor Rodríguez CPP


Si esta pregunta se hiciera a directivos y ejecutivos de las organizaciones, muy probablemente la respuesta sería sí.

No obstante, para tener certeza al respecto, debemos realizarnos algunas preguntas básicas, de aquellas que nos llevan a cuestionar los paradigmas donde nos movemos. Debemos citar las palabras misión, visión y objetivos estratégicos, muy comunes en los ejercicios de planeación estratégica, pero a los cuales no les damos la fortaleza que necesitan. De hecho, si realmente queremos estar en el mundo de la seguridad y lograr que ésta se convierta en un elemento estratégico, se hace imperativo que los actores y responsables conozcan y ayuden a crear el objetivo a donde estamos apuntando y que además contribuyan a construir el camino que hemos de seguir para alcanzar el objetivo

Lógicamente estos dos, objetivo y camino, deben estar sincronizados y alineados con los procesos y las personas de la organización, de modo que generen valor agregado dentro del conjunto de los procesos que posee la empresa.


Siempre hemos de estar cuestionándonos que cambios pueden ocurrir y que forma tendrá mi sector en el futuro, como logro ser un participante reconocido y activo en esos cambios y además como contribuyo al mejoramiento continuo desde mi puesto de trabajo. Dicho esto, para que realmente sea estratégica la seguridad en cualquier organización, se necesita del aprendizaje y desarrollo de cada una de las personas de la organización, para que ellos se comprometan y lo conviertan en acción.

Seguramente no es necesario inventar nuevas estrategias. Tal vez sea mejor contar con la experiencia de las personas, con el ánimo de apuntar hacia lo que la organización quiere y necesita, para así crear programas de seguridad que sean aplicables y amigables dentro de un sistema organizacional, contribuyendo a que los involucrados sean colaboradores incondicionales de la seguridad organizacional.

Siempre que se piense en seguridad como estrategia debemos iniciar por reconocer que todo lo que se haga en pro de la misma debe ir engranado y no como rueda sola; es de carácter obligatorio que estos movimientos logren una retroalimentación que permita generar correcciones o mejoramientos.

Lo que es realmente importante para que la seguridad sea estratégica, es que tenga un fin y un camino para lograrlo y que las decisiones se tomen en tiempo real. En este contexto, la seguridad será estratégica cuando entendamos que no solo es de un grupo de personas, sino que la labor aunque difícil es de todos.

Por supuesto, las estrategias en todos campos, incluida la seguridad, en principio no son más que planteamientos teóricos. Solo sabremos si es buena o mala hasta cuando llegue el momento de su ejecución por parte de todo el engranaje organizacional, pues en ese mismo momento que afrontara la prueba real.

Read More

LA SEGURIDAD EN LOS PROCESOS DE SELECCIÓN

Diofanor Rodríguez CPP



La inmensa mayoría de las organizaciones del mundo obtienen su desarrollo, éxitos y logro de objetivos, en su mayor parte, con base en el aprovechamiento del capital humano que poseen.

La construcción del capital humano a su vez, tiene a la seguridad como un soporte muy importante, toda vez que se convierte en un filtro entre el mercado de trabajo y la empresa. Este filtro tiene como propósito garantizar el cumplimiento de las políticas corporativas, que indican siempre, como es lógico y obvio, que los aspirantes a un puesto en cualquier organización se deben acoplar a las necesidades de la empresa.

Así, la seguridad en los procesos de selección genera valor agregado al proceso de contratación, cuando a través de los perfiles podemos contribuir en un alto porcentaje en la elección adecuada, que evite posteriormente costos adicionales asociados a la productividad y al aprendizaje.

Es muy importante en todos los procesos contar con listas de chequeo que permiten realizar un seguimiento a los puntos críticos del proceso y por supuesto la selección no es una excepción a la regla, con lo cual se contribuye a minimizar los posibles riesgos en la contratación.

En las organizaciones, muchas veces debido a las necesidades y a la velocidad con que deben tomarse la decisiones, dejamos de lado el concepto de seguridad de personal, ahondando con esto los problemas que se generan internamente por contratar los empleados que pueden ser no totalmente indicados para lograr las metas que la organización se trazó. Con ello entonces vemos comprometida la competitividad de una organización por aptitudes, actitudes y la motivación del personal.

Cuando ayudamos a la empresa a contratar la persona para el cargo estamos creando sinergia en pro de la consecución de las metas de la organización, pero para lograr este propósito, se debe ser muy preciso y exacto en las especificaciones de los cargos vacantes.

Es necesario crear un formulario de solicitud de empleo desarrollado por la organización que se ajuste a las leyes vigentes y que además nos sirva para conocer más al aspirante: En el mercado existen algunos formatos comerciales que si bien es cierto traen consignada una información, realmente son muy comerciales y se dedican a vender imagen. Obviamente no se deben rechazar, pues por el contrario son el apoyo para cruzar información con la solicitud suministrada por la organización.


También es de gran importancia realizar una investigación de antecedentes, laborales, penales y de vecindario, con el ánimo de optimizar la escogencia del aspirante. Dichas investigaciones nos ayudan a familiarizarnos con nuestros futuros empleados generando desde ese momento un clima laboral sinérgico que contribuya en forma activa a la consecución de las metas de la organización.

La organización siempre estará esperando que las personas de seguridad que intervienen en el proceso de selección, contribuyan en la minimización de los riesgos implícitos en el proceso. Existirán muchas más técnicas pero si logramos concientizar a las organizaciones de la importancia del proceso, hemos de iniciar con estos primeros pasos

Read More

MENTIRAS O VIRUS

MENTIRAS O VIRUS


Diofanor Rodriguez CPP

Cundo se aborda el tema de las mentiras, nos trasladamos a una muy antigua actitud humana, con la cual se sorprende a algunas personas, se hace reír a otras y definitivamente se molesta a muchos, sobre todo cuando las mentiras tienen como consecuencia la pérdida de tiempo y dinero.

Con esta pequeña introducción, quiero iniciar el tema de la seguridad informática conocido como “HOAXES” y que muchos mal llaman virus.

Los hoaxes son una de las expresiones apócrifas con más difusión en la autopista de la información y se trata de mensajes que invocan virus fantasmas, que son reproducidos a través de los correos electrónicos y que generan falsas alarmas. Podemos decir que son incómodos mensajes reflejo de esta sociedad globalizada. Debe aclararse que no son virus reales, si no alarmas sobre virus imaginarios.

La estrategia de los hoaxes es muy simple, pues debido a que su reproducción la realiza a través de correo electrónico, el mensaje siempre invitara a que sea retransmitido a la mayor cantidad de contactos posibles, con el único objetivo de advertir de un nuevo virus, conseguir algún favor celestial, contribuir con una causa noble y otros propósitos similares.

Uno de los hoaxes más famosos en la Internet fue el “good times”, que aún continua deambulando por la red y que consistía en advertir del peligro de abrir correos electrónicos y adjuntos que contengan una leyenda específica.

El fenómeno de estas mentiras o virus apócrifos es estacional y muchas veces coincide con temas del día a día de los cuales la comunidad internauta está enterada. Así ocurrió por ejemplo en 2003, cuando se produjo el estallido del transbordador espacial challenger, hecho a partir del cual durante varias semanas circularon en la Internet correos alertando de un nuevo virus, falso por su puesto, que incluía un archivo adjunto con la frase “challengers explosion”.

Una de las dificultades más importantes es la forma de detectar y clasificar los hoaxes, debido a su rápida y masiva difusión y por supuesto al hecho de que siempre cabe la posibilidad que, preciso en esa ocasión, no se trate de una broma de mal gusto, si no efectivamente de un virus. Por ello, se aconseja mantener una actitud de desconfianza permanente con respecto a los correos que prometan dinero por reenviar un mail o favores especiales.

Hasta ahora está demostrado que ningún Príncipe de país africano alguno está repartiendo su herencia si usted reenvía un mensaje, ni Hotmail ha cerrado su correo si no reenvía el correo a sus contactos, ni a nadie le ha caído una plaga especial por no retransmitir un mensaje a sus amigos, ni se ha ganado la lotería por haberlo hecho. Esos correos siempre tendrán como fin el engaño o simplemente la tomadura de pelo..

A pesar de no generar amenazas reales en comparación con los virus, los hoaxes o mentiras cumplen con el mismo objeto y se comportan como dignos representantes de las variedades nocivas de la Internet; comprometen el flujo de la información y afectan la productividad.

Las noticias arregladas, distorsionadas o totalmente falsas formas que podemos encontrar y de las que hay que estar atentos. Las páginas de salud son sin duda unas de las más afectadas por quienes utilizan la mentira. De igual forma existe alerta por las páginas de belleza, que pueden traer graves consecuencias a la salud.

Para finalizar es importante entender que este tipo de mensajes generalmente recurre a los sentimientos de los usuarios para lograr su credibilidad.

Read More

LAS POLÍTICAS DE SEGURIDAD INFORMÄTICA EN LAS ORGANIZACIONES

LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA EN LAS ORGANIZACIONES
Diofanor Rodríguez CPP



La seguridad informática tiene como objetivo proteger los recursos informáticos del daño, modificación, hurto y perdida, lo cual incluye equipos software, hardware, medios de almacenamiento, listado de impresoras y algo muy importante, los datos.

La seguridad es un elemento fundamental de cualquier sistema y servicio informático: No obstante, muchas veces es un tema que preferimos tomar más adelante, a pesar de que una vulnerabilidad en la seguridad puede generar graves daños o incluso la quiebra de una organización.

Por esta razón se hace necesario abordar el tema de la seguridad de inmediato, generando los procesos y las normas que deben regular o controlar el uso de la tecnología informática, toda vez que siempre existirán eslabones débiles en una cadena, que para nuestro caso se trata sin duda del factor humano.

Tras el impulso que ha tomado la seguridad informática, motivado por los constantes cambios y las nuevas tecnologías disponibles en el mercado, se ha hecho posible que las organizaciones interactúen entre si mediante las redes internas (LAN) y externas (WAN), generando con esto un aumento en la productividad y la competitividad de las organizaciones. Pero como contraparte, también inherente a estos avances, han llegado nuevos riesgos y amenazas a los sistemas de información.

Estas nuevas amenazas a las que nos enfrentamos han hecho que se generen un sin número de documentos, procedimientos, reglas y directrices que contribuyen de forma activa al direccionamiento de la utilización de la tecnología en forma segura, generando recomendaciones para obtener un mejor provecho y evitar el mal uso de la misma.

Con esta perspectiva, las políticas de seguridad informática llegan como una herramienta organizacional dirigida a lograr el apoyo y la concientización del recurso humano sobre la importancia y la sensibilidad de la información, que permiten a las empresas mantenerse en un mercado compitiendo. Visto así, el generar políticas de seguridad lleva consigo un alto compromiso con la organización, una habilidad técnica para establecer fallas y debilidades y una perseverancia para mantener actualizadas dichas políticas, siempre pensando en función del ambiente cambiante de las organizaciones modernas.

¿QUE ES LA POLÏTICA DE SEGURIDAD?

Una política de seguridad son las normas, los procedimientos, el control y el mecanismo de comunicación con los usuarios, toda vez que en ella se plasma una forma de comportamiento formal del usuario con los sistemas de información de la organización.

No podríamos decir que una política de seguridad es una descripción técnica de mecanismos, ni tampoco un procedimiento legal que involucre sanciones a conductas de los usuarios. Considero que es más bien una descripción de lo que vamos a proteger y el por que de esa protección.

Cada una de las políticas generadas por las empresas se debe convertir en una invitación para los empleados a reconocer que la información es uno de los activos más valiosos que poseen las organizaciones modernas, además el inductor de intercambio en los negocios.

Es este el motivo por el cual las políticas deben tener como fin una posición conciente y vigilante por el uso y limitaciones de los servicios y recursos informáticos.

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA

Como las políticas están enfocadas a orientar las decisiones que se toman en lo que hace referencia a seguridad, se hace necesario el compromiso de todos los actores del proceso, con el único fin de lograr una visión compartida de lo que se considera importante.

Una política de seguridad debe considerar los siguientes elementos:

Alcance de las políticas, incluyendo estructuras, sistemas y factor humano sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática también deben dar explicaciones del por que se deben tomar ciertas decisiones. Obviamente estas deben ser claras y precisas. Además, se debe realizar una explicación de los recursos. De igual manera se deberán comunicar las expectativas que la organización tiene con respecto a la seguridad y ser específica en el tema de quien es la autoridad responsable de aplicar las correcciones y sanciones según sea el caso.
Otro tema importante en la creación de políticas de seguridad informática es el uso de un lenguaje sencillo y fácil de entender, quizás sin tecnicismos y sin términos ambiguos, que causen confusión y generen un mal entendimiento de la misma; obviamente sin realizar sacrificios en su exactitud.

Quiero con esto contribuir un poco al cambio de la forma como se miran las políticas de seguridad informática en las organizaciones, pues en el camino siempre encontraremos quienes nos ayuden a defenderlas como también los detractores que se ingenian nuevas formas para desvirtuarlas.

Read More

LA GERENCIA DE SEGURIDAD

LA GERENCIA DE SEGURIDAD
Diofanor Rodríguez CPP


En el mundo de hoy, los gerentes en general, de cualquier área, deben desarrollar y tener competencias para administrar, esto es para planear, organizar, dirigir, controlar, campo dentro del cual deben en especial tomar decisiones y lograr los resultados esperados.

En el campo de la seguridad, la gerencia de los tiempos actuales, enfrenta además factores de desconocimiento, confusión y cambios repentinos. Por esta razón, las personas responsables de dirigir la seguridad en las empresas públicas o privadas deben tener un particular método de gestionar y una manera especial de pensar, dilucidar y proceder.

La gestión de seguridad está muy ligada al funcionamiento efectivo y eficiente de las empresas y departamentos de seguridad y al logro de la misión para el cual fueron contratados. En gran parte, los resultados de seguridad dependen de la capacidad que tenga el gerente para alcanzar las metas a través de la cooperación voluntaria y el concurso de todos y cada uno de los actores.

El gerente es quizás el único responsable del éxito del grupo que dirige, del éxito de la seguridad de la empresa y por supuesto de su éxito personal. Por obvias razones, para tomar decisiones y adelantar actividades de calidad, se hace necesario tener, además de una formación en gerencia, unos muy buenos criterios de seguridad, un conocimiento con entendimiento de la filosofía administrativa de la organización de la que se hace parte, la concepción del equipo de trabajo basado en el factor humano y una buena concepción del trabajo que le permita ganar adeptos con apoyo efectivo por la visón y la misión de la seguridad (cultura de seguridad).

La evolución en el campo de la gestión de seguridad avanza hoy en día hacia una división del trabajo del gerente, en el cual se conjugan una serie de roles interpersonales, que incluyen las visiones modernas de seguridad con las clásicas funciones de la administración. Así, el alma del accionar gerencial de seguridad en el presente, según dicen algunos expertos, esta en el visionar, imaginar, innovar, crear y hacer seguimiento para lograr un optimo control.

Pero lo que constituye un rasgo básico en el gerente de seguridad es la acción. La acción esta en la mente y en el corazón del gerente, pues es el quien tiene la responsabilidad de alcanzar los cambios trazados a través de sus programas de seguridad.

La forma de pensar del gerente de seguridad sobre las personas, las organizaciones y las cosas es un componente crítico para el mejoramiento de la calidad, la productividad y la integración del personal con los sistemas y procesos de seguridad de cualquier organización. El eje de toda gerencia siempre va a ser el factor humano,

Considero desde mí creer que el gerente de seguridad debe ser la luz que guía al desarrollo del trabajo en un ambiente humano; donde se cultive el respeto, la confianza, la motivación y prevalezca la sincronización y alineación con lo que la organización de la que hacemos parte quiere y necesita.

Una práctica gerencial de seguridad con calidad solo será posible con gerentes que basen su acción y esfuerzo en una teoría gerencial y hagan del aprendizaje y el conocimiento profundo una base sólida como lo afirman los teóricos de la calidad.

Hablar de conocimiento profundo lleva consigo tener una visión sistémica de la organización con un conocimiento profundo y arraigado del propósito de la misma.

Para finalizar quiero dejar una pregunta a manera de reflexión y de juicio interno de cada uno de nosotros: ¿Estaremos los gerentes de seguridad caminando al ritmo de los cambios?

Read More

seguridad integral

SEGURIDAD INTEGRAL
Diofanor Rodríguez CPP

Las amenazas que día a día tienen que enfrentar las organizaciones modernas, están en crecimiento constante: los virus, los hoaxes, worms, spamming y robo de identidad, son ejemplos de una cruel y dura realidad. Las perdidas económicas en que las empresas pueden incurrir son grandísimas, sin contar por supuesto las perdidas intangibles como son la imagen y la credibilidad ante los stakeholders.

Mucha gente se preguntara por que si se realiza una alta inversión en tecnología para tratar de minimizar estos problemas, aun se siguen presentando. La respuesta no es nada fácil. La seguridad informática es un proceso “enrevesado”, que lleva implícito el triangulo recurso humano, procesos y tecnología. Si estos tres componentes no son evaluados como un todo, el resultado no será otro que un completo caos.

RECURSO HUMANO

Hay quienes predicamos que la seguridad es una cultura organizacional. No obstante, esta forma de ver la seguridad no es fácil de llevar a la práctica, pues cuando por ejemplo ingresamos a una oficina y encontramos el pos it pegado en el monitor con el nombre de usuario y la contraseña, se esta caminando en contravía de la cultura de la seguridad; otro caso de la antitesis de la cultura de seguridad es que, existiendo un control de accesos electrónico, no se le de el uso adecuado por parte de los usuarios, facilitando el ingreso de personas extrañas a la organización.

Todo implica básicamente que los seres humanos siempre hemos sido reacios al cambio y a convertir una regla en disciplina. Solo a través de un seguimiento estricto, procesos y entrenamiento, sería posible conseguir en el mediano plazo que el ser humano adquiera conciencia de lo importante de la cultura de seguridad y seguramente lograr así una reducción de los riesgos. Es de anotar que, sin perjuicio del esfuerzo señalado, también en muchos casos se hace necesaria la medida disciplinaria, para lograr una alineación del empleado con el objetivo de seguridad.

PROCESOS

Cada vez que hablamos de procesos realizamos el símil con el paso a paso de realizar una actividad para conseguir el resultado esperado.

Uno de los procesos es el de administración de eventos obliga a las empresas a llevar un libro de registro para problemas y soluciones, logrando establecer con esto las tendencias y la identificación de cual fue la causa raíz.

Como valor agregado de estos registros está el poder identificar con rapidez en otros casos difíciles y complejos a quien se le puede solicitar ayuda.

El proceso antes mencionado es vital, pero no podemos decir bajo ninguna óptica que es el único, por el contrario hace parte de todo el compendio de procesos que constituyen las operaciones de una organización que se denomine “consciente” en el tema de seguridad.


TECNOLOGÍA

Los procesos de compra de tecnología nueva en las organizaciones por lo general siempre concluyen de forma contraria. La razón es muy sencilla: muchas veces tomamos información del proveedor y posteriormente buscamos cual es el equipo que necesitamos.

Todo pasa por el concepto de los gerentes financieros y nuestros ingenieros de sistemas que compran software y hardware, motivados por el muy sonado y propagandista marketing.

La reflexión es que siempre que se necesite realizar una compra de tecnología, es necesario realizar unos pasos previos que ayudarán a minimizar el riesgo de adquirir algo que posteriormente no funcionara para la organización. Los posibles pasos pueden ser:


1. Defina las necesidades de la organización
2. Realice una propuesta con las características deseadas
3. Póngala en consenso con las personas que la van a utilizar
4. Hágala publica a los proveedores con el fin de conseguir la mejor solución.
5. De ser posible obtenga una demostración
6. Verifique las referencias de clientes suministradas por el proveedor


Después de realizados estos pasos, que no son camisa de fuerza pues seguramente existirán otros, podremos llegar a realizar una buena compra con bajos niveles de riesgo. No obstante debemos recordar que la seguridad de la información de una organización es un proceso que hace que la gente conviva con el tema generando una cultura de trabajo, dirigida y obligada por técnicas y formulas que estarán apoyados por la tecnología.

Read More