A pesar de los fenómenos climáticos (El Niño - La Niña) que afectaron a muchas familias en el mundo y que produjeron inundaciones, sequías, incendios forestales y otros fenómenos extremos, es decir existe mucha necesidad en familias y nosotros podemos ayudar dando nuestra mano a los más necesitados entre ellos los niños que representan el futuro de la humanidad sobre todos a los que padecen de enfermedades tales como el cáncer, cuyas consecuencias son físicas y psicológicas, pienso que la palabra clave para el año 2011 es UNION que la podemos expresar en fuerza, amor y ayuda en equilibrio. Espero que la elasticidad de la gente nos permita conseguir buenos frutos.
Quiero desearte que tengas una feliz navidad y prospero año 2011, esperando que todos los proyectos de bienestar se materialicen con éxito, eficiencia y excelencia
Freddy Márquez
Dedicado a la Investigaciòn relacionada con las diversos controles en el area de la Tecnologìa de Informaciòn y la manera de prevenir los Riesgos en las infraestructuras de Hardware y Software
Bienvenidos
Muy complacido de diseñar este lugar para compartir aspectos relacionados con la tecnología de la información y la manera de prevenir hechos en materia de fraudes electrónicos que cada día avanzan de manera sorprendente. Concientizar es mi propósito definido apoyado en la investigación a fin de enlazar una red de colaboradores en este ámbito.
jueves, 23 de diciembre de 2010
miércoles, 26 de mayo de 2010
Infraestructura, Protocolos y aplicaciones para el manejo de llaves
Publicación especial NIST 800-57(Parte 3)
Resumen artículo: por Joel Elíaz R.
http://www.itl.nist.gov/publications/view_pub.cgi?pub_id=905108
Según publicación especial del Instituto Nacional de Estándares y Tecnologías, NIST por sus siglas
en inglés, lo elementos disponibles para la administración de llaves son los siguientes:
Infraestructura de llaves públicas (PKI’s): Usadas para la distribución de llaves públicas en
servicios de información que incluyen confidencialidad, autenticación, integridad y firmas. El
sistema usa algoritmos de llaves públicas basadas en dos laves, una pública que puede ser
conocida “públicamente” y una privada que debe ser mantenida en secreto por el propietario.
Estos algoritmos son usados para establecer servicios de seguridad entre entidades, asegurando
que la data transmitida no ha sido modificada e identificando a quien la origina. Las aplicaciones y
protocolos incluyen el Protocolo de Seguridad de Internet (Internet Protocol Security – IPsec),
Seguridad de la Capa de Transporte (Transport Layer Security – TLS), Protocolo S/MIME y algunas
versiones de Kerberos.
IPSec: Es una suite de protocolos de seguridad para las comunicaciones en internet, a través de la
capa de red, operando con el protocolo IP. Este es frecuentemente usado para establecer redes
provadas virtuales (VPN), las cuales permiten proteger las transmisiones que se realizan a través
de una red pública. IPsec opera mediante la inserción de cabeceras que proveen protección de
integridad, confidencialidad, autenticación de origen, trabajando mediante algoritmos
criptográficos que se acoplan a los protocolos IPv4 e IPv6.
TLS: robusto protocolo usado para proteger enlaces tales como servicios de autenticación vía
puntos de acceso inalámbricos. El protocolo está dividido en dos niveles:
Protocolo de registro TLS (TLS Record Protocol).
Protocolo de mutuo acuerdo TLS (TLS Handshake Protocol).
El de más bajo nivel es el Protocolo de Registro, que se implementa sobre un protocolo de
transporte fiable como el TCP. El protocolo proporciona seguridad en la conexión con dos
propiedades fundamentales:
· La conexión es privada. Para encriptar los datos se usan algoritmos de cifrado simétrico.
Las claves se generan para cada conexión y se basan en un secreto negociado por otro
protocolo (como el de mutuo acuerdo). El protocolo también se puede usar sin
encriptación.
· La conexión es fiable. El transporte de mensajes incluye una verificación de integridad.
El Protocolo de mutuo acuerdo, proporciona seguridad en la conexión con tres propiedades
básicas:
· La identidad del interlocutor puede ser autentificada usando criptografía de clave pública.
Esta autentificación puede ser opcional, pero generalmente es necesaria al menos para
uno de los interlocutores.
· La negociación de un secreto compartido es segura.
· La negociación es fiable, nadie puede modificar la negociación sin ser detectado por los
interlocutores.
S/MIME: Provee servicios de seguridad criptográfica en el manejo de mensajes electrónicos
mediante el uso de firmas digitales, controlando la integridad y el no repudio del origen. Para ello
requiere de una suite de algoritmos para:
· Creación de firmas digitales.
· Generación de valores Hash.
· Establecimiento de llaves.
· Encriptación de los mensajes.
KERBEROS: Mecanismos de autenticación que fue desarrollado por el MIT para habilitar la
seguridad de autenticación de los usuarios a través de redes no protegidas. El núcleo de una
arquitectura de Kerberos es el KDC (Key Distribution Server). Los almacenes de información de
autenticación KDC y lo utiliza para autenticar a los usuarios de forma segura y servicios.
Esta autenticación se llama seguro porque:
· No aparecen en texto plano
· No se basa en la autenticación por el sistema operativo anfitrión
· No se fía de base sobre las direcciones IP de
· No requiere de la seguridad física de las máquinas de la red
El KDC actúa como un tercero de confianza en el desempeño de estos servicios de autenticación.
Debido a la función crítica de la KDC, KDC múltiples son normalmente utilizados. Cada uno de los
almacenes KDC una base de datos de los usuarios, servidores y claves secretas.
Los clientes de Kerberos son las aplicaciones de red normal, que han sido modificados para el uso
de Kerberos para la autenticación. En el argot de Kerberos, que han sido Kerberos.
Resumen artículo: por Joel Elíaz R.
http://www.itl.nist.gov/publications/view_pub.cgi?pub_id=905108
Según publicación especial del Instituto Nacional de Estándares y Tecnologías, NIST por sus siglas
en inglés, lo elementos disponibles para la administración de llaves son los siguientes:
Infraestructura de llaves públicas (PKI’s): Usadas para la distribución de llaves públicas en
servicios de información que incluyen confidencialidad, autenticación, integridad y firmas. El
sistema usa algoritmos de llaves públicas basadas en dos laves, una pública que puede ser
conocida “públicamente” y una privada que debe ser mantenida en secreto por el propietario.
Estos algoritmos son usados para establecer servicios de seguridad entre entidades, asegurando
que la data transmitida no ha sido modificada e identificando a quien la origina. Las aplicaciones y
protocolos incluyen el Protocolo de Seguridad de Internet (Internet Protocol Security – IPsec),
Seguridad de la Capa de Transporte (Transport Layer Security – TLS), Protocolo S/MIME y algunas
versiones de Kerberos.
IPSec: Es una suite de protocolos de seguridad para las comunicaciones en internet, a través de la
capa de red, operando con el protocolo IP. Este es frecuentemente usado para establecer redes
provadas virtuales (VPN), las cuales permiten proteger las transmisiones que se realizan a través
de una red pública. IPsec opera mediante la inserción de cabeceras que proveen protección de
integridad, confidencialidad, autenticación de origen, trabajando mediante algoritmos
criptográficos que se acoplan a los protocolos IPv4 e IPv6.
TLS: robusto protocolo usado para proteger enlaces tales como servicios de autenticación vía
puntos de acceso inalámbricos. El protocolo está dividido en dos niveles:
Protocolo de registro TLS (TLS Record Protocol).
Protocolo de mutuo acuerdo TLS (TLS Handshake Protocol).
El de más bajo nivel es el Protocolo de Registro, que se implementa sobre un protocolo de
transporte fiable como el TCP. El protocolo proporciona seguridad en la conexión con dos
propiedades fundamentales:
· La conexión es privada. Para encriptar los datos se usan algoritmos de cifrado simétrico.
Las claves se generan para cada conexión y se basan en un secreto negociado por otro
protocolo (como el de mutuo acuerdo). El protocolo también se puede usar sin
encriptación.
· La conexión es fiable. El transporte de mensajes incluye una verificación de integridad.
El Protocolo de mutuo acuerdo, proporciona seguridad en la conexión con tres propiedades
básicas:
· La identidad del interlocutor puede ser autentificada usando criptografía de clave pública.
Esta autentificación puede ser opcional, pero generalmente es necesaria al menos para
uno de los interlocutores.
· La negociación de un secreto compartido es segura.
· La negociación es fiable, nadie puede modificar la negociación sin ser detectado por los
interlocutores.
S/MIME: Provee servicios de seguridad criptográfica en el manejo de mensajes electrónicos
mediante el uso de firmas digitales, controlando la integridad y el no repudio del origen. Para ello
requiere de una suite de algoritmos para:
· Creación de firmas digitales.
· Generación de valores Hash.
· Establecimiento de llaves.
· Encriptación de los mensajes.
KERBEROS: Mecanismos de autenticación que fue desarrollado por el MIT para habilitar la
seguridad de autenticación de los usuarios a través de redes no protegidas. El núcleo de una
arquitectura de Kerberos es el KDC (Key Distribution Server). Los almacenes de información de
autenticación KDC y lo utiliza para autenticar a los usuarios de forma segura y servicios.
Esta autenticación se llama seguro porque:
· No aparecen en texto plano
· No se basa en la autenticación por el sistema operativo anfitrión
· No se fía de base sobre las direcciones IP de
· No requiere de la seguridad física de las máquinas de la red
El KDC actúa como un tercero de confianza en el desempeño de estos servicios de autenticación.
Debido a la función crítica de la KDC, KDC múltiples son normalmente utilizados. Cada uno de los
almacenes KDC una base de datos de los usuarios, servidores y claves secretas.
Los clientes de Kerberos son las aplicaciones de red normal, que han sido modificados para el uso
de Kerberos para la autenticación. En el argot de Kerberos, que han sido Kerberos.
viernes, 21 de mayo de 2010
Ingeniería Social
Realizado por Beatriz Maldonado
La ingeniería social puede definirse como una acción o conducta social destinada a obtener información de las personas cercanas a un sistema. Es el arte de conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos.
Mitnick (2.007) plantea que la Ingeniería Social:
Es el tipo de ataque más difícil de detectar y del que defenderse. El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un trabajo. El principio que sustenta la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil.
En el ambiente informático, es muy conocido el dicho “una computadora apagada es un computadora segura”. Ahora bien, si la computadora está apagada, ¿quién es el objetivo? El usuario. No hay un solo sistema en el mundo que no dependa de un ser humano, lo que conlleva una vulnerabilidad independiente de la plataforma tecnológica.
Por eso, la ingeniería social continúa siendo el método de propagación de ataques informáticos más utilizado por los creadores de malware, quienes aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y lograr que éstos terminen cayendo en una trampa que suele apuntar a un fin económico. El hecho que una persona pudiera persuadir a alguien para que le suministre sus datos personales e información financiera, como por ejemplo, el número de su tarjeta de crédito, puede parecer algo poco factible, sin embargo se suministran datos confidenciales diariamente en distintos medios, como el papel que se arroja a la basura en la oficina o el sticker adhesivo con el password (contraseña) debajo de un teclado.
La técnica más conocida de ingeniería social en la actualidad para llevar a cabo un fraude electrónico bancario es el Phishing, el cual puede producirse de varias formas, desde un simple mensaje a un teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico, en donde es utilizada la imagen del banco y en cuyo contenido se le pide al usuario realizar una acción en específico como lo puede ser dar click a un link en donde la acción pudiera obedecer a actualizar sus datos en un sitio “Seguro”, direccionado a una página simulada del Banco y es ahí en donde el ladrón de identidades logra que el usuario escriba su nombre y contraseña bancaria.
Recomendaciones:
Evitar el suministro de información laboral o dejarla expuesta a terceros y familiares, ya que puede ser utilizada inadecuadamente en contra de su seguridad e integridad laboral, la de su familia y la de su empresa.
Abstenerse de digitar informaciones confidenciales, tales como nombres de usuario contraseñas, en paginas no seguras cybers al realizar transacciones en línea, cajeros y comercios.
Evitar el suministro de información confidencial, a través de llamadas telefónicas desconocidas.
Notificar hechos sospechosos, que intenten comprometer nuestra seguridad, a los responsables de la organización.
Sea precavido al consultar información clasificada en el computador cuando hayan personas ajenas detrás de usted, incluyendo compañeros de trabajo.
Destruir la información impresa que es sensible al negocio, antes de arrojarla a la papelera.
El factor humano es parte esencial de la seguridad de la información. No existe un sistema informático que no dependa de un operador humano, es por esta razón que se debe concientizar sobre los riesgos y vulnerabilidades presentes día a día que atentan sobre la seguridad de la información.
Bibliografía consultada:
Mitnick, K. (2.007) El Arte de la Intrusión. México D.F.:RA-MA.
La ingeniería social puede definirse como una acción o conducta social destinada a obtener información de las personas cercanas a un sistema. Es el arte de conseguir de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos.
Mitnick (2.007) plantea que la Ingeniería Social:
Es el tipo de ataque más difícil de detectar y del que defenderse. El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un trabajo. El principio que sustenta la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil.
En el ambiente informático, es muy conocido el dicho “una computadora apagada es un computadora segura”. Ahora bien, si la computadora está apagada, ¿quién es el objetivo? El usuario. No hay un solo sistema en el mundo que no dependa de un ser humano, lo que conlleva una vulnerabilidad independiente de la plataforma tecnológica.
Por eso, la ingeniería social continúa siendo el método de propagación de ataques informáticos más utilizado por los creadores de malware, quienes aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y lograr que éstos terminen cayendo en una trampa que suele apuntar a un fin económico. El hecho que una persona pudiera persuadir a alguien para que le suministre sus datos personales e información financiera, como por ejemplo, el número de su tarjeta de crédito, puede parecer algo poco factible, sin embargo se suministran datos confidenciales diariamente en distintos medios, como el papel que se arroja a la basura en la oficina o el sticker adhesivo con el password (contraseña) debajo de un teclado.
La técnica más conocida de ingeniería social en la actualidad para llevar a cabo un fraude electrónico bancario es el Phishing, el cual puede producirse de varias formas, desde un simple mensaje a un teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico, en donde es utilizada la imagen del banco y en cuyo contenido se le pide al usuario realizar una acción en específico como lo puede ser dar click a un link en donde la acción pudiera obedecer a actualizar sus datos en un sitio “Seguro”, direccionado a una página simulada del Banco y es ahí en donde el ladrón de identidades logra que el usuario escriba su nombre y contraseña bancaria.
Recomendaciones:
Evitar el suministro de información laboral o dejarla expuesta a terceros y familiares, ya que puede ser utilizada inadecuadamente en contra de su seguridad e integridad laboral, la de su familia y la de su empresa.
Abstenerse de digitar informaciones confidenciales, tales como nombres de usuario contraseñas, en paginas no seguras cybers al realizar transacciones en línea, cajeros y comercios.
Evitar el suministro de información confidencial, a través de llamadas telefónicas desconocidas.
Notificar hechos sospechosos, que intenten comprometer nuestra seguridad, a los responsables de la organización.
Sea precavido al consultar información clasificada en el computador cuando hayan personas ajenas detrás de usted, incluyendo compañeros de trabajo.
Destruir la información impresa que es sensible al negocio, antes de arrojarla a la papelera.
El factor humano es parte esencial de la seguridad de la información. No existe un sistema informático que no dependa de un operador humano, es por esta razón que se debe concientizar sobre los riesgos y vulnerabilidades presentes día a día que atentan sobre la seguridad de la información.
Bibliografía consultada:
Mitnick, K. (2.007) El Arte de la Intrusión. México D.F.:RA-MA.
jueves, 22 de abril de 2010
CIBERCRIMEN “El PHISHING”
ALBERTO RIVAS
Estudiante de postgrado en auditoria y seguridad
Estudiante de postgrado en auditoria y seguridad
El cibercrímen es un flagelo que se ha acrecentado en la medida que los ciber delincuentes optimizan sus procesos delictivos, entre los móviles se encuentra el PHISHING, el cual ha venido sofisticando sus modalidades y ampliando su radio de acción para vulnerar la seguridad de la información de las organizaciones y particulares.
En base a lo anterior tanto las organizaciones como los consumidores y requirentes de productos y servicios debe educarse e investigar sobre esta modalidad de cibercrímen, igualmente las empresas deben invertir recursos en herramientas de seguridad que le permitan mitigar los riesgos y por ende adiestrar a su recurso humano con el objeto de blindar el manejo de la información tanto de las empresas como de sus clientes, proveedores y consumidores.
CIBERCRIMEN
“Es cualquier elemento, tanto físico como lógico, de valor probativo sobre algún aspecto relevante en un caso” (K. Mandia, 2003)
Partiendo de este enunciado, como una de las tácticas más importantes de los cibercrímenes que afectan a los consumidores y empresas, es el phishing “Pesquen - Pescando” ha crecido en volumen y sofisticación en los últimos años. Basado anterior en lo es pertinente tener en cuenta que el Cibercrimen es una realidad emergente en nuestro medio, por tanto es necesario descubrirlo y entenderlo para luego combatirlo.
La crisis económica ofrece un campo fértil para los nuevos intentos de la ingeniería social de defraudar a la gente de las empresas y a los consumidores desprevenidos, aplicando esquemas de fraudes generalizados, frente a esto ya no se requiere de hacker para posibilitar y cometer fraudes en Internet; cualquier que tenga un motivo puede sumarse a esta actividad.
El phishing, utiliza estrategias y desarrolla herramientas con el objeto de hacer que usuarios desprevenidos entreguen información delicada para robarles su identidad, siendo una amenaza tanto para las empresas como los consumidores.
El Anti- phishing Working Group (APWG), informo que los ataques de phishing remitidos a ésta asociación aumentaron 13% durante el segundo cuarto de 2008 a más de 28 mil, igualmente durante el mismo periodo la cantidad de URL relacionadas con malvare que infectó las PC con códigos para robarse las contraseñas aumentó a un nuevo record de por lo menos 9 mil 500 sitios, un incremento de 258% comparado con el mismo cuarto de 2007.
Tácticas de phishing más recientes:
Spear phishing
Consiste en dirigir sus acciones hacia clientes conocidos de un banco, un proveedor de crédito hipotecarios u otro tipo de organización, igualmente los empleados de las empresas son el blanco de estos criminales.
En este tipo de ataque el objetivo es obtener acceso a información bancaria corporativa, base de datos de los clientes y demás información que facilite el crimen.
Business services phishing
Dirigidos a empresas que utilizan Yahoo o Google Adwords y consiste en recibir mensajes electrónicos indicando que las cuentas requieren actualización, solicitando al titular de la cuenta que inicie la sesión en la falsa interfaz de Adwords y que brindaran información de su tarjeta de crédito. Con esta táctica se vieron afectada muchas Pymes, en virtud que dependen de la publicidad online para dirigir el tráfico a sus sitios, con lo cual Directivos de alto nivel suministraban datos bancarios.
El phishing y los temores económicos
La crisis económica actual ofrece oportunidades sin precedentes de que los criminales exploten a las victimas. Remitiendo correos electrónicos procedentes de una Institución Financiera que hace poco adquirió el acreedor hipotecario, los ahorros y préstamos o el banco de la víctima. Esto obedece a la gran cantidad de adquisiciones y fusiones ocurridas creando un entorno de confusión para los consumidores.
Existen combinaciones mixtas de phishing y malware, en donde el usuario recibe una tarjeta electrónica de phishing por email que al parecer es autentica. Al darle click en la liga del correo para recibir la tarjeta electrónica. La persona llega a un sitio Web falso que descarga un caballo de Troya en la computadora de la víctima.
El usuario observa un mensaje que indica que debe efectuar una descarga de software actualizado antes de poder ver la tarjeta electrónica, al efectuar la descarga el software se trata de un Keylogger, que al combinarlo con fines de phishing, tienen componente de rastreo que intentan monitorear acciones especificas a organizaciones determinadas como Instituciones financieras, minoristas online y gente delicada al comercio electrónico, con el objeto de obtener números de cuentas, ID de usuarios y contraseñas. Otra variedad es cuando el caballo de Troya les permite a los phishers capturar información delicada a través de un redireccionador. Estos dirigen el tráfico de los usuarios finales a otra dirección falsa.
Los mensajes de texto y las estafas a través del celular, los Phisher se hacen pasar por instituciones financieras reales, utilizando los sms como alternativa al correo electrónico para intentar acceder a la información confidencial de las cuentas.
La modalidad conocida como Smishing, la estafa típica le indica al usuario del celular que la cuenta bancaria de la persona está en riesgo o que ha desactivado la tarjeta de crédito /ATM. Se le indica a la victima que marque un número o ingrese a un sitio Web falso para que reactive su tarjeta, y el robot comienza a solicitarle información confidencial, sobre su número de seguridad, de cuenta y de tarjeta.
El phishing en la actualidad su nicho no es únicamente las instituciones financieras, su onda expansiva vulnera los sitios de subasta, los servicios de pagos, los sitios de ventas al menudeo y las redes sociales son blancos frecuentes, igualmente a los fabricantes y proveedores de celulares. Esto se traduce en una disminución por parte de los clientes en accesar y hacer transacciones online, generando pérdidas cuantiosas a las empresas.
Para proteger las empresas no existen soluciones mágicas, algunas tecnologías pueden proteger a las organizaciones como proveedor de servicios y por ende a sus clientes, podemos citar las siguientes herramientas como la Secure Sockets Layer (SSL) y Extended Validation (EV), apoya en el combate del phishing y otras formas del Cibercrímenes al cifrar información delicada y ayudando a los clientes a autenticar el sitio. Para ello se hace necesario implementar niveles más elevados de cifrado y autenticación posibles para protegerse del ciberfraude y aumentar la confianza.
Aplicar las tecnologías que apoyen la seguridad de la información, es necesario que las empresas continúen educando a los consumidores y empleados respecto de las prácticas seguras en internet y como evitar el ciberfraude. Es importante indicarles a los clientes a reconocer los signos de un intento de phishing como son los errores ortográficos, saludos genéricos en lugar de personalizados, solicitudes urgentes para realizar acciones, advertencia de los estados de las cuentas, solicitudes de información personas, y ligas y dominios falsos.
miércoles, 7 de abril de 2010
Aumenta control sobre clientes y transacciones de los bancos
Análisis realizado por José Gregorio Figueredo Matheus
Estudiante de Postgrado en Auditoria y Seguridad de la Información
Con la aprobación de las normas que deberán seguir las entidades financieras para prevenir la legitimación de capitales y el financiamiento al terrorismo, la superintendencia de bancos busca adecuarse a los estándares internacionales.
Fernando Fernández, abogado experto en el tema con experiencia en la comisión interamericana para el control del abuso de drogas y profesor de la universidad metropolitana, explica que “estas normas llenan un vacio que ha existido durante cinco años desde que se aprobó la ley contra la delincuencia organizada.”
Sudeban emite normas para prevenir legitimación de capitales.
“ los bancos deberán hacer un enorme esfuerzo educativo y tecnológico por que se insiste mucho en los controles . hay un énfasis especial en el manejo del riesgo, podríamos decir que el ideal es tener buenos negocios, responsables y seguros”.
Fernando Fernández agrega que para los clientes de la banca las normas se traducirán en “mayor investigación para los depositantes”.
Una vez entre en vigencia la disposición de la sudeban, transcurridos 180 días continuos contador a partir del 9 de marzo , al abrir una cuenta a una persona los bancos crearan una ficha que, entre otros datos, tendrá origen de fondos, promedio del numero de transacciones mensuales que realizara en la cuenta, monto del salario e ingresos mensuales, profesión y oficio.
Además deberá especificarse la “necesidad de recibir o enviar regularmente transferencias desde o el exterior de la república, indicar el país de origen y destino.
Los reportes
El artículo 77 de las nuevas normas obliga a las entidades financiera a reportar a la superintendencia de bancos “todas las transacciones de depósitos o retiros en efectivos por montos iguales o mayores a 4500,00 bolívares fuertes realizados por sus clientes en sus cuentas corrientes y ahorros, u otros productos similares.
El riesgo
1 las normas catalogan como clientes de alto riesgo para las entidades financieras a casas de cambio no domiciliadas en el país, casinos y salas de juegos, empresas de envió de remesas y comercializadores de joyas, entre otros.
Estudiante de Postgrado en Auditoria y Seguridad de la Información
Con la aprobación de las normas que deberán seguir las entidades financieras para prevenir la legitimación de capitales y el financiamiento al terrorismo, la superintendencia de bancos busca adecuarse a los estándares internacionales.
Fernando Fernández, abogado experto en el tema con experiencia en la comisión interamericana para el control del abuso de drogas y profesor de la universidad metropolitana, explica que “estas normas llenan un vacio que ha existido durante cinco años desde que se aprobó la ley contra la delincuencia organizada.”
Sudeban emite normas para prevenir legitimación de capitales.
“ los bancos deberán hacer un enorme esfuerzo educativo y tecnológico por que se insiste mucho en los controles . hay un énfasis especial en el manejo del riesgo, podríamos decir que el ideal es tener buenos negocios, responsables y seguros”.
Fernando Fernández agrega que para los clientes de la banca las normas se traducirán en “mayor investigación para los depositantes”.
Una vez entre en vigencia la disposición de la sudeban, transcurridos 180 días continuos contador a partir del 9 de marzo , al abrir una cuenta a una persona los bancos crearan una ficha que, entre otros datos, tendrá origen de fondos, promedio del numero de transacciones mensuales que realizara en la cuenta, monto del salario e ingresos mensuales, profesión y oficio.
Además deberá especificarse la “necesidad de recibir o enviar regularmente transferencias desde o el exterior de la república, indicar el país de origen y destino.
Los reportes
El artículo 77 de las nuevas normas obliga a las entidades financiera a reportar a la superintendencia de bancos “todas las transacciones de depósitos o retiros en efectivos por montos iguales o mayores a 4500,00 bolívares fuertes realizados por sus clientes en sus cuentas corrientes y ahorros, u otros productos similares.
El riesgo
1 las normas catalogan como clientes de alto riesgo para las entidades financieras a casas de cambio no domiciliadas en el país, casinos y salas de juegos, empresas de envió de remesas y comercializadores de joyas, entre otros.
2 se considera como canales de distribución de alto riesgo la banca electrónica, por internet y´-0 transacciones o negocios que no son cara a cara.
3 las entidades financieras deberán elaborar un código de ética o de conducta
4 los trabajadores deben recibir instrucción de cómo prevenir la legitimación de capitales
5 las entidades financieras deben documentar el cumplimiento de sus programas de capacitación
6 la superintendencia de banco supervisara que se cumplan.
Fuente diario el universal fecha domingo 28 de marzo del 2010.seccion economía.
3 las entidades financieras deberán elaborar un código de ética o de conducta
4 los trabajadores deben recibir instrucción de cómo prevenir la legitimación de capitales
5 las entidades financieras deben documentar el cumplimiento de sus programas de capacitación
6 la superintendencia de banco supervisara que se cumplan.
Fuente diario el universal fecha domingo 28 de marzo del 2010.seccion economía.
viernes, 19 de febrero de 2010
Información y seguridad
Autor : Nelson José Rivas Quijada
Cátedra: Seguridad de Datos
Especialización en Auditoria de Sistemas Financieros y Seguridad de Datos
Una palabra, un caracter, un símbolo representan el inicio de cualquier elemento de análisis; que luego de ser procesados y organizados en forma coherente y lógica, con un sentido y orientación se transforman en información que después de su procesamiento, de acuerdo a las necesidades del usuario, permiten tomar decisiones que generan resultados para las organizaciones y los individuos. Estos resultados serán los más adecuados para la organización o los individuos si la información utilizada, es confiable, oportuna, disponible y confidencial.
Cátedra: Seguridad de Datos
Especialización en Auditoria de Sistemas Financieros y Seguridad de Datos
Una palabra, un caracter, un símbolo representan el inicio de cualquier elemento de análisis; que luego de ser procesados y organizados en forma coherente y lógica, con un sentido y orientación se transforman en información que después de su procesamiento, de acuerdo a las necesidades del usuario, permiten tomar decisiones que generan resultados para las organizaciones y los individuos. Estos resultados serán los más adecuados para la organización o los individuos si la información utilizada, es confiable, oportuna, disponible y confidencial.
Estos aspectos antes considerados (Confiabilidad, oportunidad, disponibilidad y confidencialidad), deben ser cubierto totalmente, de tal manera que respondan a las necesidades y requerimientos de los usuarios; llámense estos organizaciones, empresas, gobiernos, Estados o individuos. Para cubrir cada uno de estos aspectos en forma eficiente se hace necesario que los datos y la información que estos generan estén completamente protegidos y utilizados en forma adecuada.
El mecanismo utilizado para que esta información responda a los requerimientos de los usuarios es la seguridad, y para ello es necesario que se contemplen en el uso de la información los aspectos siguientes: La vulnerabilidad, la amenaza, el riesgo y los ataques; a puedan estar sujetos los datos utilizados por las organizaciones y los individuos en sus actuaciones diarias.
Cada uno de estos aspectos (Vulnerabilidad, amenaza, riesgo y ataque), deben estar presentes en cualquier administración, por cuanto estos constituyen el basamento de cualquier aplicación de seguridad de la información; a fin de cumplir con las necesidades organizacionales e individuales.
Todo esto se produce a raíz de la siguiente consideración: La información es un activo que debe ser resguardado y protegido para que sea utilizada en forma eficiente, adecuada y oportunamente.
Suscribirse a:
Entradas (Atom)