jueves, 16 de abril de 2009


SOLO PARA SUS OJOS
Información Personal Identificable (PII)
________________________________________________________________________

Una estrategia de Seguridad de la Información efectiva, comienza con entender que tipo de información manejamos todos los días y reconocer quienes son las personas que están autorizadas a utilizarla. La información que vemos día a día en nuestros puestos de trabajo, puede presentar diferentes riesgos, por lo que nosotros debemos de prestar especial atención en como protegemos esa información cuando la manipulamos, guardamos o transmitimos.

Normalmente se manejan 4 niveles de clasificación para la información: Restringido, Confidencial, Interno, Publico. Muy estrechamente ligado a la información Confidencial esta el elemento de Información Personal Identificable o PII. Este es el tipo de información que los ladrones de identidad, hackers, dumpster divers y otros andan detrás, para cometer los fraudes de crédito o financiero que afectan principalmente a las entidades financieras.

Información Personal identificable, incluye cualquier tipo de información que es suficiente para revelar la identidad de un cliente o empleado de la organización y relacionarlo con este. En algunos países, la información personal identificable, constituye en información especial que bajo las leyes o regulaciones aplicables, requiere de encriptación o cifrado. En la mayoría de transnacionales, la circulación de Información personal identificable, deberá estar limitada solo a empleados que requieren de esta información para llevar a cabo las responsabilidades de su puesto. Adicionalmente, toda Información Personal Identificable deberá ser almacenada solo en dispositivos que son propiedad y manejados por las organizaciones.


Algunos ejemplos de Información Personal Identificable (PII):
• El nombre de un Cliente o su información de contacto (teléfono, dirección, etc.) en combinación con su número de cédula, pasaporte o número de cuenta o tarjeta de crédito.
• El nombre de un Empleado o su número de empleado en combinación con su raza, religión, clasificación étnica, ciudadanía o afiliación política.
• El nombre de un Empleado o su número de empleado en combinación con su evaluación de desempeño, salario o información médica.

Adicionalmente a la Información Personal identificable de categoría confidencial, existen los PII de tipo Interno, esta recibe un tratamiento diferente a la anterior, y probablemente sea el tipo de documentación más usado en el día a día de nuestras labores en la organización, estos pueden ser, la información de Planes de Contingencia como por ejemplo los listados de Call Tree (árbol de llamadas) que podrían contener la información de un empleado y sus números de contacto. Este tipo de información permite el curso de operaciones y procesos internos, como comunicaciones, identificación y administración y debe ser imitado solo para uso y circulación entre empleados y estrictamente de uso Interno.
Publicado por en No hay comentarios:

jueves, 2 de abril de 2009

¿Existen programas sin fallos de seguridad?

Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente el servidor de correo qmail y el servidor DNS djbdns, ambos de código abierto. En realidad, si existiese algo parecido, probablemente serían estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez años 500 dólares a quien encontrara un fallo de seguridad en qmail y 1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado con 1000 dólares a Matthew Dempsky.

D. J. Bernstein programó a mediados de los noventa, qmail y djbdns con la seguridad siempre en mente. Precisamente, estaba harto de vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de Internet que sufrían de enormes agujeros de seguridad cada muy poco tiempo por aquel entonces. Como alternativa, creó estos servidores siguiendo unas premisas muy sencillas en las que se premiaba por encima de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que ofreció una recompensa económica a quien encontrara fallos en su software. Hoy en día es habitual que premien económicamente a los que encuentran fallos de seguridad, pero por entonces, era una especie de osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca se pensó que pasarían tantos años hasta que alguien pudiese hacerse con el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un atacante podría controlar entradas de caché almacenadas para un domino. Dempsky demuestra así que, por pequeño que sea, es posible encontrar problemas de seguridad en cualquier programa. Más que los 1.000 dólares que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier otro fallo, probablemente más sencillo de encontrar en otros programas) se lleva la satisfacción de haber sido el primero en romper la garantía de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está haciendo, es posible crear un software con muy pocos problemas de seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de seguridad en la implementación del protocolo DNS que afectó a la inmensa mayoría de fabricantes y programadores de servidores DNS, djbdns no necesitó actualización. Bernstein había añadido deliberadamente una mayor entropía a sus cálculos, e implementó su servidor de forma que no se vio afectado por este problema casi "universal" mucho antes de que pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein no suele añadir funcionalidades a sus servidores ni ofrece versiones nuevas habitualmente. Su código es el que es prácticamente desde que fue escrito. No es viable trasladar este modelo ni sus circunstancias a otros programas más complejos o comerciales, donde muchas otras presiones están por encima de la de crear código a prueba de balas. Bernstein ha publicado un pequeño parche para solucionar el problema encontrado por Dempsky y ofrece de nuevo la garantía de seguridad: pagará con 1.000 dólares a quien encuentre otro fallo en su servidor DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser uno de los programas más fiables y seguros por este fallo. En realidad, el hecho de que se haya encontrado una vulnerabilidad en él, demuestra sobre todo que existe gente como Bernstein verdaderamente buena programando, que existen investigadores como Dempsky capaces de encontrar fallos en cualquier código, que no hay software sin vulnerabilidades... pero sobre todo, que Bernstein es un hombre de palabra.

Publicado por en No hay comentarios:

Antiphishing y Sistemas Antifraude

Los servicios antifraude de Hispasec Sistemas permiten controlar en todo momento que usuarios maliciosos y redes de crimen organizado especializadas en el fraude telemático puedan someter a engaño a clientes de su cartera.

Este conjunto de servicios permite controlar en tiempo real los intentos de fraude que pudieran realizar sobre sus clientes. Este servicio está orientado principalmente a entidades bancarias, así como a portales de compraventa y transacciones en la red. El servicio antifraude de Hispasec Sistemas incluye la asignación de una línea de atención telefónica de urgencias 24x7 atendida directamente por el personal técnico.

Características del servicio antifraude

  • Detección temprana. Acciones preventivas
    • Servicio de vigilancia 24x7
    • Control de nombres de dominios sospechosos
    • Control auditado de accesos mediante análisis de registros
    • Análisis de tendencias basado en nuestra experiencia
    • Seguimiento de fuentes oficiales de lucha contra el fraude
  • Identificación de los atacantes
    • Obtención de datos de partida mediante auditoría
    • Estudio de factores geográficos de los atacantes
    • Análisis de las plataformas empleadas para los ataques
    • Comunicación con autoridades y proveedores de servicios implicados
    • Estudio de casuísticas anteriores
  • Contramedidas Personalizadas. Acciones reactivas
    • Análisis exhaustivo del perfil del atacante
    • Estudio de la efectividad de las contramedidas posibles
    • Aplicación optimizada de contramedidas
    • Gestión de la anulación de las plataformas del ataque
    • Envenenamiento del canal fraudulento
    • Comunicación y denuncia de los atacantes ante las autoridades
    • Vigilancia post-anulación de los atacantes

Sus clientes necesitan confiar en usted

Los ataques de phishing y fraude en general generan desconfianza en sus clientes. La pérdida de la confianza implica pérdida de imagen ante su clientela y potenciales consumidores de servicios. Es el momento adecuado para tomar medidas.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)