bsecure — marzo, 2012

EMPOWERING BUSINESS CONTINUITYmarzo, 2012 · 69 · www.bsecure.com.mx

$80.

00 M

.N.

Antes de sumergirse en los bastos mundos del cómputo en la nube, conviene que áreas IT resuelvan las dudas y miedos que este modelo ha dejado en los negocios del

siglo XXI

NO SE AHOGUE

EN LOS RIESGOS DEL CLOUD

EMPOWERING BUSINESS CONTINUITY

Producido porUn evento de

Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > [email protected]

www.bsecureconference.com.mx

PRIVACIDADDE DATOS

5 de julioCrowne Plaza

Hotel de México

CLOUDCOMPUTING

15 de marzoHotel Nikko México

DELITOSINFORMÁTICOS Y

FORENSIA DIGITAL18 de octubre

Hotel Marriott Reforma

www.facebook.com/netmediaevents@netmediaevents

Marzo, 2012 B:SECURE 1

MAR2012ACCESOEL CIERRE DE MEGAUPLOAD Y LA GUERRA QUE SE DESATÓLa clausura y arresto de los fundadores del sitio Web a manos del FBI causó conmoción, ciberataques y una ola de presiones por la regulación de los contenidos en Internet

ENTREVISTA PAYPAL: DE LOS PAGOS EN LAS NUBES A LOS MERCADOS FINANCIEROSCon más de 103 millones de cuentas activas en 190 países, PayPal busca saltar de su mundo de Cloud al sector financiero y de paso desbancar a gigantes de la industria como Visa y MasterCard con su nuevo sistema de pagos móviles

B:SECURE FOR BUSINESS PEOPLELOS ACUERDOS DE NIVELES DE SERVICIO: “LA COLUMNA VERTEBRAL EN EL CLOUD COMPUTING”Los famosos SLA pueden actuar como su escudo y espada en caso de que las nubes de sus servicios lleguen a nublarse. Aquí encontrará todo lo que un SLA de Cloud Services debe contener para garantizar la seguridad de sus datos más preciados.

MIND THE SECURITY GAPDE METALLICA, NAPSTER, SOPA, PRIVACIDAD Y OTRAS RAREZAS Tarde o temprano la regulación llegará a Internet, pero esa realidad no tiene porque convertirse en la excusa perfecta para alentar el asesinato de lo que hoy conocemos como privacidad.

LA LEY Y EL DESORDEN 2.0¡A ESTUDIAR DERECHO DE LA SEGURIDAD DE LA INFORMACIÓN!Las leyes tienen que evolucionar para adaptarse a las condiciones y necesidades “digitales” del siglo XXI

04 LOGIN 24 SEGURO QUE LO QUIERES

12NO SE AHOGUE EN LOS RIESGOS DEL CLOUDAntes de sumergirse en los bastos mundos del cómputo en la nube, conviene que áreas IT resuelvan las dudas y miedos que este modelo ha dejado en los negocios del siglo XXI

[ADEMÁS]

¿MIEDO A LA TORMENTA?La falta de entedimiento, la premura por ser parte de la moda y la ciberseguridad son el Talón de Aquiles de todo proyecto de Cloud Computing

VIRTUALIZACIÓN: EL PASADO, PRESENTE Y FUTURO DEL CLOUDPara conocer el futuro hay que estudiar la historia y en IT la realidad no es diferente. Los incios del Cloud Security están en la virtualización

2 B:SECURE Marzo, 2012

ENLÍNEABANCOS DE EU SE UNEN PARA CREAR CENTRO CONTRA EL CIBERCRIMENDe la unión nace la fuerza. Está es quizás la idea en mente detrás de la nueva alianza entre algunos de los principales bancos in-ternacionales y la Universidad Politécnica de Nueva York para combatir a los grupos criminales en Internet.

Esto de acuerdo con información publicada por el diario estadounidense Wall Street Journal, la cual indica que diversas firmas financieras como Goldman Sachs, Bank of America y Morgan Stanley han comenzado a reunirse con expertos de seguridad IT de la Universidad Politécnica de Nueva York.

Esto con el objetivo de crear un nuevo centro de investigaciones y respuesta que alerte a los bancos sobre nuevas amenazas informáticas, antes de que estas impacten la infraestructura de las instituciones o a sus clientes.

El vicepresidente de Seguridad de Bank of America, Keith Gordon, reconoce que la alianza no es para menos, pues es eviden-te que los grupos cibercriminales están trabajando en conjunto para alcanzar sus objetivos.

“Nos dimos cuenta que los defraudadores colaboran entre ellos, entonces nosotros como industria debemos comenzar a tra-bajar en conjunto”, dijo Gordon al diario.

UTILIZAN CÓDIGOS QR EN CORREOS SPAMWebsense dio a conocer, en su blog oficial, el resultado de una investigación en la que reveló un nuevo tipo de campaña de spam a través del uso de códigos QR.

Los investigadores detectaron mensajes de spam que te llevan a direcciones que contienen códigos QR. De acuerdo con la in-vestigación, los correos electrónicos parecen el típico mail de spam sobre productos farmacéuticos que ayudan a mejorar la viri-lidad del hombre u ofrecen descuentos en medicamentos para la impotencia.

Una vez que se actualiza la URL del mensaje del correo, aparece el código QR, junto con el resto del contenido. Al escanear el código QR, automáticamente se ejecuta la redirección a la página web fraudulenta.

Patrik Runald, gerente senior de Investigación de Seguridad de Websense, dijo que esta es la primera vez que su equipo ve que los códigos QR son utilizados como mencanismo para distribuir spam.

Mónica Mistretta DIRECTORA GENERAL

Carlos Fernández de LaraDIRECTOR EDITORIAL

Elba de MoránDIRECTORA COMERCIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

CONSEJO EDITORIALRafael García, Joel Gómez,

Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Raúl Gómez, Mario

Velázquez, Alberto Ramírez, Roque Juárez, Alfredo Reyes

Krafft

COLUMNISTASJoel Gómez,

Adrián Palma,Alberto Ramírez

EDITOR ON LINEFrancisco Iglesias

COLABORADORES Sergio López, Ángel Álvarez,

Paul Lara

WEB MASTERAlejandra Palancares

ASISTENTES DEREDACCIÓNCésar Nieto, Oscar Nieto

VENTAS Y PUBLICIDADEduardo López

ASISTENTE DE VENTASSamara Barrera

SUSCRIPCIONESSonco-Sua Castellanos

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

AUNQUE ME CORRANCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX


Saeed Malekpour, residente de Canadá arrestado en octubre del 2008 en Irán mientras visitaba a su moribundo padre, fue declarado culpable y sen-tenciado a muerte por diseñar y administrar sitios Web de contenido para adultos, atentar contra la seguridad nacional, insultar y profanar los principios del Islam y agitar el estado mental del público, según las acusaciones.

El iraní de 35 años ya había sido senten-ciado a muerte en 2010, por la Corte Revolu-cionaria de Terán. Sin embargo, la Suprema Corte de Irán había revocado esa decisión. Fue hasta hace unos días que esta corte apro-bó la ejecución.

Fatemeh Eftekhari, esposa de Male-kpour, dijo al diario The Guardian que a su marido le informaron de la sentencia y lo trasladaron a una celda de aislamiento. Asimismo, comentó que su esposo única-mente era un programador web que ha-bía diseñado un software para cargar fotos que fue utilizado en un sitio porno sin su conocimiento.

Sin embargo al momento de ser arrestado, Malekpour reconoció públi-camente todos los cargos que se le imputaban. Posteriormente, en el 2010, el ingeniero iraní mandó una carta desde prisión en la que se retractaba de

la confesión al argumentar que fue hecha bajo varios medios de tortura.

“Algunas de las confesiones que me obliga-ron a hacer eran tan ridículas y exageradas que ni siquiera son posibles”, escribió en la carta.

Drewery Dyke, de Amnistía Internacional, dijo: “La pena de muerte recientemente con-firmada en el caso de Saeed Malekpour amplía el alcance largo y frío de la ejecución en Irán”.

Activistas de derechos humanos dicen que bajo el actual clima de las relaciones de Irán con el resto del mundo, así como la descon-formidad dentro del país, el gobierno está di-rigiendo su ira contra presuntos críticos que utilizan el internet para dar su opinión.

Según Amnistía Internacional, alrededor de 600 personas fueron ejecutadas el año pasado y otros 39 individuos pueden haber sido ya condenados a muerte este año.

CREÓ SOFTWARE PARA SUBIR PORNOGRAFÍA Y FUE SENTENCIADO A MUERTE

LOGINLOGIN

Pese a los esfuerzos hechos por firmas y expertos en seguridad para detenerlo, Conficker aún se mantiene como una amenaza cibernéti-ca importante.

Un estudio a cargo de la firma de seguridad ESET reveló que el malware habita en 4% de los equipos infectados alrededor del mundo.

Eso significa que el malware reside en poco más de 60 millones de PC al-rededor del planeta, lo que lo hace uno de los códigos maliciosos más pro-líficos en la historia.

La firma de seguridad señaló que los resultados de su estudio indican que los embates contra Conficker han sido efectivos pero no suficientes.

De acuerdo con ESET, el año pasado Conficker era responsable del 8% de las infecciones a nivel global, es decir, el doble de poder del que tie-ne hoy.

Por otra parte, ESET indicó que el debilitamiento de Conficker se debe a las medidas de prevención adoptadas por los internautas y las mejoras de seguridad en los sistemas operativos, particularmente Windows.

Conficker en sus inicios eran uno de los malware que más se propagaban mediante memorias flash, conoci-das como USB y bajo la opción de AutoRun.

De modo que bastaba con que el usuario insertara una memoria infectada por el gusano para que éste, sin demostrar su presencia, contagiara el equipo.

Sin embargo, expertos en seguridad no descartan un resurgimiento del malware en un futuro próximo.

Tradicionalmente este tipo de amenazas regresa acompañada con algún malware aún más poderoso, por lo que su posible reposicionamiento no debería de causar extrañeza, sentencian.

En enero del año pasado el grupo Conficker Wor-king Group aseguró haber encontrado una manera de detener la distribución del gusano cibernético.

CONFICKER AÚN NO HA MUERTO, NI MORIRÁ: ESTUDIO


Portland— La zapatería en internet Zappos.com infor-mó que un ciberintruso pudo haber accedido a la in-formación personal de hasta 24 millones de clientes.

Las informaciones sobre las tarjetas de crédito y pagos de los usuarios no fueron sustraídas, pero el ataque pudo haber dejado vulnera-bles nombres, teléfonos, direcciones de co-rreo electrónico, direcciones postales, los últimos cuatro dígitos de los nú-meros de las tarjetas de crédito y otras informa-ciones, según un correo electrónico que el direc-tor general Tony Hsieh envió el domingo a sus empleados.

Zappos está tomando con-tacto con sus clientes por correo elec-trónico para informarles

de la situación y sugerirles que cambien sus con-traseñas.

La firma dijo que el “hacker” penetró su red interna por medio de uno de sus servidores en Kentucky.

Zappos tiene su sede en Las Vegas y es propie-dad de Amazon.com Inc., con matriz en

Seattle.“Hemos pasado más de 12 años eri-

giendo nuestra reputación, marca y confianza con nuestros clientes”, afir-

mó Hsieh en su comunicación. “Es lamentable tener que tomar

tantas medidas debido a un solo incidente. Su-

pongo que el con-suelo es que la base de datos que almacena los da-

tos de las tarjetas de crédito e infor-mación de pagos de nuestros clientes no

fue comprometida”.

Un padre de familia de 65 años, junto con su hija de unos 30 —ambos surcoreanos—, llegaron a Sudáfri-ca con la idea de recibir decenas de millones de dóla-res. Esto, porque semanas antes del viaje recibieron un correo electrónico donde se les notificaba que habían ganado un sorteo de la lotería. Lamentablemente el co-rreo no solo resultó falso, sino que culminó en el se-cuestro de la familia.

Tras recibir el email, el surcoreano (cuyo nombre no fue revelado) decidió viajar acompañado de su hija a la ciudad de Johannesburgo, donde aterrizaron en el aeropuerto internacional OR Tambo para recoger su premio. El chofer de un taxi los recogió y los llevó a una casa en Meadowlands, Soweto, donde fueron secuestrados junto con el conductor.

Los secuestradores pidie-ron a la esposa de la víctima, quien se encontraba en Corea del Sur, el rescate por $10 mi-llones de dólares que poste-riormente fueron negociados a $120,000 dólares para que fueran depositados en una cuenta en Singapur.

Pero en un acto de audacia el chofer del taxi logró esca-

par y acudir a las autoridades. El Servicio de Policía de Sudáfrica (SAPS por sus siglas en inglés) rescató a los cautivos, antes de que la esposa depositara el di-nero del rescate y cuatro días después de haber sido privados de su libertad. En el operativo seis sospe-chosos fueron detenidos, cinco de origen nigeriano y un sudafricano.

Los surcoreanos decidieron abandonar inmediata-mente el país sin dar declaración alguna y sin esperar-se a otorgar evidencias.

“Se negaron a declarar porque estaban traumatizados. También estaban avergonzados de la forma que los tra-

jeron a Sudáfrica. Esto es muy común cuando las víctimas des-cubren haber sido engañadas”, dijo McIntosh Polela, coronel de la policía de Sudáfrica.

Este acto resultó ser un scam 419, de la ley nigeriana, entre los más comunes están aque-llos que afirman que el remi-tente del mensaje ha heredado una fortuna de príncipe o em-presaria del que nunca se ha oído hablar, o que su número de lotería ha salido premiado aunque nunca se haya compra-do un billete.

PADRE E HIJA SECUESTRADOS POR CAER EN EL FAMOSO FRAUDE NIGERIANO

BREVES

HACKER COMPROMETE 24 MILLONES DE DATOS PERSONALES DE CLIENTES DE ZAPPOS

RSA publicó una guía de trabajo para la protección de información y el combate al cibercrimen. El documento, enfocado CSO, oficiales de gobierno y responsables de seguridad IT, contiene seis pasos esenciales a seguir. Uno, conocer su infraestructura e información de valor. Dos, demostrar el valor de la protección de archivos. Tres, encontrar y contratar al personal adecuado. Cuatro, consumir y construir fuentes de información. Cinco, estandarizar los procesos. Seis, automatizar cuanto sea posible automatizar y simplificar.

IBM anunció que trabaja con el departamento de policía de Las Vegas para mejorar la seguridad pública y agilizar la información que se comparte entre las distintas agencias gubernamentales. El software IBM i2 ayudará a las autoridades a conocer los delitos más comunes y zonas más afectada, con el objetivo de abatir los índices delictivos.

Symantec nombró a Stephen Gillet, CIO de Starbucks como nuevo miembro de su mesa directiva. La decisión llegó meses después de que la revista hermana InformationWeek nombrara a Gillet como CIO del año (2011). “Estamos entusiasmados, creemos que su visión única y pensamiento crítico ayudarán a mejorar el desarrollo y la estrategia de Symantec”, comentó Enrirque Salem, CEO de la empresa.


Un análisis de la firma de seguridad Check Point demostró que el costo promedio por fuga o robo de información durante 2011 as-cendió a $7 millones de dólares.

Así, en los últimos 12 meses el mundo fue testigo de robos masivos de información y ciberataques específicos contra todo tipo de compañía. Di-chos embates no solo marcaron un estigma permanente en la imagen de las organizaciones, sino que significaron severos costos económicos, que en al-gunos casos rebasaron los $150 millones de dólares.

Por su parte, el estudio “Data Loss Survey”, realizado por la firma de se-guridad Cibecs, aseguró que 50% de las compañías estadounidenses expe-rimentó una fuga de datos durante 2011. Los descuidos humanos fueron la principal causa de estos incidentes, mencionó el análisis.

El caso más destacado fue el de Sony, el cual ocupó las primeras planas de diversos diarios y canales de televisión alrededor del planeta. Los reflec-tores no fueron para menos, pues la firma nipona reconoció el robo de datos personales y de tarjetas de créditos de los más de 77 millones de sus usua-rios de su servicio en línea PlayStation Network.

Dicho descuido le costó a la empresa la friolera de $171 millones de dó-lares, sin contar posibles demandas civiles o gubernamentales.

Pero las críticas y reclamos no fueron únicamente para Sony. Meses más tarde un trabajador de las instalaciones médicas de Tricare, uno de los ma-yores contratistas del Pentágono, perdió la información de respaldo de casi cinco millones de pacientes, entre los que se encontraban militares, exmili-tares y dependientes.

Y si de empresas asiáticas se trata, la firma SK Telecom’s Cyworld, uno de los mayores proveedores de Internet en Corea del Sur, reconoció a finales de julio la pérdida o sustracción ilegal de los datos personales de sus más de 35 millones de clientes.

Ni si quiera el sector financiero, uno de los que mayor inversión en ciber-segurdiad tiene, estuvo exentó de los criminales Web. A mediados de junio pasado Citi Group, dueño de Banamex, informó que un hacker logró pe-netrar a su infraestructura y comprometió la información personal de poco más de 360,000 de sus clientes.

Lo anterior, justifica la razón por la que Trend Micro y diversos expertos en seguridad catalogaron el 2011 como “El año de las brechas de datos”.

Pero el robo de información no fue la única preocupación para las em-presas dedicadas a la seguridad informática, aseguró un comunicado a car-go de Trend Micro.

El boletín señala que el mercado de las amenazas móviles provocó la intranquilidad de decenas de compañías alrededor del planeta debido a la explosión en el uso de dispositivos como los teléfonos inteligentes y las tabletas multimedia dentro de los ambientes corporativos.

La firma observó un alarmante aumento en el volumen de malware dis-ponible para dispositivos móviles, en el que Android se convirtió en la pla-taforma favorita de los cibercriminales.

Las popularidad de las redes sociales fue otro medio que explota-ron los criminales informáticos durante el año pasado, denuncia el comunicado.

Los temas de moda y la promesa de regalos a cambio de contestar en-cuestas o visitar un enlace fueron los principales métodos de infección uti-lizada por los hackers.

A pesar del escenario adversos, expertos en seguridad reconocieron que el número de vulnerabilidades descendió de forma importante de 4,651 a 4155, en 2011.

Los expertos marcan 2012 como el año de malware móvil, el ciberespio-naje y los famosos APT.

ACCESO

EL AÑO EN EL QUE LOS DATOS

TOMARON IMPORTANCIA: 2011

En los últimos 12 meses el crecimiento exponencial de los APT, el surgimiento de los grupos activistas en

la red y la masificación de los dispositivos móviles elevaron el robo y fuga de datos a cifras históricas


En esta batalla no hay malos o buenos. Decidir hasta qué punto es co-rrecto compartir contenidos en línea es un tema que provocó que, al menos por un par de días, tanto rebeldes como autoridades emplea-

rán todos los recursos disponibles para aniquilarse entre sí.Un día después de que más de 10,000 compañías que ofrecen servicios

en Internet y miles de internautas alrededor del mundo manifestaran su desacuerdo con las propuestas de ley estadounidense SOPA y PIPA, el FBI demostró de lo que es capaz y en una mañana desactivó y detuvo a los res-ponsables del portal Megaupload, página que permitía la libre transferencia de archivos multimedia entre sus usuarios.

La noticia sobre la clausura de Megaupload dio al vuelta al mundo en cuestión de minutos debido a la popularidad con la que contaba el portal, cabe destacar que según el FBI el sitio registraba más de 50 millones de visi-tas al día y tenía más de 150 millones de usuarios registrados.

A través de un comunicado la dependencia estadounidense reveló que Megaupload había sido desactivado por promover la transmisión ilegal de archivos y provocar pérdidas valuadas hasta en $500 millones de dólares.

El FBI también reveló que durante la operación de clausura fue deteni-do Kim Dotcom, fundador y CEO del sitio, junto con su equipo de cola-boradores.

TRAS LA CLAUSURA, LAS CONSECUENCIASPasadas las dos de la tarde, la ira de los usuarios del sitio y grupos hackti-vistas —con Anonymous a la cabeza— provocó que miles de internautas organizaran una armada virtual con el único objetivo de tomar venganza y derribar los sitios Web del Departamento de Justicia (DoJ), el FBI y las pági-nas de empresas de las industria cinematográfica y musical.

Alrededor de las cinco de la tarde, cuatro horas después de la clausura de Megaupload, el portal de Departamento de Justicia (DoJ), el sitio de Univer-sal y las páginas de la RIAA y MPAA (organizaciones discográficas y cinema-tográficas en los Estados Unidos) habían sido desactivadas por Anonymous y su ejército virtual.

A través de distintas redes sociales el grupo invitó a sus seguidores e in-ternautas en general a unirse a los embates y señaló que el portal del FBI se-ría su siguiente objetivo.

La advertencia se hizo realidad y esa misma noche el FBI se quedó sin su portal, por lapsos espaciados en los que el sitio Web se recuperaba y caía constantemente.

De acuerdo con Anonymous, la operación a favor de Megaupload, #Op-Megaupload fue la acción que más apoyo logró en la historia de los emba-tes lanzados por el grupo hacktivista con participantes en todas partes del mundo.

Días después surgieron versiones que indicaban que la mayoría de los participantes en #OpMegaupload formaron parte de este movimiento sin saber o, peor aún, sin si quiera apoyarlo.

Los rumores indicaban que el grupo publicó algunos mensajes en Twitter en los que prometía información sobre la operación y cuando los usuarios abrían los tuits comenzaban a atacar de forma automática cada uno de los objetivos elegidos por Anonymous.

Y SIN EMBARGO ESTÁ PRESOPese a los embates en su contra, el FBI continúo con el proceso contra Dotcom y levantó una serie de demandas contra portales Web que posible-mente estaban ligados o mantenían relaciones comerciales con Megaupload entre los que destacan los sitios como Taringa y Series Yonkis.

El proceso judicial resolvió que el CEO de Megaupload no alcanzaba fianza y tendría que lidiar con el juicio desde prisión ya que existía la posi-bilidad de escapara de su país de residencia, Nueva Zelanda.

Hasta la fecha el ejecutivo no ha presentado algún recurso legal para li-brar la cárcel.

DAÑOS COLATERALESLa clausura de Megaupload no sólo afectó a sus responsables sino también a miles de usuarios que usaban el sitio como un servicio de almacenamien-to en nube. Diversas han sido las voces que demandan que la información en los servidores del sitio sea liberada.

Como respuesta a las peticiones, la Fundación Frontera Electrónica anunció que ayudaría a los usuarios lícitos de Megaupload en Estados Uni-dos a recuperar sus datos.

NADA ESTÁ ESCRITOAunque el cierre de Megaupload no significó el fin del tráfico de conteni-dos de manera ilegal, fue un duro golpe para esta industria la cual segura-mente se encuentra trabajando para levantar un portal que alcance el éxito de su predecesor, y el cual seguramente se convertirá en un dolor de cabe-za para las autoridades.

ACCESO EL CIERRE DE MEGAUPLOAD Y LA GUERRA QUE

SE DESATÓ

La clausura y arresto de los fundadores del sitio Web a manos del FBI causó conmoción, ciberataques y una ola de presiones por la regulación de los contenidos en Internet

por: Sergio López

www.las50innovadoras.com.mx

Producido porUn estudio realizado por En combinación con la consultora

"LAS 50 EMPRESAS MÁS INNOVADORAS"tienen una nueva cara

En respuesta a las sugerencias de ustedes, nuestros lectores, una vez más InformationWeek México se renueva. La presentación del listado se modificará, de forma que sólo las primeras cinco aparecerán en el orden de la calificación lograda al aplicar la metodología, mientras que el resto de las empresas aparecerán en estricto orden alfabético.

Así, los ganadores de un lugar en el ranking serán reconocidos como sobresalientes innovadores en México, independientemente de obtener una posición que pudiera ser discutible.

El listado mantendrá la misma calidad y objetivo que ha tenido durante los últimos 12 años: premiar aquellos innovadores que están dispuestos a romper el status quo.

Inscriba su proyecto antes del 27 de abril en

Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > [email protected]


Aún recuerdo cuando vi un video de los comienzos de Metallica (supongo que todos conocen a esta banda americana de me-tal); en el documental hablaban de cuando comenzó la banda y

como grababan ‘demos’ en casetes para su venta en sus “tocadas”. Es-tos mismos casetes servían para poder distribuir su música a la gente y también para enviarlos a disqueras.

Años más tarde, sería Lars Ulrich (baterista de la banda) uno de los principales opositores de que se compartiera música a través del servi-cio Napster, un programa para compartir archivos a través de P2P (peer to peer), al descubrir que el demo de su canción I Disappear había esta-do circulando a través de la red de Napster.

No haré la historia muy larga, pero el grupo básicamente inició varios juicios legales en contra del servicios Musical.

Al final, la corte encontró a Napster responsable de infringir los de-rechos de autor y el District Court ordenó a Napster monitorear las ac-tividades de su red e impedir el acceso a material infractorio cuando. Napster no pudo realizar esto por lo que cerró su servicio en 2001.

Mi opinión es que a medida que la tecnología va avanzando, nos de-beríamos de adaptar y acoplar a las nuevas circunstancias. Aclaro, NO estoy a favor de la piratería. De hecho, estoy a favor de que se regulen los diferentes ámbitos de distribución.

El problema es cuando un disco equivale a 10 veces el salario míni-mo en México. En ese sentido no es de extrañar que un nicho bastante amplio de la población opte por buscar la manera de tener el contenido discográfico sin tener que gastar 10 días de su sueldo.

¿Y qué tiene que ver esto con la seguridad de la información o la pri-vacidad? Para comenzar, alguien hace poco me hizo un comentario que me puso a reflexionar:

“Si alguien compra un Antivirus y me lo presta no está mal, pues él o ella ya lo pagó. Es como quien te presta un libro o un CD/DVD”

Seguro para la mayoría de los que leen este texto es claro: la licencia es para una sola máquina. Pero existe una gran parte de la población que no lo ve así porque el contenido está ahí, a un clic de distancia, a un préstamo de algún conocido, a una compra de algo en un mercado.

Sirva este contexto musical para hablar de iniciativas como SOPA y PIPA. Deduciré que ya las conocen. Brevemente, la primera busca blo-

quear o desaparecer sitios que compartan material con derechos de au-tor sin la autorización del mismo.

La segunda, quiere que los ISP (Internet Service Provider) entreguen al gobierno datos sobre qué usuarios descargan material ilícito. Esto, para muchos representa una flagrante invasión a su privacidad. ¿Se imagina que el gobierno tuviera la facultad de monitorear sus activi-dades en Internet?

HACE MUCHO TIEMPO, EN UNA GALAXIA MUY, MUY LEJA-NA, HABÍA ALGO LLAMADO “PRIVACIDAD”

“Mis padres me cuentan que en sus tiempos había algo llamado Privacidad”. Mi aseveración claramente es un sarcasmo, pero me impacta ver la cantidad de datos personales o sensibles que tene-mos como individuos y más aún el número de lugares donde éstos se almacenan.

¿Cuántos datos privados cree que existan sobre usted? ¿Ha buscado en Internet, información sobre su persona? ¿Cuánta información ha va-ciado en redes sociales? Muchos de los datos que conozco de otras per-sonas es gracias a lo que publican en Facebook o Twitter. A dónde irán de vacaciones, dónde comerán, con quién están o qué hacen, piensan o siente. Finalmente, hoy es más “interactiva” la red y eso no está mal, sólo que hay que tener cuidado con lo que compartimos.

Considero que sí necesitamos regulación y legislación en materia in-formática y de telecomunicaciones. Pero al mismo tiempo necesitamos libertad en la red, sin que se invada nuestra privacidad o se censure algo que alguien más considera como non-grato.

¿Cómo lograr esto? Les puedo decir que hay profesionales trabajando porque la privacidad se mantenga, se regulen y legislen muchos ámbi-tos que hoy están “al aire” para muchos. Yo lo único a lo que puedo ex-hortarlos es a que antes de estar en contra o a favor de algo indaguen muy bien de qué se trata para poder manifestarse en contra o a favor de ello. Actualmente tenemos muchas herramientas que nos permiten ac-ceder a la información y así estar “informados”. Me manifiesto a favor de la regulación y legislación, pero también me opongo a la censura y la invasión a la privacidad.

Mind the Information Security Gap… always.

DE METALLICA, NAPSTER, SOPA, PRIVACIDAD Y OTRAS RAREZAS

Por Alberto Ramírez Ayón, CISM , CISA, CRISC, CBCP

ALWAYS MIND THE INFORMATION SECURITY GAP

Tarde o temprano la regulación llegará Internet, pero esa realidad no tiene porque convertirse en la excusa perfecta para alentar el asesinato de lo que hoy conocemos como privacidad.


¿Cuándo, cómo y por dónde comenzar? ¿Qué pasará con mis datos y mi privacidad? ¿Qué pasa frente a los ciberataques? ¿Qué dicen las leyes? ¿Me conviene o lo quiero hacer para

estar a la moda en IT? Son algunas de las preguntas que el libro Cloud Security and Privacy - An Enterprise Perspective on Risks and Compliance ha logrado responder para CIO y CSO alrededor del mundo.

Ahora, el coautor del libro y CSO de eBay, Subra Kumaraswamy compartirá con los asistentes a la 9º edición del bSecure Conference los desafíos, im-plicaciones y soluciones para asegurar la infraestructura IT, las redes, hospedajes y aplica-tivos que operen sobre mode-los de cómputo en la nube.

El autor define al Cloud de manera sistemática y exami-na las cuestiones de seguri-dad y privacidad que plantea y requiere este nuevo modelo de cómputo, que se encuentra en constante evolución.

Uno de los objetivos primarios de Cloud Security and Privacy - An Enterprise Perspective on Risks and Compliance es ayudar a los usua-rios a evaluar sus escenarios de seguridad de datos y realizar juicios informados sobre los riesgos que enfrentarán sus organizaciones al mi-grar. Al igual que en otros aspectos de la nube, no todas estas facetas de seguridad de datos son de igual importancia.

Escrito en coautoría con Tim Mather y Shahed Latif, el texto centra su hipótesis en las dificultades que enfrentan la privacidad en entornos de cómputo en la nube. Por ello se discute el futuro, permanencia y ries-gos sobre la privacidad de los datos y se analizan las diferencias y se-mejanzas que existen con los modelos de computación tradicionales.

Muchas pequeñas y medianas empresas tienen limitado el de-partamento de IT y los recursos dedicados a la seguridad de la infor-mación, por ende le prestan menos atención a esta área. Para estas organizaciones, la seguridad que proporciona un proveedor de nube

pública puede ser la mejor opción, explican los autores.“A medida que aumenta la demanda sobre los modelos de Cloud

Computing, la seguridad y la privacidad se harán más críticas. Este li-bro examina los riesgos, tendencias y soluciones a considerar cuando se utiliza modelos de Cloud. Es una lectura obligada y esencial para cualquiera que busque un acercamiento o esté en fase de adopción de esta plataforma”, mencionó Izak Mutlu, CSO de Salesforce.com.

VIGILANCIA Y AUDITORIA SOBRE LAS NUBESEl libro también aborda el pa-pel que los procesos de audi-toría y cumplimiento juegan en los modelos de cómputo en nube.

Para comenzar la migración de IT hacia modelos de Cloud Computing CEO, CIO y CSO deben primero definir:

Los requisitos que se deben cumplir, si estas exigencias son impulsadas por los objeti-

vos de negocio, las leyes y reglamentos a las que se enfrentan, contra-tos de clientes, políticas corporativas internas y normas regulatorias.

Vigilar o revisar las políticas, procedimientos y procesos dentro de la organización y los departamentos o áreas que se buscan beneficiar con el uso de Cloud Computing.

“Es una lectura necesaria para los que tienen el mandato de asegu-rar la nube, que probablemente sea la plataforma informática dominan-te durante las próximas cuatro décadas”, dijo Jim Reavis, cofundador y director ejecutivo de la organización sin fines de lucro, Cloud Secu-rity Alliance.

Ideal para el personal de IT, CIO, CSO, encargados de la seguridad de la información, profesionales de la privacidad, administradores de em-presas, proveedores de servicios e inversionistas por igual, este libro ofrece un buen consejo de tres autoridades bien conocidas en el mun-do de la ciberseguridad.

UNA GUÍA DE CABECERA PARA MIGRAR AL CLOUD SIN MIEDOS

EL INVITADO

Por Ángel Álvarez

Algunos lo llaman la Biblia del Cloud, para otros es Cloud Security for Dummies, pero más allá de los sobrenombres, cualquier proyecto de cómputo en la nube debe comenzar en estas páginas


¿Ciberguerra, Cibermilicias y Anonymous? Porque Orwell se equivocó y los desafíos que la sociedad de Internet debe enfrentarSpeaker: Doug DePeppe, gerente de i2IS y fundador del Centro para la Transformación en la Era de la Información.

El Web, una tecnología de punta como ninguna otra, ha cambiado el mundo entero. Se trata de cambios sociales, económicos, políticos y globales. Del comercio electrónico a la primavera árabe, Internet está permitiendo un

enorme intercambio de información y experiencias alrededor del orbe. Sin embargo, junto con los grandes avances que ha permitido, la red es también la introducción de una nueva era de riesgo. En la era del acceso universal, ha llegado una nueva amenaza asimétrica al orden. El objetivo de esta conferencia será explorar los contornos de los cambios que se han comenzado a gestar y las posibilidades y enfoques que como responsables de seguridad IT podemos tomar para restablecer el equilibrio de ésta, la nueva era del hombre.

Cloud Security: una Estrategia para la Gestión de Riesgos Speaker: Subra Kumaraswamy, Chief Security Architect de eBay

“Servicios en la nube”, actualmente es la frase más candente para los negocios. Las empresas se están apresurando a adoptar diferentes servicios de nube debido a los bajos requerimientos de adopción, los ahorros en costos, la mejora en los tiempos de comercialización y la elasticidad en su demanda.

Sin embargo, los servicios públicos y privados de Cloud están afectando los modelos y mecanismos de seguridad IT, basados en enfoques perimetrales, centralizados y con zonas de confianza. Más aún, con diversos aromas de Cloud (SaaS, PaaS, IaaS, Hadoop) y modelos de implementación (público, privado e híbrido) las empresas pueden enfrentar niveles de riesgos poco aceptables y medibles.En esta charla se discutirán las “lagunas de seguridad” en el Cloud Computing, el escenario de la ciberseguridad, la protección de datos y las estrategia de gestión del riesgo necesarias para mover aplicaciones, datos y servicios a la nube.

NO SE AHOGUEEN LOS RIESGOS DEL CLOUD

Expertos, firmas de consultoría y los proveedores IT venden al cómputo en la nube como el paradigma que impulsará los negocios durante las próximas cuatro décadas.

En cierto sentido los números les dan la razón, pues empresas como Gartner estiman que para 2015 tan solo el mercado de almacenamiento en nube facturará más de $1,400 millones de dólares, casi 10 veces más valor de merca-do que lo registrado en 2010.

No es para menos, pues la flexibilidad, elasticidad, reducción en los tiempos de implementación y —la cereza en pastel— menores costos de operación, con los que el Cloud Computing se vende han encantado a CIO, CFO y CEO alre-dedor del mundo.

Pero pese a todos sus beneficios y posibilidades, existe un tema que aún en-sombrece y cuestiona el futuro del Cloud como modelo primario de cómputo en el siglo XXI: la seguridad y privacidad de los datos empresariales.

¿Percepción o realidad? En la primera edición del Triatlón del b:Secure Con-ference buscaremos la respuesta.

Por Carlos Fernández de Lara [email protected]

Siempre un paso adelante de las amenazas de ITSpeaker: Marcos Nehme, gerente de América Latina y Caribe de preventa de RSA

No existe empresa en el mundo que esté exenta a las amenazas cibernéticas. Sin importar si se trata de un DDoS a manos de grupos hacktivistas, un intento de ciberespionaje o un ataque dirigido (APT), todos —sean compañías privadas órganos policiales, judiciales o desarrolladores de software— son posibles blancos del cibercrimen.Colóquese un paso delante de ellos y conozca, de manos de RSA (la División de Seguridad de EMC), la forma para crear una sólida estrategia para la identificación y mitigación de riesgos latentes en todas las industrias. No sólo asegure su negocio, acelérelo.

13Marzo, 2012 B:SECURE

El poder de los usuarios privilegiados, cómo gestionar, controlar su actividad y cumplir con las exigencias regulatorias Speaker: Ernesto Pérez, solution Strategist Security & Compliance de CAEn la mayoría de las organizaciones sistemas como root, dbAdmin, hypervisor, cuentas de administración y soporte de las plataformas de IT no son controladas, monitoreadas y auditadas apropiadamente. Dado su nivel de permisos y poder este descontrol podría provocar —intencional o no— una falla o fuga de información sensitiva. Al mismo tiempo, al no existir trazabilidad, segregación de funciones ni reporteo de sus acciones es imposible apegarse a lo que las mejores prácticas y regulaciones dictan. La conferencia busca dar una visión de cómo resolver este tema al combinar soluciones IT con políticas y procesos.

La guerra de la movilidad y seguridad en dos frentes: Acceso y Data CenterSpeaker: Ricardo Argüello, director Regional de Enterasys Networks para México, Centro América y Región Andina

La movilidad de los usuarios, la proliferación de escritorios virtuales y el dinamismo de servidores en ambientes virtuales han generado nuevos retos en las áreas IT alrededor de la visibilidad, control y seguridad de las redes. Las nuevas arquitecturas de red deben ir más allá de la conectividad, pues tienen la tarea de ofrecer conectividad constante, segura y confiable, independientemente del medio de conexión.

Profecía del 2012: ¿Se acabará el mundo por culpa de la explosión de información o por la movilidad?Speaker: Rafael García, director de Mercadotecnia de Symantec México

Hoy la movilidad nos permite ser más productivos y rápidos, pero su uso exponencial está generando un aumento en la producción de datos que deben ser constantemente monitoreados, administrados y protegidos ¿Podría poner esto en riesgo a su negocio? ¿Es el Mobile Device Management un reto para los CIO? ¿El crecimiento de la información es un tema simple de resolver?

La nube como plataforma de SeguridadSpeaker: Agustín Robles, director General de Tecno XXI

Se abordará la polémica tesis de utilizar la nube como una plataforma para mejorar la seguridad informática. Además, argumentaremos cuáles son los beneficios derivados de plataformas compartidas a través de servicios para organizaciones que no son expertas.

Los ataques de DDoS y la mentalidad de la avestruzSpeaker: Carlos Ayala Rocha, consulting Engineer de Arbor Networks

Hace dos años los principales motivadores detrás de los DDoS eran financieros. Sin embargo, los medios sociales y la expansión de Internet han generado una democratización sobre ellos, la cual ha sido aprovecha por grupos hacktivistas en el Web. Hoy, cualquier negocio que opere en línea puede convertirse en blanco potencial de esta masificación de la Denegación de Servicios.Pregúntese: ¿Cómo se vería afectado su negocio, sus relaciones con clientes, su imagen y reputación si sus servicios Web un día simplemente no estuvieran disponibles? En este conferencia abordaremos la respuesta y solución a está incertidumbre.

Viaje a las nubes, pero asegure la realidad Speaker: Roque Juárez, IBM Security & Risk Management Advisor

Conozca los elementos mínimos de seguridad en infraestructura y de la información que su organización debe considerar en el diseño, operación y control de un esquema de cómputo en la nube.

El CIO me preguntó: “y después del ataque, ¿qué aprendimos?”Speaker: Francisco Villegas, director de la unidad de negocios de seguridad redIT-PROTGTEl objetivo de la conferencia es presentar a la audiencia la preparación, diagnóstico respuesta y recuperación ante un ciberataque. Además, se buscará explicar el proceso de respuesta sobre la atención de incidentes alrededor de un caso práctico de un ataque.

NO SE AHOGUE


Por Carlos Fernández de Lara [email protected]

LA FALTA DE ENTEDIMIENTO, LA PREMURA POR SER PARTE DE LA MODA Y LA CIBERSEGURIDAD SON EL TALÓN DE AQUILES DE TODO PROYECTO DE CLOUD

COMPUTING, ¿DÓNDE RADICA EL PROBLEMA?

Aunque el Cloud Computing es definido como el futu-ro de los servicios IT y de los negocios del siglo XXI, hoy 60% de los CIO alrededor del mundo aún ponen en duda el uso o implementación de proyectos de este tipo.

Es claro que para muchos expertos, el cómputo en la nube será el catalizador de los negocios del siglo XXI. Para los más soñadores es el modelo de computación que hará realidad aquellas visiones plas-madas en películas o libros de ciencia ficción, donde los datos, ser-vicios y aplicaciones digitales están disponibles y accesibles desde cualquier lugar y a través de cualquier dispositivo, pantalla o ser hu-mano.

Incluso, si se le preguntara a usted qué opina o ha oído del Cloud Computing, seguro alguna de las siguientes aseveraciones se le ven-drían a la mente: es el nuevo paradigma de IT, será el modelo de cómputo para los próximos 30 años, es tan revolucionario como lo fue la interfaz gráfica de las computadoras en su momento.

Sin embargo, un estudio reciente de la firma de seguridad Syman-tec, entre más de 150 empresas mexicanas y más de 5,300 a nivel global, demostró que para 85% de los CIO y CSO encuestados la se-guridad es el principal impedimento para migrar a la nube.

Para Alejandro Loza, gerente de Ingeniería de Symantec México, los resultados son reflejo de tres factores centrales: la inexperiencia de los departamento IT sobre estos nuevos ambientes, las malas ex-periencias de otras compañías y la desconfianza sobre algunos pro-veedores de servicios en la nube.

Las palabras de Loza encuentran respaldo en la encuesta de la fir-ma, en la que casi 60% de los entrevistados temen que al moverse a la nube enfrenten problemas como fuga de datos o códigos malicio-

sos. Además reveló que cinco de cada 10 colocan los ciberataques y la falta de control sobre los acuerdos de servicios de los proveedores (SLA) como factores de riesgo en ambientes de Cloud.

FALTAN CLASES DE NUBESEl análisis del miedo a la nube deja ver algo mucho más crítico que los miedos y temores de los CIO: la falta de entendimiento y capaci-tación de los modelos de Cloud Computing.

Por ejemplo, en América Latina las organizaciones señalaron que sólo entre el 20 y el 25% de su personal tiene experiencia relaciona-da con temas de cómputo en la nube.

En el caso de México, la situación no es muy distinta, pues alre-dedor de 30% de los profesionales IT tienen experiencia en la nube, mientras que 60% carecen o cuentan con poca preparación para ad-ministrar iniciativas de Cloud.

No es sorpresa que ante tales resultados exista una falta de pro-yectos alrededor del tema. Según la encuesta de Symantec menos de 20% de las empresas en todo el mundo y por abajo de 25% en América Latina han completado la implementación de un proyec-to de Cloud.

“Es importante que las empresas hagan una evaluación muy pun-tual de los proveedores de servicios y de su interés por subirse al fe-nómeno del Cloud Computing”, dijo Loza.

En otras palabras, no ejecutes proyectos de cómputo en la nube si no sabes si realmente los necesitas o, de lo contrario, existirá un alta posibilidad de que el resultado no alcance las expectativas esperadas.

“Casi siete de cada 10 departamentos IT están investigando al-rededor del tema y ya hay varios proyectos en marcha. El proble-

¿MIEDO A LA TORMENTA?


ma es que no estamos teniendo los resultados esperados porque no se hicieron análisis previos sobre la operación de la organiza-ción”, explicó el experto.

Alejandro Loza señaló que no todos los proyectos de Cloud deben estar impulsados por un tema de costos. En algunos casos, lo que este modelo de cómputo puede traer es mayor agilidad, liberación de las cargas de trabajo o flexibilidad en la entrega de nuevos servicios.

PIENSO, LUEGO MIGROMás que riesgos, el Cloud Computing conlleva retos y la gran ma-yoría de ellos giran alrededor del entendimiento de los modelos de nubes. Un análisis de Unisys subraya que los CIO y CSO deben en-tender que la seguridad de su información, aplicaciones e infraes-tructura dependen de los perfiles que se le asignen. Es decir, son ellos los que tendrán que definir el grado de sensibilidad de los da-tos y sus aplicativos y, con base en eso, podrán determinar qué tipo de nube necesitan.

La consultora IT recomienda que al momento de seleccionar al proveedor de servicios de Cloud es vital buscar a uno que cuente con una infraestructura de alto desempeño, un sistema de seguridad de misión crítica de punta a punta, políticas y procesos de protección de datos y la posibilidad de negociar los SLA de acuerdo a las nece-sidades del cliente.

“Las empresas proveedoras de servicios de Cloud están obligadas a ofrecer seguridad a los usuarios en todos los procesos y, debido al carácter cosmopolita de la red, deben estar preparadas para cumplir con el marco legislativo que regule la protección de datos en cual-quier parte del mundo”, cita el análisis de Unisys.

El compromiso del proveedor también debe contemplar las aris-tas de la educación, entrenamiento y capacitación de aquellos que estarán en contacto o utilizarán los servicios de Cloud porque al fi-nal del día, al igual que en las infraestructuras IT perimetrales, en las nubes, los errores de capa 8 (el usuario) también tienen consecuen-cias críticas.

Los mayores desafíos

Fuente: Symantec, Estado de la Nube 2011.Encuesta realizada a 5,300 empresas de todo el mundo 150 de ellas en México

La diferenciaentre los objetivosesperados y losalcanzados fuede 34%

20-30% del personal de TItiene experiencia en la nube

50% - 58% del personal de TItiene alguna o poca preparaciónpara administrar iniciativas de cómputo en la nube

Personal de TIDebe estarasí depreparadopara entrar

Los Negocios y la Nube

Los mayoresmiedos

Vacío de expectativa

Vacío entre los beneficios esperados y los realesMayor eficacia

de TI40%

Mayor

27%Mayor agilidad

de TI 33%

Mayor preparación para RD 32%

Menoresgastos operativos

37%

No, gracias

Entrada a laNube

Salida de laNube

SeguridadPrincipal objetivoSeguridad

No

17-24% ha implementado

¿Cómo va la implementación?

41-44% se encuentra en pruebas /implementando

13-20% discutiendo o en planeación

17-22% no lo considera

¿Están preparados los departamentos de TI para los desafíos?

85%Seguridad

79%Licenciamiento

de Software

80%Cumplimiento

Infraestructura77%

58%Informante Interno

56%Malware

58%Fuga de Datos

53%Robo Datos de Hacker

D t

53%Pérdida de

Datos para Caso

seguridad

Mayor desafío

Infog

rafía

corte

sía de

Sym

antec


Por Ángel Álvarez

La seguridad, privacidad y resguardo de los datos más críti-cos del negocio son los principales estigmas en la implemen-tación de proyectos de Cloud Computing. Sin embargo, es imposible querer asegurar un ambiente en las nubes si la in-

fraestructura que le da soporte carece de control alguno.En el caso del cómputo en la nube el componente central a pro-

teger son los ambientes virtualizados, pues son estos los que actúan como el soporte de este modelo.

Por su naturaleza, la virtualización permite consolidar servidores y hacer más con menos hardware. De la misma manera soporta más usuarios por cada unidad de hardware, entrega más aplicaciones y las corre más rápidamente.

Maximizar el desempeño y utilización del hardware al menor costo y espacio posible, es lo que da vida a las posibilidades de flexibilidad, elasticidad y agilidad del Cloud Computing.

“La virtualización no es el futuro de la nube, es el presente”, dijo a b:Secure, Zev Woloski, director de operaciones de VMware México. “Permite a las compañías regular costos y tener una infraestructura propia, mayor seguridad y agilidad de negocio, entre otras ventajas”, agregó Woloski.

Aunque los sistemas virtualizados vuelven más complicada esta gestión de riesgo, los expertos recomiendan tener prácticas sensatas en cuanto a la seguridad. Para llevar a cabo el proceso de una virtua-lización segura es necesario seguir un plan bien definido en el que se establezcan expectativas realistas y un seguimiento de resultados con el fin de identificar las maneras de mejorar la eficiencia del proyecto.

Además, es necesario lanzar las ideas de virtualización y de la nube como iniciativas del mismo departamento IT, completas e inte-grales en lugar de hacerlas de forma aislada.

Antes de migrar a la nube, ya sea híbrida o privada, se recomienda que el encargado de IT se asegure de aprovechar toda la infraestruc-tura existente para convertir los servidores estáticos, el almacena-miento y la conexión de red en una fuente de recursos.

Una vez que ya se llevó a cabo la virtualización, es necesario pro-teger los activos virtuales así como responder a las amenazas y otros incidentes.

De acuerdo con Michael A. Davis, CEO de Savid Technolo-gies, firma de consultoría y seguridad IT, existen cuatro pasos que todo proceso de virtualización debe seguir para tener ma-yor protección.

El primero es asegurar las capas con las que están constituidos los ambientes virtualizados, mediante el establecimiento de controles de seguridad dentro de la arquitectura virtual.

Como segundo paso se debe definir y documentar, es decir, para poder establecer controles de seguridad es necesario contar con toda la información del ambiente virtual de la compañía. Es importante comprender el flujo del tráfico a través de la infraestructura. Depen-diendo del tipo de archivos se verá si se necesitan tomar medidas extra para asegurar los servidores virtuales que almacenan datos crí-ticos del negocio.

El tercero es controlar el acceso de funciones de seguridad en am-bientes virtualizados. La entrada de los administradores de sistemas y el que estén autorizados para desempeñar funciones específicas tie-nen que estar lo más descrito posible.

Las contraseñas son otra función crítica de la seguridad porque permiten monitorear y rastrear todas las actividades que tienen lugar dentro del ambiente virtualizado.

Como último paso se debe asegurar la red virtual. Es necesario aprovechar las características de seguridad de los switches virtuales.

Sin embargo, el switch virtual que se haya instalado puede carecer de las características de seguridad y de monitoreo avanzadas que po-seen los físicos. De ser así, es necesario examinar si se requiere uno virtual de terceros.

Si no es posible implementar todos estos pasos desde el inicio, es conveniente centrarse en el control de los accesos y la separación de responsabilidades.

La mayoría de las organizaciones manejan un estándar de procedi-mientos y herramientas utilizados únicamente para controlar los ac-cesos a los sistemas físicos y éstos, de igual manera, se pueden aplicar directamente a los ambientes virtuales. Como en cualquier otro pro-yecto de seguridad IT, las políticas de acceso, el uso de sistemas y el sentido cómun serán sus mejores salvavidas.

VIRTUALIZACIÓN: EL PASADO, PRESENTE Y FUTURO DEL CLOUD

PARA CONOCER EL FUTURO HAY QUE ESTUDIAR LA HISTORIA Y EN IT LA REALIDAD NO ES DIFERENTE. LOS INICIOS DEL CLOUD SECURITY ESTÁN EN LA VIRTUALIZACIÓN


Durante los últimos dos años el cómputo en la nube se convirtió en la principal tendencia tecnológica entre ex-pertos y proveedores IT. En gran parte, debido a los su-puestos beneficios que ofrece a las organizaciones que

optan por su implementación: ahorros en costos de gestión, almace-namiento y mantenimiento de la infraestructura empresarial.

El crecimiento del Cloud Computing responde a una tendencia que, con el paso del tiempo, se volvió realidad. Un análisis de Unisys Corporation reveló que el cómputo en la nube será la principal prio-ridad de los ejecutivos América Latina para 2012.

Sin embargo, y pese a la buenas promesas que ha tenido el cóm-puto en la nube, su adopción aún genera dudas entre ejecutivos y tomadores de decisiones quienes indican que la seguridad de su in-formación y aplicaciones es su principal obstáculo al momento de considerar el salto.

El análisis IT Risk/Reward Barometer realizado por ISACA en 2010 señaló que 59% de los ejecutivos de la región considera que los ries-gos aún son muy grandes con respecto a los beneficios que ofrece el Cloud.

CÓMO ENFRENTAR LA DESCONFIANZACon la finalidad de revertir estas cifras existen opciones en el mer-cado, como la nube privada, que ofrecen las mismas ventajas de fle-xibilidad y costos que el Cloud público pero en las que el control reside directamente en el departamento IT de la organización.

Los proveedores de esta tecnología aseguran que la nube priva-da es la solución ideal para aquellas compañías que desean aprove-char las ventajas de esta tecnología pero que aún desconfían de su seguridad.

En tanto, expertos señalan que contar con servicios de nube pri-vada significa una ventaja con respecto a la nube pública debido a que permite a las empresas establecer sus propios controles de go-bernabilidad de datos.

Así los ejecutivos y responsables de las compañías pueden ele-gir cuál es la información sensible de la organización a subir y es-coger quién tiene acceso a la misma y qué puede hacer con esta

(copiar, modificar, borrar), es decir, control integral sobre toda la infraestructura.

QUÉ TAN SEGURO ES LO SEGUROPero pese a las garantías que esta tecnología ofrece, su implementa-ción no deja de ser un riesgo para las empresas ya que la pérdida de datos no le es ajena.

Una encuesta realizada por la firma de recuperación de datos, Kroll Ontrack, demostró que 53% de los profesionales IT experi-mentaron hasta cinco episodios de pérdidas de datos en su nube du-rante 2010 y 2011.

La pérdida de información, tanto en ambientes virtuales como en entornos físicos, es en la mayoría de las ocasiones un golpe mortal para las empresas.

La interrupción en la actividad de las organizaciones significa una pérdida en la productividad, además de un daño a la imagen corpo-rativa y una disminución en la confianza de los clientes.

De acuerdo con Kroll Ontrack, las razones más comunes de la pérdida de información en la nube son variadas ya que pueden ir desde un error humano hasta la eliminación deliberada de archivos contenidos en el nuevo sistema de almacenamiento.

Especialistas aseguran que en los entornos virtualizados y ambien-tes en la nube, incluso los privados, el principal riesgo para las em-presas reside entre sus propios empleados.

Según distintas firmas de seguridad, el descuido humano es aún la mayor causa de pérdida de datos sin importar en qué entorno esté almacenada la información, físico o virtual.

La preocupación que genera la fuga o robo de archivos está rela-cionada con los costos económicos que significa. CheckPoint asegu-ró que en 2011 el costo promedio de una fuga de información fue de $7.2 millones de dólares.

Aunque la tecnología y fabricantes de la misma generen nuevas soluciones para reforzar la seguridad y evitar las brechas de datos, es necesario que las empresas tomen conciencia sobre el trato que le dan a su información y aplicaciones, además de vigilar quién tiene acceso a la misma.

NUBES PRIVADAS: ¿MODELO DE LOS DESCONFIADOS?EL CLOUD PRIVADO ES LA ELECCIÓN DE LA MAYORÍA DE LOS EXPERTOS EN SISTEMAS

DEBIDO A QUE OFRECE LOS MISMOS BENEFICIOS QUE EL PÚBLICO PERO CON MAYORES CONTROLES DE SEGURIDAD Y ACCESO

Por Sergio López


NUEVA YORK.- PayPal, un puntocom más, tiene en mente ser el ga-nador del mercado de los sistemas de pago con dispositivos mó-viles y de paso tomar una rebanada del pastel, que por años han

acaparado instituciones financieras y firmas como Vista y MasterCard. Para ello tiene un ambicioso plan que busca que tanto los clientes como los pro-veedores estén siempre conectados, sin problemas de seguridad.

La idea de la compañía estadounidense es que con una cuenta PayPal y una aplicación descargable a un teléfono inteligente se pueda pagar a través del sistema Near Field Communication (NFC).

Dentro de esa cuenta electrónica, que funciona en el celular, se puede se-leccionar de dónde sacamos el dinero para pagar un financiamiento u aho-rro bancario, una tarjeta de crédito, la propia cuenta de PayPal o de las tres juntas, por si hace falta completar.

Además, se puede elegir el monto de cada una de ellas y el pago, e inclu-so existirá la posibilidad de aprovechar servicios promocionales como inte-reses fijos o congelados, dependiendo la compañía o minorista que ofrezca el producto deseado.

Estos son algunos de los planes que la firma de pagos por Internet más grande del mundo tiene para 2012, dijo Renier Lemmens vicepresidente de PayPal en Europa.

En entrevista para b:Secure, Lemmens aseguró que la generalización de los teléfonos inteligentes en mercados como el estadounidense o el europeo hacen más fácil el trabajo para la compañía.

Lamentable, es en este punto donde responde que para México aún no hay planes para llevar la tecnología de pago de PayPal en los si-guientes meses.

“Antes del verano, y sólo en los cinco principales países de la Unión Eu-ropea (Francia, Alemania, Italia, España y Reino Unido) había más de 91 millones de usuarios de smartphones, 46% más que el año anterior. Y las cifras siguen aumentando. Estamos bien situados para ofrecer cualquier al-ternativa de pago”, agregó.

Visión con la que concordó el vicepresidente de PayPal para móviles, David Marcus, quien comentó que están incluso preparados para atraer a aquellos usuarios que no poseen un dispositivo móvil avanzado ni tienen una tarjeta bancaria para poder pagar la cuenta de PayPal.

“Llegará en los próximos meses a varios países y tendrá el mismo forma-to que una tarjeta de débito común: llevará un microchip y requerirá de un número secreto”, explicó.

CALENTANDO EL NEGOCIOLa compañía, propiedad de eBay, busca cerrar acuerdos con todo tipo de ven-dedores, grandes y pequeños, para extender su abanico de formas de pago.

Según John Lunn, director de Innovación para Europa, PayPal cuenta con programas pilotos en algunas empresas del viejo continente, como las salas de cine Pathé en Holanda y otros, como la cadena de comida Pizza Ex-press en Reino Unido.

LA ENTREVISTA

PAYPAL: DE LOS PAGOS EN LAS NUBES A LOS MERCADOS FINANCIEROSCon más de 103 millones de cuentas activas en 190 países, PayPal busca saltar de su mundo de Cloud al sector financiero y de paso desbancar a gigantes de la industria como Visa y MasterCard con su nuevo sistema de pagos móviles

Por Paul Lara


“Para adaptar el sistema de pago a las terminales de tarjetas que ya po-seen los comercios sólo es necesaria una actualización de software”, expli-có Lunn.

Los planes, según este ejecutivo, son que PayPal sea un serio compe-tidor para sistemas de pago como las tarjetas tradicionales (Visa, Master-Card, etcétera) fuera y dentro de Internet, e incluso podría suponer una amenaza para los propios sistemas de cobro de las grandes cadenas de distribución.

“No partimos de cero: tenemos más de 103 millones de cuentas acti-vas en 190 países —de hecho, presume de ser el mayor banco europeo por número de clientes— y sólo en el tercer trimestre de este año realizamos pagos por $29,300 millones de dó-lares, 31% más que el pasado año”, explicó.

El “secreto”, según Lunn, reside en la combinación de dos factores clave: la seguridad en las transaccio-nes —debido a que los datos de los clientes no llegan al vendedor, sólo el dinero— y la versatilidad del sis-tema, ya que para los comerciantes es relativamente fácil asociarse con PayPal.

“Cobramos comisiones por tran-sacción inferiores a las que cobran otros servicios de pago”, comentó el portavoz de la compañía.

¿CÓMO FUNCIONA?Según los directivos de la compañía, hay cinco posibilidades o si-tuaciones de la cotidianeidad, en las que se puede explicar cómo funcionará su nuevo proyecto de pago electrónico en dispositivos móviles.

En la primera, usted se encuentra viendo la televisión y de pron-to aparece un anuncio de un producto que se quiere adquirir. La apli-cación PayPal en su dispositivo indica dónde se puede comprar, tanto en Internet como en las tiendas más cercanas, y dónde están las mejo-res ofertas. Se realiza el pago a través de la aplicación —se puede ele-gir entre abonar en efectivo o en tres meses sin intereses—, y días más tarde llega a casa.

En otra situación, un cliente pasa por delante de su cafetería favori-ta. La aplicación de PayPal avisa: hay un descuento para tomar un café ahora. En ese momento se puede encargar y pagar con crédito o dinero ahorrado en la cuenta, y sólo habría que ir recoger la bebida.

El sistema da varias opciones para abonarlo, siempre que el local dé soporte: puede pagarse mediante el móvil con la tecnología NFC o me-diante la tarjeta PayPal. Incluso si no tiene el móvil a mano, se puede introducir el número de teléfono y el PIN de la cuenta en un datáfono, cuyo software puede ser actualizado por PayPal para soportar esta nue-va forma de pago.

Una tercera opción es que cuando se quiera comprar un producto, se necesita saber si hay ofertas asociadas. Mediante la aplicación de PayPal se busca el nombre de la mercancía y como parte de una lis-ta, cuando el sistema detecta una oferta, nos avisa. Si se quiere ir a la tienda para comprobar que el producto tiene descuento, se escanea con el móvil el código QR. Si lo que se desea es pagar directamente desde la aplicación también es posible.

Un ejemplo más puede está en el supermercado. Uno puede rea-lizar la lista de la compra en la aplicación, y ésta podrá informar qué productos cuentan con ofertas especiales, además de comparar con otros. También existe la posibilidad de pagar directamente la compra, de modo que sólo habría que escanearlos para hacerla. Con eso se evi-taría uno las filas en la tienda.

Vale señalar que en todos los casos se puede cambiar el modo de pago a través de la cuenta, así como las condiciones (al contado o en tres meses sin intereses) una vez comprado el producto y en un pla-zo que puede variar entre tres días y un mes, dependiendo del acuerdo que tenga el vendedor con PayPal.

EL RETO QUE NO DUERME: EL CIBERCRIMENEn las últimas semanas, compañías de seguridad han detectado el en-vío de una nueva ola de ataques informáticos que utilizan la imagen de PayPal para intentar engañar a los usuarios, tema que aseguran los eje-cutivos no afecta sus planes para hacerse de una buena rebanada del pastel de los pagos móviles.

Los ciberdelicuentes han enviado correos en lo que se hacen pa-sar por personal de la compañía para solicitar a los usuarios que re-mitan varios datos personales para resolver una incidencia con su cuenta.

Según Renier Lemmens, vicepresidente de PayPal en Europa, puede que estos sistemas de phishing sean ciertos, pues dijo desconocerlos, aun-que indica que los pagos con Paypal son casi inviolables.

En el phishing con el sello de PayPal, los cibercriminales envían un correo los usuarios en el que aseguran que se ha añadido una nueva di-rección a su perfil para utilizar su cuenta y que deben confirmar que aceptan su uso.

Los ciberdelincuentes hacen que los usuarios piensen que sus cuen-tas están en peligro y sigan sus instrucciones para evitar que así sea. Para ello, piden que abran un archivo adjunto, rellenen varios campos con datos personales y los remitan a una dirección de control.

Los responsables del phishing consiguen recopilar datos de usuarios mediante los formularios e infectar sus equipos con malware. Los ar-chivos adjuntos suelen contener distintos programas maliciosos que se instalan en los ordenadores cuando los usuarios abren los documentos sin darse cuenta.

“Ya hemos alertado a los usuarios a través de la página Web”, agre-ga Lemmens, quien reconoce que para meter presión a los usuarios, los ciberdelincuentes se suelen valer de amenazas de cierre de cuentas o de fallos de seguridad ficticios, pero eso es falso.

“NO PARTIMOS DE CERO:

TENEMOS MÁS DE 103 MILLONES DE CUENTAS EN 190 PAÍSES Y DURANTE Q3

DE 2011 REALIZAMOS PAGOS POR $29,300 MILLONES DE

DÓLARES”DAVID MARCUS,

VICEPRESIDENTE DE PAYPAL PARA MÓVILES


Por Adrián Palma

BUSINESS PEOPLEfor

Los acuerdos de niveles de servicio (SLA, por sus siglas en inglés) son un factor crítico de éxito para la contratación de servicios proporcionados por un tercero, por lo tanto lo son para cual-quier servicio que tenga que ver con Cloud Computing. Un SLA se define de la siguiente manera:

“Es un documento que contractualmente contiene las cláusulas obligato-rias que documentan el funcionamiento estándar y el acuerdo de calidad de servicio por el cliente y por el proveedor de servicios”.

El propósito primario de los SLA es especificar y clarificar las expectativas del funcionamiento, establecer la responsabilidad y detallar los remedios y consecuencias si el funcionamiento o la calidad del servicio de los estánda-res no son los acordados por contrato.

Recomiendo que los clientes que procesen tanto datos sensitivos como críticos revisen detalladamente dichos SLA porque lo más segu-ro es que no estarán cumpliendo todos sus requerimientos y expectati-vas de seguridad. De modo que un primer paso antes de ir a la nube es determinar cuán sensitivos y críticos son sus datos, aplicaciones e in-fraestructura tecnológica.

Por ejemplo, las nubes públicas a menudo ofrecen SLA no negociables que pueden ser en la mayoría de los casos no aceptables para quienes po-seen aplicaciones o datos sensibles o piensan manejar secretos industriales.

De igual forma, es de vital importancia que tanto los SLA como los OLS (Services Level Objectives) funcionen estén actualizados sean monitorea-dos y realmente medibles. Para ello se recomienda contar con un proceso de Service Level Management (SLM) el cual se basará en la forma de reunir y administrar la información de performance en la nube. FACTORES A CONSIDERAR EN LOS SLA

una organización debe definir porqué utiliza-rá los servicios de la nube antes de definir exactamente qué servicios uti-lizará. Esta parte está más relacionada con cuestiones del negocio que del

área técnica: algunas funciones podrían tener recortes de presupuesto o perder el control de su infraestructura por la contratación de los servicios de la nube.

es importante definir el balan-ce de las responsabilidades entre el proveedor y el cliente. Por ejemplo, el proveedor será responsable por los aspectos de Software-as-a-Service (Software como Servicio), pero el consumidor puede generalmente ser responsable por sus VM, las cuales contienen software registrado y traba-jan con datos sensitivos.

el cliente asegu-ra que el proveedor tiene una protección contra desastres adecuada. Dos ejemplos me vienen a la mente: el almacenamiento de datos valiosos en la nube como backup y cloud bursting (es cuando los centros de datos internos no pueden encargarse del procesamiento de las cargas).

evaluar que tan redundante es la infraestructura del pro-veedor.

uno de los aspectos más agradables del uso de la nube es que el proveedor es responsable del mantenimiento de la infraestruc-tura. Pero los consumidores deberían estar preocupados porque:

¿Los servicios no estarán disponibles durante este tiempo? ¿Estarán disponibles los servicios pero el performance será mucho menor? ¿El cliente tendrá la oportunidad de comparar sus aplicaciones con el servicio actualizado?

existen regulaciones con ciertos tipos de datos que sólo pueden almacenarse en ubicaciones físicas determinadas. Los proveedores pueden responder a esos requisitos con la garantía de que los datos del cliente serán almacenados solamente en ciertas ubicaciones y con la posibilidad de ser auditados.

si por cumplimiento de la ley se embarga el equi-po de un proveedor para capturar los datos y las aplicaciones que pertenecen a un cliente en particular, dicho embargo probablemente afecte a otros clientes que utilizan el mismo proveedor. Hay que eva-luar la posibilidad de que una tercera parte más proporcione backup adicional.

LAS 10 QUE TODO SLA DEBE TENERAl evaluar un SLA se deben de tomar en cuenta las siguientes respon-sabilidades:

un cliente debe comprender sus requisitos de seguridad y qué controles son necesarios para cubrir dichos requisitos. Un provee-dor debe comprender lo que debe ofrecer al consumidor para permitir los controles correspondientes.

los datos deben ser encriptados mientras que se encuentren en movimiento y mientras se encuentran en reposo. Los de-

LOS ACUERDOS DE NIVELES DE SERVICIO:

“LA COLUMNA VERTEBRAL EN EL CLOUD COMPUTING”

Los siguientes son los puntos básicos que todo acuerdo de Servicio de Cloud Computing debe contener.

El ABC del SLA de las nubes

Adrián Palma es licenciado en Informática, cuenta con mas de 23 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP, CISA, CISM, CRISC, BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y ac-tualmente director de educación de la misma [email protected]


talles de los algoritmos de encripción y las políticas de control de acceso deberían especificarse.

3. Privacidad: las principales preocupaciones relacionadas con la priva-cidad están relacionadas con los requisitos como la encripción, la con-servación y la eliminación de datos. Un SLA debería aclarar cómo el proveedor aísla los datos y las aplicaciones en un entorno multi-tenant.

4. Conservación y eliminación de datos: ¿cómo comprueba su proveedor que cumple con las leyes para la retención y las políticas de eliminación de datos?

5. Borrado y destrucción de hardware: ídem #4. 6. Cumplimiento regulatorio: si las regulaciones deben implementarse se-

gún el tipo de datos, el proveedor debe ser capaz de probar que cumple con las mismas.

7. Transparencia: en el caso de datos y aplicaciones críticas, los provee-dores deben notificar por adelantado a los clientes cuando no se respe-tan los términos del SLA. Esto incluye las cuestiones de infraestructura, como las interrupciones y los problemas de performance, además de los incidentes relativos a la seguridad.

8. Definiciones de performance: ¿qué significa uptime? ¿Todos los servi-dores en todos los continentes están disponibles? ¿O sólo uno está dis-ponible? Vale la pena aclarar estas definiciones. (Se sugiere estandarizar la terminología del performance para que esto resulte más sencillo.)

9. Monitoreo: por cuestiones de posibles incumplimientos, quizá desee determinar una organización que actué como un tercero que se haga cargo de un monitoreo neutral y que tenga el objetivo de medir el per-formance del proveedor.

10. Métricas: estas son algunas de las cosas tangibles que pueden monito-rearse cuando suceden para realizar la auditoría después. Las métricas de un SLA deben definirse objetivamente y con claridad. A continuación encontrará una lista de las métricas comunes.

-ción humana.

Una métrica común relacionada con la responsa-bilidad es la cantidad de nueves que ofrece un proveedor (por ejemplo, si el servicio está disponible el 99.99999 % del tiempo, cinco nueves, en-tonces las interrupciones totales del sistema son de unos 5 minutos cada

99.999%

ANUAL MENSUALDIARIO

(24 HORAS)

99.99%

99.9%

99%

5.259min

52.59min

8 hrs45.6min

3 días15 hrs

0.438min

4.38min

43.8min

7 hrs18 min

0.0144min

0.144min

1.44min

14.4min

Muchos ofrecimientos de nube están construi-dos sobre otros ofrecimientos de nube — esto es muy bueno para la flexi-bilidad y la potencia— pero cada proveedor adicional hace que el sistema

-tonces el sistema en su conjunto es menor a cinco nueves.)

Nuevamente, a medida que la cantidad de proveedores aumenta, otros factores que pue-den afectar la responsabilidad se afirman. No sólo se encuentra us-ted afectado cuando uno de los sistemas cae, también se ve afectado cuando cae la red entre ellos.

LOS ACUERDOS DE NIVELES DE SERVICIO:

“LA COLUMNA VERTEBRAL EN EL CLOUD COMPUTING”


.

Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F.

ARTICULO 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas.

Ley de la Propiedad Industrial Artículo 84.- La persona que guarde un secreto industrial podrá transmitirlo o autorizar su uso a un tercero. El usuario autorizado tendrá la obligación de no divulgar el secreto industrial por ningún medio.Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona.

Ley Federal de Protección al Consumidor

Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a las relaciones entre proveedores y consumidores en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo siguiente: I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente; II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos (320,000 salarios mínimos).

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares

El artículo 2 define los siguientes términos:V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, yd) Garantizar la eliminación de datos de forma segura;VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

LALEYYELDESORDEN 2.0¡A ESTUDIAR DERECHO DE LA SEGURIDAD DE LA INFORMACIÓN!LAS LEYES TIENEN QUE EVOLUCIONAR PARA ADAPTARSE A LAS CONDICIONES Y NECESIDADES “DIGITALES” DEL SIGLO XXI

Por Joel A. Gómez Treviño

UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

En 2006, el municipio de Westchester, Nueva York, se hizo fa-moso por aprobar la primera ley en su tipo que ordena a los negocios asegurar sus hotspots. Dicha ley requiere a todos

los negocios comerciales que almacenen, usen o mantengan in-formación personal en medios electrónicos, que tomen medidas mínimas de seguridad, tales como instalar un firewall, cambiar el nombre incluido en todos los paquetes de una red inalámbrica (Service Set IDentifier - SSID), o deshabilitar la transmisión SSID. Los que incurran en una violación recibirán una amonestación la primera vez, una multa de $250 dólares la segunda vez y si hay una tercera de $500 dólares.

México no es la excepción. Cada vez existen más elementos para avistar el nacimiento de una nueva área del derecho a la que yo he op-tado por bautizar como “derecho de la seguridad de la información”. Podríamos definir a esta rama de las ciencias jurídicas como: aquella

que busca brindar seguridad y confidencialidad a la información que sea sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fa-bricación, dato personal, entre otros.

En términos generales, los propios abogados suelen visualizar sólo dos o tres áreas en que se debe proteger o resguardar la información: secretos industriales, secreto bancario y datos personales. Sin embar-go, son ya muchas las leyes, reglamentos, códigos y acuerdos que obli-gan a trabajadores, profesionistas, responsables de datos, empresarios, proveedores e instituciones de crédito a proteger la información con-tenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confi-dencialidad, integridad y disponibilidad.

A continuación le presento un amplio catálogo de obligaciones le-gales en materia de confidencialidad y seguridad de la información:


.

Joel Gómez ([email protected]) es abogado especialista en Derecho Informático y Propiedad Intelectual desde 1996. Receptor de dos Reconoci-mientos AMIPCI en 2011; uno en la categoría de “Personaje con Trayectoria Meritoria” debido a su desempeño profesional y su contribución al crecimiento de la industria del internet en México, y el otro por tener “el Mejor Blog Jurídico” del país. Profesor de Derecho Informático en La Salle, la Universidad Pa-namericana Campus Guadalajara y el INACIPE. Síguelo en Twitter: @JoelGomezMX y @LexInformatica.

c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, yd) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales:AlcanceAtenuación de sancionesFunciones de seguridadFactores para determinar las medidas de seguridadAcciones para la seguridad de los datos personalesActualizaciones de las medidas de seguridadVulneraciones de seguridadNotificación de vulneraciones de seguridadInformación mínima al titular en caso de vulneraciones de seguridadMedidas correctivas en caso de vulneraciones de seguridad

Ley Federal del Trabajo Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón:IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa; Artículo 134.- Son obligaciones de los trabajadores:XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.

Código Penal Federal Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto. Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial. Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.

Ley de Instituciones de Crédito Artículo 117.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio.Artículo 46 Bis 1.- Las instituciones de crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el artículo 46 de esta Ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno.Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros.

Ley Federal de Seguridad Privada Artículo 15. Fracción V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia.

Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal

Artículo 2. Para los efectos del presente Acuerdo, se entenderá por: Ciberseguridad: a la aplicación de un proceso de análisis y gestión de riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información, así como con los sistemas y procesos usados para ello, que permite llegar a una situación de riesgo conocida y controlada;

Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones

1. Definiciones y Términos:Seguridad de la información: La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información.Vulnerabilidad: La debilidad en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC.SGSI: Sistema de Gestión de Seguridad de la Información, parte de un sistema global de gestión que basado en el análisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la información.5.9.4 Administración de la seguridad de los sistemas informáticos5.9.4.1 Objetivos del procesoGeneral: Establecer los mecanismos que permitan la administración de la seguridad de la información de la Institución contenida en medios electrónicos y sistemas informáticos.Específicos: Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información de laInstitución contenida en medios electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.

Y si a estas leyes y regulaciones agregamos el conjunto de Nor-mas ISO que tratan sobre temas de seguridad informática, la lista de “obligaciones, recomendaciones y requisitos” crece considera-blemente:

--

-

-

-

--

-“Derecho

de la Seguridad de la Información”?

SEGURO… QUE LO QUIERES

La nueva consola portátil de Sony, PlayStation Vita, promete regresar a la firma nipona al trono que las tablets y los smartphones le quitaron a su predecesor: PSP. ¿Estás dispuesto a formar parte de esta nueva vida?

La industria de los videojuegos es una mina de oro. Basta decir que en 2011, sólo en Estados Unidos, alcanzó un valor por encima de los $65,000 millones de dólares.

Ahora, Sony planea acaparar parte de esos preciados billetes verdes con el lanzamiento de su nueva consola portátil en México. Sin embargo, en un mercado altamente competitivo, sólo el tiempo dirá si el gadget le hace honor a su nombre Vita (vida en latín) o si por el contrario lo bautizamos como el PS Mortis.

LA DIFÍCIL VITA DE UN GAMER

SEGURO QUE LO QUIERES PORQUE SEGURO QUE NO LO QUIERES PORQUE


LO QUE LE DA VIDA AL PS VITA

Bluetooth 2.1

Un evento de Producido por

El único foro pensado y desarrollado por expertos, para expertos de las áreas

IT de una de las industrias más innovadoras en México

www.newbankingandfinancialforum.com.mx

17 de Mayo 2012,Hotel Four Seasons México

Informes: Tel: (55) 26297260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40. [email protected]

www.facebook.com/netmediaevents@netmediaevents

bsecure — marzo, 2012

Documents