Grupo: http://groups.google.com/group/forosi/topics
- [forosi:15103] Fraude Bancario: Politicas, Gestion del Fraude,actuacioncon el cliente [3 actualizaciones]
- Finalizaron las 1eras Jornadas Wikileaks [1 actualización]
- Consulta sobre vulnerabilidades [1 actualización]
- Derecho al olvido en Internet [1 actualización]
- [forosi:15107] Guia sobre Auditoria de Seguridad Informatica [3 actualizaciones]
- [forosi:15111] Almacenamiento Seguro [2 actualizaciones]
- [forosi:15127] LIMA PERÚ - SEMINARIO GRATUITO - ISO 20000 [2 actualizaciones]
- Redes Sociales En El Entorno Corporativo [1 actualización]
- [forosi:15125] Datos en CD [1 actualización]
- Amilcar <amilmac@gmail.com> Mar 25 09:22AM -0300 ^
Muy buenas inquietudes, muchas tambien las comparto. Una de mis grandes
inquietudes es el siguiente escenario:
- Banco detecta que el cliente puede ser victima de un ataque
- Banco bloquea los movimientos de cuenta del cliente
- Cliente se arrima al Banco para preguntar por que tiene todo bloqueado (a
las pueteadas)
- Banco le pregunta si una transferencia de X fue realizada por el
- Cliente sorprendido dice que no, el banco confirma el bloqueo preventivo y
le re-acredita la plata diciendole que detectaron el fraude.
- Cliente relativamente contento
Hasta acá, es un hecho que le sucedió a un familiar muy cercano hace 1
semana. (No me pregunten temas especificos de como lo detectaron porque ni
idea...)
Ahora bien, estoy convencido de que la pc de mi pariente está comprometida,
le da tanta bola a la seguridad como yo a Gran Hermano, y el banco le ofrece
un servicio de análisis de su equipo, le dice que le paso, le arregla la PC,
le pone talco al cliente para que no se paspe, etc...
Como ven de probable el siguiente escenario?
- Cliente abre el mail 502 con fotitos de Gatitos Siameses e instala el app
numero 453 de facebook.
- Cliente compromete de nuevo su maquina
- Cliente es nuevamente victima de un fraude
- Banco esta vez por x motivo no frena el movimiento fraudulento
- Cliente dice que el BANCO le arreglo la maquina, asi que es culpa de ellos
si le sacaron plata.
- Justicia super competente en materia de tecnología ratifica, la culpa es
del banco.
- TN nos informa que se viene el APOCALIPSIS.
Este no es un planteo Oficialistas vs Opositores, solo plantear que desde
ambas puntas del hilo hay reticencias, hay que buscar formas en que todas
las partes trabajen en pos de la seguridad, no nos rasgamos las vestiduras
diciendo todo el tiempo "LA SEGURIDAD ES UN TEMA DE TODOS" ?
Saludos!
Amilcar
Ahhh, y muchachos, hay que seguir poniendole creatividad al tema. Por ahora
seguimos en problemas porque estan hablando de tokens cibernéticos,
autenticación en el ciberespacio, anti skiming personal ciber gloves, iris
reader ciber googles... pero a los clientes les decis que no pueden repetir
sus ultimas 12 claves y te mandan al diablo...
El otro dia en segurinfo, comentaban que hicieron una encuesta a los
clientes para ver si les parecia bien usar tokens y las respuestas fueron
algo asi como:
54% No me rompan los hu.....
26% Naaa, solo a los giles los afanan
15% Mmm, see... pero es medio rompe h.... no?
5% Bué... esta bien..
2011/3/22 usertecnologia <usertecnologia@gmail.com>
- alejandro agis <alexagis@gmail.com> Mar 25 02:14PM -0300 ^
Amilcar
Tenes razón, la seguridad es cuestión de todos, pero lo que cambia la
ecuación es quien es el que gana plata con tu plata, es el banco, encima con
el home banking se ahorra mano de obra cara (un cajero rookie recién
entradito esta en 5000 mangos de sueldo solamente)
No vi de parte de un banco mas esfuerzo que un par de banners y tres o
cuatro correos al año con recomendaciones, nunca una campaña por TV o
curso/entrenamiento/capacitación previo a darte todo para que gastes plata y
te endeudes.
Los escenarios son miles,pero la el cuello de botella esta en gastar plata,
que por otro lado estas poniendo vos, no se cuanto puede costar filtrar la
IP en Home Banking y resulta de Afganisthan (cuantos clientes pueden usar
Tor para conectarse?) o la misma IP accediendo a 5/10/50 cuentas distintas,
menos que el sueldo de un cajero, (el personal de tecnología en los bancos
-por lo general- no es afiliado bancario por ende no cobra tanto ni esta por
convenio o es tercerizado).
Igual, sin ser opositor, oficialista, gordo o morocho, el tema pasa por un
funcionario oficial del signo politico que quieras, que no hace su trabajo,
traspola eso a cualquier otro tema, la portabilidad numerica en los
celulares, las demoras de la HDTV, el precio de la tecnología de consumo en
un país que no la produce y que resulta receptor del rezago etc. etc.
Saludos
- "Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com> Mar 26 12:17AM -0300 ^
Hola
Hoy justamente me estaban contando q el caso del disco secuestrado a
Raul Reyes de las FARC, cambio la situacion de la seguridad
informatica y de los analistas forenses en Colombia porque muchos se
dieron cuenta q la seguridad era un tema serio (e incluso hasta habia
q estudiar para hacerlo). Y saben q ?? Empezaron a invertir y a
capacitarse y todo... hasta parece de pelicula.
http://blog.segu-info.com.ar/2008/06/informe-de-interpol-convalida-la-cadena.html
Yo pregunto: q hace falta q suceda en los bancos y las redes que los
unen para q les empiece a importar, a capacitar, a trabajar en serio
(no solo hablar en eventos sobre la supuesto seguridad q implementan)
??
Quizas en un par de años estemos haciendo el evento "Jornadas
bancarias: un cambio de paradigma" hablando de ¿cómo nadie nos dijo q
podia pasar esto? Si les dijimos pero al diferencia numerica ($) sigue
siendo abismal.
Pd, estoy cansado y un poco ironico...
Cristian
- "Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com> Mar 25 11:59PM -0300 ^
Hola
Acabo de regresar de las 1eras jornadas wikileaks realizadas en Bogota:
http://www.jornadaswikileaks.com/
Sin temor a equivocarme puedo decir q es uno de los mejores eventos en
America de los que he participado desde su organización (y la comida
:) hasta la excelente jornada q hemos vivido junto a disertantes de
AR, MX y CO. Lo más interesante q es logramos reunir a gente de
seguridad en sistemas, abogados, periodistas y politicos para analizar
los distintos aspectos de lo q ha desatado wikileaks.
Siempre he dicho q estos eventos interdisciplinarios son los mejores
porque ayudan a salir de nuestro entorno y obliga a pensar fuera de la
caja o perspectivas q a veces ni siquiera imaginamos.
Gracias Colombia, a los organizadores, a la Politecnico
Grancolombiano, a mis compatriotas con quien estoy disfrutando el
viaje y a todos los demas disertantes
Info en el hashtag #jwikileaks de Twitter
Mañana intentare hacer un resumen para el blog y seguramente *cuando
esten disponibles* subiré las PPT si sus autores autorizan.
Esperando el prox. encuentro en AR...
Cristian
- Erika Olivares <erikaoli@gmail.com> Mar 25 03:04PM -0400 ^
Hola a todos. En este momento me encuentro haciendo una investigación
sobre posibles vulnerabilidades de acuerdo a varios escenarios, los
cuales son los siguientes
ESCENARIO NRO 1: Busqueda de un archivo que se encuentra en un
directorio en una maquina virtual dentro de una institución y
transferirlo a otro lugar.
ESCENARIO NRO 2: Transferencia de un archivo desde una institución
hacia otra vía SFTP.
ESCENARIO NRO 3: Transferencia de un archivo a una aplicación a través
de un Web Service.
ESCENARIO NRO 4: Transferencia de un archivo a una aplicación a través
de un acceso a una Base de datos de una institución a otra.
Por favor si me pueden indicar donde encontrar alguna información al
respecto les agradecería muchisimo.
Saludos
- "Prof Ing Arellano González" <larellanogonzalez@yahoo.com.ar> Mar 25 12:42AM -0700 ^
Hola colegas:
Gracias a la colaboración, siempre generosa de Gustavo Tanus, les paso la dirección donde está la noticia referida en el asunto. Me pareció sumamente interesante.
http://www.lanacion.com.ar/1358318-intentan-legalizar-el-derecho-al-olvido-en-la-web#lectores
Saludos. Luis
Prof Ing Luis Enrique Arellano González
Ing Informática-Abogado-Lic Criminalística
Director Curso de Informática Forense
Facultad Regional Avellaneda
Universidad Tecnológica Nacional
"Lauda Finem" ADVERTENCIA LEGAL (Leyes Nacionales 11.723 y 26.032): Este mensaje de correo electrónico fue emitido en la República Argentina, en concordancia con las libertades y restricciones establecidas por dichas leyes. El contenido del presente mensaje es clasificado y se encuentra restringido por el secreto profesional al que se encuentra supeditado su generador y propietario. Bajo ninguna circunstancia autorizo su retransmisión o divulgación a terceros, sin mi expreso expreso conocimiento y consentimiento. Solicito sea eliminado sin más trámite y de inmediato, de la casilla de correo de quien lo recibió por error, lo considera improcedente o duda de su confidencialidad o no repudio.
- Amilcar <amilmac@gmail.com> Mar 25 09:33AM -0300 ^
Dionel, COBIT es uno de los frameworks mas piolas y reconocidos para
auditoría de sistemas, Cobit + ISO 27000 es muy buena opción, hay un
libro que te ayuda a machear los dos.. (Me parece que esta entre los
recursos descargables de Cobit)
Saludos!
Amilcar
2011/3/22 Carlos Augusto Correa García <cacorreag@gmail.com>
- rgutierrezarias@gmail.com Mar 25 03:17PM ^
Hola buen dia tu me podrias aclarar algo el libro se puede descargar de alguna parte? O se debe comprar
Enviado desde mi BlackBerry de Movistar
-----Original Message-----
From: Amilcar <amilmac@gmail.com>
Sender: forosi@googlegroups.com
Date: Fri, 25 Mar 2011 09:33:41
To: <forosi@googlegroups.com>
Reply-To: forosi@googlegroups.com
Subject: Re: [forosi:15132] Guia sobre Auditoria de Seguridad Informatica
Dionel, COBIT es uno de los frameworks mas piolas y reconocidos para
auditoría de sistemas, Cobit + ISO 27000 es muy buena opción, hay un
libro que te ayuda a machear los dos.. (Me parece que esta entre los
recursos descargables de Cobit)
Saludos!
Amilcar
2011/3/22 Carlos Augusto Correa García <cacorreag@gmail.com>
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
- SoloE <soloej@gmail.com> Mar 25 01:29PM -0300 ^
Hola, cuando puedas te recomiendo que busques en google COBIT y así llegaras por ejemplo a la página de ISACA, donde tienen una sección llamada Knowledge Center. Allí entre otras cosas encontrarás documentación de COBIT.
Espero te sea útil.
Saludos,
SoloE
Hola buen dia tu me podrias aclarar algo el libro se puede descargar de alguna parte? O se debe comprar
Enviado desde mi BlackBerry de Movistar
From: Amilcar <amilmac@gmail.com>
Sender: forosi@googlegroups.com
Date: Fri, 25 Mar 2011 09:33:41 -0300
To: <forosi@googlegroups.com>
ReplyTo: forosi@googlegroups.com
Subject: Re: [forosi:15132] Guia sobre Auditoria de Seguridad Informatica
Dionel, COBIT es uno de los frameworks mas piolas y reconocidos para auditoría de sistemas, Cobit + ISO 27000 es muy buena opción, hay un libro que te ayuda a machear los dos.. (Me parece que esta entre los recursos descargables de Cobit)
Saludos!
Amilcar
2011/3/22 Carlos Augusto Correa García <cacorreag@gmail.com>
Es importante tener en cuenta que ISO 27K proporciona un modelo para realizar una auditoría de seguridad de la información. Utilizando como base el Anexo A - ISO 27001. No confundir con seguridad informática la cual contempla netamente aspectos tecnológicos.
Saludos
Carlos Augusto Correa García
El 22 de marzo de 2011 09:53, Dionel Fernando Trujillo Rojas <difcan@gmail.com> escribió:
gracias
- Amilcar <amilmac@gmail.com> Mar 25 08:40AM -0300 ^
Jorge, cuando hablas de sitios de almacenamiento seguro pienso en sites
protegidos para almacenar soportes informáticos, vos a que te estas
refiriendo?
Saludos
Amilcar
2011/3/23 Jorge Iván Castaño Valencia <jorgeicvalencia@gmail.com>
- "Jorge Iván Castaño Valencia" <jorgeicvalencia@gmail.com> Mar 25 10:18AM -0500 ^
Es correcto, en sites protegidos para almacenar soportes.
Gracias
- Ronald Porlles <rporlles@gmail.com> Mar 24 06:37PM -0500 ^
Hola, muchas gracias por la información. Ahi estaré de todas maneras.
Saludos.
Sinceramente
Ronald Porlles Montes
Gestor de Servicios TI
El 24 de marzo de 2011 16:50, ROBERTO PUYO VALLADARES <
- Jose Mauro Fernandez Soto <fermauni@gmail.com> Mar 25 08:34AM -0500 ^
Que pena que sea solo para la gente de la UPC.
Igual se valora el aporte.
Un abrazo.
José Mauro
El 24 de marzo de 2011 16:50, ROBERTO PUYO VALLADARES <
- Camilo Rios <camilorios@gmail.com> Mar 25 06:30AM -0700 ^
Buenos Días Para Todos
Para nadie es un secreto que las redes sociales se han convertido en
una herramienta para llegar masivamente a la gente, esto también es
aprovechado por los entornos empresariales los cuales han creado
proyectos donde se impulsa una imagen virtual corporativa. En este
momento yo hago parte de uno de estos proyectos donde yo trabajo y me
gustaría poder regir desde la parte de seguridad el manejo de este
tipo de medios como son Facebook, Youtube y Twitter , he pensado mucho
en una política y una norma. Me gustaría saber si alguno de ustedes ya
ha tenido experiencia en este tema y si lo ha tratado con algún tipo
de política o reglamentación.
De ante mano como siempre les agradezco todos sus aportes y gran
colaboración
- Amilcar <amilmac@gmail.com> Mar 25 08:49AM -0300 ^
- Rayos y centellas Batman! Se robaron el cartelito de "OT"
- Eso es obra de un ser Malévolo Robin..
- Si Batman, Ciudad Segurótica está llena de peligros...
2011/3/24 Helder Dominguez <helder.dominguez@gmail.com>
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario