marzo, 2012 路 69 路 www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
NO SE AHOGUE
$80.00 M.N.
EN LOS RIESGOS DEL CLOUD Antes de sumergirse en los bastos mundos del c贸mputo en la nube, conviene que 谩reas IT resuelvan las dudas y miedos que este modelo ha dejado en los negocios del siglo XXI
CLOUD COMPUTING
15 de marzo Hotel Nikko México
PRIVACIDAD DE DATOS
5 de julio Crowne Plaza Hotel de México
DELITOS INFORMÁTICOS Y FORENSIA DIGITAL 18 de octubre Hotel Marriott Reforma
www.bsecureconference.com.mx Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > eventos@netmedia.info @netmediaevents
Un evento de
www.facebook.com/netmediaevents
Producido por
MAR 2012
ACCESO
EL CIERRE DE MEGAUPLOAD Y LA GUERRA QUE SE DESATÓ La clausura y arresto de los fundadores del sitio Web a manos del FBI causó conmoción, ciberataques y una ola de presiones por la regulación de los contenidos en Internet
12
ENTREVISTA
NO SE AHOGUE EN LOS RIESGOS DEL CLOUD Antes de sumergirse en los bastos mundos del cómputo en la nube, conviene que áreas IT resuelvan las dudas y miedos que este modelo ha dejado en los negocios del siglo XXI
PAYPAL: DE LOS PAGOS EN LAS NUBES A LOS MERCADOS FINANCIEROS Con más de 103 millones de cuentas activas en 190 países, PayPal busca saltar de su mundo de Cloud al sector financiero y de paso desbancar a gigantes de la industria como Visa y MasterCard con su nuevo sistema de pagos móviles
B:SECURE FOR BUSINESS PEOPLE
LOS ACUERDOS DE NIVELES DE SERVICIO: “LA COLUMNA VERTEBRAL EN EL CLOUD COMPUTING” Los famosos SLA pueden actuar como su escudo y espada en caso de que las nubes de sus servicios lleguen a nublarse. Aquí encontrará todo lo que un SLA de Cloud Services debe contener para garantizar la seguridad de sus datos más preciados.
MIND THE SECURITY GAP
DE METALLICA, NAPSTER, SOPA, PRIVACIDAD Y OTRAS RAREZAS
[ADEMÁS] ¿MIEDO A LA TORMENTA?
Tarde o temprano la regulación llegará a Internet, pero esa realidad no tiene porque convertirse en la excusa perfecta para alentar el asesinato de lo que hoy conocemos como privacidad.
La falta de entedimiento, la premura por ser parte de la moda y la ciberseguridad son el Talón de Aquiles de todo proyecto de Cloud Computing
LA LEY Y EL DESORDEN 2.0
VIRTUALIZACIÓN: EL PASADO, PRESENTE Y FUTURO DEL CLOUD
Las leyes tienen que evolucionar para adaptarse a las condiciones y necesidades “digitales” del siglo XXI
Para conocer el futuro hay que estudiar la historia y en IT la realidad no es diferente. Los incios del Cloud Security están en la virtualización
04 LOGIN
24 SEGURO QUE LO QUIERES
¡A ESTUDIAR DERECHO DE LA SEGURIDAD DE LA INFORMACIÓN!
Marzo, 2012 B:SECURE 1
ENLÍNEA BSECURE.COM.MX
BANCOS DE EU SE UNEN PARA CREAR CENTRO CONTRA EL CIBERCRIMEN De la unión nace la fuerza. Está es quizás la idea en mente detrás de la nueva alianza entre algunos de los principales bancos internacionales y la Universidad Politécnica de Nueva York para combatir a los grupos criminales en Internet. Esto de acuerdo con información publicada por el diario estadounidense Wall Street Journal, la cual indica que diversas firmas financieras como Goldman Sachs, Bank of America y Morgan Stanley han comenzado a reunirse con expertos de seguridad IT de la Universidad Politécnica de Nueva York. Esto con el objetivo de crear un nuevo centro de investigaciones y respuesta que alerte a los bancos sobre nuevas amenazas informáticas, antes de que estas impacten la infraestructura de las instituciones o a sus clientes. El vicepresidente de Seguridad de Bank of America, Keith Gordon, reconoce que la alianza no es para menos, pues es evidente que los grupos cibercriminales están trabajando en conjunto para alcanzar sus objetivos. “Nos dimos cuenta que los defraudadores colaboran entre ellos, entonces nosotros como industria debemos comenzar a trabajar en conjunto”, dijo Gordon al diario.
UTILIZAN CÓDIGOS QR EN CORREOS SPAM Websense dio a conocer, en su blog oficial, el resultado de una investigación en la que reveló un nuevo tipo de campaña de spam a través del uso de códigos QR. Los investigadores detectaron mensajes de spam que te llevan a direcciones que contienen códigos QR. De acuerdo con la investigación, los correos electrónicos parecen el típico mail de spam sobre productos farmacéuticos que ayudan a mejorar la virilidad del hombre u ofrecen descuentos en medicamentos para la impotencia. Una vez que se actualiza la URL del mensaje del correo, aparece el código QR, junto con el resto del contenido. Al escanear el código QR, automáticamente se ejecuta la redirección a la página web fraudulenta. Patrik Runald, gerente senior de Investigación de Seguridad de Websense, dijo que esta es la primera vez que su equipo ve que los códigos QR son utilizados como mencanismo para distribuir spam.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
AUNQUE ME CORRAN
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 B:SECURE Marzo, 2012
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Mónica Mistretta DIRECTORA GENERAL Carlos Fernández de Lara DIRECTOR EDITORIAL Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
CONSEJO EDITORIAL Rafael García, Joel Gómez, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Raúl Gómez, Mario Velázquez, Alberto Ramírez, Roque Juárez, Alfredo Reyes Krafft COLUMNISTAS Joel Gómez, Adrián Palma, Alberto Ramírez EDITOR ON LINE Francisco Iglesias COLABORADORES Sergio López, Ángel Álvarez, Paul Lara WEB MASTER Alejandra Palancares ASISTENTES DE REDACCIÓN César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Eduardo López ASISTENTE DE VENTAS Samara Barrera SUSCRIPCIONES Sonco-Sua Castellanos
LOGIN LOGIN
CREÓ SOFTWARE PARA SUBIR PORNOGRAFÍA Y FUE SENTENCIADO A MUERTE Saeed Malekpour, residente de Canadá arrestado en octubre del 2008 en Irán mientras visitaba a su moribundo padre, fue declarado culpable y sentenciado a muerte por diseñar y administrar sitios Web de contenido para adultos, atentar contra la seguridad nacional, insultar y profanar los principios del Islam y agitar el estado mental del público, según las acusaciones. El iraní de 35 años ya había sido sentenciado a muerte en 2010, por la Corte Revolucionaria de Terán. Sin embargo, la Suprema Corte de Irán había revocado esa decisión. Fue hasta hace unos días que esta corte aprobó la ejecución. Fatemeh Eftekhari, esposa de Malekpour, dijo al diario The Guardian que a su marido le informaron de la sentencia y lo trasladaron a una celda de aislamiento. Asimismo, comentó que su esposo únicamente era un programador web que había diseñado un software para cargar fotos que fue utilizado en un sitio porno sin su conocimiento.
Sin embargo al momento de ser arrestado, Malekpour reconoció públicamente todos los cargos que se le imputaban. Posteriormente, en el 2010, el ingeniero iraní mandó una carta desde prisión en la que se retractaba de la confesión al argumentar que fue hecha bajo varios medios de tortura. “Algunas de las confesiones que me obligaron a hacer eran tan ridículas y exageradas que ni siquiera son posibles”, escribió en la carta. Drewery Dyke, de Amnistía Internacional, dijo: “La pena de muerte recientemente confirmada en el caso de Saeed Malekpour amplía el alcance largo y frío de la ejecución en Irán”. Activistas de derechos humanos dicen que bajo el actual clima de las relaciones de Irán con el resto del mundo, así como la desconformidad dentro del país, el gobierno está dirigiendo su ira contra presuntos críticos que utilizan el internet para dar su opinión. Según Amnistía Internacional, alrededor de 600 personas fueron ejecutadas el año pasado y otros 39 individuos pueden haber sido ya condenados a muerte este año.
CONFICKER AÚN NO HA MUERTO, NI MORIRÁ: ESTUDIO Pese a los esfuerzos hechos por firmas y expertos en seguridad para detenerlo, Conficker aún se mantiene como una amenaza cibernética importante. Un estudio a cargo de la firma de seguridad ESET reveló que el malware habita en 4% de los equipos infectados alrededor del mundo. Eso significa que el malware reside en poco más de 60 millones de PC alrededor del planeta, lo que lo hace uno de los códigos maliciosos más prolíficos en la historia.
4 B:SECURE Marzo, 2012
La firma de seguridad señaló que los resultados de su estudio indican que los embates contra Conficker han sido efectivos pero no suficientes. De acuerdo con ESET, el año pasado Conficker era responsable del 8% de las infecciones a nivel global, es decir, el doble de poder del que tiene hoy. Por otra parte, ESET indicó que el debilitamiento de Conficker se debe a las medidas de prevención adoptadas por los internautas y las mejoras de seguridad en los sistemas operativos, particularmente Windows. Conficker en sus inicios eran uno de los malware que más se propagaban mediante memorias flash, conocidas como USB y bajo la opción de AutoRun. De modo que bastaba con que el usuario insertara una memoria infectada por el gusano para que éste, sin demostrar su presencia, contagiara el equipo. Sin embargo, expertos en seguridad no descartan un resurgimiento del malware en un futuro próximo. Tradicionalmente este tipo de amenazas regresa acompañada con algún malware aún más poderoso, por lo que su posible reposicionamiento no debería de causar extrañeza, sentencian. En enero del año pasado el grupo Conficker Working Group aseguró haber encontrado una manera de detener la distribución del gusano cibernético.
PADRE E HIJA SECUESTRADOS POR CAER EN EL FAMOSO FRAUDE NIGERIANO Un padre de familia de 65 años, junto con su hija de unos 30 —ambos surcoreanos—, llegaron a Sudáfrica con la idea de recibir decenas de millones de dólares. Esto, porque semanas antes del viaje recibieron un correo electrónico donde se les notificaba que habían ganado un sorteo de la lotería. Lamentablemente el correo no solo resultó falso, sino que culminó en el secuestro de la familia. Tras recibir el email, el surcoreano (cuyo nombre no fue revelado) decidió viajar acompañado de su hija a la ciudad de Johannesburgo, donde aterrizaron en el aeropuerto internacional OR Tambo para recoger su premio. El chofer de un taxi los recogió y los llevó a una casa en Meadowlands, Soweto, donde fueron secuestrados junto con el conductor. Los secuestradores pidieron a la esposa de la víctima, quien se encontraba en Corea del Sur, el rescate por $10 millones de dólares que posteriormente fueron negociados a $120,000 dólares para que fueran depositados en una cuenta en Singapur. Pero en un acto de audacia el chofer del taxi logró esca-
par y acudir a las autoridades. El Servicio de Policía de Sudáfrica (SAPS por sus siglas en inglés) rescató a los cautivos, antes de que la esposa depositara el dinero del rescate y cuatro días después de haber sido privados de su libertad. En el operativo seis sospechosos fueron detenidos, cinco de origen nigeriano y un sudafricano. Los surcoreanos decidieron abandonar inmediatamente el país sin dar declaración alguna y sin esperarse a otorgar evidencias. “Se negaron a declarar porque estaban traumatizados. También estaban avergonzados de la forma que los trajeron a Sudáfrica. Esto es muy común cuando las víctimas descubren haber sido engañadas”, dijo McIntosh Polela, coronel de la policía de Sudáfrica. Este acto resultó ser un scam 419, de la ley nigeriana, entre los más comunes están aquellos que afirman que el remitente del mensaje ha heredado una fortuna de príncipe o empresaria del que nunca se ha oído hablar, o que su número de lotería ha salido premiado aunque nunca se haya comprado un billete.
HACKER COMPROMETE 24 MILLONES DE DATOS PERSONALES DE CLIENTES DE ZAPPOS Portland— La zapatería en internet Zappos.com informó que un ciberintruso pudo haber accedido a la información personal de hasta 24 millones de clientes. Las informaciones sobre las tarjetas de crédito y pagos de los usuarios no fueron sustraídas, pero el ataque pudo haber dejado vulnerables nombres, teléfonos, direcciones de correo electrónico, direcciones postales, los últimos cuatro dígitos de los números de las tarjetas de crédito y otras informaciones, según un correo electrónico que el director general Tony Hsieh envió el domingo a sus empleados. Zappos está tomando contacto con sus clientes por correo electrónico para informarles
de la situación y sugerirles que cambien sus contraseñas. La firma dijo que el “hacker” penetró su red interna por medio de uno de sus servidores en Kentucky. Zappos tiene su sede en Las Vegas y es propiedad de Amazon.com Inc., con matriz en Seattle. “Hemos pasado más de 12 años erigiendo nuestra reputación, marca y confianza con nuestros clientes”, afirmó Hsieh en su comunicación. “Es lamentable tener que tomar tantas medidas debido a un solo incidente. Supongo que el consuelo es que la base de datos que almacena los datos de las tarjetas de crédito e información de pagos de nuestros clientes no fue comprometida”.
BREVES RSA publicó una guía de trabajo para la protección de información y el combate al cibercrimen. El documento, enfocado CSO, oficiales de gobierno y responsables de seguridad IT, contiene seis pasos esenciales a seguir. Uno, conocer su infraestructura e información de valor. Dos, demostrar el valor de la protección de archivos. Tres, encontrar y contratar al personal adecuado. Cuatro, consumir y construir fuentes de información. Cinco, estandarizar los procesos. Seis, automatizar cuanto sea posible automatizar y simplificar. IBM anunció que trabaja con el departamento de policía de Las Vegas para mejorar la seguridad pública y agilizar la información que se comparte entre las distintas agencias gubernamentales. El software IBM i2 ayudará a las autoridades a conocer los delitos más comunes y zonas más afectada, con el objetivo de abatir los índices delictivos. Symantec nombró a Stephen Gillet, CIO de Starbucks como nuevo miembro de su mesa directiva. La decisión llegó meses después de que la revista hermana InformationWeek nombrara a Gillet como CIO del año (2011). “Estamos entusiasmados, creemos que su visión única y pensamiento crítico ayudarán a mejorar el desarrollo y la estrategia de Symantec”, comentó Enrirque Salem, CEO de la empresa. Marzo, 2012 B:SECURE 5
ACCESO EL AÑO EN EL QUE LOS DATOS TOMARON IMPORTANCIA: 2011
En los últimos 12 meses el crecimiento exponencial de los APT, el surgimiento de los grupos activistas en la red y la masificación de los dispositivos móviles elevaron el robo y fuga de datos a cifras históricas
U
n análisis de la firma de seguridad Check Point demostró que el costo promedio por fuga o robo de información durante 2011 ascendió a $7 millones de dólares. Así, en los últimos 12 meses el mundo fue testigo de robos masivos de información y ciberataques específicos contra todo tipo de compañía. Dichos embates no solo marcaron un estigma permanente en la imagen de las organizaciones, sino que significaron severos costos económicos, que en algunos casos rebasaron los $150 millones de dólares. Por su parte, el estudio “Data Loss Survey”, realizado por la firma de seguridad Cibecs, aseguró que 50% de las compañías estadounidenses experimentó una fuga de datos durante 2011. Los descuidos humanos fueron la principal causa de estos incidentes, mencionó el análisis. El caso más destacado fue el de Sony, el cual ocupó las primeras planas de diversos diarios y canales de televisión alrededor del planeta. Los reflectores no fueron para menos, pues la firma nipona reconoció el robo de datos personales y de tarjetas de créditos de los más de 77 millones de sus usuarios de su servicio en línea PlayStation Network. Dicho descuido le costó a la empresa la friolera de $171 millones de dólares, sin contar posibles demandas civiles o gubernamentales. Pero las críticas y reclamos no fueron únicamente para Sony. Meses más tarde un trabajador de las instalaciones médicas de Tricare, uno de los mayores contratistas del Pentágono, perdió la información de respaldo de casi cinco millones de pacientes, entre los que se encontraban militares, exmilitares y dependientes. Y si de empresas asiáticas se trata, la firma SK Telecom’s Cyworld, uno de los mayores proveedores de Internet en Corea del Sur, reconoció a finales de julio la pérdida o sustracción ilegal de los datos personales de sus más de 35 millones de clientes. 6
B:SECURE Marzo, 2012
Ni si quiera el sector financiero, uno de los que mayor inversión en cibersegurdiad tiene, estuvo exentó de los criminales Web. A mediados de junio pasado Citi Group, dueño de Banamex, informó que un hacker logró penetrar a su infraestructura y comprometió la información personal de poco más de 360,000 de sus clientes. Lo anterior, justifica la razón por la que Trend Micro y diversos expertos en seguridad catalogaron el 2011 como “El año de las brechas de datos”. Pero el robo de información no fue la única preocupación para las empresas dedicadas a la seguridad informática, aseguró un comunicado a cargo de Trend Micro. El boletín señala que el mercado de las amenazas móviles provocó la intranquilidad de decenas de compañías alrededor del planeta debido a la explosión en el uso de dispositivos como los teléfonos inteligentes y las tabletas multimedia dentro de los ambientes corporativos. La firma observó un alarmante aumento en el volumen de malware disponible para dispositivos móviles, en el que Android se convirtió en la plataforma favorita de los cibercriminales. Las popularidad de las redes sociales fue otro medio que explotaron los criminales informáticos durante el año pasado, denuncia el comunicado. Los temas de moda y la promesa de regalos a cambio de contestar encuestas o visitar un enlace fueron los principales métodos de infección utilizada por los hackers. A pesar del escenario adversos, expertos en seguridad reconocieron que el número de vulnerabilidades descendió de forma importante de 4,651 a 4155, en 2011. Los expertos marcan 2012 como el año de malware móvil, el ciberespionaje y los famosos APT. O
ACCESO La clausura y arresto de los fundadores del sitio Web a manos del FBI causó conmoción, ciberataques y una ola de presiones por la regulación de los contenidos en Internet
EL CIERRE DE MEGAUPLOAD Y LA GUERRA QUE SE DESATÓ
por: Sergio López
E
n esta batalla no hay malos o buenos. Decidir hasta qué punto es correcto compartir contenidos en línea es un tema que provocó que, al menos por un par de días, tanto rebeldes como autoridades emplearán todos los recursos disponibles para aniquilarse entre sí. Un día después de que más de 10,000 compañías que ofrecen servicios en Internet y miles de internautas alrededor del mundo manifestaran su desacuerdo con las propuestas de ley estadounidense SOPA y PIPA, el FBI demostró de lo que es capaz y en una mañana desactivó y detuvo a los responsables del portal Megaupload, página que permitía la libre transferencia de archivos multimedia entre sus usuarios. La noticia sobre la clausura de Megaupload dio al vuelta al mundo en cuestión de minutos debido a la popularidad con la que contaba el portal, cabe destacar que según el FBI el sitio registraba más de 50 millones de visitas al día y tenía más de 150 millones de usuarios registrados. A través de un comunicado la dependencia estadounidense reveló que Megaupload había sido desactivado por promover la transmisión ilegal de archivos y provocar pérdidas valuadas hasta en $500 millones de dólares. El FBI también reveló que durante la operación de clausura fue detenido Kim Dotcom, fundador y CEO del sitio, junto con su equipo de colaboradores.
TRAS LA CLAUSURA, LAS CONSECUENCIAS Pasadas las dos de la tarde, la ira de los usuarios del sitio y grupos hacktivistas —con Anonymous a la cabeza— provocó que miles de internautas organizaran una armada virtual con el único objetivo de tomar venganza y derribar los sitios Web del Departamento de Justicia (DoJ), el FBI y las páginas de empresas de las industria cinematográfica y musical. Alrededor de las cinco de la tarde, cuatro horas después de la clausura de Megaupload, el portal de Departamento de Justicia (DoJ), el sitio de Universal y las páginas de la RIAA y MPAA (organizaciones discográficas y cinematográficas en los Estados Unidos) habían sido desactivadas por Anonymous y su ejército virtual. A través de distintas redes sociales el grupo invitó a sus seguidores e internautas en general a unirse a los embates y señaló que el portal del FBI sería su siguiente objetivo. La advertencia se hizo realidad y esa misma noche el FBI se quedó sin su portal, por lapsos espaciados en los que el sitio Web se recuperaba y caía constantemente. 8
B:SECURE Marzo, 2012
De acuerdo con Anonymous, la operación a favor de Megaupload, #OpMegaupload fue la acción que más apoyo logró en la historia de los embates lanzados por el grupo hacktivista con participantes en todas partes del mundo. Días después surgieron versiones que indicaban que la mayoría de los participantes en #OpMegaupload formaron parte de este movimiento sin saber o, peor aún, sin si quiera apoyarlo. Los rumores indicaban que el grupo publicó algunos mensajes en Twitter en los que prometía información sobre la operación y cuando los usuarios abrían los tuits comenzaban a atacar de forma automática cada uno de los objetivos elegidos por Anonymous.
Y SIN EMBARGO ESTÁ PRESO Pese a los embates en su contra, el FBI continúo con el proceso contra Dotcom y levantó una serie de demandas contra portales Web que posiblemente estaban ligados o mantenían relaciones comerciales con Megaupload entre los que destacan los sitios como Taringa y Series Yonkis. El proceso judicial resolvió que el CEO de Megaupload no alcanzaba fianza y tendría que lidiar con el juicio desde prisión ya que existía la posibilidad de escapara de su país de residencia, Nueva Zelanda. Hasta la fecha el ejecutivo no ha presentado algún recurso legal para librar la cárcel.
DAÑOS COLATERALES La clausura de Megaupload no sólo afectó a sus responsables sino también a miles de usuarios que usaban el sitio como un servicio de almacenamiento en nube. Diversas han sido las voces que demandan que la información en los servidores del sitio sea liberada. Como respuesta a las peticiones, la Fundación Frontera Electrónica anunció que ayudaría a los usuarios lícitos de Megaupload en Estados Unidos a recuperar sus datos.
NADA ESTÁ ESCRITO Aunque el cierre de Megaupload no significó el fin del tráfico de contenidos de manera ilegal, fue un duro golpe para esta industria la cual seguramente se encuentra trabajando para levantar un portal que alcance el éxito de su predecesor, y el cual seguramente se convertirá en un dolor de cabeza para las autoridades. O
"LAS 50 EMPRESAS MÁS INNOVADORAS" tienen una nueva cara En respuesta a las sugerencias de ustedes, nuestros lectores, una vez más InformationWeek México se renueva. La presentación del listado se modificará, de forma que sólo las primeras cinco aparecerán en el orden de la calificación lograda al aplicar la metodología, mientras que el resto de las empresas aparecerán en estricto orden alfabético. Así, los ganadores de un lugar en el ranking serán reconocidos como sobresalientes innovadores en México, independientemente de obtener una posición que pudiera ser discutible. El listado mantendrá la misma calidad y objetivo que ha tenido durante los últimos 12 años: premiar aquellos innovadores que están
dispuestos a romper el status quo.
Inscriba su proyecto antes del 27 de abril en
www.las50innovadoras.com.mx
Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > eventos@netmedia.info Un estudio realizado por
En combinación con la consultora
Producido por
ALWAYS MIND
THE INFORMATION SECURITY GAP
DE METALLICA, NAPSTER, SOPA, PRIVACIDAD Y OTRAS RAREZAS Tarde o temprano la regulación llegará Internet, pero esa realidad no tiene porque convertirse en la excusa perfecta para alentar el asesinato de lo que hoy conocemos como privacidad. Por Alberto Ramírez Ayón, CISM , CISA, CRISC, CBCP
A
ún recuerdo cuando vi un video de los comienzos de Metallica (supongo que todos conocen a esta banda americana de metal); en el documental hablaban de cuando comenzó la banda y como grababan ‘demos’ en casetes para su venta en sus “tocadas”. Estos mismos casetes servían para poder distribuir su música a la gente y también para enviarlos a disqueras. Años más tarde, sería Lars Ulrich (baterista de la banda) uno de los principales opositores de que se compartiera música a través del servicio Napster, un programa para compartir archivos a través de P2P (peer to peer), al descubrir que el demo de su canción I Disappear había estado circulando a través de la red de Napster. No haré la historia muy larga, pero el grupo básicamente inició varios juicios legales en contra del servicios Musical. Al final, la corte encontró a Napster responsable de infringir los derechos de autor y el District Court ordenó a Napster monitorear las actividades de su red e impedir el acceso a material infractorio cuando. Napster no pudo realizar esto por lo que cerró su servicio en 2001. Mi opinión es que a medida que la tecnología va avanzando, nos deberíamos de adaptar y acoplar a las nuevas circunstancias. Aclaro, NO estoy a favor de la piratería. De hecho, estoy a favor de que se regulen los diferentes ámbitos de distribución. El problema es cuando un disco equivale a 10 veces el salario mínimo en México. En ese sentido no es de extrañar que un nicho bastante amplio de la población opte por buscar la manera de tener el contenido discográfico sin tener que gastar 10 días de su sueldo. ¿Y qué tiene que ver esto con la seguridad de la información o la privacidad? Para comenzar, alguien hace poco me hizo un comentario que me puso a reflexionar: “Si alguien compra un Antivirus y me lo presta no está mal, pues él o ella ya lo pagó. Es como quien te presta un libro o un CD/DVD” Seguro para la mayoría de los que leen este texto es claro: la licencia es para una sola máquina. Pero existe una gran parte de la población que no lo ve así porque el contenido está ahí, a un clic de distancia, a un préstamo de algún conocido, a una compra de algo en un mercado. Sirva este contexto musical para hablar de iniciativas como SOPA y PIPA. Deduciré que ya las conocen. Brevemente, la primera busca blo10 B:SECURE Marzo, 2012
quear o desaparecer sitios que compartan material con derechos de autor sin la autorización del mismo. La segunda, quiere que los ISP (Internet Service Provider) entreguen al gobierno datos sobre qué usuarios descargan material ilícito. Esto, para muchos representa una flagrante invasión a su privacidad. ¿Se imagina que el gobierno tuviera la facultad de monitorear sus actividades en Internet?
HACE MUCHO TIEMPO, EN UNA GALAXIA MUY, MUY LEJANA, HABÍA ALGO LLAMADO “PRIVACIDAD” “Mis padres me cuentan que en sus tiempos había algo llamado Privacidad”. Mi aseveración claramente es un sarcasmo, pero me impacta ver la cantidad de datos personales o sensibles que tenemos como individuos y más aún el número de lugares donde éstos se almacenan. ¿Cuántos datos privados cree que existan sobre usted? ¿Ha buscado en Internet, información sobre su persona? ¿Cuánta información ha vaciado en redes sociales? Muchos de los datos que conozco de otras personas es gracias a lo que publican en Facebook o Twitter. A dónde irán de vacaciones, dónde comerán, con quién están o qué hacen, piensan o siente. Finalmente, hoy es más “interactiva” la red y eso no está mal, sólo que hay que tener cuidado con lo que compartimos. Considero que sí necesitamos regulación y legislación en materia informática y de telecomunicaciones. Pero al mismo tiempo necesitamos libertad en la red, sin que se invada nuestra privacidad o se censure algo que alguien más considera como non-grato. ¿Cómo lograr esto? Les puedo decir que hay profesionales trabajando porque la privacidad se mantenga, se regulen y legislen muchos ámbitos que hoy están “al aire” para muchos. Yo lo único a lo que puedo exhortarlos es a que antes de estar en contra o a favor de algo indaguen muy bien de qué se trata para poder manifestarse en contra o a favor de ello. Actualmente tenemos muchas herramientas que nos permiten acceder a la información y así estar “informados”. Me manifiesto a favor de la regulación y legislación, pero también me opongo a la censura y la invasión a la privacidad. O Mind the Information Security Gap… always.
EL INVITADO UNA GUÍA DE CABECERA PARA MIGRAR AL CLOUD SIN MIEDOS Algunos lo llaman la Biblia del Cloud, para otros es Cloud Security for Dummies, pero más allá de los sobrenombres, cualquier proyecto de cómputo en la nube debe comenzar en estas páginas Por Ángel Álvarez
¿
Cuándo, cómo y por dónde comenzar? ¿Qué pasará con mis datos y mi privacidad? ¿Qué pasa frente a los ciberataques? ¿Qué dicen las leyes? ¿Me conviene o lo quiero hacer para estar a la moda en IT? Son algunas de las preguntas que el libro Cloud Security and Privacy - An Enterprise Perspective on Risks and Compliance ha logrado responder para CIO y CSO alrededor del mundo. Ahora, el coautor del libro y CSO de eBay, Subra Kumaraswamy compartirá con los asistentes a la 9º edición del bSecure Conference los desafíos, implicaciones y soluciones para asegurar la infraestructura IT, las redes, hospedajes y aplicativos que operen sobre modelos de cómputo en la nube. El autor define al Cloud de manera sistemática y examina las cuestiones de seguridad y privacidad que plantea y requiere este nuevo modelo de cómputo, que se encuentra en constante evolución. Uno de los objetivos primarios de Cloud Security and Privacy - An Enterprise Perspective on Risks and Compliance es ayudar a los usuarios a evaluar sus escenarios de seguridad de datos y realizar juicios informados sobre los riesgos que enfrentarán sus organizaciones al migrar. Al igual que en otros aspectos de la nube, no todas estas facetas de seguridad de datos son de igual importancia. Escrito en coautoría con Tim Mather y Shahed Latif, el texto centra su hipótesis en las dificultades que enfrentan la privacidad en entornos de cómputo en la nube. Por ello se discute el futuro, permanencia y riesgos sobre la privacidad de los datos y se analizan las diferencias y semejanzas que existen con los modelos de computación tradicionales. Muchas pequeñas y medianas empresas tienen limitado el departamento de IT y los recursos dedicados a la seguridad de la información, por ende le prestan menos atención a esta área. Para estas organizaciones, la seguridad que proporciona un proveedor de nube
pública puede ser la mejor opción, explican los autores. “A medida que aumenta la demanda sobre los modelos de Cloud Computing, la seguridad y la privacidad se harán más críticas. Este libro examina los riesgos, tendencias y soluciones a considerar cuando se utiliza modelos de Cloud. Es una lectura obligada y esencial para cualquiera que busque un acercamiento o esté en fase de adopción de esta plataforma”, mencionó Izak Mutlu, CSO de Salesforce.com.
VIGILANCIA Y AUDITORIA SOBRE LAS NUBES El libro también aborda el papel que los procesos de auditoría y cumplimiento juegan en los modelos de cómputo en nube. Para comenzar la migración de IT hacia modelos de Cloud Computing CEO, CIO y CSO deben primero definir: Los requisitos que se deben cumplir, si estas exigencias son impulsadas por los objetivos de negocio, las leyes y reglamentos a las que se enfrentan, contratos de clientes, políticas corporativas internas y normas regulatorias. Vigilar o revisar las políticas, procedimientos y procesos dentro de la organización y los departamentos o áreas que se buscan beneficiar con el uso de Cloud Computing. “Es una lectura necesaria para los que tienen el mandato de asegurar la nube, que probablemente sea la plataforma informática dominante durante las próximas cuatro décadas”, dijo Jim Reavis, cofundador y director ejecutivo de la organización sin fines de lucro, Cloud Security Alliance. Ideal para el personal de IT, CIO, CSO, encargados de la seguridad de la información, profesionales de la privacidad, administradores de empresas, proveedores de servicios e inversionistas por igual, este libro ofrece un buen consejo de tres autoridades bien conocidas en el mundo de la ciberseguridad. O Marzo, 2012 B:SECURE 11
NO SE AHOG EN LOS E RIESGOS DEL CLOUD
xpertos, firmas de consultoría y los proveedores IT venden al cómputo en la nube como el paradigma que impulsará los negocios durante las próximas cuatro décadas. En cierto sentido los números les dan la razón, pues empresas como Gartner estiman que para 2015 tan solo el mercado de almacenamiento en nube facturará más de $1,400 millones de dólares, casi 10 veces más valor de mercado que lo registrado en 2010. No es para menos, pues la flexibilidad, elasticidad, reducción en los tiempos de implementación y —la cereza en pastel— menores costos de operación, con los que el Cloud Computing se vende han encantado a CIO, CFO y CEO alrededor del mundo. Pero pese a todos sus beneficios y posibilidades, existe un tema que aún ensombrece y cuestiona el futuro del Cloud como modelo primario de cómputo en el siglo XXI: la seguridad y privacidad de los datos empresariales. ¿Percepción o realidad? En la primera edición del Triatlón del b:Secure Conference buscaremos la respuesta.
Por Carlos Fernández de Lara carlos@netmedia.info
¿Ciberguerra, Cibermilicias y Anonymous? Porque Orwell se equivocó y los desafíos que la sociedad de Internet debe enfrentar Speaker: Doug DePeppe, gerente de i2IS y fundador del Centro para la Transformación en la Era de la Información. El Web, una tecnología de punta como ninguna otra, ha cambiado el mundo entero. Se trata de cambios sociales, económicos, políticos y globales. Del comercio electrónico a la primavera árabe, Internet está permitiendo un enorme intercambio de información y experiencias alrededor del orbe. Sin embargo, junto con los grandes avances que ha permitido, la red es también la introducción de una nueva era de riesgo. En la era del acceso universal, ha llegado una nueva amenaza asimétrica al orden. El objetivo de esta conferencia será explorar los contornos de los cambios que se han comenzado a gestar y las posibilidades y enfoques que como responsables de seguridad IT podemos tomar para restablecer el equilibrio de ésta, la nueva era del hombre.
Cloud Security: una Estrategia para la Gestión de Riesgos Speaker: Subra Kumaraswamy, Chief Security Architect de eBay “Servicios en la nube”, actualmente es la frase más candente para los negocios. Las empresas se están apresurando a adoptar diferentes servicios de nube debido a los bajos requerimientos de adopción, los ahorros en costos, la mejora en los tiempos de comercialización y la elasticidad en su demanda. Sin embargo, los servicios públicos y privados de Cloud están afectando los modelos y mecanismos de seguridad IT, basados en enfoques perimetrales, centralizados y con zonas de confianza. Más aún, con diversos aromas de Cloud (SaaS, PaaS, IaaS, Hadoop) y modelos de implementación (público, privado e híbrido) las empresas pueden enfrentar niveles de riesgos poco aceptables y medibles. En esta charla se discutirán las “lagunas de seguridad” en el Cloud Computing, el escenario de la ciberseguridad, la protección de datos y las estrategia de gestión del riesgo necesarias para mover aplicaciones, datos y servicios a la nube.
12 B:SECURE
Marzo, 2012
GUE
El poder de los usuarios privilegiados, cómo gestionar, controlar su actividad y cumplir con las exigencias regulatorias Speaker: Ernesto Pérez, solution Strategist Security & Compliance de CA En la mayoría de las organizaciones sistemas como root, dbAdmin, hypervisor, cuentas de administración y soporte de las plataformas de IT no son controladas, monitoreadas y auditadas apropiadamente. Dado su nivel de permisos y poder este descontrol podría provocar —intencional o no— una falla o fuga de información sensitiva. Al mismo tiempo, al no existir trazabilidad, segregación de funciones ni reporteo de sus acciones es imposible apegarse a lo que las mejores prácticas y regulaciones dictan. La conferencia busca dar una visión de cómo resolver este tema al combinar soluciones IT con políticas y procesos.
La guerra de la movilidad y seguridad en dos frentes: Acceso y Data Center Speaker: Ricardo Argüello, director Regional de Enterasys Networks para México, Centro América y Región Andina La movilidad de los usuarios, la proliferación de escritorios virtuales y el dinamismo de servidores en ambientes virtuales han generado nuevos retos en las áreas IT alrededor de la visibilidad, control y seguridad de las redes. Las nuevas arquitecturas de red deben ir más allá de la conectividad, pues tienen la tarea de ofrecer conectividad constante, segura y confiable, independientemente del medio de conexión.
La nube como plataforma de Seguridad Speaker: Agustín Robles, director General de Tecno XXI Se abordará la polémica tesis de utilizar la nube como una plataforma para mejorar la seguridad informática. Además, argumentaremos cuáles son los beneficios derivados de plataformas compartidas a través de servicios para organizaciones que no son expertas.
Siempre un paso adelante de las amenazas de IT Speaker: Marcos Nehme, gerente de América Latina y Caribe de preventa de RSA No existe empresa en el mundo que esté exenta a las amenazas cibernéticas. Sin importar si se trata de un DDoS a manos de grupos hacktivistas, un intento de ciberespionaje o un ataque dirigido (APT), todos —sean compañías privadas órganos policiales, judiciales o desarrolladores de software— son posibles blancos del cibercrimen. Colóquese un paso delante de ellos y conozca, de manos de RSA (la División de Seguridad de EMC), la forma para crear una sólida estrategia para la identificación y mitigación de riesgos latentes en todas las industrias. No sólo asegure su negocio, acelérelo.
Profecía del 2012: ¿Se acabará el mundo por culpa de la explosión de información o por la movilidad? Speaker: Rafael García, director de Mercadotecnia de Symantec México Hoy la movilidad nos permite ser más productivos y rápidos, pero su uso exponencial está generando un aumento en la producción de datos que deben ser constantemente monitoreados, administrados y protegidos ¿Podría poner esto en riesgo a su negocio? ¿Es el Mobile Device Management un reto para los CIO? ¿El crecimiento de la información es un tema simple de resolver?
Los ataques de DDoS y la mentalidad de la avestruz Speaker: Carlos Ayala Rocha, consulting Engineer de Arbor Networks
Viaje a las nubes, pero asegure la realidad Speaker: Roque Juárez, IBM Security & Risk Management Advisor Conozca los elementos mínimos de seguridad en infraestructura y de la información que su organización debe considerar en el diseño, operación y control de un esquema de cómputo en la nube.
Hace dos años los principales motivadores detrás de los DDoS eran financieros. Sin embargo, los medios sociales y la expansión de Internet han generado una democratización sobre ellos, la cual ha sido aprovecha por grupos hacktivistas en el Web. Hoy, cualquier negocio que opere en línea puede convertirse en blanco potencial de esta masificación de la Denegación de Servicios. Pregúntese: ¿Cómo se vería afectado su negocio, sus relaciones con clientes, su imagen y reputación si sus servicios Web un día simplemente no estuvieran disponibles? En este conferencia abordaremos la respuesta y solución a está incertidumbre.
El CIO me preguntó: “y después del ataque, ¿qué aprendimos?” Speaker: Francisco Villegas, director de la unidad de negocios de seguridad redIT-PROTGT El objetivo de la conferencia es presentar a la audiencia la preparación, diagnóstico respuesta y recuperación ante un ciberataque. Además, se buscará explicar el proceso de respuesta sobre la atención de incidentes alrededor de un caso práctico de un ataque.
Marzo, 2012 B:SECURE
13
¿MIEDO A LA TORMENTA? LA FALTA DE ENTEDIMIENTO, LA PREMURA POR SER PARTE DE LA MODA Y LA CIBERSEGURIDAD SON EL TALÓN DE AQUILES DE TODO PROYECTO DE CLOUD COMPUTING, ¿DÓNDE RADICA EL PROBLEMA? Por Carlos Fernández de Lara carlos@netmedia.info
A
unque el Cloud Computing es definido como el futuro de los servicios IT y de los negocios del siglo XXI, hoy 60% de los CIO alrededor del mundo aún ponen en duda el uso o implementación de proyectos de este tipo. Es claro que para muchos expertos, el cómputo en la nube será el catalizador de los negocios del siglo XXI. Para los más soñadores es el modelo de computación que hará realidad aquellas visiones plasmadas en películas o libros de ciencia ficción, donde los datos, servicios y aplicaciones digitales están disponibles y accesibles desde cualquier lugar y a través de cualquier dispositivo, pantalla o ser humano. Incluso, si se le preguntara a usted qué opina o ha oído del Cloud Computing, seguro alguna de las siguientes aseveraciones se le vendrían a la mente: es el nuevo paradigma de IT, será el modelo de cómputo para los próximos 30 años, es tan revolucionario como lo fue la interfaz gráfica de las computadoras en su momento. Sin embargo, un estudio reciente de la firma de seguridad Symantec, entre más de 150 empresas mexicanas y más de 5,300 a nivel global, demostró que para 85% de los CIO y CSO encuestados la seguridad es el principal impedimento para migrar a la nube. Para Alejandro Loza, gerente de Ingeniería de Symantec México, los resultados son reflejo de tres factores centrales: la inexperiencia de los departamento IT sobre estos nuevos ambientes, las malas experiencias de otras compañías y la desconfianza sobre algunos proveedores de servicios en la nube. Las palabras de Loza encuentran respaldo en la encuesta de la firma, en la que casi 60% de los entrevistados temen que al moverse a la nube enfrenten problemas como fuga de datos o códigos malicio-
14 B:SECURE
Marzo, 2012
sos. Además reveló que cinco de cada 10 colocan los ciberataques y la falta de control sobre los acuerdos de servicios de los proveedores (SLA) como factores de riesgo en ambientes de Cloud. FALTAN CLASES DE NUBES
El análisis del miedo a la nube deja ver algo mucho más crítico que los miedos y temores de los CIO: la falta de entendimiento y capacitación de los modelos de Cloud Computing. Por ejemplo, en América Latina las organizaciones señalaron que sólo entre el 20 y el 25% de su personal tiene experiencia relacionada con temas de cómputo en la nube. En el caso de México, la situación no es muy distinta, pues alrededor de 30% de los profesionales IT tienen experiencia en la nube, mientras que 60% carecen o cuentan con poca preparación para administrar iniciativas de Cloud. No es sorpresa que ante tales resultados exista una falta de proyectos alrededor del tema. Según la encuesta de Symantec menos de 20% de las empresas en todo el mundo y por abajo de 25% en América Latina han completado la implementación de un proyecto de Cloud. “Es importante que las empresas hagan una evaluación muy puntual de los proveedores de servicios y de su interés por subirse al fenómeno del Cloud Computing”, dijo Loza. En otras palabras, no ejecutes proyectos de cómputo en la nube si no sabes si realmente los necesitas o, de lo contrario, existirá un alta posibilidad de que el resultado no alcance las expectativas esperadas. “Casi siete de cada 10 departamentos IT están investigando alrededor del tema y ya hay varios proyectos en marcha. El proble-
La consultora IT recomienda que al momento de seleccionar al proveedor de servicios de Cloud es vital buscar a uno que cuente con una infraestructura de alto desempeño, un sistema de seguridad de misión crítica de punta a punta, políticas y procesos de protección de datos y la posibilidad de negociar los SLA de acuerdo a las necesidades del cliente. “Las empresas proveedoras de servicios de Cloud están obligadas a ofrecer seguridad a los usuarios en todos los procesos y, debido al carácter cosmopolita de la red, deben estar preparadas para cumplir con el marco legislativo que regule la protección de datos en cualquier parte del mundo”, cita el análisis de Unisys. El compromiso del proveedor también debe contemplar las aristas de la educación, entrenamiento y capacitación de aquellos que estarán en contacto o utilizarán los servicios de Cloud porque al final del día, al igual que en las infraestructuras IT perimetrales, en las nubes, los errores de capa 8 (el usuario) también tienen consecuencias críticas. O
ma es que no estamos teniendo los resultados esperados porque no se hicieron análisis previos sobre la operación de la organización”, explicó el experto. Alejandro Loza señaló que no todos los proyectos de Cloud deben estar impulsados por un tema de costos. En algunos casos, lo que este modelo de cómputo puede traer es mayor agilidad, liberación de las cargas de trabajo o flexibilidad en la entrega de nuevos servicios. PIENSO, LUEGO MIGRO
Más que riesgos, el Cloud Computing conlleva retos y la gran mayoría de ellos giran alrededor del entendimiento de los modelos de nubes. Un análisis de Unisys subraya que los CIO y CSO deben entender que la seguridad de su información, aplicaciones e infraestructura dependen de los perfiles que se le asignen. Es decir, son ellos los que tendrán que definir el grado de sensibilidad de los datos y sus aplicativos y, con base en eso, podrán determinar qué tipo de nube necesitan.
Los Negocios y la Nube
¿Están preparados los departamentos de TI para los desafíos? 58% 58%
Informante Interno
Los mayores miedos
Fuga de Datos
56% Malware
53% Robo D Datos t de Hacker
79% Licenciamiento de Software
77%
53%
80% Cumplimiento
Infraestructura
Pérdida de Datos para Caso
85% Seguridad
Los mayores desafíos
Entrada a la
Nube
Debe estar así de preparado para entrar
Personal de TI
Vacío de expectativa
20-30% del personal de TI tiene experiencia en la nube 50% - 58% del personal de TI tiene alguna o poca preparación para administrar iniciativas de cómputo en la nube
La diferencia entre los objetivos esperados y los alcanzados fue de 34%
Salida de la Vacío entre los beneficios esperados y los reales Mayor agilidad Mayor preparación Menores de TI para RD gastos operativos
Seguridad Mayor desafío
Seguridad
Principal objetivo
33%
32%
37%
Mayor eficacia de TI
Mayor seguridad
27%
¿Cómo va la implementación?
17-24% ha implementado 41-44% se encuentra en pruebas /implementando Infografía cortesía de Symantec
40%
Nube
No, gracias No
13-20% discutiendo o en planeación 17-22% no lo considera Fuente: Symantec, Estado de la Nube 2011. Encuesta realizada a 5,300 empresas de todo el mundo 150 de ellas en México
Marzo, 2012 B:SECURE
15
VIRTUALIZACIÓN:
EL PASADO, PRESENTE Y FUTURO DEL CLOUD PARA CONOCER EL FUTURO HAY QUE ESTUDIAR LA HISTORIA Y EN IT LA REALIDAD NO ES DIFERENTE. LOS INICIOS DEL CLOUD SECURITY ESTÁN EN LA VIRTUALIZACIÓN Por Ángel Álvarez
L
a seguridad, privacidad y resguardo de los datos más críticos del negocio son los principales estigmas en la implementación de proyectos de Cloud Computing. Sin embargo, es imposible querer asegurar un ambiente en las nubes si la infraestructura que le da soporte carece de control alguno. En el caso del cómputo en la nube el componente central a proteger son los ambientes virtualizados, pues son estos los que actúan como el soporte de este modelo. Por su naturaleza, la virtualización permite consolidar servidores y hacer más con menos hardware. De la misma manera soporta más usuarios por cada unidad de hardware, entrega más aplicaciones y las corre más rápidamente. Maximizar el desempeño y utilización del hardware al menor costo y espacio posible, es lo que da vida a las posibilidades de flexibilidad, elasticidad y agilidad del Cloud Computing. “La virtualización no es el futuro de la nube, es el presente”, dijo a b:Secure, Zev Woloski, director de operaciones de VMware México. “Permite a las compañías regular costos y tener una infraestructura propia, mayor seguridad y agilidad de negocio, entre otras ventajas”, agregó Woloski. Aunque los sistemas virtualizados vuelven más complicada esta gestión de riesgo, los expertos recomiendan tener prácticas sensatas en cuanto a la seguridad. Para llevar a cabo el proceso de una virtualización segura es necesario seguir un plan bien definido en el que se establezcan expectativas realistas y un seguimiento de resultados con el fin de identificar las maneras de mejorar la eficiencia del proyecto. Además, es necesario lanzar las ideas de virtualización y de la nube como iniciativas del mismo departamento IT, completas e integrales en lugar de hacerlas de forma aislada. Antes de migrar a la nube, ya sea híbrida o privada, se recomienda que el encargado de IT se asegure de aprovechar toda la infraestructura existente para convertir los servidores estáticos, el almacenamiento y la conexión de red en una fuente de recursos. Una vez que ya se llevó a cabo la virtualización, es necesario proteger los activos virtuales así como responder a las amenazas y otros incidentes.
16 B:SECURE
Marzo, 2012
De acuerdo con Michael A. Davis, CEO de Savid Technologies, firma de consultoría y seguridad IT, existen cuatro pasos que todo proceso de virtualización debe seguir para tener mayor protección. El primero es asegurar las capas con las que están constituidos los ambientes virtualizados, mediante el establecimiento de controles de seguridad dentro de la arquitectura virtual. Como segundo paso se debe definir y documentar, es decir, para poder establecer controles de seguridad es necesario contar con toda la información del ambiente virtual de la compañía. Es importante comprender el flujo del tráfico a través de la infraestructura. Dependiendo del tipo de archivos se verá si se necesitan tomar medidas extra para asegurar los servidores virtuales que almacenan datos críticos del negocio. El tercero es controlar el acceso de funciones de seguridad en ambientes virtualizados. La entrada de los administradores de sistemas y el que estén autorizados para desempeñar funciones específicas tienen que estar lo más descrito posible. Las contraseñas son otra función crítica de la seguridad porque permiten monitorear y rastrear todas las actividades que tienen lugar dentro del ambiente virtualizado. Como último paso se debe asegurar la red virtual. Es necesario aprovechar las características de seguridad de los switches virtuales. Sin embargo, el switch virtual que se haya instalado puede carecer de las características de seguridad y de monitoreo avanzadas que poseen los físicos. De ser así, es necesario examinar si se requiere uno virtual de terceros. Si no es posible implementar todos estos pasos desde el inicio, es conveniente centrarse en el control de los accesos y la separación de responsabilidades. La mayoría de las organizaciones manejan un estándar de procedimientos y herramientas utilizados únicamente para controlar los accesos a los sistemas físicos y éstos, de igual manera, se pueden aplicar directamente a los ambientes virtuales. Como en cualquier otro proyecto de seguridad IT, las políticas de acceso, el uso de sistemas y el sentido cómun serán sus mejores salvavidas. O
NUBES PRIVADAS: ¿MODELO DE LOS DESCONFIADOS?
EL CLOUD PRIVADO ES LA ELECCIÓN DE LA MAYORÍA DE LOS EXPERTOS EN SISTEMAS DEBIDO A QUE OFRECE LOS MISMOS BENEFICIOS QUE EL PÚBLICO PERO CON MAYORES CONTROLES DE SEGURIDAD Y ACCESO
D
Por Sergio López
urante los últimos dos años el cómputo en la nube se convirtió en la principal tendencia tecnológica entre expertos y proveedores IT. En gran parte, debido a los supuestos beneficios que ofrece a las organizaciones que optan por su implementación: ahorros en costos de gestión, almacenamiento y mantenimiento de la infraestructura empresarial. El crecimiento del Cloud Computing responde a una tendencia que, con el paso del tiempo, se volvió realidad. Un análisis de Unisys Corporation reveló que el cómputo en la nube será la principal prioridad de los ejecutivos América Latina para 2012. Sin embargo, y pese a la buenas promesas que ha tenido el cómputo en la nube, su adopción aún genera dudas entre ejecutivos y tomadores de decisiones quienes indican que la seguridad de su información y aplicaciones es su principal obstáculo al momento de considerar el salto. El análisis IT Risk/Reward Barometer realizado por ISACA en 2010 señaló que 59% de los ejecutivos de la región considera que los riesgos aún son muy grandes con respecto a los beneficios que ofrece el Cloud.
CÓMO ENFRENTAR LA DESCONFIANZA
Con la finalidad de revertir estas cifras existen opciones en el mercado, como la nube privada, que ofrecen las mismas ventajas de flexibilidad y costos que el Cloud público pero en las que el control reside directamente en el departamento IT de la organización. Los proveedores de esta tecnología aseguran que la nube privada es la solución ideal para aquellas compañías que desean aprovechar las ventajas de esta tecnología pero que aún desconfían de su seguridad. En tanto, expertos señalan que contar con servicios de nube privada significa una ventaja con respecto a la nube pública debido a que permite a las empresas establecer sus propios controles de gobernabilidad de datos. Así los ejecutivos y responsables de las compañías pueden elegir cuál es la información sensible de la organización a subir y escoger quién tiene acceso a la misma y qué puede hacer con esta
(copiar, modificar, borrar), es decir, control integral sobre toda la infraestructura. QUÉ TAN SEGURO ES LO SEGURO
Pero pese a las garantías que esta tecnología ofrece, su implementación no deja de ser un riesgo para las empresas ya que la pérdida de datos no le es ajena. Una encuesta realizada por la firma de recuperación de datos, Kroll Ontrack, demostró que 53% de los profesionales IT experimentaron hasta cinco episodios de pérdidas de datos en su nube durante 2010 y 2011. La pérdida de información, tanto en ambientes virtuales como en entornos físicos, es en la mayoría de las ocasiones un golpe mortal para las empresas. La interrupción en la actividad de las organizaciones significa una pérdida en la productividad, además de un daño a la imagen corporativa y una disminución en la confianza de los clientes. De acuerdo con Kroll Ontrack, las razones más comunes de la pérdida de información en la nube son variadas ya que pueden ir desde un error humano hasta la eliminación deliberada de archivos contenidos en el nuevo sistema de almacenamiento. Especialistas aseguran que en los entornos virtualizados y ambientes en la nube, incluso los privados, el principal riesgo para las empresas reside entre sus propios empleados. Según distintas firmas de seguridad, el descuido humano es aún la mayor causa de pérdida de datos sin importar en qué entorno esté almacenada la información, físico o virtual. La preocupación que genera la fuga o robo de archivos está relacionada con los costos económicos que significa. CheckPoint aseguró que en 2011 el costo promedio de una fuga de información fue de $7.2 millones de dólares. Aunque la tecnología y fabricantes de la misma generen nuevas soluciones para reforzar la seguridad y evitar las brechas de datos, es necesario que las empresas tomen conciencia sobre el trato que le dan a su información y aplicaciones, además de vigilar quién tiene acceso a la misma. O
Marzo, 2012 B:SECURE
17
LA ENTREVISTA PAYPAL: DE LOS PAGOS EN LAS NUBES A LOS MERCADOS FINANCIEROS Con más de 103 millones de cuentas activas en 190 países, PayPal busca saltar de su mundo de Cloud al sector financiero y de paso desbancar a gigantes de la industria como Visa y MasterCard con su nuevo sistema de pagos móviles Por Paul Lara
N
UEVA YORK.- PayPal, un puntocom más, tiene en mente ser el ganador del mercado de los sistemas de pago con dispositivos móviles y de paso tomar una rebanada del pastel, que por años han acaparado instituciones financieras y firmas como Vista y MasterCard. Para ello tiene un ambicioso plan que busca que tanto los clientes como los proveedores estén siempre conectados, sin problemas de seguridad. La idea de la compañía estadounidense es que con una cuenta PayPal y una aplicación descargable a un teléfono inteligente se pueda pagar a través del sistema Near Field Communication (NFC). Dentro de esa cuenta electrónica, que funciona en el celular, se puede seleccionar de dónde sacamos el dinero para pagar un financiamiento u ahorro bancario, una tarjeta de crédito, la propia cuenta de PayPal o de las tres juntas, por si hace falta completar. Además, se puede elegir el monto de cada una de ellas y el pago, e incluso existirá la posibilidad de aprovechar servicios promocionales como intereses fijos o congelados, dependiendo la compañía o minorista que ofrezca el producto deseado. Estos son algunos de los planes que la firma de pagos por Internet más grande del mundo tiene para 2012, dijo Renier Lemmens vicepresidente de PayPal en Europa. En entrevista para b:Secure, Lemmens aseguró que la generalización de los teléfonos inteligentes en mercados como el estadounidense o el europeo hacen más fácil el trabajo para la compañía. 18
B:SECURE Marzo, 2012
Lamentable, es en este punto donde responde que para México aún no hay planes para llevar la tecnología de pago de PayPal en los siguientes meses. “Antes del verano, y sólo en los cinco principales países de la Unión Europea (Francia, Alemania, Italia, España y Reino Unido) había más de 91 millones de usuarios de smartphones, 46% más que el año anterior. Y las cifras siguen aumentando. Estamos bien situados para ofrecer cualquier alternativa de pago”, agregó. Visión con la que concordó el vicepresidente de PayPal para móviles, David Marcus, quien comentó que están incluso preparados para atraer a aquellos usuarios que no poseen un dispositivo móvil avanzado ni tienen una tarjeta bancaria para poder pagar la cuenta de PayPal. “Llegará en los próximos meses a varios países y tendrá el mismo formato que una tarjeta de débito común: llevará un microchip y requerirá de un número secreto”, explicó.
CALENTANDO EL NEGOCIO La compañía, propiedad de eBay, busca cerrar acuerdos con todo tipo de vendedores, grandes y pequeños, para extender su abanico de formas de pago. Según John Lunn, director de Innovación para Europa, PayPal cuenta con programas pilotos en algunas empresas del viejo continente, como las salas de cine Pathé en Holanda y otros, como la cadena de comida Pizza Express en Reino Unido.
“Para adaptar el sistema de pago a las terminales de tarjetas que ya poseen los comercios sólo es necesaria una actualización de software”, explicó Lunn. Los planes, según este ejecutivo, son que PayPal sea un serio competidor para sistemas de pago como las tarjetas tradicionales (Visa, MasterCard, etcétera) fuera y dentro de Internet, e incluso podría suponer una amenaza para los propios sistemas de cobro de las grandes cadenas de distribución. “No partimos de cero: tenemos más de 103 millones de cuentas activas en 190 países —de hecho, presume de ser el mayor banco europeo por número de clientes— y sólo en el tercer trimestre de este año realizamos pagos por $29,300 millones de dólares, 31% más que el pasado año”, explicó. El “secreto”, según Lunn, reside en la combinación de dos factores clave: la seguridad en las transacciones —debido a que los datos de los clientes no llegan al vendedor, sólo el dinero— y la versatilidad del sistema, ya que para los comerciantes es relativamente fácil asociarse con PayPal. “Cobramos comisiones por transacción inferiores a las que cobran otros servicios de pago”, comentó el portavoz de la compañía.
Un ejemplo más puede está en el supermercado. Uno puede realizar la lista de la compra en la aplicación, y ésta podrá informar qué productos cuentan con ofertas especiales, además de comparar con otros. También existe la posibilidad de pagar directamente la compra, de modo que sólo habría que escanearlos para hacerla. Con eso se evitaría uno las filas en la tienda. Vale señalar que en todos los casos se puede cambiar el modo de pago a través de la cuenta, así como las condiciones (al contado o en tres meses sin intereses) una vez comprado el producto y en un plazo que puede variar entre tres días y un mes, dependiendo del acuerdo que tenga el vendedor con PayPal.
“NO PARTIMOS DE CERO: TENEMOS MÁS DE 103 MILLONES DE CUENTAS EN 190 PAÍSES Y DURANTE Q3 DE 2011 REALIZAMOS PAGOS POR $29,300 MILLONES DE DÓLARES” DAVID MARCUS, VICEPRESIDENTE DE PAYPAL PARA MÓVILES EL RETO QUE NO DUERME: EL CIBERCRIMEN
¿CÓMO FUNCIONA? Según los directivos de la compañía, hay cinco posibilidades o situaciones de la cotidianeidad, en las que se puede explicar cómo funcionará su nuevo proyecto de pago electrónico en dispositivos móviles. En la primera, usted se encuentra viendo la televisión y de pronto aparece un anuncio de un producto que se quiere adquirir. La aplicación PayPal en su dispositivo indica dónde se puede comprar, tanto en Internet como en las tiendas más cercanas, y dónde están las mejores ofertas. Se realiza el pago a través de la aplicación —se puede elegir entre abonar en efectivo o en tres meses sin intereses—, y días más tarde llega a casa. En otra situación, un cliente pasa por delante de su cafetería favorita. La aplicación de PayPal avisa: hay un descuento para tomar un café ahora. En ese momento se puede encargar y pagar con crédito o dinero ahorrado en la cuenta, y sólo habría que ir recoger la bebida. El sistema da varias opciones para abonarlo, siempre que el local dé soporte: puede pagarse mediante el móvil con la tecnología NFC o mediante la tarjeta PayPal. Incluso si no tiene el móvil a mano, se puede introducir el número de teléfono y el PIN de la cuenta en un datáfono, cuyo software puede ser actualizado por PayPal para soportar esta nueva forma de pago. Una tercera opción es que cuando se quiera comprar un producto, se necesita saber si hay ofertas asociadas. Mediante la aplicación de PayPal se busca el nombre de la mercancía y como parte de una lista, cuando el sistema detecta una oferta, nos avisa. Si se quiere ir a la tienda para comprobar que el producto tiene descuento, se escanea con el móvil el código QR. Si lo que se desea es pagar directamente desde la aplicación también es posible.
En las últimas semanas, compañías de seguridad han detectado el envío de una nueva ola de ataques informáticos que utilizan la imagen de PayPal para intentar engañar a los usuarios, tema que aseguran los ejecutivos no afecta sus planes para hacerse de una buena rebanada del pastel de los pagos móviles. Los ciberdelicuentes han enviado correos en lo que se hacen pasar por personal de la compañía para solicitar a los usuarios que remitan varios datos personales para resolver una incidencia con su cuenta. Según Renier Lemmens, vicepresidente de PayPal en Europa, puede que estos sistemas de phishing sean ciertos, pues dijo desconocerlos, aunque indica que los pagos con Paypal son casi inviolables. En el phishing con el sello de PayPal, los cibercriminales envían un correo los usuarios en el que aseguran que se ha añadido una nueva dirección a su perfil para utilizar su cuenta y que deben confirmar que aceptan su uso. Los ciberdelincuentes hacen que los usuarios piensen que sus cuentas están en peligro y sigan sus instrucciones para evitar que así sea. Para ello, piden que abran un archivo adjunto, rellenen varios campos con datos personales y los remitan a una dirección de control. Los responsables del phishing consiguen recopilar datos de usuarios mediante los formularios e infectar sus equipos con malware. Los archivos adjuntos suelen contener distintos programas maliciosos que se instalan en los ordenadores cuando los usuarios abren los documentos sin darse cuenta. “Ya hemos alertado a los usuarios a través de la página Web”, agrega Lemmens, quien reconoce que para meter presión a los usuarios, los ciberdelincuentes se suelen valer de amenazas de cierre de cuentas o de fallos de seguridad ficticios, pero eso es falso. O Marzo, 2012 B:SECURE
19
for
BUSINESS PEOPLE
LOS ACUERDOS DE NIVELES DE SERVICIO:
“LA COLUMNA VERTEBRAL EN Por AdriĂĄn Palma
L
os acuerdos de niveles de servicio (SLA, por sus siglas en inglĂŠs) son un factor crĂtico de ĂŠxito para la contrataciĂłn de servicios proporcionados por un tercero, por lo tanto lo son para cualquier servicio que tenga que ver con Cloud Computing. Un SLA se define de la siguiente manera: “Es un documento que contractualmente contiene las clĂĄusulas obligatorias que documentan el funcionamiento estĂĄndar y el acuerdo de calidad de servicio por el cliente y por el proveedor de serviciosâ€?. El propĂłsito primario de los SLA es especificar y clarificar las expectativas del funcionamiento, establecer la responsabilidad y detallar los remedios y consecuencias si el funcionamiento o la calidad del servicio de los estĂĄndares no son los acordados por contrato. Recomiendo que los clientes que procesen tanto datos sensitivos como crĂticos revisen detalladamente dichos SLA porque lo mĂĄs seguro es que no estarĂĄn cumpliendo todos sus requerimientos y expectativas de seguridad. De modo que un primer paso antes de ir a la nube es determinar cuĂĄn sensitivos y crĂticos son sus datos, aplicaciones e infraestructura tecnolĂłgica. Por ejemplo, las nubes pĂşblicas a menudo ofrecen SLA no negociables que pueden ser en la mayorĂa de los casos no aceptables para quienes poseen aplicaciones o datos sensibles o piensan manejar secretos industriales. De igual forma, es de vital importancia que tanto los SLA como los OLS (Services Level Objectives) funcionen estĂŠn actualizados sean monitoreados y realmente medibles. Para ello se recomienda contar con un proceso de Service Level Management (SLM) el cual se basarĂĄ en la forma de reunir y administrar la informaciĂłn de performance en la nube.
FACTORES A CONSIDERAR EN LOS SLA UĂŠ ÂœĂƒĂŠÂœLÂ?iĂŒÂˆĂ›ÂœĂƒĂŠ`iÂ?ĂŠÂ˜i}ÂœVˆœ\ una organizaciĂłn debe definir porquĂŠ utilizarĂĄ los servicios de la nube antes de definir exactamente quĂŠ servicios utilizarĂĄ. Esta parte estĂĄ mĂĄs relacionada con cuestiones del negocio que del
El ABC del SLA de las nubes Los siguientes son los puntos bĂĄsicos que todo acuerdo de Servicio de Cloud Computing debe contener. s ,A LISTA DE SERVICIOS QUE PROPORCIONA EL PROVEEDOR Y UNA DEFINICIĂ˜N COMPLETA DE CADA SERVICIO s ,AS MĂ?TRICAS PARA DETERMINAR SI EL PROVEEDOR ESTĂˆ SUMINISTRANDO LOS SERVICIOS TAL COMO LO PROMETIĂ˜ Y UN MECANISMO DE AUDITORĂ“A PARA MONITOREAR EL SERVICIO s ,AS RESPONSABILIDADES DEL PROVEEDOR Y EL CONSUMIDOR Y LOS RECURSOS DISPONIBLES PARA AMBOS SI LOS TĂ?RMINOS DE LOS 3,! NO SE CUMPLEN s 5NA DESCRIPCIĂ˜N DE CĂ˜MO LOS 3,! SE MODIFICARĂˆN A TRAVĂ?S DEL TIEMPO
20 B:SECURE
Marzo, 2012
ĂĄrea tĂŠcnica: algunas funciones podrĂan tener recortes de presupuesto o perder el control de su infraestructura por la contrataciĂłn de los servicios de la nube. UĂŠ >ĂƒĂŠĂ€iĂƒÂŤÂœÂ˜Ăƒ>LˆÂ?ˆ`>`iĂƒĂŠ`iĂŠ>“L>ĂƒĂŠÂŤ>Ă€ĂŒiĂƒ\ es importante definir el balance de las responsabilidades entre el proveedor y el cliente. Por ejemplo, el proveedor serĂĄ responsable por los aspectos de Software-as-a-Service (Software como Servicio), pero el consumidor puede generalmente ser responsable por sus VM, las cuales contienen software registrado y trabajan con datos sensitivos. UĂŠ ÂœÂ˜ĂŒÂˆÂ˜Ă•Âˆ`>`ĂŠ`iÂ?ĂŠ i}ÂœVÂˆÂœĂ‰,iVĂ•ÂŤiĂ€>VˆÂ?Â˜ĂŠ`iĂŠ iĂƒ>ĂƒĂŒĂ€iĂƒ\ el cliente asegura que el proveedor tiene una protecciĂłn contra desastres adecuada. Dos ejemplos me vienen a la mente: el almacenamiento de datos valiosos en la nube como backup y cloud bursting (es cuando los centros de datos internos no pueden encargarse del procesamiento de las cargas). UĂŠ ,i`Ă•Â˜`>˜Vˆ>\ĂŠevaluar que tan redundante es la infraestructura del proveedor. UĂŠ >Â˜ĂŒi˜ˆ“ˆiÂ˜ĂŒÂœ\ uno de los aspectos mĂĄs agradables del uso de la nube es que el proveedor es responsable del mantenimiento de la infraestructura. Pero los consumidores deberĂan estar preocupados porque: UĂŠ ÂżLos servicios no estarĂĄn disponibles durante este tiempo? UĂŠ ÂżEstarĂĄn disponibles los servicios pero el performance serĂĄ mucho menor? UĂŠ ÂżEl cliente tendrĂĄ la oportunidad de comparar sus aplicaciones con el servicio actualizado? UĂŠ 1LˆV>VˆÂ?Â˜ĂŠ`iĂŠÂ?ÂœĂƒĂŠ`>ĂŒÂœĂƒ\ĂŠexisten regulaciones con ciertos tipos de datos que sĂłlo pueden almacenarse en ubicaciones fĂsicas determinadas. Los proveedores pueden responder a esos requisitos con la garantĂa de que los datos del cliente serĂĄn almacenados solamente en ciertas ubicaciones y con la posibilidad de ser auditados. UĂŠ “L>Ă€}ÂœĂŠ`iĂŠ`>ĂŒÂœĂƒ\ĂŠsi por cumplimiento de la ley se embarga el equipo de un proveedor para capturar los datos y las aplicaciones que pertenecen a un cliente en particular, dicho embargo probablemente afecte a otros clientes que utilizan el mismo proveedor. Hay que evaluar la posibilidad de que una tercera parte mĂĄs proporcione backup adicional.
LAS 10 QUE TODO SLA DEBE TENER Al evaluar un SLA se deben de tomar en cuenta las siguientes responsabilidades: £°Ê -i}Ă•Ă€Âˆ`>`\ un cliente debe comprender sus requisitos de seguridad y quĂŠ controles son necesarios para cubrir dichos requisitos. Un proveedor debe comprender lo que debe ofrecer al consumidor para permitir los controles correspondientes. Ó°Ê ˜VĂ€ÂˆÂŤVˆÂ?Â˜ĂŠ`iĂŠ`>ĂŒÂœĂƒ\ los datos deben ser encriptados mientras que se encuentren en movimiento y mientras se encuentran en reposo. Los de-
N EL CLOUD COMPUTING” talles de los algoritmos de encripción y las políticas de control de acceso deberían especificarse. 3. Privacidad: las principales preocupaciones relacionadas con la privacidad están relacionadas con los requisitos como la encripción, la conservación y la eliminación de datos. Un SLA debería aclarar cómo el proveedor aísla los datos y las aplicaciones en un entorno multi-tenant. 4. Conservación y eliminación de datos: ¿cómo comprueba su proveedor que cumple con las leyes para la retención y las políticas de eliminación de datos? 5. Borrado y destrucción de hardware: ídem #4. 6. Cumplimiento regulatorio: si las regulaciones deben implementarse según el tipo de datos, el proveedor debe ser capaz de probar que cumple con las mismas. 7. Transparencia: en el caso de datos y aplicaciones críticas, los proveedores deben notificar por adelantado a los clientes cuando no se respetan los términos del SLA. Esto incluye las cuestiones de infraestructura, como las interrupciones y los problemas de performance, además de los incidentes relativos a la seguridad. 8. Definiciones de performance: ¿qué significa uptime? ¿Todos los servidores en todos los continentes están disponibles? ¿O sólo uno está disponible? Vale la pena aclarar estas definiciones. (Se sugiere estandarizar la terminología del performance para que esto resulte más sencillo.) 9. Monitoreo: por cuestiones de posibles incumplimientos, quizá desee determinar una organización que actué como un tercero que se haga cargo de un monitoreo neutral y que tenga el objetivo de medir el performance del proveedor. 10. Métricas: estas son algunas de las cosas tangibles que pueden monitorearse cuando suceden para realizar la auditoría después. Las métricas de un SLA deben definirse objetivamente y con claridad. A continuación encontrará una lista de las métricas comunes.
}Õ >ÃÊ À >ÃÊvÕ `> i Ì> iÃÊà LÀiÊ >ÊÀië Ã>L `>`Ê`i Ê«À Ûii` À\ UÊ >ÊÀi} >Ê`iÊ ÃÊ ÕiÛið Una métrica común relacionada con la responsabilidad es la cantidad de nueves que ofrece un proveedor (por ejemplo, si el servicio está disponible el 99.99999 % del tiempo, cinco nueves, entonces las interrupciones totales del sistema son de unos 5 minutos cada £ÓÊ iÃiî°Ê Ê«À L i >ÊiÃ\Ê·+ÕjÊiÃÊÕ >Ê ÌiÀÀÕ«V ¶Ê
UÊ ,i ` i Ì \ÊÛi V `>`Ê`iÊÀiëÕiÃÌ>Ê`i Êà ÃÌi >°Ê UÊ v >L `>`\Ê` ë L `>`Ê`i Êà ÃÌi >°Ê UÊ > > Vi Ê`iÊ >ÊV>À}>\ÊVÕ> ` ÊV ÌÀ LÕÞiÊ >Êi >ÃÌ V `>`°Ê UÊ ÕÀ>L `>`\Ê«À L>L `>`Ê`iÊ«iÀ`iÀÊ ÃÊ`>Ì Ã°Ê UÊ >ÃÌ V `>`\ÊVÕ? Ì Ê«Õi`iÊVÀiViÀÊÕ ÊÀiVÕÀà °Ê UÊ i> `>`\Ê«iÀv À > ViÊ`i Êà ÃÌi >Ê>Ê i` `>ʵÕiÊ>Õ i Ì>Ê >ÊV>À}>°Ê UÊ } `>`\ÊÀ>« `iâÊ`iÊÀi«ÕiÃÌ>Ê`i Ê«À Ûii` ÀÊ> ÌiÊ >ÃÊÛ>À >V iÃÊ`iÊV>À}>°Ê UÊ ÕÌ >Ì â>V \Ê « ÀVi Ì> iÊ `iÊ Ã V ÌÕ`iÃÊ >` ÃÌÀ>`>ÃÊ Ã Ê ÌiÀÛi ción humana. UÊ / i « ÃÊ`iÊÀiëÕiÃÌ>Ê`i ÊÃiÀÛ V Ê> ÊV i Ìi°Ê
UÊ >ÃÊV>«>ÃÊ`iÊ >ÃÊ ÕLið Muchos ofrecimientos de nube están construidos sobre otros ofrecimientos de nube — esto es muy bueno para la flexibilidad y la potencia— pero cada proveedor adicional hace que el sistema Ãi>Ê i ÃÊV v >L i°Ê Êà ÊÃiÊiÃÌ >À>ÊV>`>ÊÕ Ê>ÊV V Ê ÕiÛiÃ]Êi tonces el sistema en su conjunto es menor a cinco nueves.) UÊ ÃÌ> V >Êi ÌÀiÊÃÕÊ>« V>V ÊÞÊÃÕÃÊ`>Ì Ã°ÊNuevamente, a medida que la cantidad de proveedores aumenta, otros factores que pueden afectar la responsabilidad se afirman. No sólo se encuentra usted afectado cuando uno de los sistemas cae, también se ve afectado cuando cae la red entre ellos. O
ANUAL
MENSUAL
DIARIO (24 HORAS)
99.999%
5.259 min
0.438 min
0.0144 min
99.99%
52.59 min
4.38 min
0.144 min
99.9%
8 hrs 45.6 min
43.8 min
1.44 min
99%
3 días 15 hrs
7 hrs 18 min
14.4 min
Adrián Palma es licenciado en Informática, cuenta con mas de 23 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP, CISA, CISM, CRISC, BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma adrian.palma@integridata.com.mx Marzo, 2012
B:SECURE 21
LALEYYELDESORDEN 2.0 .
UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
¡A ESTUDIAR DERECHO DE LA SEGURIDAD DE LA INFORMACIÓN! LAS LEYES TIENEN QUE EVOLUCIONAR PARA ADAPTARSE A LAS CONDICIONES Y NECESIDADES “DIGITALES” DEL SIGLO XXI
Por Joel A. Gómez Treviño
E
n 2006, el municipio de Westchester, Nueva York, se hizo famoso por aprobar la primera ley en su tipo que ordena a los negocios asegurar sus hotspots. Dicha ley requiere a todos los negocios comerciales que almacenen, usen o mantengan información personal en medios electrónicos, que tomen medidas mínimas de seguridad, tales como instalar un firewall, cambiar el nombre incluido en todos los paquetes de una red inalámbrica (Service Set IDentifier - SSID), o deshabilitar la transmisión SSID. Los que incurran en una violación recibirán una amonestación la primera vez, una multa de $250 dólares la segunda vez y si hay una tercera de $500 dólares. México no es la excepción. Cada vez existen más elementos para avistar el nacimiento de una nueva área del derecho a la que yo he optado por bautizar como “derecho de la seguridad de la información”. Podríamos definir a esta rama de las ciencias jurídicas como: aquella
que busca brindar seguridad y confidencialidad a la información que sea sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fabricación, dato personal, entre otros. En términos generales, los propios abogados suelen visualizar sólo dos o tres áreas en que se debe proteger o resguardar la información: secretos industriales, secreto bancario y datos personales. Sin embargo, son ya muchas las leyes, reglamentos, códigos y acuerdos que obligan a trabajadores, profesionistas, responsables de datos, empresarios, proveedores e instituciones de crédito a proteger la información contenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad. A continuación le presento un amplio catálogo de obligaciones legales en materia de confidencialidad y seguridad de la información:
Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F.
ARTICULO 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas.
Ley de la Propiedad Industrial
Artículo 84.- La persona que guarde un secreto industrial podrá transmitirlo o autorizar su uso a un tercero. El usuario autorizado tendrá la obligación de no divulgar el secreto industrial por ningún medio. Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado. Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona.
Ley Federal de Protección al Consumidor
Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a las relaciones entre proveedores y consumidores en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo siguiente: I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente; II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable. Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos (320,000 salarios mínimos).
Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares
El artículo 2 define los siguientes términos: V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales; VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura; VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
22 B:SECURE Marzo, 2012
c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales: Alcance Atenuación de sanciones Funciones de seguridad Factores para determinar las medidas de seguridad Acciones para la seguridad de los datos personales Actualizaciones de las medidas de seguridad Vulneraciones de seguridad Notificación de vulneraciones de seguridad Información mínima al titular en caso de vulneraciones de seguridad Medidas correctivas en caso de vulneraciones de seguridad Ley Federal del Trabajo
Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón: IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa; Artículo 134.- Son obligaciones de los trabajadores: XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.
Código Penal Federal
Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto. Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial. Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.
Ley de Instituciones de Crédito
Artículo 117.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio. Artículo 46 Bis 1.- Las instituciones de crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el artículo 46 de esta Ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno. Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros.
Ley Federal de Seguridad Privada
Artículo 15. Fracción V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia.
Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal
Artículo 2. Para los efectos del presente Acuerdo, se entenderá por: Ciberseguridad: a la aplicación de un proceso de análisis y gestión de riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información, así como con los sistemas y procesos usados para ello, que permite llegar a una situación de riesgo conocida y controlada;
Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones
1. Definiciones y Términos: Seguridad de la información: La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información. Vulnerabilidad: La debilidad en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC. SGSI: Sistema de Gestión de Seguridad de la Información, parte de un sistema global de gestión que basado en el análisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la información. 5.9.4 Administración de la seguridad de los sistemas informáticos 5.9.4.1 Objetivos del proceso General: Establecer los mecanismos que permitan la administración de la seguridad de la información de la Institución contenida en medios electrónicos y sistemas informáticos. Específicos: Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información de la Institución contenida en medios electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.
Y si a estas leyes y regulaciones agregamos el conjunto de Normas ISO que tratan sobre temas de seguridad informática, la lista de “obligaciones, recomendaciones y requisitos” crece considerablemente: UÊ -"É ÊÓÇäää\Ê Õ `> i Ì ÃÊÞÊÛ V>LÕ >À ° UÊ -"É ÊÓÇää£\Ê À >ʵÕiÊiëiV v V>Ê ÃÊÀiµÕ Ã Ì ÃÊ«>À>Ê >Ê « > Ì>V Ê`i Ê- ÃÌi >Ê`iÊ iÃÌ Ê`iÊ-i}ÕÀ `>`Ê`iÊ >Ê v À >V Ê- - ®°Ê UÊ -"É ÊÓÇääÓ\Ê ` } Ê`iÊLÕi >ÃÊ«À?VÌ V>ÃÊ«>À>Ê >Ê}iÃÌ Ê`iÊ -i}ÕÀ `>`Ê`iÊ >Ê v À >V ° UÊ -"É ÊÓÇääÎ\Ê ÀiVÌÀ ViÃÊ«>À>Ê >Ê « i i Ì>V Ê`iÊÕ Ê- ÃÌi >Ê`iÊ iÃÌ Ê`iÊ-i}ÕÀ `>`Ê`iÊ >Ê v À >V Ê- - ®°
UÊ -"É ÊÓÇää{\Ê jÌÀ V>ÃÊ«>À>Ê >Ê}iÃÌ Ê`iÊ-i}ÕÀ `>`Ê`iÊ >Ê v À >V °Ê UÊ -"É ÊÓÇääx\Ê iÃÌ Ê`iÊÀ iÃ} ÃÊ`iÊ >Ê-i}ÕÀ `>`Ê`iÊ >Ê v À >V ° UÊ -"É ÊÓÇääÈ\Ê,iµÕ Ã Ì ÃÊ«>À>Ê >Ê>VÀi` Ì>V Ê`iÊ >ÃÊ À}> â>V iÃʵÕiÊ«À « ÀV > Ê >ÊViÀÌ v V>V Ê`iÊ ÃÊà ÃÌi >ÃÊ`iÊ}iÃÌ Ê`iÊ >Ê-i}ÕÀ `>`Ê`iÊ >Ê v À >V °Ê - ÊÕÃÌi`ÊiÃÊ }i iÀ Ê ÊiëiV > ÃÌ>Êi Êà ÃÌi >Ã]ÊÌ i iÊ ÕV >ÃÊ iÞiÃʵÕiÊ>«Ài `iÀ°Ê- ÊÕÃÌi`ÊiÃÊ>L }>` ]ÊÌ i iÊ ÕV >ÃÊ À >ÃÊ -"Ê µÕiÊ>«Ài `iÀ°Ê· ÊiÃÊiÃÌiÊi Ê«ÀiÌiÝÌ Ê«iÀviVÌ Ê«>À>ÊVÀi>ÀÊ Êv À > â>ÀÊÕ >Ê >ÌiÀ >Ê ÊÀ> >Ê ÕÀ ` V>ʵÕiÊ iÛiÊ« ÀÊ LÀiÊ“Derecho de la Seguridad de la Información”? O
Joel Gómez (abogado@joelgomez.mx) es abogado especialista en Derecho Informático y Propiedad Intelectual desde 1996. Receptor de dos Reconoci-
mientos AMIPCI en 2011; uno en la categoría de “Personaje con Trayectoria Meritoria” debido a su desempeño profesional y su contribución al crecimiento de la industria del internet en México, y el otro por tener “el Mejor Blog Jurídico” del país. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. Síguelo en Twitter: @JoelGomezMX y @LexInformatica. Marzo, 2012 B:SECURE 23
SEGURO‌ QUE LO QUIERES LA DIF�CIL VITA DE UN GAMER La nueva consola portåtil de Sony, PlayStation Vita, promete regresar a la firma nipona al trono que las tablets y los smartphones le quitaron a su predecesor: PSP. ¿Estås dispuesto a formar parte de esta nueva vida? La industria de los videojuegos es una mina de oro. Basta decir que en 2011, sólo en Estados Unidos, alcanzó un valor por encima de los $65,000 millones de dólares.
LO QUE LE D A
VIDA AL PS VITA
s #05 !2 #ORTEX n ! CORE CORE s 0ANTALLA MULTITĂˆCTIL D E PULGADA s 2EPRODU S X CE MILLON ES DE COLORES / s #ĂˆMARA F ,%$ RONTAL Y CĂˆM ARA POSTERIOR s '03 INTE GRADO 3ERVI CIO DE LOCALI ZACIĂ˜N 7I &I Bluetooth 2 .1 Y
Ahora, Sony planea acaparar parte de esos preciados billetes verdes con el lanzamiento de su nueva consola portĂĄtil en MĂŠxico. Sin embargo, en un mercado altamente competitivo, sĂłlo el tiempo dirĂĄ si el gadget le hace honor a su nombre Vita (vida en latĂn) o si por el contrario lo bautizamos como el PS Mortis.
SEGURO QUE LO QUIERES PORQUE
SEGURO QUE NO LO QUIERES PORQUE
UĂŠ Ă€iĂƒĂŠ}>“iÀÊ`iĂŠÂ…Ă•iĂƒÂœĂŠVÂœÂ?ÂœĂ€>`ÂœĂŠV>ÂŤ>âÊ`iĂŠÂœÂ?Ă›Âˆ`>ÀÊVՓÂ?i>ÂšÂœĂƒ]ĂŠ >Â˜ÂˆĂ›iĂ€Ăƒ>Ă€ÂˆÂœĂƒĂŠ`iĂŠLÂœ`>]ĂŠ>ĂŠĂŒĂ•ĂƒĂŠÂ…ÂˆÂ?ÂœĂƒĂŠiÂ˜ĂŠÂ?>ĂŠiĂƒVĂ•iÂ?>]ĂŠVœ“iĂ€]ĂŠVi˜>ÀÊ Þʅ>ĂƒĂŒ>ĂŠÂˆĂ€ĂŠ>ĂŠĂŒĂ€>L>Â?>ÀÊÂ>ĂŠÂľĂ•ÂˆjÂ˜ĂŠÂ˜ÂœĂŠĂƒiĂŠÂ?iĂŠÂœÂ?Ă›Âˆ`>ĂŠiĂƒĂŒÂœĂŠĂ–Â?ĂŒÂˆÂ“ÂœÂŽĂŠÂŤÂœĂ€ĂŠ Â?ÂœĂƒĂŠĂ›Âˆ`iÂœÂ?Ă•i}ÂœĂƒÂ°ĂŠ
UĂŠ ¡ Ă•}>Ă€ĂŠĂ›Âˆ`iÂœÂ?Ă•i}ÂœĂƒÂśĂŠÂˇ+Ă•ÂˆjÂ˜ĂŠĂŒÂœ`>ۉ>ĂŠĂŒÂˆi˜iĂŠĂŒÂˆiÂ“ÂŤÂœĂŠÂŤ>Ă€>ĂŠiĂƒ>ĂƒĂŠ >VĂŒÂˆĂ›Âˆ`>`iĂƒÂśĂŠ
UĂŠ œ“iĂƒĂŠĂƒÂœÂ?ÂœĂŠĂžĂŠÂŤĂ€ivˆiĂ€iĂƒĂŠ>`iÂ˜ĂŒĂ€>Ă€ĂŒiĂŠiÂ˜ĂŠiÂ?ĂŠÂ“Ă•Â˜`ÂœĂŠ`iĂŠv>Â˜ĂŒ>ĂƒÂ‰>ĂŠ ¾ÕiĂŠÂ?ÂœĂƒĂŠÂ?Ă•i}ÂœĂƒĂŠ`iÂ?ĂŠ*-ĂŠ6ÂˆĂŒ>ĂŠĂŒiĂŠÂŤĂ•i`iÂ˜ĂŠÂœvĂ€iViÀ°Ê ĂƒĂŠiĂƒÂœĂŠÂœĂŠ>˜`>ÀÊ iĂƒVĂ•VÂ…>˜`ÂœĂŠÂ?>ĂŠVÂœÂ˜Ă›iĂ€Ăƒ>VˆÂ?Â˜ĂŠ`iÂ?ĂŠĂ›iVÂˆÂ˜ÂœĂŠ`iĂŠÂ?>ʓiĂƒ>ĂŠ`iĂŠ>ĂŠÂ?>`ϡ UĂŠ iĂŠÂ…>ĂƒĂŠĂƒÂˆ`ÂœĂŠvˆiÂ?ĂŠ>ĂŠ-ÂœÂ˜ĂžĂŠiÂ˜ĂŠiÂ?ĂŠÂ“Ă•Â˜`ÂœĂŠ`iĂŠÂ?>ĂƒĂŠVÂœÂ˜ĂƒÂœÂ?>ĂƒĂŠ`iĂŠ Ă›Âˆ`iÂœÂ?Ă•i}ÂœĂƒÂ°ĂŠ iĂƒ`iĂŠiÂ?ĂŠÂŤĂ€ÂˆÂ“iÀÊ*Â?>Ăž-ĂŒ>ĂŒÂˆÂœÂ˜ĂŠÂ…>ĂƒĂŒ>ĂŠiÂ?ĂŠ*-ĂŽ]ĂŠ*-ĂŠ 6ÂˆĂŒ>ÊÞÊÂ?ÂœĂŠÂľĂ•iĂŠĂ›i˜}>ĂŠ`iĂƒÂŤĂ•jĂƒÂ°ĂŠ ÂœĂŠÂˆÂ“ÂŤÂœĂ€ĂŒ>ĂŠiÂ?ĂŠVÂœĂƒĂŒÂœĂŠÂœĂŠÂ?ÂœĂŠÂ“>Â?ÂœĂŠ ¾ÕiĂŠÂŤĂ•i`>ĂŠÂ?Â?i}>ÀÊ>ĂŠĂƒiÀÊiÂ?ĂŠ>ÂŤ>Ă€>ĂŒÂœÂ° UĂŠ -Ă•ĂŠÂŤ>Â˜ĂŒ>Â?Â?>ĂŠĂƒiÂ˜ĂƒÂˆLÂ?iĂŠ>Â?ĂŠĂŒ>VĂŒÂœĂŠ`iĂŠVˆ˜VÂœĂŠÂŤĂ•Â?}>`>ĂƒĂŠ`iʙ{äĂ?x{{ĂŠ ÂŤÂˆĂ?iÂ?iĂƒĂŠVÂœÂ˜ĂŠĂŒiV˜œÂ?Âœ}‰>ĂŠ" ĂŠĂƒiĂ€?Â˜ĂŠĂŒĂ•ĂŠVÂœÂ“ÂŤ>šiĂ€ÂœĂŠÂŤiĂ€viVĂŒÂœĂŠ ÂŤ>Ă€>ĂŠVĂ•>Â?ÂľĂ•ÂˆiĂ€ĂŠĂ›Âˆ>Â?iʾÕiĂŠÂŤÂˆiÂ˜ĂƒiĂƒĂŠĂ€i>Â?ÂˆĂ˘>À° UĂŠ ĂƒĂŠÂ“?ĂƒĂŠÂľĂ•iĂŠĂ•Â˜>ĂŠVÂœÂ˜ĂƒÂœÂ?>ĂŠ`iĂŠĂ›Âˆ`iÂœÂ?Ă•i}ÂœĂƒ]ĂŠÂŤĂ•iĂƒĂŠVĂ•iÂ˜ĂŒ>ĂŠVÂœÂ˜ĂŠ Ă•Â˜ĂŠÂŽiĂ€Â˜iÂ?ĂŠ`iĂŠ ˜`Ă€ÂœÂˆ`ĂŠĂžĂŠĂ•Â˜ĂŠÂŤĂ€ÂœViĂƒ>`ÂœĂ€ĂŠ , ĂŠ ÂœĂ€ĂŒiĂ?ĂŠ ™Ê`iĂŠ VĂ•>ĂŒĂ€ÂœĂŠÂ˜Ă–VÂ?iÂœĂƒ]ĂŠÂŤÂœĂ€ĂŠÂ?ÂœĂŠÂľĂ•i°
24 B:SECURE Marzo, 2012
UĂ&#x160; Â&#x153;Ă&#x160;Â&#x2DC;iViĂ&#x192;Â&#x2C6;Ă&#x152;>Ă&#x192;Ă&#x160;Â&#x201C;?Ă&#x192;Ă&#x160;iÂ&#x2DC;Ă&#x152;Ă&#x20AC;iĂ&#x152;iÂ&#x2DC;Â&#x2C6;Â&#x201C;Â&#x2C6;iÂ&#x2DC;Ă&#x152;Â&#x153;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;iÂ?Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;Ă&#x152;Ă&#x2022;Ă&#x160;Â&#x2C6;*>`Ă&#x160;Â&#x153;Ă&#x160; >Â?>Ă?Ă&#x17E;Ă&#x160;/>LĂ&#x160;Ă&#x152;iĂ&#x160;`>Â&#x2DC;Ă&#x160;>Ă&#x160;Ă&#x152;Ă&#x20AC;>Ă&#x203A;jĂ&#x192;Ă&#x160;`iĂ&#x160; Â&#x2DC;}Ă&#x20AC;Ă&#x17E;Ă&#x160; Â&#x2C6;Ă&#x20AC;`Ă&#x192;Ă&#x160;Â&#x153;Ă&#x160;<Â&#x153;Â&#x201C;LÂ&#x2C6;iĂ&#x192;Ă&#x160;6-Ă&#x160; *Â?>Â&#x2DC;Ă&#x152;Ă&#x192;° UĂ&#x160; Â&#x153;Ă&#x192;Ă&#x160;Ă&#x152;Â&#x2030;Ă&#x152;Ă&#x2022;Â?Â&#x153;Ă&#x192;Ă&#x160;`iÂ?Ă&#x160;*-*Ă&#x160;Ă&#x152;iĂ&#x160;Â&#x2026;>Â&#x2DC;Ă&#x160;`iViÂŤVÂ&#x2C6;Â&#x153;Â&#x2DC;>`Â&#x153;Ă&#x160;Ă&#x17E;Ă&#x160;Ă&#x152;iÂ&#x201C;iĂ&#x192;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;iÂ?Ă&#x160; V>Ă&#x152;>Â?Â&#x153;}Â&#x153;Ă&#x160;`iÂ?Ă&#x160;*-Ă&#x160;6Â&#x2C6;Ă&#x152;>Ă&#x160;Ă&#x192;i>Ă&#x160;Â&#x201C;?Ă&#x192;Ă&#x160;ÂŤiÂľĂ&#x2022;iÂ&#x161;Â&#x153;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;iÂ?Ă&#x160;Â&#x201C;iÂ&#x2DC;Ă&#x2013;Ă&#x160;`iĂ&#x160;Ă&#x2022;Â&#x2DC;>Ă&#x160; vÂ&#x153;Â&#x2DC;`Â&#x2C6;Ă&#x152;>° UĂ&#x160; Â?Ă&#x160; iĂ&#x20AC;Â&#x2DC;iÂ?Ă&#x160;iĂ&#x192;Ă&#x160; Â&#x2DC;`Ă&#x20AC;Â&#x153;Â&#x2C6;`Ă&#x160;ÂŤiĂ&#x20AC;Â&#x153;Ă&#x160;Â&#x2DC;>`>Ă&#x160;Â&#x201C;?Ă&#x192;°Ă&#x160; Â&#x153;Ă&#x160;Â&#x2026;>Ă&#x17E;Ă&#x160;>VViĂ&#x192;Â&#x153;Ă&#x160;>Ă&#x160; Â&#x2DC;`Ă&#x20AC;Â&#x153;Â&#x2C6;`Ă&#x160; >Ă&#x20AC;Â&#x17D;iĂ&#x152;Ă&#x160;Ă&#x17E;Ă&#x160;Ă&#x152;Â&#x153;`>Ă&#x192;Ă&#x160;Â?>Ă&#x192;Ă&#x160;>ÂŤÂŤĂ&#x192;Ă&#x160;Ă&#x192;iĂ&#x160;Ă&#x152;iÂ&#x2DC;`Ă&#x20AC;?Â&#x2DC;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;`iĂ&#x192;V>Ă&#x20AC;}>Ă&#x20AC;Ă&#x160; Ă&#x203A;Â&#x2030;>Ă&#x160;*Â?>Ă&#x17E;-Ă&#x152;>Ă&#x152;Â&#x2C6;Â&#x153;Â&#x2DC;Ă&#x160; iĂ&#x152;Ă&#x153;Â&#x153;Ă&#x20AC;Â&#x17D;Ă&#x160;Â*- Ž° UĂ&#x160; Â?Ă&#x160;ÂŤ>Ă&#x20AC;iViĂ&#x20AC;Ă&#x160;-Â&#x153;Â&#x2DC;Ă&#x17E;Ă&#x160;Â&#x201C;Ă&#x2022;Â?Ă&#x152;Â&#x2C6;ÂŤÂ?Â&#x2C6;VÂ?Ă&#x160;Â&#x201C;>Â?Ă&#x160;iÂ&#x2DC;Ă&#x160;iÂ?Ă&#x160;V?Â?VĂ&#x2022;Â?Â&#x153;Ă&#x160;`iÂ?Ă&#x160;ÂŤĂ&#x20AC;iVÂ&#x2C6;Â&#x153;Ă&#x160;ÂŤ>Ă&#x20AC;>Ă&#x160; jĂ?Â&#x2C6;VÂ&#x153;]Ă&#x160;ÂŤĂ&#x2022;iĂ&#x192;Ă&#x160;VĂ&#x2022;iĂ&#x192;Ă&#x152;>Ă&#x160;fx]{Â&#x2122;Â&#x2122;Ă&#x160;ÂŤiĂ&#x192;Â&#x153;Ă&#x192;]Ă&#x160;Â&#x201C;Â&#x2C6;iÂ&#x2DC;Ă&#x152;Ă&#x20AC;>Ă&#x192;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;iÂ&#x2DC;Ă&#x160; Ă&#x192;Ă&#x152;>`Â&#x153;Ă&#x192;Ă&#x160; 1Â&#x2DC;Â&#x2C6;`Â&#x153;Ă&#x192;Ă&#x160;VĂ&#x2022;iĂ&#x192;Ă&#x152;>Ă&#x160;fĂ&#x201C;{Â&#x2122;Ă&#x160;`Â?Â?>Ă&#x20AC;iĂ&#x192;°Ă&#x160; Â&#x2C6;Ă&#x160;VÂ&#x153;Â&#x2DC;Ă&#x160;iÂ?Ă&#x160;`Â?Â?>Ă&#x20AC;Ă&#x160;>Ă&#x160;fÂŁxĂ&#x160;ÂŤiĂ&#x192;Â&#x153;Ă&#x192;Ă&#x160; Â?Â?i}>Â&#x201C;Â&#x153;Ă&#x192;°Ă&#x160;-Ă&#x2022;Ă&#x160;VÂ&#x153;Ă&#x192;Ă&#x152;Â&#x153;Ă&#x160;iĂ&#x192;Ă&#x160;Â?Â&#x153;Ă&#x160;Â&#x201C;Â&#x2C6;Ă&#x192;Â&#x201C;Â&#x153;Ă&#x160;ÂľĂ&#x2022;iĂ&#x160;Ă&#x2022;Â&#x2DC;Ă&#x160;*-Ă&#x17D;°
17 de Mayo 2012, Hotel Four Seasons México
El único foro pensado y desarrollado por expertos, para expertos de las áreas IT de una de las industrias más innovadoras en México
@netmediaevents
www.facebook.com/netmediaevents
Informes: Tel: (55) 26297260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40. eventos@netmedia.info
www.newbankingandfinancialforum.com.mx Un evento de
Producido por