Defraudador. Es más común de lo que se cree encontrar un "bueno" al estilo de Bob en las organizaciones

Comparto otra noticia que pone énfasis en los controles en relación al "factor humano". La interesante historia del "bueno" de Bob, un defraudador dentro de una compañía, es más común de lo que se cree. El tema factor humano y seguridad es una de las consideraciones más importantes, más aún por estos tiempos, en los equipos TI de las organizaciones, al menos de aquellas que se precian de hacer las cosas correctamente.

Siete de cada diez empresas sufren fraude por parte de sus empleados.
Publicado por iProfesional /  El Cronista.

Un estudio identificó algunas de las características más comunes que permiten detectar a un posible defraudador dentro de la compañía. Estas prácticas son una situación común en todos los niveles corporativos.

El fraude corporativo es un problema más común de lo que se piensa. Se estima que, a nivel global, siete de cada diez empresas sufrieron al menos algún tipo de fraude en el último año, según un relevamiento realizado por Kroll, empresa dedicada a las investigaciones corporativas, mitigación y control de riesgos.

El factor humano limita la gestión efectiva de la seguridad, según encuesta de Symantec

Continuamos con el tema seguridad informática y su relación con el factor humano. Según un estudio elaborado por Symantec, el 57% de las compañías tienen baja confianza en su capacidad de responder a un ataque cibernético de forma rápida y efectiva, principalmente debido a las dudas sobre la capacidad de su personal encargado de la seguridad TI.

El informe, en base a la encuesta de Symantec sobre el Estado de la Seguridad (Threat Management Survey 2011), analiza las preocupaciones y problemas que deben afrontar las organizaciones encargadas de garantizar la seguridad informática a la hora de hacer frente a un entorno de amenazas en constante evolución.

Los datos también señalan que el 46%, de los que carecían de confianza, afirmaron que la falta de personal especializado en seguridad es uno de los principales problemas.

Se está evidenciando una interesante demanda de personal especializado en seguridad informática, detalle no menor a la hora de decidirse a encarar una especialidad dentro de la informática.

Según los resultados de la encuensta, el 45% señaló también la falta de tiempo, de su personal existente, para responder a las nuevas amenazas. El 43% de las organizaciones de todo el mundo informó estar algo o extremadamente necesitadas de personal. En Norteamérica, los encuestados informaron sobre este problema con mucha más asiduidad, ya que el 53% de los encuestados manifestó tener dificultades relacionadas con la falta de personal especializado.

Post relacionado:

• Controlar la seguridad de los dispositivos móviles, 07/11/2011.

(CC)Creative Commons

Controlar la seguridad de los dispositivos móviles

Datacenter-telecom Foto: Gregory Maxwell
Visto en Wikipedia.

El tema de la seguridad a causa del uso de dispositivos móviles en algunos ámbitos empresariales está generando dolores de cabezas a los departamentos TI, en especial donde se produce información de relevancia, con un interesante valor económico.

Ni que decir de aquellos ámbitos industriales que están desarrollando productos innovadores. Los departamentos TI deben estar atentos tanto la acción externa como interna, en especial con ésta última (Espionaje industrial).

Por demás notable es que cada vez más empleados utilizan sus dispositivos personales, especialmente los móviles y ahora tablets para trabajar, lo que desde los responsables de seguridad supone un riesgo de seguridad para las empresas.

Una nota publicada en PCWorld.es señala los resultados de una encuesta realizada a directores y gerentes TI:

"El sesenta por ciento de los gerentes de TI declaran que usan puntos de acceso inalámbrico o de control de acceso a redes (NAC) para los dispositivos móviles o que sólo los permiten si tienen una preinstalación de seguridad y herramientas de gestión. Sin embargo, el 26 por ciento no han desarrollado políticas para los dispositivos móviles. El 7 por ciento sí asegura tener políticas al respecto, aunque no se cumplan".

En general los encuestados señalan que se han realizado "progresos en el control de la proliferación de dispositivos móviles" aunque un tercio de los consultados han que respondido que "no tienen aún políticas al respecto o directamente no controlan los dispositivos que se pueden conectar a sus redes", algo que se está considerando un verdadero problema.

Se necesitan fijar políticas bien claras con el personal para evitar problemas y no todo el mundo lo entiende, lamentablemente.

Repito algo ya comentado aquí, el tema factor humano y seguridad, es una de las consideraciones más importantes por estos tiempos en los equipos TI de las organizaciones, al menos de aquellas que se precian de hacer las cosas correctamente.

En la mayoría de los casos de violaciones a los sistemas, el detalle notable es que fue desde adentro de la organización y/o el ataque externo tuvo "ayuda interna". En gran medida el "tratamiento" que reciben de sus empleadores ha influenciado la decisión del atacante. Cosa seria muchas veces no contemplada.

Al momento de escribir éste post, lamentablemente no cuento con datos actualizados de ningún relevamiento o encuesta realizado localmente -Argentina-, lo que seguramente habría hecho más interesante al post, porque tendría elementos para comparar.

El controlar la seguridad de los dispositivos móviles es otro dolor de cabeza más para los departamento TI.

Actualización 22:12

El factor humano limita la gestión efectiva de la seguridad

Según un estudio elaborado por Symantec, el 57% de las compañías tienen baja confianza en su capacidad de responder a un ataque cibernético de forma rápida y efectiva, principalmente debido a las dudas sobre la capacidad de su personal encargado de la seguridad TI.

El informe, en base a la encuesta de Symantec sobre el Estado de la Seguridad (Threat Management Survey 2011), analiza las preocupaciones y problemas que deben afrontar las organizaciones encargadas de garantizar la seguridad informática a la hora de hacer frente a un entorno de amenazas en constante evolución.

Los datos también señalan que el 46% de los que carecían de confianza, afirmaron que la falta de personal especializado en seguridad es uno de los principales problemas. Se está evidenciando una interesante demanda de personal especializado en seguridad informática.

El 45% señaló también la falta de tiempo, de su personal existente, para responder a las nuevas amenazas. El 43% de las organizaciones de todo el mundo informó estar algo o extremadamente necesitadas de personal. En Norteamérica, los encuestados informaron sobre este problema con mucha más asiduidad, ya que el 53% de los encuestados manifestó tener dificultades relacionadas con la falta de personal especializado.

(CC)Creative Commons

Factor humano y seguridad

Alguna ves replicamos en este espacio una nota publicada por Tendencias 21, que indicaba "El factor humano es esencial para la seguridad informática". En la nota (11/2006), se destacaba la siguiente conclusión: "Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI".

Más cerca, en el tiempo (09/2007), siguiendo la temática de la seguridad publicamos la historia de  Andy Lin, de 51 años de edad, un administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños.

Hoy nos enteramos de otra noticia similar, bastante interesante:

Un pirata informático pone en jaque a San Francisco al cambiar las claves.- "Un pirata informático y ex trabajador del gobierno de la ciudad de San Francisco ha puesto en jaque a esta localidad tras manipular y ocultar la clave de acceso a una red informática de información confidencial.

Según fuentes del ayuntamiento de San Francisco, Childs creó una clave que le daba acceso exclusivo a esta red. El ex funcionario proporcionó inicialmente a la policía una contraseña que resultó ser falsa y después se negó a facilitar cualquier información.

Terry Childs, que será acusado formalmente hoy, manipuló un nuevo sistema informático conocido como FiberWAN, en el que las autoridades de la ciudad almacenan datos confidenciales como nóminas de funcionarios municipales o correos electrónico oficiales.

Childs está en prisión bajo fianza mientras que las autoridades municipales intentan acceder a la red.

“Hemos logrado algunos avances”, señalaron fuentes del ayuntamiento a la prensa de San Francisco.

La principal preocupación de las autoridades es que Childs haya facilitado la contraseña a terceras personas que pudieran acceder a la información o destruirla, señalaron. De Redacción de Noticiasdot.com.

Sin dudas, tratar bien a la gente que trabaja contigo, es un buen consejo. Pueden leer otros post relacionados aquí.

Factor humano y seguridad

Hacía rato que no tratábamos específicamente el tema factor humano y seguridad. Es una de las consideraciones más importantes por estos tiempos en los equipos TI de las organizaciones, al menos de aquellas que se precian de hacer las cosas correctamente.

En la mayoría de los casos de violaciones a los sistemas, el detalle notable es que fue desde adentro de la organización y/o el ataque externo tuvo "ayuda interna". En gran medida el "tratamiento" que reciben de sus empleadores ha influenciado la decisión del atacante. Cosa seria muchas veces no contemplada.

Hoy se publica una interesante nota, que trata sobre los riesgos a que están expuestos los datos informáticos de las organizaciones.

Con un ojo en las portátiles y otro en los empleados.- "Dos informes recientes de Microsoft y Symantec advierten sobre los riesgos internos y externos que enfrentan los datos informáticos de las organizaciones. Cómo prevenir prácticas como el robo de información por parte de ex empleados y la sustracción de equipos". Por César Dergarabedian para iProfesional.com.

La falsedad y el engaño se imponen en las redes sociales

Se ha comprobado que las informaciones falsas son retuiteadas un 70% más que las verdaderas, a tal punto llega la cosa que la influencia de los bots y las cuentas falsas es mucho menos relevante en su difusión que el factor humano, según un estudio del Instituto de Tecnología de Massachusetts (MIT).

La ciencia que hay detrás del éxito de las 'fake news'.

Por Amadeo Herrero, publicado por El Mundo.

En las redes sociales la mentira viaja mucho más rápido y llega mucho más lejos que la verdad. Si bien los bulos y la desinformación no son un fenómeno reciente, el auge de Facebook, Google y Twitter ha dado una nueva dimensión al problema, como prueban la investigación judicial en torno a la campaña electoral en Estados Unidos y los esfuerzos de los gobiernos europeos por adaptar la legislación a esta nueva realidad. En este contexto, la revista Science acaba de publicar el estudio más extenso hasta ahora sobre la difusión de fake news (noticias falsas) en la red, en el que se demuestra cómo una noticia falsa alcanza a miles de usuarios más que un contenido real.

'fake news'

Un grupo de investigadores del Instituto de Tecnología de Massachusetts (MIT) ha examinado la repercusión en Twitter de noticias cuya veracidad o falsedad había sido previamente corroborada por seis organismos de verificación independientes. Partiendo de esa base, analizaron un total de 126.000 artículos tuiteados por tres millones de personas entre 2006 y 2017, con especial atención a los contenidos que lograsen más retuits. Los autores descubrieron que las noticias falsas tenían un 70% más de probabilidades de ser retuiteadas y que su difusión alcanzaba a entre 1.000 y 100.000 personas, en contraste con las informaciones verdaderas, que raramente superaban la barrera del millar de usuarios.

La campaña de las elecciones norteamericanas de 2017 supusieron el punto álgido de la penetración de las noticias falsas en el devenir de las sociedades occidentales. Intoxicaciones, noticias falsas sobre el pasado de los candidatos, interferencia de servidores rusos de los que partía información falsa... El propio Donald Trump no se ha cortado nunca de señalar como tales a las noticias falsas, e incluso ha bautizado como los «medios de información falsa» a cierto sector crítico con su gobierno.

Esta dinámica está presente en todas las categorías de información y no sólo en las noticias políticas, aunque sus efectos sean hasta tres veces más pronunciados en este campo. Ciencia, salud, terrorismo, desastres naturales, sucesos o información financiera no escapan a la influencia de las fake news. "Los dominios más atacados son aquellos en los que hay más incentivos -políticos o financieros- y aquellos en los que las personas son más vulnerables por los sesgos sociales o cognitivos", explica Filippo Menczer, profesor de la Universidad de Indiana y fundador del Observatorio de Medios Sociales. "Y la política encaja con ambos criterios".

En cuanto a las razones que explican la vertiginosa difusión de las fake news, el artículo señala que los usuarios son mucho más propensos a compartir información novedosa (sea real o no), en detrimento de desmentidos, confirmaciones o matices. "Las historias falsas inspiran sentimientos de temor, disgusto y sorpresa en las respuestas", explican los autores, mientras que las verdaderas crean "confianza, alegría o tristeza".

Ha habido ejemplos sonados de esto, algunos que afectaban al propio presidente de EEUU, como una noticia que aseguraba falsamente que Trump había retirado un busto de Martin Luther King del despacho oval. Otras han partido del hackeo de las cuentas de medios de comunicación, como un tuit de Fox News un 4 de julio que anunciaba que Obama había sido tiroteado y terminaba con el hashtag #obamadead (Obama muerto).

La historia de Bob, el outsourcing y la seguridad informática

Bob es un desarrollador de software, un programador “inofensivo y tranquilo” de cuarenta y tantos años, que ganaba muy bien, un poco más de de 100 mil dólares anuales, trabajando haciendo que trabajaran por él en una importante empresa relacionada con la “infraestructura crítica” de Estados Unidos. Bob simplemente le pagaba una quinta parte de su salario a unos programadores de una empresa de programación en la ciudad de Shenyang, en el sureste de China, para que hicieran su trabajo.

Hasta aquí todo parece una simple historia de alguien que desarrollo experiencia en el outsourcing (subcontratación) para hacer más eficaz su tarea y ganar más dinero con menor esfuezo. Pero no, la historia de Bob y el outsourcing tiene que ver con un caso de seguridad que ha captado la atención de expertos en seguridad en todo el mundo.

El "bueno" de Bob, que era considerado como un programador experto en C, C + +, Perl, Java, Ruby, PHP, Python, etc. “inofensivo y tranquilo”, y que en los últimos años, "recibió excelentes calificaciones por su desempeño por su codificación limpia, y bien escrita”. Y también había sido señalado como “el mejor desarrollador en el edificio”. Pero se transformó en un "caso de estudio" de la empresa de telecomunicaciones estadounidense, Verizon.

Todo se inició cuando la empresa relacionada con la “infraestructura crítica” de Estados Unidos, que según la investigación de Verizon, había ido poco a poco avanzando hacia una fuerza de trabajo más orientado teletrabajo, y por lo tanto había comenzado a permitir a sus desarrolladores trabajar desde casa en ciertos días, comenzó a registrar cierta actividad anómala en sus registros de su Virtual Private Network (VPN), y solicitó una auditoría a su proveedor de servicios, Verizon, que finalmente ha permitido "destapar" la situación.

A principios de mayo de 2012, después de leer el Data Breach Investigations Report (DBIR) 2012, su departamento de seguridad, del TI de la empresa, decidió que debían iniciar un seguimiento activo de los registros que se generan en el concentrador VPN.

Entonces comenzaron escudriñando diariamente las conexiones VPN en su entorno. Fue la sorpresa del TI de la empresa, cuando descubrió que desde China accedían a sus sistemas informáticos. Los técnicos responsables de la seguridad informática de la empresa inicialmente creyeron que el acceso no autorizado a los sistemas desde China con las credenciales de Bob, no eran responsabilidad del "bueno" de Bob, que de alguna forma se había eludido, desde China, el fuerte sistema de autentificación, conformado por factores, que incluían un token de seguridad con una clave RSA. Inicialmente se pensó en algún tipo de malware de día cero que fue capaz de iniciar conexiones VPN de la estación de trabajo del escritorio de Bob a través de proxy externo y luego la ruta que el tráfico VPN a China, sólo para ser enviados de regreso a su concentrador.

Increíblemente no se sospechaba de Bob, hasta que se descubrió que había “enviado físicamente por FedEx su token de seguridad a China para que el contratista pudiera ingresar con sus credenciales”, según fue informado por un investigador forense en Verizon.

La investigación descubrió que los programadores chinos, subcontratados por Bob, trabajaban durante la noche, en un horario que imitaba a una jornada laboral promedio de ocho horas. También se pudo establecer que es probable que ésta experiencia del outsourcing de Bob "se haya extendido a lo largo de varias empresas en su área, lo que lo hizo ganar varios cientos de miles de dólares al año mientras pagaba aproximadamente 50,000 dólares anuales a sus programadores fantasma de China, según cientos de facturas en PDF que también fueron descubiertas en su computadora de trabajo" (CNN).

La investigación forense de la estación de trabajo de Bob reveló que el bueno, inofensivo y tranquilo empleado pasaba durante su horario laboral navegando por Reddit, viendo vídeos de gatos, visitando eBay y las redes sociales de Facebook y LinkedIn. Verizon, informó que a través de un correo electrónico, Bob “fue despedido al final de la investigación”.

Realmente todo un caso de estudio. Pienso que no pocos apuntarán al tema teletrabajo, y sus implicancias en la seguridad, pero creo que ésta modalidad laboral se está imponiendo y brindando posibilidades laboral a cada vez a mayor número de personas y aunque se pueda señalar aspectos que hacen a la seguridad, todo ésto se ira superando con el tiempo. Me parece que lo que se debe considerar, como algunas veces lo señalamos en éste blog, es el tema del factor humano.

El factor humano limita la gestión efectiva de la seguridad, es algo ya bien entendido pero no asumido. Las empresas tienden a menospreciar el papel de la conducta humana y se inclinan a confiar en el hardware y en el software para resolver problemas de seguridad, cuando lo que necesitan dedicar más tiempo a capacitar y concientizar al personal en políticas y procesos, si quieren asegurar las infraestructuras de TI.

Fuentes:

• Case Study: Pro-active Log Review Might Be A Good Idea. Security Blog, Verizon RISK Team.
• Despiden a un programador por subcontratar a una empresa china para hacer su trabajo. Yahoo Finanzas / europa press.
• Un programador de EE.UU. subcontrata a chinos para que trabajen por él. CNN.

Vuelo LMI 2933 - una flagrante violación de procedimientos, opinan expertos

Accidente de Chapecoense: expertos argentinos afirman que se violaron todos los procedimientos de seguridad.
Publicado por La Nación / Télam.

Fue durante un seminario organizado por la ANAC en Ezeiza; objetaron el plan de vuelo y el comportamiento del piloto boliviano.

(Télam).- El accidente del avión de Lamia ocurrido en las cercanías de Medellín, donde murieron 71 personas, entre ellos casi todos los integrantes del equipo de fútbol de Chapecoense de Brasil, fue a consecuencia de la "flagrante violación de los procedimientos aeronáuticos" tanto por parte del comandante de la aeronave como de los organismos de seguridad de Bolivia, aseguraron diversos especialistas.

Los expertos participaron de un seminario relacionado con el control del estrés en el ámbito aeronáutico, organizado por la Administración Nacional de Aviación Civil (ANAC), que se realizó en la sede de Ezeiza.

El presidente de la Asociación de Controladores de Tránsito Aéreo de Argentina (ACTA), Eduardo Keledjian, sostuvo que la tragedia pudo "aún ser mayor si el avión AVRO de Lamia colisionaba con algunos de los dos aviones que estaban por debajo de su nivel en el transcurso de la espera".

"El avión de Lamia volaba en un tercer nivel de espera a 21.000 pies y debajo suyo había otras dos aeronaves, una a 19.000 y otra a 17.000 pies. Cuando el comandante de la nave se queda sin combustible se tira hacia abajo tratando de planear para llegar a la pista y pasa entre los dos aviones que estaba por debajo de su nivel a ciegas. Podría haber chocado con cualquiera de los dos y hoy estábamos hablando de una tragedia aún más grande", explicó Keledjian a Télam.

Durante el seminario se exhibió una copia del Plan de Vuelo del avión de Lamia, que despegó desde el aeropuerto Viru Viru de Santa Cruz de la Sierra, Bolivia, donde está claramente señalado el tiempo de vuelo y la autonomía de combustible para ese trayecto.

El casillero con el tiempo de vuelo marca 4 horas con 22 minutos, mientras que la autonomía de combustible prevista consignaba el mismo valor: 4 horas con 22 minutos.

Imposible aprobación

"Es imposible que un Plan de Vuelo así pueda ser aprobado", dijo a Télam Norma Marquez, jefa de Seguridad Operacional de la EANA (Empresa Argentina de Navegación Aérea Sociedad del Estado).

Sobre la trampa del voto electrónico

La trampa del voto electrónico: De escrutinios manuales a escrutinios automatizados
Publicado por Luis Manuel Aguana, visto en analítica.com.

Latinoamérica está cayendo en la trampa del llamado “voto electrónico”. Si conceptualizamos como “voto electrónico” el reemplazo de la manera en que la voluntad del elector, comúnmente denominada “voto”, entra a un sistema electoral automatizado, pasando de una forma “manual” a una “computarizada” entonces estamos en presencia de un cambio en el concepto de escrutinio, lo cual implica que serán las máquinas quienes elegirán a nuestros gobernantes, no nosotros. 

Entonces el problema en realidad no es el “voto”, es el escrutinio. Veamos esto en detalle.

Los tecnócratas les han vendido a los políticos, que en su generalidad no son técnicos en la materia, que colocando un elemento electrónico de captura de la voluntad del elector en la mesa electoral se logrará agilidad y precisión en los resultados de los procesos electorales. Eso es una verdad a medias y muy interesada.

La aplicación de los sistemas automatizados a los procesos electorales conllevan un elemento que no posee ningún otro proceso al cual se le pueda aplicar la tecnología de la información: la transparencia. ¿Cómo poder estar seguros que no hubo trampa y que se respetó la voluntad del elector en un proceso tan vital como el electoral? La única manera en que se puede hacer eso, es en el origen mismo de todo proceso: el “voto” del elector.

La manera que habíamos tenido todos los países que realizábamos elecciones para elegir gobernantes era la presencia de los testigos de los factores políticos en disputa en las Mesas electorales, que contaban a viva voz y a simple vista el “voto” o voluntad del elector, expresada en una papeleta o boleta electoral al cierre del proceso. Esos testigos ATESTIGUABAN, valga la redundancia, que los votos se correspondían con la voluntad expresada por los electores, dejando plasmada en un Acta esa certeza.

¿Qué le están vendiendo las empresas que se dedican a la automatización electoral a los organismos electorales del continente? Que sean las máquinas quienes establezcan una certeza que es imposible que ningún mecanismo automatizado pueda dar, trastocando el significado mismo y formal de la palabra “escrutinio”.

Del Diccionario de la Real Academia Española-DRAE: Escrutinio: (Del lat. scrutinĭum). 1. m. Examen y averiguación exacta y diligente que se hace de algo para formar juicio de ello. 2. m. Reconocimiento y cómputo de los votos en las elecciones o en otro acto análogo. Por otro lado, del mismo diccionario: Escrutar. (Del lat. scrutāre).1. tr. Indagar, examinar cuidadosamente, explorar. 2. tr. Reconocer y computar los votos que para elecciones u otros actos análogos se han dado secretamente por medio de bolas, papeletas o en otra forma.

Véase que en ambas palabras derivadas, constituye un total contrasentido la existencia de un “escrutinio automatizado” dado que el único que puede hacer “examen y averiguación exacta y diligente” de algo para formarse un juicio de ello es el ser humano. Asimismo, el acto de “escrutar” es “indagar” y “examinar cuidadosamente”, cosa que solo está reservada igualmente a las personas. Podemos contar los votos con máquinas pero escrutarlos solo lo puede realizar un ser humano.

Al dejar que sea una máquina la que realice el “escrutinio electrónico”, como se está llevando a cabo en Venezuela desde el año 2004 y se está planteando próximamente en Colombia a partir del próximo año, se abre una peligrosísima Caja de Pandora, ya que se estaría cercenando el derecho de los testigos a “escrutar” si los votos en realidad se corresponden con la voluntad del elector, atestiguando desde el origen del dato su verdadera validez.

La diferencia fundamental radica aquí en que un “voto electrónico” es un dato que no ha sido escrutado por un ser humano y entra al sistema sin transparencia. En cambio, un voto escrutado por un ser humano con todas las garantías, se transforma luego de eso en un dato que entra a un sistema electoral automatizado. Desde el punto de vista de la transparencia hay una diferencia abismal entre ambos esquemas.

Al estar en el dominio electrónico sin ser escrutado por un ser humano, el “voto electrónico”, que es en el fondo la voluntad popular, puede ser transformado, tergiversado, mutado a los intereses de cualquier factor de poder. Sin importar quien diga lo contrario, cualquier programa computarizado puede ser alterado para producir los resultados deseados. Pueden ver un ejemplo de esto en una demostración de seguridad de una máquina de votación realizado en la Universidad de Princeton (ver Security Demonstration http://www.youtube.com/watch?v=FGw8BAkdpBI).

La tecnología puede permitir por diversas maneras y medios que el programa que debiera contar los votos sea uno completamente diferente, dándose así resultados igualmente distintos. Un programa malicioso que se introduzca en la maquina puede tergiversar los resultados. En cambio, si los seres humanos intervienen ANTES de que el dato sea introducido al sistema, atestiguando su validez, cualquier sistema automatizado de tratamiento y transmisión puede ser utilizado para coadyuvar a la rapidez y exactitud del proceso, constatándose si fueron o no variados los datos a lo largo de la cadena. Y es allí donde la tecnología tiene su verdadera aplicación en un proceso como este, como auxiliar tecnológico para la gran suma y resultados finales.

El meollo de la trampa electoral del llamado “voto electrónico” no es que se usen computadoras o transmisión electrónica para el proceso electoral, sino que las leyes hayan eliminado el escrutinio manual que es el único que puede dar fe a todo el mundo que la población votó de una manera u otra (“Ley Orgánica de Procesos Electorales, Artículo 141: El acto de escrutinio deberá ser automatizado y excepcionalmente manual, cuando así lo determine el Consejo Nacional Electoral.”).

He aquí el verdadero problema que está enfrentando el continente con el cambio en los sistemas de contar votos. Lo que en el fondo se debe exigir son ESCRUTINIOS MANUALES. Todo está en el modelo tecnológico que se utilice para sistematizar los votos. Si el “voto electrónico” no es más que un dato escrutado, este será un avance para nuestros países. De lo contrario no es más que una trampa violadora del Derecho Humano de Elecciones Auténticas, como la que estamos sufriendo los venezolanos. / Publicado por Luis Manuel Aguana, visto en analítica.com.

Post relacionados:

• Nuevas denuncias por el manejo de voto electrónico en Salta. 08/11/2013.
• El voto electrónico, en Argentina muchos le seguimos desconfiando. 07/11/2013.
• El voto electrónico o e-voto, en Argentina muchos no lo consideramos confiable. 21/03/2011.

Vuelo LMI 2933 - Presentan informe preliminar sobre accidente

El informe preliminar sobre accidente confirma que tenía combustible limitado para la ruta que cubría, según los resultados de la investigación preliminar de la Aeronáutica Civil de Colombia presentados este lunes en Bogotá.

Señala que los pilotos “eran conscientes de las limitaciones de combustible que tenían en el momento, no era el adecuado ni suficiente”. El secretario de Seguridad Aérea de Aerocivil, coronel Freddy Bonilla, en rueda de prensa, aseguró que el piloto de la aeronave, Miguel Quiroga, y el copiloto, Ovar Goytia, se plantearon aterrizar en Bogotá o en la ciudad colombiana de Leticia (sur) por “estar al límite de combustible“, pero no realizaron ningún requerimiento para ello.

Visto en YouTube, vía Aerocivil Col

Se informó que el avión RJ85 “supuestamente” tenía una certificación para volar por encima de los 29.000 pies, para lo cual no tenía capacidad. El avión tenía un exceso de peso cercano a los 500 kilogramos, pero que no fue “determinante” en el siniestro.

Se destacó que la autoridad encargada de aprobar los planes de vuelo en Bolivia falló al aceptar unas condiciones de traslado “inaceptables” propuestas por LaMia.

El informe revela que cuando el piloto pidió a la torre de control del José María Córdova que le permitiera aterrizar, pese a que todavía no estaba en la aproximación a la pista, no informó de la gravedad de su situación ni que ya se le habían apagado dos de los cuatro motores: "En este punto, tenían dos motores apagados y la tripulación no ha hecho ningún reporte de su situación, que era crítica, y continúa reportando de forma normal".

El secretario de Seguridad Aérea de Aerocivil, el coronel Fredy Bonilla destacó que no hay evidencia de que ningún factor técnico haya influido en la tragedia. "Todo está involucrado en un factor humano y gerencial".

Noticia en desarrollo

Post relacionado:

• Vuelo LMI 2933 - una flagrante violación de procedimientos, opinan expertos. 03/12/2016.
• Vuelo LMI 2933 - Apuntan a un grave error de cálculo y ausencia de controles. 30/11/2016
• Sobre el Vuelo LMI 2933 de LaMia Airlines. 29/11/2016.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Los fraudes en las empresas, principales sospechosos los empleados.

No pocas veces se ha señalado que el factor humano limita la gestión efectiva de la seguridad. Una realidad que obliga a mirar permanentemente como se controla al personal. No pocas veces hemos comentado sobre casos donde al dañino se lo tiene adentro de la organización. En ciberseguridad, mirar hacia adentro es vital para prevenir y evitar sorpresas.

El diario La Nación publica un interesante artículo sobre el crecimiento de los fraudes a nivel mundial y realiza una mirada a la realidad de Argentina.

"Cuatro de cada cinco compañías reportaron que el perpetrador pertenece a la empresa. Las jerarquías no están exentas de cometer un fraude. Una de cada tres víctimas denunció que el perpetrador pertenecía a su propio equipo o era un mando medio, y solo un poco menos de la mitad afirmó que se trataba de un empleado junior" (La Nación).

Crece el fraude a nivel mundial; mala nota para América latina.

Por Paula Urien, publicado en La Nación.

La Argentina aumentó exponencialmente su nivel de corrupción por parte de privados en los últimos tres años.

Visto en La Nación

Los ejecutivos a la cabeza de las compañías más importantes del mundo temen expandir los negocios de la empresa hacia países de América latina por la alta probabilidad de verse envueltos en temas de corrupción y sobornos. Así lo manifestó el 72% de los 768 ejecutivos senior de compañías de Europa, América, Asia y África, la mitad de los cuales pertenecen a empresas que facturan por encima de los 500 millones de dólares por año. Entre ellos, el 27% directamente desistió de operar en esta región por ese motivo. Así se desprende del último informe de la consultora Kroll llamado 2016 Global Fraud Report, realizado en conjunto con la Unidad de Inteligencia de The Economist y difundido en exclusividad en LA NACION y en el Financial Times.

De las tres regiones que cometen más fraudes a nivel mundial, que son África, Europa Oriental y America latina, esta última tristemente es puntera, es decir, tiene el mayor índice de fraude y corrupción, lo que lleva a pérdidas multimillonarias en materia de inversiones.

Da buen trato a tus empleados

Es un muy buen consejo. Es muy conocido en los ámbitos de seguridad informática la acción del "factor humano". Un gran porcentaje de las acciones en contra de los sistemas de una organización son producidas por los empleados disconformes, esto es una realidad.

Así que es muy conveniente dar buen trato a tus empleados que manejan los sistemas de tu organización, no vaya a ser que tengas un Lin exitoso.

¿Quien es Lin?, se preguntarán...

En 2003, Andy Lin, de 51 años de edad, era administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños: 23 de Abril de 2004.

Debido a un error de programación, la bomba de Lin no funcionó, de modo que la reparó y reprogramó para activarse el mismo día pero del año siguiente (2005), y eso a pesar de que los temores de Lin al despido no se vieron confirmados.

No obstante, en enero de 2005 un colega de Lin investigaba un error del sistema cuando descubrió la bomba, lo que volvió a frustrar el ataque, esta vez definitivamente. De haber tenido éxito, la bomba lógica de Lin hubiera destruido datos sanitarios críticos en 70 servidores...

Lin ha sido juzgado anteayer y se ha declarado culpable. Se enfrenta a una pena máxima de diez años de cárcel y un cuarto de millón de dólares de multa (unos 175.000 euros).

La sentencia se conocerá el próximo 8 de enero.///(publicado por kriptopolis, fuente: Computer World).

El factor humano es esencial para la seguridad informática

En Tendencias 21 publican una nota de Sergio Manaut tratando este importante y muchas veces controvertido tema.

"Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI. Son los resultados de un estudio realizado por IDC, el proveedor líder de inteligencia de mercado a nivel mundial, que analizó una muestra de más de 4.000 profesionales de la seguridad informática en más de 100 países".

"Las empresas de alcance global necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI”, afirma el estudio realizado por IDC, el proveedor líder de inteligencia de mercado a nivel mundial, a pedido del Consorcio de Certificación de Sistemas de Seguridad".

"Esta encuesta, que consideró una muestra de más de 4.000 profesionales de la seguridad informática en más de 100 países, evidencia que las organizaciones han venido menospreciando la importancia de la conducta humana y se han inclinado a confiar más en el hardware y en el software para resolver problemas de seguridad".

"Sin embargo, los participantes en la encuesta manifiestan que las empresas están empezando a reconocer que la tecnología es un “facilitador”, no la solución, para implementar y ejecutar una estrategia de seguridad contundente"...(sigue)

Por experiencia propia, concuerdo plenamente con que "las organizaciones han venido menospreciando la importancia de la conducta humana", más aún por estos rumbos. Muchas veces fallan en la implementación de controles necesarios, enfocados al análisis del desempeño del personal (por dar un ejemplo), o directamente no lo implementan. No es por nada que muchos responsables de sistemas apuntan controlar más al "usuario" interno que al cliente externo.

¿Son seguros los smartphones Android en las empresas?

De golpe, en los últimos días, pero en especial desde ayer, proliferan notas apuntando a los fallos de seguridad en Android y los potenciales problemas en ámbitos empresariales. Varias veces hemos señalado en éste espacio que el tema de la seguridad a causa del uso de dispositivos móviles en algunos ámbitos empresariales está generando dolores de cabezas a los departamentos TI.

No pocas veces se ha comentado que es por demás notable que cada vez más empleados utilizan sus dispositivos personales, especialmente los móviles y ahora tablets para trabajar, lo que desde los responsables de seguridad supone un riesgo de seguridad para las empresas.

Con respecto al tema Android, charlando con unos amiguetes muy entendidos en el tema, me señalan que si bien no hay que subestimar los problemas de seguridad que tiene Android, que son importantes, todos los SO para móviles en mayor o menor medida también tienen problemas. Se señala mucho a Android por ser el más usado, pero en los ámbitos empresariales se estaría renegando más con usuarios de BlackBerry.

Parece ser que el tema seguridad no pasa tanto por el SO que se esté utilizando, sino por las malas costumbres que están adoptando los usuarios. Aquí salta la importancia de fijar políticas bien claras con el personal para evitar problemas.

Como ya lo señalado Symantec, "el factor humano limita la gestión efectiva de la seguridad". Otro gran problema, muchas veces, es el abuso que hay de los esquemas directores en la empresa que contagian malas prácticas a sus dependientes.

Seguiremos hablando de seguridad...interna

Hace unos días leímos sobre el factor humano en la seguridad informática, decíamos que las miradas de los responsables de seguridad están principalmente apuntadas hacia adentro de la organización. Hoy nos damos con algo más que sostiene esa afirmación, en Infobaeprofesional.com presentan la noticia que "las empresas japonesas Ricoh y Hitachi Software Engineering desarrollaron un sistema que registrará las huellas de los dedos de un usuario en los documentos impresos con el fin de prevenir la filtración de información". Costará unos U$S 127.000.

"El nuevo dispositivo requiere que después de ordenar la impresión el usuario se identifique poniendo su dedo en un lector integrado en la impresora, según el diario económico Nihon Keizai. La información recabada quedará grabada en los documentos para poder rastrear la identidad de la persona que imprimió un documento".

Nótese que estamos hablando de impresión, no de transferencia electrónica de datos y/o de grabación de datos en soportes magnéticos.

Seguridad en los bancos

Leo la noticia que dice que en la provincia de Buenos Aires, su gobernador se está reuniendo con con representantes de entidades bancarias para "acordar" medidas de seguridad a fin de solucionar el problema de las "salideras". En tal sentido se informa que se acordó que los "bancos bloquearán la señal de celulares para reforzar la seguridad". Mañana habría reuniones con los empleados bancarios.

Tendrían que pensar en bloquear también las señales tipo "falta de envido por el resto del partido", o esa que significa "me pica la oreja", o aquella de "hola flaco", y tantas otras que parece que se hacen justo cuando alguien está cobrando un monto interesante.

Este tema de las salideras bancarias era de permanente consulta cuando trabajábamos en el foro de seguridad del barrio. En esta ciudad también son habituales por temporadas. Gracias a Dios no han matado a nadie aún, pero hay un sin número de casos.

En la gran mayoría, luego de los análisis de como fueron los hechos, casi siempre se llegaba a la conclusión que en el interior del banco había un entregador, alguien que señalaba, pero nunca se daba con los pillos. Siempre se sospechó del empleado bancario y/o de terceros que estaban dentro del banco a la pesca.

Definitivamente es un tema difícil de resolver. Me parece que es de suma importancia que las entidades resguarden con mayor eficiencia y eficacia el retiro de depósitos y asuman las perdidas.

Otros de los sospechados por el público afectado con estos hechos, son los vigilantes y hasta la misma policía. El gobierno debería, junto con las entidades estar más atento al tema "empresas de vigilancia y seguridad".

Pero el detalle más grueso, es el "factor humano" ya sea empleado de un banco, o de una empresa de seguridad, si éste se considera maltratado, no está conforme, considera que no cobra lo suficiente, el empleado es un posible elemento de riesgo. Esto necesariamente debe ser considerado, ¡todo un tema!.

No hay que olvidarse del trasfondo social-económico, la situación no está tan bien que digamos, es opinión general que el tema económico en millones, más de la mitad de la población, se viene deteriorando y hay mucha mano de obra no ocupada y por ende mucha necesidad. Esto también debe ser necesariamente considerado en la evaluación de las soluciones, porque porque marca de manera notable un contexto de cosas. No va ser fácil el tema.

Fugas de información

En la línea del post Factor humano y seguridad, como aquellas noticias que señalan la peligrosidad del uso de las redes sociales en las empresas, por motivos de seguridad y económicos, se está apuntando al tema fuga de información.

Noticiasdot.com informa que

El 36% de las fugas de información que sufren las empresas provienen de empleados descontentos, según un informe de la agencia de investigación Winterman.

"Según el grupo, la actual coyuntura económica y el aumento de la inestabilidad laboral han provocado un aumento de empleados y ex empleados que utilizan Internet y las redes sociales para perjudicar a su empresa".

"Al aumentar el número de despidos, los trabajadores deciden apropiarse de información confidencial para situarse en una mejor posición en el mercado laboral".

"El despido o conseguir dinero extra a través de la venta de la información son otras de las posibles motivaciones para cometer estos delitos de fuga de información".

Nada fácil la situación, me imagino que en aquellos ámbitos donde no funcione adecuadamente la relación entre directores y dirigidos en un esquema adecuadamente organizado, los incidentes deben ser muy notables, lo que coloca en una mala posición a la organización.

Argentina gana posiciones en el Índice Global de Competitividad IT 2009

"Argentina logró subir cinco posiciones en el índice de competitividad de la industria IT del año 2009 a nivel mundial, quedando así en el puesto 41 con un puntaje de 36.5 de 100 en el índice ascendiendo cinco puestos con respecto al índice de 2008. Estos se encuentran entre los hallazgos de un nuevo estudio emitido por la Unidad de Inteligencia de Economist patrocinado por Business Software Alliance (BSA)", señala el parte de prensa de BSA.

Una buena noticia si tenemos en cuenta que el año pasado Argentina había caído del puesto 45° al 46° en el ranking de competitividad. Evidentemente se realizaron de mejor manera algunos deberes. Pero no es cuestión de dormirse en estos laureles.

"El estudio encuentra que Argentina ha logrado avanzar en Infraestructura de TI con una puntuación de 24.9 e Investigación y Desarrollo con un 20.3 vs 9.0 y 1.0 correspondientes al año 2008. No obstante es importante destacar que se requiere mejorar en las áreas de factor humano, régimen legal de protección de Propiedad Intelectual y el apoyo para el desarrollo de la industria de TI, a pesar de que Argentina ha mejorado en estas dos últimas mostrando un crecimiento de 2.0 y 1.1 respectivamente con respecto al año 2008", indica otro párrafo del parte de prensa.

Pueden bajar el informe en formato PDF y en español desde este link del website de Business Software Alliance (BSA).

Los empleados, las amenazas potenciales para la seguridad móvil

Una vez más, y no pocas veces, a la hora de evaluar las potenciales amenazas internas en una organización, la mirada se pone sobre el propio personal de la misma. Alguna vez tratamos en éste blog el tema "factor humano", y como ésto afecta la seguridad. Los llamados "Insiders", un tema complejo a tener muy en cuenta.

La mayor amenaza en seguridad móvil y BYOD radica en el descuido de los empleados

"Check Poin Software Technologies, proveedor de soluciones de seguridad para Internet, ha publicado su tercer estudio sobre seguridad móvil, que revela que un 95% de los encuestados se enfrenta al desafío de securizar y soportar Bring Your Own Device (BYOD), destacando la necesidad de soluciones de seguridad más robustas para los dispositivos personales vinculados a las redes corporativas.

Basándose en una encuesta a más de 700 profesionales de TI, el informe destaca la constante preocupación por la facilidad de transporte de información corporativa confidencial fuera de los entornos administrados y detalla las amenazas potenciales para la seguridad móvil,...". Por DiarioTi.-

Cuando al dañino se lo tiene adentro

Una interesante nota de la revista Wired informa que cientos de credenciales .gov fueron encontrados volcados en "Hacker Públicas".  comienza diciendo que "no es ninguna sorpresa que los empleados públicos descuidados usan sus direcciones de correo electrónico .gov para inscribirse en todo tipo de cuentas personales".

Pero cuando esos servicios de terceros, inseguros, son violados por hackers, y si, esos empleados fueron tan tontos como para reutilizar sus contraseñas .gov. La nota también señala que un descuido de éstos puede ofrecer una puerta trasera en agencias federales.

Pueden leer la nota en: "Hundreds of .Gov Credentials Found In Public Hacker Dumps". Wired - Security 24/06/2015. Una lectura recomendada-

El factor humano limita la gestión efectiva de la seguridad. Una realidad que obliga a mirar permanentemente como se controla al personal.