portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Está orientada a realizar el diagnóstico del nivel de madurez de los procesos del CLIENTE en aspectos relacionados con seguridad de la información y la identificación de riesgos, para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la estándar ISO 27001:2022.

Considerando que existen diferentes variables se ha diseñado una metodologia PROPIA denominada NETHO. 

Metodologia NETHO


EVALUACIÓN DE LA MADUREZ NORMATIVA

Etapa orientada a la revisión de políticas, normas y procedimientos vigentes o planificados formalmente. En esta fase de evaluación se consideran documentos aprobados formalmente o documentos en proyecto.

Se toma en cuenta los siguientes puntos:

  • Gestión de Riesgos
  • Política de Seguridad
  • Gestión de Activos
  • Estructura de control interno y/o Auditoría interna

EVALUACIÓN DE LA MADUREZ ESTRATEGICA

Etapa orientada a la revisión de la filosofía de dirección a nivel de Comités de Negocio, planes estratégicos y decisiones de inversión donde se considere tanto el valor agregado la seguridad y mitigación del RIESGO EN SEGURIDAD

EVALUACIÓN DE LA MADUREZ TECNOLÓGICA

En esta fase se determina la capacidad del negocio para cumplir sus políticas y los lineamientos de seguridad. El resultado determina la correspondencia entre los recursos tecnológicos y las exigencias de tanto de seguridad como de ciber seguridad. Se evalúan recursos de software, hardware, infraestructura y facilidades. Se evalúan por ejemplo aspectos técnicos de Data Center respecto a la seguridad.

Se revisan las pruebas de seguridad que el negocio haya realizado para cotejar contra su estrategia:

En esta fase también podemos incluir un Análisis de Vulnerabilidades Técnicas o Ethical hacking tanto interno como externo, en caja gris y caja negra.

EVALUACIÓN DE LA MADUREZ HUMANA

En esta fase se plantea realizar apreciaciones del nivel de conocimientos, experiencia y habilidades presentes en el recurso humano responsable por la administración de TI y de seguridad.

Se evalúan antecedentes documentales y se realizan entrevistas formales y conversaciones abiertas para emitir opinión.

En esta fase se realizan pruebas de ingeniería social al segmento de usuarios definidos para tal efecto. Se puede tomar de manera indiscriminada a todos los perfiles encontrados tanto en RRSS como en internet.

Se busca determinar la madurez entre el recurso humano, la tecnología y los procesos vigentes

EVALUACIÓN DE LA MADUREZ OPERATIVA

Sesiones de entrevistas, recorridos virtuales y observación para determinar la brecha tanto de manera general como especifica al proceso(s) elegido(s).

En esta fase se revisa el cumplimiento de las políticas, normas y procedimientos a nivel de registros generados en cada etapa. Se hacen pruebas de recorrido en los procesos de seguridad, por ejemplo, gestión de accesos, respaldos, manejo de información impresa y otros.

Detalles del evento

  • Fechas: del 25 al 28 de marzo
  • Horarios: De 19:30 a 21:30
  • Costo: 1500 Bs
    • Inscripcion temprana antes del 4 de marzo 1200 Bs
    • Clientes de Yanapti: 1200 Bs
    • Grupos de 3 o mas personas a 1200 Bs cada uno

Facilitador:

perito informatico

Pericias: Lecciones aprendidas

EN TERMINOS TECNICOS LAS PERICIAS PUEDE SER MUY PARECIDAS PERO EL MARCO DE CUMPLIMIENTO Y LAS PARTICULARIDADES DEL SISTEMA LEGAL HACEN LA DIFERENCIA

Llevo varios años con esta actividad y si bien cada caso tiene sus particularidades, puedo extraer puntos en común. LA1 - Los todologos con el poderLas personas tendemos a ser todologos. En este caso los profesionales de la ley cuidan a su gallinero celosamente. Con escasos conocimientos de la evidencia digital tienden a prescindir de profesionales técnicos que les auxilien en su difícil tarea de aplicar la ley. La pandemia ha incrementado este problema. Ahora todos se volvieron especialistas en redes sociales, conexiones remotas, sesiones virtuales, etc. Cuando puedes ser un usuario experto, pero no un especialista en el ámbito binario. LA 2 - Las pericias pueden nacer muertas Decimos así cuando generalmente se definen puntos periciales sin el conocimiento suficiente tanto del ámbito criminalista como del digital. Por ejemplo extraer el listado de programas instalados no tiene sentido sino se define el objetivo.OJOAlguna vez se hace de esta manera por algun oscuro interes en decir que hubo pericia, pero en realidad no buscar la verdad sino solo cumplir con un requisito legal. LA 3 - Uniformidad procedimental En teoria estamos en un mismo pais con el mismo marco jurídico, pero en la practica parece que vivimos en diferentes Estados. Algunos jueces incluso de manera muy soberbia obligan a proceder de la manera en que se hace en su juzgado. Ejemplo: Procesar la evidencia. En algunos casos se debe hacer en ambientes de la fiscalia o del juzgado, en otros, el perito recibe bajo cadena de cusltodio los dispositivos con la evidencia. En varias situaciones se entiende cuando conocemos la precariedad de las oficinas y ambientes disponibles. LA 4 - Los plazos parecen de series de televisión Muy pocos casos podrían resolverse en lo que dura una serie de televisión. Pero parece que los todologos podrían hacerlo.El consultor técnico debería sugerir el plazo aproximado para que el perito designado pueda aceptarlo después de haber conocido el caso.A los jueces les gusta el 15 y 20 como cantidad de dias para entregar percias. Pueden ser razonables. No pasa lo mismo cuando fijan en horas, 48 o 72 por ejemplo.  LA 5 - Recursos técnicos de hardware y software Generalmente no se proveen estos recursos, entonces para la fijación de precios, el perito podrá considerarlos.Duplicadores, puentes y software de análisis no son exclusivos para un caso, pero unidades de almacenamiento para trabajo y preservación si lo son. En terminos razonables el Ministerio Publico deberia proveer ciertos recursos o ambientes basicos. Pero en Bolivia no sucede asi. Entonces muchas veces el resultado dependera del billete que tengan las partes para contratar servicios con mayor capacidad y recursos. LA 6 - En arca abierta justos pecan En casos empresariales muchas situaciones se dan como fruto podrido de la debilidad y o ausencia de adecuadas políticas y controles de seguridad.Pudieron evitarse? Si, pero la ley del menor esfuerzo ocasiona la debilidad del control.Negligencia institucional? En muchos casos si. Controles inexistentes, obsoletos, incomprensibles, inaplicables, etc. Dan cabida a la oportunidad de delinquir. CONCLUSION PRELIMINAREn fin, comparto algunas lecciones aprendidas mientras me dirijo a realizar una nueva pericia. Emocionado? Por supuesto. En cada oportunidad puedo mejorar métodos, técnicas, uso de herramientas y mejorar mi resultado.

hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

En la medida que el marco de cumplimiento y el mercado nacional e internacional lo exijan, la ciberseguridad se fortalece. 

Ser muy permisivos y tolerantes no aplica a todos los niveles, los profesionales y los clientes financieros, debemos ser mas autocriticos!

No es suficiente esperar que el banco sea seguro, debemos exigirlo

Objetivo

Compartir resultados de trabajos de investigación y validación en plataformas de Banca web y móvil de Entidades de Intermedicacion Financiera: Bancos, Cooperativas, EFV, IFD y SAFIs 

Contenido

  • Estado de la Banca digital: Plataformas via Web y móvil. Caracteristicas principales
  • Marco de cumplimiento BCB y asfi ASFI sobre seguridad e IEP - Intrumentos Electronicos de pago
  • Vulnerabilidades comunes con ejemplos reales: Certificados digitales, 2FA, MFA, Regionalizacion, frecuencia, dispositivo de confianza, login, logs, datos sensibles, token, claves y otros
  • Estafas y Pericias forenses: robo de credenciales, phising, spearphishing. Puntos periciales, evidencia relacionada.

Modalidad

Presencial, con plazas limitadas. Evento recomendado para funcionarios de Entidades de Intermediacion financiera, firmas de auditoria y profesionales de TI, operaciones, riesgos, cumplimiento y auditoria.

Detalles

  • Tarija:
  • Viernes 17 de noviembre
  • De 09:00 a 12:30

Inversion: 

  • Bs 350 público en general. 
  • Bs 300 c/u clientes de Yanapti e infofor 
  • Bs 250 c/u  a grupos de 03 o mas funcionarios
  • Aplica a las gestiones 2022 y 2023. El descuento NO aplica a clientes anteriores a esas gestiones
  • La inscripcion comprende un certificado de participacion. El material no es parte de los entregables.
  • COORGANIZAN: Yanapti SRL e INFOFOR

Facilitador

Magister Ingeniero: Guido Rosales Uriona

Consultor especializado en temas de ciberseguridad con mas de 20 años reales dedicados.

Formulario de registro

Cargando…