16/05/2024

Mes: agosto 2020

Oportunidad Laboral: Banco FIE

Guido Rosales 26/08/2020

Compartimos 2 oportunidades laborales relacionadas con la Seguridad de la Información. Todos los datos necesarios están en las imágenes y pueden ser consultadas en los sitios web de esta Empresa.

Sin duda estas convocatorias demustran la encesidad de foratalecer las capacidades y habilidades en Seguridad de la Informacion.

Puede ser que aun no cumplas los requisitos, pero sin duda la CERTIFICACIÓN CISO, ha aportado en la formación de muchos de los actuales profesionales en seguridad. Prepárate para futuras oportunidades.

https://yanapti.com/2020/ciso-v20-recargado-por-pandemia/

ct

Informática Forense: El Consultor Técnico

Guido Rosales 26/08/2020

El rol del CONSULTOR TÉCNICO esta definido en los Códigos de Procedimiento tanto penal como civil, pero básicamente, puede apoyar en la definición de puntos periciales, evaluación de informes periciales, interrogatorio y contra interrogatorio durante las sesiones de juicio oral.

Código Penal

Artículo 207.- ( Consultores Técnicos ). El juez o tribunal , según las reglas aplicables a los peritos , podrá autorizar la intervención en el proceso de los consultores técnicos propuestos por las partes.

El consultor técnico podrá presenciar la pericia y hacer observaciones durante su transcurso, sin emitir dictamen. En las audiencias podrán asesorar a las partes en los actos propios de su función, interrogar directamente a los peritos , traductores o intérpretes y concluir sobre la prueba pericial , siempre bajo la dirección de la parte a la que asisten.

La Fiscalía nombrará a sus consultores técnicos directamente, sin necesidad de autorización judicial .

El consultor Tecnico en el Negocio

El tema forense en el negocio normalmente es una etapa posterior al tratamiento de incidentes. cuando el negocio percibe, sospecha comprueba que existe intencionalidad o la comisión de algún ilícito.

En el gráfico (parte de los PROTOCOLOS FORENSES) el paso 8 muestra el momento en que el negocio puede derivar un incidente para su tratamiento forense.

Procedimiento de Gestión Forense de incidentes

Como interactua el Consultor con el Perito y área legal?

El consultor Técnico y el area legal

El consultor técnico apoya en la definición de los puntos periciales, los perfiles de peritos informáticos necesarios, el contenido técnico mismo del caso.

El consultor Técnico, el perito y el área legal

Considerar al consultor técnico al final del caso es como traer a uno de tus mejores jugadores en los últimos 5 minutos cuando ya vas perdiendo por goleada.

Por que es necesario el consultor Técnico

  1. El rol esta muy descuidado por desconocimiento, y a veces por un tema económico.
  2. El desconocimiento vienen por parte de profesionales del área legal y también técnica.
  3.  El ministerio publico debería lanzar capacitaciones y entrenamientos para potenciar este rol en pro de una aplicación mas justa de la LEY.
  4. Los técnicos complican mucho la explicación de las pericias. Falta entrenamiento en oratoria forense
  5. Los abogados subestiman en alcance técnico de la evidencia digital
  6. El negocio resta fiabilidad a su evidencia digital al no contar con procedimientos y técnicas adecuadas para resguardar las mismas.
  7. Los técnicos no formados en Informática forense CONTAMINAN la evidencia digital en las primeras etapas del supuesto ilícito.
  8. Los efectivos de La policía nacional, no formados en Informática forense CONTAMINAN la evidencia digital en las primeras etapas del supuesto ilícito.
  9. No se contempla CADENA DE CUSTODIO
  10. No se aplica concepto del fruto del árbol prohibido.
  11. Los jueces aparentan entender las pericias técnicas, pero la superficialidad de sus preguntas demuestra lo contrario
  12. Las partes en litigio no procuran el apoyo de un Consultor Técnico.
  13. Los puntos periciales demuestran la NO participación del Consultor Técnico
  14. Los peritos a veces no aplican métodos Científicos en su investigación
  15. Los peritos No utilizan herramientas adecuadas de informática forense.
  16. El marco legal NO es adecuado y suficiente para propiciar el desarrollo de la Informática Forense en Bolivia
  17. No tenemos Colegios de profesionales en Informática Forense.

Zapatero a tus zapatos. el trabajo en equipo refuerza el resultado exitoso

Guido Rosales

Este y otros temas son aprte de las capacitaciones CISO, FCA e ISSA.

Pronto comenzamos con el ciclo de CISO

https://yanapti.com/2020/ciso-v20-recargado-por-pandemia/

Acuerdo de NO divulgación – NDA

Guido Rosales 26/08/2020

Sin duda un NDA - NON DISCLOSURE AGREEMENT, no es una practica acostumbrada en nuestro medio. Intercambiamos información con muchos clientes y proveedores de forma a veces MUY CONFIADA, a veces INOCENTE por no decirlo de otra forma. Vemos que áreas como Marketing envían planos de diferente tipo cuando buscan remodelar una oficina. Y lo que mas nos preocupa en este caso es la información que envían las unidades de TI sobre su tecnología y organización, planos de red, IPs de servidores, tecnología de desarrollo, código fuente, etc.

Por otro lado también sera natural que el Proveedor quiera establecer un NDA cuando la propuesta de servicios en si misma es una MINI CONSULTORIA donde le esta dando al potencial cliente la receta de como ejecutaría el proyecto solicitado, sus precios, variables, etc. Entonces no debe ser extraño que solicite previamente establecer un NDA.

Considerando por ejemplo la existencia y vigencia de PRIVACIDAD a nivel de personas naturales y jurídicas sera aun mas necesario establecer este tipo de acuerdos.

Efecto DISUASIVO

Sin duda ver la palabra "CONFIDENCIAL" ya genera un efecto de mayor cuidado, en algunos casos generara mas curiosidad, pero el rotular un documento con este titulo debe comunicar sobre la responsabilidad de cuidar de mejor manera el mismo. Sin duda quien quiera delinquir o aprovechar el contenido, lo hará con este y con otros controles que puedan existir.

La confidencialidad es un compromiso mutuo que puede derivar en un instrumento legal.

Cuando se establece un NDA

Se supone que cada negocio implementa un esquema de clasificación de la Información según su Política de Seguridad. Entonces cierto tipo de información recibe el nivel de confidencial y su transmisión a Terceros debe ser bajo ciertos controles.

Cuando se va a negociar por ejemplo, un servicio donde se debe dar a conocer cierta información confidencial, se debe establecer previamente un NDA con el potencial proveedor. Es importante resaltar que el NDA debe ser firmado por personas con el Poder legal suficiente para este tipo de documentos. Es decir, no puede hacerlo cualquier funcionario de las parte intervinientes.

Demas decir que un NDA hace parte de la Política de Seguridad y se debe tener establecidas las condiciones normativas y procedimentales para su aplicación.

Ejemplo de NDA

Modelo de NDA

Flujo operativo de un NDA

Flujo procedimental para establecer un modelo de NDA

Es un esquema básico, pero resalta la necesidad de involucrar al área legal para la formulación de los NDA correspondientes a diferentes situaciones.

Sin duda se debe ampliar, pero el nda debe tener un espacio en las POLÍTICAS de seguridad de la INFORMACIÓN.

Este y otros temas son parte del programa CISO - Certified Information Security Officer:

https://yanapti.com/2020/ciso-v20-recargado-por-pandemia/

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023