Mes: julio 2021

RUSIA y su Estrategia de Ciberseguridad según la OTAN

Guido Rosales 06/07/2021

No trato de justificar a nadie, pero tampoco considero racional aceptar posturas de critica hacia acciones que bien pueden no estar siendo ejercidas como gobierno por parte de EEUU y sus socios de la Comunidad europea, pero sus empresas tiene mucho que explicar. Ahora mismo cuando redactaba este articulo me tope con otro sobre la permanente grabación que estaría haciendo Google desde los teléfonos con su sistema operativo. Es decir, no es esa también parte de una estrategia por controlar el ciberespacio?

LA ESTRATEGIA RUSA DESDE LA PERSPECTIVA DE LA OTAN

La conceptualización rusa de "confrontación por la información”y el papel del ciberespacio dentro de él se describe en la política estratégica documentos, como seguridad nacional Estrategia (2015), Concepto de política exterior (2016), Doctrina de seguridad de la información (2016), Doctrina militar (2014), Vistas conceptuales
sobre la Actividad de las Fuerzas Armadas en el Information Space (2016), así como obras
y publicaciones de pensadores militares rusos.
Desde la perspectiva rusa, la guerra Cibernética o el equivalente ruso "GUERRA DE LA tecnología de la información"es sólo una parte de el concepto general de "información confrontación"
(informatsionnoe protivoborstvo).
El Ministerio de Defensa de Rusia describe la confrontación de información como el choque de intereses e ideas nacionales, donde se busca la superioridad apuntando la infraestructura de información del adversario mientras protege sus propios objetos de influencia similar. La traducción de la término informatsionnoe protivoborstvo en El inglés ha resultado difícil y, a menudo,
se ha traducido incorrectamente como "información warfare' ('informacionnaja vojna'), a pesar de el hecho de que protivoborstvo se refiera a "contrarrestar", "Contramedida" o "contraataque" en lugar de "guerra". Este documento utiliza la término "confrontación de información" debido a su
estado establecido en las discusiones sobre actividades informativas rusas hostiles.
El enfrentamiento incluye un importante mandato psicológico, por el cual un actor intenta afectar los recursos informativos (documentos en sistemas de información) así como las mentes del adversario personal militar y población en general.
En última instancia, las operaciones cibernéticas (o información técnica
medios) son uno de los muchos métodos utilizado para ganar superioridad en la confrontación. Rusia, y particularmente El régimen del presidente ruso Putin, ve la confrontación de información como una constante competencia geopolítica de suma cero entre grandes poderes, políticos y económicos
sistemas y civilizaciones.

Rusia percibe el espacio de información en términos muy geopolíticos, y su espacio de información nacional representa una continuación de las fronteras estatales territoriales, que ven como constantemente violadas por intrusiones extranjeras.

ASEGURANDO EL ESPACIO DE INFORMACIÓN -
"SOBERANÍA DIGITAL"

En octubre de 2019, entró en vigor la ley de "Internet soberana de Rusia", que permitió al gobierno para desconectarse de la Internet global a su discreción. Con este fin, el Kremlin tiene como objetivo que solo el 10% del tráfico de Internet ruso se enrute a través de servidores extranjeros para 2024.
El Kremlin considera que el control de su espacio de información nacional es esencial para su seguridad. Una amenaza al espacio de la información podría percibirse como una amenaza a la soberanía estatal. Esto explorará la implementación del concepto de "soberanía digital" a través de la exploración de medidas que se toman para asegurar el espacio de información nacional de Rusia.

Dejo el enlace para descargar el informe completo

https://stratcomcoe.org/publications/russias-strategy-in-cyberspace/210

CONCLUSIONES

Para entender las posiciones antagónicas actuales, que nos llevan muchos años al pasado, quizá tendríamos que remontarnos mucho tiempo atrás, hasta principios de la revolución rusa, pero no es la intención de este artículo.

Tenemos que situarnos en la época actual, 2021, donde vivimos una situación muy cambiante entre versiones de productos de software y hardware, una absoluta globalización de los servicios internet con tecnología CLOUD, donde los países deben ceder su soberanía ante gigantes tecnológicos como Google o Facebook.

Donde en cada versión se nos vende el producto MÁS seguro que el anterior y si no lo compras estas en mucho RIESGO!!

Al final las posiciones asumidas tanto por CHINA como por Rusia deben ser entendidas como opuestas a las estrategias empresariales que supuestamente tiene fines Comerciales, pero bien podemos entender que en el aspecto de la hegemonía y poder la forma de dominar no necesariamente se hace por medios bélicos o confrontaciones físicas. Ceder al poder comercial es ya una victoria y hasta una suerte de ocupación territorial.

Sera excelente que los programas de Maestría en Ciberseguridad y Ciberdefensa puedan analizar esto temas que van mas allá de un tema empresarial y pueden afectar las políticas nacionales de ciberseguridad.

CONTINUIDAD DEL NEGOCIO – CBCO – INICIO 9 DE AGOSTO

Guido Rosales 03/07/2021

Sin duda los acontecimientos coyunturales en el mundo y el país ponen aspectos de continuidad y resiliencia sobre el tapete, no solo a nivel empresarial, sino familiar y personal.

En la memoria pasada y reciente tenemos acontecimientos que marcan la linea en temas de CONTINUIDAD

USA 2001 Ataque Torres gemelas -
Océano indico - 2004 Terremotos y maremotos
Haiti 2010 - Terremoto
Japon 2011 - Terremoto y Tsunami
Bolivia 2000 - Cochabamba Guerra del agua
Bolivia 2002 y 2003 Inundaciones en La Paz
Bolivia - Octubre del 2003 - Guerra del gas. La Paz
Bolivia Sucre 2007 Convulsión social
Bolivia 2008 Santa Cruz - Convulsión social
Bolivia 2019 - Los meses de octubre y noviembre. Convulsión social.
Mundial y Bolivia - Efectos de la Pandemia

Aun no tenemos la certeza del derrotero que puedan seguir los últimos acontecimientos en el país. Por tanto, como dice la frase "Esperamos lo mejor, pero estamos preparados para lo peor". Los profesionales que nos dedicamos a temas de seguridad y continuidad podemos marcar la diferencia en donde estemos. El radio de influencia dependerá del rol que cada uno tenga. Pero en el menor de los casos esta formación le ayudara a mitigar los riesgos a nivel familiar.

No olvidemos conceptos como casos fortuitos, fuerza mayor, negligencia profesional, incumplimiento de deberes, incumplimiento de contratos, perdida económica, lucro cesante, daño emergente, omisión de responsabilidades y otras que pueden afectar a la empresa o en nivel profesional en este tipo de casos.

ANTECEDENTES

El Programa CBCO fue lanzado en su primer versión el año 2014, desde entonces se ha estado realizando con cierta regularidad en formato abierto, pero de forma mas intensa en modalidad cerrada para empresas.

Actualmente el programa esta en su versión 2. Esta oportunidad se esta tomando muchas lecciones aprendidas del sector de la aero navegación, donde la interrupción del negocio puede significar vidas y no se tiene la lógica de "apaguemos y volvamos a encender"

Director del Programa: MSC. ING GUIDO ROSALES URIONA.

El Ingeniero Rosales ha realizado sus estudios universitarios en la Universidad Internacional de AVIACIÓN CIVIL DE KIEV UCRANIA.

El año 2001 desarrollo el plan de continuidad para la entonces SBEF - Superintendencia de Bancos y Entidades Financieras.
El año 2006 ha desarrollado el plan de continuidad para el grupo ZURICH y La Boliviana Cia Cruz.
Desde el año 2003 a la fecha elabora Planes de Contingencia y continuidad para Entidades financieras en el marco del RGSI de ASFI.
En los últimos años ha dictado entrenamientos de RIESGO OPERACIONAL en la DGAC (Dirección General de Aeronáutica Civil), y en la ATT - Autoridad de Transporte y Telecomunicaciones. Entidades que regulan el sector aeronáutico en Bolivia.
También ha realizado evaluaciones GAP contra la ISO 22301 durante el año 2019 para empresas del sector financiero.

Es un programa basado en estándares como PASS 56, BSI 25999 e ISO 22301

Su contenido esta basado en la experiencia de mas de 20 años de la empresa YANAPTI SRL. Los innumerables trabajos de consultoria en el campo de la seguridad de la información han definido sus módulos, así como la alineación con importantes certificaciones internacionales.

Su contenido esta definido en 10 módulos que se desarrollaran en este Ciclo en 5 semanas, los días martes y jueves de 19:30 a 21:45

IMPORTANTE

Este programa ha sido desarrollado únicamente por YANAPTI SRL. Su AVAL ha sido ganado en los mas de 5 años que tiene el mismo.

No esta vinculado a Universidad u Organización alguna para precautelar el objetivo de su creación. INDEPENDENCIA DE OPINIÓN.

MODALIDADES

On line – Atendida con DOS sesiones semanales

INICIO 9 de agosto

HORARIOS

Dia Martes y jueves de 19:30 a 21:45 con 15 minutos de corte.

Sesiones remotas (desde PC o movil)

COSTO:

Todo el programa tiene un costo general de 650$US. Considerando el momento coyuntural que vive el pais se ha definido manejar un costo de 600$US.
Deposito Total en un solo pago (450$US antes del 30 de julio- Inscripción temprana)

COMPRENDE:

Acceso a sesiones en línea
Acceso a la Plataforma virtual por 12 meses desde el inicio del programa
Material de apoyo digital
Vídeos de análisis
Acceso a Biblioteca digital Yanapti (modelos de informes, libros digitales, artículos, videos y muchos más)
Seguimiento de tareas y avance
Consultas individuales
Derecho al examen de certificación durante 12 meses hasta 4 oportunidades
Impuestos de Ley

SE EXTIENDEN CERTIFICADOS DE:

Asistencia al 70% o más de las sesiones virtuales. Se valida participación
Aprovechamiento– Debe cumplir mínimo el 70% de las tareas modulares
Aprobación del Programa: Examen teórico (50%) y Practico (50%)

DIRIGIDO A:

Personal de Sistemas
Oficiales de Seguridad
Oficiales de Riesgos
Auditores de Sistemas
Auditores internos

CONTENIDO MODULAR:

CONTENIDO MÍNIMO

Módulo 1: Marco Metodológico y Estándares

En este modulo se analiza el conjunto de estándares relacionados con la continuidad, desde documentos como PAS56, BSI 25999 hasta la ISO 22301. Se estudia el marco metodológico para implementar un SGCN.

Modulo 2. Análisis de brechas. Diagnóstico

En este modulo se dan los lineamientos para realizar un análisis de diagnostico organizacional respecto a la continuidad del negocio.

Se toman ámbitos como el estratégico, normativo, operacional, tecnológico y humano.

Modulo 3: Gestión de Riesgos de Continuidad

Este módulo esta orientado a la identificación de amenazas, riesgos, evaluación, análisis y mitigación de riesgos como marco metodológico. Muestra tipos de estudios como Riesgo radio perimetral, dispersión domiciliaria, riesgo colateral, riesgo indirecto, riesgo del mercado, etc.

Módulo 4: Análisis de Impacto al Negocio

El análisis de impacto complementa la Gestión de riesgos ampliando en otras dimensiones sobre todo económico financieras. Se toma en cuenta los escenarios: Financiero, Imagen, Normativo, Organizacional y Legal. En todos ellos se busca cuantificar la potencial perdida, el lucro cesante, el daño emergente tanto directo como de recuperación.

Modulo 5: Estrategias de Continuidad

Cuando el BIA o análisis de impacto no es satisfactorio, deben ampliarse las estrategias de continuidad: eliminación de la fuente de riesgo, Seguros, transferencia del riesgo con salvaguardas contractuales, Planes de Contingencia, continuidad, recuperación y otras estrategias.

Módulo 6. Gestión de Crisis

La materialización de un riesgo de continuidad puede alterar el orden normal del negocio. Pone a prueba la clásica condición que se coloca al momento de contratación "Trabajo bajo presión". Los momento de crisis pueden cuestionar seriamente el principio de autoridad en las empresas, romper esquemas que funcionan normalmente en condiciones estables. En este modulo se busca componer una estructura de dirección con caracteristicas elevadas de resiliencia tato personal para elevar hacia un ámbito institucional

Módulo 7. Planificación y ejecución de Pruebas

Todos los posibles escenarios de riesgo definen estrategias de tratamiento. Todas estas medidas y estrategias deben probarse tanto de forma individual como integral de inicio a fin, incluyendo stakeholders. En este modulo se dan los lineamientos de planificación, ejecución y control de pruebas.

Módulo 8: Métricas e indicadores de Continuidad

Estar bien es bueno, pero para lograr un adecuado nivel de madurez en la preparación para la continuidad se deben definir métricas e indicadores que permiten medir el estado del negocio y en función de esto lograr entrar en un esquema de Mejora continua.

Módulo 9: Sistema de Gestión de la Continuidad SGCN

Comprende el estudio pormenorizado de la ISO 22301 para lograr implementar un SGCN bajo sus lineamientos y poder apuntar hacia una certificación del negocio.

Módulo 10: Desarrollo de la Cultura de Continuidad y Resiliencia

El espíritu de un SGCN debe ser NO PARAR, pero ante esa posibilidad debemos pensar en caer lo mas lento posible y con el menor impacto y aun en esta condición buscar levantarnos lo mas pronto posible, en el menor tiempo y hasta lograr no solo recuperar el negocio a un estado anterior sino aprovechar la adversidad y mejorar. Ese es el espíritu de este modulo. Establecer una cultura organizacional orientada a la prevención y completar recuperación.

PLATAFORMA YOBLAKA

Se dispone de una plataforma de educación a distancia donde se cuenta con un aula virtual.

Los videos son colgados en esta plataforma y disponibilizados para los participantes después de máximo 2 días de haber tenido la sesión en linea.

MAS DETALLES

Escribir a capacitacion@yanapti.com

Call Centers y CiberFraudes

Guido Rosales 03/07/2021

QUE ES BÁSICAMENTE UN CALL CENTER

Un call center, traducción que en español significa centro de llamadas o centro de atención telefónica, utiliza como canal principal el canal telefónico. A través de él, los teleoperadores, como son llamados los asesores o agentes de atención al cliente, reciben y realizan llamadas a clientes actuales y potenciales.

LOS CALL CENTERS DEBEN SER REGULADOS? POR QUE?

La ingeniería social, la suplantación, el mercado negro de información, la falta de regulación especifica, la ingenuidad de las personas y varios otros factores se conjugan haciendo de estos negocios una potencial fuente de ciberfraudes.

1.- FORMALIDAD Y OPORTUNIDAD

Sin duda el concepto de Call center ha ayudado mucho a difundir servicios, responder consultas, promover campañas y todo el mundo de la atención remota mediante llamadas telefónicas principalmente.

Muchos de estos negocios fueron internos a las empresas inicialmente y con el tiempo nacieron modelos tercerizados que brindan servicios externos.

Entonces el problema no está necesariamente en su CONCEPTO MISMO, sino en la coyuntura de los Fraudes relacionados con la Ingeniería social y las múltiples herramientas de suplantación, edición de audio y otras que hacen posible modelos sofisticados de FRAUDES y Ciberfraudes aprovechando la existencia no regulada de estos negocio.

Entonces como primer medida se deberá diferenciar entre negocios de CALL CENTER formalmente establecidos desde el PRINCIPIO con deberes laborales, tributarios, sociales etc. y negocios de GARAGE conformados aprovechando las oportunidades de la tecnología.

2.- CONCENTRACIÓN Y PROTECCIÓN DE INFORMACIÓN PERSONAL Y PRIVADA

Un call center puede acumular mucha información sobre laspersonas y las empresas, entonces nace la necesidad de regular la obtención, tenencia y protección de la misma.

2.1 OBTENCIÓN -

Cada Callcenter debería declara la fuente de sus datos. Obtención legal o receptación de información ilícitamente obtenida.

2.2 TENENCIA Y USO -

Deberían tener definido el uso que le dan a cada grupo de información, por cuanto al no tener BOLIVIA una ley de Protección de datos, muchas veces proporcionamos información para una finalidad, pero la utilizan para otra.

2.3 PROTECCIÓN

Cada negocio de call center deberá implementar suficientes controles operativos y técnicos para garantizar la NO filtración consentida o no autorizada de los datos que tiene. Un negocio de este tipo llega a ser muy atractivo para robar sus datos.

Puedes no ser el objetivo, sino el medio o herramienta del ciberfraude

DE MUESTRA UN BOTON? QUE PASO EN COLOMBIA

La Dirección de Investigación Criminal e Interpol de la Policía (Dijín) anunció la desarticulación de la banda los “Call Center”. Se trataría de un grupo de 51 personas, quienes en oficinas en Bogotá, Cali, Manizales, Armenia y Pereira, se encargaban de llamar, con datos personales en mano, a potenciales víctimas para estafarlas. El grupo habría robado a alrededor de 3.500 personas y se habría quedado con más de $5.000 millones.

Puede leer el articulo completo en:

https://www.elespectador.com/judicial/asi-operaban-los-call-center-presuntos-estafadores-de-3500-personas/

Un ejemplo, simple pero muy claro

https://yanapti.com/wp-content/uploads/2021/07/Llamadasypt-1.m4v

CONCLUSION Y RECOMENDACION

Por dónde Comenzar?

Puede ser difícil sin el marco legal y regulatorio, pero por ejemplo en el área de Intermediación Financiera los call centers son un complemento de atención a los instrumentos electrónicos de pago, entonces el BCB y ASFI deberían generar la regulación correspondiente para que el servicio de call center tanto INTERNO como TERCERIZADo cumpla con ciertas medidas de seguridad por cuanto es un SERVICIO COMPLEMENTARIO y pude tener tanto dato como un BIC (Buro de informacion crediticia)

Además gran parte de los fraudes telefónicos se están dando con relación a campañas de phishing y spam para obtener datos sensibles. La población se ve expuesta a campañas reales tanto de Operadores de Telefonía como de los mismo Bancos.