05/05/2024

Consultorías

CASO DE BANCO AUSTRO EN ECUADOR PARECIDO AL CASO DEL BANCO DE CHILE

Guido Rosales 27/06/2018

 

DICEN QUE ES MEJOR APRENDER EN PIEL AJENA..EN FIN..
El caso del Banco austro data del 2016, su identificación, el de Chile del mes pasado!!

Los cibercriminales se apropiaron de 9 millones de dólares provenientes del Banco del Austro en un ataque similar a los perpetrados en Bangladesh y Vietnam.

El Banco del Austro, ha presentado una demanda en la corte neoyorquina, acusando a Wells Fargo & Co. de no detectar una docena de transferencias no aprobadas y de no detenerlas antes de que los millones de dólares pasaran a varios bancos, la mayoría en Hong Kong.

Según la demanda, Banco del Austro pudo recuperar 2,8 millones de dólares del dinero robado y ha iniciado procedimientos legales en Hong Kong para intentar recuperar el resto. No se sabe qué paso con el dinero tras llegar a Hong Kong.

Banco del Austro indica, según su versión en la demanda, que por cada transferencia no autorizada, había un usuario no identificado usando el sistema de ordenadores de su banco, a través de malware que permitía el acceso remoto. Una vez identificado en el sistema, la transferencia se redirigía a otros beneficiarios modificando la cantidad, esta vez más generosa.

Programa de MentorYa en Seguridad de la Informacion

Guido Rosales 21/03/2018

Mentoria en Seguridad de la Información.

Todos en algún momento requerimos consultar a alguien con mas experiencia, sobre pequeñas o grandes dudas, sobre lineamientos o conocimientos específicos.

Este programa ha sido diseñado precisamente para apoyar el crecimiento de la comunidad de profesionales en Seguridad de la Informacion.

El programa busca abastecer con respuestas en diferentes niveles para poder satisfacer las necesidades de los participantes. Existe un esquema de escalamiento y agrupación de expertos cuando las dudas así lo ameriten. Todo bajo la responsabilidad y coordinación de YANAPTI SRL y el Director del Programa  Guido Rosales.

 

En que momento necesitas un mentor?

  • Preparar el análisis de Riesgos
  • Elaborar el PETI, BIA, PCT, PCN u otros
  • Elaborar el Plan de Acción a la Auditoria de sistemas y seguridad
  • Responder una carta o notificación del ente regulador.
  • Elaborar terminos de referencia para alguna contratacion
  • Lidiar con Directores, gerentes o usuarios conflictivos
  • Desarrollar Politicas, normas y procedimientos
  • Otros temas del dia a dia

Como acudes a tu mentor?

Por los canales de comunicación del ciber espacio. La Plataforma YOBLAKA tiene diferentes recursos para abastecer esa linea de comunicación permanente.

Los participantes tienen una suerte de TELÉFONO ROJO para acudir a su Director de MentorYa.

Marcas una reunión, puedes enviar tus dudas o esperar el momento del encuentro virtual.

DEFINICIONES

La mentoría es una relación de desarrollo personal en la cual una persona más experimentada o con mayor conocimiento ayuda a otra menos experimentada o con menor conocimiento. La persona que recibe la mentoría ha sido llamada tradicionalmente como protegidodiscípulo o aprendiz.

En la literatura existen diversas definiciones de la mentoría. No obstante, el aspecto central es que la mentoría involucra la comunicación y está basada en una relación. En un ambiente organizacional, la mentoría puede tomar varias formas. Bozeman y Feeney definieron la mentoría como "un proceso para la transmisión informal del conocimiento, el capital social y el apoyo psico-social, percibidos por el recipiente como relevante para el trabajo, la carrera o el desarrollo profesional; la mentoría envuelve la comunicación informal, usualmente cara a cara y durante un período de tiempo sostenible entre una persona que se percibe poseedor de más conocimiento relevante, sabiduría o experiencia (el mentor) y una persona que se percibe con menos (el protegido).

MENTORYA

El programa de Mentorias de YANAPTI esta dirigido a:

  • Personas jurídicas
  • Personas naturales

Comprende la contratación del programa bajo la modalidad de Bolsas de Consulta o Sesiones Prepagadas.

Los paquetes comprenden horas anuales que deben ser consumidas en los 12 meses a partir del momento de su contratación.

Las áreas de especialidad son:

  1. Gestión de la Seguridad de la Información
  2. Auditoria de Sistemas
  3. Informática forense
  4. Derecho Informático
  5. Gestión de Proyectos de TI y Seguridad
  6. Gestión de riesgos de Tecnología
  7. Gestión de la Continuidad del Negocio
  8. Gestión de la Prevención del fraude
  9. Otras entorno a Tecnologías y Seguridad de la Información.

Recomendada para Profesionales en funciones de:

  • Gerentes de TI o Sistemas
  • Oficiales de Seguridad
  • Oficiales de Cumplimiento
  • Auditoria de sistemas
  • Oficiales de Riesgo

Para Personas Jurídicas comprende:

Asesoramiento o mentoria de Comités de Seguridad, continuidad, auditoria y riesgos principalmente.

QUE NO ES EL PROGRAMA

No es un servicio de consultoria en linea.

No se acude al Mentor para definir temas puntuales. Técnicos o económicos. Tampoco para pedir referencias de proveedores, productos o personas.

INVERSIÓN

Participar en el programa no tiene un costo determinado. Existen paquetes personalizados en diferentes niveles, en función de la probable ayuda que pueda requerir el participante.

 

 

Si desea mas informacion escribanos a info@yanapti.com

o complete el siguiente formulario

https://docs.google.com/forms/d/e/1FAIpQLScmJmODGZI4Js-bZQYvv3NTRkbuyUwPodGdt05yWpnR-fFe2A/viewform?usp=sf_link

 

Falta empoderamiento de la función de Seguridad de la Información

Guido Rosales 19/03/2018

Autor: Guido Rosales

Tratamos de ser imaginativos para decirle al negocio que la unidad de seguridad necesita ser empoderada. Es decir, requiere ser dotada de AUTORIDAD, JERARQUÍA y PODER para realmente ser efectiva dentro el negocio.

Por supuesto que no son todos, pero solo veamos organigramas para responder donde pasa esto. Y salarios por supuesto. Si tu gerente de TI recibe el doble que tu supuesto "Gerente" de Seguridad, no será un tema de jerarquía, pero si de empoderamiento y consecuente autoridad.

La misma regla aplicamos a las comparativas con gerencias de ventas, créditos, operaciones contra sistemas y seguridad.

Ya no podemos decir que sea una quinta rueda del automóvil por cuanto su presencia ya es más participativa. Pero creo que paso de ser una rueda de auxilio, a ser un aditivo decorativo al momento de recibir la visita del Ente regulador o salir en los medios públicos para decir que la Entidad se preocupa por la seguridad.

Creo que ya pasamos de que sea la quinta rueda, pero aun falta. En algunos casos son como las cadenas que se usan para la nieve. Son convocados cuando el ENTE regulador visita con su talonario de multas.

 

En otros casos son como un talismán de la buena suerte!! a ver si con prenderles una vela se repele a los hackers!!

 

Debería haber un equilibrio caso contrario aún están en la época del talismán, la quinta rueda o las cadenas de seguridad para nieve.

¿En que basamos la opinión? Tanto en temas externos como campañas de marketing y publicidad que no contemplan la exposición y riesgo, así como en la capacidad de decisión que tienen las unidades de seguridad sobre la infraestructura de protección. Al final sigue siendo la unidad de TI que elije Antivirus, compra firewalls, gestores de logs y demás elementos que deberían ser tuición de las unidades de seguridad. Por supuesto en coordinación con TI, pero con el poder de decisión.

Se aprecia que los requerimientos de negocio no toman en cuenta la opinión de riesgo de la unidad de seguridad. O se les pregunta cuando el Ente regulador solicita tal documento.

El negocio debe darle el silbato a su unidad de seguridad junto con toda la autoridad para detener proyectos que salen a producción con debilidades de seguridad. Pero como pude mas la necesidad de salir en la foto, adelante, que después arreglamos.

Otro factor relevante que tomaremos en cuenta en otro articulo tiene que ver con la madurez del personal en la función de seguridad. Las entidades de regulación no están definiendo el perfil profesional que estos deben tener.

Asi que un ingeniero junior que sabe lanzar unos cuantos ataques de hacking, pronto es el Oficial de Seguridad, sin la suficiente barba como para sentarse en una mesa de Directorio o Comités de Negocio y defender el Riesgo en Seguridad. Falta del joven profesional? o del Sistema que lo ha contratado?

El resultado es muy claro. Las unidades de seguridad son avasalladas por el negocio, por TI y otras áreas con mayor poder en el negocio. Aun pasara mucha agua antes de que se entienda sobre el equilibrio de poderes.

Empoderar la unidad de seguridad no va con un MEMO de Poder, sino con un cambio en la mentalidad de los emigrantes digitales. el mundo esta cambiando. Deben actualizarse o ceder espacio al empuje de las nuevas tecnologías.

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023