Nov
26

Proteja sus datos en Línea

nisti2 Noticias Add you comment

Cuando ya empezábamos a acostumbrarnos a lidiar con los virus que se dedican a destruir los PC, surge en el mundo una nueva amenaza informática de rápido crecimiento. Se trata del delito de robo de identidad a través de internet mediante el cual un ciberdelincuente puede solicitar en nombre de una tercera persona todo tipo de crédito, así como realizar operaciones de cobro de ahorros o pólizas, sin que la persona afectada tenga conocimiento de ello.

Precisamente para hablar sobre este delito llegó ayer a Chile Daniel Monastersky, experto argentino en e-commerce y derecho informático, y fundador de Identidadrobada.com, el primer sitio de Latinoamérica para la prevención de fraudes a través de la red.

El experto, que participará hoy en el seminario internacional “Comercio Electrónico: su impacto comercial y legal” organizado por el Duoc UC, explicó que nadie está a salvo del robo de identidad.

Agregó que esta actividad ilícita comenzó en los países más desarrollados, sin embargo, “poco a poco se ha ido arraigando en los países donde los marcos jurídicos enfrentan enormes lagunas legales para contrarrestar y castigar las nuevas modalidades delictuales ligadas con el ámbito financiero”, tales como: el phishing, la clonación de tarjetas, la sustracción de códigos y contraseñas en los cajeros automáticos; y los fraudes por banca electrónica.

Recomendaciones

El abogado especialista en tecnologías de la información aclaró que el robo de identidad tiene diversas variantes, puesto que puede suceder por medio de la red, pero también a través de la banca electrónica por vía telefónica.

“Lo importante es que las empresas en Chile y en América Latina comiencen a adoptar una política de puertas abiertas cuando son víctimas de este tipo de delito, tal como ocurre en Estados Unidos o Europa y no esconder estos hechos por el equivocado temor de dañar la imagen de la institución”, acotó el experto.

Con el propósito de que las personas eviten ser víctimas de este tipo de fraudes, dijo que ante la llegada de cualquier e-mail sospechoso de una entidad bancaria o comercial se debe informar inmediatamente a la empresa aludida, a fin de verificar la veracidad de la información.

“Los delincuentes a través de internet duplican un sitio web y envían correos electrónicos solicitando al cliente alguna información personal o una contraseña de seguridad, para luego cometer el fraude”, advirtió el profesional.

Recomendó a los usuarios no responder a los mensajes electrónicos o de aparición automática (pop-up messages) mediante los que les soliciten información personal o financiera, además de no vincular aquellos enlaces incluidos en estos mensajes. Otra de las precauciones que los usuarios deben tener en cuenta es evitar utilizar la función copiar y pegar para colocar el domicilio de un enlace en el navegador de internet, puesto que los “pescadores de información” o phishers pueden conectarlos a una dirección electrónica fraudulenta.

Via El Mercurio de Valparaiso, Chile

,
Nov
26

Factura Electrónica: Aspectos Legislativos

nisti2 Noticias Add you comment

En el anterior post del especial de la factura electrónica introducimos el concepto de factura electrónica y su definición, hoy vamos a intentar resumir de forma concisa los aspectos legislativos de la factura electrónica. Aunque es ahora cuando más se empieza a hablar de la factura electrónica la legislación se remonta ya unos años.

Las primera ley que hace referencia a la factura electrónica es el REAL DECRETO 1496/2003, en el que se regulan las obligaciones de facturación y respecto a la factura electrónica nos indica en el Artículo 8 del Reglamento por el que se regulan las obligaciones de facturación:

Las facturas o documentos sustitutivos podrán expedirse por cualquier medio, en papel o en soporte electrónico, que permita la constatación de su fecha de expedición, su consignación en el libro registro de facturas expedidas, regulado en el artículo 63 del Reglamento del Impuesto, y su adecuada conservación.

Read the rest of this entry

Nov
26

Factura electrónica: ¿en qué consiste la factura electrónica?

nisti2 Noticias Add you comment

Una de las cuestiones que en los próximos años acabará imponiéndose en la empresa hasta hacerse imprescindible es la factura electrónica, en primer lugar debemos de contestar a la pregunta, ¿en qué consiste la factura electrónica?.

Podemos definir la factura electrónica según el anteproyecto de Ley de Medidas de Impulso de la Sociedad de la Información como:

Un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que permite atribuir la factura a su obligado tributario emisor


Intentaremos completar el especial dando respuesta a los problemas legales de la factura electrónica, el proceso de emisión y recepción, programas que nos ayudan a crear las facturas electrónicas, integración con nuestros ERP, ventajas que nos aporta o subvenciones disponibles para su implantación. Intentaremos explicarlo de forma amena y accesible para todos, sin entran en detalles técnicos más allá de lo imprescindible.

Para emitir una factura electrónica tenemos varios requisitos que debemos cumplir siempre de forma necesaria:

  • Formato electrónico: que puede ser XML, PDF, html, doc, xls, por citar algunos de los más conocidos.
  • Transmisión telemática: la factura electrónica está pensada para ser creada en un ordenador y tratada por otro ordenador. El objetivo es que el papel no llegue a utilizarse nunca como soporte de la factura.
  • Integridad: se debe garantizar la integridad del documento gracias a la firma electrónica, de la que ya hemos hablado en varias ocasiones en este blog y que para este cometido deber ser una firma electrónica avanzada y deberá estar firmada tanto por emisor de la factura como por su receptor para que tenga validez legal.

Los campos de los que debe constar una factura electrónica son los mismos que debemos incluir en una factura normal. Durante el especial que desarrollaremos intentaremos dar respuesta a todas vuestras preguntas y dudas sobre todo lo relacionado con la factura electrónica, así que esperamos ser de ayuda e ir haciendo un poco más familiar para todos la factura electrónica.

Via: Tecnología PyME

,
Nov
22

¿Por qué es tan importante hablar de Data Loss Prevention?

nisti2 Noticias Add you comment

Como concepto general, se sabe que hay que proteger la información de la compañía. En este punto, lo importante es destacar que a la información hay que protegerla SIEMPRE.

La información puede estar en tres estados: en uso, en transporte, o en almacenamiento. En los tres casos debemos asegurar su confiabilidad, su integridad y su disponibilidad.

El primer concepto implica que solamente las personas autorizadas tengan acceso a la información. En tanto, el segundo término consiste en asegurar que cada vez que busco un dato, el mismo es fidedigno y no ha sido modificado. Por último, la disponibilidad tiene que ver con asegurar que voy a poder acceder al dato siempre que lo necesite.

Ahora apliquemos estos conceptos los tres estados en que puede estar la información:

  • En uso: En general, esto se da cuando lo estoy usando dentro de mi PC.
  • En transporte: Este es un caso para tener en cuenta, ya que el transporte es amplio. Consideramos aquí, cuando un dato es enviado dentro de la red, por ejemplo desde una oficina a otra o hacia el Data Center. Pero no podemos olvidar que cuando llevamos un pendrive, estamos transportando información. Lo mismo ocurre cuando llevamos una notebook de un lado a otro. ¿Qué ocurre si la laptop es robada?
  • En almacenamiento: es cuando el dato está guardado en un lugar fijo, como por ejemplo un Data Center o en un Server dentro de la empresa.

De los tres casos, cada uno tiene su forma de proteger a la información.

Pero concentrémonos en los dispositivos móviles (notebooks, pendrives, smartphones, etc). En este punto es importante tener una política definida sobre la protección de los datos ya que, si cuando están dentro de la empresa, en general están en mayor o menor medida protegidos, cuando los transportamos físicamente hay muy poco hecho.

Al respecto, a fin de garantizar la seguridad de los datos transportados se deben encriptar los discos rígidos de las notebooks para evitar que, ante una pérdida o robo, la información pueda ser utilizada. Asimismo, existen en el mercado pendrives con password, donde toda la información contenida esta encriptada, llegando incluso a poder tener lectores de huellas digitales en los mismos.

Otro punto a tener en cuenta es qué ocurre con los puertos de las computadoras. En este sentido, tenemos que asegurar que cuando un archivo es confidencial el mismo no pueda ser copiado, impreso, o gravado en un pendrive o similar. Hoy en día los celulares poseen muchas capacidades, y tenemos que considerar si estos dispositivos no pueden ser un problema de seguridad para la empresa.

Por todo lo dicho, se aconseja implementar soluciones de protección de datos, que permitan encriptar toda la información de los dispositivos móviles, bloquear los puertos de computadoras solamente para los archivos marcados como confidenciales, no permitir su impresión o copia, etc.

Con respecto a la red, hay que encriptar los vínculos y segurizar los accesos, entre otras medidas para prevenir la perdida de información.

Con todo esto lograremos estar mejor preparados para enfrentar la problemática del robo de información, defendiendo los intereses de nuestra compañía.

Via http://www.redusers.com

Nov
19

Gestion de Claves

nisti2 Noticias Add you comment

Generación de claves

La seguridad de un algoritmo descansa en la clave. Un criptosistema que haga uso de claves criptográficamente débiles será él mismo débil. Algunos aspectos a considerar que se presentan a la hora de la elección de las claves son:

Espacio de claves reducido

Cuando existen restricciones en el número de bits de la clave, o bien en la clase de bytes permitidos (caracteres ASCII, caracteres alfanuméricos, imprimibles, etc.), los ataques de fuerza bruta con hardware especializado o proceso en paralelo pueden desbaratar en un tiempo razonable estos sistemas.

Elección pobre de la clave

Cuando los usuarios eligen sus claves, la elección suele ser muy pobre en general (por ejemplo, el propio nombre o el de la mujer), haciéndolas muy débiles para un ataque de fuerza bruta que primero pruebe las claves más obvias (ataque de diccionario).

Claves aleatorias

Claves buenas son las cadenas de bits aleatorios generadas por medio de algún proceso automático (como una fuente aleatoria fiable o un generador pseudo-aleatorio criptográficamente seguro), de forma que si la clave consta de 64 bits, las 264 claves posibles sean igualmente probables. En el caso de los criptosistemas de clave pública, el proceso se complica, ya que a menudo las claves deben verificar ciertas propiedades matemáticas (ser primos dos veces seguros, residuos cuadráticos, etc.).

Read the rest of this entry

, , , ,
Nov
19

Mecanismos de Seguridad

nisti2 Noticias Add you comment

No existe un único mecanismo capaz de proveer todos los servicios anteriormente citados, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes:

  • Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos.
  • Cifrado: garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico. Estos sistemas son mucho más rápidos que los de clave pública, resultando apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo, que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.

Read the rest of this entry

, ,
Nov
19

Amenazas de Seguridad

nisti2 Noticias Add you comment

Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.

Read the rest of this entry

, ,
Nov
19

Servicios de seguridad

nisti2 Noticias Add you comment

Para hacer frente a las amenazas a la seguridad del sistema se definen una serie de servicios para proteger los sistemas de proceso de datos y de transferencia de información de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad. Una clasificación útil de los servicios de seguridad es la siguiente:

  • Confidencialidad: requiere que la información sea accesible únicamente por las entidades autorizadas. La confidencialidad de datos se aplica a todos los datos intercambiados por las entidades autorizadas o tal vez a sólo porciones o segmentos seleccionados de los datos, por ejemplo mediante cifrado. La confidencialidad de flujo de tráfico protege la identidad del origen y destino(s) del mensaje, por ejemplo enviando los datos confidenciales a muchos destinos además del verdadero, así como el volumen y el momento de tráfico intercambiado, por ejemplo produciendo una cantidad de tráfico constante al añadir tráfico espurio al significativo, de forma que sean indistinguibles para un intruso. La desventaja de estos métodos es que incrementan drásticamente el volumen de tráfico intercambiado, repercutiendo negativamente en la disponibilidad del ancho de banda bajo demanda.
  • Autenticación: requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa. Se distinguen dos tipos: de entidad, que asegura la identidad de las entidades participantes en la comunicación, mediante biométrica (huellas dactilares, identificación de iris, etc.), tarjetas de banda magnética, contraseñas, o procedimientos similares; y de origen de información, que asegura que una unidad de información proviene de cierta entidad, siendo la firma digital el mecanismo más extendido. Si le interesa, puede leer el curso de control de acceso en Internet mediante técnicas básicas.
  • Integridad: requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación y reactuación de los mensajes transmitidos. La integridad de datos asegura que los datos recibidos no han sido modificados de ninguna manera, por ejemplo mediante un hash criptográfico con firma, mientras que la integridad de secuencia de datos asegura que la secuencia de los bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o perdidas, por ejemplo mediante time-stamps.
  • No repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.
  • Control de acceso: requiere que el acceso a los recursos (información, capacidad de cálculo, nodos de comunicaciones, entidades físicas, etc.) sea controlado y limitado por el sistema destino, mediante el uso de contraseñas o llaves hardware, por ejemplo, protegiéndolos frente a usos no autorizados o manipulación.
  • Disponibilidad: requiere que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando los necesiten.

Via http://www.iec.csic.es

,
« Previous Entries
Next Entries »