Archivo de la categoría: Seguridad

Atenea Interactiva colabora en el seminario «El uso malicioso de Internet contra las empresas»

Deja un comentario

RedHat, Ondata International , Atenea Interactiva y la E.U.E de la Universidad Complutense de Madrid les invitan a participa en el seminario de:

«El uso malicioso de Internet contra las empresas, la seguridad informática como herramienta de prevención y la vulnerabilidad de los datos a nivel usuario.»

El encuentro no tiene ningún coste para los invitados

Objetivo del encuentro: La seguridad de los sistemas informáticos en empresas e instituciones se ha convertido en una prioridad en el mundo digital en que vivimos, de igual manera en paralelo los ataques desde Internet con objetivos fraudulentos siguen creciendo, así como incidencias técnicas que comprometen la continuidad del negocio. El encuentro pretende que los participantes compartan métodos para la encriptación segura de sus correos electrónicos en la empresa, la importancia de la firma digital segura, descubran la posibilidad de recuperación de datos en situaciones consideradas catastróficas. Evalúen la importancia que tiene la seguridad digital en su organización. Descubrirán cómo en cuestión de minutos se puede generar una herramienta maliciosa indetectable para los antivirus. Conocerán la metodología usada paso a paso para acceder a redes inalámbricas.

Fecha de evento:
8 de Marzo 2007
Horario: 9:45 a 12:45h

Lugar:
Salón Catedrático D. Juan Bejar
E. Universitaria de Estadística
Universidad Complutense de Madrid
Avda. Puerta de Hierro s/n
Ciudad Universitaria 28040 – MADRID

Inscripciones en el web de OnData

Exposec 2007 en Reus

2 respuestas

Anteayer tuvo lugar en Reus la primera jornada del año 2007 del Programa Exposec 2007 organizado por ASIMELEC.

El evento, que tuvo lugar en las magníficas instalaciones del recinto ferial de Reus, contó con la inauguración oficial por parte de D. Félix Oliva, vicepresidente de la Cámara de Comercio de Reus, y la clausura de D. Jordi Masias, Director General de CatCert-AGENCIA CATALANA DE CERTIFICACION.

En las Jornadas, D. Santi Casas, Asesor de ASIMELEC llevó a cabo la introducción «Análisis de la seguridad como concepto global«, yo hablé sobre «Factura electrónica«, D. Enric Hernández Responsable del área de Seguridad y PKI de ANCERT-Agencia Notarial de Certificación, aclaró aspectos sobre formatos de firma electrónica a largo plazo, José Helguero Director General de HELAS CONSULTORES introdujo las exigencias que impone la LOPD y la LSSI a las empresas y los cambios que se esperan en relación con dichas normas y D. Emilio Castellote Director de Marketing de Producto de PANDA SOFTWARE disertó sobre la evolución del MALWARE y las técnicas de defensa más actuales.

Los aspectos más relacionados con la identidad digital se trataron en la parte final de la jornada, D. Ignacio Alamillo Responsable de la Asesoria Jurídica de CATCERT-Agencia Catalana de Certificación los trató especialmente desde el punto de vista de la Administración Pública, haciendo referencia, entre otros elementos al DNI electrónico. En el mismo contexto, Jorge Gómez Director General deC3PO hizo una introducción a los elementos constitutivos de la firma electrónica y a su uso con trajetas chip y la clausura de Jordi Masias hizo un repaso histórico a los 13 años de firma electrónica en España en los que él mismo ha tenido un papel relevante, junto con otros pioneros.

El nivel de asistencia fue muy considerable tanto en número como en interés de los asistentes, lo que quedó de manifiesto por las preguntas formuladas en el evento.

Al finalizar, en torno a las 15:00 horas, se produjo todavía cierto debate en los pasillos, lo que siempre es un ánimo para los ponentes que vamos a estos eventos y que así obtenemos cierta realimentación sobre el interés de los temas abordados.

Las próximas fechas son:

  • 15-Marzo-2007 Málaga
  • 19-abril-2007 Vigo
  • 17-Mayo-2007 Fuerteventura – Puerto del Rosario
  • 18-Mayo-2007 La Gomera – San Sebastián
  • 14-Junio-2007 Ciudad Real

Os animo a los que seais de la zona a avisar a vuestros conocidos, ya que es una mañana dedicada a tratar temas de gran actualidad que nos pueden ahorrar muchos quebraderos de cabeza sabiendo como enfocar determinados problemas. Y gratis.

Bajo cumplimiento de los requisitos PCI DSS

1 respuesta

Según una encuesta de The Logic Group, solo un 3% de las entidades consultadas cumplen los requisitos de PDI DSS (Payment Card Industry Data Security Standard) a pesar de la inminente finalizalización del período de adaptación en junio de 2007.

A survey conducted by secure transaction specialist, The Logic Group, revealed that only 3% of respondents are fully PCI DSS compliant despite a looming 30th June 2007 deadline. The survey included responses from over one hundred of the largest high street retailers, financial services institutions and leading businesses who accept card payments and compares the results with the previous year’s figures. Merchants that are not fully compliant with this new worldwide data security standard risk losing cardholder data leading to substantial brand damage, loss of customers, fines or even being barred from accepting card payments.

Although very few merchants are compliant, significant progress has been made over the past twelve months. Awareness levels have more than doubled to 85% and 52% have now assessed the impact PCI DSS will have on their business, up from 27% last year.

The survey highlighted that 71% of those surveyed expect to be compliant within 18 months. With the next 6 months primarily focused on assessment and project planning with the following 12 months focused on remediation and compliance. A significant minority, 16%, have no plans to implement the standard in the near future.

Businesses have recognised the time, money and effort required to achieve compliance with a startling 78% believing that PCI DSS compliance is as or more demanding than the challenges they faced when implementing Chip & PIN.

“The merchant community has come a long way over the past twelve months and begun to put the necessary steps in place to achieve PCI compliance,” said Mark McMurtrie, Marketing Director at the Logic Group. “However a lot more needs to be done as only a few businesses are compliant today, so security breaches and criminal attacks remain a very real possibility. What is particularly encouraging is that the majority of merchants now know what needs to be done. The critical next step for most businesses is to get board approval for the necessary work to be sanctioned. It is clear from the results that there is a need for improved communication and support from the industry to accelerate take up and compliance.”

Top line survey findings include:

  • 85% of respondents are aware of the standard, a significant improvement given only 40% knew about PCI when the last Logic Group survey was conducted 12 months ago
  • 52% of surveyed companies have already assessed the impact PCI compliance will have on their businesses
  • 60% of companies surveyed are currently at the PCI assessment phase
  • 20% of respondents haven’t even started the journey to achieving compliance
  • 68 % of merchants rated the support they have received as being insufficient.
  • 71% of respondents have committed to achieving PCI compliance over the next 18 months.

“Although the progress is encouraging, the clock is ticking,” added Mark McMurtrie. “Every organisation that handles and stores cardholder data, including high street retailers, online e-tailers, businesses with telephone contact centres, payment processors, right through to banks and the card schemes themselves, must be PCI compliant or face the consequences. With our unrivalled experience in transaction processing and security consultancy, we can help businesses achieve compliance whilst minimising the impact and cost.

Adopción de PCI Security Standard en España

5 respuestas

Tras hacer un pequeño estudio de mercado entre entidades financieras españolas en relación con la adopción del PCI Security Standard, parece que finalmente se ha empezado a tomar en serio esta normativa de las marcas VISA y Master Card y comienzan a planificarse las auditorías de entidades financieras y de comercios que operan por internet.

En la documentación oficial todavía no constan las entidades españolas que se dedican a las diferentes modalidades de auditoría, como la propia Albalia Interactiva, pero ya empiezan a llevarse a cabo las homologaciones.

Los servicios de seguridad orientados al cumplimiento de la normativa PCI se dirigen a compañías que aceptan o transmiten información relacionada con tarjetas de crédito. Albalia desarrolla asesoramiento de seguridad basada en la norma de seguridad de datos global PCI (Payment Card Industry) .

La norma PCI es un juego integrado de requisitos de seguridad de la información desarrollado por Visa y MasterCard en 2004 para proteger la información de los titulares en todas las infraestructuras que puedan contener o transmitir ese tipo de datos. Existen compañías homologadas para prestar asesoramiento según esta norma en diferentes lugares del mundo.

En la actualidad la norma se ha adoptado por las grandes marcas de tarjetas: American Express, Discover Financial Services, JCB International Credit Card, MasterCard Worldwide y Visa International por lo que una vez superada una auditoría, esta es aceptada por todas las marcas. Se ha creado el Consejo de normas de seguridad de la industria de medios de pago (PCI Security Standards Council) como ente que mantiene la norma y su evolución .
Hay tres tipos de servicios disponibles para facilitar el cumplimiento de esta norma y la superación del proceso de auditoría: Revisión de cumplimiento de la norma PCI, Verificación de cumplimiento de la norma PCI y Comprobación automatizada de la seguridad PCI.

La homologación de la consultora como Qualified Security Assessor (QSA) es un requisito para llevar a cabo este tipo de servicios.
Albalia Interactiva está en el proceso de homologación como QSA, para lo que cuenta con consultores de seguridad preparados para asistir a las entidades en los procesos anuales de verificación yen los trimestrales de comprobación automatizada impuestos por VISA y otras marcas de tarjetas.

Además de bancos y cajas, las compañías que aceptan pagos con tarjeta desde tiendas online a operadores móviles , y compañías intermediarias deben cumplir la noma definida por la Industria de Tarjetas de Pago (Payment Card Industry).

Exposec 2006/2007

Deja un comentario

Desde el viernes 24 de noviembre de 2006 y hasta el 14 de junio de 2007, la Comisión para la Seguridad y la Confianza para las Tecnologías de la Información de ASIMELEC llevará a cabo la campaña Exposec de carácter informativo y demostrativo por toda España sobre los riesgos de seguriad y sus soluciones existentes en el ámbito de las Tecnologías de la Información.

Bajo el lema “Seguridad y Confianza en la Red”, se visitarán 8 localidades españolas para dar a conocer los grandes retos tecnológicos en relación con la Sociedad de la Información especialmente en el ámbito de la seguridad informática  a los empresarios españoles.

Para ello se cuenta con la colaboración del Ministerio de Industria Turismo y Comercio, a través del programa ARTEPYME.

Este es el plan previsto:

24-Noviembre-2006 VALLADOLID

01-Diciembre-2006 SALAMANCA

15-Febrero-2007 REUS

15-Marzo-2007 MALAGA

19-abril-2007 VIGO

17-Mayo-2007 FUERTEVENTURA

18-Mayo-2007-LA GOMERA

14-Junio-2007 CIUDAD REAL

Payment Card Industry (PCI) Data Security Standard

9 respuestas

La especificacón de normalización de seguridad de datos Payment Card Industry (PCI) Data Security Standard se ha creado por las principales marcas de tarjetas con la reciente incorporación de todas las tarjetas internacionales para proteger la información de los usuarios y luchar contra la suplantación y otros fraudes que se producen en Internet.

Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pago, como Sistema 4b; SERMEPA, o Red 6000. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se transmitan datos de titulares de tarjetas.

Albalia Interactiva es la primera entidad española que ofrece los servicios de Auditoría PCI a las entidades financieras y a los comercios.

Denuncias de intentos de fraude por Internet en el Servicio de Reclamaciones del Banco de España

150 respuestas

En la Memoria del Servicio de Reclamaciones del Banco de España del año 2005, se da un indicio estadístico del impacto que las diferentes técnicas de fraude (phishing, pharming, keyloggers, troyanos,…) han tenido en la banca española en el citado año.

Aparte de las escasas actuaciones al alcance del organismo que tiene que ver con sus atribuciones y medios, merece la pena hacerse eco de los comentarios al respecto que figuran en la Memoria:

Se han recibido numerosas denuncias de intentos de fraude por Internet, que no han podido ser objeto de tratamiento por parte del Servicio de Reclamaciones del Banco de España, por exceder su ámbito de competencia.

Dada la multitud de ataques informáticos de los que se ha tenido conocimiento, se alerta a las entidades y usuarios a extremar las medidas de cautela a la hora de enviar las claves de acceso para operar con banca telefónica o electrónica.

El uso de los servicios de banca electrónica implica la utilización y adopción por parte de los usuarios de las medidas de seguridad informática adecuadas de sus equipos (antivirus, firewall, etc.).

Las denuncias de spam, correos falsos procedentes de supuestas entidades financieras para la obtención de las claves de seguridad de los usuarios financieros (phishing), no pueden ser objeto de reclamación contra la entidad financiera suplantada.

Sistemas de ataques más comunes:

Phishing
Conduce a los clientes de una entidad de crédito a una página web falsa, que aparentemente pertenece a dicha entidad. Una vez en dicha página, se solicitan los datos personales, que posteriormente son utilizados para la realización de operaciones fraudulentas.

Pharming
Mediante la explotación de la vulnerabilidad de los sistemas de servidores DNS, el atacante adquiere el nombre de dominio de un sitio web y redirige el tráfico de esa página a otro sitio distinto del verdadero, a través del cual se obtiene la información personal.

Keylogging
Registro de pulsaciones. En ocasiones es utilizado como una técnica de espionaje para obtener contraseñas o claves encriptadas y así traspasar las medidas de seguridad de las entidades de crédito.

Los sistemas que deben utilizarse para evitar en lo posible estos fraudes son:

  • Utilizar el protocolo SSL (Secure Sockets Layer). Permite cifrar la conexión y garantiza la autenticación.
  • Comprobar el propietario del dominio al que se está accediendo.
  • No atender las peticiones de información personal, ni de claves de acceso, mediante correo electrónico o llamadas telefónicas que aparentemente proceden de entidades de crédito.

Técnicas de fraude en cajeros automáticos

3 respuestas

Tengo previsto incluir algunos posts en este blog para avisar sobre algunas técnicas de fraude en entornos físicos y virtuales.

Pero en esta ocasión quisiera hacerme eco de un sitio web que he conocido a través de meneame, y que explica de manera muy gráfica y sencilla algunos tipos de fraude.

El sitio web se denomina «que no te roben» y escenifica algunas técnicas que utilizan ciertos delincuentes para obtener el PIN (Personal Identification Number, número secreto) de la tarjeta de crédito y el contenido de la banda magnética de la tarjeta, con lo que pueden utilizar estos datos en «tarjetas blancas» y extraer dinero en otros cajeros automáticos.

recomendaciones.gif