Prohibido utilizar contraseñas sencillas

En este blog como es sabido por todos los asiduos lectores, he tratado varios temas relacionados con la seguridad, y siempre he sostenido que el auditor como depositario de la confianza de los directivos de la empresa, y tal como lo establecen las normas de auditoria, una de sus funciones es salvaguardar los activos de la empresa.

Importante es resaltar que entre estos activos se encuentran los activos intangibles, y entre estos la información que se genera a diario y que la misma sirve para que el negocio se encuentre en marcha, de allí porque sostengo que la información es de vital importancia; y máxime ahora que la misma se pone en riesgo cuando esta es manipulada por el envió y recepción a través de la red, ya sea de uso interno o externo, que es cuando se corre el mayor riesgo.

Como ha ocurrido siempre, hasta que los datos son violentados por terceras personas y ajenas a la empresa o propietario de la cuenta, NO se toman medidas preventivas; y lamentablemente se tuvo que llegar a ello para que en este caso el gigante Microsoft, implemente un sistema.

Esto es lo que dicen y recomiendan:

“La preocupación por la facilidad con que las contraseñas pueden robarse o simplemente adivinarse es constante. Hotmail, el servicio de correo de Microsoft, ha anunciado un servicio por el que un usuario puede avisar de que sospecha que la cuenta de un amigo ha sido robada y Microsoft pondrá en marcha un sistema para evitar que esta filtración repercuta en usuarios amigos de la víctima. Hotmail avisará a otros servicios de correo en los que tenga cuenta el internauta que ha denunciado la situación para que tomen medidas preventivas. En el marco de esta política de seguridad, Hotmail impedirá acreditarse con contraseñas fáciles, del tipo "1234".
Esto regirá para los nuevos miembros y para cuando uno de ellos quiera cambiarla.

Próximamente impondrá esta cautela a quienes ya lo son. El sistema rechazará propuestas de contraseñas demasiado previsibles.

En cuanto a la prohibición de contraseñas fáciles, Hotmail explica que se trata de prevenir el uso de aquellas que un sistema de simple fuerza bruta informática (pruebas de distintas combinaciones previsibles) permita obtenerla.”

Como podrán encontrar en este blog, en mas de alguna oportunidad he recomendado que deben utilizarse contraseñas fuertes, es decir, que esta sea difícil de adivinar, pero con la salvedad de que el hecho que la misma no sea común o débil, no da la seguridad al 100% que estará libre que la misma sea adivinada, además que se debe tener  en cuenta que hoy por hoy existe software capaz de hacer el trabajo de adivinar la contraseña.

Desde este espacio sugiero verificar y cambiar las contraseñas como mínimo una vez al mes y no solamente las de Hotmail, también todas aquellas que NO pertenecen a Microsoft y que consideró no esta de más prevenir.

Pueden ampliar sobre este tema aquí.

Oficina Profesional Contable OPC (502)5208-4023 auditor.opc@gmail.com

Planilla IVA (2)

A todos los lectores y seguidores del blog, me permito informarles de los inconvenientes que esta presentando el Software PlanIVA@Sait v.1.2.7. Que de acuerdo a anuncio de prensa, este debe utilizarse a partir del presente año para la presentación de la planilla del 2010, (Anuncio de prensa del 25/11/2010), de lo que se puede intuir que debe ser obligatorio.

Entre los inconvenientes conocidos a la fecha son los siguientes:

•    NO puede instalarse sobre el sistema operativo Windows Vista.
•    La Instalación sobre el sistema operativo Windows XP y Windows 7. no da ningún tipo de problema.
•    Al generar los reportes de estadística por proveedor o gasto, no presenta ningún resultado, a pesar de haber información en la base de datos.

A la fecha estos errores ya le fueron trasladados a la SAT para las correcciones que sean necesarias.  Con relación a la instalación sobre el sistema operativo Windows Vista es oficial, esto NO es posible.

Si existiera algún otro problema no detectado a la fecha, se les agradecerá lo hagan saber para trasladarlo a la SAT.  o hacerlo directamente.

Cualquier duda o comentario, no dude en hacerlo.

Oficina Profesional Contable OPC (502)5208-4023 auditor.opc@gmail.com

Privacidad en Facebook

Ante las últimas novedades y hallazgos, con relación a la publicación de datos privados que han sido publicados en esta red, se han elaborado una serie de medidas de seguridad que pretenden disminuir dicha situación; por lo que está red social ha tenido cambios sustanciales en los distintos niveles de seguridad, aunque no los esperados de acuerdo a los expertos, estos empiezan a tener resultados positivos.

Sin embargo, es importante recalcar lo que hemos repetido en una serie de oportunidades, de nada sirven estos niveles de seguridad, si a la fecha la mayoría de usuarios de dicha red social no se han dado por enterados, siendo ellos los únicos responsables si la información privada es divulgada.

Como siempre lo he sostenido en este espacio, realmente la seguridad depende de cada uno de nosotros y es nuestra total responsabilidad el tipo de información que publiquemos. De nada sirve que se obtengan las últimas modificaciones seguridad, si estas no las configuramos para que desempeñen su fin específico, como es proteger nuestra información confidencial.

Para quienes quieran tomar en serio la seguridad de su información confidencial, a continuación dejo unos links en donde podrán encontrar paso a paso como deben asegurar su información y el nivel que le quieran asignar a la misma.

El portal de seguridad Inteco-Cert indica:

“Tras el nuevo modelo presentado por Facebook para la gestión de las opciones de privacidad, muchos usuarios siguen sin moverse con facilidad por los paneles de configuración creados para tal efecto y como consecuencia, algunos no son conscientes del estado actual de sus preferencias de seguridad;…”

Ampliar tema de privacidad

Simplifica tu seguridad

Verifica tu nivel de seguridad en la web

Verifica la exposición de tu información

Los Timos de Navidad

Como es habitual en este espacio, a continuación se incluye información de seguridad que he recibido en el correo y como siempre, por considerarlo de vital importancia, hoy comparto con los lectores.

En plena temporada navideña, todos nos inclinamos por dicha celebración y gran parte de nosotros descuidamos la seguridad de nuestra información; ante dicha situación y de acuerdo a estudios efectuados por la empresa de seguridad McAffe, es esta fecha la que con mayor frecuencia es aprovechada por los atacantes para el robo de información.

A continuación dejo algunos timos que son revelados por dicha empresa:

““´phising' de caridad", que no son más que páginas falsas iguales que las de organizaciones de caridad reales y que buscan robar información de tarjetas de crédito

Correos electrónicos supuestamente procedentes de compañías tipo FedEx que solicitan información confidencial del usuario

Solicitudes de amistad en el correo electrónico que parecen proceder de redes sociales, aunque realmente los enlaces instalan 'malware' en los equipos

Postales electrónicas, tanto si van incluidas en el correo como si tienen forma de presentación de powerpoint adjunta al mismo

Compras 'online', los expertos de la compañía de seguridad alertan del uso de logotipos de firmas de lujo para engañar a los usuarios

El robo de contraseñas se convierte en algo habitual durante estas fechas mediante herramientas de bajo coste

Correo electrónico y las búsquedas por Internet se convierten en continuas amenazas a la seguridad del internauta si éste no tiene cuidado y se anda con pies de plomo. Desde villancicos, fondos de pantalla hasta ofertas de trabajo con promesas imposibles pueden convertirse en el canal que los 'crackers' necesitan para robar información personal o instalar 'software' malicioso.

"secuestro de archivos" propios: el ciberdelincuente encripta los documentos personales del usuario y después pide el pago de un rescate para obtenerlos.”

Ante dichas alertas, como lo he indicado en otros temas relacionados, no importa que tan actualizados estemos o protegidos con lo último en software; es importante estar actualizado, pero es aún más importante saber que responder y verificar antes de dar clic y no caer en trampas que después nos lamentaremos simple y sencillamente “Utilizar el sentido Común”.

Fuente: www.elmundo.es

Seguridad de la Información

En correo privado he recibido parte de información sobre las políticas de seguridad sobre la información que deben establecerse en toda organización y de esta forma mantenerla protegida, lo cual considero, se logrará siguiendo los lineamientos enumerados, no importando el tamaño de la empresa, y como siempre he sido de la opinión de compartir este tipo de información con los seguidores de este blog, a continuación dejo un extracto de este boletín con el único propósito de que pueda ser implementado en donde Usted se desempeña laboralmente, o que haga el comentario correspondiente con el personal encargado, para que de esta forma pueda implementarse.

Si por cualquier motivo desean ampliar sobre el mismo, al final dejo el link correspondiente para que lean el texto completo sobre este tema. Espero que el mismo sea de su interés y a la vez se ponga en práctica.

A continuación parte del boletín:

“Documentos a incluir en el Programa de Seguridad de la Información

-Roles y responsabilidades: descripción de las responsabilidades de seguridad para otros departamentos. Por ejemplo, se le puede dar al departamento de desarrollo la tarea de evaluar las vulnerabilidades de seguridad antes de desplegar nuevas aplicaciones; o al departamento de recursos humanos la labor de mantener listas actualizadas de empleados y suministradores.

-Estándares tecnológicos: descripción de los parámetros de configuración técnica y valores asociados que se hayan determinado para asegurar que los directivos pueden controlar el acceso a los activos de información electrónica.

-Procesos: flujos de trabajo que muestren cómo se combinan las funciones de seguridad desarrolladas por los diferentes departamentos para asegurar la gestión segura de la información.

-Procedimientos: instrucciones paso a paso para que el personal pueda realizar tareas rutinarias de seguridad sin necesidad de formación previa, y asegurar así que los mecanismos preventivos, de detección y/o respuesta funcionan como está previsto.

-Directrices: consejos sobre la forma más fácil de cumplir las políticas de seguridad, generalmente redactados para usuarios sin conocimientos técnicos que tienen distintas opciones de gestionar la información de forma segura.

Qué debe contener una Política de Seguridad

La pregunta es ¿cuál es la información mínima necesaria que se debe incluir en una Política de Seguridad? Debe ser suficiente para comunicar a los directivos los objetivos y la dirección en la que debe ir la seguridad. Debe incluir lo siguiente:

1. Alcance: debe incluir toda la información, sistemas, instalaciones, programas, datos, redes y usuarios de tecnología de la empresa, sin excepción.

2. Clasificación de la información: debe proporcionar definiciones específicas para cada tipo de contenido, y no simplemente adjetivos como “confidencial” o “restringida”.

3. Objetivos para el manejo seguro de la información en cada categoría (por ejemplo, se deben combinar las obligaciones contractuales, regulatorias y legales en uno.

4. Posicionamiento de la política de seguridad en el contexto de las demás directivas de gestión y otros documentos suplementarios (es decir, si ha sido acordada a nivel ejecutivo, todos los demás documentos de gestión de información deben ser consecuentes con ella).

5. Referencias a los documentos de apoyo (los de roles y responsabilidades, procesos, tecnología, etc.).

6. Instrucciones específicas sobre las obligaciones de seguridad de toda la empresa a nivel general (por ejemplo, todo acceso a cualquier sistema informático requiere la verificación de identidad y la autenticación, no se pueden compartir mecanismos de autenticación, etc.)

7. Designación específica de las responsabilidades establecidas (por ejemplo: el departamento de tecnología es el único proveedor de líneas de telecomunicación autorizado).

8. Consecuencias del incumplimiento (desde sanciones hasta el cese o despido).

Esta lista será suficiente como política de seguridad de la información básica para una empresa. Aunque los puntos 6 y 7 pueden contener una gran cantidad de variables y detalles relativos a las medidas de seguridad, es aconsejable no extenderlos demasiado para asegurar su legibilidad, y apoyarse en sub-políticas o documentos de apoyo para incluir todos los requisitos. De nuevo, es más importante tener una conformidad completa a nivel de política que incluir montones de detalles.”

Fuente: www.csospain.es

De lo anterior podemos concluir, que esta información es mínima y la misma puede ser ampliada de acuerdo al tamaño de la empresa y formar parte del manual de políticas de seguridad, esto con el afán de mantener la información protegida.

Adiós Encarta

A los lectores de este blog y que ha sido seguidores de la Enciclopedia Encarta, lanzada al mercado durante los años 90, les informo que este producto se dejará de vender hasta octubre del presente año.

.

No había trasladado esta noticia por los últimos cambios en nuestras leyes fiscales, pero después de haber pasado ese huracán de reformas, aquí les dejo esta información, que considero es de importancia para quienes tuvimos a bien usar esta herramienta como medio de consulta entre otras.

.

“Microsoft cierra el capítulo de Enciclopedia Encarta

.

Gran sorpresa causó el anuncio de la compañía de darle fin al famoso producto, que fue lanzado en 1993 y presentado en su versión en español en 1997, atendiendo cambios en los patrones de búsqueda de información de los usuarios. Según un blog del sitio de noticias Cnet.com, Microsoft también planea dejar de vender en noviembre de este año su servicio de seguridad para Windows llamado Windows Live One Care. Los clientes actuales de Encarta recibirán soporte en línea hasta el 31 de octubre, excepto en Japón, en donde la garantía se extenderá hasta el 31 de diciembre del 2009.”

.

Ampliar información

.

Simbolos Flujodiagramación

A continuación incluyo otros símbolos que pueden utilizarse en flujo-diagramación; estos fueron obtenidos de un programa específico para la elaboración de estos.

Para elaborar un flujo-diagrama se hace necesario obtener cierta información sobre el procedimiento a desarrollar, ademas de seguir ciertas reglas que deben respetarse para la elaboración del mismo.

Información a obtener:

Para la realización del diagrama de flujo es necesario tener en cuenta lo siguiente :
* Identificar a las personas participantes o departamentos que se involucraran en el diagrama de flujo que se desarrollará.
* Obtener de las persona involucradas, las atribuciones que realizan para identificar adecuadamente el flujo del proceso y la relación con otros procesos similares .
* Definir que se quiere obtener del flujo-diagrama.
* Identificar los usuarios que emplearan el Flujo-diagrama.
* Definir con los interesados, el nivel de detalle que se requiere.
* Delimitar el proceso a desarrollar.

Obtenidos los pasos anteriores, se procederá a:

* Establecer el alcance del proceso a describir. De esta manera quedará fijado el comienzo y el
final del diagrama. Frecuentemente el comienzo es la salida del proceso previo y el final la entrada al proceso siguiente.
* Identificar y listar las principales actividades y/o sub-procesos que están incluidos en el proceso a describir y su orden cronológico.
* Definir el destalle que incluya actividades menores que son importantes mencionar.
* Identificar y listar los puntos de decisión.
* Construir el diagrama respetando la secuencia cronológica y asignando los correspondientes
símbolos.
* Asignar un título al Flujo-diagrama y verificar que esté completo y describa con exactitud el proceso.

Reglas para la creacion de Diagramas

1. Escribir los Flujo-Diagramas de arriba hacia abajo y, de izquierda a derecha.
2. Unir los símbolos con líneas, las cuales tendrán en la punta una flecha que indique la dirección que fluye la información, se debe utilizar solamente líneas de flujo horizontal y/o verticales (Jamas utilizar líneas diagonales).
3. Evitar el cruce de líneas. Se debe tener en cuenta que solo se utilizaran conectores (Dentro o fuera de la página) cuando sea estrictamente necesario.
4. Todas las líneas de flujo deben conectarse a los símbolos indicados del proceso.
5. El texto escrito dentro de un símbolo debe ser legible, congruente y preciso, evitando el uso de palabras rebuscadas.
6. Los símbolos pueden tener más de una línea de entrada, a excepción del símbolo inicial o final.
7. Solo los símbolos de decisión pueden y deben tener mas de una línea de flujo de salida o entrada.

Simbolos-Flujodiagramación

Para llegar a entender los diagramas de flujo, existen símbolos especiales (estandarizados) que son utilizados para el dibujo y desarrollo de estos, por lo que se hace necesario conocerlos para familiarizarnos con los mismos.

A continuación incluyo una plantilla con los símbolos comúnmente utilizados, es importante aclarar que puede existir otro sin número de plantillas similares.

Click en imagen para ampliar

Como se puede observar, los símbolos posiblemente les son conocidos ya que más de alguna vez, los hemos podido observar en libros o manuales.

Es importante aclarar, que la flujo-diagramación no es estrictamente para programadores de computadoras como se ha creído, actualmente es común ver en los distintos departamentos de las empresas que son utilizados para describir las etapas, pasos, o secuencia que debe seguir determinado procedimiento, esto con el propósito de que el lector comprenda fácilmente el procedimiento en que debe involucrarse y además le indica de manera fácil los pasos a seguir.

Flujodiagramación

Uno de los procedimientos más conocidos y utilizados para resolver problemas de la forma más sencilla y gráfica, recibe el nombre de diagrama de flujo y, representa la forma más tradicional y duradera para especificar los detalles algorítmicos de un proceso. Es la representación de una operación o actividad, conexión o enlace de una parte o partes relativas de un procedimiento.

Conceptos:

"El Flujograma o Fluxograma, es un diagrama que expresa gráficamente las distintas operaciones que componen un procedimiento o parte de este, estableciendo su secuencia cronológica. Según su formato o propósito, puede contener información adicional sobre el método de ejecución de las operaciones, el itinerario de las personas, las formas, la distancia recorrida el tiempo empleado, etc." Gómez Cejas, Guillermo. Año 1.997

"El Flujograma o Diagrama de Flujo, es la representación simbólica o pictórica de un procedimiento administrativo." Gómez Rondón Francisco. Año 1.995

"El Flujograma o Diagrama de Flujo, es una gráfica que representa el flujo o la secuencia de rutinas simples. Tiene la ventaja de indicar la secuencia del proceso en cuestión, las unidades involucradas y los responsables de su ejecución." Chiavenato Idalberto. Año 1.993

De lo anterior se puede concluir, que los diagramas de flujo representan procedimientos debidamente graficados que nos permiten comprender un proceso cualquiera.

El Auditor y el Procesamiento de Datos (PED)

Los profesionales (auditores) inmersos en el proceso electrónico de datos (PED),deben aclarar lo que se espera de ellos, tomando las siguientes medidas:

# En cuanto al riesgo. "Pensar en el riesgo" no significa simplemente considerar como parte de la revisión de un sistema o de la auditoría de alguna función del PED. El riesgo debe ser una primera preocupación d 1 auditor y evaluar no sólo lo que haga sino cuándo lo haga. El auditor no sólo debe reconocer problemas sino también convencer y alentar a la administración a tornar la acción correctiva oportuna.

# Evaluar controles dentro de un sistema nuevo. El auditor debe evaluar los controles dentro de sistemas nuevos antes de que sean operacionales. Debería tener una vinculación estrecha con el diseño del sistema y el personal de PED, y trabajar con los comités que dirigen las principales gestiones en el desarrollo de los sistemas. El auditor debe estar presente en estas reuniones no sólo por su propia educación sino también para fomentar en los usuarios y diseñadores una conciencia de la necesidad de controles.

# Aplicar técnicas de auditoría avanzadas. El auditor debe usar técnicas avanzadas para realizar procedimientos de auditoría. Debería saber suficiente sobre técnicas de análisis operacional a fin de determinar cuáles instrumentos analíticos puede pedir prestados al ingeniero, al matemático, así como a los propios técnicos del PED. Al tratar con el riesgo, conceptos tales como el análisis cuantitativo, la teoría de decisión, la probabilidad, y el análisis de redes son importantes para la auditoria.

# Dotar de apoyo técnico a los auditores. El auditor debe trabajar con los técnicos del PED para ayudarse y entenderse con sistemas automatizados, a identificar procedimientos manuales que puedan automatizarse y a interpretar documentación técnica. La esperanza de que los auditores trabajen con aquellos faltos de entrenamiento especializado es crítica, porque algún día todos los auditores lo serán de PED.