Chthonic: A new strain of Zeus

http://itclat.com/2014/12/23/chthonic-666/

traducido por Federico Dilla
Chthonic: A new strain of Zeus
by Marcelo Lozano • 2014/12/23

Dmitry Bestuzhev, Director of Research and Analysis for Kaspersky Lab in America
Dmitry Bestuzhev, Director of Research and Analysis for Kaspersky Lab in America
A major new threat of malware called Chthonic targeting online banking systems and their customers has been detected by security analysts from Kaspersky Lab.

Identified as an evolution of the Zeus Trojan, Trojan-Banker.Win32.Chthonic, or Chthonic for short, is known to have affected more than 150 banks and 20 different payment systems in 15 countries, and seems destined mainly to attack institutions financial in the UK, Spain, United States, Russia, Japan and Italy.

Although Chthonic not yet been detected in Latin America, Dmitry Bestuzhev, Director of Research and Analysis Team for Kaspersky Lab United States, thinks his appearance in the region is only a matter of time. "As we have seen before with other threats, we anticipate that Chthonic will expand into our region but from the hand of local cybercriminals to take the technical or buy technologies that are behind this malware to spread regionally. Such schemes will commit crimes are very popular in our region and even have been used to the same banking Trojan Zeus "he said.

Chthonic fail functions of computers as webcam and keyboard to steal online banking credentials such as saved passwords. Attackers can also connect to your computer remotely and order to conduct transactions.

However, the main weapon of Chthonic is the injection via the web. This allows the Trojan insert your own code and images on the pages of bank charges the computer browser, which allows attackers to obtain the phone number of the victim, the one-time passwords and PIN numbers as well as details logon and password entered by the user.

The victims were infected through web links or email attachments that contain a document with the .DOC extension which provides a "back door" to the malicious code. The attachment contains a RTF document specifically designed to exploit the vulnerability CVE-2014-1761 in Microsoft Office products.

Once downloaded, the malicious code that contains an encrypted configuration file is injected into the msiexec.exe process and several malicious modules are installed on the machine.

So far Kaspersky Lab has discovered modules that can collect system information, steal saved passwords, log keystrokes, allowing remote access, and record video and sound via webcam and microphone, if the computer includes those functions .

In the case of one of the attacked Japanese banks, malware can hide warnings and inject bank, however, a script that allows attackers to perform various transactions using the victim's account.

Affected customers of Russian banks are greeted by totally fraudulent as soon as they log banking pages. This is achieved by Trojan creates an iframe with a copy of phishing website that has the same size as the original window.

Chthonic shares some similarities with other Trojans. Use the same cipher and download file Andromeda, the same encryption scheme that Zeus Trojan Zeus AES and V2, and similar to that used in ZeusVM and malware KINS virtual machine.

Fortunately, many fragments of the code used for web Chthonic for injections and can not be used, because the banks have changed the structure of the pages, and in some cases, domains.

"The discovery of Chthonic confirms that the Trojan ZeuS is still evolving. Malware authors are making full use of the latest techniques, aided considerably by filtration ZeuS source code. Chthonic is the next phase in the evolution of ZeuS. Zeus uses AES encryption, similar to that used by ZeusVM and KINS virtual machine, and the discharger Andromeda - to attack more and more financial institutions and their innocent increasingly sophisticated ways customers. We believe that certainly appear new ZeuS variants in the future, and we will continue tracking and analyzing threats to keep one step ahead of cyber criminals, "said Yury Namestnikov, Senior Malware Analyst at Kaspersky Lab and one of the researchers who worked in the investigation of the threat.

Chthonic: Una nueva cepa de Zeus

by Marcelo Lozano • 2014/12/23

Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América

Una nueva e importante amenaza de malware llamada Chthonic dirigido a sistemas de banca en línea y a sus clientes ha sido detectada por los analistas de seguridad de Kaspersky Lab.

Identificado como una evolución del Troyano Zeus, Trojan-Banker.Win32.Chthonic, oChthonic para abreviar, se sabe que ha afectado a más de 150 bancos diferentes y 20 sistemas de pago en 15 países, y parece estar destinado principalmente a atacar a instituciones financieras en el Reino Unido, España, Estados Unidos, Rusia, Japón e Italia.

Aunque Chthonic aún no ha sido detectado en Latinoamérica, Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, piensa que su aparición en la región es solo una cuestión de tiempo. “Como lo hemos visto antes con otras amenazas, anticipamos que Chthonic se expandirá hacia nuestra región pero de la mano de cibercriminales locales que adoptarán las técnicas o comprarán las tecnologías de los que están detrás de este malware para difundirlo a nivel regional. Dichos esquemas de delinquir son muy populares en nuestra región e inclusive, se han utilizado hasta con el mismo troyano bancario Zeus”, señaló.

Chthonic aprovecha funciones de las computadoras como la cámara web y el teclado para robar credenciales bancarias en línea tales como contraseñas guardadas. Los atacantes también pueden conectarse a la computadora de forma remota y ordenarle que lleve a cabo las transacciones.

Sin embargo, el arma principal de Chthonic es la inyección vía web. Esto permiten al Troyano insertar su propio código e imágenes en las páginas del banco que carga el navegador de la computadora, lo que le permite a los atacantes obtener el número de teléfono de la víctima, las contraseñas de un solo uso y números PIN, así como los detalles de inicio de sesión y contraseña introducidos por el usuario.

Las víctimas se infectan a través de enlaces web o archivos adjuntos de correo electrónico que contienen un documento con la extensión .DOC el cual establece una “puerta trasera” para el código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para aprovechar la vulnerabilidad CVE-2014-1761 en productos de Microsoft Office.

Una vez descargado, el código malicioso que contiene un archivo de configuración cifrado se inyecta en el proceso msiexec.exe y se instalan varios módulos maliciosos en la máquina.

Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, registrar teclas pulsadas, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, en caso que la computadora incluya esas funciones.

En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar, en cambio, un script que permite a los atacantes realizar diversas transacciones utilizando la cuenta de la víctima.

Los clientes afectados de los bancos rusos son recibidos por páginas bancarias totalmente fraudulentas tan pronto como inician la sesión. Esto se logra mediante el Troyano que crea un iframe con una copia de phishing del sitio web que tiene el mismo tamaño que la ventana original.

Chthonic comparte algunas similitudes con otros Troyanos.  Utiliza el mismo archivo cifrador y de descarga que Andrómeda, el mismo esquema de cifrado que los TroyanosZeus AES y Zeus V2, así como una máquina virtual similar a la usada en ZeusVM y el malware KINS.

Afortunadamente, muchos fragmentos del código utilizado por Chthonic para realizar inyecciones web ya no se pueden utilizar, debido a que los bancos han cambiado la estructura de sus páginas y, en algunos casos, también los dominios.

“El descubrimiento de Chthonic confirma que el Troyano ZeuS sigue evolucionando.  Los autores de malware están haciendo pleno uso de las técnicas más modernas, auxiliados considerablemente por la filtración del código fuente de ZeuS.  Chthonic es la siguiente fase en la evolución de ZeuS. Utiliza el cifrado de Zeus AES, una máquina virtual similar a la utilizada por ZeusVM y KINS, y el descargador de Andrómeda – para atacar cada vez más instituciones financieras y a sus clientes inocentes de formas cada vez más sofisticadas.  Creemos que sin duda aparecerán nuevas variantes de ZeuS en el futuro, y nosotros continuaremos rastreando y analizando cualquier amenaza para mantenernos un paso por delante de los ciberdelincuentes”, dijo Yury Namestnikov,Analista Senior de Malware en Kaspersky Lab y uno de los investigadores que trabajó en la investigación de la amenaza.

A Turkish businessman shakes the US yogurt market

https://es.finance.yahoo.com/noticias/empresario-turco-sacude-mercado-yogur-210417970.html

traducido por Federico Dilla
A Turkish businessman shakes the US yogurt market
In just seven years, Hamdi Ulukaya has imposed its brand Chobani competing with Danone and Yoplait // He arrived with only $ 3,000 in his pocket // now employs 2000 people

Luc AFPPor OLINGA

Only you have taken seven years to impose their brand on the shelves of American supermarkets. Hamdi Ulukaya, 42, a Turkish immigrant, made a giant deChobani yogurt, disputing the empire Danone and Yoplait.
With $ 3,000 in his pocket to reach the United States, its story is the American dream.
Hamdi was born in a family of nomads a day of "late October" 1972 Ilic in Anatolia. He arrived in New York in 1994 to study English. A little scholarly work on a farm in the "valley of yoghurt" of upstate New York convinced him to stay.
"The farms, fields, I felt at home," recalls Hamdi, he enrolled to study business at the University of Albany, the state capital of New York.
Hamdi Ulukaya at a conference last May 6

Hamdi Ulukaya at a conference last May 6
"SHOULD MAKE YOUR OWN CHEESE"
During a visit, her father complained about the quality of feta, Greek traditional soft cheese. "You should make your own cheese," he encouraged.
Thus, Hamdi Euphrates created a production company feta selling local restaurateurs and retailers.
In 2004 he found an ad for sale for $ 700,000 factory fresh dairy products. Thanks to a grant of one million dollars, he became its owner in August 2005.
This was followed by 18 months of tests to achieve the recipe to give him success. In addition, Hamdi choose a slightly larger than the existing market package. "This is striking," says around your table in the SoHo neighborhood in Manhattan.
In October 2007 born Chobani yogurt, whose name derives from the Turkish word 'shepherd': 0% fat, twice more protein than its competitors and no artificial aroma.
A rival it catches them off guard. Then, Danone and Yoplait totaled 71% of the US yogurt market, according to Alliance Bernstein. Greek yogurt was only 2%.
Hamdi convinces a retailer of Long Island (New York) to sell, but not until 2009 that the company takes off, when the chain ShopRite grocery store agrees to sell Chobani yogurt.
Large retailers Trader Joe's, Costco and Whole Foods (which decided in 2013 not sell more this product) follow. And thereby increase sales: they spent 1,000 million dollars last year and should be around 1,500 million this year. There seems to be suffered by the withdrawal in September and October 2013 packaging for health reasons.
Thus, the yogurt market is redistributed: Greek yogurt now has about 40% of the 8,000 million of the total yogurt market in the United States. Chobani, which employs 2,000 people, assuming 40% of the market.


SELF-MADE MAN
Of medium height and sporty appearance, wearing pants and shirt rather than a suit and tie, Hamdi lives with his two German Shepherds in New Berlin (New York). You do not have the whims of the new rich and frequent social gatherings.
Said to be "single", rather than divorced. His ex-wife berates 1,000 million and claimed third stake in the company that claims to have funded.
In a country that consumes little yogurt --6.36 kilos per capita per year, compared to 27.2 kilos in Germany and France, according to the secretariat Agricultura--, Hamdi wants to impose yogurt sauces, cream opponent, and mixed with granola. In the medium term, the future of Chobani could happen by the Exchange or find strategic partners.
Despite some attempts in Asia and Europe, postponed its international expansion projects and will focus on opening stylish cafes, places for marketing of Chobani products.
"I love winning. I hate failure," says this' self-made man, "a self-made man.

Un empresario turco sacude el mercado del yogur en EEUU

En tan solo 7 años, Hamdi Ulukaya ha impuesto su marca Chobani compitiendo con Danone y Yoplait // Llegó con tan solo 3000 dólares en el bolsillo // Ahora ya emplea a 2000 personas

Por Luc OLINGA 

Solo le han hecho falta siete años para imponer su marca en los estantes de los supermercados estadounidenses. Hamdi Ulukaya, de 42 años, inmigrante turco, hizo deChobani un gigante del yogur, disputándole el imperio a Danone y Yoplait.

Con 3.000 dólares en el bolsillo al llegar a Estados Unidos, su historia es la del sueño americano.

Hamdi nació en una familia de nómadas un día de "finales de octubre" de 1972 en Ilic, en Anatolia. Arribó a Nueva York en 1994 para estudiar inglés. Un pequeño trabajo de estudiante en una granja en el "valle del yogur" del norte del estado de Nueva York lo convenció de quedarse.

"Las granjas, los campos, yo me sentía como en casa", recuerda Hamdi, que se inscribió para estudiar comercio en la Universidad de Albany, capital estatal de Nueva York.

Hamdi Ulukaya, en una conferencia el pasado 6 de mayo

"DEBERÍAS HACER TU PROPIO QUESO"

Durante una visita, su padre se quejó de la calidad de la feta, el queso suave tradicional griego. "Deberías hacer tu propio queso", le animó.

Así, Hamdi creó Euphrates, una empresa de producción de feta que vende a restauradores y minoristas locales.

En 2004 se encontró con un pequeño anuncio de la venta por 700.000 dólares de una fábrica de productos lácteos frescos. Gracias a una ayuda de un millón de dólares, se convirtió en su propietario en agosto de 2005.

A ello siguieron 18 meses de tests para lograr la receta que le diera el éxito. Además, Hamdi elige un envase un poco más grande que el existente en el mercado. "Esto llama la atención", cuenta alrededor de su mesa en el barrio del Soho, en Manhattan.

En octubre de 2007 nace el yogur Chobani, cuyo nombre deriva de la palabra turca 'pastor': 0% de materia grasa, dos veces más proteínas que sus competidores y ningún aroma artificial.

A los rivales esto les pilla desprevenidos. Entonces, Danone y Yoplait totalizaban 71% del mercado estadounidense de yogur, según Alliance Bernstein. El yogur griego solo tenía 2%.

Hamdi convence a un minorista de Long Island (Nueva York) de venderlo, pero no será hasta 2009 que la empresa despega, cuando la cadena de tienda de supermercado ShopRite se compromete a vender yogur Chobani.

Los grandes distribuidores Trader Joe's, Costco y Whole Foods (que decidió en 2013 no vender más este producto) les siguen. Y con ello aumentan las ventas: pasaron los 1.000 millones de dólares el año pasado y deberían estar alrededor de 1.500 millones este año. No parece haber sufrido por la retirada entre septiembre y octubre de 2013 de envases por motivos sanitarios.

Así, el mercado del yogur se redistribuye: el yogur griego cuenta hoy con cerca de 40% de los 8.000 millones de dólares del mercado total de yogur en Estados Unidos. Chobani, que emplea a 2.000 personas, asume 40% del mercado.

SELF-MADE MAN

De estatura media y apariencia deportiva, vistiendo más bien pantalón y camisa que traje y corbata, Hamdi vive con sus dos pastores alemanes en New Berlin (Nueva York). No tiene los caprichos de los nuevos ricos ni frecuenta reuniones sociales.

Dice ser "soltero", más que divorciado. Su exmujer le reclama 1.000 millones de dólares y reivindica un tercio del capital de la empresa que dice haber financiado.

En un país que consume poco yogur --6,36 kilos por habitante por año, contra 27,2 kilos en Alemania y Francia, según la secretaría de Agricultura--, Hamdi quiere imponer el yogur en salsas, rival de la nata, y mezclándolo con granola. A mediano plazo, el futuro de Chobani podría pasar por la Bolsa o encontrar socios estratégicos.

A pesar de algunos intentos en Asia y Europa, aplazó sus proyectos de expansión internacional y se va a centrar en abrir cafés con estilo, lugares para la mercadotecnia de los productos Chobani.

"Amo ganar. Detesto el fracaso", dice este 'self-made man', un hombre hecho a sí mismo.

Pasos, tablas y estudios de consultoria mas habituales

http://www.sistemacontrolgestion.com/es-es/publicaciones/art%C3%ADculos.aspx

Pasos, tablas y estudios de consultoria mas habituales

Contenido de los artículos

   
• Ejemplo de reporting control altas y bajas de clientes, mediante este Excel podrá analizar las altas y bajas de los clientes para diferentes periodos y según diferentes tipos de filtros. Consultar aquí
• Reporting de puntos de venta, compruebe como un reporting aplicado para las tiendas o puntos de venta mediante las tablas dinámicas le puede ayudar a mejorar los resultados, optimizar stocks y afianzar ventas,consultar aquí
• Introducción a las tablas dinámicas, aprenda los 10 pasos más importantes para crear y trabajar con tablas dinámicas mediante este curso gratuito, consultar aquí
• Caso práctico sobre el cuadro de mando por áreas y responsables utilizando toda  la potencia de las tablas dinámicas de Excel, leer más
• "Estudio sobre las variaciones de la población en España entre 2008 y 2013, descubra en este Excel toda la información de análisis como nunca antes la había visto y en formato de tablas dinámicas, leer más
• "Cómo integrar el Control Presupuestario en el Reporting" en este artículo podrá comprobar como con una herramienta de Reporting, práctica, sencilla de utilizar y eficaz puede realizar el control del presupuesto, leer más
• Artículo: "El Cuadro de Mando mediante un caso práctico con tablas  dinámicas"consulte este artículo publicado en la revisata de ASSET, en dónde nos explica el funcionamiento de un cuadro de mando con tablas dinámicas, leer más
• Cómo Evaluar el Sistema de Control de Gestión, es necesario que toda organización para sobrevivir en el tiempo se plantee analizar si dispone de un adecuado sistema de control de gestión, leer más
• El Diagnóstico como herramienta para prever la crisis empresarial: es precisamente en los momentos de una crisis o con dificultades de gestión cuando los responsables de la empresa más pueden encontrar a faltar las herramientas adecuadas para poder controlar su gestión empresaria.Leer más
• Qué es y como funciona el Reporting como herramienta de sistema de información para conseguir resultados y tomar las mejores decisiones según las necesidades de cada momento, leer más
• Caso práctico sobre como optimizar la confección y controldel presupuesto mediante Tablas Dinámicas de Excel publicado en la revista de ASSET,nos muestra de forma práctica como realizar el control presupuestario mediante tablas dinámicas leer más
• Porqué el presupuesto debe ser el camino a seguir para garantizar el éxito de su empresa: en estos momento vale la pena recordar algunos conceptos que nos pueden ser útiles, leer más

• Los principales conceptos para mejorar la gestión de Marketing:preguntas clave, para poder dispenr de una estrategia comercial lo suficientemente efectiva falta coocer los principales conceptos del Marketing, leer más
• Innovando su modelo de negocio: es necesario entender que los nuevos de modelos de negocio van a un ritmo frenético y exponencial, es nuestra obligación conocer, comprender y afrontar el futuro, Leer más
• La importancia de la Estrategia: la estrategia es en definitiva una forma de expresar qué queremos hacer, cómo lo queremos hacer y cómo vamos a estar en el futuro, leer más

• El Diagnóstico como herramienta para prever la crisis empresarial: es precisamente en los momentos de una crisis o con dificultades de gestión cuando los responsables de la empresa más pueden encontrar a faltar las herramientas adecuadas para poder controlar su gestión empresarial,Leer más

• Evaluar un plan de negocio: un plan de negocio es un documento en el que se describe, analiza e identifica la viabilidad de una idea de negocio en lo comercial, técnico y financiero, leer más

• Cómo el CRM puede ayudar a nuestra organización: es neceario conocer como las herramientas de gestión para coordinar y hacer más efectivas las relaciones con los clientes nos pueden ayudar, leer más

• Marketing para empresas de servicios: las empresas de servicios emplean diferentes técnicas para captar y mantener a sus clientes, pero cada vez más la competencia y los nuevos servicios posibilitan que los clientes sean menos finales y prueben otras alternativas, leer más

Secure data management, ISO 27001 from the methodological point of view

http://vintegris.info/administracion-segura-001/

traducido por Federico Dilla

Secure data management, ISO 27001 from the methodological point of view
December 2, 2014Vintegris.info
The business world is advancing day by day and becoming more agile. The mechanics of change required to have greater certainty about the safety of the data of a company and a clear management over the domains affecting the technology sector. For this reason more and more companies consider the ISO 27001 certification as an imperative to keep control of the data that are part of the business.

 27001 is an international standard issued by the International Organization for Standardization (ISO) that describes how to manage information security in each organization. The latest revision of this standard was published in 2013 and now his full name is ISO / IEC 27001: 2013.

ISO 27001 can be implemented in any company, and certified by a qualified entity for this purpose. ISO 27001 responds to a need for increasingly popular market and have a methodology to implement safety management of information within a company.

With the advent of the new year, many companies want to know the state of art of their own information security and for that reason we attach domains ISO 27001 touches so that our readers can put together a consistent report in this regard and establish the parameters to improve in 2015 to have a full security management of data

 SECURITY POLICY.
Guidelines management in information security.
Set of policies for information security
Review of policies for information security

ORGANIZATIONAL ASPECTS OF INFORMATION SECURITY
Internal organization
Assign responsibilities for information security
Segregation of duties
Contact with authorities
Contact with special interest groups
Information Security in project management
Devices for mobility and teleworking
Usage Policy mobility devices
Telecommuting

LINKED SAFETY HUMAN RESOURCES
Before hiring
Vetting
Terms and conditions of employment
During the procurement
Management Responsibilities
Awareness, education and training in information security
Disciplinary process
Cessation or change in job
Cessation or change in job

ASSET MANAGEMENT
Responsibility for assets
Asset inventory
Ownership of assets
Acceptable use of assets
Return of assets
Information classification
Classification Guidelines
Labeling information and manipulated
Asset Handling
Media handling storage
Removable Media Management
Deleting Media
Physical media in transit

ACCESS CONTROL
Business requirements for access control
Access control policy
Control of access to networks and associated services
User Access Management
Management of high / low user registration
Management of access rights assigned to users
Managing access rights with special privileges
Confidential Information Management User Authentication
Review the access rights of users
Withdrawal or adaptation of access rights
User Responsibilities
Use of confidential information for authentication
Access control systems and applications
Restricting access to information
Safe procedures login
User Password Management
Use of systems management tools
Control access to the source code of the programs

ENCRYPTION
Cryptographic controls
Usage Policy cryptographic controls
Key management.

PHYSICAL AND ENVIRONMENTAL SECURITY
Secure areas
Physical security perimeter
Physical entry controls
Securing offices, rooms and facilities
Protection against external and environmental threats
Work in secure areas
Public access areas, loading and unloading
Safety equipment
Construction and equipment protection
Supply installations
Safety wiring
Maintenance of equipment
Outflow of assets outside the company premises
Safety equipment and assets outside facilities
Reuse or safe removal of storage devices
User computer unattended
Workplace policy clear and lock screen

OPERATIONAL SAFETY
Responsibilities and operating procedures
Documentation of operating procedures
Change Management
Management capabilities
Separation of development environments, testing and production
Protection against malicious code
Controls against malicious code
Backups
Backing up information
Activity Log and supervision
Registration and event management activity
Protection of information records
Activity Logs administrator and system operator
Synchronizing Clocks
Control of operational software
Installing the software on production systems
Vulnerability management technique
Managing technical vulnerabilities
Restrictions on installing software
Considerations for auditing information systems
Controls auditing information systems

SECURITY IN TELECOMMUNICATIONS
Managing network security
Network controls
Security mechanisms associated network services
Segregation Networking
Exchange of information with external parties
Policies and procedures for exchange of information
Exchange agreements
Electronic messaging
Confidentiality and secrecy agreements

ACQUISITION, DEVELOPMENT AND MAINTENANCE OF INFORMATION SYSTEMS
Safety requirements for information systems
Analysis and specification of security requirements
Security communications services accessible by public networks
Protection of information through telecommunications networks
Security in development and support processes
Insurance policy software development
Control procedures systems changes
Technical review of applications after making changes to the operating system
Restrictions on changes to software packages
Using engineering principles in protection systems
Security in development environments
Outsourcing software development
Functional tests during the development of systems
Acceptance Testing
Test Data
Protection of data used in tests

RELATIONS WITH SUPPLIERS.
Information security in relationships with suppliers
Security policy information for suppliers
Treatment of risk within agreements suppliers
Supply chain information technology and communications
Managing service delivery by suppliers.
Monitoring and review of third party services
Management changes in services provided by third parties

INCIDENT MANAGEMENT IN INFORMATION SECURITY.
Incident management and information security improvements.
Responsibilities and Procedures
Notification of security event information
Notification of security weaknesses
Rating security event information and decision making
Response to security incidents
Learning incidents of information security
Gathering evidence

ASPECTS OF INFORMATION SECURITY MANAGEMENT BUSINESS CONTINUITY
Continuity of information security
Planning continuity of information security
Implementation of the continuity of information security
Verification, review and evaluation of the continuity of information security
Redundancies
Availability of facilities for information processing

COMPLIANCE
Compliance with legal and contractual requirements
Identification of applicable legislation
Intellectual property rights (IPR)
Protection of organizational records
Data protection and privacy of personal information
Regulation of cryptographic controls
Reviews of information security
Independent review of information security
Compliance with security policies and standards
Verification of compliance


By Jose Maria Jimenez - Security Analyst Vintegris

Administración segura de datos, ISO 27001 desde el punto de vista metodológico

2 diciembre, 2014Vintegris.info

El mundo de los negocios avanza día a día y se vuelve cada vez más ágil. La mecánica del cambio requiere tener mayor certeza sobre la seguridad de los datos de una compañía y un gerenciamiento claro sobre los dominios que afectan al sector de tecnología. Por esta razón cada vez más empresas consideran la certificación ISO 27001 como una necesidad imperiosa para no perder el control de los datos que son parte del negocio.

27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la seguridad de la información en cada organización. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.

ISO 27001 puede ser implementada en cualquier tipo de empresa, y certificada por una entidad habilitada para tal fin. ISO 27001 responde a una necesidad de mercado cada vez más demandada y es contar con una metodología para implementar la gestión de la seguridad de la información dentro de una compañía.

Con el advenimiento del fin de año, muchas compañías desean conocer el estado del arte de su propia seguridad de la información y por esa razón adjuntamos los dominios que la norma ISO 27001 toca para que nuestros lectores puedan armar un informe consistente en este sentido y establecer los parámetros que deben mejorar en 2015 para tener una administración plena de la seguridad de los datos

• POLÍTICAS DE SEGURIDAD.
  • Directrices de la Dirección en seguridad de la información.
    • Conjunto de políticas para la seguridad de la información
    • Revisión de las políticas para la seguridad de la información
• ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
  • Organización interna
    • Asignación de responsabilidades para la seguridad de la información
    • Segregación de tareas
    • Contacto con las autoridades
    • Contacto con grupos de interés especial
    • Seguridad de la información en la gestión de proyectos
  • Dispositivos para movilidad y teletrabajo
    • Política de uso de dispositivos para movilidad
    • Teletrabajo
• SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
  • Antes de la contratación
    • Investigación de antecedentes
    • Términos y condiciones de contratación
  • Durante la contratación
    • Responsabilidades de gestión
    • Concienciación, educación y capacitación en seguridad de la información
    • Proceso disciplinario
  • Cese o cambio de puesto de trabajo
    • Cese o cambio de puesto de trabajo
• GESTIÓN DE ACTIVOS
  • Responsabilidad sobre los activos
    • Inventario de activos
    • Propiedad de los activos
    • Uso aceptable de los activos
    • Devolución de activos
  • Clasificación de la información
    • Directrices de clasificación
    • Etiquetado y manipulado de la información
    • Manipulación de activos
  • Manejo de los soportes de almacenamiento
    • Gestión de soportes extraíbles
    • Eliminación de soportes
    • Soportes físicos en tránsito
• CONTROL DE ACCESOS
  • Requisitos de negocio para el control de accesos
    • Política de control de accesos
    • Control de acceso a las redes y servicios asociados
  • Gestión de acceso de usuario
    • Gestión de altas/bajas en el registro de usuarios
    • Gestión de los derechos de acceso asignados a usuarios
    • Gestión de los derechos de acceso con privilegios especiales
    • Gestión de información confidencial de autenticación de usuarios
    • Revisión de los derechos de acceso de los usuarios
    • Retirada o adaptación de los derechos de acceso
  • Responsabilidades del usuario
    • Uso de información confidencial para la autenticación
  • Control de acceso a sistemas y aplicaciones
    • Restricción del acceso a la información
    • Procedimientos seguros de inicio de sesión
    • Gestión de contraseñas de usuario
    • Uso de herramientas de administración de sistemas
    • Control de acceso al código fuente de los programas
• CIFRADO
  • Controles criptográficos
    • Política de uso de los controles criptográficos
    • Gestión de claves.
• SEGURIDAD FÍSICA Y AMBIENTAL
  • Áreas seguras
    • Perímetro de seguridad física
    • Controles físicos de entrada
    • Seguridad de oficinas, despachos y recursos
    • Protección contra las amenazas externas y ambientales
    • El trabajo en áreas seguras
    • Áreas de acceso público, carga y descarga
  • Seguridad de los equipos
    • Emplazamiento y protección de equipos
    • Instalaciones de suministro
    • Seguridad del cableado
    • Mantenimiento de los equipos
    • Salida de activos fuera de las dependencias de la empresa
    • Seguridad de los equipos y activos fuera de las instalaciones
    • Reutilización o retirada segura de dispositivos de almacenamiento
    • Equipo informático de usuario desatendido
    • Política de puesto de trabajo despejado y bloqueo de pantalla
• SEGURIDAD EN LA OPERATIVA
  • Responsabilidades y procedimientos de operación
    • Documentación de procedimientos de operación
    • Gestión de cambios
    • Gestión de capacidades
    • Separación de entornos de desarrollo, prueba y producción
  • Protección contra código malicioso
    • Controles contra el código malicioso
  • Copias de seguridad
    • Copias de seguridad de la información
  • Registro de actividad y supervisión
    • Registro y gestión de eventos de actividad
    • Protección de los registros de información
    • Registros de actividad del administrador y operador del sistema
    • Sincronización de relojes
  • Control del software en explotación
    • Instalación del software en sistemas en producción
  • Gestión de la vulnerabilidad técnica
    • Gestión de las vulnerabilidades técnicas
    • Restricciones en la instalación de software
  • Consideraciones de las auditorías de los sistemas de información
    • Controles de auditoría de los sistemas de información
• SEGURIDAD EN LAS TELECOMUNICACIONES
  • Gestión de la seguridad en las redes
    • Controles de red
    • Mecanismos de seguridad asociados a servicios en red
    • Segregación de redes
  • Intercambio de información con partes externas
    • Políticas y procedimientos de intercambio de información
    • Acuerdos de intercambio
    • Mensajería electrónica
    • Acuerdos de confidencialidad y secreto
• ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
  • Requisitos de seguridad de los sistemas de información
    • Análisis y especificación de los requisitos de seguridad
    • Seguridad de las comunicaciones en servicios accesibles por redes públicas
    • Protección de las transacciones por redes telemáticas
  • Seguridad en los procesos de desarrollo y soporte
    • Política de desarrollo seguro de software
    • Procedimientos de control de cambios en los sistemas
    • Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
    • Restricciones a los cambios en los paquetes de software
    • Uso de principios de ingeniería en protección de sistemas
    • Seguridad en entornos de desarrollo
    • Externalización del desarrollo de software
    • Pruebas de funcionalidad durante el desarrollo de los sistemas
    • Pruebas de aceptación
  • Datos de prueba
    • Protección de los datos utilizados en pruebas
• RELACIONES CON SUMINISTRADORES.
  • Seguridad de la información en las relaciones con suministradores
    • Política de seguridad de la información para suministradores
    • Tratamiento del riesgo dentro de acuerdos de suministradores
    • Cadena de suministro en tecnologías de la información y comunicaciones
  • Gestión de la prestación del servicio por suministradores.
    • Supervisión y revisión de los servicios prestados por terceros
    • Gestión de cambios en los servicios prestados por terceros
• GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
  • Gestión de incidentes de seguridad de la información y mejoras.
    • Responsabilidades y procedimientos
    • Notificación de los eventos de seguridad de la información
    • Notificación de puntos débiles de la seguridad
    • Valoración de eventos de seguridad de la información y toma de decisiones
    • Respuesta a los incidentes de seguridad
    • Aprendizaje de los incidentes de seguridad de la información
    • Recopilación de evidencias
• ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
  • Continuidad de la seguridad de la información
    • Planificación de la continuidad de la seguridad de la información
    • Implantación de la continuidad de la seguridad de la información
    • Verificación, revisión y evaluación de la continuidad de la seguridad de la información
  • Redundancias
    • Disponibilidad de instalaciones para el procesamiento de la información
• CUMPLIMIENTO
  • Cumplimiento de los requisitos legales y contractuales
    • Identificación de la legislación aplicable
    • Derechos de propiedad intelectual (DPI)
    • Protección de los registros de la organización
    • Protección de datos y privacidad de la información personal
    • Regulación de los controles criptográficos
  • Revisiones de la seguridad de la información
    • Revisión independiente de la seguridad de la información
    • Cumplimiento de las políticas y normas de seguridad
    • Comprobación del cumplimiento

Por Jose Maria Jimenez – Analista de Seguridad de Vintegris

Step by step how to build mobile marketing campaign

http://marketingmobileperu.com/como-construir-una-campana-mobile/

traducido por Federico Dilla
Step by step how to build mobile marketing campaign
 millennials-specialists-advertising-phone-peru

Currently, the high penetration of mobile devices has led to their integration in communication campaigns and marketing companies. It becomes an indispensable part, so it is necessary to know how to bring to fruition to obtain optimized results. This is the reason why today we developed a guide with keys and instructions to build a suitable mobile marketing campaign.

qr-shelves-retail-peru
1- First, every campaign has to stand around previously defined objectives to be quantifiable (measurable) and real. In a mobile marketing campaign we can find a great variety: from generating a number of records to expand the database, sales, subscriptions, plays and views to the distribution of coupons.

2- According to the objectives, the implementation will vary. For promotions or sweepstakes, we must adhere to legal compliance, official rules imposed on this section and age verification whenever necessary. Essential points to start with.

The "opt-in" and "opt-out" must be present. With them, referring to the changes that occur in the web is made. While the "opt-out" are those that offer the option to disable a service enabled by default, the "opt-in" allow otherwise can activate those who are not. The management of both is essential to establish a trust relationship between the user and the brand.

3- After commissioning, jump to step three: tracking and recognition. When configuring this type of campaign, it has to have full confidence to carry out constant monitoring of results. The two most commonly used methods are: the unique identifier coincidence or traces of the device. The latter allows to extract the basic information more easily.

statistics-web-mobile


4- The choice of methodology depends on the type of campaign and the defined goals. Behind her, will have to trace the flow of execution or timing of the mobile marketing campaign, especially if we have a campaign "cross-channel components", or what is the same, crossing components across multiple channels (mobile, desktop shop, impressions ...).

Always has to go a step ahead of users in order to achieve the desired behavior. Therefore, it is desirable to consider a number of questions: Where users start promoting? Where do I want to arrive? When promoting your order arrives? What is the behavior I want to effect? What channels should use and what call to action for the behavior sought?

5- When the technical and strategic aspects have decided it is time to influence the creative part. While mobile devices present a challenge for screen size and fragmentation, it is necessary to innovate to attract the public.

advertising-cell-smartphones-retail-peru

6- creatives have to allow proper data management. Respect the privacy of users is essential, so to be able to handle their data without problem, which is an excellent opportunity for companies can build a customer database with additional information.

[Tweet "In mobile marketing campaigns need to innovate to attract the public"]

How are we going to segment the mobile audience? What information capture users interested? Who will own the data? How to set up tracking links? ... They are some of the questions we must answer according to the interests of the company.

mobile marketing digital peru

7- After collection, the online marketing campaign is based on the analysis and generation of continuing reports. On this basis, every business has the opportunity to see what the return on investment and what aspects have to be improved.

[Tweet "With the analysis of marketing campaigns, every business has the option to know what to improve"]

Usually, there are five reports produced. Wanted to know what the mainstream and goals that you want users to follow (funnels) if people behave the same way with every campaign, what is the duration of participation of users once manifests (retention ), how often users return to the application (loyalty) and if the campaign contributes to the final result (value).

Mobile-Marketing-Campaign-Framework-e1393882162489

These are some of the keys to be borne in mind in developing a mobile marketing campaign, without ever neglecting the customer.

Cómo construir paso a paso una campaña de marketing móvil

Actualmente, el elevado grado de penetración de los dispositivos móviles ha conllevado su integración en las campañas de comunicación y marketing de las empresas. Se convierte en parte indispensable, por lo que resulta necesario saber cómo llevarla a buen puerto para obtener unos resultados optimizados. Esta es la razón por la cual hoy elaboramos una guía con las claves y pasos a seguir para construir una campaña de marketing móvil adecuada.

1- En primer lugar, toda campaña ha de levantarse en torno a unos objetivos previamente definidos que han de ser cuantificables (medibles) y reales. En una campaña de mobile marketing podemos encontrar gran variedad: desde generar un determinado número de registros para ampliar la base de datos, ventas, suscripciones, jugadas o visualizaciones hasta la distribución de cupones.

2- Según los objetivos planteados, la puesta en marcha variará. En el caso de las promociones o sorteos, hay que atenerse al cumplimiento legal, a las reglas oficiales impuestas con respecto a este apartado y a la verificación de edad siempre que sea necesaria. Puntos indispensables por los que empezar.

Los “opt-in” y “opt-out” han de estar presentes. Con ellos, se hace referencia a los cambios que se producen en la web. Mientras que los “opt-out” son aquellos que ofrecen la opción de desactivar un servicio activado por defecto, los “opt-in” permiten lo contrario, pudiendo activar aquellos que no lo están. La gestión de ambos es fundamental para establecer una relación de confianza entre el usuario y la marca.

3- Tras la puesta en marcha, saltamos al tercer paso: el seguimiento y reconocimiento. A la hora de configurar este tipo de campañas, se ha tener plena seguridad de poder llevar a cabo un seguimiento constante de los resultados obtenidos. Las dos metodologías más empleadas son: el identificador de coincidencia única o las huellas del dispositivo. Este último permite extraer la información básica de manera más sencilla.

4- La selección de la metodología depende del tipo de campaña y las metas definidas. Tras ella, habrá que trazar el flujo de ejecución o calendario de la campaña de marketing móvil, sobre todo si estamos ante una campaña “cross-channel components”, o lo que es lo mismo, que cruza componentes en varios canales (móvil, escritorio, tienda, impresiones…).

Siempre se ha de ir un paso por delante de los usuarios con el objetivo de conseguir el comportamiento deseado. Por ello, resulta conveniente plantearse una serie de cuestiones: ¿Dónde comienzan los usuarios la promoción? ¿A dónde quiero que lleguen? ¿Cuándo llega la promoción a su fin? ¿Cuál es el comportamiento que quiero inducir? ¿Qué canales deberíamos utilizar y qué llamada a la acción para obtener el comportamiento buscado?

5- Cuando los aspectos técnicos y estratégicos se han decidido, es hora de incidir en la parte creativa. Aunque los dispositivos móviles presentan todo un desafío por el tamaño de la pantalla y su fragmentación, es necesario innovar para atraer al público.

6- Las creatividades han de permitir la correcta gestión de datos. Respetar la privacidad de los usuarios es fundamental, por lo que han de poder manejar sus datos sin problema, lo que constituye una excelente oportunidad para las empresas pudiendo construir una base de datos de clientes con información adicional.

[Tweet “En las campañas de marketing móvil es necesario innovar para atraer al público”]

¿Cómo vamos a segmentar la audiencia móvil? ¿Qué información interesa capturar de los usuarios? ¿Quién será el dueño de dichos datos? ¿Cómo configurar enlaces de seguimiento?… Son algunos de los interrogantes que debemos responder de acuerdo a los intereses de la empresa.

7- Tras su recopilación, la campaña de marketing en línea se sustenta en el análisis y la generación de informes continuos. Con esta base, todo negocio tiene la oportunidad de ver cuál es el rendimiento de su inversión y qué aspectos se han de mejorar.

[Tweet “Con el análisis de las campañas de marketing, todo negocio tiene la opción conocer qué mejorar”]

Habitualmente, son cinco los informes que se elaboran. Se busca conocer cuáles son las principales corrientes y metas que se desea que los usuarios sigan (embudos), si la gente se comporta de la misma manera con cada campaña, cuál es la duración de la participación de los usuarios una vez se manifiesta (retención), con qué frecuencia regresan los usuarios a la aplicación (lealtad) y si la campaña contribuye al resultado final (valor).

Éstas son algunas de las claves que se han de tener presente en el desarrollo de una campaña de marketing móvil, sin descuidar nunca la atención al cliente.