dilluns, 15 de març de 2010

Més de l´auditora T-Systems

. Kimba: 26 del 08 de 2009 a las 21:32.
-Es una empresa sumamente grande, con una estructura gerarquica invertida, por lo que jefecillos hay para dar y regalar (y la mayoria con la unica idea de guardar su culo, y con nulas prespectivas de negocio), personalmente creia que habiamos sido absorbidos por una empresa con una estructura solida y mejor organizada que la empresa de donde proveniamos, pero con el tiempo he comprobado que no es asi, reina la improvisación del dia a dia, sin directrices claras de negocio, en función de donde sopla el viento se hacen unas cosas u otras, total un verdadero cachondeo organizativo, lo de perder pasta puedo dar fe de ello, pero ademas a gran escala, he tenido la suerte de poder salir de aquella empresa.
Profesionalmente no te sientes reconocido (al menos el ultimo año que estuve alli), las prespectivas de cambio de departamento apenas existen, y constantemente te refriegan por la cara que eres economicamente caro.

http://www.trabajobasura.info/directorio/t_systems.html

http://www.applesfera.com/rumores/ha-publicado-t-systems-el-nuevo-macbook-pro-por-error

http://www.bpm-spain.com/articulo/19356/eai-soa-web-services/telecomunicaciones/t-systems-desarrolla-con-bea-weblogic-el-nuevo-sistema-de-facturacion-de-deustche-telekom

http://www.telecomkh.com/es/comunicaciones-empresariales/noticias/operadores-de-redes/productos-y-servicios/seguridad/voz-sobre-ip/wlan/ip/alcatel-lucent/deutsche-telekom/lan/t-systems/772

Son segures les dades dels usuaris de SOM (ex STA)?


Resum de l´aplicació de la norma ISO 17799


“La direcció deu de definir clarament les politiques de seguretat.

Mostrar el seu compromís amb la publicació i la continuació de les politiques de seguretat.

El document expressant la politica de seguretat té que ser aprovat per la direcció i publicat i comunicat a tots els empleats.

Per assegurar la politica de seguretat la direcció té que assignar un responsable.

Cada canvi de lloc d´explotació té que comportar una revisió.

Cooperació entre organismes.-

El responsable (organisme) de les dades té que comunicar amb d´altres com: Autoritats competents, òrgans de regulació i proveïdors. Cada un d´ells pot aportar quelcom.

...l´auditor no pot ser jutge i part...

Seguretat d´accés de tercers a les dades.-

L´organisme té posar tota la seva atenció en controlar el RISC que comporta l´accés deTERCERSa l´informació.


“L´organisme té l´obligació d´identificar tots els TERCERS que poden accedir a les dades: Personal de manteniment, agents de seguretat, estudiants, personal eventual...” i altres serveis externs.


Exigències de seguretat en els contractes amb tercers.-

Els aspectes contractuals son indispensables i els responsables deuen de plasmar unes normes d´utilització de les dades destinades a tercers.

Clàusules que deun figurar en aquest tipus de contractes.-

...processos de protecció, regles per assegurar la restitució o destrucció de les dades, restriccions a la divulgació i reproducció de les informacions, responsabilitat de les diferents parts, lleis i/o reglaments aplicables si el contracte implica a EMPRESES EXTRANGERES..


Externalització i les seves exigències de seguretat.-

Objetiu: Mantenir la segueretat de l´informació quant “LA GESTIÓ ÉS CONFIADA A UNA ENPRESA EXTERNA”.

Controls FÍSICS I LÓGICS per limitar l´accés a les informacions sensibles als ÚNICS usuaris autoritzats.

Dret (I OBLIGACIÓ) de l´organisme de fer auditar per un tercer per verificar que la seguretat assegurada per el prestatari és correcte.

Clasificació de l´informació.-

La seva clasificació permet determinar el nivell d´importància (crític) i en consequència el modus de trcatament.

Exemples:

L´informació confidencial: Informació la quina difusió és estrictament limitada.

L´informació vital: Informació indispensable per assegurar el procés de l´organisme i quina indisponibilitat per suposar una pèrdua d´explotació.

L´informació costosa: Informació que en cas de ser alterda suposa un alt cost de restitució.

L´informació nominativa: Informació que es pot aplicar per imperatius de seguretat imposats per la llei.

Primerament la clasificació s´ha d´aplicar a les informacions i després als dispositius que asegurent la salvaguarda i tractament i als utilitsadors que ho manipulen.


Recursos humans.-

L´objetiu és reduir els riscos de´error humà, el robatori, el frau o l´us inadequat dels equipements.

Les responsabilitats relatives a la seguretat de l´informació es tenen que abordar al moment de contractar personal (o empreses) i inclore-les en els contractes i supervisar-les durant tota la durada del contracte.

La NORMA ISO 17799 recomana assegurar-se que les informacions facilitades per l´assalariat o empresa son verdaderes.

Els punts a verificar son: Les referències, el CV, els diplomes, etc.

La mesura s´aplica també als estagiaris, temporals i personal (empreses) EXTERN.

El contracte de treball deu tenir una clàusula de confidencialitat
Reacció devant els accidents o defectes de seguretat, el seu estudi i procediments disciplinaris :

L´objetiu és reduir el mal.

L´organisme te que posar en funcionament un plà de procediments per afavorir la senyalització d´incidents per tal de tenir-los en compte i facilitar-ne el seu estudi.

Tots els incidents es tenen, evidentment, que estudiar i fer-ne un raport. L´organisme té que posar a disposició tots els mecanismes que permetin controlar el tipus, volum i cost .

L´organisme deu de preveure mesures disciplinaries en cas de incompliment del contracte o ús indegut dels sistemes, etc.

Seguretat física.-

... controls d´accés, seguretat dels equipaments, seguretat de l´alimentació elèctrica, manteniment de material, etc.

Regles de control general.-


L´informació té que ser protegida contra la divulgació, modificació i robatori.

Messures a pendre en el LLOC DE TREBALL:

Els documents i suports informàtics es guardaran en armaris tancats amb clau

Els ordinadors, terminals i impressores tenen que desconnectar-se quant estan sense vigilància i dotats de sistemes bloqueig si no son utilitzats durant un cert temps.

Els punts físics d´entrada i sortida de correu tal com telex, fax, etc. Tenen que estar vigilats.

Les fotocopiadores també tenen que star protegides i prohibida la seva utilització fora de les hores de treball.

Gestió de l´explotació de les comunicacions i de les xarxes.-

Per l´explotació dels equips informàtics es necessari redactar una guia precisant:

El modus de tractament i manipulació de l´informació,

El comencement i final del treball,

Les instruccions per el tractament d´errors,

Llista de interlocutors que poden intervenir en cas de dificultats,

Les consignes de manipulació de les dades,

Les condicions de manteniment,

El procediment de salvaguarda de les dades,

Control de les modificacions als dispositius operacionals.-
Aquestes modificacions necessiten de:

Una identificació i un enregistrament,

Una evaluació del seu impacte,

L´aprovació per part dels responsables,

La comunicació dels detals de les modificacions a totes les prsones competentes,

L´identificació de les persones responsables de les validacions

Procediment per la gestió d´incidents.-

L´organisme té que redactar un document explicant la forma d´actuar en cas d´incidents.

Els incidents a trcatar: Errada del sistema, denegació de servei (no disponibilitat de les dades), la violació de confidencialitat.

El procediment té que cobrir els punts següents: Identificació i anàlisis de l´incident, correctius per aplicar per evitar-ne la repetició, protocol de comunicació amb les persones afectades o implicades en l´incident, redacció d´un raport explicant l´incident i les actions preses i comunicar-lo a l´autoritat competent.

Utilització de les dades diàries.-

Aquestes seran utilitzades per anàlisis dles problemes interns, com probes en incidents per una possible ruptura de contracte o per la justícia si necessari.

Procediments: L´accés als sistemes d´explotació i a les dades sera autoritzat SOLSAMENT al personal clarament autoritzat.


Totes les accions preses seran documentades i notificades a la direcció.

Després d´un incident, la integritat del sistema i de les dades té que ser confirmat.

Separació dels equips:


Per tal d´evitar els riscos d´una intervenció delictiva l´organisme vigilarà els punts següents:

La separació del software operacional i desenvolupador,

Fer inaccessible els compiladors, editors i altres utilitaris,

Utilitzar contrasenyes diferentes per cada un dels sistemes,

Prohibir als programadors l´accés als mots clau operacionals.


LA NORMA ISO 17799 PRECISA QUE L´ORGANISME TÉ QUE EVITAR LA GESTIÓ DE LES APLICACIONS SENSIBLES A EMPRESES EXTERNES

...
Protecció i controls contre el software mal intencionat:

L´organisme té que verificar la conformitat de les llicències dels programes i que CAP PROGRAMA NO AUTORITZAT ÉS UTILITZAT i PROTEGIR-SE CONTRA ELS RISCOS DESCÀRREGUES DE FIXERS I PROGRAMES.

...”


Aplicava l´ex STA aquesta norma l´any 2.005?.


Segons les auditories de l´Agència de Protecció de Dades Andorrana i de l´empresa T-SystemS NO.

I de la companyia on "treballava" T-Systems



Imagen elocuente (click sobre ella para agrandarla) que muestra como el DNS del ISP estatal COPACO, estaba configurado para resolver erroneamente los dominios de las páginas Web www.partidocolorado.org y www.victorbogado.com que presentan duras críticas al partido oficialista. Esto no solo constituye una forma de censura radicalista sino tambíen un pelígro latente de posibles usos más perjudiciales como ser el robo de información confidencial de los usuarios. Continúe leyendo el artículo.
Copaco censura Internet en el Paraguay!

El servidor DNS de Copaco se configuró de manera criminal para desviar el tráfico de al menos 3 diferentes dominios. Luego de las denuncias y repercusiones en diferentes medios, corrigieron la situación en horas de la mañana de hoy. Cuando el usuario trataba de acceder a las páginas www.partidocolorado.org y www.victorbogado.com, eran desviados a la página www.anr.org.py. Las dos páginas citadas anteriormente continenen sátiras y denuncias contra el partido colorado y el diputado y candidato Victor Bogado. La tercera página web desviada es www.bastacarajo.com, web publicada por el Partido Patria Querida en su campaña electoral para votar por la lista 8. Esta página era desviada por los servidores de DNS de Copaco a una página pornográfica.

Lo que hizo Copaco fue impedir que los usuarios puedan navegar libremente por la web, censurando ciertas páginas web y desviando el tráfico a otras páginas de su interés. Esto se llama DNS Hijacking o Pharming. Si Copaco es capaz de hacer eso, podríamos esperar que desvíen el tráfico o censuren cualquier página que no sea de su interés, en perjuicio de usuarios de todo el país, en cualquier momento.

Haciendo una analogía: Copaco desvió el tráfico de internet como se podría hacer con una llamada. Cuando una persona llama al teléfono de Patria Querida (su web), le atiende una recepcionista de un Burdel (web pornográfica). Copaco tiene el poder de desviar la llamada o el tráfico de Internet y lo hace libremente.

También podrían a partir de hoy desviar el tráfico del sitio web de un Banco, redirigiendo a un sitio falso para robarle su contraseña a los usuarios. A rigor Copaco tiene el poder de desviar el tráfico a cualquier sitio internacional ya que todo el tráfico internacional pasa por sus servidores por el monopolio de Internet que existe en nuestro país.



Pronta reacción de la Asociación de Usuarios de Internet y Telecomunicaciones
La Asociación de Usuarios de Internet y Telecomunicaciones no se quedará callada ante tal situación, y presentará este reclamo a la Conatel:

    Señores
    Unidad de Quejas y Reclamos – CONATEL
    Ciudad.

    Referencia: Robo de dominio de Internet.

    Tenemos el agrado de dirigirnos a vuestra oficina de Quejas y Reclamos y a través de ésta a las autoridades que corresponda para denunciar un caso de robo de dominio de Internet por parte de la Compañía Paraguaya de Telecomunicaciones (COPACO S.A.) en perjuicio de sus propios usuarios.

    Conforme se demuestra en documentación que se adjunta a la presente nota, los sitios de Internet http://www.victorbogado.com/ y http://www.partidocolorado.org/ han sido secuestrados (DNS Hijacking) por parte de COPACO S.A. en violación de los incisos e) y h) del artículo 104 de la ley de telecomunicaciones que consideran infracción grave “incumplir las normas técnicas en perjuicio directo o indirecto de usuarios y de terceros” y “la interrupción total o parcial del servicio” respectivamente.

    Adicionalmente consideramos un atentado grave y directo a la Constitución Nacional en su artículo 26 que garantiza la libre expresión, la difusión del pensamiento y opinión SIN CENSURA ALGUNA y el derecho de toda persona a generar, procesar y difundir información.

    En tal sentido solicitamos se tomen las medidas correspondientes de forma URGENTE e INMEDIATA a fin de precautelar los derechos de libre acceso e información de usuarios de COPACO.
    Sin otro particular, y en espera de una eficiente y rápida respuesta a esta irregularidad que perjudica a los usuarios de Internet de Paraguay, nos despedimos de Uds. muy cordialmente.

    Firman: Marcelo Elizeche Landó (Secretario General) y Darío Alvarez (Presidente)

 Enlaces y repercuciones sobre el tema

Para obtener más datos sobre la acusación aqui presentada pueden visitar los siguientes links:
http://public.icann.org/node/695 (ICANN)
http://it.slashdot.org/it/08/04/12/1737218.shtml (Slashdot)
http://www.abc.com.py/articulos.php?pid=405863 (ABC)
http://www.abc.com.py/articulos.php?pid=406030 (ABC)
http://www.abc.com.py/articulos.php?fec=2008-04-12&pid=406031&sec=7 (ABC)
http://www.ultimahora.com/notas/107767-Copaco-niega-responsabilidad-en-desv%EDo-de-sitio-web
http://www.ultimahora.com/notas/107800-Copaco-confirma-"hackeo"-de-sitios-anticolorados
http://www.tocorre.com/es/det.php?fid=1&tid=44309
http://zoopolitica.blogspot.com/2008/04/somos-todos-colorado-y-la-censura.html
http://linux.org.py/foro/viewtopic.php?id=1299
http://www.tocorre.com/es/det.php?fid=1&tid=44384
http://www.tocorre.com/es/det.php?fid=1&tid=44378
http://www.tocorre.com/es/det.php?fid=1&tid=44352
http://shadow.sombragris.org/?p=322
http://www.sendspace.com/file/b4goc9 (para download de la evidencia)
http://img292.imageshack.us/img292/5845/extenso2rk7.png

http://www.usuarios.org.py/v1/index.php?option=com_content&task=view&id=22&Itemid=1

Més de l´anterior auditora T-Systems

http://abc.com.py/abc/nota/88681-Fiscal%C3%ADa-acusa-a-ex-de-Copaco-por-caso-T-Systems/http://abc.com.py/abc/nota/88681-Fiscal%C3%ADa-acusa-a-ex-de-Copaco-por-caso-T-Systems/

PIDE JUICIO ORAL
Fiscalía acusa a ex de Copaco por caso T-Systems
El ex presidente de la Copaco Magno Candia fue acusado ayer a la tarde por un perjuicio patrimonial de 475.000 euros en concepto de omisión de ejecución de una garantía bancaria. El fiscal Martín Cabrera pide juicio oral por lesión de confianza en el caso conocido como T-Systems.
Según la acusación del fiscal de Delitos Económicos y Anticorrupción, el 17 de noviembre de 2005, el presidente de la Compañía Paraguaya de Comunicaciones SA, en ese entonces Omar Ramos Llano, firmó un contrato con la firma internacional T-Systems GBMH, para la adquisición de bienes y servicios para la implementación del Proyecto de Actualización Tecnológica del Sistema de Facturación de Copaco SA, bajo la modalidad “llave en mano”, por valor de 1.759.241 euros.  

De acuerdo a la cláusula decimoséptima, se realizó un primer pago del 40% del monto total del contrato, equivalente a 611.703 euros.  

La contratista debía acompañar a la factura de crédito por el monto total de los bienes y servicios una póliza de caución o garantía bancaria que garantice el total del monto del pago a cuenta del 40%, señalado más arriba.  

Ante el incumplimiento del contrato de provisión de software para el nuevo sistema de facturación de la telefónica, una vez que el ingeniero Jorge Magno Candia asumió el cargo de presidente de Copaco, procedió a rescindir el contrato el 17 de octubre de 2007 y a ejecutar la garantía de fiel cumplimiento del contrato por la suma de 175.924,10 euros, que es equivalente al 10% del valor del acuerdo.  

Sin embargo, pese a la advertencia del HSBC Bank a la Copaco dos meses antes, nota mediante de fecha 9 de octubre de 2007, no fue ejecutada la póliza de 611.703 euros correspondiente a la garantía bancaria.  

Finalmente, el perjuicio se estableció en 475.000€
13 de Marzo de 2010 21:47